Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración de registros de seguimiento con la AWS CLI
La AWS CLI incluye otros comandos que le ayudan a administrar sus registros de seguimiento. Estos comandos permiten agregar etiquetas a los registros de seguimiento, obtener su estado, iniciar y detener el registro en ellos y eliminarlos. Debe ejecutar estos comandos desde la misma región de AWS en la que se creó el registro de seguimiento (su región principal). Cuando utilice la AWS CLI, recuerde que los comandos se ejecutan en la región de AWS configurada para su perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.
Temas
- Adición de una o varias etiquetas a un registro de seguimiento
- Listado de las etiquetas de uno o varios registros de seguimiento
- Eliminación de una o varias etiquetas de un registro de seguimiento
- Recuperación de la configuración de registros de seguimiento y del estado de un registro de seguimiento
- Configuración de selectores de eventos de CloudTrail Insights
- Configuración de selectores de eventos avanzados
- Configuración de selectores de eventos básicos
- Detención e inicio del registro de un registro de seguimiento
- Eliminación de un registro de seguimiento
Adición de una o varias etiquetas a un registro de seguimiento
Para agregar una o varias etiquetas a un registro de seguimiento existente, ejecute el comando add-tags.
En el siguiente ejemplo, se agrega una etiqueta denominada Owner (Propietario) con el valor Mary a una registro de seguimiento con el ARN arn:aws:cloudtrail: en la región Este de EE. UU. (Ohio). us-east-2:123456789012:trail/my-trail
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail--tags-list Key=Owner,Value=Mary--region us-east-2
Si se ejecuta correctamente, este comando no devuelve nada.
Listado de las etiquetas de uno o varios registros de seguimiento
Para ver las etiquetas asociadas a uno o varios registros de seguimiento existentes, utilice el comando list-tags.
En el ejemplo siguiente, se muestran las etiquetas de Trail1 y Trail2.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
Si se ejecuta correctamente, este comando proporciona información similar a la siguiente.
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ] }
Eliminación de una o varias etiquetas de un registro de seguimiento
Para eliminar una o varias etiquetas de un registro de seguimiento existente, ejecute el comando remove-tags.
En el siguiente ejemplo, se eliminan las etiquetas denominadas Location (Ubicación) y Name (Nombre) de un registro de seguimiento con el ARN arn:aws:cloudtrail: en la región Este de EE. UU. (Ohio). us-east-2:123456789012:trail/Trail1
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1--tags-list Key=Name Key=Location --region us-east-2
Si se ejecuta correctamente, este comando no devuelve nada.
Recuperación de la configuración de registros de seguimiento y del estado de un registro de seguimiento
Ejecute el comando describe-trails para recuperar información sobre los registros de seguimiento de una región de AWS. En el siguiente ejemplo, se devuelve información sobre los registros de seguimiento configurados en la región EE. UU. Este (Ohio).
aws cloudtrail describe-trails --region us-east-2
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.
{ "trailList": [ { "Name": "my-trail", "S3BucketName": "amzn-s3-demo-bucket1", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "amzn-s3-demo-bucket2", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "amzn-s3-demo-bucket3", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ] }
Ejecute el comando get-trail para recuperar información de configuración sobre un registro de seguimiento específico. En el ejemplo siguiente se devuelve la información de configuración de un registro de seguimiento denominado my-trail.
aws cloudtrail get-trail - -namemy-trail
Si se ejecuta correctamente, este comando proporciona información similar a la siguiente.
{ "Trail": { "Name": "my-trail", "S3BucketName": "amzn-s3-demo-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, } }
Ejecute el comando get-trail-status para recuperar el estado de un registro de seguimiento. Debe ejecutar este comando desde la región de AWS en la que se creó (la región principal) o especificar esa región al agregar el parámetro --region.
nota
Si el registro de seguimiento es de organización y usted es una cuenta miembro de la organización en AWS Organizations, debe proporcionar el ARN completo de ese registro de seguimiento, y no solo el nombre.
aws cloudtrail get-trail-status --namemy-trail
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Además de los campos que se muestran en el código JSON anterior, el estado contiene los siguientes campos si hay errores de Amazon SNS o Amazon S3:
-
LatestNotificationError. Contiene el error emitido por Amazon SNS si se produce un error en una suscripción a un tema. -
LatestDeliveryError. Contiene el error emitido por Amazon S3 si CloudTrail no puede enviar un archivo de registros a un bucket.
Configuración de selectores de eventos de CloudTrail Insights
Habilite los eventos de Insights en una traza ejecutando put-insight-selectors y especificando ApiCallRateInsight, ApiErrorRateInsight como valor del atributo InsightType. Para ver la configuración de los selectores de Insights de un registro de seguimiento, ejecute el comando get-insight-selectors. Debe ejecutar este comando desde la región de AWS en la que se creó el registro de seguimiento (la región principal) o especificar esa región añadiendo el parámetro --region al comando.
nota
Para registrar los eventos de Insights para ApiCallRateInsight, el registro de seguimiento debe registrar los eventos de administración de write. Para registrar los eventos de Insights para ApiErrorRateInsight, el registro de seguimiento debe registrar los eventos de administración de read o write.
Ejemplo de registro de seguimiento que registra eventos de Insights
En el ejemplo siguiente se utiliza put-insight-selectors para crear un selector de eventos de Insights para un registro de seguimiento denominado TrailName3. Esto habilita la recopilación de eventos de Insights para el registro de seguimiento TrailName3. El selector de eventos de Insights registra ambos ApiErrorRateInsight y ApiCallRateInsight tipos de eventos de Insights.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
El ejemplo devuelve el selector de eventos de Insights configurado para el registro de seguimiento.
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Ejemplo: Desactivar la recopilación de eventos de Insights
En el ejemplo siguiente se utiliza put-insight-selectors para eliminar el selector de eventos de Insights para un registro de seguimiento denominado TrailName3. Al borrar la cadena JSON de selectores de Insights, se deshabilita la recopilación de eventos de Insights para el registro de seguimiento TrailName3.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[]'
El ejemplo devuelve el selector de eventos de Insights ahora vacío que está configurado para el registro de seguimiento.
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Configuración de selectores de eventos avanzados
Puede utilizar selectores de eventos avanzados para registrar los eventos de administración, los eventos de datos para todos los tipos de recursos y los eventos de actividad de la red (en versión preliminar). Por el contrario, puede usar selectores de eventos básicos para registrar los eventos de administración y los eventos de datos para los tipos de recursos AWS::DynamoDB::Table, AWS::Lambda::Function y AWS::S3::Object. Puede usar selectores de eventos básicos o avanzados, pero no ambos. Si aplica selectores de eventos avanzados a un registro de seguimiento que está usando selectores de eventos básicos, estos últimos se sobrescriben.
Para convertir un registro de seguimiento en selectores de eventos avanzados, ejecute el comando get-event-selectors para confirmar los selectores de eventos actuales y, a continuación, configure los selectores de eventos avanzados para que coincidan con la cobertura de los selectores de eventos anteriores. Luego, agregue los selectores adicionales.
Debe ejecutar el comando get-event-selectors desde la Región de AWS en la que se creó el registro de seguimiento (la región de origen) o agregar el parámetro --region para especificar esa región.
aws cloudtrail get-event-selectors --trail-nameTrailName
nota
Si el registro de seguimiento es de organización y ha iniciado sesión en una cuenta miembro de la organización en AWS Organizations, debe proporcionar el ARN completo de ese registro de seguimiento, y no solo el nombre.
El siguiente ejemplo muestra la configuración de un registro de seguimiento que usa selectores de eventos avanzados para registrar los eventos de administración. De forma predeterminada, se configura un registro de seguimiento para registrar todos los eventos de administración y no los de datos ni de la actividad de la red.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Para crear un selector de eventos avanzados, ejecute el comando put-event-selectors. Cuando se produce un evento en su cuenta, CloudTrail evalúa la configuración de sus registros de seguimiento. Si el evento coincide con algún selector de eventos avanzados de un registro de seguimiento, se procesa el registro de seguimiento y se registra el evento. Puede configurar hasta 500 condiciones en un registro de seguimiento, incluido todos los valores especificados para todos los selectores de eventos avanzados del registro de seguimiento. Para obtener más información, consulte Registro de eventos de datos y Registro de eventos de actividad de la red.
Temas
- Ejemplo de registro de seguimiento con selectores de eventos avanzados específicos
- Ejemplo de registro de seguimiento que utiliza selectores de eventos avanzados personalizados para registrar eventos de datos de Amazon S3 en eventos de datos AWS Outposts
- Ejemplo de registro de seguimiento que utiliza selectores de eventos avanzados para excluir eventos de AWS Key Management Service
- Ejemplo de registro de seguimiento que usa selectores de eventos avanzados para excluir eventos de administración de la API de datos de Amazon RDS
Ejemplo de registro de seguimiento con selectores de eventos avanzados específicos
En el siguiente ejemplo se crean selectores de eventos avanzados personalizados para un registro de seguimiento denominado TrailName a fin de incluir eventos de administración de lectura y escritura (se omite el selector readOnly), eventos de datos PutObject y DeleteObject de todas las combinaciones de bucket/prefijo de Amazon S3, excepto de un bucket llamado amzn-s3-demo-bucket, eventos de datos de una función de AWS Lambda denominada MyLambdaFunction y eventos de actividad de la red para eventos de acceso denegado de AWS KMS a través de un punto de conexión de VPC. Dado que se trata de selectores de eventos avanzados personalizados, cada conjunto de selectores tiene un nombre descriptivo. Tenga en cuenta que una barra diagonal final forma parte del valor de ARN para los buckets de S3.
aws cloudtrail put-event-selectors --trail-nameTrailName--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] }, { "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"]}, { "Field": "errorCode", "Equals": ["VpceAccessDenied"]} ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ] } ] }, { "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Ejemplo de registro de seguimiento que utiliza selectores de eventos avanzados personalizados para registrar eventos de datos de Amazon S3 en eventos de datos AWS Outposts
En el siguiente ejemplo se muestra cómo configurar el registro de seguimiento a fin de que incluya todos los eventos de datos para todos los objetos de Amazon S3 on AWS Outposts. En esta versión, el valor admitido de los eventos de S3 on AWS Outposts para el campo resources.type es AWS::S3Outposts::Object.
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName" }
Ejemplo de registro de seguimiento que utiliza selectores de eventos avanzados para excluir eventos de AWS Key Management Service
En el siguiente ejemplo se crea un selector de eventos avanzados para un registro de seguimiento denominado TrailName que incluye eventos de administración de solo lectura y de solo escritura (se omite el selector readOnly), pero excluye los eventos de AWS Key Management Service (AWS KMS). Como los eventos de AWS KMS se tratan como eventos de administración y puede haber una gran cantidad de ellos, su factura de CloudTrail se puede ver incrementada si tiene más de un registro de seguimiento que captura eventos de administración.
Si elige no registrar eventos de administración, no se registran eventos de AWS KMS y no podrá cambiar la configuración del registro de eventos de AWS KMS.
Para comenzar de nuevo el registro de eventos de AWS KMS en un registro de seguimiento, quite el selector eventSource y ejecute de nuevo el comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Ejemplo de registro de seguimiento que usa selectores de eventos avanzados para excluir eventos de administración de la API de datos de Amazon RDS
En el siguiente ejemplo se crea un selector de eventos avanzados para un registro de seguimiento denominado TrailName que incluye eventos de administración de solo lectura y de solo escritura (se omite el selector readOnly), pero excluye los eventos de administración de la API de datos de Amazon RDS. A fin de excluir eventos de administración de la API de datos de Amazon RDS, especifique el origen de los eventos de la API de datos de Amazon RDS en el valor de cadena del campo eventSource: rdsdata.amazonaws.com.
Si elige no registrar eventos de administración, no se registrarán los eventos de administración de la API de datos de Amazon RDS y no podrá cambiar la configuración del registro de eventos de la API de datos de Amazon RDS.
Para comenzar de nuevo a registrar eventos de administración de la API de datos de Amazon RDS en un registro de seguimiento, elimine el selector eventSource y ejecute de nuevo el comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Configuración de selectores de eventos básicos
Solo puede usar selectores de eventos básicos para registrar los eventos de administración y los eventos de datos de los tipos de recursos AWS::DynamoDB::Table, AWS::Lambda::Function y AWS::S3::Object. Puede registrar eventos de administración, todos los tipos de recursos de datos y los eventos de actividad de la red (en versión preliminar) mediante selectores de eventos avanzados.
Puede usar selectores de eventos básicos o avanzados, pero no ambos. Si aplica selectores de eventos básicos a un registro de seguimiento que está usando selectores de eventos avanzados, estos últimos se sobrescriben.
Para ver la configuración de los selectores de eventos de un registro de seguimiento, ejecute el comando get-event-selectors. Debe ejecutar este comando desde la Región de AWS en la que se creó (la región de origen) o especificar esa región mediante el parámetro --region.
aws cloudtrail get-event-selectors --trail-nameTrailName
nota
Si el registro de seguimiento es de organización y usted es una cuenta miembro de la organización en AWS Organizations, debe proporcionar el ARN completo de ese registro de seguimiento, y no solo el nombre.
El siguiente ejemplo muestra la configuración de un registro de seguimiento que usa selectores de eventos básicos para registrar los eventos de administración.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para crear un selector de eventos, ejecute el comando put-event-selectors. Si desea registrar los eventos de Insights en el registro de seguimiento, asegúrese de que el selector de eventos permita registrar los tipos de Insights que desea configurar para el registro de seguimiento. Para obtener más información sobre cómo registrar los eventos de Insights, consulte Registro de eventos de Insights.
Cuando se produce un evento en su cuenta, CloudTrail evalúa la configuración de sus registros de seguimiento. Si el evento coincide con algún selector de eventos de un registro de seguimiento, se procesa el registro de seguimiento y se registra el evento. Puede configurar hasta cinco selectores de eventos para un registro de seguimiento y hasta 250 recursos de datos para un registro de seguimiento. Para obtener más información, consulte Registro de eventos de datos.
Temas
- Ejemplo de registro de seguimiento con selectores de eventos específicos
- Ejemplo de registro de seguimiento que registra todos los eventos de administración y datos
- Ejemplo de registro de seguimiento que no registra eventos de AWS Key Management Service
- Ejemplo de registro de seguimiento que registra eventos de AWS Key Management Service relevantes de bajo volumen
- Ejemplo de registro de seguimiento que no registra eventos de la API de datos de Amazon RDS
Ejemplo de registro de seguimiento con selectores de eventos específicos
El siguiente ejemplo crea un selector de eventos a fin de que un registro de seguimiento denominado TrailName incluya eventos de administración de solo lectura y de solo escritura, eventos de datos para dos combinaciones de bucket/prefijo de Amazon S3 y eventos de datos para una sola función de AWS Lambda denominada hello-world-python-function.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Ejemplo de registro de seguimiento que registra todos los eventos de administración y datos
El siguiente ejemplo crea un selector de eventos para un registro de seguimiento denominado TrailName2 que incluye todos los eventos de administración, incluidos los eventos de administración de solo lectura y solo escritura, así como los eventos de datos de todos los buckets de Amazon S3, las funciones de AWS Lambda y las tablas de Amazon DynamoDB de la Cuenta de AWS. Dado que este ejemplo utiliza selectores de eventos básicos, no puede configurar el registro de eventos de S3 en AWS Outposts, las llamadas JSON-RPC de Amazon Managed Blockchain en los nodos de Ethereum, ni otros tipos de recursos de selectores de eventos avanzados. Con los selectores de eventos básicos tampoco puede registrar los eventos de actividad de la red. Puede utilizar selectores de eventos avanzados para registrar eventos de actividad de la red y eventos de datos de todos los demás tipos de recursos. Para obtener más información, consulte Configuración de selectores de eventos avanzados.
nota
Si el registro de seguimiento solo aplica a una región, solo se registrarán los eventos de dicha región, aunque los parámetros del selector de eventos especifiquen todos los buckets de Amazon S3 y las funciones Lambda. Los selectores de eventos solo se aplican a las regiones en las que se crea el registro de seguimiento.
aws cloudtrail put-event-selectors --trail-nameTrailName2--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
El ejemplo devuelve los selectores de eventos configurados para el registro de seguimiento.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }
Ejemplo de registro de seguimiento que no registra eventos de AWS Key Management Service
En el ejemplo siguiente se crea un selector de eventos para un registro de seguimiento denominado TrailName que incluye eventos de administración de solo lectura y de solo escritura, pero excluye los eventos de AWS Key Management Service (AWS KMS). Como los eventos de AWS KMS se tratan como eventos de administración y puede haber una gran cantidad de ellos, su factura de CloudTrail se puede ver incrementada si tiene más de un registro de seguimiento que captura eventos de administración. El usuario de este ejemplo ha optado por excluir los eventos de AWS KMS de todos los registros de seguimiento menos uno. Para excluir un origen de eventos, añada ExcludeManagementEventSources a los selectores de eventos y especifique un origen de eventos en el valor de cadena.
Si elige no registrar eventos de administración, no se registran eventos de AWS KMS y no podrá cambiar la configuración del registro de eventos de AWS KMS.
Para iniciar de nuevo el registro de eventos de AWS KMS en un registro de seguimiento, pase una matriz vacía como valor de ExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento:
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para iniciar de nuevo el registro de eventos de AWS KMS en un registro de seguimiento, pase una matriz vacía como valor de ExcludeManagementEventSources, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Ejemplo de registro de seguimiento que registra eventos de AWS Key Management Service relevantes de bajo volumen
En el ejemplo siguiente, se crear un selector de eventos para un seguimiento llamado NombreSeguimiento que incluye los eventos de administración de solo escritura y los eventos de AWS KMS. Como los eventos de AWS KMS se tratan como eventos de administración y puede haber una gran cantidad de ellos, su factura de CloudTrail se puede ver incrementada si tiene más de un registro de seguimiento que captura eventos de administración. El usuario de este ejemplo ha optado por incluir eventos Write (Escritura) de AWS KMS, entre los que se incluyen Disable, Delete y ScheduleKey, pero ya no se incluyen acciones de gran volumen como Encrypt, Decrypt, y GenerateDataKey (que ahora se tratan como eventos Read Lectura).
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento: Esto registra los eventos de administración de solo escritura, incluidos los eventos de AWS KMS.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Ejemplo de registro de seguimiento que no registra eventos de la API de datos de Amazon RDS
En el siguiente ejemplo se crea un selector de eventos para un registro de seguimiento denominado TrailName que incluye eventos de administración de solo lectura y de solo escritura, pero excluye eventos de la API de datos de Amazon RDS. Como los eventos de API de datos de Amazon RDS se tratan como eventos de administración y puede haber una gran cantidad de ellos, su factura de CloudTrail se puede ver incrementada si tiene más de un registro de seguimiento que captura eventos de administración. El usuario de este ejemplo ha optado por excluir los eventos de la API de datos de Amazon RDS de todos los registros de seguimiento menos uno. Para excluir un origen de eventos, agregue ExcludeManagementEventSources a los selectores de eventos y especifique un origen de eventos de la API de datos de Amazon RDS en el valor de cadena: rdsdata.amazonaws.com.
Si elige no registrar eventos de administración, no se registran eventos de la API de datos de Amazon RDS y no podrá cambiar la configuración del registro de eventos.
Para iniciar de nuevo el registro de eventos de administración de la API de datos de Amazon RDS en un registro de seguimiento, pase una matriz vacía como valor de ExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento:
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para iniciar de nuevo el registro de eventos de administración de la API de datos de Amazon RDS en un registro de seguimiento, pase una matriz vacía como valor de ExcludeManagementEventSources, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Detención e inicio del registro de un registro de seguimiento
Los siguientes comandos inician y detienen el registro de CloudTrail.
aws cloudtrail start-logging --nameawscloudtrail-example
aws cloudtrail stop-logging --nameawscloudtrail-example
nota
Antes de eliminar un bucket, ejecute el comando stop-logging para detener el envío de eventos al bucket. Si no detiene el registro, CloudTrail trata de enviar los archivos de registros a un bucket con el mismo nombre durante un periodo de tiempo limitado.
Si detiene el registro o elimina un registro de seguimiento, CloudTrail Insights se dehabilita en ese registro de seguimiento.
Eliminación de un registro de seguimiento
Si ha activado los eventos de administración de CloudTrail en Amazon Security Lake, debe mantener al menos un registro de seguimiento de la organización que sea de varias regiones y que registre tanto los eventos de administración de read como de write. No puede eliminar un registro de seguimiento si es el único que tiene que cumpla este requisito, a menos que desactive los eventos de administración de CloudTrail en Security Lake.
Puede eliminar un registro de seguimiento con el siguiente comando. Puede eliminar un registro de seguimiento únicamente en la región en la que lo creó (la región principal).
aws cloudtrail delete-trail --nameawscloudtrail-example
Cuando se elimina un registro de seguimiento, no se elimina el bucket de Amazon S3 ni el tema de Amazon SNS asociados. Utilice la AWS Management Console, la AWS CLI o la API de servicio para eliminar estos recursos por separado.
