Registro de eventos de actividad de la red - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro de eventos de actividad de la red

nota

Los eventos de actividad de red están en versión preliminar CloudTrail y están sujetos a cambios.

CloudTrail los eventos de actividad de red permiten a los propietarios de puntos finales de VPC grabar las llamadas a la AWS API realizadas con sus puntos de enlace de VPC desde una VPC privada a. Servicio de AWS Los eventos de actividad de la red muestran información sobre las operaciones de recursos realizadas dentro de una VPC. Por ejemplo, registrar los eventos de actividad de la red puede ayudar a los propietarios de puntos de conexión de VPC a detectar intentos de acceso de credenciales ajenas a su organización a sus puntos de conexión de VPC.

Puede registrar los eventos de actividad de la red para los siguientes servicios:

  • AWS CloudTrail

  • Amazon EC2

  • AWS KMS

  • AWS Secrets Manager

Puede configurar tanto registros de seguimiento como almacenes de datos de eventos para registrar eventos de actividad de la red.

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos no registran eventos de actividad de la red. Se aplican cargos adicionales por los eventos de actividad de la red. Para obtener más información, consulte AWS CloudTrail Precios.

Campos de los selectores de eventos avanzados para eventos de actividad de la red

Para configurar los selectores de eventos avanzados para registrar los eventos de actividad de la red, especifique el origen de los eventos para el que quiere registrar la actividad. Puede configurar selectores de eventos avanzados mediante la CloudTrail consola AWS SDKs, AWS CLI, o.

Son necesarios los siguientes campos de los selectores de eventos avanzados para registrar eventos de actividad de la red:

  • eventCategory: para registrar eventos de actividad de la red, el valor debe ser NetworkActivity. eventCategory solo puede usar el operador Equals.

  • eventSource: origen cuyos eventos de actividad de la red quiere que se registren. eventSource solo puede usar el operador Equals. Si quiere registrar los eventos de actividad de la red para varios orígenes, debe crear un selector de campo independiente para cada origen de los eventos.

    Los valores válidos son:

    • cloudtrail.amazonaws.com

    • ec2.amazonaws.com

    • kms.amazonaws.com

    • secretsmanager.amazonaws.com

Los siguientes campos del selector de eventos avanzado son opcionales:

  • eventName: acción solicitada por la que quiere filtrar. Por ejemplo, CreateKey o ListKeys. eventName puede usar cualquier operador.

  • errorCode: código de error solicitado por el que quiere filtrar. Actualmente, el único errorCode válido es VpceAccessDenied. Solo puede utilizar el operador Equals con errorCode.

  • vpcEndpointId: identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador con vpcEndpointId.

El registro de los eventos de actividad de la red está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. Para registrar los eventos de actividad de la CloudTrail red, debe configurar de forma explícita cada fuente de eventos para la que desee recopilar la actividad.

Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

Registrar los eventos de actividad de la red con AWS Management Console

Puede actualizar un registro de seguimiento o almacén de datos de eventos existente para registrar los eventos de actividad de red con la consola.

Actualización de un registro de seguimiento existente para registrar los eventos de actividad de red

Siga este procedimiento para actualizar un registro de seguimiento existente para registrar los eventos de actividad de red.

nota

Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para obtener información acerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail.

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación izquierdo de la CloudTrail consola, abre la página Rutas y elige un nombre para la ruta.

  3. En Eventos de actividad de la red, elija Editar.

    Para registrar eventos de actividad de la red, aplique estos pasos:

    1. En Origen de eventos de actividad de la red, seleccione el origen de los eventos de actividad de la red.

    2. Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede optar por registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o seleccionar Personalizar para crear un selector de registro personalizado que filtre por varios campos, como eventName y vpcEndpointId.

    3. (Opcional) Escriba un nombre para identificar el selector. El nombre del selector aparece como Nombre en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.

    4. En Selectores de eventos avanzados, cree expresiones mediante la selección de valores para Campo, Operador y Valor. Puede omitir este paso si utiliza una plantilla de registro predefinida.

      1. Para excluir o incluir eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.

        • eventName: puede utilizar cualquier operador con eventName. Puede utilizarlo para incluir o excluir cualquier evento, como CreateKey.

        • errorCode: puede usarlo para filtrar por un código de error. Actualmente, el único errorCode que se admite es VpceAccessDenied.

        • vpcEndpointId: identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador con vpcEndpointId.

      2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.

      3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.

    5. Para agregar otro origen de eventos de actividad de la red que quiera registrar, seleccione Agregar selector de eventos de actividad de la red.

    6. De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.

  4. Elija Guardar cambios para guardar los cambios.

Actualización de un almacén de datos de eventos existente para registrar los eventos de actividad de red

Siga este procedimiento para actualizar un almacén de datos de eventos existente y registrar los eventos de actividad de la red.

nota

Solo puede registrar los eventos de actividad de la red en los almacenes de datos de eventos del tipo CloudTrail eventos.

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación izquierdo de la CloudTrail consola, en Lake, selecciona Almacenes de datos de eventos.

  3. Elija el nombre del almacén de datos de eventos.

  4. En Eventos de actividad de la red, elija Editar.

    Para registrar eventos de actividad de la red, aplique estos pasos:

    1. En Origen de eventos de actividad de la red, seleccione el origen de los eventos de actividad de la red.

    2. Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede optar por registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o seleccionar Personalizar para crear un selector de registro personalizado que filtre por varios campos, como eventName y vpcEndpointId.

    3. (Opcional) Escriba un nombre para identificar el selector. El nombre del selector aparece como Nombre en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.

    4. En Selectores de eventos avanzados, cree expresiones mediante la selección de valores para Campo, Operador y Valor. Puede omitir este paso si utiliza una plantilla de registro predefinida.

      1. Para excluir o incluir eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.

        • eventName: puede utilizar cualquier operador con eventName. Puede utilizarlo para incluir o excluir cualquier evento, como CreateKey.

        • errorCode: puede usarlo para filtrar por un código de error. Actualmente, el único errorCode que se admite es VpceAccessDenied.

        • vpcEndpointId: identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador con vpcEndpointId.

      2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.

      3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.

    5. Para agregar otro origen de eventos de actividad de la red que quiera registrar, seleccione Agregar selector de eventos de actividad de la red.

    6. De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.

  5. Elija Guardar cambios para guardar los cambios.

Registrar los eventos de actividad de la red con AWS Command Line Interface

Puede configurar los registros de seguimiento o los almacenes de datos de eventos para que registren los eventos de actividad de la red con la AWS CLI.

Ejemplos: Registro de eventos de actividad de la red para registros de seguimiento

Puede configurar los registros de seguimiento para que registren los eventos de actividad de la red con la AWS CLI. Ejecute el comando put-event-selectors para configurar los selectores de eventos avanzados para su registro de seguimiento.

Para consultar si su registro de seguimiento está registrando los eventos de actividad de la red, ejecute el comando get-event-selectors.

Ejemplo: registrar los eventos de actividad de la red para CloudTrail las operaciones

En el siguiente ejemplo, se muestra cómo configurar el registro para incluir todos los eventos de actividad de la red para las operaciones de la CloudTrail API, como las CreateEventDataStore llamadas CreateTrail y las llamadas. El valor del campo eventSource es cloudtrail.amazonaws.com.

aws cloudtrail put-event-selectors / --trail-name TrailName / --region region / --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'

El comando devuelve el siguiente resultado de ejemplo.

{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ] }

Ejemplo: Registra VpceAccessDenied eventos para AWS KMS

En el siguiente ejemplo se muestra cómo configurar el registro de seguimiento para incluir eventos VpceAccessDenied de AWS KMS. En este ejemplo, se establece el campo errorCode igual a los eventos VpceAccessDenied y el campo eventSource igual a kms.amazonaws.com.

aws cloudtrail put-event-selectors \ --region region / --trail-name TrailName / --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'

El comando devuelve el siguiente resultado de ejemplo.

{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ] }

Ejemplo: Registrar EC2 VpceAccessDenied eventos en un punto final de VPC específico

En el siguiente ejemplo, se muestra cómo configurar la ruta para incluir VpceAccessDenied eventos de Amazon EC2 para un punto final de VPC específico. En este ejemplo, se establece el campo errorCode igual a los eventos VpceAccessDenied, el campo eventSource igual a ec2.amazonaws.com y el vpcEndpointId igual al punto de conexión de VPC de interés.

aws cloudtrail put-event-selectors \ --region region / --trail-name TrailName / --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'

El comando devuelve el siguiente resultado de ejemplo.

{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ] }

Ejemplo: registre todos los eventos de administración y los eventos de actividad de la red para múltiples fuentes de eventos

El siguiente ejemplo configura un registro para registrar los eventos de administración y todos los eventos de actividad de la CloudTrail red para Amazon EC2 y las fuentes de AWS Secrets Manager eventos. AWS KMS

aws cloudtrail put-event-selectors \ --region region / --trail-name TrailName / --advanced-event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["secretsmanager.amazonaws.com"] } ] } ]'

El comando devuelve el siguiente resultado de ejemplo.

{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "secretsmanager.amazonaws.com" ] } ] } ] }

Ejemplos: Registro de eventos de actividad de la red de los almacenes de datos de eventos

Puede configurar los almacenes de datos de eventos para que incluyan los eventos de actividad de la red con la AWS CLI. Utilice el comando create-event-data-store para crear un nuevo almacén de datos de eventos para registrar los eventos de actividad de la red. Utilice el comando update-event-data-store para actualizar los selectores de eventos avanzados de un almacén de datos de eventos existente.

Para ver si el almacén de datos de eventos incluye eventos de actividad de la red, ejecute el comando get-event-data-store.

aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN

Ejemplo: registre todos los eventos de actividad de la red para las operaciones CloudTrail

El siguiente ejemplo muestra cómo crear un banco de datos de eventos que incluya todos los eventos de actividad de la red relacionados con CloudTrail las operaciones, como las llamadas a CreateTrail yCreateEventDataStore. El valor del campo eventSource se establece en cloudtrail.amazonaws.com.

aws cloudtrail create-event-data-store \ --name "EventDataStoreName" \ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'

El comando devuelve el siguiente resultado de ejemplo.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }

Ejemplo: Registrar VpceAccessDenied eventos para AWS KMS

En el siguiente ejemplo, se muestra cómo crear un banco de datos de eventos para el que VpceAccessDenied pueda incluir eventos AWS KMS. En este ejemplo, se establece el campo errorCode igual a los eventos VpceAccessDenied y el campo eventSource igual a kms.amazonaws.com.

aws cloudtrail create-event-data-store \ --name EventDataStoreName \ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'

El comando devuelve el siguiente resultado de ejemplo.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }

Ejemplo: Registrar EC2 VpceAccessDenied eventos en un punto final de VPC específico

En el siguiente ejemplo, se muestra cómo crear un almacén de datos de eventos para incluir VpceAccessDenied eventos de Amazon EC2 para un punto de enlace de VPC específico. En este ejemplo, se establece el campo errorCode igual a los eventos VpceAccessDenied, el campo eventSource igual a ec2.amazonaws.com y el vpcEndpointId igual al punto de conexión de VPC de interés.

aws cloudtrail create-event-data-store \ --name EventDataStoreName \ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'

El comando devuelve el siguiente resultado de ejemplo.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }

Ejemplo: registre todos los eventos de administración y de actividad de red para varios orígenes de eventos

En los siguientes ejemplos, se actualiza un banco de datos de eventos que actualmente solo registra eventos de administración para registrar también los eventos de actividad de red de varios orígenes de eventos. Para actualizar un banco de datos de eventos y añadir nuevos selectores de eventos, ejecute el get-event-data-store comando para devolver los selectores de eventos avanzados actuales. A continuación, ejecute el update-event-data-store comando y pase el --advanced-event-selectors que incluye los selectores actuales más los selectores nuevos. Para registrar los eventos de actividad de red de varias fuentes de eventos, incluya un selector para cada fuente de eventos que desee registrar.

aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --advanced-event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["secretsmanager.amazonaws.com"] } ] } ]'

El comando devuelve el siguiente resultado de ejemplo.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "secretsmanager.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00" }

Registrar los eventos con AWS SDKs

Ejecute la GetEventSelectorsoperación para comprobar si su ruta registra los eventos de actividad de la red. Puede configurar sus rutas para registrar los eventos de actividad de la red ejecutando la PutEventSelectorsoperación. Para obtener más información, consulte la Referencia de la API de AWS CloudTrail.

Ejecute la GetEventDataStoreoperación para comprobar si el almacén de datos de eventos registra los eventos de actividad de la red. Puede configurar sus almacenes de datos de eventos para incluir eventos de actividad de red ejecutando las UpdateEventDataStoreoperaciones CreateEventDataStoreo y especificando selectores de eventos avanzados. Para obtener más información, consulte Cree, actualice y gestione almacenes de datos de eventos con AWS CLI y la AWS CloudTrail API Reference.