Более подробную информацию о группах журналов и концепциях журналов CloudWatch можно получить здесь
Ниже приводится выдержка из этой страницы
Журнал событий
Событие журнала - это запись некоторой активности, записанная контролируемым приложением или ресурсом. Запись журнала событий, которая
CloudWatch Logs понимает, содержит два свойства: отметка времени
когда произошло событие, и необработанное сообщение о событии. Сообщения о событиях
должен быть в кодировке UTF-8.
Потоки журналов
Поток журнала - это последовательность событий журнала, которые используют один и тот же источник. Более конкретно, поток журнала обычно предназначен для
представляют последовательность событий, поступающих из экземпляра приложения
или отслеживаемый ресурс. Например, поток журнала может быть
связанный с журналом доступа Apache на определенном хосте. Когда ты нет
больше не нужен поток журналов, вы можете удалить его с помощью журналов AWS
команда delete-log-stream. Кроме того, AWS может удалить пустой журнал
потоки, которые старше 2 месяцев.
Группы журналов
Группы журналов определяют группы потоков журналов, которые имеют одинаковые параметры хранения, мониторинга и контроля доступа. Каждый лог поток
должен принадлежать к одной группе журналов. Например, если у вас есть отдельный
поток журналов для журналов доступа Apache с каждого хоста, вы можете сгруппировать
эти потоки журналов в одну группу журналов под названием
MyWebsite.com/Apache/access_log.
И чтобы ответить на ваш вопрос " Когда создаются журналы. ", в основном это полностью зависит от вашего приложения. Однако всякий раз, когда они создаются, они передаются в потоки cloudwatch (если вы установили агент cloudwatch и транслируете этот конкретный журнал)
Преимущество использования cloudwatch заключается в том, что вы можете сохранять журналы даже после того, как ваш экземпляр EC2 завершен, и вам не нужно SSH подключаться к ресурсу для проверки журналов, вы можете просто получить это из Консоли AWS