Crie um armazenamento de dados de eventos com o AWS CLI - AWS CloudTrail
Crie um armazenamento de dados de eventos para eventos de dados do S3 com o AWS CLICrie um armazenamento de dados de eventos para eventos KMS de atividade de rede com o AWS CLICrie um armazenamento de dados de eventos para itens AWS Config de configuração com o AWS CLICrie um armazenamento de dados de eventos da organização para eventos de gerenciamento com o AWS CLICrie armazenamentos de dados de eventos para eventos do Insights com o AWS CLI

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um armazenamento de dados de eventos com o AWS CLI

Esta seção descreve como usar o create-event-data-storecomando para criar um armazenamento de dados de eventos e fornece exemplos de diferentes tipos de armazenamentos de dados de eventos que você pode criar.

Quando você cria um armazenamento de dados de eventos, o único parâmetro necessário é --name, usado para identificar o armazenamento de dados de eventos. Você pode configurar parâmetros opcionais adicionais, incluindo:

  • --advanced-event-selectors: especifica o tipo dos eventos a serem incluídos no armazenamento de dados de eventos. Por padrão, os armazenamentos de dados de eventos registram todos os eventos de gerenciamento. Para obter mais informações sobre seletores de eventos avançados, consulte AdvancedEventSelectorna CloudTrail API Referência.

  • --kms-key-id- Especifica a ID da KMS chave a ser usada para criptografar os eventos entregues pelo. CloudTrail O valor pode ser um nome de alias prefixado poralias/, um totalmente especificado ARN para um alias, um totalmente especificado ARN para uma chave ou um identificador global exclusivo.

  • --multi-region-enabled- Cria um armazenamento de dados de eventos multirregional que registra eventos de todos Regiões da AWS em sua conta. Por padrão, --multi-region-enabled é definido, mesmo que o parâmetro não seja adicionado.

  • --organization-enabled: permite que um armazenamento de dados de eventos colete eventos para todas as contas em uma organização. Por padrão, o armazenamento de dados de eventos não está habilitado para todas as contas em uma organização.

  • --billing-mode: determina o custo de ingestão e armazenamento de eventos e o período de retenção padrão e máximo para o armazenamento de dados de eventos.

    Os valores possíveis são os seguintes:

    • EXTENDABLE_RETENTION_PRICING: esse modo de cobrança geralmente é recomendado se você ingerir menos de 25 TB de dados de eventos por mês e quiser um período de retenção flexível de até 3653 dias (cerca de 10 anos). O período de retenção padrão para esse modo de cobrança é de 366 dias.

    • FIXED_RETENTION_PRICING: esse modo de cobrança é recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 2557 dias (cerca de 7 anos). O período de retenção padrão para esse modo de cobrança é de 2557 dias.

    O valor padrão é EXTENDABLE_RETENTION_PRICING.

  • --retention-period: o número de dias para manter eventos no armazenamento de dados de eventos. Os valores válidos são números inteiros entre 7 e 3653, se --billing-mode for EXTENDABLE_RETENTION_PRICING, ou entre 7 e 2557, se --billing-mode for definido como FIXED_RETENTION_PRICING. Se você não especificar--retention-period, CloudTrail usa o período de retenção padrão para --billing-mode o.

  • --start-ingestion: o parâmetro --start-ingestion inicia a ingestão de eventos no armazenamento de dados de eventos quando ele é criado. Esse parâmetro é definido mesmo se o parâmetro não for adicionado.

    Especifique --no-start-ingestion se você não quiser que o armazenamento de dados de eventos ingira eventos ao vivo. Por exemplo, talvez você queira definir esse parâmetro se estiver copiando eventos para o armazenamento de dados de eventos e planeja usar os dados de eventos para analisar eventos passados. O parâmetro --no-start-ingestion é válido somente quando o eventCategory for Management, Data ou ConfigurationItem.

Os exemplos a seguir mostram como criar diferentes tipos de armazenamento de dados de eventos.

Crie um armazenamento de dados de eventos para eventos de dados do S3 com o AWS CLI

O create-event-data-store comando de exemplo a seguir AWS Command Line Interface (AWS CLI) cria um armazenamento de dados de eventos chamado my-event-data-store que seleciona todos os eventos de dados do Amazon S3 e é criptografado usando KMS uma chave.

aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
            ]
        }
    ]'

O seguinte é um exemplo de resposta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
    "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}

Crie um armazenamento de dados de eventos para eventos KMS de atividade de rede com o AWS CLI

nota

Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.

O exemplo a seguir mostra como criar um armazenamento de dados de eventos para incluir eventos de atividade de VpceAccessDenied rede AWS KMS. Este exemplo define o errorCode campo igual a VpceAccessDenied eventos e o eventSource campo igual kms.amazonaws.com a.

aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
     {
        "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
        "FieldSelectors": [
            {
                "Field": "eventCategory",
                "Equals": ["NetworkActivity"]
            },
            {
                "Field": "eventSource",
                "Equals": ["kms.amazonaws.com"]
            },
            {
                "Field": "errorCode",
                "Equals": ["VpceAccessDenied"]
            }
        ]
    }
]'

Este comando retorna a saída de exemplo a seguir.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "NetworkActivity"
                    ]
                },
                {
                    "Field": "eventSource",
                    "Equals": [
                        "kms.amazonaws.com"
                    ]
                },
                {
                    "Field": "errorCode",
                    "Equals": [
                        "VpceAccessDenied"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}

Para obter mais informações sobre eventos de atividade de rede, consulteRegistrando eventos de atividade de rede.

Crie um armazenamento de dados de eventos para itens AWS Config de configuração com o AWS CLI

O AWS CLI create-event-data-store comando de exemplo a seguir cria um armazenamento de dados de eventos chamado config-items-eds que seleciona itens AWS Config de configuração. Para coletar itens de configuração, especifique que o campo eventCategory é igual a ConfigurationItem nos seletores de eventos avançados.

aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

O seguinte é um exemplo de resposta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "config-items-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select AWS Config configuration items",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "ConfigurationItem"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
    "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}

Crie um armazenamento de dados de eventos da organização para eventos de gerenciamento com o AWS CLI

O AWS CLI create-event-data-store comando de exemplo a seguir cria um armazenamento de dados de eventos da organização que coleta todos os eventos de gerenciamento e define o --billing-mode parâmetro como. FIXED_RETENTION_PRICING

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING

O seguinte é um exemplo de resposta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

Crie armazenamentos de dados de eventos para eventos do Insights com o AWS CLI

Para registrar eventos do Insights no CloudTrail Lake, você precisa de um armazenamento de dados de eventos de destino que colete eventos do Insights e um armazenamento de dados de eventos de origem que habilite o Insights e eventos de gerenciamento de registros.

Este procedimento mostra como criar os armazenamentos de dados de eventos de destino e origem e, em seguida, habilitar os eventos do Insights.

  1. Execute o comando aws cloudtrail create-event-data-store para criar um armazenamento de dados de eventos de destino que coleta eventos do Insights. O valor de eventCategory deve ser Insight. Substituir retention-period-days com o número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos. Os valores válidos são números inteiros entre 7 e 3653, se --billing-mode for EXTENDABLE_RETENTION_PRICING, ou entre 7 e 2557, se --billing-mode for definido como FIXED_RETENTION_PRICING. Se você não especificar--retention-period, CloudTrail usa o período de retenção padrão para --billing-mode o.

    Se você estiver conectado com a conta de gerenciamento de uma AWS Organizations organização, inclua o --organization-enabled parâmetro se quiser dar ao administrador delegado acesso ao armazenamento de dados do evento.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    O seguinte é um exemplo de resposta.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}

    Você usará o ARN (ou o sufixo de ID doARN) da resposta como o valor do --insights-destination parâmetro na etapa 3.

  2. Execute o comando aws cloudtrail create-event-data-store para criar um armazenamento de dados de eventos que registre eventos de gerenciamento no log. Por padrão, os armazenamentos de dados de eventos registram todos os eventos de gerenciamento. Não é necessário especificar nenhum seletor de eventos avançado para registrar todos os eventos de gerenciamento. Substituir retention-period-days com o número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos. Os valores válidos são números inteiros entre 7 e 3653, se --billing-mode for EXTENDABLE_RETENTION_PRICING, ou entre 7 e 2557, se --billing-mode for definido como FIXED_RETENTION_PRICING. Se você não especificar--retention-period, CloudTrail usa o período de retenção padrão para --billing-mode o. Se você estiver criando um armazenamento de dados de eventos da organização, inclua o parâmetro --organization-enabled.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    O seguinte é um exemplo de resposta.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}

    Você usará o ARN (ou o sufixo de ID doARN) da resposta como o valor do --event-data-store parâmetro na etapa 3.

  3. Execute o comando put-insight-selectors para ativar os eventos do Insights. Os valores do seletor Insights podem ser ApiCallRateInsight, ApiErrorRateInsight ou ambos. Para o --event-data-store parâmetro, especifique o ARN (ou o sufixo de ID doARN) do armazenamento de dados de eventos de origem que registra os eventos de gerenciamento e ativará o Insights. Para o --insights-destination parâmetro, especifique o ARN (ou o sufixo de ID doARN) do armazenamento de dados do evento de destino que registrará os eventos do Insights.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    O resultado a seguir mostra o seletor de eventos do Insights que está configurado para o armazenamento de dados de eventos.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    Depois de ativar o CloudTrail Insights pela primeira vez em um armazenamento de dados de eventos, pode levar até 7 dias CloudTrail para entregar o primeiro evento do Insights, se uma atividade incomum for detectada.

    CloudTrail O Insights analisa eventos de gerenciamento que ocorrem em uma única região, não globalmente. Um evento do CloudTrail Insights é gerado na mesma região em que seus eventos de gerenciamento de apoio são gerados.

    Para um armazenamento de dados de eventos da organização, CloudTrail analisa os eventos de gerenciamento da conta de cada membro em vez de analisar a agregação de todos os eventos de gerenciamento da organização.

Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte AWS CloudTrail Preços.