As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Entendendo CloudTrail os eventos
Um evento em CloudTrail é o registro de uma atividade em uma AWS conta. Essa atividade pode ser uma ação realizada por uma identidade do IAM ou um serviço que pode ser monitorado por CloudTrail. CloudTrail os eventos fornecem um histórico das atividades de contas de API e não API feitas por meio de AWS Management Console, AWS SDKs, ferramentas de linha de comando e outras Serviços da AWS.
CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, os eventos não aparecem em nenhuma ordem específica.
Há quatro tipos de CloudTrail eventos:
-
nota
Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.
Por padrão, as trilhas e os armazenamentos de dados de eventos registram eventos de gerenciamento, mas não eventos de dados, de atibidade de rede ou do Insights.
Todos os tipos de eventos usam um formato de log CloudTrail JSON. O log contém informações sobre as solicitações de recursos na sua conta, como quem fez a solicitação, os serviços usados, as ações realizadas e os parâmetros da ação. Os dados do evento são incluídos em um conjunto Records
.
Para obter informações sobre campos de registro de CloudTrail eventos, consulteCloudTrail conteúdo do registro.
Eventos de gerenciamento
Os eventos de gerenciamento fornecem informações sobre as operações de gerenciamento que são realizadas nos recursos AWS da sua conta. Elas também são conhecidas como operações de plano de controle.
Exemplos de eventos de gerenciamento incluem:
-
Configurando a segurança (por exemplo, operações de AWS Identity and Access Management
AttachRolePolicy
API). -
Registro de dispositivos (por exemplo, operações de EC2
CreateDefaultVpc
API da Amazon). -
Configurar regras para rotear dados (por exemplo, operações de EC2
CreateSubnet
API da Amazon). -
Configurar o registro (por exemplo, operações de AWS CloudTrail
CreateTrail
API).
Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem na sua conta. Por exemplo, quando um usuário faz login na sua conta, CloudTrail registra o ConsoleLogin
evento. Para obter mais informações, consulte Eventos que não são da API capturados pelo CloudTrail.
Por padrão, os dados de CloudTrail trilhas e eventos do CloudTrail Lake armazenam eventos de gerenciamento de registros. Para obter mais informações sobre como registrar eventos de gerenciamento em log, consulte Log de eventos de gerenciamento.
O exemplo a seguir mostra uma entrada de log única de um evento de gerenciamento. Nesse evento, um usuário do IAM chamado Mary_Major
executou o aws cloudtrail start-logging comando para chamar a CloudTrail StartLogging
ação para iniciar o processo de registro em uma trilha chamadamyTrail
.
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
No próximo exemplo, um usuário do IAM chamado Paulo_Santos
executou o comando aws cloudtrail start-event-data-store-ingestion para chamar a ação StartEventDataStoreIngestion
para iniciar a ingestão em um armazenamento de dados de eventos.
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
Eventos de dados
Os eventos de dados fornecem informações sobre as operações aplicadas a um recurso ou realizadas em um recurso. Elas também são conhecidas como operações de plano de dados. Eventos de dados geralmente são atividades de alto volume.
Exemplos de eventos de dados incluem:
-
Atividade de APIs no nível de objeto do Amazon S3 (por exemplo, as operações de API
GetObject
,DeleteObject
ePutObject
) em objetos em buckets do S3. -
AWS Lambda atividade de execução da função (a
Invoke
API). -
CloudTrail
PutAuditEvents
atividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS. -
Operações da API
Publish
ePublishBatch
do Amazon SNS em tópicos.
A tabela a seguir mostra os tipos de recursos disponíveis para trilhas e armazenamentos de dados de eventos. A coluna Tipo de recurso (console) mostra a seleção apropriada no console. A coluna de valor resources.type mostra o resources.type
valor que você especificaria para incluir eventos de dados desse tipo em seu armazenamento de dados de trilhas ou eventos usando o ou. AWS CLI CloudTrail APIs
Para trilhas, é possível usar seletores de eventos básicos ou avançados para registrar eventos de dados em objetos do Amazon S3 de uso geral, funções do Lambda e tabelas do DynamoDB (mostradas nas três primeiras linhas da tabela). Você pode usar somente seletores de eventos avançados para registrar os tipos de recursos mostrados nas linhas restantes.
Para armazenamentos de dados de eventos, é possível usar somente seletores de eventos avançados para incluir eventos de dados.
AWS service (Serviço da AWS) | Descrição | Tipo de recurso (console) | valor resources.type |
---|---|---|---|
Amazon DynamoDB | Atividade de API do Amazon DynamoDB no nível de objeto em tabelas (por exemplo, operações de API notaPara tabelas com fluxos habilitados, o campo |
DynamoDB |
|
AWS Lambda | AWS Lambda atividade de execução da função (a |
Lambda | AWS::Lambda::Function |
Amazon S3 | Atividade de APIs no nível de objeto do Amazon S3 (por exemplo, as operações de API |
S3 | AWS::S3::Object |
AWS AppConfig | AWS AppConfig Atividade de API para operações de configuração, como chamadas para |
AWS AppConfig | AWS::AppConfig::Configuration |
AWS AppSync | AWS AppSync Atividade de API no AppSync GraphQL APIs. |
AppSync GraphQL | AWS::AppSync::GraphQL |
AWS Intercâmbio de dados B2B | Atividade da API B2B Data Interchange para operações do Transformer, como chamadas para |
B2B Data Interchange | AWS::B2BI::Transformer |
AWS Backup | AWS Backup Atividade da API Search Data em trabalhos de pesquisa. |
AWS Backup Dados de pesquisa APIs | AWS::Backup::SearchJob |
Amazon Bedrock | Atividade da API do Amazon Bedrock em um alias de agente. | Alias de agente do Bedrock | AWS::Bedrock::AgentAlias |
Amazon Bedrock | Atividade da API Amazon Bedrock em invocações assíncronas. | Invocação assíncrona Bedrock | AWS::Bedrock::AsyncInvoke |
Amazon Bedrock | Atividade da API do Amazon Bedrock em um alias de fluxo. | Alias de fluxo do Bedrock | AWS::Bedrock::FlowAlias |
Amazon Bedrock | Atividade da API do Amazon Bedrock em barreiras de proteção. | Barreira de proteção do Bedrock | AWS::Bedrock::Guardrail |
Amazon Bedrock | Atividade da API Amazon Bedrock em agentes em linha. | Agente em linha Bedrock Invoke | AWS::Bedrock::InlineAgent |
Amazon Bedrock | Atividade da API do Amazon Bedrock em uma base de conhecimento. | Base de conhecimento do Bedrock | AWS::Bedrock::KnowledgeBase |
Amazon Bedrock | Atividade da API do Amazon Bedrock em modelos. | Modelo do Bedrock | AWS::Bedrock::Model |
Amazon Bedrock | Atividade da API Amazon Bedrock em prompts. | Bedrock prompt | AWS::Bedrock::PromptVersion |
Amazon CloudFront | CloudFront Atividade de API em um KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | AWS Cloud Map Atividade de API em um namespace. | AWS Cloud Map namespace |
|
AWS Cloud Map | AWS Cloud Map Atividade de API em um serviço. | AWS Cloud Map serviço |
|
AWS CloudTrail | CloudTrail |
CloudTrail canal | AWS::CloudTrail::Channel |
Amazon CloudWatch | Atividade da CloudWatch API da Amazon em métricas. |
CloudWatch métrica | AWS::CloudWatch::Metric |
Amazon CloudWatch RUM | Atividade da API Amazon CloudWatch RUM em monitores de aplicativos. |
Monitor de aplicativos do RUM | AWS::RUM::AppMonitor |
Amazon CodeGuru Profiler | CodeGuru Atividade da API Profiler em grupos de criação de perfil. | CodeGuru Grupo de criação de perfil do Profiler | AWS::CodeGuruProfiler::ProfilingGroup |
Amazon CodeWhisperer | Atividade de CodeWhisperer API da Amazon em uma personalização. | CodeWhisperer personalização | AWS::CodeWhisperer::Customization |
Amazon CodeWhisperer | Atividade CodeWhisperer da API da Amazon em um perfil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | Atividade da API do Amazon Cognito em bancos de identidades do Amazon Cognito. |
Bancos de identidades do Cognito | AWS::Cognito::IdentityPool |
AWS Data Exchange | AWS Data Exchange Atividade de API em ativos. |
Ativo do Data Exchange |
|
AWS Deadline Cloud | Atividade da API do Deadline Cloud em frotas. |
Deadline Cloud frota |
|
AWS Deadline Cloud | Atividade da API do Deadline Cloud em trabalhos. |
Deadline Cloud emprego |
|
AWS Deadline Cloud | Atividade da API do Deadline Cloud em filas. |
Deadline Cloud fila |
|
AWS Deadline Cloud | Atividade da API do Deadline Cloud em operadores. |
Deadline Cloud trabalhador |
|
Amazon DynamoDB | Atividade de API do Amazon DynamoDB em fluxos. |
DynamoDB Streams | AWS::DynamoDB::Stream |
AWS SMS de mensagens para o usuário final | AWS Atividade da API de SMS de mensagens de usuário final sobre identidades de origem. | Identidade de origem de voz por SMS | AWS::SMSVoice::OriginationIdentity |
AWS SMS de mensagens para o usuário final | AWS Atividade da API de SMS de mensagens para o usuário final nas mensagens. | Mensagem de voz SMS | AWS::SMSVoice::Message |
AWS Mensagens sociais para o usuário final | AWS Atividade da API social de mensagens do usuário final no número de telefone IDs. | ID do número de telefone das mensagens sociais | AWS::SocialMessaging::PhoneNumberId |
AWS Mensagens sociais para o usuário final | AWS Atividade da API social de mensagens do usuário final no Waba IDs. | Waba ID de mensagens sociais | AWS::SocialMessaging::WabaId |
Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) diretamente APIs, como |
Amazon EBS direto APIs | AWS::EC2::Snapshot |
Amazon EMR | Atividade da API do Amazon EMR em um espaço de trabalho de log de gravação antecipada. | Espaço de trabalho de log de gravação antecipada do EMR | AWS::EMRWAL::Workspace |
Amazon FinSpace | Atividade de API do Amazon FinSpace em ambientes. |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue Atividade de API em tabelas criadas pelo Lake Formation. |
Lake Formation | AWS::Glue::Table |
Amazon GuardDuty | Atividade de GuardDuty API da Amazon para um detector. |
GuardDuty detector | AWS::GuardDuty::Detector |
AWS HealthImaging | AWS HealthImaging Atividade de API em armazenamentos de dados. |
MedicalImaging armazenamento de dados | AWS::MedicalImaging::Datastore |
AWS IoT | Certificado de IoT | AWS::IoT::Certificate |
|
AWS IoT | Coisa da IoT | AWS::IoT::Thing |
|
AWS IoT Greengrass Version 2 | Atividade da API do Greengrass de um dispositivo principal do Greengrass em uma versão de componente. notaO Greengrass não registra eventos de acesso negado. |
Versão do componente de IoT do Greengrass | AWS::GreengrassV2::ComponentVersion |
AWS IoT Greengrass Version 2 | Atividade da API do Greengrass de um dispositivo principal do Greengrass em uma implantação. notaO Greengrass não registra eventos de acesso negado. |
Implantação do IoT Greengrass | AWS::GreengrassV2::Deployment |
AWS IoT SiteWise | Ativo de IoT SiteWise | AWS::IoTSiteWise::Asset |
|
AWS IoT SiteWise | Série temporal de IoT SiteWise | AWS::IoTSiteWise::TimeSeries |
|
AWS IoT SiteWise Assistente | Atividade da API do Sitewise Assistant em conversas. |
Conversa com o Sitewise Assistant | AWS::SitewiseAssistant::Conversation |
AWS IoT TwinMaker | Entidade de IoT TwinMaker | AWS::IoTTwinMaker::Entity |
|
AWS IoT TwinMaker | Espaço de trabalho de IoT TwinMaker | AWS::IoTTwinMaker::Workspace |
|
Amazon Kendra Intelligent Ranking | Atividade da API do Amazon Kendra Intelligent Ranking em planos de execução de reclassificação. |
Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces (para Apache Cassandra) | Atividade da API do Amazon Keyspaces em uma tabela. | Tabela do Cassandra | AWS::Cassandra::Table |
Amazon Kinesis Data Streams | Atividade da API do Kinesis Data Streams em fluxos. | Fluxo do Kinesis | AWS::Kinesis::Stream |
Amazon Kinesis Data Streams | Atividade da API do Kinesis Data Streams em consumidores de fluxo. | Consumidor do fluxo do Kinesis | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | Atividade da API do Kinesis Video Streams, como chamadas para GetMedia e PutMedia . |
Fluxo de vídeo do Kinesis | AWS::KinesisVideo::Stream |
Amazon Location Maps | Atividade da API do Amazon Location Maps. | Mapas geográficos | AWS::GeoMaps::Provider |
Amazon Location Places | Atividade da API Amazon Location Places. | Locais geográficos | AWS::GeoPlaces::Provider |
Amazon Location Routes | Atividade da API Amazon Location Routes. | Rotas geográficas | AWS::GeoRoutes::Provider |
Amazon Machine Learning | Atividade da API do Machine Learning em modelos de ML. | Aprendizagem automática MlModel | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | Atividade da API do Amazon Managed Blockchain em uma rede. |
Rede do Managed Blockchain | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain | Chamadas de JSON-RPC do Amazon Managed Blockchain em nós Ethereum, como |
Managed Blockchain | AWS::ManagedBlockchain::Node |
Amazon Managed Workflows for Apache Airflow | Atividade da API Amazon MWAA em ambientes. |
Apache Airflow gerenciado | AWS::MWAA::Environment |
Gráfico do Amazon Neptune | Atividades da API de dados, por exemplo, consultas, algoritmos ou pesquisa vetorial, em um gráfico do Neptune. |
Gráfico do Neptune | AWS::NeptuneGraph::Graph |
Amazon One Enterprise | Atividade da API Amazon One Enterprise em um UKey. |
Amazon One UKey | AWS::One::UKey |
Amazon One Enterprise | Atividade da API do Amazon One Enterprise sobre usuários. |
Usuário do Amazon One | AWS::One::User |
AWS Payment Cryptography | AWS Payment Cryptography Atividade de API em aliases. | Alias de criptografia de pagamento | AWS::PaymentCryptography::Alias |
AWS Payment Cryptography | AWS Payment Cryptography Atividade de API nas chaves. | Chave de criptografia de pagamento | AWS::PaymentCryptography::Key |
AWS Private CA | AWS Private CA Conector para atividade da API do Active Directory. |
AWS Private CA Conector para Active Directory | AWS::PCAConnectorAD::Connector |
AWS Private CA | AWS Private CA Conector para atividade da API SCEP. |
AWS Private CA Conector para SCEP | AWS::PCAConnectorSCEP::Connector |
Amazon Q Apps | Atividade da API de dados no Amazon Q Apps. |
Amazon Q Apps | AWS::QApps::QApp |
Amazon Q Apps | Atividade da API de dados nas sessões do Amazon Q App. |
Sessão do aplicativo Amazon Q | AWS::QApps::QAppSession |
Amazon Q Business | Atividade da API do Amazon Q Business em uma aplicação. |
Aplicação do Amazon Q Business | AWS::QBusiness::Application |
Amazon Q Business | Atividade da API do Amazon Q Business em uma fonte de dados. |
Fonte de dados do Amazon Q Business | AWS::QBusiness::DataSource |
Amazon Q Business | Atividade da API do Amazon Q Business em um índice. |
Índice do Amazon Q Business | AWS::QBusiness::Index |
Amazon Q Business | Atividade da API do Amazon Q Business em uma experiência na web. |
Experiência na web do Amazon Q Business | AWS::QBusiness::WebExperience |
Amazon Q Developer | Atividade da API Amazon Q Developer em uma integração. |
Q Integração para desenvolvedores | AWS::QDeveloper::Integration |
Amazon Q Developer | Atividade da Amazon Q Developer API em investigações operacionais. |
AIOps Grupo de Investigação | AWS::AIOps::InvestigationGroup |
Amazon RDS | Atividade da API do Amazon RDS em um cluster de banco de dados. |
API de dados do RDS: cluster de banco de dados | AWS::RDS::DBCluster |
Explorador de recursos da AWS | Atividade da API Resource Explorer em visualizações gerenciadas. |
Explorador de recursos da AWS visualização gerenciada | AWS::ResourceExplorer2::ManagedView |
Explorador de recursos da AWS | Atividade da API Resource Explorer nas visualizações. |
Explorador de recursos da AWS view | AWS::ResourceExplorer2::View |
Amazon S3 | Atividade da API do Amazon S3 em pontos de acesso. |
Ponto de acesso do S3 | AWS::S3::AccessPoint |
Amazon S3 | Atividade da API no nível de objeto do Amazon S3 (por exemplo, as operações de API |
S3 Express | AWS::S3Express::Object |
Amazon S3 | Atividade da API em pontos de acesso do Amazon S3 Object Lambda, como chamadas para |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
Tabelas do Amazon S3 | Tabela S3 | AWS::S3Tables::Table |
|
Tabelas do Amazon S3 | Atividade da API do Amazon S3 em baldes de mesa. |
Balde de mesa S3 | AWS::S3Tables::TableBucket |
Amazon S3 on Outposts | Atividade da API em nível de objeto do Amazon S3 on Outposts. |
S3 Outposts | AWS::S3Outposts::Object |
SageMaker Inteligência Artificial da Amazon | InvokeEndpointWithResponseStream Atividade de SageMaker IA da Amazon em endpoints. |
SageMaker Endpoint de IA | AWS::SageMaker::Endpoint |
SageMaker Inteligência Artificial da Amazon | Atividade da Amazon SageMaker AI API em lojas de recursos. |
SageMaker AI feature store | AWS::SageMaker::FeatureGroup |
SageMaker Inteligência Artificial da Amazon | Atividade da Amazon SageMaker AI API em componentes de testes experimentais. |
SageMaker Componente experimental do experimento de métricas de IA | AWS::SageMaker::ExperimentTrialComponent |
AWS Signer | Atividade da API Signer na assinatura de trabalhos. |
Signatário assinando emprego | AWS::Signer::SigningJob |
AWS Signer | Atividade da API Signer em perfis de assinatura. |
Perfil de assinatura do signatário | AWS::Signer::SigningProfile |
Amazon SimpleDB | Atividade da API Amazon SimpleDB em domínios. |
Domínio SimpleDB | AWS::SDB::Domain |
Amazon SNS | Operações da API |
Endpoint da plataforma SNS | AWS::SNS::PlatformEndpoint |
Amazon SNS | Operações da API |
Tópico do SNS | AWS::SNS::Topic |
Amazon SQS | Atividade da API do Amazon SQS em mensagens. |
SQS | AWS::SQS::Queue |
AWS Step Functions | Atividade da API Step Functions em atividades. |
Step Functions | AWS::StepFunctions::Activity |
AWS Step Functions | Atividade da API Step Functions em máquinas de estado. |
Máquina de estado do Step Functions | AWS::StepFunctions::StateMachine |
Cadeia de Suprimentos AWS | Cadeia de Suprimentos AWS Atividade de API em uma instância. |
Cadeia de suprimentos | AWS::SCN::Instance |
Amazon SWF | Domínio do SWF | AWS::SWF::Domain |
|
AWS Systems Manager | Atividade da API do Systems Manager em canais de controle. | Systems Manager (Gerenciador de sistemas) | AWS::SSMMessages::ControlChannel |
AWS Systems Manager | Atividade da API do Systems Manager em nós gerenciados. | Nó gerenciado pelo Systems Manager | AWS::SSM::ManagedNode |
Amazon Timestream | Atividade da API Query do Amazon Timestream em bancos de dados. |
Banco de dados do Timestream | AWS::Timestream::Database |
Amazon Timestream | Atividade da API Amazon Timestream em endpoints regionais. | Endpoint regional Timestream | AWS::Timestream::RegionalEndpoint |
Amazon Timestream | Atividade da API Query do Amazon Timestream em tabelas. |
Tabela do Timestream | AWS::Timestream::Table |
Amazon Verified Permissions | Atividade da API do Amazon Verified Permissions em um repositório de políticas. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces Thin Client | WorkSpaces Atividade da API Thin Client em um dispositivo. | Dispositivo Thin Client | AWS::ThinClient::Device |
Amazon WorkSpaces Thin Client | WorkSpaces Atividade da API Thin Client em um ambiente. | Ambiente Thin Client | AWS::ThinClient::Environment |
AWS X-Ray | Rastreamento do X-Ray | AWS::XRay::Trace |
Eventos de dados não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de CloudTrail dados, você deve adicionar explicitamente os recursos suportados ou os tipos de recursos para os quais deseja coletar atividades. Para ter mais informações, consulte Criando uma trilha com o CloudTrail console e Crie um armazenamento de dados de CloudTrail eventos para eventos com o console.
Há cobranças adicionais para o registro de eventos de dados. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços
O exemplo a seguir mostra uma entrada de log única de um evento de dados para a ação Publish
do Amazon SNS.
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
O próximo exemplo mostra uma entrada de log única de um evento de dados para a ação GetCredentialsForIdentity
do Amazon Cognito.
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
Eventos de atividade de rede
nota
Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.
CloudTrail eventos de atividade de rede permitem que proprietários de endpoints de VPC gravem chamadas de AWS API feitas usando seus endpoints de VPC de uma VPC privada para o. AWS service (Serviço da AWS) Os eventos de atividade de rede fornecem visibilidade nas operações de recurso executadas dentro de uma VPC.
Você pode registrar eventos de atividade de rede para os seguintes serviços:
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
Eventos de atividade de rede não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de atividade de CloudTrail rede, você deve definir explicitamente a origem do evento para a qual deseja coletar atividades. Para obter mais informações, consulte Registrar em log os eventos de atividade de rede.
Cobranças adicionais são aplicáveis ao registro em log dos eventos de atividade de rede. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços
O exemplo a seguir mostra um AWS KMS ListKeys
evento bem-sucedido que atravessou um VPC endpoint. O campo vpcEndpointId
mostra o ID do endpoint da VPC. O campo vpcEndpointAccountId
mostra o ID da conta do proprietário do endpoint da VPC. Neste exemplo, a solicitação foi feita pelo proprietário do endpoint da VPC.
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE:role-name", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "attributes": { "creationDate": "2024-06-04T23:10:46Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-06-04T23:12:50Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731", "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
O próximo exemplo mostra um AWS KMS ListKeys
evento malsucedido com uma violação da política de endpoint de VPC. Como ocorreu uma violação da política da VPC, os campos errorCode
e errorMessage
estão presentes. O ID da conta nos campos recipientAccountId
e vpcEndpointAccountId
é o mesmo, o que indica que o evento foi enviado ao proprietário do endpoint da VPC. O accountId
no elemento userIdentity
não é o vpcEndpointAccountId
, o que indica que o usuário que está fazendo a solicitação não é o proprietário do endpoint da VPC.
{ "eventVersion": "1.09", "userIdentity": { "type": "AWSAccount", "principalId": "AKIAIOSFODNN7EXAMPLE", "accountId": "777788889999" }, "eventTime": "2024-07-15T23:57:12Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "errorCode": "VpceAccessDenied", "errorMessage": "The request was denied due to a VPC endpoint policy", "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374", "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
Eventos do Insights
CloudTrail Os eventos do Insights capturam atividades incomuns de taxa de chamadas de API ou taxa de erro em sua AWS conta analisando a atividade CloudTrail de gerenciamento. Os eventos do Insights fornecem informações relevantes, como a API associada, a hora do incidente e estatísticas, que ajudam a entender e agir com relação à atividade incomum. Ao contrário de outros tipos de eventos capturados em um armazenamento de dados de CloudTrail trilhas ou eventos, os eventos do Insights são registrados somente quando CloudTrail detectam alterações no uso da API ou no registro da taxa de erro da sua conta que diferem significativamente dos padrões de uso típicos da conta. Para obter mais informações, consulte Trabalhando com o CloudTrail Insights.
Exemplos de atividades que podem gerar eventos do Insights incluem:
-
Sua conta geralmente registra em log no máximo 20 chamadas de API do
deleteBucket
Amazon S3 por minuto, mas sua conta começa a registrar em log uma média de 100 chamadas de APIdeleteBucket
por minuto. Um evento do Insights é registrado em log no início da atividade incomum e outro evento do Insights é registrado em log para marcar o fim da atividade incomum. -
Sua conta normalmente registra 20 chamadas por minuto para a EC2
AuthorizeSecurityGroupIngress
API da Amazon, mas sua conta começa a registrar zero chamadas paraAuthorizeSecurityGroupIngress
. Um evento do Insights é registrado em log no início da atividade incomum, e dez minutos depois, quando a atividade incomum termina, outro evento do Insights é registrado em log para marcar o fim da atividade incomum. -
Sua conta normalmente registra menos de um
AccessDeniedException
erro em um período de sete dias no AWS Identity and Access Management API,DeleteInstanceProfile
. Sua conta começa a registrar uma média de 12AccessDeniedException
erros por minuto naDeleteInstanceProfile
chamada de API. Um evento do Insights é registrado no início da atividade incomum e outro evento do Insights é registrado para marcar o fim da atividade incomum.
Esses exemplos são fornecidos somente para fins ilustrativos. Seus resultados podem variar dependendo do seu caso de uso.
Para registrar eventos do CloudTrail Insights, você deve habilitar explicitamente os eventos do Insights em um armazenamento de dados de trilhas ou eventos novo ou existente. Para obter mais informações sobre a criação de uma trilha, consulte Criando uma trilha com o CloudTrail console. Para obter mais informações sobre como criar um armazenamento de dados de eventos, consulte Criar um armazenamento de dados de eventos para eventos do Insights com o console.
Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail
Há dois eventos registrados para mostrar atividades incomuns no CloudTrail Insights: um evento inicial e um evento final. O exemplo a seguir mostra um único registro em log de um evento inicial do Insights que ocorreu quando a API do Application Auto Scaling CompleteLifecycleAction
foi chamada um número incomum de vezes. Para eventos do Insights, o valor de eventCategory
é Insight
. Um bloco do insightDetails
identifica o estado, a fonte, o nome, o tipo de Insights e o contexto do evento, incluindo estatísticas e atribuições. Para obter mais informações sobre o bloco insightDetails
, consulte Elemento insightDetails do CloudTrail Insights.
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }