Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Registro de eventos de actividad de la red
nota
Los eventos de actividad de red están en versión preliminar CloudTrail y están sujetos a cambios.
CloudTrail los eventos de actividad de red permiten a los propietarios de puntos finales de VPC grabar las llamadas a la AWS API realizadas con sus puntos de enlace de VPC desde una VPC privada a. Servicio de AWS Los eventos de actividad de la red muestran información sobre las operaciones de recursos realizadas dentro de una VPC. Por ejemplo, registrar los eventos de actividad de la red puede ayudar a los propietarios de puntos de conexión de VPC a detectar intentos de acceso de credenciales ajenas a su organización a sus puntos de conexión de VPC.
Puede registrar los eventos de actividad de la red para los siguientes servicios:
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
Puede configurar tanto registros de seguimiento como almacenes de datos de eventos para registrar eventos de actividad de la red.
De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos no registran eventos de actividad de la red. Se aplican cargos adicionales por los eventos de actividad de la red. Para obtener más información, consulte AWS CloudTrail Precios
Contenido
- Campos de los selectores de eventos avanzados para eventos de actividad de la red
- Registrar los eventos de actividad de la red con AWS Management Console
- Registrar los eventos de actividad de la red con AWS Command Line Interface
- Ejemplos: Registro de eventos de actividad de la red para registros de seguimiento
- Ejemplo: registrar los eventos de actividad de la red para CloudTrail las operaciones
- Ejemplo: Registra VpceAccessDenied eventos para AWS KMS
- Ejemplo: Registrar EC2 VpceAccessDenied eventos en un punto final de VPC específico
- Ejemplo: registre todos los eventos de administración y los eventos de actividad de la red para múltiples fuentes de eventos
- Ejemplos: Registro de eventos de actividad de la red de los almacenes de datos de eventos
- Ejemplo: registre todos los eventos de actividad de la red para las operaciones CloudTrail
- Ejemplo: Registrar VpceAccessDenied eventos para AWS KMS
- Ejemplo: Registrar EC2 VpceAccessDenied eventos en un punto final de VPC específico
- Ejemplo: registre todos los eventos de administración y de actividad de red para varios orígenes de eventos
- Ejemplos: Registro de eventos de actividad de la red para registros de seguimiento
- Registrar los eventos con AWS SDKs
Campos de los selectores de eventos avanzados para eventos de actividad de la red
Para configurar los selectores de eventos avanzados para registrar los eventos de actividad de la red, especifique el origen de los eventos para el que quiere registrar la actividad. Puede configurar selectores de eventos avanzados mediante la CloudTrail consola AWS SDKs, AWS CLI, o.
Son necesarios los siguientes campos de los selectores de eventos avanzados para registrar eventos de actividad de la red:
-
eventCategory
: para registrar eventos de actividad de la red, el valor debe serNetworkActivity
.eventCategory
solo puede usar el operadorEquals
. -
eventSource
: origen cuyos eventos de actividad de la red quiere que se registren.eventSource
solo puede usar el operadorEquals
. Si quiere registrar los eventos de actividad de la red para varios orígenes, debe crear un selector de campo independiente para cada origen de los eventos.Los valores válidos son:
-
cloudtrail.amazonaws.com
-
ec2.amazonaws.com
-
kms.amazonaws.com
-
secretsmanager.amazonaws.com
-
Los siguientes campos del selector de eventos avanzado son opcionales:
-
eventName
: acción solicitada por la que quiere filtrar. Por ejemplo,CreateKey
oListKeys
.eventName
puede usar cualquier operador. -
errorCode
: código de error solicitado por el que quiere filtrar. Actualmente, el únicoerrorCode
válido esVpceAccessDenied
. Solo puede utilizar el operadorEquals
conerrorCode
. -
vpcEndpointId
: identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador convpcEndpointId
.
El registro de los eventos de actividad de la red está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. Para registrar los eventos de actividad de la CloudTrail red, debe configurar de forma explícita cada fuente de eventos para la que desee recopilar la actividad.
Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios
Registrar los eventos de actividad de la red con AWS Management Console
Puede actualizar un registro de seguimiento o almacén de datos de eventos existente para registrar los eventos de actividad de red con la consola.
Temas
Actualización de un registro de seguimiento existente para registrar los eventos de actividad de red
Siga este procedimiento para actualizar un registro de seguimiento existente para registrar los eventos de actividad de red.
nota
Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para obtener información acerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail
Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/
. -
En el panel de navegación izquierdo de la CloudTrail consola, abre la página Rutas y elige un nombre para la ruta.
-
En Eventos de actividad de la red, elija Editar.
Para registrar eventos de actividad de la red, aplique estos pasos:
-
En Origen de eventos de actividad de la red, seleccione el origen de los eventos de actividad de la red.
-
Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede optar por registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o seleccionar Personalizar para crear un selector de registro personalizado que filtre por varios campos, como
eventName
yvpcEndpointId
. -
(Opcional) Escriba un nombre para identificar el selector. El nombre del selector aparece como Nombre en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.
-
En Selectores de eventos avanzados, cree expresiones mediante la selección de valores para Campo, Operador y Valor. Puede omitir este paso si utiliza una plantilla de registro predefinida.
-
Para excluir o incluir eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.
-
eventName
: puede utilizar cualquier operador coneventName
. Puede utilizarlo para incluir o excluir cualquier evento, comoCreateKey
. -
errorCode
: puede usarlo para filtrar por un código de error. Actualmente, el únicoerrorCode
que se admite esVpceAccessDenied
. -
vpcEndpointId
: identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador convpcEndpointId
.
-
-
En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
-
Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
-
-
Para agregar otro origen de eventos de actividad de la red que quiera registrar, seleccione Agregar selector de eventos de actividad de la red.
-
De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.
-
-
Elija Guardar cambios para guardar los cambios.
Actualización de un almacén de datos de eventos existente para registrar los eventos de actividad de red
Siga este procedimiento para actualizar un almacén de datos de eventos existente y registrar los eventos de actividad de la red.
nota
Solo puede registrar los eventos de actividad de la red en los almacenes de datos de eventos del tipo CloudTrail eventos.
Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/
. -
En el panel de navegación izquierdo de la CloudTrail consola, en Lake, selecciona Almacenes de datos de eventos.
-
Elija el nombre del almacén de datos de eventos.
-
En Eventos de actividad de la red, elija Editar.
Para registrar eventos de actividad de la red, aplique estos pasos:
-
En Origen de eventos de actividad de la red, seleccione el origen de los eventos de actividad de la red.
-
Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede optar por registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o seleccionar Personalizar para crear un selector de registro personalizado que filtre por varios campos, como
eventName
yvpcEndpointId
. -
(Opcional) Escriba un nombre para identificar el selector. El nombre del selector aparece como Nombre en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.
-
En Selectores de eventos avanzados, cree expresiones mediante la selección de valores para Campo, Operador y Valor. Puede omitir este paso si utiliza una plantilla de registro predefinida.
-
Para excluir o incluir eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.
-
eventName
: puede utilizar cualquier operador coneventName
. Puede utilizarlo para incluir o excluir cualquier evento, comoCreateKey
. -
errorCode
: puede usarlo para filtrar por un código de error. Actualmente, el únicoerrorCode
que se admite esVpceAccessDenied
. -
vpcEndpointId
: identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador convpcEndpointId
.
-
-
En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
-
Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
-
-
Para agregar otro origen de eventos de actividad de la red que quiera registrar, seleccione Agregar selector de eventos de actividad de la red.
-
De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.
-
-
Elija Guardar cambios para guardar los cambios.
Registrar los eventos de actividad de la red con AWS Command Line Interface
Puede configurar los registros de seguimiento o los almacenes de datos de eventos para que registren los eventos de actividad de la red con la AWS CLI.
Temas
Ejemplos: Registro de eventos de actividad de la red para registros de seguimiento
Puede configurar los registros de seguimiento para que registren los eventos de actividad de la red con la AWS CLI. Ejecute el comando put-event-selectors
Para consultar si su registro de seguimiento está registrando los eventos de actividad de la red, ejecute el comando get-event-selectors
Temas
- Ejemplo: registrar los eventos de actividad de la red para CloudTrail las operaciones
- Ejemplo: Registra VpceAccessDenied eventos para AWS KMS
- Ejemplo: Registrar EC2 VpceAccessDenied eventos en un punto final de VPC específico
- Ejemplo: registre todos los eventos de administración y los eventos de actividad de la red para múltiples fuentes de eventos
Ejemplo: registrar los eventos de actividad de la red para CloudTrail las operaciones
En el siguiente ejemplo, se muestra cómo configurar el registro para incluir todos los eventos de actividad de la red para las operaciones de la CloudTrail API, como las CreateEventDataStore
llamadas CreateTrail
y las llamadas. El valor del campo eventSource
es cloudtrail.amazonaws.com
.
aws cloudtrail put-event-selectors / --trail-name
TrailName
/ --regionregion
/ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com
"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "
cloudtrail.amazonaws.com
" ] } ] } ] }
Ejemplo: Registra VpceAccessDenied
eventos para AWS KMS
En el siguiente ejemplo se muestra cómo configurar el registro de seguimiento para incluir eventos VpceAccessDenied
de AWS KMS. En este ejemplo, se establece el campo errorCode
igual a los eventos VpceAccessDenied
y el campo eventSource
igual a kms.amazonaws.com
.
aws cloudtrail put-event-selectors \ --region
region
/ --trail-nameTrailName
/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ] }
Ejemplo: Registrar EC2 VpceAccessDenied
eventos en un punto final de VPC específico
En el siguiente ejemplo, se muestra cómo configurar la ruta para incluir VpceAccessDenied
eventos de Amazon EC2 para un punto final de VPC específico. En este ejemplo, se establece el campo errorCode
igual a los eventos VpceAccessDenied
, el campo eventSource
igual a ec2.amazonaws.com
y el vpcEndpointId
igual al punto de conexión de VPC de interés.
aws cloudtrail put-event-selectors \ --region
region
/ --trail-nameTrailName
/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ] }
Ejemplo: registre todos los eventos de administración y los eventos de actividad de la red para múltiples fuentes de eventos
El siguiente ejemplo configura un registro para registrar los eventos de administración y todos los eventos de actividad de la CloudTrail red para Amazon EC2 y las fuentes de AWS Secrets Manager eventos. AWS KMS
aws cloudtrail put-event-selectors \ --region
region
/ --trail-nameTrailName
/ --advanced-event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["secretsmanager.amazonaws.com"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "secretsmanager.amazonaws.com" ] } ] } ] }
Ejemplos: Registro de eventos de actividad de la red de los almacenes de datos de eventos
Puede configurar los almacenes de datos de eventos para que incluyan los eventos de actividad de la red con la AWS CLI. Utilice el comando create-event-data-store
update-event-data-store
Para ver si el almacén de datos de eventos incluye eventos de actividad de la red, ejecute el comando get-event-data-store
aws cloudtrail get-event-data-store --event-data-store
EventDataStoreARN
Temas
- Ejemplo: registre todos los eventos de actividad de la red para las operaciones CloudTrail
- Ejemplo: Registrar VpceAccessDenied eventos para AWS KMS
- Ejemplo: Registrar EC2 VpceAccessDenied eventos en un punto final de VPC específico
- Ejemplo: registre todos los eventos de administración y de actividad de red para varios orígenes de eventos
Ejemplo: registre todos los eventos de actividad de la red para las operaciones CloudTrail
El siguiente ejemplo muestra cómo crear un banco de datos de eventos que incluya todos los eventos de actividad de la red relacionados con CloudTrail las operaciones, como las llamadas a CreateTrail
yCreateEventDataStore
. El valor del campo eventSource
se establece en cloudtrail.amazonaws.com
.
aws cloudtrail create-event-data-store \ --name "
EventDataStoreName
" \ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Ejemplo: Registrar VpceAccessDenied
eventos para AWS KMS
En el siguiente ejemplo, se muestra cómo crear un banco de datos de eventos para el que VpceAccessDenied
pueda incluir eventos AWS KMS. En este ejemplo, se establece el campo errorCode
igual a los eventos VpceAccessDenied
y el campo eventSource
igual a kms.amazonaws.com
.
aws cloudtrail create-event-data-store \ --name
EventDataStoreName
\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Ejemplo: Registrar EC2 VpceAccessDenied
eventos en un punto final de VPC específico
En el siguiente ejemplo, se muestra cómo crear un almacén de datos de eventos para incluir VpceAccessDenied
eventos de Amazon EC2 para un punto de enlace de VPC específico. En este ejemplo, se establece el campo errorCode
igual a los eventos VpceAccessDenied
, el campo eventSource
igual a ec2.amazonaws.com
y el vpcEndpointId
igual al punto de conexión de VPC de interés.
aws cloudtrail create-event-data-store \ --name
EventDataStoreName
\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Ejemplo: registre todos los eventos de administración y de actividad de red para varios orígenes de eventos
En los siguientes ejemplos, se actualiza un banco de datos de eventos que actualmente solo registra eventos de administración para registrar también los eventos de actividad de red de varios orígenes de eventos. Para actualizar un banco de datos de eventos y añadir nuevos selectores de eventos, ejecute el get-event-data-store
comando para devolver los selectores de eventos avanzados actuales. A continuación, ejecute el update-event-data-store
comando y pase el --advanced-event-selectors
que incluye los selectores actuales más los selectores nuevos. Para registrar los eventos de actividad de red de varias fuentes de eventos, incluya un selector para cada fuente de eventos que desee registrar.
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --advanced-event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["secretsmanager.amazonaws.com"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "secretsmanager.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00" }
Registrar los eventos con AWS SDKs
Ejecute la GetEventSelectorsoperación para comprobar si su ruta registra los eventos de actividad de la red. Puede configurar sus rutas para registrar los eventos de actividad de la red ejecutando la PutEventSelectorsoperación. Para obtener más información, consulte la Referencia de la API de AWS CloudTrail.
Ejecute la GetEventDataStoreoperación para comprobar si el almacén de datos de eventos registra los eventos de actividad de la red. Puede configurar sus almacenes de datos de eventos para incluir eventos de actividad de red ejecutando las UpdateEventDataStoreoperaciones CreateEventDataStoreo y especificando selectores de eventos avanzados. Para obtener más información, consulte Cree, actualice y gestione almacenes de datos de eventos con AWS CLI y la AWS CloudTrail API Reference.