CloudTrail Histórico do evento CloudTrail Armazenamentos de dados de lagos e eventos CloudTrail Painéis do Lake CloudTrail trilhas CloudTrail Eventos do Insights CloudTrail canais

Como CloudTrail funciona

Você tem acesso automático ao histórico de CloudTrail eventos ao criar seu Conta da AWS. O Histórico de eventos fornece um registro visualizável, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento gravados em uma Região da AWS.

Para um registro contínuo dos eventos dos Conta da AWS últimos 90 dias, crie uma trilha ou um armazenamento de dados de eventos do CloudTrail Lake.

Tópicos

CloudTrail Histórico do evento
CloudTrail Armazenamentos de dados de lagos e eventos
CloudTrail Painéis do Lake
CloudTrail trilhas
CloudTrail Eventos do Insights
CloudTrail canais

CloudTrail Histórico do evento

Você pode visualizar facilmente os últimos 90 dias de eventos de gerenciamento no CloudTrail console acessando a página Histórico de eventos. Você também pode visualizar o histórico de eventos executando o comando aws cloudtrail lookup-events ou a operação da API LookupEvents. É possível pesquisar eventos no Histórico de eventos filtrando eventos em um único atributo. Para obter mais informações, consulte Trabalhando com o histórico de CloudTrail eventos.

O Histórico de eventos não está conectado a nenhuma trilha ou armazenamento de dados de eventos existente em sua conta e não é afetado por alterações de configuração feitas em suas trilhas e seus armazenamentos de dados de eventos.

Não há CloudTrail cobrança pela visualização da página do histórico de eventos ou pela execução do lookup-events comando.

CloudTrail Armazenamentos de dados de lagos e eventos

Você pode criar um armazenamento de dados de eventos para registrar CloudTrail eventos (eventos de gerenciamento, eventos de dados, eventos de atividade de rede), eventos do CloudTrail Insights, AWS Audit Manager evidências, itens de AWS Config configuração ou eventos externos AWS.

nota

Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.

Os armazenamentos de dados de eventos podem registrar eventos da conta atual Região da AWS ou de todos os Regiões da AWS eventos da sua AWS conta. Os armazenamentos de dados de eventos que você está usando para registrar eventos de integração externos AWS devem ser somente para uma única região; eles não podem ser armazenamentos de dados de eventos de várias regiões.

Se você criou uma organização em AWS Organizations, você pode criar um armazenamento de dados de eventos da organização que registra todos os eventos de todas as AWS contas dessa organização. Os armazenamentos de dados de eventos da organização podem ser aplicados a todas as regiões da AWS , ou à região atual. Os armazenamentos de dados de eventos da organização devem ser criados com a conta de gerenciamento ou conta de administrador delegado e, quando especificados como aplicáveis a uma organização, são aplicados automaticamente a todas as contas-membro da respectiva organização. As contas de membro não podem ver o armazenamento de dados de eventos da organização, nem podem modificá-lo ou excluí-lo. Os armazenamentos de dados de eventos da organização não podem ser usados para coletar eventos de fora da AWS. Para obter mais informações, consulte Compreender os armazenamentos de dados de eventos da organização.

Por padrão, todos os eventos em um armazenamento de dados de eventos são criptografados por CloudTrail. Ao configurar um armazenamento de dados de eventos, você pode escolher usar sua própria AWS KMS key. Usar sua própria chave KMS gera AWS KMS custos de criptografia e descriptografia. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS. Para obter mais informações, consulte Criptografando arquivos de CloudTrail log com AWS KMS chaves (SSE-KMS).

A tabela a seguir fornece informações sobre as tarefas que você pode executar em armazenamentos de dados de eventos.

Tarefa	Descrição
Visualize e crie painéis	Você pode usar os painéis do CloudTrail Lake para ver as tendências de eventos dos armazenamentos de dados de eventos em sua conta. Você pode visualizar painéis gerenciados, criar painéis personalizados e ativar o painel Destaques para ver os destaques dos dados do seu evento, organizados e gerenciados pelo Lake. CloudTrail
Registrar eventos de gerenciamento	Configure seu armazenamento de dados de eventos para registrar eventos somente leitura, somente gravação ou todos os eventos de gerenciamento. Por padrão, os armazenamentos de dados de eventos registram eventos de gerenciamento. Você pode filtrar eventos de gerenciamento nos seguintes campos avançados do seletor de eventos: `eventNameeventSource`,`eventType`,`readOnly`,`sessionCredentialFromConsole`, e. `userIdentity.arn`
Registrar eventos de dados	Configure seu armazenamento de dados de eventos para registrar eventos de dados. Você pode filtrar eventos de dados nos seguintes campos avançados do seletor de eventos: `eventNameeventSource`,`eventType`,`resources.type`,`resources.ARN`,`readOnly`,`sessionCredentialFromConsole`, e. `userIdentity.arn`
Registrar eventos de atividade de rede	Configure seu armazenamentos de dados de eventos para registrar eventos de atividade de rede. Você pode usar seletores de eventos avançados para filtrar os campos `eventName`, `errorCode` e `vpcEndpointId` para registrar somente os eventos de interesse. nota Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.
Registrar eventos do Insights	Configure os armazenamentos de dados de eventos para registrar eventos do Insights a fim de ajudar a identificar e responder a atividades incomuns associadas a chamadas de APIs de gerenciamento. Para obter mais informações, consulte Trabalhando com o CloudTrail Insights. Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail.
Copiar eventos de trilha	Você pode copiar eventos da trilha para um armazenamento de dados de eventos novo ou existente para criar um point-in-time instantâneo dos eventos registrados na trilha.
Habilitar a federação em um armazenamento de dados de eventos	Você pode federar um armazenamento de dados de eventos para ver os metadados associados ao armazenamento de dados de eventos no catálogo de AWS Glue dados e executar consultas SQL nos dados do evento usando o Amazon Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar.
Interromper ou iniciar a ingestão de eventos em um armazenamento de dados de eventos	Você pode interromper e iniciar a ingestão de eventos em armazenamentos de dados de eventos que coletam eventos CloudTrail de gerenciamento e dados ou itens de AWS Config configuração.
Criar uma integração com uma fonte de eventos fora da AWS	Você pode usar as integrações do CloudTrail Lake para registrar e armazenar dados de atividades do usuário de fora de AWS; de qualquer fonte em seus ambientes híbridos, como aplicativos internos ou SaaS hospedados no local ou na nuvem, máquinas virtuais ou contêineres. Para obter informações sobre os parceiros de integração disponíveis, consulte Integrações do AWS CloudTrail Lake.
Veja exemplos de consultas do Lake no console CloudTrail	O CloudTrail console fornece vários exemplos de consultas que podem ajudar você a começar a escrever suas próprias consultas.
Criar ou editar uma consulta	As consultas em CloudTrail são criadas em SQL. Você pode criar uma consulta na guia CloudTrail Lake Editor escrevendo a consulta em SQL do zero ou abrindo uma consulta salva ou de amostra e editando-a.
Salvar resultados de consultas em um bucket do S3	Ao executar uma consulta, você pode salvar os resultados de consulta em um bucket do S3.
Baixar resultados de consulta salva	Você pode baixar um arquivo CSV contendo os resultados da consulta do CloudTrail Lake salvos.
Validar resultados de consulta salva	Você pode usar a validação de integridade dos resultados da CloudTrail consulta para determinar se os resultados da consulta foram modificados, excluídos ou inalterados após a CloudTrail entrega dos resultados da consulta ao bucket do S3.

Para obter mais informações sobre CloudTrail Lake, consulteTrabalhando com AWS CloudTrail Lake.

CloudTrail Os armazenamentos e consultas de dados de eventos em Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Ao executar consultas no Lake, você paga de acordo com a quantidade de dados examinados. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços Gerenciando os custos CloudTrail do Lake e.

CloudTrail Painéis do Lake

Você pode usar os painéis do CloudTrail Lake para ver as tendências de eventos dos armazenamentos de dados de eventos em sua conta. CloudTrail O Lake oferece os seguintes tipos de painéis:

Painéis gerenciados — Você pode visualizar um painel gerenciado para ver as tendências de eventos de um armazenamento de dados de eventos que coleta eventos de gerenciamento, eventos de dados ou eventos do Insights. Esses painéis estão automaticamente disponíveis para você e são gerenciados pelo CloudTrail Lake. CloudTrail oferece 14 painéis gerenciados para você escolher. Você pode atualizar manualmente os painéis gerenciados. Você não pode modificar, adicionar ou remover os widgets desses painéis. No entanto, você pode salvar um painel gerenciado como um painel personalizado se quiser modificar os widgets ou definir um cronograma de atualização.
Painéis personalizados — Os painéis personalizados permitem que você consulte eventos em qualquer tipo de armazenamento de dados de eventos. Você pode adicionar até 10 widgets a um painel personalizado. Você pode atualizar manualmente um painel personalizado ou definir um cronograma de atualização.
Painéis de destaques — Ative o painel de destaques para ver uma at-a-glance visão geral da AWS atividade coletada pelos armazenamentos de dados de eventos em sua conta. O painel de Destaques é gerenciado CloudTrail e inclui widgets que são relevantes para sua conta. Os widgets mostrados no painel de Destaques são exclusivos para cada conta. Esses widgets podem revelar atividades ou anomalias anormais detectadas. Por exemplo, seu painel de Destaques pode incluir o widget Total de acesso entre contas, que mostra se há um aumento na atividade anormal entre contas. CloudTrail atualiza o painel de Destaques a cada 6 horas. O painel mostra as últimas 24 horas de dados da última atualização.

Cada painel consiste em um ou mais widgets e cada widget representa uma consulta SQL.

Para obter mais informações, consulte CloudTrail Painéis do Lake.

CloudTrail trilhas

Uma trilha é uma configuração que permite a entrega de eventos a um bucket do Amazon S3 especificado. Você também pode entregar e analisar eventos em uma trilha com o Amazon CloudWatch Logs e a Amazon EventBridge.

As trilhas podem registrar eventos CloudTrail de gerenciamento, eventos de dados, eventos de atividades de rede e eventos do Insights.

nota

Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.

Você pode criar trilhas de várias regiões e de uma única região para sua Conta da AWS.

Trilhas de várias regiões: Quando você cria uma trilha multirregional, CloudTrail registra todos os eventos Regiões da AWS na AWS partição em que você está trabalhando e entrega os arquivos de log de CloudTrail eventos em um bucket do S3 que você especificar. Se uma Região da AWS for adicionada após a criação de uma trilha multirregional, essa nova região será incluída automaticamente e os eventos dessa região serão registrados. Criar uma trilha de várias regiões é uma prática recomendada, pois você captura atividades em todas as regiões da conta. Todas as trilhas que você cria usando o CloudTrail console são multirregionais. Você pode converter uma trilha de região única em uma trilha de várias regiões usando o. AWS CLI Para ter mais informações, consulte Criando uma trilha com o console e Converter uma trilha que se aplica a uma região para que ela se aplique a todas as regiões.
Trilhas de região única: Quando você cria uma trilha de região única, CloudTrail registra os eventos somente nessa região. Em seguida, ele entrega os arquivos de log de CloudTrail eventos para um bucket do Amazon S3 que você especificar. Só é possível criar uma trilha de região única usando a AWS CLI. Se você criar trilhas únicas adicionais, poderá fazer com que essas trilhas entreguem arquivos de log de CloudTrail eventos para o mesmo bucket do S3 ou para buckets separados. Essa é a opção padrão quando você cria uma trilha usando a AWS CLI ou a CloudTrail API. Para obter mais informações, consulte Criando, atualizando e gerenciando trilhas com o AWS CLI.

nota

Para os dois tipos de trilhas, é possível especificar um bucket do Amazon S3 de qualquer região.

Se você criou uma organização em AWS Organizations, você pode criar uma trilha da organização que registra todos os eventos de todas as AWS contas dessa organização. As trilhas da organização podem ser aplicadas a todas as AWS regiões ou à região atual. As trilhas da organização devem ser criadas com a conta de gerenciamento ou conta de administrador delegado e, quando especificadas como aplicáveis a uma organização, são aplicadas automaticamente a todas as contas-membro da respectiva organização. As contas-membro podem ver a trilha de organização, mas não podem modificá-las ou excluí-las. Por padrão, as contas de membro não têm acesso aos arquivos de log de uma trilha da organização no bucket do Amazon S3.

Por padrão, quando você cria uma trilha no CloudTrail console, seus arquivos de registro de eventos são criptografados com uma chave KMS. Se você optar por não habilitar a criptografia SSE-KMS, os logs de eventos são criptografados criptografia do lado do servidor (SSE) do Amazon S3. Você pode armazenar seus arquivos de log no seu bucket do pelo tempo que quiser. Você também pode definir as regras de ciclo de vida do Amazon S3 para arquivar ou excluir os arquivos de log automaticamente. Se você deseja receber notificações sobre a entrega e a validação dos arquivos de log, configure as notificações do Amazon SNS.

CloudTrail publica arquivos de log várias vezes por hora, aproximadamente a cada 5 minutos. Esses arquivos de log contêm chamadas de API de serviços na conta que oferece suporte a CloudTrail. Para obter mais informações, consulte CloudTrail serviços e integrações suportados.

nota

CloudTrail normalmente entrega registros em uma média de cerca de 5 minutos após uma chamada de API. Desta vez não há garantias. Consulte o Acordo de Nível de Serviço do AWS CloudTrail para obter mais informações.

Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 está inacessível), CloudTrail tentará reenviar os arquivos de log para o bucket do S3 por 30 dias, e esses attempted-to-deliver eventos estarão sujeitos às cobranças padrão. CloudTrail Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.

CloudTrail captura ações feitas diretamente pelo usuário ou em nome do usuário por um AWS serviço. Por exemplo, uma AWS CloudFormation CreateStack chamada pode resultar em chamadas de API adicionais para Amazon EC2, Amazon RDS, Amazon EBS ou outros serviços, conforme exigido pelo AWS CloudFormation modelo. Esse comportamento é normal e esperado. Você pode identificar se a ação foi realizada por um AWS serviço com o invokedby campo no CloudTrail evento.

A tabela a seguir fornece informações sobre tarefas que você pode executar em trilhas.

Tarefa	Descrição
Registrar de eventos de gerenciamento em log	Configure suas trilhas para registrar eventos somente leitura, somente gravação ou todos os eventos de gerenciamento.
Registrar eventos de dados	Você pode usar seletores de eventos avançados para criar seletores refinados para registrar somente os eventos de dados de interesse. Ao usar seletores de eventos avançados, você pode fazer filtragens no campo `eventName` para incluir ou excluir o registro em log de chamadas de API específicas, o que pode ajudar a controlar os custos.
Registrar eventos de atividade de rede	Configure suas trilhas para registrar eventos de atividade de rede. Você pode configurar seletores de eventos avançados para filtrar os campos `eventName`, `errorCode` e `vpcEndpointId` para registrar somente os eventos de interesse. nota Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.
Registrar eventos do Insights	Configure as trilhas para registrar eventos de Insights a fim de ajudar a identificar e responder a atividade incomum associada às chamadas de API de gerenciamento de . Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail.
Visualizar eventos do Insights	Depois de habilitar o CloudTrail Insights em uma trilha, você pode visualizar até 90 dias de eventos do Insights usando o CloudTrail console ou AWS CLI o.
Baixar eventos do Insights	Depois de habilitar o CloudTrail Insights em uma trilha, você pode baixar um arquivo CSV ou JSON contendo até os últimos 90 dias de eventos do Insights para sua trilha.
Copie os eventos da trilha para o CloudTrail Lago	Você pode copiar eventos de trilha existentes para um armazenamento de dados de eventos do CloudTrail Lake para criar um point-in-time instantâneo dos eventos registrados na trilha.
Criar e se inscrever em um tópico do Amazon SNS	Inscreva-se em um tópico para receber notificações sobre o fornecimento de arquivos de log ao seu bucket. O Amazon SNS pode notificar você de várias maneiras, inclusive de modo programático com o Amazon Simple Queue Service. nota Se você deseja receber notificações do SNS sobre a entrega de arquivos de log de todas as regiões, especifique apenas um tópico do SNS para a sua trilha. Se você deseja processar programaticamente todos os eventos, consulte Usando a Biblioteca CloudTrail de Processamento.
Visualizar arquivos de log	Encontre e baixe seus arquivos de log do bucket do S3.
Monitore eventos com CloudWatch registros	Você pode configurar sua trilha para enviar eventos para o CloudWatch Logs. Em seguida, você pode usar o CloudWatch Logs para monitorar sua conta em busca de chamadas e eventos específicos da API. nota Se você configurar uma trilha que se aplique a todas as regiões para enviar eventos a um grupo de CloudWatch registros de registros, CloudTrail enviará eventos de todas as regiões para um único grupo de registros.
Habilitar a criptografia de log	A criptografia de arquivos de log fornece uma camada extra de segurança para os seus arquivos de log.
Habilitar a integridade dos arquivos de log	A validação da integridade do arquivo de log ajuda você a verificar se os arquivos de log permaneceram inalterados desde que foram CloudTrail entregues.
Compartilhar arquivos de log com outras Contas da AWS	Você pode compartilhar arquivos de log entre contas.
Agregar logs de várias contas	Você pode agregar arquivos de log de várias contas em um único bucket.
Trabalhar com soluções de parceiros	Analise sua CloudTrail produção com uma solução de parceiro que se integra a. CloudTrail As soluções de parceiros oferecem um amplo conjunto de recursos, como rastreamento de alterações, solução de problemas e análise de segurança.

Você pode entregar uma cópia dos seus eventos de gerenciamento contínuos para o bucket do S3 sem nenhum custo CloudTrail criando uma trilha. No entanto, há cobranças de armazenamento do Amazon S3. Para obter mais informações sobre CloudTrail preços, consulte AWS CloudTrail Preços. Para receber informações sobre a definição de preços do Amazon S3, consulte Definição de preços do Amazon S3.

CloudTrail Eventos do Insights

AWS CloudTrail O Insights ajuda AWS os usuários a identificar e responder a atividades incomuns associadas às taxas de chamadas e taxas de erro da API, analisando continuamente os eventos CloudTrail de gerenciamento. CloudTrail O Insights analisa seus padrões normais de volume de chamadas de API e taxas de erro de API, também chamados de linha de base, e gera eventos do Insights quando o volume de chamadas ou as taxas de erro estão fora dos padrões normais. Os eventos do Insights sobre a taxa de chamadas da API são gerados para write gerenciamento APIs, e os eventos do Insights sobre a taxa de erro da API são gerados para ambos read e para o write gerenciamento APIs.

Por padrão, CloudTrail trilhas e armazenamentos de dados de eventos não registram eventos do Insights. Você deve configurar suas trilhas ou seus armazenamentos de dados de eventos para registrar eventos do Insights. Para ter mais informações, consulte Registrando eventos do Insights com o CloudTrail console e Registrando eventos do Insights com o AWS CLI.

Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail.

Visualizar eventos do Insights para trilhas e armazenamentos de dados de eventos

CloudTrail suporta eventos do Insights para trilhas e armazenamentos de dados de eventos, no entanto, existem algumas diferenças na forma como você visualiza e acessa os eventos do Insights.

Visualizar eventos do Insights para trilhas

Se você tiver eventos do Insights ativados em uma trilha e CloudTrail detectar atividades incomuns, os eventos do Insights serão registrados em uma pasta ou prefixo diferente no bucket do S3 de destino da sua trilha. Você também pode ver o tipo de insight e o período do incidente ao visualizar os eventos do Insights no CloudTrail console. Para obter mais informações, consulte Visualizando eventos do Insights para trilhas com o console.

Depois de ativar o CloudTrail Insights pela primeira vez em uma trilha, CloudTrail pode levar até 36 horas para começar a entregar eventos do Insights depois de ativar os eventos do Insights em uma trilha, desde que uma atividade incomum seja detectada durante esse período.

Visualizar eventos do Insights para armazenamentos de dados de eventos

Para registrar eventos do Insights no CloudTrail Lake, você precisa de um armazenamento de dados de eventos de destino que registre eventos do Insights e um armazenamento de dados de eventos de origem que permita o Insights e eventos de gerenciamento de registros. Para obter mais informações, consulte Criar um armazenamento de dados de eventos para eventos do Insights com o console.

Depois de ativar o CloudTrail Insights pela primeira vez no armazenamento de dados do evento de origem, CloudTrail pode levar até 7 dias para começar a entregar eventos do Insights, desde que atividades incomuns sejam detectadas durante esse período.

Se você tiver o CloudTrail Insights ativado em um armazenamento de dados de eventos de origem e CloudTrail detectar atividades incomuns, CloudTrail entrega os eventos do Insights ao seu armazenamento de dados de eventos de destino. Depois, você pode consultar o armazenamento de dados de eventos de destino para obter informações sobre os eventos do Insights e, opcionalmente, salvar os resultados da consulta em um bucket do S3. Para ter mais informações, consulte Crie ou edite uma consulta com o CloudTrail console e Veja exemplos de consultas com o console CloudTrail .

Você pode visualizar o painel de eventos do Insights para visualizar os eventos do Insights em seu armazenamento de dados de eventos de destino. Para obter mais informações sobre painéis do Lake, consulte CloudTrail Painéis do Lake.

CloudTrail canais

CloudTrail suporta dois tipos de canais:

Canais para integrações do CloudTrail Lake com fontes de eventos fora do AWS

CloudTrail O Lake usa canais para trazer eventos de fora AWS para o CloudTrail Lake de parceiros externos que trabalham com CloudTrail ou de suas próprias fontes. Ao criar um canal, você escolhe um ou mais armazenamentos de dados de eventos para armazenar eventos que cheguem da fonte do canal. É possível alterar os armazenamentos de dados de eventos de destino de um canal conforme necessário, desde que os armazenamentos de dados de eventos de destino estejam configurados para registrar em log eventos de atividades. Ao criar um canal para eventos de um parceiro externo, você fornece um ARN de canal para o parceiro ou aplicação da fonte. A política de recursos anexada ao canal permite que a fonte transmita eventos pelo canal. Para obter mais informações, consulte Crie uma integração com uma fonte de eventos fora da AWS e CreateChannel na Referência da API do AWS CloudTrail .

Canais vinculados ao serviço

AWS os serviços podem criar um canal vinculado ao serviço para receber CloudTrail eventos em seu nome. O AWS serviço que cria o canal vinculado ao serviço configura seletores de eventos avançados para o canal e especifica se o canal se aplica a todas as regiões ou à região atual.

Você pode usar o CloudTrail console ou AWS CLIvisualizar informações sobre qualquer canal CloudTrail vinculado ao serviço criado por. Serviços da AWS

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

O que é AWS CloudTrail?

Conceitos