Registro de eventos de administración - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro de eventos de administración

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos registran eventos de administración y no incluyen datos ni eventos de Insights.

Se aplican cargos adicionales por los eventos de datos o de Insights. Para obtener más información, consulte AWS CloudTrail Precios.

Eventos de administración

Los eventos de administración proporcionan visibilidad de las operaciones de administración que se realizan en los recursos de su AWS cuenta. Se denominan también operaciones del plano de control. Algunos ejemplos de eventos de administración son los siguientes:

  • Configuración de la seguridad (por ejemplo, operaciones de la API AttachRolePolicy de IAM)

  • Registro de dispositivos (por ejemplo, operaciones de la EC2 CreateDefaultVpc API de Amazon)

  • Configuración de reglas para el enrutamiento de datos (por ejemplo, operaciones de la EC2 CreateSubnet API de Amazon)

  • Configurar el registro (por ejemplo, las operaciones AWS CloudTrail CreateTrail de la API)

Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en tu cuenta, CloudTrail registra el ConsoleLogin evento. Para obtener más información, consulte Eventos no generados por la API capturados por CloudTrail.

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos están configurados para registrar eventos de administración.

nota

La función de historial de CloudTrail eventos solo admite eventos de administración. No puede excluir AWS KMS ni los eventos de la API de datos de Amazon RDS del historial de eventos; los ajustes que aplique a un almacén de datos de eventos o senderos no se aplican al historial de eventos. Para obtener más información, consulte Trabajar con el historial de CloudTrail eventos.

Eventos de lectura y escritura

Cuando configure su registro de seguimiento o almacén de datos de eventos para registrar eventos de administración, puede indicar si desea que se registren eventos de solo lectura, de solo escritura, o ambos.

  • Lectura

    Los eventos de solo lectura incluyen los roles de API que leen sus recursos, pero no realizan cambios. Por ejemplo, los eventos de solo lectura incluyen las operaciones de Amazon EC2 DescribeSecurityGroups y DescribeSubnets API. Estas operaciones solo devuelven información sobre tus EC2 recursos de Amazon y no cambian tus configuraciones.

  • Escritura

    Los eventos de solo escritura incluyen funciones de API que modifican (o podrían modificar) sus recursos. Por ejemplo, las operaciones de Amazon EC2 RunInstances y TerminateInstances API modifican tus instancias.

Ejemplo: Registro de eventos de lectura y escritura en registros de seguimiento individuales

El ejemplo siguiente muestra cómo puede configurar registros de seguimiento para dividir la actividad de registro de una cuenta en diferentes buckets de S3: un bucket recibe los eventos de solo lectura y un segundo bucket, aquellos de solo escritura.

  1. Usted crea un registro de seguimiento y elige un bucket de S3 llamado amzn-s3-demo-bucket1 para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración de Read (Lectura).

  2. Usted crea un segundo registro de seguimiento y elige un bucket de S3 denominado amzn-s3-demo-bucket2 para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración de escritura.

  3. Las operaciones de Amazon EC2 DescribeInstances y TerminateInstances API se realizan en tu cuenta.

  4. La operación de API DescribeInstances es un evento de solo lectura y coincide con la configuración del primer registro de seguimiento. El registro de seguimiento registra y envía el evento a amzn-s3-demo-bucket1.

  5. La operación de API TerminateInstances es un evento de solo escritura y coincide con la configuración del segundo registro de seguimiento. El registro de seguimiento registra y envía el evento a amzn-s3-demo-bucket2.

Registrar los eventos de administración con el AWS Management Console

En esta sección se describe cómo actualizar la configuración de los eventos de administración de un banco de datos de senderos o eventos existente.

Actualización de la configuración de los eventos de gestión de un sendero existente

Utilice el siguiente procedimiento para actualizar la configuración de los eventos de gestión de un sendero existente.

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. Abre la página Rutas de la CloudTrail consola y elige el nombre de la ruta.

  3. En Management events (Eventos de administración), elija Edit (Editar).

    • Elige si quieres registrar los eventos de lectura, de escritura o ambos.

    • Elija Excluir AWS KMS eventos para filtrar AWS Key Management Service (AWS KMS) los eventos de su TRAil. La configuración predeterminada es incluir todos los AWS KMS eventos.

      La opción de registrar o excluir AWS KMS eventos solo está disponible si registra los eventos de administración en su ruta. Si decide no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.

      AWS KMS acciones como EncryptDecrypt, y GenerateDataKey suelen generar un gran volumen (más del 99%) de eventos. Estas acciones se registran ahora como eventos de lectura. AWS KMS Las acciones relevantes de bajo volumen, como DisableDelete, y ScheduleKey (que normalmente representan menos del 0,5% del volumen de AWS KMS eventos) se registran como eventos de escritura.

      Para excluir eventos de gran volumenEncrypt, comoDecrypt, yGenerateDataKey, sin dejar de registrar eventos relevantesDisable, como Delete yScheduleKey, elija registrar eventos de administración de escritura y desactive la casilla Excluir eventos. AWS KMS

    • Elija Exclude Amazon RDS Data API events (Excluir eventos de API de datos de Amazon RDS) para quitar del registro de seguimiento los eventos de API de datos de Amazon Relational Database Service. La configuración predeterminada es incluir a todos los eventos de la API de datos de Amazon RDS. A fin de obtener más información sobre los eventos de API de datos de Amazon RDS, consulte Registro de llamadas a la API de datos con AWS CloudTrail en la Guía del usuario de Amazon RDS para Aurora.

  4. Cuando haya terminado, seleccione Guardar cambios.

Actualizar la configuración de eventos de administración de un banco de datos de eventos existente

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. Abra la página de almacenes de datos de eventos de la CloudTrail consola y elija el nombre del almacén de datos de eventos.

  3. Para la administración de eventos, elija Editar y, a continuación, configure los siguientes ajustes:

    1. Elija entre la recopilación de eventos simple o la recopilación de eventos avanzada:

      • Elija Recopilación de eventos simple si desea registrar todos los eventos, registrar solo los eventos de lectura o registrar solo los eventos de escritura. También puede optar por excluir los eventos AWS Key Management Service de administración de Amazon RDS Data API.

      • Elija Recopilación avanzada de eventos si desea incluir o excluir eventos de administración en función de los valores de los campos del selector de eventos avanzado, incluidos los userIdentity.arn campos eventNameeventType,eventSource, y.

    2. Si seleccionó la recopilación de eventos simple, elija si desea registrar todos los eventos, registrar solo los eventos de lectura o registrar solo los eventos de escritura. También puede optar por excluir los eventos AWS KMS de administración de Amazon RDS.

    3. Si seleccionó la recopilación avanzada de eventos, realice las siguientes selecciones:

      1. En la plantilla de selector de registros, elija una plantilla o Personalizada para crear una configuración personalizada basada en los valores de los campos del selector de eventos avanzado.

      2. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo para un selector de eventos avanzado, como «Registrar los eventos de administración de AWS Management Console las sesiones». El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.

      3. Si ha elegido Personalizado, en los selectores de eventos avanzados se crea una expresión basada en los valores de los campos del selector de eventos avanzado.

        nota

        Los selectores no admiten el uso de caracteres comodín como. * Para hacer coincidir varios valores con una sola condición, puede usarStartsWith, EndsWithNotStartsWith, o NotEndsWith hacer coincidir explícitamente el principio o el final del campo de evento.

        1. Elija uno de los siguientes campos.

          • readOnly— se readOnly puede configurar para que sea igual a un valor de true ofalse. Cuando se establece enfalse, el almacén de datos de eventos registra los eventos de administración de solo escritura. Los eventos de administración de solo lectura son eventos que no cambian el estado de un recurso, como los eventos. Get* Describe* Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar los eventos de lectura y escritura, no añada un readOnly selector.

          • eventNameeventName puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de administración, como CreateAccessPoint oGetAccessPoint.

          • userIdentity.arn— Incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte Elemento userIdentity de CloudTrail .

          • sessionCredentialFromConsole— Incluir o excluir eventos que se originan en una AWS Management Console sesión. Este campo se puede configurar como igual o no igual con un valor detrue.

          • eventSource— Puede usarlo para incluir o excluir fuentes de eventos específicas. Por lo general, eventSource es una forma abreviada del nombre del servicio sin espacios más.amazonaws.com. Por ejemplo, puedes configurar equal to eventSource ec2.amazonaws.com.rproxy.goskope.compara registrar solo los eventos EC2 de administración de Amazon.

          • eventType— El EventType que se va a incluir o excluir. Por ejemplo, puede establecer este campo como no igual AwsServiceEvent para excluir Servicio de AWS eventos.

        2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.

          Para obtener información sobre cómo CloudTrail se evalúan varias condiciones, consulte¿Cómo CloudTrail evalúa las condiciones múltiples de un campo.

          nota

          Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.

        3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.

      4. De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.

    4. Seleccione Activar la captura de eventos de Insights para activar Insights. Para habilitar Insights, debe configurar un almacén de datos de eventos de destino para recopilar los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos.

      Si decide habilitar Insights, haga lo siguiente.

      1. Elija la tienda de eventos de destino que registrará los eventos de Insights. El almacén de datos de eventos de destino recopilará los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos. Para obtener información acerca de cómo crear un almacén de datos de eventos de destino, consulte Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights.

      2. Elija los tipos de Insights. Puede elegir la tasa de llamadas a la API, la tasa de errores de la API o ambas. Debe registrar los eventos de administración de escritura para registrar los eventos de Insights para calcular la tasa de llamadas a la API. Debe registrar los eventos de administración de lectura o escritura para registrar los eventos de Insights para calcular la tasa de errores de la API.

  4. Cuando haya terminado, seleccione Guardar cambios.

Registro de eventos de administración con la AWS CLI

Puede configurar sus registros de seguimiento o los almacenes de datos de eventos para que registren los eventos de administración con la AWS CLI.

Ejemplos: Registro de eventos de administración para los registros de seguimiento

Para saber si su registro de seguimiento está registrando los eventos de administración, ejecute el comando get-event-selectors.

aws cloudtrail get-event-selectors --trail-name TrailName

El ejemplo siguiente devuelve la configuración predeterminada de un registro de seguimiento. De forma predeterminada, los registros de seguimiento registran todos los eventos de administración, registran los eventos de todos los orígenes de eventos y no registran los eventos de datos.

{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }

Puede utilizar selectores de eventos básicos o avanzados para registrar eventos de administración. No puede aplicar selectores de eventos ni selectores de eventos avanzados a un registro de seguimiento. Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes. En las siguientes secciones se proporcionan ejemplos de cómo registrar los eventos de administración mediante selectores de eventos básicos y avanzados.

Ejemplos: Registro de eventos de administración para registros de seguimiento mediante selectores de eventos avanzados

En el siguiente ejemplo, se crea un selector de eventos avanzado para una ruta cuyo nombre TrailName incluye eventos de administración de solo lectura y solo de escritura (omitiendo el readOnly selector), pero excluye eventos (). AWS Key Management Service AWS KMS Como AWS KMS los eventos se consideran eventos de gestión y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración.

Si decide no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.

Para volver a iniciar el registro de AWS KMS eventos en una ruta, quite el eventSource selector y vuelva a ejecutar el comando.

aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'

El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.

{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.

aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'

El siguiente ejemplo crea un selector de eventos avanzado para una ruta cuyo nombre TrailName incluye eventos de administración de solo lectura y solo escritura (omitiendo el readOnly selector), pero excluye los eventos de administración de Amazon RDS Data API. A fin de excluir eventos de administración de la API de datos de Amazon RDS, especifique el origen de los eventos de la API de datos de Amazon RDS en el valor de cadena del campo eventSource: rdsdata.amazonaws.com.

Si elige no registrar eventos de administración, no se registrarán los eventos de administración de la API de datos de Amazon RDS y no podrá cambiar la configuración del registro de eventos de la API de datos de Amazon RDS.

Para comenzar de nuevo a registrar eventos de administración de la API de datos de Amazon RDS en un registro de seguimiento, elimine el selector eventSource y ejecute de nuevo el comando.

aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'

El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.

{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }

Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.

aws cloudtrail put-event-selectors --trail-name TrailName \ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'

Ejemplos: Registro de eventos de administración para registros de seguimiento mediante selectores de eventos básicos

Para configurar el registro de seguimiento para que registre los eventos de administración, ejecute el comando put-event-selectors. El ejemplo siguiente muestra cómo configurar su registro de seguimiento para que incluya todos los eventos de administración para dos objetos de S3. Puede especificar entre 1 y 5 selectores de eventos en los registros de seguimiento. Puede especificar entre 1 y 250 recursos de datos en los registros de seguimiento.

nota

El número máximo de recursos de datos de S3 es 250, independientemente del número de selectores de eventos.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'

El ejemplo siguiente devuelve el selector de eventos configurado para el registro de seguimiento.

{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] }

Para excluir los eventos AWS Key Management Service (AWS KMS) de los registros de una ruta, ejecute el put-event-selectors comando y añada el atributo con un valor de. ExcludeManagementEventSources kms.amazonaws.com En el siguiente ejemplo, se crea un selector de eventos para una ruta cuyo nombre incluye TrailName los eventos de administración de solo lectura y solo de escritura, pero los excluye. AWS KMS Como AWS KMS puede generar un gran volumen de eventos, es posible que el usuario de este ejemplo desee limitar los eventos para gestionar el coste de un sendero.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'

El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento.

{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] }

Para excluir los eventos de administración de la API de datos de Amazon RDS del registro de seguimiento, ejecute el comando put-event-selectors y agregue el atributo ExcludeManagementEventSources con un valor de rdsdata.amazonaws.com. El siguiente ejemplo crea un selector de eventos para una ruta cuyo nombre TrailName incluye eventos de administración de solo lectura y solo escritura, pero excluye los eventos de administración de Amazon RDS Data API. Como la API de datos de Amazon RDS puede generar un gran volumen de eventos de administración, el usuario de este ejemplo debería limitar los eventos para administrar el costo de un registro de seguimiento.

{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] }

Para volver a iniciar AWS KMS el registro de los eventos de administración de Amazon RDS Data API en una ruta, pase una cadena vacía como el valor deExcludeManagementEventSources, tal y como se muestra en el siguiente comando.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Para registrar AWS KMS los eventos relevantes en una rutaDisable, Delete pero excluir los eventos de gran volumenScheduleKey, comoEncrypt, y DecryptGenerateDataKey, registrar AWS KMS los eventos de administración de solo escritura, y mantener la configuración predeterminada para registrar los AWS KMS eventos, como se muestra en el siguiente ejemplo.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Ejemplos: Registros de eventos de administración para los almacenes de datos de eventos

Los eventos de administración de los almacenes de datos de eventos se registran configurando selectores de eventos avanzados.

Se admiten los siguientes campos selectores de eventos avanzados para registrar los eventos de administración en los almacenes de datos de eventos:

  • eventCategory— Debe configurarse eventCategory igual a Management para registrar los eventos de administración. Este campo es obligatorio.

  • readOnly— se readOnly puede establecer en Equals un valor de true ofalse. Cuando se establece enfalse, el almacén de datos de eventos registra los eventos de administración de solo escritura. Los eventos de administración de solo lectura son eventos que no cambian el estado de un recurso, como los eventos. Get* Describe* Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar los eventos de lectura y escritura, no añada un readOnly selector.

  • eventNameeventName puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de administración, como CreateAccessPoint oGetAccessPoint. Puede utilizar cualquier operador con este campo.

  • userIdentity.arn— Incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte Elemento userIdentity de CloudTrail .

  • sessionCredentialFromConsole— Incluir o excluir eventos que se originan en una AWS Management Console sesión. Este campo se puede establecer en Igual o NotEquals con un valor detrue.

  • eventSource— Puede usarlo para incluir o excluir fuentes de eventos específicas. Por lo general, eventSource es una forma abreviada del nombre del servicio sin espacios más.amazonaws.com. Por ejemplo, puedes configurar eventSource Equals que registre solo ec2.amazonaws.com los eventos de EC2 administración de Amazon.

  • eventType— El EventType que se va a incluir o excluir. Por ejemplo, puede configurar este campo NotEquals AwsServiceEvent para que excluya Servicio de AWS eventos. Puede utilizar cualquier operador con este campo.

Para ver si el almacén de datos de eventos incluye eventos de administración, ejecute el comando get-event-data-store.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

A continuación, se muestra un ejemplo de respuesta. Las horas de creación y última actualización están en formato timestamp.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "myManagementEvents", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00", "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00" }

Para crear un almacén de datos de eventos que incluya todos los eventos de administración, ejecute el comando create-event-data-store. No es necesario especificar ningún selector de eventos avanzado para incluir todos los eventos de administración.

aws cloudtrail create-event-data-store --name my-event-data-store --retention-period 90\

A continuación, se muestra un ejemplo de respuesta.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00", "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00" }

Ejemplo: excluir eventos AWS KMS de administración

Para crear un banco de datos de eventos que excluya los eventos AWS Key Management Service (AWS KMS), ejecute el create-event-data-store comando y especifique que eventSource no sea igualkms.amazonaws.com. El siguiente ejemplo crea un banco de datos de eventos que incluye eventos de administración de solo lectura y solo escritura, pero excluye los eventos. AWS KMS

aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]} ] } ]'

A continuación, se muestra un ejemplo de respuesta.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }

Ejemplo: Excluir eventos de administración de Amazon RDS

Para crear un almacén de datos de eventos que excluya los eventos de administración de la API de datos de Amazon RDS, ejecute el comando create-event-data-store y especifique que eventSource no es igual que rdsdata.amazonaws.com. En el ejemplo siguiente se crea un almacén de datos de eventos que incluye eventos de administración de solo lectura y de solo escritura, pero excluye los eventos de la API de datos de Amazon RDS.

aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]} ] } ]'

A continuación, se muestra un ejemplo de respuesta.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }

Ejemplo: excluir Servicio de AWS eventos y eventos de las sesiones AWS Management Console

El siguiente ejemplo crea un almacén de datos de eventos que registra los eventos de administración, pero excluye los eventos y Servicio de AWS los eventos que se originan en AWS Management Console las sesiones.

aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[ { "Name": "Exclude Servicio de AWS and console events", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventType","NotEquals": ["AwsServiceEvent"]}, {"Field": "sessionCredentialFromConsole","NotEquals": ["true"]} ] } ]'

A continuación, se muestra un ejemplo de respuesta.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Exclude Servicio de AWS and console events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventType", "NotEquals": [ "AwsServiceEvent" ] }, { "Field": "sessionCredentialFromConsole", "NotEquals": [ "true" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00" }

Ejemplo: excluir los eventos de administración para una identidad de IAM específica

El siguiente ejemplo crea un almacén de datos de eventos que registra los eventos de administración, pero excluye los eventos generados por. bucket-scanner-role userIdentity

aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[ { "Name": "Exclude events generated by bucket-scanner-role userIdentity", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "userIdentity.arn","NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]} ] } ]'

A continuación, se muestra un ejemplo de respuesta.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Exclude events generated by bucket-scanner-role userIdentity", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "userIdentity.arn", "NotStartsWith": [ "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00" }

Registro de eventos de administración con la AWS SDKs

Utilice la GetEventSelectorsoperación para comprobar si su ruta registra los eventos de gestión de una ruta. Puede configurar sus senderos para registrar los eventos de administración con la PutEventSelectorsoperación. Para obtener más información, consulte la Referencia de la API de AWS CloudTrail.

Ejecute la GetEventDataStoreoperación para comprobar si su almacén de datos de eventos incluye eventos de gestión. Puede configurar sus almacenes de datos de eventos para incluir eventos de administración ejecutando las UpdateEventDataStoreoperaciones CreateEventDataStoreo. Para obtener más información, consulte Cree, actualice y gestione almacenes de datos de eventos con AWS CLI y la AWS CloudTrail API Reference.