Cree un banco de datos de eventos con AWS CLI - AWS CloudTrail
Cree un almacén de datos de eventos para los eventos de datos de S3 con el AWS CLICree un almacén de datos de eventos para los eventos de actividad de la red de KMS con AWS CLICree un banco de datos de eventos para los elementos de AWS Config configuración con AWS CLICree un banco de datos de eventos de la organización para los eventos de administración con AWS CLICree almacenes de datos de eventos para los eventos de Insights con AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree un banco de datos de eventos con AWS CLI

En esta sección se describe cómo usar el comando create-event-data-store para crear un almacén de datos de eventos y se ofrecen ejemplos de los distintos tipos de almacenes de datos de eventos que se pueden crear.

Cuando crea un almacén de datos de eventos, el único parámetro requerido es --name que se utiliza para identificar el almacén de datos de eventos. Puede configurar parámetros opcionales adicionales, que incluyen:

  • --advanced-event-selectors: especifica el tipo de eventos que desea incluir en el almacén de datos de eventos. De forma predeterminada, los almacenes de datos de eventos registran eventos de administración. Para obtener más información sobre los selectores de eventos avanzados, consulta AdvancedEventSelectorla referencia de la CloudTrail API.

  • --kms-key-id- Especifica el ID de clave de KMS que se utilizará para cifrar los eventos enviados por. CloudTrail El valor puede ser un nombre de alias con un prefijo de alias/, un ARN totalmente especificado a un alias, un ARN totalmente especificado a una clave o un identificador único global.

  • --multi-region-enabled- Crea un almacén de datos de eventos multirregional que registra los eventos de toda tu Regiones de AWS cuenta. De forma predeterminada, --multi-region-enabled está configurada, aunque no se agregue el parámetro.

  • --organization-enabled: habilita a un almacén de datos de eventos para que recopile los eventos de todas las cuentas de una organización. De forma predeterminada, el almacén de datos de eventos no está habilitado para todas las cuentas de una organización.

  • --billing-mode: determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención máximo y predeterminado del almacén de datos de eventos.

    A continuación se muestran los posibles valores:

    • EXTENDABLE_RETENTION_PRICING: por lo general, se recomienda este modo de facturación si consume menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 3653 días (unos 10 años). El periodo de retención predeterminado para este modo de facturación es de 366 días.

    • FIXED_RETENTION_PRICING: se recomienda este modo de facturación si piensa incorporar más de 25 TB de datos de eventos al mes y necesita un periodo de retención de hasta 2557 días (unos 7 años). El periodo de retención predeterminado para este modo de facturación es de 2557 días.

    El valor predeterminado es EXTENDABLE_RETENTION_PRICING.

  • --retention-period: la cantidad de días que se van a conservar los eventos en el almacén de datos de eventos. Los valores válidos son enteros entre 7 y 3653 si el --billing-mode es EXTENDABLE_RETENTION_PRICING, o entre 7 y 2557 si el --billing-mode está establecido en FIXED_RETENTION_PRICING. Si no lo especificas--retention-period, CloudTrail utiliza el período de retención predeterminado para. --billing-mode

  • --start-ingestion: el parámetro --start-ingestion inicia la incorporación de eventos en el almacén de datos de eventos cuando se crea. Este parámetro se establece aunque no se agregue.

    Especifique --no-start-ingestion si no quiere que el almacén de datos de eventos incorpore eventos en vivo. Por ejemplo, es posible que desee establecer este parámetro si está copiando eventos al almacén de datos de eventos y solo piensa usar los datos de eventos para analizar los eventos pasados. El parámetro --no-start-ingestion solo es válido cuando la eventCategory es Management, Data o ConfigurationItem.

En los siguientes ejemplos, se muestra cómo crear diferentes tipos de almacenes de datos de eventos.

Cree un almacén de datos de eventos para los eventos de datos de S3 con el AWS CLI

El siguiente create-event-data-store comando example AWS Command Line Interface (AWS CLI) crea un almacén de datos de eventos denominado my-event-data-store que selecciona todos los eventos de datos de Amazon S3 y se cifra con una clave de KMS.

aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
            ]
        }
    ]'

A continuación, se muestra un ejemplo de respuesta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
    "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}

Cree un almacén de datos de eventos para los eventos de actividad de la red de KMS con AWS CLI

En el siguiente ejemplo se muestra cómo crear un banco de datos de eventos para el que se incluyan los eventos de actividad de la VpceAccessDenied red AWS KMS. En este ejemplo, se establece el campo errorCode igual a los eventos VpceAccessDenied y el campo eventSource igual a kms.amazonaws.com.

aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
     {
        "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
        "FieldSelectors": [
            {
                "Field": "eventCategory",
                "Equals": ["NetworkActivity"]
            },
            {
                "Field": "eventSource",
                "Equals": ["kms.amazonaws.com"]
            },
            {
                "Field": "errorCode",
                "Equals": ["VpceAccessDenied"]
            }
        ]
    }
]'

El comando devuelve el siguiente resultado de ejemplo.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "NetworkActivity"
                    ]
                },
                {
                    "Field": "eventSource",
                    "Equals": [
                        "kms.amazonaws.com"
                    ]
                },
                {
                    "Field": "errorCode",
                    "Equals": [
                        "VpceAccessDenied"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}

Para obtener más información sobre los eventos de actividad de la red, consulte Registro de eventos de actividad de la red.

Cree un banco de datos de eventos para los elementos de AWS Config configuración con AWS CLI

El siguiente AWS CLI create-event-data-store comando de ejemplo crea un almacén de datos de eventos cuyo nombre selecciona config-items-eds los elementos AWS Config de configuración. Para recopilar los elementos de configuración, especifique que el campo eventCategory iguala a ConfigurationItem en los selectores de eventos avanzados.

aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

A continuación, se muestra un ejemplo de respuesta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "config-items-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select AWS Config configuration items",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "ConfigurationItem"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
    "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}

Cree un banco de datos de eventos de la organización para los eventos de administración con AWS CLI

El siguiente AWS CLI create-event-data-store comando de ejemplo crea un banco de datos de eventos de la organización que recopila todos los eventos de administración y establece el --billing-mode parámetro enFIXED_RETENTION_PRICING.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING

A continuación, se muestra un ejemplo de respuesta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

Cree almacenes de datos de eventos para los eventos de Insights con AWS CLI

Para registrar los eventos de Insights en CloudTrail Lake, necesita un banco de datos de eventos de destino que recopile los eventos de Insights y un banco de datos de eventos de origen que habilite Insights y registre los eventos de administración.

Este procedimiento le muestra cómo crear los almacenes de datos de eventos de origen y destino y, a continuación, habilitar los eventos de Insights.

  1. Ejecute el comando aws cloudtrail create-event-data-store para crear un almacén de datos de eventos de destino que recopile los eventos de Insights. El valor para eventCategory debe ser Insight. retention-period-daysSustitúyalo por el número de días que deseas conservar los eventos en tu almacén de datos de eventos. Los valores válidos son enteros entre 7 y 3653 si el --billing-mode es EXTENDABLE_RETENTION_PRICING, o entre 7 y 2557 si el --billing-mode está establecido en FIXED_RETENTION_PRICING. Si no lo especificas--retention-period, CloudTrail utiliza el período de retención predeterminado para el--billing-mode.

    Si ha iniciado sesión con la cuenta de administración de una AWS Organizations organización, incluya el --organization-enabled parámetro si quiere dar a su administrador delegado acceso al almacén de datos del evento.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    A continuación, se muestra un ejemplo de respuesta.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}

    Utilizará el ARN (o el sufijo ID del ARN) de la respuesta como valor del parámetro --insights-destination en el paso 3.

  2. Ejecute el comando aws cloudtrail create-event-data-store para crear un almacén de datos de eventos de origen que registre los eventos de administración. De forma predeterminada, los almacenes de datos de eventos registran eventos de administración. No es necesario que especifique ningún selector de eventos avanzado si desea registrar todos los eventos de administración. retention-period-daysSustitúyalo por el número de días que deseas conservar los eventos en tu almacén de datos de eventos. Los valores válidos son enteros entre 7 y 3653 si el --billing-mode es EXTENDABLE_RETENTION_PRICING, o entre 7 y 2557 si el --billing-mode está establecido en FIXED_RETENTION_PRICING. Si no lo especificas--retention-period, CloudTrail utiliza el período de retención predeterminado para el--billing-mode. Si va a crear un almacén de datos de eventos de la organización, incluya el parámetro --organization-enabled.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    A continuación, se muestra un ejemplo de respuesta.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}

    Utilizará el ARN (o el sufijo ID del ARN) de la respuesta como valor del parámetro --event-data-store en el paso 3.

  3. Ejecute el comando put-insight-selectors para habilitar los eventos de Insights. Los valores del selector de insights pueden ser ApiCallRateInsight, ApiErrorRateInsight o ambos. Para el parámetro --event-data-store, especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos de origen que registra los eventos de administración y habilitará Insights. Para el parámetro --insights-destination, especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos de destino que registrará los eventos de Insights.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    En el siguiente resultado, se muestra el selector de eventos de Insights configurado para el almacén de datos de eventos.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    Tras activar CloudTrail Insights por primera vez en un almacén de datos de eventos, CloudTrail pueden tardar hasta 7 días en empezar a distribuirse los eventos de Insights, siempre que se detecte una actividad inusual durante ese tiempo.

    CloudTrail Insights analiza los eventos de gestión que se producen en una sola región, no a nivel mundial. Un evento de CloudTrail Insights se genera en la misma región en la que se generan los eventos de gestión que lo respaldan.

    En el caso de un banco de datos de eventos de la organización, CloudTrail analiza los eventos de gestión de la cuenta de cada miembro en lugar de analizar la agregación de todos los eventos de gestión de la organización.

Se aplican cargos adicionales por la ingesta de eventos de Insights en CloudTrail Lake. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener información sobre CloudTrail los precios, consulte AWS CloudTrail Precios.