로그를 "쌓는 것"과 "감지하는 것"은 전혀 다른 문제다. CloudTrail이 무슨 일이 일어났는지 기록한다면, Amazon CloudWatch는 그 기록을 수치화하고, 임계를 정의하고, 임계를 넘는 순간 사람을 깨우는 운영 평면이다. 보안 시험의 관점에서 CloudWatch는 단순 모니터링 도구가 아니라 "텍스트 로그 → 메트릭 → 알람 → 자동 대응"으로 이어지는 탐지 파이프라인의 첫 변환기다. 이 변환의 메커니즘 — 로그가 어떻게 숫자가 되고, 숫자가 어떻게 경보가 되는지 — 을 정확히 아는 것이 핵심이다.
CloudWatch는 성격이 다른 두 데이터 모델을 한 이름 아래 묶고 있다.
이 둘을 잇는 다리가 Metric Filter다. 로그 텍스트에서 패턴을 추출해 숫자 메트릭을 만든다. 보안 탐지의 거의 모든 시나리오가 이 다리를 건넌다.