Eventos de gerenciamento Eventos de dados Eventos de atividade de rede Eventos do Insights

Entendendo CloudTrail os eventos

Um evento em CloudTrail é o registro de uma atividade em uma AWS conta. Essa atividade pode ser uma ação realizada por uma IAM identidade ou serviço que pode ser monitorado por CloudTrail. CloudTrail os eventos fornecem um histórico de atividades não relacionadas à API conta feitas por meio de AWS Management Console, AWS SDKs, ferramentas de linha de comando e outras Serviços da AWS. API

CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das API chamadas públicas, portanto, os eventos não aparecem em nenhuma ordem específica.

Há quatro tipos de CloudTrail eventos:

Eventos de gerenciamento
Eventos de dados
Eventos de atividade de rede

nota
Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.
Eventos do Insights

Por padrão, os dados de trilhas e eventos armazenam eventos de gerenciamento de registros, mas não eventos de dados, eventos de atividade de rede ou eventos do Insights.

Todos os tipos de eventos usam um formato de CloudTrail JSON log. O log contém informações sobre as solicitações de recursos na sua conta, como quem fez a solicitação, os serviços usados, as ações realizadas e os parâmetros da ação. Os dados do evento são incluídos em um conjunto Records.

Para obter informações sobre campos de registro de CloudTrail eventos, consulteCloudTrail conteúdo do registro.

Eventos de gerenciamento

Os eventos de gerenciamento fornecem informações sobre as operações de gerenciamento que são realizadas nos recursos AWS da sua conta. Elas também são conhecidas como operações de plano de controle.

Exemplos de eventos de gerenciamento incluem:

Configurando a segurança (por exemplo, AWS Identity and Access Management AttachRolePolicy API operações).
Registro de dispositivos (por exemplo, EC2 CreateDefaultVpc API operações da Amazon).
Configurando regras para rotear dados (por exemplo, EC2 CreateSubnet API operações da Amazon).
Configurando o registro (por exemplo, AWS CloudTrail CreateTrail API operações).

Os eventos de gerenciamento também podem incluir API eventos não relacionados à sua conta. Por exemplo, quando um usuário faz login na sua conta, CloudTrail registra o ConsoleLogin evento. Para obter mais informações, consulte Não API eventos capturados por CloudTrail.

Por padrão, os dados de CloudTrail trilhas e eventos do CloudTrail Lake armazenam eventos de gerenciamento de registros. Para obter mais informações sobre eventos de gerenciamento de registros, consulteLog de eventos de gerenciamento.

O exemplo a seguir mostra um único registro de log de um evento de gerenciamento. Nesse evento, um IAM usuário chamado Mary_Major executou o aws cloudtrail start-logging comando para chamar a CloudTrail StartLoggingação para iniciar o processo de registro em uma trilha chamadamyTrail.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

No próximo exemplo, um IAM usuário chamado Paulo_Santos executou o aws cloudtrail start-event-data-store-ingestion comando para chamar a StartEventDataStoreIngestionação para iniciar a ingestão em um armazenamento de dados de eventos.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Eventos de dados

Os eventos de dados fornecem informações sobre as operações do recurso executadas em um recurso ou dentro de um recurso. Elas também são conhecidas como operações de plano de dados. Eventos de dados geralmente são atividades de alto volume.

Exemplos de eventos de dados incluem:

APIAtividade em nível de objeto do Amazon S3 (por exemplo,, GetObjectDeleteObject, e PutObject API operações) em objetos em buckets do S3.
AWS Lambda atividade de execução da função (a InvokeAPI).
CloudTrail PutAuditEventsatividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS.
Amazon SNS Publishe PublishBatchAPIoperações em tópicos.

A tabela a seguir mostra os tipos de eventos de dados disponíveis para trilhas e armazenamentos de dados de eventos. A coluna Tipo de evento de dados (console) mostra a seleção apropriada no console. A coluna de valor resources.type mostra o resources.type valor que você especificaria para incluir eventos de dados desse tipo em seu armazenamento de dados de trilhas ou eventos usando o ou. AWS CLI CloudTrail APIs

Para trilhas, você pode usar seletores de eventos básicos ou avançados para registrar eventos de dados para objetos do Amazon S3 em buckets de uso geral, funções Lambda e tabelas do DynamoDB (mostradas nas três primeiras linhas da tabela). É possível usar somente seletores de eventos avançados para registrar em log os tipos de eventos de dados mostrados nas linhas restantes.

Para armazenamentos de dados de eventos, é possível usar somente seletores de eventos avançados para incluir eventos de dados.

AWS service (Serviço da AWS)	Descrição	Tipo de evento de dados (console)	valor resources.type
Amazon DynamoDB	Atividade em APInível de item do Amazon DynamoDB em tabelas (por exemplo`PutItem`,, `DeleteItem` e operações). `UpdateItem` API nota Para tabelas com fluxos habilitados, o campo `resources` no evento de dados contém `AWS::DynamoDB::Stream` e `AWS::DynamoDB::Table`. Se você especificar `AWS::DynamoDB::Table` como `resources.type`, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Para excluir eventos de streams, adicione um filtro no `eventName` campo.	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda atividade de execução da função (a `Invoke`API).	Lambda	`AWS::Lambda::Function`
Amazon S3	APIAtividade em nível de objeto do Amazon S3 (por exemplo,, `GetObjectDeleteObject`, e `PutObject` API operações) em objetos em buckets de uso geral.	S3	`AWS::S3::Object`
AWS AppConfig	AWS AppConfig APIatividade para operações de configuração, como chamadas para `StartConfigurationSession` `GetLatestConfiguration` e.	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS Intercâmbio de dados B2B	APIAtividade de intercâmbio de dados B2B para operações do Transformer, como chamadas para e. `GetTransformerJob` `StartTransformerJob`	B2B Data Interchange	`AWS::B2BI::Transformer`
Amazon Bedrock	APIAtividade do Amazon Bedrock em um alias de agente.	Alias de agente do Bedrock	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	APIAtividade do Amazon Bedrock em um alias de fluxo.	Alias de fluxo de base	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	APIAtividade do Amazon Bedrock em grades de proteção.	Corrimão Bedrock	`AWS::Bedrock::Guardrail`
Amazon Bedrock	APIAtividade do Amazon Bedrock em uma base de conhecimento.	Base de conhecimento do Bedrock	`AWS::Bedrock::KnowledgeBase`
Amazon Bedrock	APIAtividade do Amazon Bedrock em modelos.	Modelo Bedrock	`AWS::Bedrock::Model`
Amazon CloudFront	CloudFront APIatividade em um KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	AWS Cloud Map APIatividade em um namespace.	AWS Cloud Map namespace	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	AWS Cloud Map APIatividade em um serviço.	AWS Cloud Map serviço	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents`atividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS.	CloudTrail canal	`AWS::CloudTrail::Channel`
Amazon CloudWatch	CloudWatch APIAtividade da Amazon em métricas.	CloudWatch métrica	`AWS::CloudWatch::Metric`
Amazon CloudWatch RUM	CloudWatch RUMAPIAtividade da Amazon em monitores de aplicativos.	RUMmonitor de aplicativos	`AWS::RUM::AppMonitor`
Amazon CodeWhisperer	CodeWhisperer APIAtividade da Amazon em uma personalização.	CodeWhisperer personalização	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	CodeWhisperer APIAtividade da Amazon em um perfil.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	APIAtividade do Amazon Cognito nos grupos de identidade do Amazon Cognito.	Bancos de identidades do Cognito	`AWS::Cognito::IdentityPool`
AWS Data Exchange	AWS Data Exchange APIatividade em ativos.	Ativo do Data Exchange	`AWS::DataExchange::Asset`
AWS Deadline Cloud	Deadline Cloud APIatividade em frotas.	Deadline Cloud frota	`AWS::Deadline::Fleet`
AWS Deadline Cloud	Deadline Cloud APIatividade em empregos.	Deadline Cloud emprego	`AWS::Deadline::Job`
AWS Deadline Cloud	Deadline Cloud APIatividade nas filas.	Deadline Cloud fila	`AWS::Deadline::Queue`
AWS Deadline Cloud	Deadline Cloud APIatividade sobre trabalhadores.	Deadline Cloud trabalhador	`AWS::Deadline::Worker`
Amazon DynamoDB	Atividade do Amazon API DynamoDB em streams.	DynamoDB Streams	`AWS::DynamoDB::Stream`
AWS Mensagens sociais para o usuário final	AWS APIAtividade social de mensagens do usuário final no número de telefoneIDs.	ID do número de telefone de mensagens sociais	`AWS::SocialMessaging::PhoneNumberId`
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS) diretoAPIs, como `PutSnapshotBlockGetSnapshotBlock`, e `ListChangedBlocks` em EBS snapshots da Amazon.	Amazon EBS Direct APIs	`AWS::EC2::Snapshot`
Amazon EMR	EMRAPIAtividade da Amazon em um espaço de trabalho de registro com gravação antecipada.	EMRespaço de trabalho de registro de gravação antecipada	`AWS::EMRWAL::Workspace`
Amazon FinSpace	Amazon FinSpaceAPIatividade em ambientes.	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue APIatividade em tabelas criadas pelo Lake Formation.	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	GuardDuty APIAtividade na Amazon para um detector.	GuardDuty detector	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging APIatividade em armazenamentos de dados.	MedicalImaging armazenamento de dados	`AWS::MedicalImaging::Datastore`
AWS IoT	AWS IoT APIatividade em certificados.	Certificado de IoT	`AWS::IoT::Certificate`
AWS IoT	AWS IoT APIatividade sobre coisas.	Coisa de IoT	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	APIAtividade do Greengrass a partir de um dispositivo principal do Greengrass em uma versão componente. nota O Greengrass não registra eventos de acesso negado.	Versão do componente IoT Greengrass	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	APIAtividade do Greengrass a partir de um dispositivo principal do Greengrass em uma implantação. nota O Greengrass não registra eventos de acesso negado.	Implantação do IoT Greengrass	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	SiteWise APIAtividade de IoT em ativos .	Ativo de IoT SiteWise	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	SiteWise APIAtividade de IoT em séries temporais.	Série temporal de IoT SiteWise	`AWS::IoTSiteWise::TimeSeries`
AWS IoT TwinMaker	TwinMaker APIAtividade de IoT em uma entidade.	Entidade de IoT TwinMaker	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	TwinMaker APIAtividade de IoT em um espaço de trabalho.	Espaço de trabalho de IoT TwinMaker	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra Intelligent Ranking	Atividade do Amazon Kendra Intelligent API Ranking em planos de execução de rescore.	Kendra Ranking	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (para Apache Cassandra)	APIAtividade do Amazon Keyspaces em uma mesa.	Mesa Cassandra	`AWS::Cassandra::Table`
Amazon Kinesis Data Streams	Atividade do Kinesis API Data Streams em streams.	Stream do Kinesis	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	Atividade do Kinesis API Data Streams em consumidores de streams.	Consumidor de streaming do Kinesis	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Atividade do Kinesis API Video Streams em streams de vídeo, como chamadas para e. `GetMedia` `PutMedia`	Fluxo de vídeo do Kinesis	`AWS::KinesisVideo::Stream`
Amazon Machine Learning	APIAtividade de Machine Learning em modelos de ML.	Aprendizagem automática MlModel	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	APIAtividade do Amazon Managed Blockchain em uma rede.	Rede do Managed Blockchain	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Amazon Managed Blockchain JSON - RPC chama nós de Ethereum, como `eth_getBalance` ou`eth_getBlockByNumber`.	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Gráfico do Amazon Neptune	APIAtividades de dados, por exemplo, consultas, algoritmos ou pesquisa vetorial, em um gráfico de Netuno.	Gráfico do Neptune	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	APIAtividade do Amazon One Enterprise em umUKey.	Amazon One UKey	`AWS::One::UKey`
Amazon One Enterprise	APIAtividade do Amazon One Enterprise com usuários.	Usuário do Amazon One	`AWS::One::User`
AWS Payment Cryptography	AWS Payment Cryptography APIatividade em aliases.	Alias de criptografia de pagamento	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	AWS Payment Cryptography APIatividade nas teclas.	Chave de criptografia de pagamento	`AWS::PaymentCryptography::Key`
AWS Private CA	AWS Private CA Conector para API atividade do Active Directory.	AWS Private CA Conector para Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA Conector para SCEP API atividade.	AWS Private CA Conector para SCEP	`AWS::PCAConnectorSCEP::Connector`
Aplicativos Amazon Q	APIAtividade de dados no Amazon Q Apps.	Aplicativos Amazon Q	`AWS::QApps:QApp`
Amazon Q Business	APIAtividade do Amazon Q Business em um aplicativo.	Aplicação do Amazon Q Business	`AWS::QBusiness::Application`
Amazon Q Business	APIAtividade do Amazon Q Business em uma fonte de dados.	Fonte de dados do Amazon Q Business	`AWS::QBusiness::DataSource`
Amazon Q Business	APIAtividade do Amazon Q Business em um índice.	Índice do Amazon Q Business	`AWS::QBusiness::Index`
Amazon Q Business	APIAtividade do Amazon Q Business em uma experiência na web.	Experiência na web do Amazon Q Business	`AWS::QBusiness::WebExperience`
Amazon RDS	RDSAPIAtividade da Amazon em um cluster de banco de dados.	RDSDados API - cluster de banco de dados	`AWS::RDS::DBCluster`
Amazon S3	APIAtividade do Amazon S3 em pontos de acesso.	Ponto de acesso do S3	`AWS::S3::AccessPoint`
Amazon S3	APIAtividade em nível de objeto do Amazon S3 (por exemplo,, `GetObjectDeleteObject`, e `PutObject` API operações) em objetos em buckets de diretório.	S3 Express	`AWS::S3Express::Object`
Amazon S3	APIAtividade de pontos de acesso do Amazon S3 Object Lambda, como chamadas para e. `CompleteMultipartUpload` `GetObject`	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 on Outposts	Atividade em nível de objeto do Amazon S3 on Outposts. API	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker	SageMaker `InvokeEndpointWithResponseStream`Atividade da Amazon em endpoints.	SageMaker ponto final	`AWS::SageMaker::Endpoint`
Amazon SageMaker	SageMaker APIAtividade da Amazon em lojas especiais.	SageMaker feature store	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker	SageMaker APIAtividade da Amazon em componentes de testes experimentais.	SageMaker componente experimental de métricas	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SNS	SNS`Publish`APIOperações da Amazon em endpoints da plataforma.	SNSendpoint da plataforma	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Amazon SNS `Publish`e `PublishBatch`APIoperações em tópicos.	SNStópico	`AWS::SNS::Topic`
Amazon SQS	SQSAPIAtividade da Amazon em mensagens.	SQS	`AWS::SQS::Queue`
AWS Step Functions	APIAtividade do Step Functions em uma máquina de estado.	Máquina de estado do Step Functions	`AWS::StepFunctions::StateMachine`
Cadeia de Suprimentos AWS	Cadeia de Suprimentos AWS APIatividade em uma instância.	Cadeia de suprimentos	`AWS::SCN::Instance`
Amazon SWF	SWFAPIAtividade da Amazon em domínios.	SWFdomínio	`AWS::SWF::Domain`
AWS Systems Manager	APIAtividade do Systems Manager nos canais de controle.	Systems Manager (Gerenciador de sistemas)	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	APIAtividade do Systems Manager em nós gerenciados.	Nó gerenciado pelo Systems Manager	`AWS::SSM::ManagedNode`
Amazon Timestream	Atividade do Amazon `Query`APITimestream em bancos de dados.	Banco de dados do Timestream	`AWS::Timestream::Database`
Amazon Timestream	Atividade do Amazon `Query`APITimestream nas tabelas.	Tabela do Timestream	`AWS::Timestream::Table`
Amazon Verified Permissions	APIAtividade de permissões verificadas da Amazon em um repositório de políticas.	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces Thin Client	WorkSpaces APIAtividade do Thin Client em um dispositivo.	Dispositivo Thin Client	`AWS::ThinClient::Device`
Amazon WorkSpaces Thin Client	WorkSpaces APIAtividade do Thin Client em um ambiente.	Ambiente Thin Client	`AWS::ThinClient::Environment`
AWS X-Ray	APIAtividade de raio-X em traços.	Traço de raio-X	`AWS::XRay::Trace`

Eventos de dados não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de CloudTrail dados, você deve adicionar explicitamente os recursos suportados ou os tipos de recursos para os quais deseja coletar atividades. Para ter mais informações, consulte Criando uma trilha com o CloudTrail console e Crie um armazenamento de dados de CloudTrail eventos para eventos com o console.

Há cobranças adicionais para o registro de eventos de dados. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

O exemplo a seguir mostra um único registro de log de um evento de dados para a SNS Publish ação da Amazon.


{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

O próximo exemplo mostra um único registro de log de um evento de dados para a ação do Amazon CognitoGetCredentialsForIdentity.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Eventos de atividade de rede

nota

Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.

CloudTrail eventos de atividade de rede permitem que os proprietários de VPC endpoints gravem AWS API chamadas feitas usando seus VPC endpoints de um terminal privado VPC para o. AWS service (Serviço da AWS) Os eventos de atividade de rede fornecem visibilidade das operações de recursos realizadas em umVPC.

Você pode registrar eventos de atividade de rede para os seguintes serviços:

AWS CloudTrail
Amazon EC2
AWS KMS
AWS Secrets Manager

Os eventos de atividade de rede não são registrados por padrão quando você cria um armazenamento de dados de trilhas ou eventos. Para registrar eventos de atividade de CloudTrail rede, você deve definir explicitamente a origem do evento para a qual deseja coletar atividades. Para obter mais informações, consulte Registrando eventos de atividade de rede.

Cobranças adicionais se aplicam ao registro de eventos de atividade da rede. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

O exemplo a seguir mostra um AWS KMS ListKeys evento bem-sucedido que atravessou um VPC endpoint. O vpcEndpointId campo mostra a ID do VPC endpoint. O vpcEndpointAccountId campo mostra o ID da conta do proprietário do VPC endpoint. Neste exemplo, a solicitação foi feita pelo proprietário do VPC endpoint.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

O próximo exemplo mostra um AWS KMS ListKeys evento malsucedido com uma violação da política de VPC endpoint. Como ocorreu uma violação da VPC política, os errorMessage campos errorCode e estão presentes. A ID da conta nos vpcEndpointAccountId campos recipientAccountId e é a mesma, o que indica que o evento foi enviado ao proprietário do VPC endpoint. O accountId userIdentity elemento não é ovpcEndpointAccountId, o que indica que o usuário que está fazendo a solicitação não é o proprietário do VPC endpoint.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Eventos do Insights

CloudTrail Os eventos do Insights capturam atividades incomuns na taxa de API chamadas ou na taxa de erro em sua AWS conta analisando a atividade CloudTrail de gerenciamento. Os eventos do Insights fornecem informações relevantes, como o código de erro associadoAPI, a hora do incidente e as estatísticas, que ajudam você a entender e agir em relação a atividades incomuns. Ao contrário de outros tipos de eventos capturados em um armazenamento de dados de CloudTrail trilhas ou eventos, os eventos do Insights são registrados somente quando CloudTrail detectam alterações no API uso da sua conta ou no registro da taxa de erro que diferem significativamente dos padrões de uso típicos da conta.

Exemplos de atividades que podem gerar eventos do Insights incluem:

Sua conta normalmente não registra mais de 20 deleteBucket API chamadas do Amazon S3 por minuto, mas sua conta começa a registrar uma média de 100 deleteBucket API chamadas por minuto. Um evento do Insights é registrado em log no início da atividade incomum e outro evento do Insights é registrado em log para marcar o fim da atividade incomum.
Sua conta normalmente registra 20 chamadas por minuto para a Amazon EC2 AuthorizeSecurityGroupIngressAPI, mas sua conta começa a registrar zero chamadas paraAuthorizeSecurityGroupIngress. Um evento do Insights é registrado em log no início da atividade incomum, e dez minutos depois, quando a atividade incomum termina, outro evento do Insights é registrado em log para marcar o fim da atividade incomum.
Sua conta normalmente registra menos de um AccessDeniedException erro em um período de sete dias no,. AWS Identity and Access Management API DeleteInstanceProfile Sua conta começa a registrar uma média de 12 AccessDeniedException erros por minuto na DeleteInstanceProfile API chamada. Um evento do Insights é registrado no início da atividade incomum e outro evento do Insights é registrado para marcar o fim da atividade incomum.

Esses exemplos são fornecidos somente para fins ilustrativos. Seus resultados podem variar dependendo do seu caso de uso.

Para registrar eventos do CloudTrail Insights, você deve habilitar explicitamente os eventos do Insights em um armazenamento de dados de trilhas ou eventos novo ou existente. Para obter mais informações sobre a criação de uma trilha, consulte Criando uma trilha com o CloudTrail console. Para obter mais informações sobre como criar um armazenamento de dados de eventos, consulte Crie um armazenamento de dados de eventos para eventos do Insights com o console.

Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail.

Há dois eventos registrados para mostrar atividades incomuns no CloudTrail Insights: um evento inicial e um evento final. O exemplo a seguir mostra um único registro de log de um evento inicial do Insights que ocorreu quando o Application Auto Scaling API CompleteLifecycleAction foi chamado um número incomum de vezes. Para eventos do Insights, o valor de eventCategory é Insight. Um bloco do insightDetails identifica o estado, a fonte, o nome, o tipo de Insights e o contexto do evento, incluindo estatísticas e atribuições. Para obter mais informações sobre o bloco insightDetails, consulte CloudTrail insightDetailsElemento Insights.


{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Canais vinculados ao serviço

Eventos de gerenciamento