Comprensión de CloudTrail los eventos - AWS CloudTrail
Eventos de administraciónEventos de datosEventos de actividad de redEventos de Insights

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Comprensión de CloudTrail los eventos

Un evento en CloudTrail es el registro de una actividad en una AWS cuenta. Esta actividad puede ser una acción realizada por una IAM identidad o un servicio que pueda supervisarse CloudTrail. CloudTrail los eventos proporcionan un historial de la actividad API realizada a través de las herramientas de línea de comandos AWS Management Console, entre otras AWS SDKs Servicios de AWS, y ajenas a la API cuenta.

CloudTrail Los archivos de registro no son un registro ordenado de las API llamadas públicas, por lo que los eventos no aparecen en ningún orden específico.

Hay cuatro tipos de CloudTrail eventos:

De forma predeterminada, los almacenes de datos de rutas y eventos registran los eventos de administración, pero no los eventos de datos, los eventos de actividad de la red ni los eventos de Insights.

Todos los tipos de eventos utilizan un formato de CloudTrail JSON registro. El registro contiene información acerca de las solicitudes de recursos de su cuenta como, por ejemplo, quién hizo la solicitud, los servicios utilizados, las acciones realizadas y los parámetros de la acción. Los datos de los eventos se encierran dentro de una matriz Records.

Para obtener información sobre los campos de registro de CloudTrail eventos, consulteCloudTrail contenido del registro.

Eventos de administración

Los eventos de administración proporcionan información sobre las operaciones de administración que se realizan en los recursos de su AWS cuenta. Se denominan también operaciones del plano de control.

Algunos ejemplos de eventos de administración son los siguientes:

  • Configurar la seguridad (por ejemplo, AWS Identity and Access Management AttachRolePolicy API las operaciones).

  • Registrar dispositivos (por ejemplo, EC2 CreateDefaultVpc API operaciones de Amazon).

  • Configuración de reglas para enrutar datos (por ejemplo, EC2 CreateSubnet API operaciones de Amazon).

  • Configurar el registro (por ejemplo, AWS CloudTrail CreateTrail API las operaciones).

Los eventos de administración también pueden incluir API eventos ajenos a los que se produzcan en su cuenta. Por ejemplo, cuando un usuario inicia sesión en tu cuenta, CloudTrail registra el ConsoleLogin evento. Para obtener más información, consulte APIEventos no capturados por CloudTrail.

De forma predeterminada, los datos de eventos de CloudTrail Trails and CloudTrail Lake almacenan los eventos de gestión de registros. Para obtener más información sobre el registro de eventos de administración, consulteRegistro de eventos de administración.

El siguiente ejemplo muestra un único registro de un evento de administración. En este caso, un IAM usuario denominado Mary_Major ejecutó el aws cloudtrail start-logging comando para llamar a la CloudTrail StartLoggingacción a fin de iniciar el proceso de registro en una ruta denominadamyTrail.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

En el siguiente ejemplo, un IAM usuario denominado Paulo_Santos ejecutó el aws cloudtrail start-event-data-store-ingestion comando para llamar a la StartEventDataStoreIngestionacción a fin de iniciar la ingestión en un banco de datos de eventos.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Eventos de datos

Los eventos de datos proporcionan información sobre las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen.

Algunos ejemplos de eventos de datos son los siguientes:

En la siguiente tabla, se muestran los tipos de eventos de datos disponibles para los registros de seguimiento y los almacenes de datos de eventos. En la columna Tipo de evento de datos (consola), se muestra la selección adecuada en la consola. La columna de valores resources.type muestra el resources.type valor que usted especificaría para incluir eventos de datos de ese tipo en su almacén de datos de rutas o eventos mediante la tecla o. AWS CLI CloudTrail APIs

En el caso de las rutas, puede utilizar selectores de eventos básicos o avanzados para registrar eventos de datos para objetos de Amazon S3 en cubos de uso general, funciones de Lambda y tablas de DynamoDB (se muestran en las tres primeras filas de la tabla). Solo puede usar selectores de eventos avanzados para registrar los tipos de eventos de datos que se muestran en las filas restantes.

En el caso de los almacenes de datos de eventos, puede utilizar selectores de eventos avanzados para que se incluyan eventos de datos únicamente.

Servicio de AWS Descripción Tipo de evento de datos (consola) resources.type value
Amazon DynamoDB

Actividad a APInivel de elemento de Amazon DynamoDB en tablas (por ejemploPutItem,, DeleteItem y operaciones). UpdateItem API

nota

Para las tablas con flujos habilitados, el campo resources del evento de datos contiene AWS::DynamoDB::Stream y AWS::DynamoDB::Table. Si especifica AWS::DynamoDB::Table como resources.type, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir los eventos de streaming, añada un filtro en el campo. eventName

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda actividad de ejecución de funciones (la InvokeAPI).

 Lambda AWS::Lambda::Function
Amazon S3

APIActividad de Amazon S3 a nivel de objeto (por ejemplo GetObjectDeleteObject, y PutObject API operaciones) en objetos de buckets de uso general.

 S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig APIactividad para operaciones de configuración, como llamadas a y. StartConfigurationSession GetLatestConfiguration

 AWS AppConfig AWS::AppConfig::Configuration
AWS Intercambio de datos B2B

APIActividad de intercambio de datos B2B para operaciones de Transformer, como llamadas a y. GetTransformerJob StartTransformerJob

 Intercambio de datos entre empresas AWS::B2BI::Transformer
Amazon Bedrock APIActividad de Amazon Bedrock en un alias de agente. Alias de agente de Bedrock AWS::Bedrock::AgentAlias
Amazon Bedrock APIActividad de Amazon Bedrock en un alias de flujo. Alias de Bedrock Flow AWS::Bedrock::FlowAlias
Amazon Bedrock APIActividad de Amazon Bedrock en barandas. Barandilla Bedrock AWS::Bedrock::Guardrail
Amazon Bedrock APIActividad de Amazon Bedrock en una base de conocimientos. Base de conocimientos de Bedrock AWS::Bedrock::KnowledgeBase
Amazon Bedrock APIActividad de Amazon Bedrock sobre modelos. Modelo Bedrock AWS::Bedrock::Model
Amazon CloudFront

CloudFront APIactividad en un KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map APIactividad en un espacio de nombres. AWS Cloud Map namespace AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map APIactividad en un servicio. AWS Cloud Map service AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsactividad en un canal de un CloudTrail lago que se utiliza para registrar eventos del exterior AWS.

 CloudTrail canal AWS::CloudTrail::Channel
Amazon CloudWatch

CloudWatch APIActividad de Amazon según las métricas.

 CloudWatch métrica AWS::CloudWatch::Metric
Amazon CloudWatch RUM

CloudWatch RUMAPILa actividad de Amazon en los monitores de aplicaciones.

 RUMmonitor de aplicaciones AWS::RUM::AppMonitor
Amazon CodeWhisperer CodeWhisperer APIActividad de Amazon sobre una personalización. CodeWhisperer personalización AWS::CodeWhisperer::Customization
Amazon CodeWhisperer CodeWhisperer APIActividad de Amazon en un perfil. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

APIActividad de Amazon Cognito en los grupos de identidades de Amazon Cognito.

 Grupos de identidades de Cognito AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange APIactividad sobre activos.

Activo de Data Exchange

AWS::DataExchange::Asset
AWS Deadline Cloud

Deadline Cloud APIactividad en las flotas.

Deadline Cloud flota

AWS::Deadline::Fleet
AWS Deadline Cloud

Deadline Cloud APIactividad en los puestos de trabajo.

Deadline Cloud trabajo

AWS::Deadline::Job
AWS Deadline Cloud

Deadline Cloud APIactividad en las colas.

Deadline Cloud cola

AWS::Deadline::Queue
AWS Deadline Cloud

Deadline Cloud APIactividad sobre los trabajadores.

Deadline Cloud trabajador

AWS::Deadline::Worker
Amazon DynamoDB

Actividad de Amazon API DynamoDB en las transmisiones.

 DynamoDB Streams AWS::DynamoDB::Stream
AWS Mensajería social para usuarios finales AWS APIActividad social de mensajería para el usuario final en el número de teléfonoIDs. ID del número de teléfono de mensajería social AWS::SocialMessaging::PhoneNumberId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) directAPIs, como PutSnapshotBlockGetSnapshotBlock, y ListChangedBlocks en EBS instantáneas de Amazon.

 Amazon EBS direct APIs AWS::EC2::Snapshot
Amazon EMR EMRAPIActividad de Amazon en un espacio de trabajo de registro de escritura anticipada. EMRespacio de trabajo de registro con escritura anticipada AWS::EMRWAL::Workspace
Amazon FinSpace

Amazon FinSpaceAPIactividad en entornos.

 FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue APIactividad en tablas creadas por Lake Formation.

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

GuardDuty APIActividad de Amazon para un detector.

 GuardDuty detector AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging APIactividad en los almacenes de datos.

 MedicalImaging almacén de datos AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT APIactividad en materia de certificados.

 Certificado IoT AWS::IoT::Certificate
AWS IoT

AWS IoT APIactividad en las cosas.

 Cosa de IoT AWS::IoT::Thing
AWS IoT Greengrass Version 2

APIActividad de Greengrass desde un dispositivo principal de Greengrass en una versión de componentes.

nota

Greengrass no registra los eventos de acceso denegado.

 Versión del componente IoT Greengrass AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

APIActividad de Greengrass desde un dispositivo principal de Greengrass en una implementación.

nota

Greengrass no registra los eventos de acceso denegado.

 Despliegue de IoT Greengrass AWS::GreengrassV2::Deployment
AWS IoT SiteWise

SiteWise APIActividad de IoT en activos.

 SiteWise Activo de IoT AWS::IoTSiteWise::Asset
AWS IoT SiteWise

SiteWise APIActividad de IoT en series temporales.

 Series SiteWise temporales de IoT AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker

TwinMaker APIActividad de IoT en una entidad.

 TwinMaker Entidad IoT AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

TwinMaker APIActividad de IoT en un espacio de trabajo.

 TwinMaker Espacio de trabajo de IoT AWS::IoTTwinMaker::Workspace
Clasificación de Amazon Kendra Intelligent

APIActividad de Amazon Kendra Intelligent Ranking sobre los planes de ejecución de rescore.

 Kendra Ranking AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (para Apache Cassandra) APIActividad de Amazon Keyspaces en una mesa. Mesa Cassandra AWS::Cassandra::Table
Amazon Kinesis Data Streams Actividad de Kinesis Data API Streams en las transmisiones. Transmisión de Kinesis AWS::Kinesis::Stream
Amazon Kinesis Data Streams La actividad de Kinesis Data API Streams en los consumidores de streaming. Kinesis Stream Consumer AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams La actividad de Kinesis Video API Streams en las transmisiones de vídeo, como las llamadas GetMedia a PutMedia y. Kinesis Video Streams AWS::KinesisVideo::Stream
Amazon Machine Learning APIActividad de Machine Learning en modelos de aprendizaje automático. Aprendizaje automático MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

APIActividad de Amazon Managed Blockchain en una red.

 Red de Managed Blockchain AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Amazon Managed BlockchainJSON: RPC llama a nodos de Ethereum, como eth_getBalance oeth_getBlockByNumber.

 Managed Blockchain AWS::ManagedBlockchain::Node
Gráfico de Amazon Neptune

APIActividades de datos, por ejemplo, consultas, algoritmos o búsquedas vectoriales, en un gráfico de Neptune.

 Gráfico de Neptune AWS::NeptuneGraph::Graph
Amazon One Enterprise

APIActividad de Amazon One Enterprise en unUKey.

 Amazon Uno UKey AWS::One::UKey
Amazon One Enterprise

APIActividad de Amazon One Enterprise en los usuarios.

 Usuario de Amazon One AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography APIactividad en los alias. Alias de criptografía de pagos AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography APIactividad en las claves. Clave de criptografía de pago AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Conector para la API actividad de Active Directory.

 AWS Private CA Conector para Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Conector para SCEP API actividad.

 AWS Private CA Conector para SCEP AWS::PCAConnectorSCEP::Connector
Aplicaciones Amazon Q

APIActividad de datos en Amazon Q Apps.

 Aplicaciones Amazon Q AWS::QApps:QApp
Amazon Q Business

APIActividad de Amazon Q Business en una aplicación.

 Aplicación de Amazon Q Business AWS::QBusiness::Application
Amazon Q Business

APIActividad de Amazon Q Business en una fuente de datos.

 Origen de datos de Amazon Q Business AWS::QBusiness::DataSource
Amazon Q Business

APIActividad de Amazon Q Business en un índice.

 Índice de Amazon Q Business AWS::QBusiness::Index
Amazon Q Business

APIActividad de Amazon Q Business en una experiencia web.

 Experiencia web de Amazon Q Business AWS::QBusiness::WebExperience
Amazon RDS

RDSAPIActividad de Amazon en un clúster de base de datos.

 RDSDatosAPI: clúster de base de datos AWS::RDS::DBCluster
Amazon S3

APIActividad de Amazon S3 en los puntos de acceso.

 Punto de acceso de S3 AWS::S3::AccessPoint
Amazon S3

APIActividad a nivel de objeto de Amazon S3 (por ejemplo GetObjectDeleteObject, y PutObject API operaciones) en objetos de buckets de directorio.

 S3 Express AWS::S3Express::Object
Amazon S3

APIActividad de los puntos de acceso Object Lambda de Amazon S3, como las llamadas a CompleteMultipartUpload y. GetObject

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 en Outposts

Actividad a nivel de objeto API de Amazon S3 on Outposts.

 S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker SageMaker InvokeEndpointWithResponseStreamActividad de Amazon en los puntos finales. SageMaker punto final AWS::SageMaker::Endpoint
Amazon SageMaker

SageMaker APIActividad de Amazon en tiendas destacadas.

 SageMaker feature store AWS::SageMaker::FeatureGroup
Amazon SageMaker

SageMaker APIActividad de Amazon sobre los componentes de las pruebas experimentales.

 SageMaker métricas, componente de prueba de experimentos. AWS::SageMaker::ExperimentTrialComponent
Amazon SNS

SNSPublishAPIOperaciones de Amazon en los puntos finales de la plataforma.

 SNSpunto final de la plataforma AWS::SNS::PlatformEndpoint
Amazon SNS

Amazon SNS Publishy PublishBatchAPIlas operaciones sobre temas.

 SNStema AWS::SNS::Topic
Amazon SQS

SQSAPIActividad de Amazon en los mensajes.

 SQS AWS::SQS::Queue
AWS Step Functions

APIActividad de Step Functions en una máquina de estados.

 Máquina de estado de Step Functions AWS::StepFunctions::StateMachine
AWS Supply Chain

AWS Supply Chain APIactividad en una instancia.

 Cadena de suministro AWS::SCN::Instance
Amazon SWF

SWFAPIActividad de Amazon en los dominios.

 SWFdominio AWS::SWF::Domain
AWS Systems Manager APIActividad de Systems Manager en los canales de control. Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager APIActividad de Systems Manager en los nodos gestionados. Nodo administrado de Systems Manager AWS::SSM::ManagedNode
Amazon Timestream Actividad de Amazon QueryAPITimestream en las bases de datos. Base de datos de Timestream AWS::Timestream::Database
Amazon Timestream Actividad de Amazon QueryAPITimestream en las mesas. Tabla de Timestream AWS::Timestream::Table
Amazon Verified Permissions

APIActividad de permisos verificados de Amazon en un almacén de políticas.

 Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client WorkSpaces APIActividad de Thin Client en un dispositivo. Dispositivo de cliente ligero AWS::ThinClient::Device
Amazon WorkSpaces Thin Client WorkSpaces APIActividad de Thin Client en un entorno. Entorno de cliente ligero AWS::ThinClient::Environment
AWS X-Ray

APIActividad de rayos X en trazas.

 Rastro de rayos X AWS::XRay::Trace

El registro de los eventos de datos está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. Para registrar CloudTrail los eventos de datos, debe añadir de forma explícita los recursos o tipos de recursos compatibles para los que desea recopilar la actividad. Para obtener más información, consulte Crear un sendero con la CloudTrail consola y Cree un almacén de datos de CloudTrail eventos para eventos con la consola.

Se aplican cargos adicionales para registrar eventos de datos. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

El siguiente ejemplo muestra un registro único de un evento de datos para la SNS Publish acción de Amazon.

{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

El siguiente ejemplo muestra un registro de registro único de un evento de datos para la acción de Amazon CognitoGetCredentialsForIdentity.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Eventos de actividad de red

nota

Los eventos de actividad de red están en versión preliminar CloudTrail y están sujetos a cambios.

CloudTrail Los eventos de actividad de la red permiten a los propietarios de VPC terminales grabar AWS API las llamadas realizadas desde sus VPC puntos de conexión desde una ubicación privada VPC a otra. Servicio de AWS Los eventos de actividad de la red proporcionan visibilidad de las operaciones de recursos realizadas dentro de unVPC.

Puede registrar los eventos de actividad de la red para los siguientes servicios:

  • AWS CloudTrail

  • Amazon EC2

  • AWS KMS

  • AWS Secrets Manager

Los eventos de actividad de la red no se registran de forma predeterminada al crear un almacén de datos de rutas o eventos. Para registrar los eventos de actividad de la CloudTrail red, debe establecer de forma explícita el origen del evento para el que desea recopilar la actividad. Para obtener más información, consulte Registro de eventos de actividad de red.

Se aplican cargos adicionales por registrar los eventos de actividad de la red. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

El siguiente ejemplo muestra un AWS KMS ListKeys evento exitoso que atravesó un VPC punto final. El vpcEndpointId campo muestra el ID del punto finalVPC. El vpcEndpointAccountId campo muestra el ID de cuenta del propietario del VPC punto final. En este ejemplo, la solicitud la realizó el propietario del VPC punto final.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

El siguiente ejemplo muestra un AWS KMS ListKeys evento fallido con una infracción de la VPC política de puntos finales. Debido a que se ha producido una infracción de la VPC política, errorMessage los campos errorCode y están presentes. El identificador de cuenta de los vpcEndpointAccountId campos recipientAccountId y es el mismo, lo que indica que el evento se envió al propietario del VPC punto final. El elemento que aparece accountId en el userIdentity elemento no es elvpcEndpointAccountId, lo que indica que el usuario que realiza la solicitud no es el propietario del VPC punto final.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Eventos de Insights

CloudTrail Los eventos de Insights capturan una actividad inusual en la tasa de API llamadas o en la tasa de errores en su AWS cuenta mediante el análisis CloudTrail de la actividad de administración. Los eventos de Insights proporcionan información relevante, como el código de error asociadoAPI, la hora del incidente y las estadísticas, que le ayudan a comprender una actividad inusual y a actuar en consecuencia. A diferencia de otros tipos de eventos que se capturan CloudTrail en un almacén de datos de seguimiento o de eventos, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el API uso de la cuenta o registra la tasa de errores que difieren considerablemente de los patrones de uso típicos de la cuenta.

Entre los ejemplos de actividad que podrían generar los eventos de Insights se incluyen los siguientes:

  • Por lo general, su cuenta no registra más de 20 deleteBucket API llamadas de Amazon S3 por minuto, pero su cuenta comienza a registrar una media de 100 deleteBucket API llamadas por minuto. Se registra un evento de Insights al inicio de la actividad inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.

  • Por lo general, tu cuenta registra 20 llamadas por minuto en Amazon EC2 AuthorizeSecurityGroupIngressAPI, pero tu cuenta empieza a registrar cero llamadas aAuthorizeSecurityGroupIngress. Un evento de Insights se registra al inicio de la actividad inusual y diez minutos más tarde, cuando finaliza la actividad inusual, se registra otro evento de Insights para marcar el final de la actividad inusual.

  • Por lo general, tu cuenta registra menos de un AccessDeniedException error en un período de siete días en el AWS Identity and Access Management API,DeleteInstanceProfile. Tu cuenta comienza a registrar un promedio de 12 AccessDeniedException errores por minuto en la DeleteInstanceProfile API llamada. Se registra un evento de Insights al inicio de la actividad de tasa de error inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.

Estos ejemplos se ofrecen únicamente con fines ilustrativos. Sus resultados pueden variar según su caso de uso.

Para registrar los eventos de CloudTrail Insights, debes habilitar de forma explícita los eventos de Insights en un registro o almacén de datos de eventos nuevo o existente. Para obtener más información acerca de la creación de un registro de seguimiento, consulte Crear un sendero con la CloudTrail consola. Para obtener más información acerca de la creación de un almacén de datos de eventos, consulte Cree un banco de datos de eventos para los eventos de Insights con la consola.

Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener más información, consulte AWS CloudTrail Precios.

Hay dos eventos registrados para mostrar una actividad inusual en CloudTrail Insights: un evento de inicio y un evento de finalización. El siguiente ejemplo muestra un registro único de un evento inicial de Insights que se produjo cuando se API CompleteLifecycleAction llamó a Application Auto Scaling un número inusual de veces. Para los eventos de Insights, el valor de eventCategory es Insight. Un bloque insightDetails identifica el estado del evento, la fuente, el nombre, el tipo de información y el contexto, incluidas las estadísticas y atribuciones. Para obtener más información sobre el bloque insightDetails, consulte CloudTrail insightDetailsElemento Insights.

{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }