Cree un almacén de datos de CloudTrail eventos para eventos con la consola - AWS CloudTrail
Para crear un almacén de datos de CloudTrail eventos para eventos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree un almacén de datos de CloudTrail eventos para eventos con la consola

Los almacenes de datos de CloudTrail eventos para eventos pueden incluir eventos CloudTrail de administración, eventos de datos y eventos de actividad de red. Puede conservar los datos de los eventos en un almacén de datos de eventos durante un máximo de 3653 días (unos 10 años) si elige la opción Precios de retención ampliables por un año, o hasta 2557 días (unos 7 años) si elige la opción Precios de retención por siete años.

nota

Los eventos de actividad de red se encuentran en versión preliminar CloudTrail y están sujetos a cambios.

CloudTrail Los almacenes de datos de eventos de Lake incurren en cargos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios yGestión de los costos de los CloudTrail lagos.

Para crear un almacén de datos de CloudTrail eventos para eventos

Utilice este procedimiento para crear un banco de datos de eventos que registre los eventos CloudTrail de administración, los eventos de datos o los eventos de actividad de la red.

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija Create event data store (Crear almacén de datos de eventos).

  4. En la página Configure event data store (Configurar el almacén de datos de eventos), en General details (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.

  5. Elija la Opción de precios que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

    Están disponibles las siguientes opciones:

    • Precio de retención ampliable por un año: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio. Esta es la opción predeterminada.

      • Periodo de retención predeterminado: 366 días.

      • Periodo máximo de retención: 3653 días.

    • Precio de retención ampliable por un año: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.

      • Periodo de retención predeterminado: 2557 días.

      • Periodo máximo de retención: 2557 días.

  6. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción Precios de retención ampliables por un año, o entre 7 días y 2557 días (unos siete años) para la opción Precios de retención por siete años.

    CloudTrail Lake determina si se debe retener un evento comprobando si el eventTime evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando eventTime tengan más de 90 días.

    nota

    Si está copiando eventos de seguimiento a este almacén de datos de eventos, no CloudTrail copiará ningún evento si eventTime es anterior al período de retención especificado. Para determinar el período de retención adecuado, tome la suma del evento más antiguo que desea copiar en días y el número de días que desea conservar los eventos en el almacén de datos del evento (período de retención = oldest-event-in-days + number-days-to-retain). Por ejemplo, si el evento más antiguo que vas a copiar tiene 45 días y deseas conservar los eventos en el almacén de datos del evento durante otros 45 días, deberías establecer el período de retención en 90 días.

  7. (Opcional) Para habilitar el cifrado AWS Key Management Service, selecciona Usar el mío AWS KMS key. Elija Nuevo para que AWS KMS key se cree una para usted, o bien elija Existente para usar una KMS clave existente. En Introducir KMS alias, especifique un alias, en el formato alias/MyAliasName. El uso de su propia KMS clave requiere que edite su política de KMS claves para permitir el cifrado y descifrado de los CloudTrail registros. Para obtener más información, consulteConfigurar políticas AWS KMS clave para CloudTrail. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

    El uso de su propia KMS clave conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una KMS clave, la KMS clave no se puede quitar ni cambiar.

    nota

    Para habilitar el AWS Key Management Service cifrado del almacén de datos de eventos de una organización, debe usar una KMS clave existente para la cuenta de administración.

  8. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija Habilitar en Federación de consultas de Lake. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el catálogo de AWS Glue datos y ejecutar SQL consultas con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.

    Para habilitar la federación de consultas de Lake, seleccione Habilitar y, a continuación, haga lo siguiente:

    1. Elija si desea crear un rol nuevo o usar uno existenteIAM. AWS Lake Formationusa este rol para administrar los permisos del banco de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

    2. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.

    3. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta.

  9. (Opcional) En la sección Tags (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar IAM las políticas para autorizar el acceso a un almacén de datos de eventos en función de las etiquetas, consulteEjemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas. Para obtener más información sobre cómo utilizar las etiquetas AWS, consulte Cómo etiquetar AWS los recursos en la Guía del usuario de AWS los recursos de etiquetado.

  10. Elija Next (Siguiente) para configurar el almacén de datos de eventos.

  11. En la página Elegir eventos, elija AWS eventos y, a continuación, elija CloudTrail eventos.

  12. Para CloudTrail los eventos, elige al menos un tipo de evento. De forma predeterminada, se selecciona la opción Management events (Eventos de administración). Puede agregar eventos de administración, eventos de datos y eventos de actividad de red al almacén de datos de eventos.

  13. (Opcional) Elija Copy trail events (Copiar eventos de registros de seguimiento) si desea copiar eventos de un registro de seguimiento existente para ejecutar consultas sobre eventos pasados. Para copiar los eventos de los registros de seguimiento en el almacén de datos de eventos de una organización, debe utilizar su cuenta de administración. La cuenta del administrador delegado no puede copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización. Para obtener más información acerca de las consideraciones para copiar eventos de registro de seguimiento, consulte Consideraciones para copiar eventos de registros de seguimiento.

  14. Para que su almacén de datos de eventos recopile eventos de todas las cuentas de una organización de AWS Organizations , seleccione Enable for all accounts in my organization (Activar en todas las cuentas de mi organización). Para crear un almacén de datos de eventos que recopile eventos de una organización, es necesario haber iniciado sesión con la cuenta de administración o la cuenta de administrador delegado de la organización.

    nota

    Para copiar los eventos de registro de seguimiento o habilitar los eventos de Insights, debe haber iniciado sesión en la cuenta de administración de su organización.

  15. Amplíe la configuración adicional para elegir si desea que el banco de datos de eventos recopile los eventos de todos los Regiones de AWS eventos o solo los actuales Región de AWS, y elija si el banco de datos de eventos incluye los eventos. De forma predeterminada, el almacén de datos de eventos recopila los eventos de todas las regiones de la cuenta y comienza a ingerirlos cuando se crea.

    1. Seleccione Incluir solo la región actual en el almacén de datos de eventos para incluir solo los eventos registrados en la región actual. Si no elige esta opción, su almacén de datos de eventos incluirá eventos de todas las regiones.

    2. Anule la selección de Ingerir eventos si no quiere que el almacén de datos de eventos comience a ingerir eventos. Por ejemplo, es posible que desee deseleccionar Ingerir eventos si está copiando eventos de registros de seguimiento y no desea que el almacén de datos de eventos incluya eventos futuros. De forma predeterminada, el almacén de datos de eventos comienza a ingerir eventos cuando se crea.

  16. Si el almacén de datos de eventos incluye eventos de administración, puede elegir entre las siguientes opciones. Para obtener más información sobre los eventos de administración, consulte Registro de eventos de administración.

    1. Elija si desea incluir eventos de Lectura, de Escritura o ambos. Se necesita una como mínimo.

    2. Elija si desea excluir AWS Key Management Service o excluir RDS los API eventos de Amazon Data del almacén de datos de eventos.

    3. Elija si desea habilitar Insights. Para habilitar Insights, debe configurar un almacén de datos de eventos de destino para recopilar los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos.

      Si decide habilitar Insights, haga lo siguiente.

      1. En Habilitar Insights, elija el almacén de eventos de destino que registrará los eventos de Insights. El almacén de datos de eventos de destino recopilará los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos. Para obtener información acerca de cómo crear un almacén de datos de eventos de destino, consulte Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights.

      2. Elija los tipos de Insights. Puedes elegir la tasa de API llamadas, la tasa de API errores o ambas. Debes registrar los eventos de administración de Write para registrar los eventos de Insights para la tasa de API llamadas. Debe registrar los eventos de administración de lectura o escritura para registrar los eventos de Insights para conocer la tasa de API errores.

  17. Para incluir eventos de datos en su almacén de datos de eventos, haga lo siguiente.

    1. Elija un tipo de evento de datos. Este es el Servicio de AWS recurso en el que se registran los eventos de datos. Para registrar los eventos de datos de AWS Glue las tablas creadas por Lake Formation, elija Lake Formation como tipo de datos.

    2. Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede elegir registrar todos los eventos de datos, eventos readOnly, eventos writeOnly, o Custom (Personalizado) para crear un selector de registros personalizado.

    3. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece Name en el selector de eventos avanzado y se puede ver si amplía la JSONvista.

    4. En Advanced event selectors (Selectores de eventos avanzados), cree una expresión para los recursos específicos en los que desea registrar eventos de datos. Puede omitir este paso si utiliza una plantilla de registro predefinida.

      1. Elija uno de los siguientes campos.

        • readOnly- se readOnly puede configurar para que sea igual a un valor de true ofalse. Los eventos de datos de solo lectura son eventos que no cambian el estado de un recurso, como eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar eventos read y write, no agregue un selector de readOnly.

        • eventName: eventName puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de datos registrado CloudTrail, como PutBucketGetItem, oGetSnapshotBlock.

        • resources.ARN- Puedes usar cualquier operador conresources.ARN, pero si usas valores iguales o no iguales, el valor debe coincidir exactamente con el ARN de un recurso válido del tipo que hayas especificado en la plantilla como valorresources.type.

          En la siguiente tabla se muestra el ARN formato válido para cada unoresources.type.

          nota

          No puede usar el resources.ARN campo para filtrar los tipos de recursos que no lo tienenARNs.

          resources.type recursos. ARN
          AWS::DynamoDB::Table1 
          arn:partition:dynamodb:region:account_ID:table/table_name
          AWS::Lambda::Function 
          arn:partition:lambda:region:account_ID:function:function_name

          AWS::S3::Object2

          		 
          arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
          AWS::AppConfig::Configuration 
          arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
          AWS::B2BI::Transformer 
          arn:partition:b2bi:region:account_ID:transformer/transformer_ID
          AWS::Bedrock::AgentAlias 
          arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
          AWS::Bedrock::FlowAlias 
          arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
          AWS::Bedrock::Guardrail 
          arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
          AWS::Bedrock::KnowledgeBase 
          arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
          AWS::Bedrock::Model

          ARNDebe estar en uno de los siguientes formatos:

          • arn:partition:bedrock:region::foundation-model/resource_ID

          • arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID

          • arn:partition:bedrock:region:account_ID:custom-model/resource_ID
          AWS::Cassandra::Table 
          arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
          AWS::CloudFront::KeyValueStore 
          arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
          AWS::CloudTrail::Channel 
          arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
          AWS::CodeWhisperer::Customization 
          arn:partition:codewhisperer:region:account_ID:customization/customization_ID
          AWS::CodeWhisperer::Profile 
          arn:partition:codewhisperer:region:account_ID:profile/profile_ID
          AWS::Cognito::IdentityPool 
          arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
          AWS::DataExchange::Asset 
          arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
          AWS::Deadline::Fleet 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
          AWS::Deadline::Job 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
          AWS::Deadline::Queue 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
          AWS::Deadline::Worker 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
          AWS::DynamoDB::Stream 
          arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
          AWS::EC2::Snapshot 
          arn:partition:ec2:region::snapshot/snapshot_ID
          AWS::EMRWAL::Workspace 
          arn:partition:emrwal:region:account_ID:workspace/workspace_name
          AWS::FinSpace::Environment 
          arn:partition:finspace:region:account_ID:environment/environment_ID
          AWS::Glue::Table 
          arn:partition:glue:region:account_ID:table/database_name/table_name
          AWS::GreengrassV2::ComponentVersion 
          arn:partition:greengrass:region:account_ID:components/component_name
          AWS::GreengrassV2::Deployment 
          arn:partition:greengrass:region:account_ID:deployments/deployment_ID
          AWS::GuardDuty::Detector 
          arn:partition:guardduty:region:account_ID:detector/detector_ID
          AWS::IoT::Certificate 
          arn:partition:iot:region:account_ID:cert/certificate_ID
          AWS::IoT::Thing 
          arn:partition:iot:region:account_ID:thing/thing_ID
          AWS::IoTSiteWise::Asset 
          arn:partition:iotsitewise:region:account_ID:asset/asset_ID
          AWS::IoTSiteWise::TimeSeries 
          arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
          AWS::IoTTwinMaker::Entity 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
          AWS::IoTTwinMaker::Workspace 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
          AWS::KendraRanking::ExecutionPlan 
          arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
          AWS::Kinesis::Stream 
          arn:partition:kinesis:region:account_ID:stream/stream_name
          AWS::Kinesis::StreamConsumer 
          arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
          AWS::KinesisVideo::Stream 
          arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
          AWS::MachineLearning::MlModel 
          arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
          AWS::ManagedBlockchain::Network 
          arn:partition:managedblockchain:::networks/network_name
          AWS::ManagedBlockchain::Node 
          arn:partition:managedblockchain:region:account_ID:nodes/node_ID
          AWS::MedicalImaging::Datastore 
          arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
          AWS::NeptuneGraph::Graph 
          arn:partition:neptune-graph:region:account_ID:graph/graph_ID
          AWS::One::UKey 
          arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
          AWS::One::User 
          arn:partition:one:region:account_ID:user/user_ID
          AWS::PaymentCryptography::Alias 
          arn:partition:payment-cryptography:region:account_ID:alias/alias
          AWS::PaymentCryptography::Key 
          arn:partition:payment-cryptography:region:account_ID:key/key_ID
          AWS::PCAConnectorAD::Connector 
          arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
          AWS::PCAConnectorSCEP::Connector 
          arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
          AWS::QApps:QApp 
          arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
          AWS::QBusiness::Application 
          arn:partition:qbusiness:region:account_ID:application/application_ID
          AWS::QBusiness::DataSource 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
          AWS::QBusiness::Index 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
          AWS::QBusiness::WebExperience 
          arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
          AWS::RDS::DBCluster 
          arn:partition:rds:region:account_ID:cluster/cluster_name
          AWS::RUM::AppMonitor 
          arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

          AWS::S3::AccessPoint3

          		 
          arn:partition:s3:region:account_ID:accesspoint/access_point_name

          AWS::S3Express::Object

          		 
          arn:partition:s3express:region:account_ID:bucket/bucket_name
          AWS::S3ObjectLambda::AccessPoint 
          arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
          AWS::S3Outposts::Object 
          arn:partition:s3-outposts:region:account_ID:object_path
          AWS::SageMaker::Endpoint 
          arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
          AWS::SageMaker::ExperimentTrialComponent 
          arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
          AWS::SageMaker::FeatureGroup 
          arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
          AWS::SCN::Instance 
          arn:partition:scn:region:account_ID:instance/instance_ID
          AWS::ServiceDiscovery::Namespace 
          arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
          AWS::ServiceDiscovery::Service 
          arn:partition:servicediscovery:region:account_ID:service/service_ID
          AWS::SNS::PlatformEndpoint 
          arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
          AWS::SNS::Topic 
          arn:partition:sns:region:account_ID:topic_name
          AWS::SocialMessaging::PhoneNumberId

          arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
          AWS::SQS::Queue 
          arn:partition:sqs:region:account_ID:queue_name
          AWS::SSM::ManagedNode

          ARNDebe estar en uno de los siguientes formatos:

          • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

          • arn:partition:ec2:region:account_ID:instance/instance_ID
          AWS::SSMMessages::ControlChannel 
          arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
          AWS::StepFunctions::StateMachine

          ARNDebe estar en uno de los siguientes formatos:

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
          AWS::SWF::Domain 
          arn:partition:swf:region:account_ID:/domain/domain_name
          AWS::ThinClient::Device 
          arn:partition:thinclient:region:account_ID:device/device_ID
          AWS::ThinClient::Environment 
          arn:partition:thinclient:region:account_ID:environment/environment_ID
          AWS::Timestream::Database 
          arn:partition:timestream:region:account_ID:database/database_name
          AWS::Timestream::Table 
          arn:partition:timestream:region:account_ID:database/database_name/table/table_name
          AWS::VerifiedPermissions::PolicyStore 
          arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

          1 Para las tablas con flujos habilitados, el campo resources del evento de datos contiene AWS::DynamoDB::Stream y AWS::DynamoDB::Table. Si especifica AWS::DynamoDB::Table como resources.type, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir los eventos de streaming, añada un filtro en el eventName campo.

          2 Para registrar todos los eventos de datos de todos los objetos de un depósito de S3 específico, utilice el StartsWith operador e incluya solo el depósito ARN como valor coincidente. La barra diagonal final es intencional; no la excluya.

          3 Para registrar los eventos de todos los objetos de un punto de acceso S3, le recomendamos que utilice solo el punto de accesoARN, no incluya la ruta del objeto y utilice los NotStartsWith operadores StartsWith o.

        Para obtener más información sobre los ARN formatos de los recursos de eventos de datos, consulte Acciones, recursos y claves de condición en la Guía del AWS Identity and Access Management usuario.

      2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir los eventos de datos de dos buckets de S3 de los eventos de datos que se registran en el almacén de datos de eventos, puede configurar el campo como resources. ARN, defina el operador para no empiece por y, a continuaciónARN, péguelo en un bucket de S3 o busque los cubos de S3 cuyos eventos no desee registrar.

        Para añadir el segundo depósito de S3, selecciona la condición + y, a continuación, repite la instrucción anterior, pegando el ARN formulario o buscando un depósito diferente.

        Para obtener información sobre cómo se CloudTrail evalúan varias condiciones, consulte. ¿Cómo CloudTrail evalúa varias condiciones de un campo

        nota

        Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.

      3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos. Por ejemplo, no especifique que un selector ARN en un selector sea igual a un valor y, a continuación, especifique que ARN no sea igual al mismo valor en otro selector.

    5. Si lo desea, amplíe la JSONvista para ver los selectores de eventos avanzados en forma de JSON bloque.

    6. Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos). Repita los pasos a a través de este paso para configurar los selectores de eventos avanzados para el tipo de evento de datos.

  18. Para incluir los eventos de actividad de la red en el almacén de datos de eventos, haga lo siguiente.

    1. En Fuente de eventos de actividad de red, elija la fuente de eventos de actividad de red.

    2. Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede elegir registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o elegir Personalizar para crear un selector de registro personalizado que filtre varios campos, como eventName yvpcEndpointId.

    3. (Opcional) Introduzca un nombre para identificar el selector. El nombre del selector aparece como Nombre en el selector de eventos avanzado y se puede ver si amplía la JSONvista.

    4. En Advanced, los selectores de eventos crean expresiones eligiendo valores para Field, Operator y Value. Puede omitir este paso si utiliza una plantilla de registro predefinida.

      1. Para excluir o incluir los eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.

        • eventName— Puedes usar cualquier operador coneventName. Puede usarlo para incluir o excluir cualquier evento, comoCreateKey.

        • errorCode— Puedes usarlo para filtrar un código de error. Actualmente, el único compatible errorCode esVpceAccessDenied.

        • vpcEndpointId— Identifica el VPC punto final por el que pasó la operación. Puede utilizar cualquier operador convpcEndpointId.

      2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.

      3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.

    5. Para añadir otra fuente de eventos para la que desee registrar los eventos de actividad de la red, elija el selector de eventos de la actividad de la red.

    6. Si lo desea, amplíe la JSONvista para ver los selectores de eventos avanzados en forma de JSON bloque.

  19. Para copiar eventos de registro de seguimiento existentes en el almacén de datos, haga lo siguiente.

    1. Elija el registro de seguimiento que desea copiar. De forma predeterminada, CloudTrail solo copia CloudTrail los eventos contenidos en el CloudTrail prefijo del bucket de S3 y los prefijos incluidos en el CloudTrail prefijo, y no comprueba los prefijos de otros servicios. AWS Si desea copiar CloudTrail los eventos contenidos en otro prefijo, seleccione Introducir S3 y, a continuaciónURI, elija Examinar S3 para buscar el prefijo. Si el depósito S3 de origen de la ruta utiliza una KMS clave para el cifrado de datos, asegúrese de que la política de KMS claves CloudTrail permita descifrar los datos. Si el depósito de S3 de origen utiliza varias KMS claves, debe actualizar la política de cada clave CloudTrail para poder descifrar los datos del depósito. Para obtener más información sobre la actualización de la política de KMS claves, consulteKMSpolítica clave para descifrar los datos del depósito S3 de origen.

    2. Elija el intervalo de tiempo para copiar los eventos. CloudTrail comprueba el prefijo y el nombre del archivo de registro para comprobar que el nombre contiene una fecha entre la fecha de inicio y la de finalización elegidas antes de intentar copiar los eventos de seguimiento. Puede elegir un intervalo relativo o un intervalo absoluto. Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de tiempo que sea anterior a la creación del almacén de datos de eventos.

      nota

      CloudTrail solo copia los eventos de seguimiento que están eventTime dentro del período de retención del almacén de datos de eventos. Por ejemplo, si el período de retención de un almacén de datos de eventos es de 90 días, no CloudTrail copiará ningún evento de ruta que tenga una eventTime antigüedad superior a 90 días.

      • Si eliges Rango relativo, puedes elegir copiar los eventos registrados en los últimos 6 meses, 1 año, 2 años, 7 años o un rango personalizado. CloudTrail copia los eventos registrados en el período de tiempo elegido.

      • Si elige Rango absoluto, puede elegir una fecha de inicio y finalización específica. CloudTrail copia los eventos que se produjeron entre las fechas de inicio y finalización elegidas.

    3. En el caso de los permisos, elija una de las siguientes opciones de IAM función. Si elige un IAM rol existente, compruebe que la política de IAM roles proporciona los permisos necesarios. Para obtener más información sobre la actualización de los permisos del IAM rol, consulteIAMpermisos para copiar eventos de seguimiento.

      • Elija Crear un nuevo rol (recomendado) para crear un nuevo IAM rol. En Introducir IAM el nombre del rol, introduzca un nombre para el rol. CloudTrail crea automáticamente los permisos necesarios para este nuevo rol.

      • Seleccione Usar un IAM rol personalizado ARN para usar un IAM rol personalizado que no aparezca en la lista. En Introducir IAM rol ARN, introduzca el IAMARN.

      • Elija un IAM rol existente de la lista desplegable.

  20. Elija Next (Siguiente) para revisar las opciones seleccionadas.

  21. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija Create event data store (Crear almacén de datos de eventos).

  22. El nuevo almacén de datos de eventos aparece en la tabla Almacenes de datos de eventos de la página Almacenes de datos de eventos.

    A partir de este momento, el almacén de datos de eventos captura los eventos que coinciden con sus selectores de eventos avanzados (si ha seleccionado la opción Incorporar eventos). Los eventos que ocurrieron antes de que creara el almacén de datos de eventos no estarán en el almacén de datos de eventos, a menos que opte por copiar los eventos de registro de seguimiento existentes.

Ahora puede ejecutar consultas en su nuevo almacén de datos de eventos. La pestaña Sample queries (Consultas de muestra) proporciona ejemplos de consultas para que pueda empezar. Para obtener más información acerca de la creación y la edición de consultas, consulte Cree o edite una consulta con la consola CloudTrail .

También puede ver el panel de control de CloudTrail Lake para visualizar la administración y los eventos de datos de S3 en su almacén de datos de eventos. Para obtener más información acerca de los paneles de Lake, consulte Vea los tableros de CloudTrail Lake con la consola CloudTrail .