CloudWatch看健康，CloudTrail记行为

CloudWatch监控系统‘健康’（指标/日志/告警），CloudTrail记录用户‘行为’（API调用/操作审计）。二者对象不同、数据不同、能力不同，不可互换，但可集成联动，共同构建可观测性与合规性双支柱。

CloudWatch管健康，CloudTrail管行为

CloudWatch监控资源健康（指标/日志），回答‘怎么了？’；CloudTrail审计用户行为（API调用），回答‘谁干的？’。二者定位截然不同，不可混淆或替代。

CloudWatch处理指标（数值）和日志（文本），侧重趋势与异常；CloudTrail生成结构化JSON事件，含用户、时间、动作、资源等完整上下文，专为审计设计。

CloudWatch原生支持实时告警；CloudTrail无告警能力，需通过投递至CloudWatch Logs再配置规则实现联动。二者能力互补，不可单靠一方实现主动防御。

系统故障排查用CloudWatch（查性能瓶颈），安全事件回溯用CloudTrail（查操作源头）。合规审计强制要求CloudTrail；稳定性保障离不开CloudWatch。需求驱动选型，而非功能堆砌。