Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Registro de eventos de administración
De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos registran eventos de administración y no incluyen datos ni eventos de Insights.
Se aplican cargos adicionales por los eventos de datos o de Insights. Para obtener más información, consulte AWS CloudTrail Precios
Contenido
- Eventos de administración
- Eventos de lectura y escritura
- Registrar los eventos de administración con el AWS Management Console
- Registro de eventos de administración con la AWS CLI
- Registro de eventos de administración con la AWS SDKs
Eventos de administración
Los eventos de administración proporcionan visibilidad de las operaciones de administración que se realizan en los recursos de su AWS cuenta. Se denominan también operaciones del plano de control. Algunos ejemplos de eventos de administración son los siguientes:
-
Configuración de la seguridad (por ejemplo, operaciones de la API
AttachRolePolicy
de IAM) -
Registro de dispositivos (por ejemplo, operaciones de la EC2
CreateDefaultVpc
API de Amazon) -
Configuración de reglas para el enrutamiento de datos (por ejemplo, operaciones de la EC2
CreateSubnet
API de Amazon) -
Configurar el registro (por ejemplo, las operaciones AWS CloudTrail
CreateTrail
de la API)
Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en tu cuenta, CloudTrail registra el ConsoleLogin
evento. Para obtener más información, consulte Eventos no generados por la API capturados por CloudTrail.
De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos están configurados para registrar eventos de administración.
nota
La función de historial de CloudTrail eventos solo admite eventos de administración. No puede excluir AWS KMS ni los eventos de la API de datos de Amazon RDS del historial de eventos; los ajustes que aplique a un almacén de datos de eventos o senderos no se aplican al historial de eventos. Para obtener más información, consulte Trabajar con el historial de CloudTrail eventos.
Eventos de lectura y escritura
Cuando configure su registro de seguimiento o almacén de datos de eventos para registrar eventos de administración, puede indicar si desea que se registren eventos de solo lectura, de solo escritura, o ambos.
-
Lectura
Los eventos de solo lectura incluyen los roles de API que leen sus recursos, pero no realizan cambios. Por ejemplo, los eventos de solo lectura incluyen las operaciones de Amazon EC2
DescribeSecurityGroups
yDescribeSubnets
API. Estas operaciones solo devuelven información sobre tus EC2 recursos de Amazon y no cambian tus configuraciones. -
Escritura
Los eventos de solo escritura incluyen funciones de API que modifican (o podrían modificar) sus recursos. Por ejemplo, las operaciones de Amazon EC2
RunInstances
yTerminateInstances
API modifican tus instancias.
Ejemplo: Registro de eventos de lectura y escritura en registros de seguimiento individuales
El ejemplo siguiente muestra cómo puede configurar registros de seguimiento para dividir la actividad de registro de una cuenta en diferentes buckets de S3: un bucket recibe los eventos de solo lectura y un segundo bucket, aquellos de solo escritura.
-
Usted crea un registro de seguimiento y elige un bucket de S3 llamado
amzn-s3-demo-bucket1
para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración de Read (Lectura). -
Usted crea un segundo registro de seguimiento y elige un bucket de S3 denominado
amzn-s3-demo-bucket2
para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración de escritura. -
Las operaciones de Amazon EC2
DescribeInstances
yTerminateInstances
API se realizan en tu cuenta. -
La operación de API
DescribeInstances
es un evento de solo lectura y coincide con la configuración del primer registro de seguimiento. El registro de seguimiento registra y envía el evento aamzn-s3-demo-bucket1
. -
La operación de API
TerminateInstances
es un evento de solo escritura y coincide con la configuración del segundo registro de seguimiento. El registro de seguimiento registra y envía el evento aamzn-s3-demo-bucket2
.
Registrar los eventos de administración con el AWS Management Console
En esta sección se describe cómo actualizar la configuración de los eventos de administración de un banco de datos de senderos o eventos existente.
Temas
Actualización de la configuración de los eventos de gestión de un sendero existente
Utilice el siguiente procedimiento para actualizar la configuración de los eventos de gestión de un sendero existente.
-
Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/
. -
Abre la página Rutas de la CloudTrail consola y elige el nombre de la ruta.
-
En Management events (Eventos de administración), elija Edit (Editar).
-
Elige si quieres registrar los eventos de lectura, de escritura o ambos.
-
Elija Excluir AWS KMS eventos para filtrar AWS Key Management Service (AWS KMS) los eventos de su TRAil. La configuración predeterminada es incluir todos los AWS KMS eventos.
La opción de registrar o excluir AWS KMS eventos solo está disponible si registra los eventos de administración en su ruta. Si decide no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.
AWS KMS acciones como
Encrypt
Decrypt
, yGenerateDataKey
suelen generar un gran volumen (más del 99%) de eventos. Estas acciones se registran ahora como eventos de lectura. AWS KMS Las acciones relevantes de bajo volumen, comoDisable
Delete
, yScheduleKey
(que normalmente representan menos del 0,5% del volumen de AWS KMS eventos) se registran como eventos de escritura.Para excluir eventos de gran volumen
Encrypt
, comoDecrypt
, yGenerateDataKey
, sin dejar de registrar eventos relevantesDisable
, comoDelete
yScheduleKey
, elija registrar eventos de administración de escritura y desactive la casilla Excluir eventos. AWS KMS -
Elija Exclude Amazon RDS Data API events (Excluir eventos de API de datos de Amazon RDS) para quitar del registro de seguimiento los eventos de API de datos de Amazon Relational Database Service. La configuración predeterminada es incluir a todos los eventos de la API de datos de Amazon RDS. A fin de obtener más información sobre los eventos de API de datos de Amazon RDS, consulte Registro de llamadas a la API de datos con AWS CloudTrail en la Guía del usuario de Amazon RDS para Aurora.
-
-
Cuando haya terminado, seleccione Guardar cambios.
Actualizar la configuración de eventos de administración de un banco de datos de eventos existente
-
Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/
. -
Abra la página de almacenes de datos de eventos de la CloudTrail consola y elija el nombre del almacén de datos de eventos.
-
Para la administración de eventos, elija Editar y, a continuación, configure los siguientes ajustes:
-
Elija entre la recopilación de eventos simple o la recopilación de eventos avanzada:
-
Elija Recopilación de eventos simple si desea registrar todos los eventos, registrar solo los eventos de lectura o registrar solo los eventos de escritura. También puede optar por excluir los eventos AWS Key Management Service de administración de Amazon RDS Data API.
-
Elija Recopilación avanzada de eventos si desea incluir o excluir eventos de administración en función de los valores de los campos del selector de eventos avanzado, incluidos los
userIdentity.arn
camposeventName
eventType
,eventSource
, y.
-
-
Si seleccionó la recopilación de eventos simple, elija si desea registrar todos los eventos, registrar solo los eventos de lectura o registrar solo los eventos de escritura. También puede optar por excluir los eventos AWS KMS de administración de Amazon RDS.
-
Si seleccionó la recopilación avanzada de eventos, realice las siguientes selecciones:
-
En la plantilla de selector de registros, elija una plantilla o Personalizada para crear una configuración personalizada basada en los valores de los campos del selector de eventos avanzado.
-
(Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo para un selector de eventos avanzado, como «Registrar los eventos de administración de AWS Management Console las sesiones». El nombre del selector aparece como
Name
en el selector de eventos avanzado y se puede ver si se amplía la vista JSON. -
Si ha elegido Personalizado, en los selectores de eventos avanzados se crea una expresión basada en los valores de los campos del selector de eventos avanzado.
nota
Los selectores no admiten el uso de caracteres comodín como.
*
Para hacer coincidir varios valores con una sola condición, puede usarStartsWith
,EndsWith
NotStartsWith
, oNotEndsWith
hacer coincidir explícitamente el principio o el final del campo de evento.-
Elija uno de los siguientes campos.
-
readOnly
— sereadOnly
puede configurar para que sea igual a un valor detrue
ofalse
. Cuando se establece enfalse
, el almacén de datos de eventos registra los eventos de administración de solo escritura. Los eventos de administración de solo lectura son eventos que no cambian el estado de un recurso, como los eventos.Get*
Describe*
Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventosPut*
,Delete*
oWrite*
. Para registrar los eventos de lectura y escritura, no añada unreadOnly
selector. -
eventName
—eventName
puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de administración, comoCreateAccessPoint
oGetAccessPoint
. -
userIdentity.arn
— Incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte Elemento userIdentity de CloudTrail . -
sessionCredentialFromConsole
— Incluir o excluir eventos que se originan en una AWS Management Console sesión. Este campo se puede configurar como igual o no igual con un valor detrue
. -
eventSource
— Puede usarlo para incluir o excluir fuentes de eventos específicas. Por lo general,eventSource
es una forma abreviada del nombre del servicio sin espacios más.amazonaws.com
. Por ejemplo, puedes configurar equal toeventSource
ec2.amazonaws.com
para registrar solo los eventos EC2 de administración de Amazon. -
eventType
— El EventType que se va a incluir o excluir. Por ejemplo, puede establecer este campo como no igualAwsServiceEvent
para excluir Servicio de AWS eventos.
-
-
En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
Para obtener información sobre cómo CloudTrail se evalúan varias condiciones, consulte¿Cómo CloudTrail evalúa las condiciones múltiples de un campo.
nota
Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como
eventName
. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector. -
Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
-
-
De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.
-
-
Seleccione Activar la captura de eventos de Insights para activar Insights. Para habilitar Insights, debe configurar un almacén de datos de eventos de destino para recopilar los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos.
Si decide habilitar Insights, haga lo siguiente.
-
Elija la tienda de eventos de destino que registrará los eventos de Insights. El almacén de datos de eventos de destino recopilará los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos. Para obtener información acerca de cómo crear un almacén de datos de eventos de destino, consulte Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights.
-
Elija los tipos de Insights. Puede elegir la tasa de llamadas a la API, la tasa de errores de la API o ambas. Debe registrar los eventos de administración de escritura para registrar los eventos de Insights para calcular la tasa de llamadas a la API. Debe registrar los eventos de administración de lectura o escritura para registrar los eventos de Insights para calcular la tasa de errores de la API.
-
-
-
Cuando haya terminado, seleccione Guardar cambios.
Registro de eventos de administración con la AWS CLI
Puede configurar sus registros de seguimiento o los almacenes de datos de eventos para que registren los eventos de administración con la AWS CLI.
Temas
Ejemplos: Registro de eventos de administración para los registros de seguimiento
Para saber si su registro de seguimiento está registrando los eventos de administración, ejecute el comando get-event-selectors
.
aws cloudtrail get-event-selectors --trail-name
TrailName
El ejemplo siguiente devuelve la configuración predeterminada de un registro de seguimiento. De forma predeterminada, los registros de seguimiento registran todos los eventos de administración, registran los eventos de todos los orígenes de eventos y no registran los eventos de datos.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Puede utilizar selectores de eventos básicos o avanzados para registrar eventos de administración. No puede aplicar selectores de eventos ni selectores de eventos avanzados a un registro de seguimiento. Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes. En las siguientes secciones se proporcionan ejemplos de cómo registrar los eventos de administración mediante selectores de eventos básicos y avanzados.
Temas
Ejemplos: Registro de eventos de administración para registros de seguimiento mediante selectores de eventos avanzados
En el siguiente ejemplo, se crea un selector de eventos avanzado para una ruta cuyo nombre TrailName
incluye eventos de administración de solo lectura y solo de escritura (omitiendo el readOnly
selector), pero excluye eventos (). AWS Key Management Service AWS KMS Como AWS KMS los eventos se consideran eventos de gestión y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración.
Si decide no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.
Para volver a iniciar el registro de AWS KMS eventos en una ruta, quite el eventSource
selector y vuelva a ejecutar el comando.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource
, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
El siguiente ejemplo crea un selector de eventos avanzado para una ruta cuyo nombre TrailName
incluye eventos de administración de solo lectura y solo escritura (omitiendo el readOnly
selector), pero excluye los eventos de administración de Amazon RDS Data API. A fin de excluir eventos de administración de la API de datos de Amazon RDS, especifique el origen de los eventos de la API de datos de Amazon RDS en el valor de cadena del campo eventSource
: rdsdata.amazonaws.com
.
Si elige no registrar eventos de administración, no se registrarán los eventos de administración de la API de datos de Amazon RDS y no podrá cambiar la configuración del registro de eventos de la API de datos de Amazon RDS.
Para comenzar de nuevo a registrar eventos de administración de la API de datos de Amazon RDS en un registro de seguimiento, elimine el selector eventSource
y ejecute de nuevo el comando.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource
, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Ejemplos: Registro de eventos de administración para registros de seguimiento mediante selectores de eventos básicos
Para configurar el registro de seguimiento para que registre los eventos de administración, ejecute el comando put-event-selectors
. El ejemplo siguiente muestra cómo configurar su registro de seguimiento para que incluya todos los eventos de administración para dos objetos de S3. Puede especificar entre 1 y 5 selectores de eventos en los registros de seguimiento. Puede especificar entre 1 y 250 recursos de datos en los registros de seguimiento.
nota
El número máximo de recursos de datos de S3 es 250, independientemente del número de selectores de eventos.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'
El ejemplo siguiente devuelve el selector de eventos configurado para el registro de seguimiento.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] }
Para excluir los eventos AWS Key Management Service (AWS KMS) de los registros de una ruta, ejecute el put-event-selectors
comando y añada el atributo con un valor de. ExcludeManagementEventSources
kms.amazonaws.com
En el siguiente ejemplo, se crea un selector de eventos para una ruta cuyo nombre incluye TrailName
los eventos de administración de solo lectura y solo de escritura, pero los excluye. AWS KMS Como AWS KMS puede generar un gran volumen de eventos, es posible que el usuario de este ejemplo desee limitar los eventos para gestionar el coste de un sendero.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] }
Para excluir los eventos de administración de la API de datos de Amazon RDS del registro de seguimiento, ejecute el comando put-event-selectors
y agregue el atributo ExcludeManagementEventSources
con un valor de rdsdata.amazonaws.com
. El siguiente ejemplo crea un selector de eventos para una ruta cuyo nombre TrailName
incluye eventos de administración de solo lectura y solo escritura, pero excluye los eventos de administración de Amazon RDS Data API. Como la API de datos de Amazon RDS puede generar un gran volumen de eventos de administración, el usuario de este ejemplo debería limitar los eventos para administrar el costo de un registro de seguimiento.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] }
Para volver a iniciar AWS KMS el registro de los eventos de administración de Amazon RDS Data API en una ruta, pase una cadena vacía como el valor deExcludeManagementEventSources
, tal y como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Para registrar AWS KMS los eventos relevantes en una rutaDisable
, Delete
pero excluir los eventos de gran volumenScheduleKey
, comoEncrypt
, y Decrypt
GenerateDataKey
, registrar AWS KMS los eventos de administración de solo escritura, y mantener la configuración predeterminada para registrar los AWS KMS eventos, como se muestra en el siguiente ejemplo.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Ejemplos: Registros de eventos de administración para los almacenes de datos de eventos
Los eventos de administración de los almacenes de datos de eventos se registran configurando selectores de eventos avanzados.
Se admiten los siguientes campos selectores de eventos avanzados para registrar los eventos de administración en los almacenes de datos de eventos:
-
eventCategory
— Debe configurarseeventCategory
igual aManagement
para registrar los eventos de administración. Este campo es obligatorio. -
readOnly
— sereadOnly
puede establecer enEquals
un valor detrue
ofalse
. Cuando se establece enfalse
, el almacén de datos de eventos registra los eventos de administración de solo escritura. Los eventos de administración de solo lectura son eventos que no cambian el estado de un recurso, como los eventos.Get*
Describe*
Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventosPut*
,Delete*
oWrite*
. Para registrar los eventos de lectura y escritura, no añada unreadOnly
selector. -
eventName
—eventName
puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de administración, comoCreateAccessPoint
oGetAccessPoint
. Puede utilizar cualquier operador con este campo. -
userIdentity.arn
— Incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte Elemento userIdentity de CloudTrail . -
sessionCredentialFromConsole
— Incluir o excluir eventos que se originan en una AWS Management Console sesión. Este campo se puede establecer en Igual oNotEquals
con un valor detrue
. -
eventSource
— Puede usarlo para incluir o excluir fuentes de eventos específicas. Por lo general,eventSource
es una forma abreviada del nombre del servicio sin espacios más.amazonaws.com
. Por ejemplo, puedes configurareventSource
Equals
que registre soloec2.amazonaws.com
los eventos de EC2 administración de Amazon. -
eventType
— El EventType que se va a incluir o excluir. Por ejemplo, puede configurar este campoNotEquals
AwsServiceEvent
para que excluya Servicio de AWS eventos. Puede utilizar cualquier operador con este campo.
Para ver si el almacén de datos de eventos incluye eventos de administración, ejecute el comando get-event-data-store.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
A continuación, se muestra un ejemplo de respuesta. Las horas de creación y última actualización están en formato timestamp
.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "myManagementEvents", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00", "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00" }
Para crear un almacén de datos de eventos que incluya todos los eventos de administración, ejecute el comando create-event-data-store. No es necesario especificar ningún selector de eventos avanzado para incluir todos los eventos de administración.
aws cloudtrail create-event-data-store --name my-event-data-store --retention-period 90\
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00", "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00" }
Ejemplos:
Ejemplo: excluir eventos AWS KMS de administración
Para crear un banco de datos de eventos que excluya los eventos AWS Key Management Service (AWS KMS), ejecute el create-event-data-store
comando y especifique que eventSource
no sea igualkms.amazonaws.com
. El siguiente ejemplo crea un banco de datos de eventos que incluye eventos de administración de solo lectura y solo escritura, pero excluye los eventos. AWS KMS
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]} ] } ]'
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Ejemplo: Excluir eventos de administración de Amazon RDS
Para crear un almacén de datos de eventos que excluya los eventos de administración de la API de datos de Amazon RDS, ejecute el comando create-event-data-store
y especifique que eventSource
no es igual que rdsdata.amazonaws.com
. En el ejemplo siguiente se crea un almacén de datos de eventos que incluye eventos de administración de solo lectura y de solo escritura, pero excluye los eventos de la API de datos de Amazon RDS.
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]} ] } ]'
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Ejemplo: excluir Servicio de AWS eventos y eventos de las sesiones AWS Management Console
El siguiente ejemplo crea un almacén de datos de eventos que registra los eventos de administración, pero excluye los eventos y Servicio de AWS los eventos que se originan en AWS Management Console las sesiones.
aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[ { "Name": "Exclude Servicio de AWS and console events", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventType","NotEquals": ["AwsServiceEvent"]}, {"Field": "sessionCredentialFromConsole","NotEquals": ["true"]} ] } ]'
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Exclude Servicio de AWS and console events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventType", "NotEquals": [ "AwsServiceEvent" ] }, { "Field": "sessionCredentialFromConsole", "NotEquals": [ "true" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00" }
Ejemplo: excluir los eventos de administración para una identidad de IAM específica
El siguiente ejemplo crea un almacén de datos de eventos que registra los eventos de administración, pero excluye los eventos generados por. bucket-scanner-role
userIdentity
aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[ { "Name": "Exclude events generated by
bucket-scanner-role
userIdentity
", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "userIdentity.arn","NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]} ] } ]'
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Exclude events generated by
bucket-scanner-role
userIdentity
", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "userIdentity.arn", "NotStartsWith": [ "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00" }
Registro de eventos de administración con la AWS SDKs
Utilice la GetEventSelectorsoperación para comprobar si su ruta registra los eventos de gestión de una ruta. Puede configurar sus senderos para registrar los eventos de administración con la PutEventSelectorsoperación. Para obtener más información, consulte la Referencia de la API de AWS CloudTrail.
Ejecute la GetEventDataStoreoperación para comprobar si su almacén de datos de eventos incluye eventos de gestión. Puede configurar sus almacenes de datos de eventos para incluir eventos de administración ejecutando las UpdateEventDataStoreoperaciones CreateEventDataStoreo. Para obtener más información, consulte Cree, actualice y gestione almacenes de datos de eventos con AWS CLI y la AWS CloudTrail API Reference.