As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Esta seção resume os conceitos básicos relacionados a. CloudTrail
Conceitos:
CloudTrail eventos
Um evento em CloudTrail é o registro de uma atividade em uma AWS conta. Essa atividade pode ser uma ação realizada por uma identidade do IAM ou um serviço que pode ser monitorado por CloudTrail. CloudTrailos eventos fornecem um histórico da atividade da conta API e não API feita por meio das ferramentas de linha de comando AWS Management Console AWS SDKs,, e outros AWS serviços.
CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, os eventos não aparecem em nenhuma ordem específica.
CloudTrail registra quatro tipos de eventos:
Todos os tipos de eventos usam um formato de log CloudTrail JSON.
Por padrão, as trilhas e os armazenamentos de dados de eventos registram eventos de gerenciamento, mas não eventos de dados ou do Insights.
Para obter informações sobre como Serviços da AWS integrar com CloudTrail, consulteAWS tópicos de serviço para CloudTrail.
Eventos de gerenciamento
Os eventos de gerenciamento fornecem informações sobre as operações de gerenciamento que são realizadas nos recursos AWS da sua conta. Elas também são conhecidas como operações de plano de controle.
Exemplos de eventos de gerenciamento incluem:
-
Configurando a segurança (por exemplo, operações de AWS Identity and Access Management
AttachRolePolicyAPI). -
Registro de dispositivos (por exemplo, operações de EC2
CreateDefaultVpcAPI da Amazon). -
Configurar regras para rotear dados (por exemplo, operações de EC2
CreateSubnetAPI da Amazon). -
Configurar o registro (por exemplo, operações de AWS CloudTrail
CreateTrailAPI).
Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem na sua conta. Por exemplo, quando um usuário faz login na sua conta, CloudTrail registra o ConsoleLogin evento. Para obter mais informações, consulte Eventos não relacionados à API capturados por CloudTrail.
Por padrão, os dados de CloudTrail trilhas e eventos do CloudTrail Lake armazenam eventos de gerenciamento de registros. Para obter mais informações sobre como registrar eventos de gerenciamento em log, consulte Log de eventos de gerenciamento.
Eventos de dados
Os eventos de dados fornecem informações sobre as operações aplicadas a um recurso ou realizadas em um recurso. Elas também são conhecidas como operações de plano de dados. Eventos de dados geralmente são atividades de alto volume.
Exemplos de eventos de dados incluem:
-
Atividade de APIs no nível de objeto do Amazon S3 (por exemplo, as operações de API
GetObject,DeleteObjectePutObject) em objetos em buckets do S3. -
AWS Lambda atividade de execução da função (a
InvokeAPI). -
CloudTrail
PutAuditEventsatividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS. -
Operações da API
PublishePublishBatchdo Amazon SNS em tópicos.
A tabela a seguir mostra os tipos de recursos disponíveis para trilhas e armazenamentos de dados de eventos. A coluna Tipo de recurso (console) mostra a seleção apropriada no console. A coluna de valor resources.type mostra o resources.type valor que você especificaria para incluir eventos de dados desse tipo em seu armazenamento de dados de trilhas ou eventos usando o ou. AWS CLI CloudTrail APIs
Para trilhas, é possível usar seletores de eventos básicos ou avançados para registrar eventos de dados em objetos do Amazon S3 de uso geral, funções do Lambda e tabelas do DynamoDB (mostradas nas três primeiras linhas da tabela). Você pode usar somente seletores de eventos avançados para registrar os tipos de recursos mostrados nas linhas restantes.
Para armazenamentos de dados de eventos, é possível usar somente seletores de eventos avançados para incluir eventos de dados.
| AWS service (Serviço da AWS) | Descrição | Tipo de recurso (console) | valor resources.type |
|---|---|---|---|
| Amazon DynamoDB | Atividade de API do Amazon DynamoDB no nível de objeto em tabelas (por exemplo, operações de API notaPara tabelas com fluxos habilitados, o campo |
DynamoDB |
|
| AWS Lambda | AWS Lambda atividade de execução da função (a |
Lambda | AWS::Lambda::Function |
| Amazon S3 | Atividade de APIs no nível de objeto do Amazon S3 (por exemplo, as operações de API |
S3 | AWS::S3::Object |
| AWS AppConfig | AWS AppConfig Atividade de API para operações de configuração, como chamadas para |
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | AWS AppSync Atividade de API no AppSync GraphQL APIs. |
AppSync GraphQL | AWS::AppSync::GraphQLApi |
| AWS Intercâmbio de dados B2B | Atividade da API B2B Data Interchange para operações do Transformer, como chamadas para |
B2B Data Interchange | AWS::B2BI::Transformer |
| AWS Backup | AWS Backup Atividade da API Search Data em trabalhos de pesquisa. |
AWS Backup Dados de pesquisa APIs | AWS::Backup::SearchJob |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em um alias de agente. | Alias de agente do Bedrock | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | Atividade da API Amazon Bedrock em invocações assíncronas. | Invocação assíncrona Bedrock | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em um alias de fluxo. | Alias de fluxo do Bedrock | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em barreiras de proteção. | Barreira de proteção do Bedrock | AWS::Bedrock::Guardrail |
| Amazon Bedrock | Atividade da API Amazon Bedrock em agentes em linha. | Agente em linha Bedrock Invoke | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em uma base de conhecimento. | Base de conhecimento do Bedrock | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | Atividade da API do Amazon Bedrock em modelos. | Modelo do Bedrock | AWS::Bedrock::Model |
| Amazon Bedrock | Atividade da API Amazon Bedrock em prompts. | Bedrock prompt | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | Atividade da API Amazon Bedrock em sessões. | Sessão Bedrock | AWS::Bedrock::Session |
| Amazon CloudFront | CloudFront Atividade de API em um KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS Cloud Map | AWS Cloud Map Atividade de API em um namespace. | AWS Cloud Map namespace | |
| AWS Cloud Map | AWS Cloud Map Atividade de API em um serviço. | AWS Cloud Map serviço | |
| AWS CloudTrail | CloudTrail |
CloudTrail canal | AWS::CloudTrail::Channel |
| Amazon CloudWatch | Atividade da CloudWatch API da Amazon em métricas. |
CloudWatch métrica | AWS::CloudWatch::Metric |
| Monitor CloudWatch de fluxo de rede da Amazon | Atividade da API Amazon CloudWatch Network Flow Monitor em monitores. |
Monitor de fluxo de rede | AWS::NetworkFlowMonitor::Monitor |
| Monitor CloudWatch de fluxo de rede da Amazon | Atividade da API Amazon CloudWatch Network Flow Monitor em escopos. |
Escopo do monitor de fluxo de rede | AWS::NetworkFlowMonitor::Scope |
| Amazon CloudWatch RUM | Atividade da API Amazon CloudWatch RUM em monitores de aplicativos. |
Monitor de aplicativos do RUM | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | CodeGuru Atividade da API Profiler em grupos de criação de perfil. | CodeGuru Grupo de criação de perfil do Profiler | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | Atividade de CodeWhisperer API da Amazon em uma personalização. | CodeWhisperer personalização | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | Atividade CodeWhisperer da API da Amazon em um perfil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Atividade da API do Amazon Cognito em bancos de identidades do Amazon Cognito. |
Bancos de identidades do Cognito | AWS::Cognito::IdentityPool |
| AWS Data Exchange | AWS Data Exchange Atividade de API em ativos. |
Ativo do Data Exchange |
|
| AWS Deadline Cloud | Atividade da API do Deadline Cloud em frotas. |
Deadline Cloud frota |
|
| AWS Deadline Cloud | Atividade da API do Deadline Cloud em trabalhos. |
Deadline Cloud emprego |
|
| AWS Deadline Cloud | Atividade da API do Deadline Cloud em filas. |
Deadline Cloud fila |
|
| AWS Deadline Cloud | Atividade da API do Deadline Cloud em operadores. |
Deadline Cloud trabalhador |
|
| Amazon DynamoDB | Atividade de API do Amazon DynamoDB em fluxos. |
DynamoDB Streams | AWS::DynamoDB::Stream |
| AWS SMS de mensagens para o usuário final | AWS Atividade da API de SMS de mensagens de usuário final sobre identidades de origem. | Identidade de origem de voz por SMS | AWS::SMSVoice::OriginationIdentity |
| AWS SMS de mensagens para o usuário final | AWS Atividade da API de SMS de mensagens para o usuário final nas mensagens. | Mensagem de voz SMS | AWS::SMSVoice::Message |
| AWS Mensagens sociais para o usuário final | AWS Atividade da API social de mensagens do usuário final no número de telefone IDs. | ID do número de telefone das mensagens sociais | AWS::SocialMessaging::PhoneNumberId |
| AWS Mensagens sociais para o usuário final | AWS Atividade da API social de mensagens do usuário final no Waba IDs. | Waba ID de mensagens sociais | AWS::SocialMessaging::WabaId |
| Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) diretamente APIs, como |
Amazon EBS direto APIs | AWS::EC2::Snapshot |
| Amazon EMR | Atividade da API do Amazon EMR em um espaço de trabalho de log de gravação antecipada. | Espaço de trabalho de log de gravação antecipada do EMR | AWS::EMRWAL::Workspace |
| Amazon FinSpace | Atividade de API do Amazon FinSpace em ambientes. |
FinSpace | AWS::FinSpace::Environment |
| AWS Glue | AWS Glue Atividade de API em tabelas criadas pelo Lake Formation. |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | Atividade de GuardDuty API da Amazon para um detector. |
GuardDuty detector | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging Atividade de API em armazenamentos de dados. |
MedicalImaging armazenamento de dados | AWS::MedicalImaging::Datastore |
| AWS IoT | Certificado de IoT | AWS::IoT::Certificate |
|
| AWS IoT | Coisa da IoT | AWS::IoT::Thing |
|
| AWS IoT Greengrass Version 2 | Atividade da API do Greengrass de um dispositivo principal do Greengrass em uma versão de componente. notaO Greengrass não registra eventos de acesso negado. |
Versão do componente de IoT do Greengrass | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | Atividade da API do Greengrass de um dispositivo principal do Greengrass em uma implantação. notaO Greengrass não registra eventos de acesso negado. |
Implantação do IoT Greengrass | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | Ativo de IoT SiteWise | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | Série temporal de IoT SiteWise | AWS::IoTSiteWise::TimeSeries |
|
| AWS IoT SiteWise Assistente | Atividade da API do Sitewise Assistant em conversas. |
Conversa com o Sitewise Assistant | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | Entidade de IoT TwinMaker | AWS::IoTTwinMaker::Entity |
|
| AWS IoT TwinMaker | Espaço de trabalho de IoT TwinMaker | AWS::IoTTwinMaker::Workspace |
|
| Amazon Kendra Intelligent Ranking | Atividade da API do Amazon Kendra Intelligent Ranking em planos de execução de reclassificação. |
Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (para Apache Cassandra) | Atividade da API do Amazon Keyspaces em uma tabela. | Tabela do Cassandra | AWS::Cassandra::Table |
| Amazon Kinesis Data Streams | Atividade da API do Kinesis Data Streams em fluxos. | Fluxo do Kinesis | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | Atividade da API do Kinesis Data Streams em consumidores de fluxo. | Consumidor do fluxo do Kinesis | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | Atividade da API do Kinesis Video Streams, como chamadas para GetMedia e PutMedia. |
Fluxo de vídeo do Kinesis | AWS::KinesisVideo::Stream |
| Amazon Location Maps | Atividade da API do Amazon Location Maps. | Mapas geográficos | AWS::GeoMaps::Provider |
| Amazon Location Places | Atividade da API Amazon Location Places. | Locais geográficos | AWS::GeoPlaces::Provider |
| Amazon Location Routes | Atividade da API Amazon Location Routes. | Rotas geográficas | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | Atividade da API do Machine Learning em modelos de ML. | Aprendizagem automática MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | Atividade da API do Amazon Managed Blockchain em uma rede. |
Rede do Managed Blockchain | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Chamadas de JSON-RPC do Amazon Managed Blockchain em nós Ethereum, como |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain Query | Atividade da API Amazon Managed Blockchain Query. |
Consulta gerenciada de blockchain | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | Atividade da API Amazon MWAA em ambientes. |
Apache Airflow gerenciado | AWS::MWAA::Environment |
| Gráfico do Amazon Neptune | Atividades da API de dados, por exemplo, consultas, algoritmos ou pesquisa vetorial, em um gráfico do Neptune. |
Gráfico do Neptune | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | Atividade da API Amazon One Enterprise em um UKey. |
Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | Atividade da API do Amazon One Enterprise sobre usuários. |
Usuário do Amazon One | AWS::One::User |
| AWS Payment Cryptography | AWS Payment Cryptography Atividade de API em aliases. | Alias de criptografia de pagamento | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | AWS Payment Cryptography Atividade de API nas chaves. | Chave de criptografia de pagamento | AWS::PaymentCryptography::Key |
| AWS Private CA | AWS Private CA Conector para atividade da API do Active Directory. |
AWS Private CA Conector para Active Directory | AWS::PCAConnectorAD::Connector |
| AWS Private CA | AWS Private CA Conector para atividade da API SCEP. |
AWS Private CA Conector para SCEP | AWS::PCAConnectorSCEP::Connector |
| Amazon Pinpoint | Atividade da API Amazon Pinpoint em aplicativos móveis de segmentação. |
Aplicativo de segmentação móvel | AWS::Pinpoint::App |
| Amazon Q Apps | Atividade da API de dados no Amazon Q Apps. |
Amazon Q Apps | AWS::QApps::QApp |
| Amazon Q Apps | Atividade da API de dados nas sessões do Amazon Q App. |
Sessão do aplicativo Amazon Q | AWS::QApps::QAppSession |
| Amazon Q Business | Atividade da API do Amazon Q Business em uma aplicação. |
Aplicação do Amazon Q Business | AWS::QBusiness::Application |
| Amazon Q Business | Atividade da API do Amazon Q Business em uma fonte de dados. |
Fonte de dados do Amazon Q Business | AWS::QBusiness::DataSource |
| Amazon Q Business | Atividade da API do Amazon Q Business em um índice. |
Índice do Amazon Q Business | AWS::QBusiness::Index |
| Amazon Q Business | Atividade da API do Amazon Q Business em uma experiência na web. |
Experiência na web do Amazon Q Business | AWS::QBusiness::WebExperience |
| Amazon Q Developer | Atividade da API Amazon Q Developer em uma integração. |
Q Integração para desenvolvedores | AWS::QDeveloper::Integration |
| Amazon Q Developer | Atividade da Amazon Q Developer API em investigações operacionais. |
AIOps Grupo de Investigação | AWS::AIOps::InvestigationGroup |
| Amazon RDS | Atividade da API do Amazon RDS em um cluster de banco de dados. |
API de dados do RDS: cluster de banco de dados | AWS::RDS::DBCluster |
| Explorador de recursos da AWS | Atividade da API Resource Explorer em visualizações gerenciadas. |
Explorador de recursos da AWS visualização gerenciada | AWS::ResourceExplorer2::ManagedView |
| Explorador de recursos da AWS | Atividade da API Resource Explorer nas visualizações. |
Explorador de recursos da AWS view | AWS::ResourceExplorer2::View |
| Amazon S3 | Atividade da API do Amazon S3 em pontos de acesso. |
Ponto de acesso do S3 | AWS::S3::AccessPoint |
| Amazon S3 | Atividade da API no nível de objeto do Amazon S3 (por exemplo, as operações de API |
S3 Express | AWS::S3Express::Object |
| Amazon S3 | Atividade da API em pontos de acesso do Amazon S3 Object Lambda, como chamadas para |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Tabelas do Amazon S3 | Tabela S3 | AWS::S3Tables::Table |
|
| Tabelas do Amazon S3 | Atividade da API do Amazon S3 em baldes de mesa. |
Balde de mesa S3 | AWS::S3Tables::TableBucket |
| Amazon S3 on Outposts | Atividade da API em nível de objeto do Amazon S3 on Outposts. |
S3 Outposts | AWS::S3Outposts::Object |
| SageMaker Inteligência Artificial da Amazon | InvokeEndpointWithResponseStreamAtividade de SageMaker IA da Amazon em endpoints. |
SageMaker Endpoint de IA | AWS::SageMaker::Endpoint |
| SageMaker Inteligência Artificial da Amazon | Atividade da Amazon SageMaker AI API em lojas de recursos. |
SageMaker AI feature store | AWS::SageMaker::FeatureGroup |
| SageMaker Inteligência Artificial da Amazon | Atividade da Amazon SageMaker AI API em componentes de testes experimentais. |
SageMaker Componente experimental do experimento de métricas de IA | AWS::SageMaker::ExperimentTrialComponent |
| AWS Signer | Atividade da API Signer na assinatura de trabalhos. |
Signatário assinando emprego | AWS::Signer::SigningJob |
| AWS Signer | Atividade da API Signer em perfis de assinatura. |
Perfil de assinatura do signatário | AWS::Signer::SigningProfile |
| Amazon SimpleDB | Atividade da API Amazon SimpleDB em domínios. |
Domínio SimpleDB | AWS::SDB::Domain |
| Amazon SNS | Operações da API |
Endpoint da plataforma SNS | AWS::SNS::PlatformEndpoint |
| Amazon SNS | Operações da API |
Tópico do SNS | AWS::SNS::Topic |
| Amazon SQS | Atividade da API do Amazon SQS em mensagens. |
SQS | AWS::SQS::Queue |
| AWS Step Functions | Atividade da API Step Functions em atividades. |
Step Functions | AWS::StepFunctions::Activity |
| AWS Step Functions | Atividade da API Step Functions em máquinas de estado. |
Máquina de estado do Step Functions | AWS::StepFunctions::StateMachine |
| Cadeia de Suprimentos AWS | Cadeia de Suprimentos AWS Atividade de API em uma instância. |
Cadeia de suprimentos | AWS::SCN::Instance |
| Amazon SWF | Domínio do SWF | AWS::SWF::Domain |
|
| AWS Systems Manager | Atividade da API do Systems Manager em canais de controle. | Systems Manager (Gerenciador de sistemas) | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | Atividade da API do Systems Manager em avaliações de impacto. | Avaliação de impacto do SSM | AWS::SSM::ExecutionPreview |
| AWS Systems Manager | Atividade da API do Systems Manager em nós gerenciados. | Nó gerenciado pelo Systems Manager | AWS::SSM::ManagedNode |
| Amazon Timestream | Atividade da API Query do Amazon Timestream em bancos de dados. |
Banco de dados do Timestream | AWS::Timestream::Database |
| Amazon Timestream | Atividade da API Amazon Timestream em endpoints regionais. | Endpoint regional Timestream | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | Atividade da API Query do Amazon Timestream em tabelas. |
Tabela do Timestream | AWS::Timestream::Table |
| Amazon Verified Permissions | Atividade da API do Amazon Verified Permissions em um repositório de políticas. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces Thin Client | WorkSpaces Atividade da API Thin Client em um dispositivo. | Dispositivo Thin Client | AWS::ThinClient::Device |
| Amazon WorkSpaces Thin Client | WorkSpaces Atividade da API Thin Client em um ambiente. | Ambiente Thin Client | AWS::ThinClient::Environment |
| AWS X-Ray | Rastreamento do X-Ray | AWS::XRay::Trace |
Eventos de dados não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de CloudTrail dados, você deve adicionar explicitamente cada tipo de recurso para o qual deseja coletar atividades. Para obter mais informações sobre log de eventos de dados, consulte Eventos de dados de log.
Há cobranças adicionais para o registro de eventos de dados. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços
Eventos de atividade de rede
CloudTrail eventos de atividade de rede permitem que proprietários de endpoints de VPC gravem chamadas de AWS API feitas usando seus endpoints de VPC de uma VPC privada para o. AWS service (Serviço da AWS) Os eventos de atividade de rede fornecem visibilidade nas operações de recurso executadas dentro de uma VPC.
Você pode registrar eventos de atividade de rede para os seguintes serviços:
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
Amazon S3
-
AWS Secrets Manager
Eventos de atividade de rede não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de atividade de CloudTrail rede, você deve definir explicitamente a origem do evento para a qual deseja coletar atividades. Para obter mais informações, consulte Registrar em log os eventos de atividade de rede.
Cobranças adicionais são aplicáveis ao registro em log dos eventos de atividade de rede. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços
Eventos do Insights
CloudTrail Os eventos do Insights capturam atividades incomuns de taxa de chamadas de API ou taxa de erro em sua AWS conta analisando a atividade CloudTrail de gerenciamento. Os eventos do Insights fornecem informações relevantes, como a API associada, a hora do incidente e estatísticas, que ajudam a entender e agir com relação à atividade incomum. Ao contrário de outros tipos de eventos capturados em um armazenamento de dados de CloudTrail trilhas ou eventos, os eventos do Insights são registrados somente quando CloudTrail detectam alterações no uso da API ou no registro da taxa de erro da sua conta que diferem significativamente dos padrões de uso típicos da conta. Para obter mais informações, consulte Trabalhando com o CloudTrail Insights.
Exemplos de atividades que podem gerar eventos do Insights incluem:
-
Sua conta geralmente registra em log no máximo 20 chamadas de API do
deleteBucketAmazon S3 por minuto, mas sua conta começa a registrar em log uma média de 100 chamadas de APIdeleteBucketpor minuto. Um evento do Insights é registrado em log no início da atividade incomum e outro evento do Insights é registrado em log para marcar o fim da atividade incomum. -
Sua conta normalmente registra 20 chamadas por minuto para a EC2
AuthorizeSecurityGroupIngressAPI da Amazon, mas sua conta começa a registrar zero chamadas paraAuthorizeSecurityGroupIngress. Um evento do Insights é registrado em log no início da atividade incomum, e dez minutos depois, quando a atividade incomum termina, outro evento do Insights é registrado em log para marcar o fim da atividade incomum. -
Sua conta normalmente registra menos de um
AccessDeniedExceptionerro em um período de sete dias no AWS Identity and Access Management API,DeleteInstanceProfile. Sua conta começa a registrar uma média de 12AccessDeniedExceptionerros por minuto naDeleteInstanceProfilechamada de API. Um evento do Insights é registrado no início da atividade incomum e outro evento do Insights é registrado para marcar o fim da atividade incomum.
Esses exemplos são fornecidos somente para fins ilustrativos. Seus resultados podem variar dependendo do seu caso de uso.
Para registrar eventos do CloudTrail Insights, você deve habilitar explicitamente os eventos do Insights em um armazenamento de dados de trilhas ou eventos novo ou existente. Para obter mais informações sobre a criação de uma trilha, consulte Criando uma trilha com o CloudTrail console. Para obter mais informações sobre como criar um armazenamento de dados de eventos, consulte Criar um armazenamento de dados de eventos para eventos do Insights com o console.
Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail
Histórico de eventos
CloudTrail o histórico de eventos fornece um registro visível, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento em um CloudTrail . Região da AWS Você pode usar esse histórico para obter visibilidade das ações realizadas em sua AWS conta nas ferramentas de linha de comando AWS Management Console AWS SDKs,, e em outros AWS serviços. Você pode personalizar sua visualização do histórico de eventos no CloudTrail console selecionando quais colunas serão exibidas. Para obter mais informações, consulte Trabalhando com o histórico de CloudTrail eventos.
Trilhas
Uma trilha é uma configuração que permite a entrega de CloudTrail eventos para um bucket do S3, com entrega opcional para a CloudWatch Logs e a Amazon EventBridge. Você pode usar uma trilha para escolher os CloudTrail eventos que deseja entregar, criptografar seus arquivos de log de CloudTrail eventos com uma AWS KMS chave e configurar as notificações do Amazon SNS para entrega de arquivos de log. Para obter mais informações sobre como criar e gerenciar uma trilha, consulte Criando uma trilha para o seu Conta da AWS.
Trilhas de várias regiões e de região única
Você pode criar trilhas de várias regiões e de uma única região para sua Conta da AWS.
- Trilhas de várias regiões
-
Quando você cria uma trilha multirregional, CloudTrail registra os eventos em todos os Regiões da AWS que estão habilitados na sua Conta da AWS e entrega os arquivos de log de CloudTrail eventos em um bucket do S3 que você especificar. Como prática recomendada, recomendamos criar uma trilha multirregional porque ela captura a atividade em todas as regiões habilitadas. Todas as trilhas criadas usando o CloudTrail console são trilhas multirregionais. Você pode converter uma trilha de região única em uma trilha de várias regiões usando o. AWS CLI Para ter mais informações, consulte Entendendo trilhas multirregionais e regiões optativas, Criando uma trilha com o console e Conversão de uma trilha de uma única região em uma trilha de várias regiões.
- Trilhas de região única
-
Ao criar uma trilha de região única, CloudTrail registra os eventos somente nessa região. Em seguida, ele entrega os arquivos de log de CloudTrail eventos para um bucket do Amazon S3 que você especificar. Só é possível criar uma trilha de região única usando a AWS CLI. Se você criar trilhas únicas adicionais, poderá fazer com que essas trilhas entreguem arquivos de log de CloudTrail eventos para o mesmo bucket do S3 ou para buckets separados. Essa é a opção padrão quando você cria uma trilha usando a AWS CLI ou a CloudTrail API. Para obter mais informações, consulte Criando, atualizando e gerenciando trilhas com o AWS CLI.
nota
Para os dois tipos de trilhas, é possível especificar um bucket do Amazon S3 de qualquer região.
Uma trilha de várias regiões tem as seguintes vantagens:
-
As configurações da trilha se aplicam de forma consistente em todas as opções habilitadas Regiões da AWS.
-
Você recebe CloudTrail eventos de todos os que estão habilitados Regiões da AWS em um único bucket do Amazon S3 e, opcionalmente, em um grupo de CloudWatch logs de registros.
-
Você gerencia as configurações de trilhas para todas as habilitadas Regiões da AWS em um único local.
A criação de uma trilha multirregional tem os seguintes efeitos:
-
CloudTrail entrega arquivos de log para a atividade da conta de todos os arquivos habilitados Regiões da AWS para o único bucket Amazon S3 que você especificar e, opcionalmente, para um grupo de registros de CloudWatch registros.
-
Se você configurou um tópico do Amazon SNS para a trilha, as notificações do SNS sobre todas as entregas de arquivos de log Regiões da AWS habilitadas serão enviadas para esse único tópico do SNS.
-
Você pode ver a trilha multirregional em todas as opções ativadas Regiões da AWS, mas só pode modificá-la na região de origem em que ela foi criada.
Independentemente de a trilha ser multirregional ou monorregional, os eventos enviados para a Amazon EventBridge são recebidos no ônibus de eventos de cada região, em vez de em um único ônibus de eventos.
Várias trilhas por região
Se você tiver grupos de usuários diferentes, porém relacionados, como desenvolvedores, equipe de segurança e auditores de TI, poderá criar várias trilhas por região. Isso permite que cada grupo receba sua própria cópia dos arquivos de log.
CloudTrail suporta cinco trilhas por região. Um trilha de várias regiões conta como uma trilha por região.
O exemplo a seguir é de uma região com cinco trilhas:
-
Você duas trilhas na região Oeste dos EUA (Norte da Califórnia) que se aplicam somente a essa região.
-
Você cria mais duas trilhas de várias regiões na região Oeste dos EUA (Norte da Califórnia).
-
Você cria outra trilha de várias regiões na região Ásia-Pacífico (Sydney). Esta trilha também existe como uma trilha na região Oeste dos EUA (Norte da Califórnia).
Você pode ver uma lista de trilhas Região da AWS na página Trilhas do CloudTrail console. Para obter mais informações, consulte Atualizando uma trilha com o CloudTrail console. Para CloudTrail saber os preços, consulte AWS CloudTrail
Preços
Trilhas da organização
Uma trilha organizacional é uma configuração que permite a entrega de CloudTrail eventos na conta de gerenciamento e em todas as contas membros de uma AWS Organizations organização para o mesmo bucket do Amazon S3, CloudWatch Logs e Amazon. EventBridge Criar uma trilha da organização ajuda você a definir uma estratégia de registro de eventos uniforme para sua organização.
Todas as trilhas da organização criadas usando o console são trilhas da organização em várias regiões que registram eventos da conta habilitada Regiões da AWS em cada membro da organização. Para registrar eventos em todas as AWS partições da sua organização, crie uma trilha organizacional multirregional em cada partição. Você pode criar uma trilha de região única ou uma trilha da organização de várias regiões usando a AWS CLI. Se você criar uma trilha de região única, registrará atividades somente na trilha Região da AWS (também conhecida como Região de origem).
Embora a maioria Regiões da AWS esteja ativada por padrão para você Conta da AWS, você deve ativar manualmente determinadas regiões (também chamadas de regiões opcionais). Para obter informações sobre quais regiões estão habilitadas por padrão, consulte Considerações antes de habilitar ou desabilitar regiões no Guia de referência da AWS Gerenciamento de contas . Para ver a lista de regiões CloudTrail compatíveis, consulteCloudTrail Regiões suportadas.
Ao criar uma trilha da organização, uma cópia da trilha com o nome atribuído a ela é criada nas contas-membro que pertencem à sua organização.
-
Se a trilha da organização for para uma única região e a região de origem da trilha não for uma região opcional, uma cópia da trilha será criada na região de origem da trilha da organização na conta de cada membro.
-
Se a trilha da organização for para uma única região e a região de origem da trilha for uma região opcional, uma cópia da trilha será criada na região de origem da trilha da organização nas contas dos membros que habilitaram essa região.
-
Se a trilha da organização for multirregional e a região de origem da trilha não for uma região opcional, uma cópia da trilha será criada em cada uma habilitada Região da AWS na conta de cada membro. Quando uma conta-membro habilita uma região de adesão, uma cópia da trilha de várias regiões é criada na região selecionada para a conta-membro após a conclusão da ativação dessa região.
-
Se a trilha da organização for multirregional e a região de origem for uma região opcional, as contas dos membros não enviarão atividades para a trilha da organização, a menos que optem pela trilha multirregional em Região da AWS que a trilha multirregional foi criada. Por exemplo, se você criar uma trilha de várias regiões e escolher a região Europa (Espanha) como a região de Origem da trilha, somente as contas-membro que habilitaram a região Europa (Espanha) para sua conta enviarão a atividade da conta para a trilha da organização.
nota
CloudTrail cria trilhas organizacionais nas contas dos membros, mesmo que a validação de um recurso falhe. Exemplos de falhas de validação incluem:
-
uma política de bucket do Amazon S3 incorreta
-
uma política de tópico do Amazon SNS incorreta
-
incapacidade de entregar para um grupo de CloudWatch registros de registros
-
permissões insuficientes para criptografar usando uma chave do KMS
Uma conta membro com CloudTrail permissões pode ver qualquer falha de validação de uma trilha da organização visualizando a página de detalhes da trilha no CloudTrail console ou executando o AWS CLI get-trail-statuscomando .
Os usuários com CloudTrail permissões nas contas dos membros poderão ver as trilhas da organização (incluindo o ARN da trilha) ao entrarem no CloudTrail console a partir de suas AWS
contas ou ao executarem AWS CLI comandos como describe-trails (embora as contas dos membros devam usar o ARN para a trilha da organização, e não o nome, ao usar a). AWS CLI No entanto, os usuários de contas-membro não terão permissões suficientes para excluir trilhas da organização, ativar ou desativar o registro em log, alterar quais tipos de eventos são registrados ou alterar a trilha da organização. Para obter mais informações sobre o AWS Organizations, consulte Terminologia e conceitos da organização. Para obter mais informações sobre como criar e trabalhar com trilhas da organização, consulte Criar uma trilha para uma organização.
CloudTrail Armazenamentos de dados de lagos e eventos
CloudTrail O Lake permite que você execute consultas detalhadas baseadas em SQL em seus eventos e registre eventos de fontes externas AWS, inclusive de seus próprios aplicativos e de parceiros integrados com o. CloudTrail Você não precisa ter uma trilha configurada em sua conta para usar o CloudTrail Lake.
Os eventos são agregados em armazenamentos de dados de eventos, que são coleções imutáveis de eventos com base nos critérios que você seleciona aplicando seletores de eventos avançados. Você pode manter os dados do evento em um armazenamento de dados de eventos por até 3.653 dias (cerca de 10 anos) se escolher a opção de preço de retenção extensível de um ano ou até 2.557 dias (cerca de 7 anos) se escolher a opção de preço de retenção por sete anos. Você pode salvar consultas do Lake para uso futuro e visualizar resultados de consultas por até sete dias. Também é possível salvar resultados de consultas em um bucket do S3. CloudTrail O Lake também pode armazenar eventos de uma organização AWS Organizations em um armazenamento de dados de eventos ou eventos de várias regiões e contas. CloudTrail O Lake faz parte de uma solução de auditoria que ajuda você a realizar investigações de segurança e solucionar problemas. Para ter mais informações, consulte Trabalhando com AWS CloudTrail Lake e CloudTrail Conceitos e terminologia do lago.
CloudTrail Percepções
CloudTrail O Insights ajuda AWS os usuários a identificar e responder a volumes incomuns de chamadas de API ou erros registrados nas chamadas de API, analisando continuamente os eventos CloudTrail de gerenciamento. Um evento do Insights é um registro de níveis incomuns de write atividade da API de gerenciamento ou níveis incomuns de erros retornados na atividade da API de gerenciamento. Por padrão, trilhas e armazenamentos de dados de eventos não registram eventos do CloudTrail Insights. No console, é possível optar por registrar em log eventos do Insights ao criar ou atualizar uma trilha ou um armazenamento de dados de eventos. Ao usar a CloudTrail API, você pode registrar eventos do Insights editando as configurações de uma trilha existente ou armazenamento de dados de eventos com a PutInsightSelectorsAPI. Cobranças adicionais se aplicam ao registro de eventos do CloudTrail Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Trabalhando com o CloudTrail Insights e Definição de preço do AWS CloudTrail
Tags
Uma tag é uma chave definida pelo cliente e um valor opcional que pode ser atribuído a AWS recursos, como CloudTrail trilhas, armazenamentos de dados de eventos e canais, buckets do S3 usados para armazenar arquivos de CloudTrail log, AWS Organizations organizações e unidades organizacionais e muito mais. Ao adicionar as mesmas tags a trilhas e aos buckets do S3 que você usa para armazenar arquivos de log das trilhas, é possível facilitar o gerenciamento, a pesquisa e a filtragem desses recursos com o AWS Resource Groups. Você pode implementar estratégias de marcação para ajudá-lo a encontrar e gerenciar seus recursos de forma consistente, efetiva e fácil. Para obter mais informações, consulte Melhores práticas para marcar AWS recursos.
AWS Security Token Service and CloudTrail
AWS Security Token Service (AWS STS) é um serviço que tem um endpoint global e também oferece suporte a endpoints específicos da região. Endpoint é um URL que é o ponto de entrada para solicitações de web service. Por exemplo, https://cloudtrail.us-west-2.amazonaws.com é o ponto de entrada regional do Oeste dos EUA (Oregon) para o AWS CloudTrail serviço. Os endpoints regionais ajudam a reduzir a latência em suas aplicações.
Quando você usa um AWS STS endpoint específico da região, a trilha nessa região fornece somente os AWS STS eventos que ocorrem nessa região. Por exemplo, se você estiver usando o endpoint sts.us-west-2.amazonaws.com, a trilha em us-west-2 fornece apenas os eventos AWS STS originados em us-west-2. Para obter mais informações sobre endpoints AWS STS regionais, consulte Ativação e desativação AWS STS em uma AWS região no Guia do usuário do IAM.
Para obter uma lista completa de endpoints AWS regionais, consulte AWS Regiões e endpoints no. Referência geral da AWS Para ver detalhes sobre os eventos do endpoint global AWS STS , consulte Eventos de serviços globais.
Eventos de serviços globais
Importante
Em 22 de novembro de 2021, AWS CloudTrail mudou a forma como as trilhas capturam eventos de serviços globais. Agora, os eventos criados pela Amazon CloudFront AWS Identity and Access Management, e AWS STS são registrados na região em que foram criados, a região Leste dos EUA (Norte da Virgínia), us-east-1. Isso faz com que a forma como CloudTrail trata esses serviços seja consistente com a de outros serviços AWS globais. Para continuar recebendo eventos de serviços globais fora do Leste dos EUA (Norte da Virgínia), certifique-se de converter as trilhas de região única que usam eventos de serviços globais fora do Leste dos EUA (Norte da Virgínia) para trilhas de várias regiões. Para obter mais informações sobre como capturar eventos de serviços globais, consulte Como habilitar e desabilitar o registro de eventos de serviços globais que aparece adiante nesta seção.
Por outro lado, o histórico de eventos no CloudTrail console e o aws cloudtrail lookup-events comando mostrarão esses eventos no Região da AWS local em que eles ocorreram.
Para a maioria dos serviços, os eventos são registrados na região em que a ação ocorreu. Para serviços globais como AWS Identity and Access Management (IAM) e Amazon AWS STS CloudFront, os eventos são entregues em qualquer trilha que inclua serviços globais.
Para a maioria dos serviços globais, os eventos são registrados como ocorridos em uma região Leste dos EUA (Norte da Virgínia), mas alguns eventos de serviço globais são registrados como ocorridos em outras regiões, como a região Leste dos EUA (Ohio) ou a região Oeste dos EUA (Oregon).
Para evitar o recebimento de eventos de serviços globais duplicados, lembre-se do seguinte:
-
Os eventos de serviço global são entregues por padrão às trilhas criadas usando o CloudTrail console. Os eventos resumo são fornecidos ao bucket da trilha.
-
Se você tiver várias trilhas de região única, considere a possibilidade de configurar suas trilhas para que os eventos de serviços globais sejam fornecidos somente em uma das trilhas. Para obter mais informações, consulte Como habilitar e desabilitar o registro de eventos de serviços globais.
-
Se você converter uma trilha multirregional em uma trilha de região única, o registro de eventos de serviços globais será desativado automaticamente para essa trilha. Da mesma forma, se você converter uma trilha de uma única região em uma trilha de várias regiões, o registro global de eventos do serviço será ativado automaticamente para essa trilha.
Para obter mais informações sobre como alterar o registro de eventos de serviços globais de uma trilha, consulte Como habilitar e desabilitar o registro de eventos de serviços globais.
Exemplo:
-
Você cria uma trilha no CloudTrail console. Por padrão, essa trilha registra eventos de serviços globais.
-
Você tem várias trilhas de região única.
-
Não é necessário incluir serviços globais para as trilhas de região única. Os eventos de serviços globais são fornecidos à primeira trilha. Para obter mais informações, consulte Criando, atualizando e gerenciando trilhas com o AWS CLI.
nota
Ao criar ou atualizar uma trilha com a CloudTrail API AWS CLI, AWS SDKs, ou, você pode especificar se deseja incluir ou excluir eventos de serviço global para trilhas. Você não pode configurar o registro global de eventos do serviço a partir do CloudTrail console.
