As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Registrar em log os eventos de atividade de rede
CloudTrail eventos de atividade de rede permitem que proprietários de endpoints de VPC gravem chamadas de AWS API feitas usando seus endpoints de VPC de uma VPC privada para o. AWS service (Serviço da AWS) Os eventos de atividade de rede fornecem visibilidade nas operações de recurso executadas dentro de uma VPC. Por exemplo, registrar em log os eventos de atividade de rede pode ajudar os proprietários de endpoints da VPC a detectar quando credenciais externas à organização tentam acessar seus endpoints da VPC.
Você pode registrar eventos de atividade de rede para os seguintes serviços:
+ AWS AppConfig
+ AWS App Mesh
+ Amazon Athena
+ AWS B2B Data Interchange
+ AWS Backup gateway
+ Amazon Bedrock
+ Gerenciamento de Faturamento e Custos
+ AWS Calculadora de Preços
+ AWS Cost Explorer
+ AWS API Cloud Control
+ AWS CloudHSM
+ AWS Cloud Map
+ AWS CloudFormation
+ AWS CloudTrail
+ Amazon CloudWatch
+ CloudWatch Sinais de aplicação
+ AWS CodeDeploy
+ Amazon Comprehend Medical
+ AWS Config
+ Exportações de dados da AWS
+ Amazon Data Firehose
+ AWS Directory Service
+ Amazon DynamoDB
+ Amazon EC2
+ Amazon Elastic Container Service
+ Amazon Elastic File System
+ Elastic Load Balancing
+ Amazon EventBridge
+ EventBridge Programador Amazon
+ Amazon Fraud Detector
+ Nível gratuito da AWS
+ Amazon FSx
+ AWS Glue
+ AWS HealthLake
+ AWS IoT FleetWise
+ AWS IoT Secure Tunneling
+ Faturamento da AWS
+ Amazon Keyspaces (para Apache Cassandra)
+ AWS KMS
+ AWS Lake Formation
+ AWS Lambda
+ AWS License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Personalize
+ Amazon Q Business
+ Amazon Rekognition
+ Amazon Relational Database Service
+ Amazon S3
**nota**
Os [pontos de acesso multirregionais](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRequests.html) do Amazon S3 não são compatíveis.
+ SageMaker IA da Amazon
+ AWS Secrets Manager
+ Amazon Simple Notification Service
+ Amazon Simple Queue Service
+ Amazon Simple Workflow Service
+ AWS Storage Gateway
+ AWS Systems Manager Incident Manager
+ Amazon Textract
+ Amazon Transcribe
+ Amazon Translate
+ AWS Transform
+ Amazon Verified Permissions
+ Amazon WorkMail
É possível configurar tanto trilhas quanto armazenamentos de dados de eventos para registrar eventos de atividade de rede.
Por padrão, trilhas e armazenamentos de dados de eventos não registram eventos de atividade de rede. Cobranças adicionais são aplicáveis aos eventos de atividade de rede. Para obter mais informações, consulte [AWS CloudTrail Preço](https://aws.amazon.com/cloudtrail/pricing/).
**Contents**
+ [Campos dos seletores de eventos avançados para eventos de atividade de rede](#logging-network-events)
+ [Registrando eventos de atividade de rede com o Console de gerenciamento da AWS](#creating-network-event-selectors-with-the-console)
+ [Atualizar uma trilha existente para registrar eventos de atividade de rede](#log-network-events-trail-console)
+ [Atualizar um armazenamento de dados de eventos existente para registrar eventos de atividade de rede](#log-network-events-lake-console)
+ [Registrando eventos de atividade de rede com o AWS Command Line Interface](#creating-network-event-selectors-with-the-AWS-CLI)
+ [Exemplos: registrar em log eventos de atividade de rede para trilhas](#logging-network-events-CLI-trail-examples)
+ [Exemplo: registrar eventos de atividade de rede para CloudTrail operações](#logging-network-events-CLI-trail-all-ct)
+ [Exemplo: registrar `VpceAccessDenied` eventos para AWS KMS](#logging-network-events-CLI-trail-kms)
+ [Exemplo: registrar em log eventos de `VpceAccessDenied` do Amazon S3](#logging-network-events-CLI-trail-s3)
+ [Exemplo: registrar eventos `VpceAccessDenied` do EC2 em um endpoint da VPC específico](#logging-network-events-CLI-trail-ec2)
+ [Exemplo: registrar em log todos os eventos de gerenciamento e eventos de atividade de rede de várias origens de eventos](#logging-network-events-CLI-trail-multiple)
+ [Exemplos: registrar em log eventos de atividade de rede para armazenamentos de dados de eventos](#logging-network-events-CLI-eds-examples)
+ [Exemplo: registre todos os eventos de atividade de rede para CloudTrail operações](#creating-network-events-eds-CLI-ct)
+ [Exemplo: registrar `VpceAccessDenied` eventos para AWS KMS](#creating-network-events-eds-CLI-kms)
+ [Exemplo: registrar eventos `VpceAccessDenied` do EC2 em um endpoint da VPC específico](#creating-network-events-eds-CLI-ec2)
+ [Exemplo: registrar em log eventos de `VpceAccessDenied` do Amazon S3](#creating-network-events-eds-CLI-s3)
+ [Exemplo: registrar em log todos os eventos de gerenciamento e eventos de atividade de rede de várias origens de eventos](#creating-network-events-eds-CLI-multiple)
+ [Registrando eventos com o AWS SDKs](#logging-network-events-with-the-AWS-SDKs)
## Campos dos seletores de eventos avançados para eventos de atividade de rede
Você pode configurar seletores de eventos avançados para registrar eventos de atividade de rede especificando a fonte de eventos para a qual você deseja registrar a atividade. Você pode configurar seletores de eventos avançados usando o CloudTrail console AWS SDKs AWS CLI, ou.
Os seguintes campos avançados do seletor de eventos são necessários para registrar eventos de atividade de rede:
+ `eventCategory` — Para registrar eventos de atividade de rede, o valor deve ser `NetworkActivity`. O `eventCategory` só pode usar o operador `Equals`.
+ `eventSource` — A fonte de eventos para a qual você deseja registrar eventos de atividade de rede. O `eventSource` só pode usar o operador `Equals`. Se você quiser registrar eventos de atividade de rede para várias fontes de eventos, deverá criar um seletor de campo separado para cada fonte de eventos.
Os valores válidos são:
+ `aco-automation.amazonaws.com`
+ `appconfig.amazonaws.com`
+ `application-signals.amazonaws.com`
+ `appmesh.amazonaws.com`
+ `athena.amazonaws.com`
+ `b2bi.amazonaws.com`
+ `backup-gateway.amazonaws.com`
+ `bcm-data-exports.amazonaws.com`
+ `bcm-pricing-calculator.amazonaws.com`
+ `bedrock-agentcore.amazonaws.com`
+ `bedrock.amazonaws.com`
+ `billing.amazonaws.com`
+ `cassandra.amazonaws.com`
+ `ce.amazonaws.com`
+ `cloudcontrolapi.amazonaws.com`
+ `cloudformation.amazonaws.com`
+ `cloudhsm.amazonaws.com`
+ `cloudoptimization.amazonaws.com`
+ `cloudtrail.amazonaws.com`
+ `codedeploy.amazonaws.com`
+ `comprehend.amazonaws.com`
+ `comprehendmedical.amazonaws.com`
+ `config.amazonaws.com`
+ `ds.amazonaws.com`
+ `dynamodb.amazonaws.com`
+ `ec2.amazonaws.com`
+ `ecs.amazonaws.com`
+ `elasticfilesystem.amazonaws.com`
+ `elasticloadbalancing.amazonaws.com`
+ `events.amazonaws.com`
+ `firehose.amazonaws.com`
+ `frauddetector.amazonaws.com`
+ `freetier.amazonaws.com`
+ `fsx.amazonaws.com`
+ `glue.amazonaws.com`
+ `healthlake.amazonaws.com`
+ `invoicing.amazonaws.com`
+ `iot.amazonaws.com`
+ `iotfleetwise.amazonaws.com`
+ `iotsecuredtunneling.amazonaws.com`
+ `kms.amazonaws.com`
+ `lakeformation.amazonaws.com`
+ `lambda.amazonaws.com`
+ `license-manager.amazonaws.com`
+ `lookoutequipment.amazonaws.com`
+ `lookoutvision.amazonaws.com`
+ `monitoring.amazonaws.com`
+ `nova-act.amazonaws.com`
+ `personalize.amazonaws.com`
+ `qbusiness.amazonaws.com`
+ `rds.amazonaws.com`
+ `rekognition.amazonaws.com`
+ `rolesanywhere.amazonaws.com`
+ `s3.amazonaws.com`
+ `sagemaker.amazonaws.com`
+ `scheduler.amazonaws.com`
+ `secretsmanager.amazonaws.com`
+ `servicediscovery.amazonaws.com`
+ `sns.amazonaws.com`
+ `sqs.amazonaws.com`
+ `ssm-contacts.amazonaws.com`
+ `ssm.amazonaws.com`
+ `storagegateway.amazonaws.com`
+ `swf.amazonaws.com`
+ `textract.amazonaws.com`
+ `transcribe.amazonaws.com`
+ `transcribestreaming.amazonaws.com`
+ `transform-agents.amazonaws.com`
+ `transform-custom.amazonaws.com`
+ `transform.amazonaws.com`
+ `translate.amazonaws.com`
+ `user-subscriptions.amazonaws.com`
+ `verifiedpermissions.amazonaws.com`
+ `voiceid.amazonaws.com`
+ `workmail.amazonaws.com`
+ `workmailmessageflow.amazonaws.com`
Os seguintes campos avançados do seletor de eventos são opcionais:
+ `eventName` — A ação solicitada que você deseja filtrar. Por exemplo, `CreateKey` ou `ListKeys`. `eventName` pode usar qualquer operador.
+ `errorCode` — O código de erro solicitado que você deseja filtrar. Atualmente, o único `errorCode` válido é `VpceAccessDenied`. Você só pode usar o operador `Equals` com `errorCode`.
+ `vpcEndpointId` — Identifica o endpoint da VPC pelo qual a operação passou. Você pode usar qualquer operador com `vpcEndpointId`.
Eventos de atividade de rede não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de atividade de CloudTrail rede, você deve configurar explicitamente cada fonte de eventos para a qual deseja coletar atividades.
Cobranças adicionais são aplicáveis ao registro em log dos eventos de atividade de rede. Para CloudTrail saber os preços, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/).
## Registrando eventos de atividade de rede com o Console de gerenciamento da AWS
É possível atualizar uma trilha ou um armazenamento de dados de eventos existente para registrar eventos de atividade de rede usando o console.
**Topics**
+ [Atualizar uma trilha existente para registrar eventos de atividade de rede](#log-network-events-trail-console)
+ [Atualizar um armazenamento de dados de eventos existente para registrar eventos de atividade de rede](#log-network-events-lake-console)
### Atualizar uma trilha existente para registrar eventos de atividade de rede
Use o procedimento a seguir para atualizar uma trilha existente para registrar eventos de atividade de rede.
**nota**
Cobranças adicionais são aplicáveis ao registro em log dos eventos de atividade de rede. Para obter a definição de preço do CloudTrail, consulte [Definição de preço do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. No painel de navegação esquerdo do CloudTrail console, abra a página **Trilhas** e escolha o nome da trilha.
1. Se sua trilha registrar em log eventos de dados usando seletores de eventos básicos, você precisará mudar para seletores de eventos avançados para registrar em log eventos de atividades de rede.
Siga estas etapas para mudar para seletores de eventos avançados:
1. Na área **Eventos de dados**, anote os seletores de eventos de dados atuais. Mudar para seletores de eventos avançados eliminará todos os seletores de eventos de dados existentes.
1. Escolha **Editar** e depois **Alternar para seletores de eventos avançados**.
1. Reaplique suas seleções de eventos de dados usando os seletores de eventos avançados. Para obter mais informações, consulte [Atualizar uma trilha existente para registrar em log eventos de dados em log com seletores de eventos avançados usando o console](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-adv).
1. Em **Eventos de atividade de rede**, escolha **Editar**.
Para registrar eventos de atividade de rede, execute as seguintes etapas:
1. Em **Fonte de eventos de atividade de rede**, escolha a fonte dos eventos de atividade de rede.
1. Em **Log selector template** (Modelo de seletor de logs), escolha um modelo. Você pode registrar todos os eventos de atividade de rede, registrar todos os eventos de acesso negado à atividade de rede ou escolher **Personalizado** para criar um seletor de registro personalizado para filtrar vários campos, como `eventName` e `vpcEndpointId`.
1. (Opcional) Insira um nome para identificar o seletor. O nome do seletor é listado como **Nome** no seletor de eventos avançado e poderá ser visualizado se você expandir a **visualização JSON**.
1. Em **Seletores de eventos avançados**, crie expressões escolhendo valores para **Campo**, **Operador** e **Valor**. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.
1. Para excluir ou incluir eventos de atividades de rede, você pode escolher entre os campos a seguir no console.
+ **`eventName`** — Você pode usar qualquer operador com `eventName`. Você pode usar este campo para incluir ou excluir qualquer evento, como `CreateKey`.
+ **`errorCode`** — Você pode usá-lo para filtrar um código de erro. Atualmente, o único `errorCode` compatível é `VpceAccessDenied`.
+ **`vpcEndpointId`** — Identifica o endpoint da VPC pelo qual a operação passou. Você pode usar qualquer operador com `vpcEndpointId`.
1. Para cada campo, escolha **\+ Condição** para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.
1. Selecione **\+ Field** (\+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para os campos.
1. Para adicionar outra fonte de eventos para a qual você deseja registrar eventos de atividade de rede, escolha **Adicionar seletor de eventos de atividade de rede**.
1. Opcionalmente, expanda a **JSON view** (Exibição de JSON) para ver seus seletores de eventos avançados como um bloco JSON.
1. Escolha **Salvar alterações** para salvar suas alterações.
### Atualizar um armazenamento de dados de eventos existente para registrar eventos de atividade de rede
Use o procedimento a seguir para atualizar um armazenamento de dados de eventos existente para registrar eventos de atividade de rede.
**nota**
Você só pode registrar eventos de atividade de rede em armazenamentos de dados de eventos do tipo **CloudTrail eventos**.
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. No painel de navegação esquerdo do CloudTrail console, em **Lake**, escolha **Armazenamentos de dados de eventos**.
1. Escolha o nome do armazenamento de dados de eventos.
1. Em **Eventos de atividade de rede**, escolha **Editar**.
Para registrar eventos de atividade de rede, execute as seguintes etapas:
1. Em **Fonte de eventos de atividade de rede**, escolha a fonte dos eventos de atividade de rede.
1. Em **Log selector template** (Modelo de seletor de logs), escolha um modelo. Você pode registrar todos os eventos de atividade de rede, registrar todos os eventos de acesso negado à atividade de rede ou escolher **Personalizado** para criar um seletor de registro personalizado para filtrar vários campos, como `eventName` e `vpcEndpointId`.
1. (Opcional) Insira um nome para identificar o seletor. O nome do seletor é listado como **Nome** no seletor de eventos avançado e poderá ser visualizado se você expandir a **visualização JSON**.
1. Em **Seletores de eventos avançados**, crie expressões escolhendo valores para **Campo**, **Operador** e **Valor**. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.
1. Para excluir ou incluir eventos de atividades de rede, você pode escolher entre os campos a seguir no console.
+ **`eventName`** — Você pode usar qualquer operador com `eventName`. Você pode usar este campo para incluir ou excluir qualquer evento, como `CreateKey`.
+ **`errorCode`** — Você pode usá-lo para filtrar um código de erro. Atualmente, o único `errorCode` compatível é `VpceAccessDenied`.
+ **`vpcEndpointId`** — Identifica o endpoint da VPC pelo qual a operação passou. Você pode usar qualquer operador com `vpcEndpointId`.
1. Para cada campo, escolha **\+ Condição** para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.
1. Selecione **\+ Field** (\+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para os campos.
1. Para adicionar outra fonte de eventos para a qual você deseja registrar eventos de atividade de rede, escolha **Adicionar seletor de eventos de atividade de rede**.
1. Opcionalmente, expanda a **JSON view** (Exibição de JSON) para ver seus seletores de eventos avançados como um bloco JSON.
1. Escolha **Salvar alterações** para salvar suas alterações.
## Registrando eventos de atividade de rede com o AWS Command Line Interface
É possível configurar suas trilhas ou seus armazenamentos de dados de eventos para registrar eventos de atividade de rede usando a AWS CLI.
**Topics**
+ [Exemplos: registrar em log eventos de atividade de rede para trilhas](#logging-network-events-CLI-trail-examples)
+ [Exemplos: registrar em log eventos de atividade de rede para armazenamentos de dados de eventos](#logging-network-events-CLI-eds-examples)
### Exemplos: registrar em log eventos de atividade de rede para trilhas
Você pode configurar suas trilhas para registrar eventos de atividade de rede usando a AWS CLI. Execute o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html) para configurar os seletores de eventos avançados para sua trilha.
Para visualizar se a trilha está registrando em log os eventos de atividade de rede, execute o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html).
**Topics**
+ [Exemplo: registrar eventos de atividade de rede para CloudTrail operações](#logging-network-events-CLI-trail-all-ct)
+ [Exemplo: registrar `VpceAccessDenied` eventos para AWS KMS](#logging-network-events-CLI-trail-kms)
+ [Exemplo: registrar em log eventos de `VpceAccessDenied` do Amazon S3](#logging-network-events-CLI-trail-s3)
+ [Exemplo: registrar eventos `VpceAccessDenied` do EC2 em um endpoint da VPC específico](#logging-network-events-CLI-trail-ec2)
+ [Exemplo: registrar em log todos os eventos de gerenciamento e eventos de atividade de rede de várias origens de eventos](#logging-network-events-CLI-trail-multiple)
#### Exemplo: registrar eventos de atividade de rede para CloudTrail operações
O exemplo a seguir mostra como configurar sua trilha para incluir todos os eventos de atividade de rede para operações de CloudTrail API, como `CreateEventDataStore` chamadas `CreateTrail` e chamadas. O valor do campo `eventSource` é `cloudtrail.amazonaws.com`.
```
aws cloudtrail put-event-selectors /
--trail-name {{TrailName}} /
--region {{region}} /
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
Este comando retorna a saída de exemplo a seguir.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
]
}
```
#### Exemplo: registrar `VpceAccessDenied` eventos para AWS KMS
O exemplo a seguir mostra como configurar a trilha para incluir eventos `VpceAccessDenied` para o AWS KMS. Este exemplo define o campo `errorCode` igual a eventos `VpceAccessDenied` e o campo `eventSource` igual a `kms.amazonaws.com`.
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
Este comando retorna a saída de exemplo a seguir.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### Exemplo: registrar em log eventos de `VpceAccessDenied` do Amazon S3
O exemplo a seguir mostra como configurar a trilha para incluir eventos de `VpceAccessDenied` para o Amazon S3. Este exemplo define o campo `errorCode` igual a eventos `VpceAccessDenied` e o campo `eventSource` igual a `s3.amazonaws.com`.
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
Este comando retorna a saída de exemplo a seguir.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### Exemplo: registrar eventos `VpceAccessDenied` do EC2 em um endpoint da VPC específico
O exemplo a seguir mostra como configurar a trilha para incluir eventos `VpceAccessDenied` do Amazon EC2 para um endpoint da VPC específico. Este exemplo define o campo `errorCode` igual a eventos `VpceAccessDenied`, o campo `eventSource` igual a `ec2.amazonaws.com` e `vpcEndpointId` igual ao endpoint da VPC de interesse.
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
Este comando retorna a saída de exemplo a seguir.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
]
}
```
#### Exemplo: registrar em log todos os eventos de gerenciamento e eventos de atividade de rede de várias origens de eventos
O exemplo a seguir configura uma trilha para registrar eventos de gerenciamento e todos os eventos de atividade de rede para as fontes de eventos CloudTrail, Amazon EC2 AWS KMS,, AWS Secrets Manager, e Amazon S3.
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
Este comando retorna a saída de exemplo a seguir.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
]
}
```
### Exemplos: registrar em log eventos de atividade de rede para armazenamentos de dados de eventos
É possível configurar os armazenamentos de dados de eventos para incluir eventos de atividade de rede usando a AWS CLI. Use o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) para criar um novo armazenamento de dados de eventos para registrar eventos de atividade de rede. Use o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html) para atualizar os seletores de eventos avançados para um armazenamento de dados de eventos existente.
Para verificar se o armazenamento de dados de eventos inclui eventos de atividade de rede, execute o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html).
```
aws cloudtrail get-event-data-store --event-data-store {{EventDataStoreARN}}
```
**Topics**
+ [Exemplo: registre todos os eventos de atividade de rede para CloudTrail operações](#creating-network-events-eds-CLI-ct)
+ [Exemplo: registrar `VpceAccessDenied` eventos para AWS KMS](#creating-network-events-eds-CLI-kms)
+ [Exemplo: registrar eventos `VpceAccessDenied` do EC2 em um endpoint da VPC específico](#creating-network-events-eds-CLI-ec2)
+ [Exemplo: registrar em log eventos de `VpceAccessDenied` do Amazon S3](#creating-network-events-eds-CLI-s3)
+ [Exemplo: registrar em log todos os eventos de gerenciamento e eventos de atividade de rede de várias origens de eventos](#creating-network-events-eds-CLI-multiple)
#### Exemplo: registre todos os eventos de atividade de rede para CloudTrail operações
O exemplo a seguir mostra como criar um armazenamento de dados de eventos que inclui todos os eventos de atividade de rede relacionados às CloudTrail operações, como chamadas para `CreateTrail` `CreateEventDataStore` e. O valor do campo `eventSource` é definido como `cloudtrail.amazonaws.com`.
```
aws cloudtrail create-event-data-store \
--name "{{EventDataStoreName}}" \
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
Este comando retorna a saída de exemplo a seguir.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
"Name": "EventDataStoreName",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### Exemplo: registrar `VpceAccessDenied` eventos para AWS KMS
O exemplo a seguir mostra como criar um armazenamento de dados de `VpceAccessDenied` eventos para incluir eventos AWS KMS. Este exemplo define o campo `errorCode` igual a eventos `VpceAccessDenied` e o campo `eventSource` igual a `kms.amazonaws.com`.
```
aws cloudtrail create-event-data-store \
--name {{EventDataStoreName}} \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
Este comando retorna a saída de exemplo a seguir.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### Exemplo: registrar eventos `VpceAccessDenied` do EC2 em um endpoint da VPC específico
O exemplo a seguir mostra como criar um armazenamento de dados de eventos para incluir eventos `VpceAccessDenied` do Amazon EC2 para um endpoint da VPC específico. Este exemplo define o campo `errorCode` igual a eventos `VpceAccessDenied`, o campo `eventSource` igual a `ec2.amazonaws.com` e `vpcEndpointId` igual ao endpoint da VPC de interesse.
```
aws cloudtrail create-event-data-store \
--name {{EventDataStoreName}} \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
Este comando retorna a saída de exemplo a seguir.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### Exemplo: registrar em log eventos de `VpceAccessDenied` do Amazon S3
O exemplo a seguir mostra como criar um datastore de eventos para incluir eventos de `VpceAccessDenied` para o Amazon S3. Este exemplo define o campo `errorCode` igual a eventos `VpceAccessDenied` e o campo `eventSource` igual a `s3.amazonaws.com`.
```
aws cloudtrail create-event-data-store \
--name {{EventDataStoreName}} \
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
Este comando retorna a saída de exemplo a seguir.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### Exemplo: registrar em log todos os eventos de gerenciamento e eventos de atividade de rede de várias origens de eventos
Os exemplos a seguir atualizam um datastore de eventos que atualmente registra em log apenas eventos de gerenciamento para também registrar em log eventos de atividade de rede para várias origens de eventos. Para atualizar um datastore de eventos para adicionar novos seletores de eventos, execute o comando `get-event-data-store` para retornar os seletores de eventos avançados atuais. Em seguida, execute o comando `update-event-data-store` e forneça `--advanced-event-selectors` que inclui os seletores atuais mais todos os novos seletores. Para registrar em log eventos de atividade de rede para várias origens de eventos, inclua um seletor para cada origem de eventos que você deseja registrar em log.
```
aws cloudtrail update-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
Este comando retorna a saída de exemplo a seguir.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00"
}
```
## Registrando eventos com o AWS SDKs
Execute a [GetEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html)operação para ver se sua trilha está registrando eventos de atividade da rede. Você pode configurar suas trilhas para registrar eventos de atividade de rede executando a [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)operação. Para obter mais informações, consulte a [Referência da API do AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).
Execute a [GetEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventDataStore.html)operação para ver se seu armazenamento de dados de eventos está registrando eventos de atividade de rede. Você pode configurar seus armazenamentos de dados de eventos para incluir eventos de atividade de rede executando as [UpdateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html)operações [CreateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateEventDataStore.html)ou e especificando seletores de eventos avançados. Para obter mais informações, consulte a [Crie, atualize e gerencie armazenamentos de dados de eventos com o AWS CLI](lake-eds-cli.md) e a [ Referência da API do AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).