As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciando trilhas com o AWS CLI
AWS CLI Isso inclui vários outros comandos que ajudam você a gerenciar suas trilhas. Esses comandos adicionam tags a trilhas, obtêm o status da trilha, iniciam e interrompem o registro de trilhas e excluem uma trilha. Você deve executar esses comandos na mesma AWS região em que a trilha foi criada (sua região de origem). Ao usar o AWS CLI, lembre-se de que seus comandos são executados na AWS região configurada para seu perfil. Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use o parâmetro --region com o comando.
Tópicos
- Adicionar uma ou mais tags a uma trilha
- Listar tags para uma ou mais trilhas
- Remover uma ou mais tags de uma trilha
- Recuperar as configurações de trilha e o status de uma trilha
- Configurando seletores de eventos do CloudTrail Insights
- Configurar seletores de eventos
- Configurar seletores de eventos avançados
- Interromper e iniciar o registro de uma trilha
- Excluir uma trilha
Adicionar uma ou mais tags a uma trilha
Para adicionar uma ou mais tags a uma trilha existente, execute o comando add-tags.
O exemplo a seguir adiciona uma tag com o nome Owner (Proprietário) e o valor de Mary a uma trilha com o ARN arn:aws:cloudtrail: na região Leste dos EUA (Ohio). us-east-2:123456789012:trail/my-trail
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail--tags-list Key=Owner,Value=Mary--region us-east-2
Se houver êxito, o comando não retornará nada.
Listar tags para uma ou mais trilhas
Para visualizar as tags associadas a uma ou mais trilhas existentes, use o comando list-tags.
O exemplo a seguir lista as tags de Trail1 e Trail2.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
Se houver êxito, o comando gerará uma saída semelhante à seguinte.
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ] }
Remover uma ou mais tags de uma trilha
Para remover uma ou mais tags de uma trilha existente, execute o comando remove-tags.
O exemplo a seguir remove tags com os nomes Location (Localização) e Name (Nome) de uma trilha com o ARN arn:aws:cloudtrail: na região Leste dos EUA (Ohio). us-east-2:123456789012:trail/Trail1
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1--tags-list Key=Name Key=Location --region us-east-2
Se houver êxito, o comando não retornará nada.
Recuperar as configurações de trilha e o status de uma trilha
Execute o describe-trails comando para recuperar informações sobre trilhas em uma AWS região. O exemplo a seguir retorna informações sobre as trilhas configuradas na região Leste dos EUA (Ohio).
aws cloudtrail describe-trails --region us-east-2
Se o comando for bem-sucedido, você verá um resultado semelhante a este.
{ "trailList": [ { "Name": "my-trail", "S3BucketName": "DOC-EXAMPLE-BUCKET1", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "DOC-EXAMPLE-BUCKET2", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "DOC-EXAMPLE-BUCKET3", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ] }
Execute o comando get-trail para recuperar informações de configurações sobre uma trilha específica. O exemplo a seguir retorna informações de configurações para uma trilha chamada my-trail.
aws cloudtrail get-trail - -namemy-trail
Se houver êxito, o comando gerará uma saída semelhante à seguinte.
{ "Trail": { "Name": "my-trail", "S3BucketName": "DOC-EXAMPLE-BUCKET", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, } }
Execute o comando get-trail-status para recuperar o status de uma trilha. Você deve executar esse comando na AWS região em que ele foi criado (a região de origem) ou especificar essa região adicionando o --region parâmetro.
nota
Se a trilha for uma trilha da organização e você for uma conta membro da organização em AWS Organizations, deverá fornecer o ARN completo dessa trilha, e não apenas o nome.
aws cloudtrail get-trail-status --namemy-trail
Se o comando for bem-sucedido, você verá um resultado semelhante a este.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Além dos campos exibidos no código JSON anterior, o status conterá os seguintes campos, se houver erros do Amazon SNS ou do Amazon S3:
-
LatestNotificationError. Contém o erro emitido pelo Amazon SNS se uma inscrição em um tópico falhar. -
LatestDeliveryError. Contém o erro emitido pelo Amazon S3 CloudTrail se não puder entregar um arquivo de log para um bucket.
Configurando seletores de eventos do CloudTrail Insights
Habilite eventos do Insights em uma trilha executando o put-insight-selectors, e especificando ApiCallRateInsight, ApiErrorRateInsight ou ambos como o valor do atributo InsightType. Para visualizar as configurações do seletor do Insights para uma trilha, execute o comando get-insight-selectors. Você deve executar esse comando na AWS região em que a trilha foi criada (a região de origem) ou especificar essa região adicionando o --region parâmetro ao comando.
nota
Para registrar em log eventos do Insights para ApiCallRateInsight, a trilha deve registrar em log os eventos de gerenciamento de write. Para registrar em log eventos do Insights para ApiErrorRateInsight, a trilha deve registrar em log os eventos de gerenciamento de read ou write.
Exemplo: trilha que registra em log eventos do Insights
O exemplo a seguir é usado put-insight-selectors para criar um seletor de eventos do Insights para uma trilha chamada TrailName3. Isso permite a coleta de eventos do Insights para a trilha TrailName3. O seletor de eventos do Insights registra ambosApiErrorRateInsight e ApiCallRateInsightTipos de eventos do Insights.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
O exemplo retorna o seletor de eventos do Insights que está configurado para a trilha.
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Exemplo: desative a coleção de eventos do Insights
O exemplo a seguir é usado put-insight-selectors para remover o seletor de eventos do Insights para uma trilha chamada TrailName3. Limpar a string JSON dos seletores do Insights desativa a coleta de eventos do Insights para a trilha 3. TrailName
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[]'
O exemplo retorna o seletor de eventos do Insights que ficou vazio configurado para a trilha.
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Configurar seletores de eventos
Para visualizar as configurações do seletor de eventos de uma trilha, execute o comando get-event-selectors. Você deve executar esse comando na AWS região em que ele foi criado (a região de origem) ou especificar essa região usando o --region parâmetro.
aws cloudtrail get-event-selectors --trail-nameTrailName
nota
Se a trilha for uma trilha da organização e você for uma conta membro da organização em AWS Organizations, deverá fornecer o ARN completo dessa trilha, e não apenas o nome.
O exemplo a seguir retorna as configurações padrão de um seletor de eventos de uma trilha.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para criar um seletor de eventos, execute o comando put-event-selectors. Se você quiser registrar eventos do Insights na trilha, certifique-se de que o seletor de eventos habilite o registro dos tipos de Insights que você deseja configurar em sua trilha. Para obter mais informações sobre registrar eventos do Insights, consulte Registrar eventos do Insights.
Quando ocorre um evento em sua conta, CloudTrail avalia a configuração de suas trilhas. Se o evento corresponder a qualquer seletor de evento de uma trilha, ela processará e registrará o evento. Você pode configurar até 5 seletores de eventos para uma trilha e até 250 recursos de dados para uma trilha. Para ter mais informações, consulte Eventos de dados de log.
Tópicos
- Exemplo: trilha com seletores de eventos específicos
- Exemplo: trilha que registra em log todos os eventos de dados e de gerenciamento
- Exemplo de trilha que não registra AWS Key Management Service eventos
- Exemplo de trilha que registra eventos relevantes de baixo volume AWS Key Management Service
- Exemplo de trilha que não registra eventos de API de dados do Amazon RDS
Exemplo: trilha com seletores de eventos específicos
O exemplo a seguir cria um seletor de eventos para uma trilha nomeada TrailNamepara incluir eventos de gerenciamento somente para leitura e somente gravação, eventos de dados para duas combinações de bucket/prefixo do Amazon S3 e eventos de dados para uma única função chamada. AWS Lambda hello-world-python-function
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET1/prefix","arn:aws:s3:::DOC-EXAMPLE-BUCKET2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
O exemplo a seguir retorna o seletor de eventos configurado para a trilha:
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/prefix", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Exemplo: trilha que registra em log todos os eventos de dados e de gerenciamento
O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailName2 que inclui todos os eventos, incluindo eventos de gerenciamento somente para leitura e somente gravação, e todos os eventos de dados para todos os buckets AWS Lambda , funções e tabelas do Amazon DynamoDB do Amazon S3 na conta. AWS Como esse exemplo usa seletores de eventos básicos, ele não pode configurar o registro de eventos do S3 em AWS Outposts, chamadas JSON-RPC do Amazon Managed Blockchain em nós Ethereum ou outros tipos de recursos de seletores de eventos avançados. Você deve usar seletores de eventos avançados para registrar eventos de dados para esses recursos. Para ter mais informações, consulte Configurar seletores de eventos avançados.
nota
Se a trilha se aplicar somente a uma região, somente eventos nessa região serão registrados, mesmo que os parâmetros do seletor de eventos especificarem todos os buckets do Amazon S3 e funções do Lambda. Os seletores de eventos se aplicam somente às regiões em que a trilha é criada.
aws cloudtrail put-event-selectors --trail-nameTrailName2--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
O exemplo a seguir retorna os seletores de eventos configurados para a trilha:
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }
Exemplo de trilha que não registra AWS Key Management Service eventos
O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailNamepara incluir eventos de gerenciamento somente para leitura e somente gravação, mas para excluir eventos (). AWS Key Management Service AWS KMS Como AWS KMS os eventos são tratados como eventos de gerenciamento e podem haver um grande volume deles, eles podem ter um impacto substancial em sua CloudTrail fatura se você tiver mais de uma trilha que capture eventos de gerenciamento. O usuário neste exemplo optou por excluir eventos do AWS KMS de todas as trilhas, exceto uma. Para excluir uma origem de evento, adicione ExcludeManagementEventSources ao seletor de eventos e especifique uma origem de evento no valor da string.
Se você optar por não registrar eventos de gerenciamento, os AWS KMS eventos não serão registrados e você não poderá alterar as configurações do registro de AWS KMS eventos.
Para começar a registrar AWS KMS eventos em uma trilha novamente, passe uma matriz vazia como o valor deExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
O exemplo retorna o seletor de eventos configurado para a trilha.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para começar a registrar AWS KMS eventos em uma trilha novamente, passe uma matriz vazia como o valor deExcludeManagementEventSources, conforme mostrado no comando a seguir.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Exemplo de trilha que registra eventos relevantes de baixo volume AWS Key Management Service
O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailNamepara incluir eventos e eventos de gerenciamento somente para gravação. AWS KMS Como AWS KMS os eventos são tratados como eventos de gerenciamento e podem haver um grande volume deles, eles podem ter um impacto substancial em sua CloudTrail fatura se você tiver mais de uma trilha que capture eventos de gerenciamento. O usuário neste exemplo optou por incluir eventos de AWS KMS gravação, que incluirãoDisable, Delete eScheduleKey, mas não incluirão mais ações de alto volumeEncrypt, comoDecrypt, e GenerateDataKey (agora são tratados como eventos de leitura).
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
O exemplo retorna o seletor de eventos configurado para a trilha. Isso registra eventos de gerenciamento somente para gravação, incluindo AWS KMS eventos.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Exemplo de trilha que não registra eventos de API de dados do Amazon RDS
O exemplo a seguir cria um seletor de eventos para uma trilha nomeada TrailNamepara incluir eventos de gerenciamento somente para leitura e somente gravação, mas para excluir eventos da API de dados do Amazon RDS. Como os eventos da API de dados do Amazon RDS são tratados como eventos de gerenciamento e pode haver um grande volume deles, eles podem ter um impacto substancial em sua CloudTrail fatura se você tiver mais de uma trilha que capture eventos de gerenciamento. O usuário neste exemplo optou por excluir eventos do Amazon RDS Data API de todas as trilhas, exceto uma. Para excluir uma origem de evento, adicione ExcludeManagementEventSources ao seletor de eventos e especifique uma fonte de evento do Amazon RDS Data API no valor da string: rdsdata.amazonaws.com.
Se você optar por não registrar eventos de gerenciamento, os eventos do Amazon RDS Data API não serão registrados e você não pode alterar as configurações de log de eventos.
Para começar a registrar novamente os eventos de gerenciamento da API de dados do Amazon RDS em uma trilha, passe uma matriz vazia como o valor deExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
O exemplo retorna o seletor de eventos configurado para a trilha.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para começar a registrar novamente os eventos de gerenciamento da API de dados do Amazon RDS em uma trilha, passe uma matriz vazia como o valor deExcludeManagementEventSources, conforme mostrado no comando a seguir.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Configurar seletores de eventos avançados
Para usar seletores de evento avançado para incluir ou excluir eventos de dados em vez de seletores de eventos básicos, opte por usar seletores de eventos avançados na página de detalhes de uma trilha. Os seletores de eventos avançados permitem registrar eventos de dados em mais tipos de recursos do que os seletores de eventos básicos. Os seletores básicos registram a atividade de objetos do S3, a atividade de execução da função do AWS Lambda e tabelas do DynamoDB.
Nos seletores de eventos avançados, crie uma expressão para coletar eventos de dados em tipos de recursos específicos, como buckets do S3, funções, tabelas do DynamoDB AWS Lambda , pontos de acesso do S3 Object Lambda, APIs diretas do Amazon EBS em snapshots do EBS, pontos de acesso do S3, fluxos do DynamoDB, tabelas criadas pelo Lake Formation e muito mais. AWS Glue
Para obter mais informações sobre seletores de eventos avançados, consulte Configurar seletores de eventos avançados.
Para visualizar as configurações do seletor de eventos avançados de uma trilha, execute o comando get-event-selectors a seguir. Você deve executar esse comando na AWS região em que a trilha foi criada (a região de origem) ou especificar essa região adicionando o --region parâmetro.
aws cloudtrail get-event-selectors --trail-nameTrailName
nota
Se a trilha for uma trilha da organização e você estiver conectado com uma conta de membro na organização em AWS Organizations, deverá fornecer o ARN completo da trilha, e não apenas o nome.
O exemplo a seguir retorna as configurações padrão de um seletor de eventos avançado de uma trilha. Por padrão, nenhum seletor de evento avançado está configurado para uma trilha.
{ "AdvancedEventSelectors": [], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para criar um seletor de eventos avançado, execute o comando put-event-selectors. Quando ocorre um evento de dados em sua conta, CloudTrail avalia a configuração de suas trilhas. Se o evento corresponder a qualquer seletor de evento avançado de uma trilha, ela processará e registrará o evento. Você pode configurar até 500 condições em uma trilha, incluindo todos os valores especificados para todos os seletores de eventos avançados em sua trilha. Para ter mais informações, consulte Eventos de dados de log.
Tópicos
- Exemplo de trilha com seletores de eventos avançados específicos
- Exemplo de trilha que usa seletores de eventos avançados personalizados para registrar o Amazon S3 AWS Outposts em eventos de dados
- Exemplo de trilha que usa seletores de eventos avançados para excluir AWS Key Management Service eventos
- Exemplo de trilha que usa seletores de eventos avançados para excluir eventos de gerenciamento da API de dados do Amazon RDS
Exemplo de trilha com seletores de eventos avançados específicos
O exemplo a seguir cria seletores de eventos avançados personalizados para uma trilha nomeada TrailNamepara incluir eventos de gerenciamento de leitura e gravação (omitindo o readOnly seletor) PutObject e eventos de DeleteObject dados para todas as combinações de bucket/prefixo do Amazon S3, exceto para um bucket chamado e eventos de dados para uma função chamada. DOC-EXAMPLE-BUCKET AWS Lambda MyLambdaFunction Como estes são seletores de eventos avançados personalizados, cada conjunto de seletores tem um nome descritivo. Observe que uma barra à direita faz parte do valor ARN para buckets do S3.
aws cloudtrail put-event-selectors --trail-nameTrailName--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
O exemplo retorna os seletores de eventos avançados configurados para a trilha.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Exemplo de trilha que usa seletores de eventos avançados personalizados para registrar o Amazon S3 AWS Outposts em eventos de dados
O exemplo a seguir mostra como configurar sua trilha para incluir todos os eventos de dados de todo o Amazon S3 em AWS Outposts objetos em seu posto avançado. Nesta versão, o valor suportado para S3 em AWS Outposts eventos para o resources.type campo éAWS::S3Outposts::Object.
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName" }
Exemplo de trilha que usa seletores de eventos avançados para excluir AWS Key Management Service eventos
O exemplo a seguir cria um seletor de eventos avançado para uma trilha chamada TrailNamepara incluir eventos de gerenciamento somente para leitura e somente gravação (omitindo o readOnly seletor), mas para excluir eventos (). AWS Key Management Service AWS KMS Como AWS KMS os eventos são tratados como eventos de gerenciamento e podem haver um grande volume deles, eles podem ter um impacto substancial em sua CloudTrail fatura se você tiver mais de uma trilha que capture eventos de gerenciamento.
Se você optar por não registrar eventos de gerenciamento, os AWS KMS eventos não serão registrados e você não poderá alterar as configurações do registro de AWS KMS eventos.
Para começar a registrar AWS KMS eventos em uma trilha novamente, remova o eventSource seletor e execute o comando novamente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
O exemplo retorna os seletores de eventos avançados configurados para a trilha.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para começar a registrar eventos excluídos para uma trilha novamente, remova o seletor eventSource e execute o comando novamente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Exemplo de trilha que usa seletores de eventos avançados para excluir eventos de gerenciamento da API de dados do Amazon RDS
O exemplo a seguir cria um seletor de eventos avançado para uma trilha nomeada TrailNamepara incluir eventos de gerenciamento somente para leitura e somente gravação (omitindo o readOnly seletor), mas para excluir eventos de gerenciamento da API de dados do Amazon RDS. Para excluir eventos de gerenciamento da API de dados do Amazon RDS, especifique a origem do evento da API de dados do Amazon RDS no valor da string para o eventSource campo:. rdsdata.amazonaws.com
Se você optar por não registrar eventos de gerenciamento, os eventos de gerenciamento da API de dados do Amazon RDS não serão registrados e você não poderá alterar as configurações de registro de eventos da API de dados do Amazon RDS.
Para começar a registrar novamente os eventos de gerenciamento da API de dados do Amazon RDS em uma trilha, remova o eventSource seletor e execute o comando novamente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
O exemplo retorna os seletores de eventos avançados configurados para a trilha.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para começar a registrar eventos excluídos para uma trilha novamente, remova o seletor eventSource e execute o comando novamente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Interromper e iniciar o registro de uma trilha
Os comandos a seguir iniciam e interrompem o CloudTrail registro.
aws cloudtrail start-logging --nameawscloudtrail-example
aws cloudtrail stop-logging --nameawscloudtrail-example
nota
Antes de excluir um bucket, execute o comando stop-logging para interromper o fornecimento de eventos ao bucket. Se você não parar de registrar, CloudTrail tentará entregar os arquivos de log em um bucket com o mesmo nome por um período limitado.
Se você parar de registrar ou excluir uma trilha, o CloudTrail Insights será desativado nessa trilha.
Excluir uma trilha
Se você habilitou eventos CloudTrail de gerenciamento no Amazon Security Lake, é necessário manter pelo menos uma trilha organizacional que seja multirregional e read registre os eventos write de gerenciamento. Você não pode excluir uma trilha se ela for a única trilha que atenda a esse requisito, a menos que você desative os eventos CloudTrail de gerenciamento no Security Lake.
Você pode excluir uma trilha com o comando a seguir. Só é possível excluir uma trilha na região em que ela foi criada (a região inicial).
aws cloudtrail delete-trail --nameawscloudtrail-example
Ao excluir uma trilha, você não exclui o bucket do Amazon S3 ou o tópico do Amazon SNS associado a ela. Use a API de serviço AWS Management Console AWS CLI, ou para excluir esses recursos separadamente.
