Registrar eventos do Insights - AWS CloudTrail
Entender a entrega de eventos do InsightsRegistrando eventos do Insights com o AWS Management ConsoleRegistrando eventos do Insights com o AWS Command Line InterfaceRegistrando eventos do Insights com os AWS SDKs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registrar eventos do Insights

AWS CloudTrail O Insights ajuda AWS os usuários a identificar e responder a atividades incomuns associadas a chamadas de API e taxas de erro de API, analisando continuamente os eventos CloudTrail de gerenciamento. CloudTrail O Insights analisa seus padrões normais de volume de chamadas de API e taxas de erro de API, também chamados de linha de base, e gera eventos do Insights quando o volume de chamadas ou as taxas de erro estão fora dos padrões normais. Eventos de insights no volume de chamadas de API são gerados para write APIs de gerenciamento e eventos do Insights na taxa de erros da API são gerados para ambosread e write APIs de gerenciamento.

nota

Para registrar em log eventos do Insights sobre o volume de chamadas à API, a trilha ou o armazenamento de dados de eventos deve registrar em log os eventos de gerenciamento de write. Para registrar em log eventos do Insights sobre a taxa de erros da API, a trilha ou o armazenamento de dados de eventos deve registrar em log os eventos de gerenciamento de read ou write.

CloudTrail O Insights analisa eventos de gerenciamento que ocorrem em uma única região, não globalmente. Um evento do CloudTrail Insights é gerado na mesma região em que seus eventos de gerenciamento de apoio são gerados.

Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail.

Entender a entrega de eventos do Insights

Ao contrário de outros tipos de eventos que CloudTrail capturam, os eventos do Insights são registrados somente quando CloudTrail detectam alterações no uso da API da sua conta que diferem significativamente dos padrões de uso típicos da conta.

CloudTrail O local de entrega dos eventos e o tempo necessário para receber os eventos do Insights diferem entre trilhas e armazenamentos de dados de eventos.

Entrega de eventos do Insights para trilhas

Se você ativou eventos do Insights em uma trilha e CloudTrail detectou atividades incomuns, CloudTrail entrega os eventos do Insights na /CloudTrail-Insight pasta no bucket S3 de destino escolhido para sua trilha. Depois de ativar o CloudTrail Insights pela primeira vez em uma trilha, pode levar até 36 horas CloudTrail para entregar o primeiro evento do Insights, se uma atividade incomum for detectada.

Se você desativar o registro de eventos do Insights em uma trilha e depois reativar os eventos do Insights, ou parar e reiniciar o registro em uma trilha, pode levar até 36 horas CloudTrail para reiniciar a entrega dos eventos do Insights, se uma atividade incomum for detectada.

Entrega de eventos do Insights para armazenamentos de dados de eventos

Se você habilitou os eventos do Insights em um armazenamento de dados de eventos de origem, CloudTrail entrega os eventos do Insights para o armazenamento de dados do evento de destino. Depois de ativar o CloudTrail Insights pela primeira vez no armazenamento de dados do evento de origem, pode levar até 7 dias CloudTrail para entregar o primeiro evento do Insights ao armazenamento de dados do evento de destino, se uma atividade incomum for detectada.

Se você desativar o registro de eventos do Insights em um armazenamento de dados de eventos de origem e, em seguida, reativar os eventos do Insights ou interromper e reiniciar a ingestão de eventos em um armazenamento de dados de eventos de origem, pode levar até 7 dias CloudTrail para reiniciar a entrega dos eventos do Insights, se uma atividade incomum for detectada. Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte AWS CloudTrail Preços.

Registrando eventos do Insights com o AWS Management Console

É possível habilitar eventos do Insights em uma trilha ou em um armazenamento de dados de eventos usando o console.

Habilitando eventos do CloudTrail Insights em uma trilha existente

Use o procedimento a seguir para ativar eventos do CloudTrail Insights em uma trilha existente. Por padrão, os eventos do Insights não estão habilitados.

  1. No painel de navegação esquerdo do CloudTrail console, abra a página Trilhas e escolha o nome da trilha.

  2. Em Insights events (Eventos do Insights), escolha Edit (Editar).

    nota

    Há cobranças adicionais para o registro em log de eventos do Insights. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

  3. Em Event type (Tipo de evento), selecione Insights events (Eventos do Insights).

  4. Em Insights events (Eventos do Insights), em Choose Insights types (Escolha tipos do Insights), escolha API call rate (Taxa de chamada da API), API error rate (Taxa de erro da API) ou ambos. Sua trilha deve registrar em log eventos de gerenciamento de gravação para registrar em log eventos do Insights sobre a taxa de chamadas à API. Sua trilha deve registrar em log eventos de gerenciamento de leitura ou de gravação para registrar em log eventos do Insights sobre a taxa de erros da API.

  5. Escolha Salvar alterações para salvar suas alterações.

Pode levar até 36 horas CloudTrail para entregar os primeiros eventos do Insights, se uma atividade incomum for detectada.

Habilitando eventos do CloudTrail Insights em um armazenamento de dados de eventos existente

Use o procedimento a seguir para habilitar eventos do CloudTrail Insights em um armazenamento de dados de eventos existente. Por padrão, os eventos do Insights não estão habilitados.

Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte AWS CloudTrail Preços.

nota

Você só pode ativar eventos do CloudTrail Insights em armazenamentos de dados de eventos contendo eventos CloudTrail de gerenciamento. Você não pode ativar eventos do CloudTrail Insights em outros tipos de armazenamento de dados de eventos.

  1. No painel de navegação esquerdo do CloudTrail console, em Lake, escolha Armazenamentos de dados de eventos.

  2. Escolha o nome do armazenamento de dados de eventos.

  3. Em Eventos de gerenciamento, escolha Editar.

  4. Escolha Habilitar Insights.

  5. Escolha o armazenamento de dados do evento de destino onde CloudTrail entregará os eventos do Insights. O armazenamento de dados de eventos de destino coletará eventos do Insights com base na atividade de gerenciamento de eventos nesse armazenamento de dados de eventos. Para obter informações sobre como criar o armazenamento de dados de eventos de destino, consulte Para criar um armazenamento de dados de eventos de destino que registra eventos do Insights.

  6. Em Escolher tipos de Insights, escolha Taxa de chamadas à API, Taxa de erros da API ou ambas. Seu armazenamento de dados de eventos deve registrar em log eventos de gerenciamento de gravação para registrar em log eventos do Insights sobre a taxa de chamadas à API. O armazenamento de dados de eventos deve registrar em log eventos de gerenciamento de leitura ou de gravação para registrar em log eventos do Insights sobre a taxa de erros da API.

  7. Escolha Salvar alterações para salvar suas alterações.

Pode levar até 7 dias CloudTrail para entregar os primeiros eventos do Insights, se uma atividade incomum for detectada.

Registrando eventos do Insights com o AWS Command Line Interface

É possível configurar suas trilhas e seus armazenamentos de dados de eventos para registrar eventos do Insights em log usando a AWS CLI.

nota

Para registrar em log eventos do Insights sobre o volume de chamadas à API, a trilha ou o armazenamento de dados de eventos deve registrar em log os eventos de gerenciamento de write. Para registrar em log eventos do Insights sobre a taxa de erros da API, a trilha ou o armazenamento de dados de eventos deve registrar em log os eventos de gerenciamento de read ou write.

Registrando eventos do Insights para uma trilha usando o AWS CLI

Para visualizar se a trilha está registrando em log os eventos do Insights, execute o comando get-insight-selectors.

aws cloudtrail get-insight-selectors --trail-name TrailName

O resultado a seguir mostra as configurações padrão para uma trilha. Por padrão, as trilhas não registram em log eventos do Insights. O valor do atributo InsightType está vazio, e nenhum seletor de eventos do Insight é especificado, pois a coleção de eventos do Insights não está ativada.

Se você não adicionar seletores do Insights, o get-insight-selectors comando retornará a seguinte mensagem de erro: “Ocorreu um erro (InsightNotEnabledException) ao chamar a GetInsightSelectors operação: O nome da trilha não tem o Insights ativado. Edite as configurações da trilha para habilitar o Insights e tente a operação novamente.”

{
  "InsightSelectors": [ ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Para configurar a trilha para registrar em log eventos do Insights, execute o comando put-insight-selectors. O exemplo a seguir mostra como configurar a trilha para incluir eventos do Insights. Os valores do seletor Insights podem ser ApiCallRateInsight, ApiErrorRateInsight ou ambos.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

O resultado a seguir mostra o seletor de eventos do Insights que está configurado para a trilha.

{
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Registrando eventos do Insights para um armazenamento de dados de eventos usando o AWS CLI

Para habilitar o Insights em um armazenamento de dados de eventos, é necessário ter um armazenamento de dados de eventos de origem que registre eventos de gerenciamento e um armazenamento de dados de eventos de destino que registre eventos do Insights.

Para ver se os eventos do Insights estão habilitados em um armazenamento de dados de eventos, execute o comando get-insight-selectors.

aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Para ver se um armazenamento de dados de eventos está configurado para receber eventos do Insights ou eventos de gerenciamento, execute o comando get-event-data-store.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

O procedimento a seguir mostra como criar os armazenamentos de dados de eventos de destino e origem e, em seguida, habilitar os eventos do Insights.

  1. Execute o comando aws cloudtrail create-event-data-store para criar um armazenamento de dados de eventos de destino que coleta eventos do Insights. O valor de eventCategory deve ser Insight. retention-period-daysSubstitua pelo número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos.

    Se você estiver conectado com a conta de gerenciamento de uma AWS Organizations organização, inclua o --organization-enabled parâmetro se quiser dar ao administrador delegado acesso ao armazenamento de dados do evento.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    O seguinte é um exemplo de resposta.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}

    Você usará o ARN (ou o sufixo de ID do ARN) da resposta como o valor do parâmetro --insights-destination na etapa 3.

  2. Execute o comando aws cloudtrail create-event-data-store para criar um armazenamento de dados de eventos que registre eventos de gerenciamento no log. Por padrão, os armazenamentos de dados de eventos registram todos os eventos de gerenciamento. Não é necessário especificar nenhum seletor de eventos avançado para registrar todos os eventos de gerenciamento. retention-period-daysSubstitua pelo número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos. Se você estiver criando um armazenamento de dados de eventos da organização, inclua o parâmetro --organization-enabled.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    O seguinte é um exemplo de resposta.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}

    Você usará o ARN (ou o sufixo de ID do ARN) da resposta como o valor do parâmetro --event-data-store na etapa 3.

  3. Execute o comando put-insight-selectors para ativar os eventos do Insights. Os valores do seletor Insights podem ser ApiCallRateInsight, ApiErrorRateInsight ou ambos. Para o parâmetro --event-data-store, especifique o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos de origem que registra os eventos de gerenciamento e ativará o Insights. Para o parâmetro --insights-destination, especifique o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos de destino que registrará os eventos do Insights.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    O resultado a seguir mostra o seletor de eventos do Insights que está configurado para o armazenamento de dados de eventos.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    Depois de ativar o CloudTrail Insights pela primeira vez em um armazenamento de dados de eventos, pode levar até 7 dias CloudTrail para entregar o primeiro evento do Insights, se uma atividade incomum for detectada.

    CloudTrail O Insights analisa eventos de gerenciamento que ocorrem em uma única região, não globalmente. Um evento do CloudTrail Insights é gerado na mesma região em que seus eventos de gerenciamento de apoio são gerados.

    Para um armazenamento de dados de eventos da organização, CloudTrail analisa os eventos de gerenciamento da conta de cada membro em vez de analisar a agregação de todos os eventos de gerenciamento da organização.

Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte AWS CloudTrail Preços.

Registrando eventos do Insights com os AWS SDKs

Execute a GetInsightSelectorsoperação para ver se seu armazenamento de dados de trilhas ou eventos habilita eventos do Insights. Você pode configurar suas trilhas ou armazenamentos de dados de eventos para habilitar eventos do Insights com a PutInsightSelectorsoperação. Para obter mais informações, consulte a AWS CloudTrail Referência da API do .