Trabalhar com arquivos de log do CloudTrail - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Trabalhar com arquivos de log do CloudTrail

É possível realizar tarefas mais avançadas com os seus arquivos do CloudTrail.

  • Monitore os arquivos de log do CloudTrail enviando-os ao CloudWatch Logs.

  • Compartilhe arquivos de log entre contas.

  • Use a biblioteca de processamento do CloudTrail da AWS para aplicações de processamento de log de gravação em Java.

  • Valide os seus arquivos de log para verificar se não foram alterados após terem sido entregues pelo CloudTrail.

Quando ocorre um evento na sua conta, o CloudTrail avalia se ele corresponde às configurações das suas trilhas. Somente eventos que correspondem às suas configurações de trilhas são fornecidos ao bucket do Amazon S3 e ao grupo de logs do Amazon CloudWatch Logs.

Você pode configurar várias trilhas de maneiras diferentes para que elas processem e registrem somente os eventos que você especificar. Por exemplo, uma trilha pode registrar dados somente leitura e gerenciamento de eventos para que todos os eventos somente leitura sejam entregues a um bucket do S3. Outra trilha pode registrar apenas dados somente gravação e eventos de gerenciamento para que todos os eventos somente gravação sejam fornecidos a um bucket separado do S3.

Você também pode configurar suas trilhas para ter um log de trilha e fornecer todos os eventos de gerenciamento a um bucket do S3 e configurar outra trilha para registrar e fornecer todos os eventos de dados de a outro bucket do S3.

Você pode configurar suas trilhas para registrar o seguinte:

  • Eventos de dados: esses eventos fornecem visibilidade nas operações do recurso executadas no recurso ou dentro de um recurso. Elas também são conhecidas como operações de plano de dados.

  • Eventos de gerenciamento: eventos de gerenciamento fornecem visibilidade em operações de gerenciamento que são executadas nos recursos em sua conta da AWS. Elas também são conhecidas como operações de plano de controle. Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem na sua conta. Por exemplo, quando um usuário faz login na sua conta, o CloudTrail registra o evento ConsoleLogin. Para ter mais informações, consulte Eventos que não são da API capturados pelo CloudTrail.

  • Eventos de atividade de rede: os eventos de atividade de rede do CloudTrail (em prévia) permitem que proprietários de endpoints da VPC gravem chamadas de API da AWS feitas usando seus endpoints da VPC de uma VPC privada para o AWS service (Serviço da AWS). Os eventos de atividade de rede fornecem visibilidade nas operações de recurso executadas dentro de uma VPC.

  • Eventos do Insights: os eventos do Insights capturam atividades incomuns detectadas em sua conta. Se os eventos do Insights estiverem habilitados e o CloudTrail detectar atividade incomum, os eventos do Insights serão registrados em log no bucket do S3 de destino para a trilha, mas em outra pasta. Também é possível ver o tipo de evento do Insights e o período do incidente ao visualizar os eventos do Insights no console do CloudTrail. Ao contrário de outros tipos de eventos capturados em uma trilha do CloudTrail, os eventos do Insights são registrados em log somente quando o CloudTrail detecta alterações no uso da API da conta que diferem significativamente dos padrões de uso típicos da conta.

    Os eventos do Insights são gerados somente para APIs de gerenciamento. Para ter mais informações, consulte Trabalhando com o CloudTrail Insights.

nota

O CloudTrail normalmente entrega os logs em até 5 minutos após uma chamada à API. Desta vez não há garantias. Consulte o Acordo de Nível de Serviço do AWS CloudTrail para obter mais informações.

Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 estiver inacessível), o CloudTrail tentará reentregar os arquivos de log ao seu bucket do S3 por 30 dias, e esses eventos de tentativa de entrega estarão sujeitos às cobranças padrão do CloudTrail. Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.

Tópicos