Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Registro de eventos de actividad de red
nota
Los eventos de actividad de red están en versión preliminar CloudTrail y están sujetos a cambios.
CloudTrail Los eventos de actividad de la red permiten a los propietarios de VPC terminales grabar AWS API las llamadas realizadas desde sus VPC puntos de conexión desde una ubicación privada VPC a otra. Servicio de AWS Los eventos de actividad de la red proporcionan visibilidad de las operaciones de recursos realizadas dentro de unVPC. Por ejemplo, registrar los eventos de actividad de la red puede ayudar a VPC los propietarios de los puntos finales a detectar cuándo credenciales ajenas a su organización intentan acceder a sus VPC puntos finales.
Puede registrar los eventos de actividad de la red para los siguientes servicios:
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
Puede configurar los almacenes de datos de senderos y eventos para registrar los eventos de actividad de la red.
De forma predeterminada, los almacenes de datos de senderos y eventos no registran los eventos de actividad de la red. Se aplican cargos adicionales por los eventos de actividad de la red. Para obtener más información, consulte AWS CloudTrail Precios
Contenido
- Campos de selección de eventos avanzados para eventos de actividad de red
- Registrar los eventos de actividad de la red con AWS Management Console
- Registrar los eventos de actividad de la red con AWS Command Line Interface
- Registrar eventos con AWS SDKs
Campos de selección de eventos avanzados para eventos de actividad de red
Para configurar los selectores de eventos avanzados para registrar los eventos de actividad de la red, especifique el origen de eventos para el que desea registrar la actividad. Puede configurar los selectores de eventos avanzados mediante la consola AWS SDKs AWS CLI, o CloudTrail .
Los siguientes campos del selector de eventos avanzado son necesarios para registrar los eventos de actividad de la red:
-
eventCategory— Para registrar los eventos de actividad de la red, el valor debe serNetworkActivity.eventCategorysolo puede usar elEqualsoperador. -
eventSource— La fuente de eventos para la que desea registrar los eventos de actividad de la red.eventSourcesolo puede usar elEqualsoperador. Si desea registrar los eventos de actividad de la red para varias fuentes de eventos, debe crear un selector de campo independiente para cada fuente de eventos.Los valores válidos son:
-
cloudtrail.amazonaws.com -
ec2.amazonaws.com -
kms.amazonaws.com -
secretsmanager.amazonaws.com
-
Los siguientes campos del selector de eventos avanzado son opcionales:
-
eventName— La acción solicitada por la que quieres filtrar. Por ejemplo,CreateKeyoListKeys.eventNamepuede usar cualquier operador. -
errorCode— El código de error solicitado por el que desea filtrar. Actualmente, el único válidoerrorCodeesVpceAccessDenied. Solo puede usar elEqualsoperador conerrorCode. -
vpcEndpointId— Identifica el VPC punto final por el que pasó la operación. Puede utilizar cualquier operador convpcEndpointId.
Los eventos de actividad de la red no se registran de forma predeterminada al crear un almacén de datos de rutas o eventos. Para registrar los eventos de actividad de la CloudTrail red, debe configurar de forma explícita cada fuente de eventos para la que desee recopilar la actividad.
Se aplican cargos adicionales por registrar los eventos de actividad de la red. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios
Registrar los eventos de actividad de la red con AWS Management Console
Puede actualizar un almacén de datos de rutas o eventos existente para registrar los eventos de actividad de la red mediante la consola.
Temas
Actualice un registro existente para registrar los eventos de actividad de la red
Utilice el siguiente procedimiento para actualizar un registro existente y registrar los eventos de actividad de la red.
nota
Se aplican cargos adicionales por registrar los eventos de actividad de la red. Para obtener información acerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail
Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/
. -
En el panel de navegación izquierdo de la CloudTrail consola, abre la página Rutas y elige un nombre para la ruta.
-
En los eventos de actividad de la red, selecciona Editar.
Para registrar los eventos de actividad de la red, sigue estos pasos:
-
En Fuente de eventos de actividad de red, elija la fuente de eventos de actividad de red.
-
Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede elegir registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o elegir Personalizar para crear un selector de registro personalizado que filtre varios campos, como
eventNameyvpcEndpointId. -
(Opcional) Introduzca un nombre para identificar el selector. El nombre del selector aparece como Nombre en el selector de eventos avanzado y se puede ver si amplía la JSONvista.
-
En Advanced, los selectores de eventos crean expresiones eligiendo valores para Field, Operator y Value. Puede omitir este paso si utiliza una plantilla de registro predefinida.
-
Para excluir o incluir los eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.
-
eventName— Puedes usar cualquier operador coneventName. Puede usarlo para incluir o excluir cualquier evento, comoCreateKey. -
errorCode— Puedes usarlo para filtrar un código de error. Actualmente, el único compatibleerrorCodeesVpceAccessDenied. -
vpcEndpointId— Identifica el VPC punto final por el que pasó la operación. Puede utilizar cualquier operador convpcEndpointId.
-
-
En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
-
Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
-
-
Para añadir otra fuente de eventos para la que desee registrar los eventos de actividad de la red, elija el selector de eventos de la actividad de la red.
-
Si lo desea, amplíe la JSONvista para ver los selectores de eventos avanzados en forma de JSON bloque.
-
-
Elija Guardar cambios para guardar los cambios.
Actualice un almacén de datos de eventos existente para registrar los eventos de actividad de la red
Utilice el siguiente procedimiento para actualizar un banco de datos de eventos existente para registrar los eventos de actividad de la red.
nota
Solo puede registrar los eventos de actividad de la red en los almacenes de datos de eventos del tipo CloudTrail eventos.
Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/
. -
En el panel de navegación izquierdo de la CloudTrail consola, en Lake, selecciona Almacenes de datos de eventos.
-
Elija el nombre del almacén de datos de eventos.
-
En Eventos de actividad de red, elija Editar.
Para registrar los eventos de actividad de la red, sigue estos pasos:
-
En Fuente de eventos de actividad de red, elija la fuente de eventos de actividad de red.
-
Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede elegir registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o elegir Personalizar para crear un selector de registro personalizado que filtre varios campos, como
eventNameyvpcEndpointId. -
(Opcional) Introduzca un nombre para identificar el selector. El nombre del selector aparece como Nombre en el selector de eventos avanzado y se puede ver si amplía la JSONvista.
-
En Advanced, los selectores de eventos crean expresiones eligiendo valores para Field, Operator y Value. Puede omitir este paso si utiliza una plantilla de registro predefinida.
-
Para excluir o incluir los eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.
-
eventName— Puedes usar cualquier operador coneventName. Puede usarlo para incluir o excluir cualquier evento, comoCreateKey. -
errorCode— Puedes usarlo para filtrar un código de error. Actualmente, el único compatibleerrorCodeesVpceAccessDenied. -
vpcEndpointId— Identifica el VPC punto final por el que pasó la operación. Puede utilizar cualquier operador convpcEndpointId.
-
-
En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
-
Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
-
-
Para añadir otra fuente de eventos para la que desee registrar los eventos de actividad de la red, elija el selector de eventos de la actividad de la red.
-
Si lo desea, amplíe la JSONvista para ver los selectores de eventos avanzados en forma de JSON bloque.
-
-
Elija Guardar cambios para guardar los cambios.
Registrar los eventos de actividad de la red con AWS Command Line Interface
Puede configurar sus senderos o almacenes de datos de eventos para registrar los eventos de actividad de la red utilizando el AWS CLI.
Temas
Ejemplos: registrar los eventos de actividad de la red para los senderos
Puede configurar sus senderos para registrar los eventos de actividad de la red mediante el AWS CLI. Ejecute el put-event-selectors
Para comprobar si tu ruta registra los eventos de actividad de la red, ejecuta el get-event-selectors
Temas
Ejemplo: registre los eventos de actividad de la red para CloudTrail las operaciones
El siguiente ejemplo muestra cómo configurar el registro para incluir todos los eventos de actividad de la red para CloudTrail API las operaciones, como las CreateEventDataStore llamadas CreateTrail y las llamadas. El valor del eventSource campo escloudtrail.amazonaws.com.
aws cloudtrail put-event-selectors / --trail-nameTrailName/ --regionregion/ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ] }
Ejemplo: Registra VpceAccessDenied eventos para AWS KMS
En el siguiente ejemplo, se muestra cómo configurar la ruta para que incluya VpceAccessDenied eventos para AWS KMS. En este ejemplo, se establece el errorCode campo igual a VpceAccessDenied los eventos y el eventSource campo igual akms.amazonaws.com.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ] }
Ejemplo: Registra EC2 VpceAccessDenied eventos en un VPC punto final específico
En el siguiente ejemplo, se muestra cómo configurar la ruta para incluir VpceAccessDenied eventos de Amazon EC2 para un VPC punto final específico. En este ejemplo, se establece el errorCode campo igual a los VpceAccessDenied eventos, el eventSource campo igual a ec2.amazonaws.com y el vpcEndpointId igual al VPC punto final de interés.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ] }
Ejemplos: registrar los eventos de actividad de la red para los almacenes de datos de eventos
Puede configurar sus almacenes de datos de eventos para incluir eventos de actividad de red mediante el AWS CLI. Utilice el create-event-data-storeupdate-event-data-store
Para comprobar si el banco de datos de eventos incluye eventos de actividad de red, ejecute el get-event-data-store
aws cloudtrail get-event-data-store --event-data-storeEventDataStoreARN
Temas
Ejemplo: registre todos los eventos de actividad de la red para CloudTrail las operaciones
El siguiente ejemplo muestra cómo crear un banco de datos de eventos que incluya todos los eventos de actividad de la red relacionados con CloudTrail las operaciones, como las llamadas a CreateTrail yCreateEventDataStore. El valor del eventSource campo se establece encloudtrail.amazonaws.com.
aws cloudtrail create-event-data-store \ --name "EventDataStoreName" \ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Ejemplo: Registrar VpceAccessDenied eventos para AWS KMS
En el siguiente ejemplo, se muestra cómo crear un banco de datos de VpceAccessDenied eventos para incluir eventos AWS KMS. En este ejemplo, se establece el errorCode campo igual a VpceAccessDenied los eventos y el eventSource campo igual akms.amazonaws.com.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Ejemplo: Registra EC2 VpceAccessDenied eventos en un VPC punto final específico
El siguiente ejemplo muestra cómo crear un almacén de datos de eventos para incluir VpceAccessDenied eventos de Amazon EC2 para un VPC punto final específico. En este ejemplo, el errorCode campo es igual a los VpceAccessDenied eventosec2.amazonaws.com, el eventSource campo vpcEndpointId igual a y el VPC punto final de interés.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Registrar eventos con AWS SDKs
Ejecute la GetEventSelectorsoperación para comprobar si su ruta registra los eventos de actividad de la red. Puede configurar sus rutas para registrar los eventos de actividad de la red ejecutando la PutEventSelectorsoperación. Para obtener más información, consulte la AWS CloudTrail APIReferencia.
Ejecute la GetEventDataStoreoperación para comprobar si el almacén de datos de eventos registra los eventos de actividad de la red. Puede configurar sus almacenes de datos de eventos para incluir eventos de actividad de red ejecutando las UpdateEventDataStoreoperaciones CreateEventDataStoreo y especificando selectores de eventos avanzados. Para obtener más información, consulte Cree, actualice y gestione almacenes de datos de eventos con AWS CLI y la AWS CloudTrail APIReferencia.
