Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Estructura de los archivos de resumen de CloudTrail

PDF
RSS
Modo de enfoque
Estructura de los archivos de resumen de CloudTrail - AWS CloudTrail
Ubicación del archivo de resumenContenido del archivo de resumen de ejemploDescripciones de los campos de los archivos de resumenArchivo de resumen de inicioArchivos de resumen “vacíos”Firma del archivo de resumenEncadenado de archivos de resumen

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cada archivo de resumen contiene los nombres de los archivos de registros que se enviaron al bucket de Amazon S3 durante la última hora, los valores hash de esos archivos de registros y la firma digital del archivo de resumen anterior. La firma del archivo de resumen actual se almacena en las propiedades de los metadatos del objeto de archivo de resumen. Las firmas digitales y los valores hash se utilizan para validar la integridad de los archivos de registro y del archivo de resumen en sí.

Ubicación del archivo de resumen

Los archivos de resumen se envían a una ubicación de bucket de Amazon S3 con la siguiente sintaxis.

s3://amzn-s3-demo-bucket/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/
    region/digest-end-year/digest-end-month/digest-end-date/
    aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
nota

Para los registros de seguimiento de organización, la ubicación del bucket también incluye el ID de la unidad organizativa, tal y como se indica a continuación:

s3://amzn-s3-demo-bucket/optional-prefix/AWSLogs/O-ID/aws-account-id/CloudTrail-Digest/
    region/digest-end-year/digest-end-month/digest-end-date/
    aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz

Contenido del archivo de resumen de ejemplo

El siguiente ejemplo de archivo de resumen contiene información de un registro de CloudTrail.

{
  "awsAccountId": "111122223333",
  "digestStartTime": "2015-08-17T14:01:31Z",
  "digestEndTime": "2015-08-17T15:01:31Z",
  "digestS3Bucket": "amzn-s3-demo-bucket",
  "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T150131Z.json.gz",
  "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff",
  "digestSignatureAlgorithm": "SHA256withRSA",
  "newestEventTime": "2015-08-17T14:52:27Z",
  "oldestEventTime": "2015-08-17T14:42:27Z",
  "previousDigestS3Bucket": "amzn-s3-demo-bucket",
  "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T140131Z.json.gz",
  "previousDigestHashValue": "97fb791cf91ffc440d274f8190dbdd9aa09c34432aba82739df18b6d3c13df2d",
  "previousDigestHashAlgorithm": "SHA-256",
  "previousDigestSignature": "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",
  "logFiles": [
    {
      "s3Bucket": "amzn-s3-demo-bucket",
      "s3Object": "AWSLogs/111122223333/CloudTrail/us-east-2/2015/08/17/111122223333_CloudTrail_us-east-2_20150817T1445Z_9nYN7gp2eWAJHIfT.json.gz",
      "hashValue": "9bb6196fc6b84d6f075a56548feca262bd99ba3c2de41b618e5b6e22c1fc71f6",
      "hashAlgorithm": "SHA-256",
      "newestEventTime": "2015-08-17T14:52:27Z",
      "oldestEventTime": "2015-08-17T14:42:27Z"
    }
  ]
}

Descripciones de los campos de los archivos de resumen

A continuación de describe cada campo del archivo de resumen:

awsAccountId

El ID de la cuenta de AWS para que el que se ha enviado el archivo de resumen.

digestStartTime

El intervalo de tiempo UTC inicial que cubre el archivo de resumen, donde se toma como referencia la hora en que CloudTrail envió los archivos de registros. Esto significa que, si el intervalo de tiempo es [Ta, Tb], el resumen contendrá todos los archivos de registro que se enviaron al cliente entre Ta y Tb.

digestEndTime

El intervalo de tiempo UTC final que cubre el archivo de resumen, donde se toma como referencia la hora en que CloudTrail envió los archivos de registros. Esto significa que, si el intervalo de tiempo es [Ta, Tb], el resumen contendrá todos los archivos de registro que se enviaron al cliente entre Ta y Tb.

digestS3Bucket

El nombre del bucket de Amazon S3 donde se envió el archivo de resumen actual.

digestS3Object

La clave de objeto de Amazon S3 (es decir, la ubicación del bucket de Amazon S3) del archivo de resumen actual. Las dos primeras regiones en la cadena muestran la región desde la que se ha enviado el archivo de resumen. La última región (después de your-trail-name) es la región principal del registro de seguimiento. La región principal es la región en la que se creó el archivo de seguimiento. Cuando el archivo de seguimiento se refiere a múltiples regiones, esta puede diferir de la región desde la que se envió el archivo de resumen.

newestEventTime

La hora UTC del evento más reciente de todos los eventos en los archivos de registro del resumen.

oldestEventTime

La hora UTC del evento más antiguo de todos los eventos en los archivos de registro del resumen.

nota

Si el archivo de resumen se envía tarde, el valor de oldestEventTime será anterior al valor de digestStartTime.

previousDigestS3Bucket

El bucket de Amazon S3 donde se envió el archivo de resumen anterior.

previousDigestS3Object

La clave de objeto de Amazon S3 (es decir, la ubicación del bucket de Amazon S3) del archivo de resumen anterior.

previousDigestHashValue

El valor de hash codificado hexadecimal de los contenidos sin comprimir del archivo de resumen anterior.

previousDigestHashAlgorithm

El nombre del algoritmo hash que se utilizó para resumir el archivo de resumen anterior.

publicKeyFingerprint

La huella digital codificada hexadecimal de la clave pública que coincide con la clave privada utilizada para firmar este archivo de resumen. Puede recuperar las claves públicas del intervalo de tiempo correspondiente para el archivo de resumen mediante la AWS CLI o la API de CloudTrail. De las claves públicas que se devuelven, se podrá utilizar para validar el archivo de resumen aquella cuya huella digital coincida con este valor. Para obtener información sobre cómo recuperar claves públicas para archivos de resumen, consulte el comando list-public-keys de la AWS CLI o la API ListPublicKeys de CloudTrail.

nota

CloudTrail utiliza diferentes pares de claves públicas y privadas por región. Cada archivo de resumen se firma con una clave privada única para su región. Por tanto, al validar un archivo de resumen proveniente de una región determinada, será preciso que busque en esa misma región la clave pública correspondiente.

digestSignatureAlgorithm

El algoritmo que se utiliza para firmar el archivo de resumen.

logFiles.s3Bucket

El nombre del bucket de Amazon S3 para el archivo de registros.

logFiles.s3Object

La clave de objeto de Amazon S3 del archivo de registros actual.

logFiles.newestEventTime

La hora UTC del evento más reciente en el archivo de registro. Este momento también se corresponde con la marca temporal del propio archivo de registro.

logFiles.oldestEventTime

La hora UTC del evento más antiguo en el archivo de registro.

logFiles.hashValue

El valor hash codificado hexadecimal del contenido del archivo de registro sin comprimir.

logFiles.hashAlgorithm

El algoritmo hash que se utiliza para el archivo de registro.

Archivo de resumen de inicio

Cuando se empieza a validar la integridad del archivo de registro, se genera un archivo de resumen de inicio. También se genera un archivo de resumen de inicio cuando se reinicia la validación de la integridad del archivo de registro (para ello se deshabilita y, después, se vuelve a habilitar la validación de la integridad del archivo, o bien, se detiene el registro y, más adelante, este se reinicia con la validación habilitada). En un archivo de resumen de inicio, los siguientes campos relativos al archivo de resumen anterior tendrán un valor NULL:

  • previousDigestS3Bucket

  • previousDigestS3Object

  • previousDigestHashValue

  • previousDigestHashAlgorithm

  • previousDigestSignature

Archivos de resumen “vacíos”

CloudTrail enviará un archivo de resumen incluso cuando no hubiera habido actividad de la API en su cuenta durante el periodo de una hora que representa el archivo de resumen. Esto puede resultar útil cuando necesite confirmar que no se enviaron archivos de registro durante la hora de la que informa el archivo de resumen.

El ejemplo siguiente muestra el contenido de un archivo de resumen correspondiente a una hora en la que no hubo actividad en la API. Tenga en cuenta que el campo logFiles:[ ] al final del contenido del archivo de resumen está vacío. 

{
  "awsAccountId": "111122223333",
  "digestStartTime": "2015-08-20T17:01:31Z",
  "digestEndTime": "2015-08-20T18:01:31Z",
  "digestS3Bucket": "amzn-s3-demo-bucket",
  "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T180131Z.json.gz",
  "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff",
  "digestSignatureAlgorithm": "SHA256withRSA",
  "newestEventTime": null,
  "oldestEventTime": null,
  "previousDigestS3Bucket": "amzn-s3-demo-bucket",
  "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T170131Z.json.gz",
  "previousDigestHashValue": "ed96c4bac9eaa8fe9716ca0e515da51938be651b1db31d781956416a9d05cdfa",
  "previousDigestHashAlgorithm": "SHA-256",
  "previousDigestSignature": "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",
  "logFiles": []
}

Firma del archivo de resumen

La información de la firma de un archivo de resumen se encuentra en dos propiedades de los metadatos del objeto del archivo de resumen de Amazon S3. Cada archivo de resumen presenta las siguientes entradas de metadatos:

  • x-amz-meta-signature

    El valor codificado hexadecimal de la firma del archivo de resumen. A continuación se muestra un ejemplo de firma:

    
3be472336fa2989ef34de1b3c1bf851f59eb030eaff3e2fb6600a082a23f4c6a82966565b994f9de4a5989d053d9d15d20fc5c43e66358652d93326550a4acc5c5f541bb52e9b455897ab723bd7cbabfe963a406a41d600f3658f7a3135e5ed9fcae7b79bb5857d1e5eb78fcce8595ce0ade2f3ad1d9f2d62be7bc4660d83166ce24586489b7da9ee9883eaf0b9efabb5dd3cbba565cc4aab5c9c46c9fa7e9cda310afcc5e8adcd9e48d0597ec5f8174a52c3bebb3e845eeb1d18904fbf4cc14cd117080098e10022ddf55e017a9431446acad8560de0ba1e477af9f8a3048bc6196350adad0cc0cb4ab99b5e7c9944437a3c674a038009220684ced7be07b4f
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

  • x-amz-meta-signature-algorithm

    A continuación se muestra un ejemplo de valor del algoritmo que se utilizó para generar la firma del resumen:

    SHA256withRSA

Encadenado de archivos de resumen

Dado que cada archivo de resumen contiene una referencia al archivo de resumen anterior, es posible "encadenar"; esto permite utilizar herramientas de validación, como la AWS CLI, para detectar si se ha eliminado un archivo de resumen. También hace posible que los archivos de resumen en un intervalo de tiempo determinado se puedan inspeccionar sucesivamente; se empieza por el más reciente.

nota

Cuando se deshabilita la validación de la integridad de los archivos de registro, la cadena de archivos de resumen se rompe después de una hora. CloudTrail no crea archivos de resumen para archivos de registro que se enviaron durante un periodo en el que no estaba habilitada la validación de la integridad de los archivos de registro. Por ejemplo, si habilita la validación de la integridad de los archivos de registro a las 12:00 del medio día del 1 de enero, la deshabilita el 2 enero a la misma hora y la vuelve a habilitar el 10 de enero, también a la misma hora, no se crearán archivos de resumen para los archivos de registro enviados desde las 12 del medio día del 2 de enero hasta el 10 de enero a la misma hora. Lo mismo sucede cuando se detiene el registro de CloudTrail o se elimina un registro de seguimiento.

Si la política de buckets de S3 de su registro de seguimiento está mal configurada o si CloudTrail sufre una interrupción inesperada del servicio, es posible que no reciba todos los archivos de resumen o algunos de ellos. Para confirmar si su registro de seguimiento presenta algún error en la entrega de resúmenes, ejecute el comando get-trail-status y compruebe si hay errores en el parámetro LatestDigestDeliveryError. Una vez resuelto el problema de entrega (por ejemplo, corrigiendo la política de buckets), CloudTrail intentará volver a entregar los archivos de resumen que falten. Durante el período de reenvío, es posible que los archivos de resumen se entreguen desordenados, por lo que temporalmente podría parecer que la cadena está rota.

Si se detiene la operación de registro o se elimina el registro de seguimiento, CloudTrail enviará un archivo de resumen final. Este archivo de resumen puede contener información sobre los archivos de registro restantes que cubren eventos hasta el evento StopLogging, e inclusive.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.