Eventos de administración Eventos de lectura y escritura Registrar los eventos de gestión con el AWS Management Console Registro de eventos de administración con la AWS CLI Registro de eventos de administración con la AWS SDKs

Registro de eventos de administración

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos registran eventos de administración y no incluyen datos ni eventos de Insights.

Se aplican cargos adicionales por los eventos de datos o de Insights. Para obtener más información, consulte AWS CloudTrail Precios.

Contenido

Eventos de administración

Los eventos de administración proporcionan visibilidad de las operaciones de administración que se llevan a cabo con los recursos de su AWS cuenta. Se denominan también operaciones del plano de control. Algunos ejemplos de eventos de administración son los siguientes:

Configurar la seguridad (por ejemplo, IAM AttachRolePolicy API las operaciones)
Registro de dispositivos (por ejemplo, EC2 CreateDefaultVpc API operaciones de Amazon)
Configuración de reglas para enrutar datos (por ejemplo, EC2 CreateSubnet API operaciones de Amazon)
Configurar el registro (por ejemplo, AWS CloudTrail CreateTrail API las operaciones)

Los eventos de administración también pueden incluir API eventos ajenos a los que se produzcan en su cuenta. Por ejemplo, cuando un usuario inicia sesión en tu cuenta, CloudTrail registra el ConsoleLogin evento. Para obtener más información, consulte APIEventos no capturados por CloudTrail.

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos están configurados para registrar eventos de administración.

nota

La función de historial de CloudTrail eventos solo admite eventos de administración. No puedes excluir AWS KMS los eventos de Amazon RDS Data del historial de API eventos; los ajustes que apliques a una ruta o un almacén de datos de eventos no se aplican al historial de eventos. Para obtener más información, consulte Trabajar con el historial de CloudTrail eventos.

Eventos de lectura y escritura

Cuando configure su registro de seguimiento o almacén de datos de eventos para registrar eventos de administración, puede indicar si desea que se registren eventos de solo lectura, de solo escritura, o ambos.

Lectura

Los eventos de solo lectura incluyen API operaciones que leen tus recursos, pero no realizan cambios. Por ejemplo, los eventos de solo lectura incluyen Amazon EC2 DescribeSecurityGroups y DescribeSubnets API sus operaciones. Estas operaciones solo devuelven información sobre tus EC2 recursos de Amazon y no cambian tus configuraciones.
Escritura

Los eventos de solo escritura incluyen API las operaciones que modifican (o podrían modificar) tus recursos. Por ejemplo, Amazon EC2 RunInstances y sus TerminateInstances API operaciones modifican tus instancias.

Ejemplo: Registro de eventos de lectura y escritura en registros de seguimiento individuales

El ejemplo siguiente muestra cómo puede configurar registros de seguimiento para dividir la actividad de registro de una cuenta en diferentes buckets de S3: un bucket recibe los eventos de solo lectura y un segundo bucket, aquellos de solo escritura.

Usted crea un registro de seguimiento y elige un bucket de S3 llamado amzn-s3-demo-bucket1 para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración de Read (Lectura).
Usted crea un segundo registro de seguimiento y elige un bucket de S3 denominado amzn-s3-demo-bucket2 para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración de escritura.
Amazon EC2 DescribeInstances y TerminateInstances API las operaciones se realizan en tu cuenta.
La DescribeInstances API operación es un evento de solo lectura y coincide con la configuración de la primera ruta. El sendero registra y envía el evento a. amzn-s3-demo-bucket1
La TerminateInstances API operación es un evento en el que solo se puede escribir y coincide con la configuración de la segunda ruta. El sendero registra y envía el evento a. amzn-s3-demo-bucket2

Registrar los eventos de gestión con el AWS Management Console

Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.
Para actualizar una ruta, abre la página de rutas de la CloudTrail consola y elige el nombre de la ruta.

Para actualizar un banco de datos de eventos, abra la página de almacenes de datos de eventos de la CloudTrail consola y elija el nombre del banco de datos de eventos.
En Management events (Eventos de administración), elija Edit (Editar).
- Seleccione si desea que el registro de seguimiento o el almacén de datos de eventos registren eventos de Lectura, Escritura, o ambos.
- Elija Excluir AWS KMS eventos para filtrar AWS Key Management Service (AWS KMS) los eventos de su almacén de datos de rutas o eventos. La configuración predeterminada es incluir todos los AWS KMS eventos.
  
  La opción de registrar o excluir AWS KMS eventos solo está disponible si registra los eventos de administración en su registro o en el almacén de datos de eventos. Si decide no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.
  
  AWS KMS acciones como EncryptDecrypt, y GenerateDataKey suelen generar un gran volumen (más del 99%) de eventos. Estas acciones se registran ahora como eventos de lectura. AWS KMS Las acciones relevantes de bajo volumen, como DisableDelete, y ScheduleKey (que normalmente representan menos del 0,5% del volumen de AWS KMS eventos) se registran como eventos de escritura.
  
  Para excluir eventos de gran volumenEncrypt, comoDecrypt, yGenerateDataKey, sin dejar de registrar eventos relevantesDisable, como Delete yScheduleKey, elija registrar eventos de administración de escritura y desactive la casilla Excluir eventos. AWS KMS
- Elija Excluir API eventos de Amazon RDS Data para filtrar los eventos de datos de Amazon Relational Database Service API de su almacén de datos de rutas o eventos. La configuración predeterminada es incluir todos los API eventos de Amazon RDS Data. Para obtener más información sobre RDS los API eventos de Amazon Data, consulte Registro de API llamadas de datos AWS CloudTrail en la Guía del RDS usuario de Amazon para Aurora.
Cuando haya terminado, seleccione Guardar cambios.

Registro de eventos de administración con la AWS CLI

Puede configurar sus registros de seguimiento o los almacenes de datos de eventos para que registren los eventos de administración con la AWS CLI.

Temas

Ejemplos: Registro de eventos de administración para los registros de seguimiento
Ejemplos: Registros de eventos de administración para los almacenes de datos de eventos

Ejemplos: Registro de eventos de administración para los registros de seguimiento

Para saber si su registro de seguimiento está registrando los eventos de administración, ejecute el comando get-event-selectors.


aws cloudtrail get-event-selectors --trail-name TrailName

El ejemplo siguiente devuelve la configuración predeterminada de un registro de seguimiento. De forma predeterminada, los registros de seguimiento registran todos los eventos de administración, registran los eventos de todos los orígenes de eventos y no registran los eventos de datos.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ]
}

Puede utilizar selectores de eventos básicos o avanzados para registrar los eventos de administración. No puede aplicar selectores de eventos ni selectores de eventos avanzados a un registro de seguimiento. Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes. En las siguientes secciones se proporcionan ejemplos de cómo registrar los eventos de administración mediante selectores de eventos avanzados y selectores de eventos básicos.

Temas

Ejemplos: registrar los eventos de administración de los senderos mediante selectores de eventos avanzados
Ejemplos: registrar los eventos de administración de los senderos mediante selectores de eventos básicos

Ejemplos: registrar los eventos de administración de los senderos mediante selectores de eventos avanzados

En el siguiente ejemplo, se crea un selector de eventos avanzado para un sendero denominado TrailName para incluir eventos de administración de solo lectura y solo de escritura (omitiendo el readOnly selector), pero para excluir los eventos (). AWS Key Management Service AWS KMS Como AWS KMS los eventos se tratan como eventos de gestión y pueden tener un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración.

Si decide no registrar los eventos de administración, los AWS KMS eventos no se registrarán y no podrá cambiar la configuración AWS KMS del registro de eventos.

Para volver a iniciar el registro de AWS KMS eventos en una ruta, quite el eventSource selector y vuelva a ejecutar el comando.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except KMS events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
    ]
  }
]'

El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except KMS events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "kms.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

En el siguiente ejemplo, se crea un selector de eventos avanzado para una ruta denominada TrailName para incluir eventos de administración de solo lectura y solo de escritura (omitiendo el readOnly selector), pero para excluir los eventos de administración de Amazon Data. RDS API Para excluir los eventos API de administración de Amazon RDS Data, especifique la fuente del API evento de Amazon RDS Data en el valor de cadena del eventSource campo:rdsdata.amazonaws.com.

Si decide no registrar los eventos de administración, los eventos de API administración de Amazon RDS Data no se registran y no puede cambiar la configuración del registro de API eventos de Amazon RDS Data.

Para volver a iniciar el registro de los eventos de API gestión de Amazon RDS Data en una ruta, quite el eventSource selector y ejecute el comando de nuevo.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except Amazon RDS Data API management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
    ]
  }
]'

El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except Amazon RDS Data API management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "rdsdata.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

Ejemplos: registrar los eventos de administración de los senderos mediante selectores de eventos básicos

Para configurar el registro de seguimiento para que registre los eventos de administración, ejecute el comando put-event-selectors. El ejemplo siguiente muestra cómo configurar su registro de seguimiento para que incluya todos los eventos de administración para dos objetos de S3. Puede especificar entre 1 y 5 selectores de eventos en los registros de seguimiento. Puede especificar entre 1 y 250 recursos de datos en los registros de seguimiento.

nota

El número máximo de recursos de datos de S3 es 250, independientemente del número de selectores de eventos.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'

El ejemplo siguiente devuelve el selector de eventos configurado para el registro de seguimiento.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Type": "AWS::S3::Object",
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ]  
                }
            ],
            "ExcludeManagementEventSources": []
        }
    ]
}

Para excluir los eventos AWS Key Management Service (AWS KMS) de los registros de una ruta, ejecute el put-event-selectors comando y añada el atributo ExcludeManagementEventSources con un valor dekms.amazonaws.com. En el siguiente ejemplo, se crea un selector de eventos para un sendero denominado TrailName para incluir eventos de administración de solo lectura y solo de escritura, pero excluirlos. AWS KMS Como AWS KMS pueden generar un gran volumen de eventos, es posible que el usuario de este ejemplo desee limitar los eventos para gestionar el coste de una ruta.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'

El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "kms.amazonaws.com"
            ]
        }
    ]
}

Para excluir los eventos de Amazon RDS Data API Management de los registros de una ruta, ejecute el put-event-selectors comando y añada el atributo ExcludeManagementEventSources con un valor derdsdata.amazonaws.com. En el siguiente ejemplo, se crea un selector de eventos para un sendero denominado TrailName para incluir eventos de administración de solo lectura y solo de escritura, pero excluir los eventos de administración de Amazon RDS Data. API Dado que Amazon RDS Data API puede generar un gran volumen de eventos de administración, es posible que el usuario de este ejemplo desee limitar los eventos para gestionar el coste de una ruta.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "rdsdata.amazonaws.com"
            ]
        }
    ]
}

Para volver a iniciar AWS KMS el registro de los eventos de Amazon RDS Data API Management en una ruta, pase una cadena vacía como el valor deExcludeManagementEventSources, tal y como se muestra en el siguiente comando.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Para registrar AWS KMS los eventos relevantes en una ruta similar DisableScheduleKey, Delete pero excluir los AWS KMS eventos de gran volumenEncrypt, como, por ejemplo DecryptGenerateDataKey, registrar los eventos de administración de solo escritura y mantener la configuración predeterminada para registrar los AWS KMS eventos, como se muestra en el siguiente ejemplo.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Ejemplos: Registros de eventos de administración para los almacenes de datos de eventos

Para ver si el almacén de datos de eventos incluye eventos de administración, ejecute el comando get-event-data-store.


aws cloudtrail get-event-data-store
--event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

A continuación, se muestra un ejemplo de respuesta. Las horas de creación y última actualización están en formato timestamp.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "myManagementEvents",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00",
    "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00"
}

Para crear un almacén de datos de eventos que incluya todos los eventos de administración, ejecute el comando create-event-data-store. No es necesario especificar ningún selector de eventos avanzado para incluir todos los eventos de administración.


aws cloudtrail create-event-data-store
--name my-event-data-store
--retention-period 90\

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00",
    "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00"
}

Para crear un banco de datos de eventos que excluya AWS Key Management Service (AWS KMS) los eventos, ejecute el create-event-data-store comando y especifique que no sea eventSource igual. kms.amazonaws.com El siguiente ejemplo crea un banco de datos de eventos que incluye eventos de administración de solo lectura y solo escritura, pero excluye los eventos. AWS KMS


aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]}
        ]
    }
]'

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "kms.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

Para crear un almacén de datos de eventos que excluya los eventos API de administración de Amazon RDS Data, ejecute el create-event-data-store comando y especifique que eventSource no es igualrdsdata.amazonaws.com. El siguiente ejemplo crea un banco de datos de eventos que incluye eventos de administración de solo lectura y solo escritura, pero excluye los eventos de Amazon Data. RDS API


aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]}
        ]
    }
]'

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "rdsdata.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

Registro de eventos de administración con la AWS SDKs

Utilice la GetEventSelectorsoperación para comprobar si su ruta está registrando los eventos de gestión de una ruta. Puede configurar sus senderos para que registren los eventos de administración con la PutEventSelectorsoperación. Para obtener más información, consulte la AWS CloudTrail APIReferencia.

Ejecute la GetEventDataStoreoperación para comprobar si el banco de datos de eventos incluye eventos de administración. Puede configurar sus almacenes de datos de eventos para incluir eventos de administración ejecutando las UpdateEventDataStoreoperaciones CreateEventDataStoreo. Para obtener más información, consulte Cree, actualice y gestione almacenes de datos de eventos con AWS CLI y la AWS CloudTrail APIReferencia.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Comprensión de CloudTrail los eventos

Eventos de datos