As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Visualizando eventos de gerenciamento recentes com o AWS CLI
<a name="view-cloudtrail-events-cli"></a>

Você pode pesquisar os eventos CloudTrail de gerenciamento dos últimos 90 dias para os atuais Região da AWS usando o **aws cloudtrail lookup-events** comando. O **aws cloudtrail lookup-events** comando mostra os eventos no Região da AWS local em que eles ocorreram.

A pesquisa aceita os seguintes atributos para eventos de gerenciamento:
+ AWS chave de acesso
+ ID do evento
+ Nome do evento
+ Origem do evento.
+ Somente leitura
+ Nome do recurso
+ Tipo de atributo
+ Nome do usuário

Todos os outros atributos são opcionais.

O comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/lookup-events.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/lookup-events.html) inclui as seguintes opções:
+ `--max-items`*<integer>*— O número total de itens a serem retornados na saída do comando. Se o número total de itens disponíveis for maior que o valor especificado, um `NextToken` será fornecido na saída do comando. Para retomar a paginação, forneça o valor do `NextToken` no argumento starting-token de um comando subsequente. Não use o elemento de resposta `NextToken` diretamente fora da AWS CLI.
+ `--start-time`*<timestamp>*— Especifica que somente eventos que ocorram após ou no horário especificado sejam retornados. Se o horário de início especificado for posterior ao de término, um erro será retornado.
+ `--lookup-attributes`*<integer>*— Contém uma lista de atributos de pesquisa. No momento, a lista pode conter apenas um item.
+ `--generate-cli-skeleton`*<string>*— Imprime um esqueleto JSON na saída padrão sem enviar uma solicitação de API. Se fornecido sem valor ou com a entrada de valor, imprime um exemplo de entrada JSON que pode ser usado como argumento para `--cli-input-json`. Da mesma forma, se fornecido com yaml-input, imprime um exemplo de entrada YAML que pode ser usado com `--cli-input-yaml`. Se fornecido com a saída do valor, valida as entradas do comando e retorna um exemplo de saída JSON para esse comando. O esqueleto JSON gerado não é estável entre as versões do AWS CLI e não há garantias de compatibilidade com versões anteriores no esqueleto JSON gerado.
+ `--cli-input-json`*<string>*— Lê argumentos da string JSON fornecida. A string JSON segue o formato fornecido pelo parâmetro `--generate-cli-skeleton`. Se outros argumentos forem fornecidos na linha de comando, esses valores substituirão os valores fornecidos pelo JSON. Não é possível passar valores binários arbitrários usando um valor fornecido pelo JSON, pois a string será interpretada literalmente. Isso não pode ser especificado junto com o parâmetro `--cli-input-yaml`.

Para obter informações gerais sobre o uso da interface de linha de AWS comando, consulte o [Guia AWS Command Line Interface do usuário](https://docs.aws.amazon.com/cli/latest/userguide/). 

**Contents**
+ [Pré-requisitos](#aws-cli-prerequisites-for-aws-cloudtrail)
+ [Receber ajuda da linha de comando](#getting-command-line-help)
+ [Procurar eventos](#looking-up-events-with-the-aws-cli)
+ [Especificar o número de eventos a serem retornados](#specify-the-number-of-events-to-return)
+ [Procurar eventos por período](#look-up-events-by-time-range)
+ [Procurar eventos por atributo](#look-up-events-by-attributes)
  + [Exemplos de consulta de atributo](#attribute-lookup-example)
+ [Especificar a próxima página de resultados](#specify-next-page-of-lookup-results)
+ [Obter entrada JSON de um arquivo](#json-input-from-file)
+ [Pesquisar campos de resultados](#view-cloudtrail-events-cli-output-fields)

## Pré-requisitos
<a name="aws-cli-prerequisites-for-aws-cloudtrail"></a>
+ Para executar AWS CLI comandos, você deve instalar AWS CLI o. Para obter informações, consulte [Conceitos básicos da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Certifique-se de que sua AWS CLI versão seja maior que 1.6.6. Para verificar a versão da CLI, execute **aws --version** na linha de comando.
+ Para definir a conta e Região da AWS o formato de saída padrão para uma AWS CLI sessão, use o **aws configure** comando. Para obter mais informações, consulte [Configurando a interface de linha de AWS comando](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).

**nota**  
Os CloudTrail AWS CLI comandos diferenciam maiúsculas de minúsculas.

## Receber ajuda da linha de comando
<a name="getting-command-line-help"></a>

Para ver a ajuda da linha de comando para `lookup-events`, digite o seguinte comando:

```
aws cloudtrail lookup-events help
```

## Procurar eventos
<a name="looking-up-events-with-the-aws-cli"></a>

**Importante**  
A taxa de solicitações de pesquisa é limitada a duas por segundo, por conta, por região. Se esse limite for excedido, ocorrerá um erro de controle de utilização.

Para ver os 10 eventos mais recentes, digite o seguinte comando:

```
aws cloudtrail lookup-events --max-items 10
```

Um evento retornado tem aparência semelhante ao seguinte exemplo fictício, que foi formatado para melhorar a fluência:

```
{
    "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=", 
    "Events": [
        {
            "EventId": "0ebbaee4-6e67-431d-8225-ba0d81df5972", 
            "Username": "root", 
            "EventTime": 1424476529.0, 
            "CloudTrailEvent": "{
                  \"eventVersion\":\"1.02\",
                  \"userIdentity\":{
                        \"type\":\"Root\",
                        \"principalId\":\"111122223333\",
                        \"arn\":\"arn:aws:iam::111122223333:root\",
                        \"accountId\":\"111122223333\"},
                  \"eventTime\":\"2015-02-20T23:55:29Z\",
                  \"eventSource\":\"signin.amazonaws.com\",
                  \"eventName\":\"ConsoleLogin\",
                  \"awsRegion\":\"us-east-2\",
                  \"sourceIPAddress\":\"203.0.113.4\",
                  \"userAgent\":\"Mozilla/5.0\",
                  \"requestParameters\":null,
                  \"responseElements\":{\"ConsoleLogin\":\"Success\"},
                  \"additionalEventData\":{
                         \"MobileVersion\":\"No\",
                         \"LoginTo\":\"https://console.aws.amazon.com/console/home",
                         \"MFAUsed\":\"No\"},
                  \"eventID\":\"0ebbaee4-6e67-431d-8225-ba0d81df5972\",
                  \"eventType\":\"AwsApiCall\",
                  \"recipientAccountId\":\"111122223333\"}", 
            "EventName": "ConsoleLogin", 
            "Resources": []
        }
    ]
}
```

Para ver uma explicação dos campos relacionados à pesquisa nos resultados, consulte a seção [Pesquisar campos de resultados](#view-cloudtrail-events-cli-output-fields) mais adiante neste documento. Para obter uma explicação dos campos no CloudTrail evento, consulte[CloudTrail registrar conteúdo para eventos de gerenciamento, dados e atividades de rede](cloudtrail-event-reference-record-contents.md).

## Especificar o número de eventos a serem retornados
<a name="specify-the-number-of-events-to-return"></a>

Para especificar o número de eventos a serem retornados, digite o seguinte comando:

```
aws cloudtrail lookup-events --max-items <integer>
```

Os valores possíveis são de 1 a 50. O exemplo a seguir retorna um evento.

```
aws cloudtrail lookup-events --max-items 1
```

## Procurar eventos por período
<a name="look-up-events-by-time-range"></a>

Os eventos dos últimos 90 dias estão disponíveis para pesquisa. Para especificar um período, digite o seguinte comando:

```
aws cloudtrail lookup-events --start-time <timestamp> --end-time <timestamp>
```

`--start-time <timestamp>` especifica, em UTC, que apenas os eventos ocorridos no horário especificado ou depois dele são retornados. Se o horário de início especificado for posterior ao de término, um erro será retornado.

`--end-time <timestamp>` especifica, em UTC, que apenas os eventos ocorridos no horário especificado ou antes dele são retornados. Se o horário de término especificado for anterior ao de início, um erro será retornado.

O horário de início padrão é a primeira data em que os dados foram disponibilizados nos últimos 90 dias. O horário de término padrão é o horário de ocorrência de evento mais próximo do momento.

Todos os carimbos de data/hora são exibidos em UTC.

## Procurar eventos por atributo
<a name="look-up-events-by-attributes"></a>

Para filtrar por um atributo, digite o seguinte comando:

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>
```

Você pode especificar somente um key/value par de atributos para cada **lookup-events** comando. Estes são valores válidos para `AttributeKey`. Os nomes dos valores diferenciam maiúsculas de minúsculas.
+ `AccessKeyId`
+ `EventId`
+ `EventName`
+ `EventSource`
+ `ReadOnly`
+ `ResourceName`
+ `ResourceType`
+ `Username`

O tamanho máximo para `AttributeValue` é de 2.000 caracteres. Os seguintes caracteres ("`_`", "` `", "`,`", "`\\n`") contam como dois caracteres até o limite de 2.000 caracteres.

### Exemplos de consulta de atributo
<a name="attribute-lookup-example"></a>

O exemplo de comando a seguir retorna os eventos nos quais o valor de `AccessKeyId` é `AKIAIOSFODNN7EXAMPLE`.

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=AccessKeyId,AttributeValue=AKIAIOSFODNN7EXAMPLE
```

O exemplo de comando a seguir retorna o evento do CloudTrail `EventId` especificado.

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventId,AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```

O exemplo de comando a seguir retorna os eventos nos quais o valor de `EventName` é `RunInstances`.

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances
```

O exemplo de comando a seguir retorna os eventos nos quais o valor de `EventSource` é `iam.amazonaws.com`.

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventSource,AttributeValue=iam.amazonaws.com
```

O comando de exemplo a seguir retorna eventos de gravação. Ele exclui eventos de leitura, como `GetBucketLocation` e `DescribeStream`.

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ReadOnly,AttributeValue=false
```

O exemplo de comando a seguir retorna os eventos nos quais o valor de `ResourceName` é `CloudTrail_CloudWatchLogs_Role`.

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=CloudTrail_CloudWatchLogs_Role
```

O exemplo de comando a seguir retorna os eventos nos quais o valor de `ResourceType` é `AWS::S3::Bucket`.

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::S3::Bucket
```

O exemplo de comando a seguir retorna os eventos nos quais o valor de `Username` é `root`.

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
```

## Especificar a próxima página de resultados
<a name="specify-next-page-of-lookup-results"></a>

Para obter a próxima página de resultados de um comando `lookup-events`, digite o seguinte comando:

```
aws cloudtrail lookup-events <same parameters as previous command> --next-token=<token>
```

onde o valor para *<token>* é obtido do primeiro campo da saída do comando anterior. 

Quando você usa `--next-token` em um comando, precisa usar os mesmos parâmetros do comando anterior. Por exemplo, imagine que você executou o seguinte comando:

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
```

Para obter a próxima página de resultados, seu próximo comando teria esta aparência:

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root --next-token=kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=
```

## Obter entrada JSON de um arquivo
<a name="json-input-from-file"></a>

 AWS CLI Para alguns AWS serviços, há dois parâmetros`--cli-input-json`, `--generate-cli-skeleton` que você pode usar para gerar um modelo JSON que pode ser modificado e usado como entrada para o `--cli-input-json` parâmetro. Esta seção descreve como usar esses parâmetros com `aws cloudtrail lookup-events`. Para obter mais informações gerais, consulte [Esqueletos e arquivos de entrada da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).

**Para pesquisar CloudTrail eventos obtendo a entrada JSON de um arquivo**

1. Crie um modelo de entrada para uso com `lookup-events` redirecionando os resultados `--generate-cli-skeleton` para um arquivo, como no exemplo a seguir.

   ```
   aws cloudtrail lookup-events --generate-cli-skeleton > LookupEvents.txt
   ```

   O arquivo de modelo gerado (nesse caso, LookupEvents .txt) tem a seguinte aparência:

   ```
   {
       "LookupAttributes": [
           {
               "AttributeKey": "",
               "AttributeValue": ""
           }
       ],
       "StartTime": null,
       "EndTime": null,
       "MaxResults": 0,
       "NextToken": ""
   }
   ```

1. Use um editor de texto para modificar o JSON conforme necessário. A entrada do JSON precisa conter apenas os valores especificados. 
**Importante**  
Todos os valores nulos ou vazios precisam ser removidos do modelo antes que ele seja usado.

   O exemplo a seguir especifica um período e o número máximo de resultados a serem retornados.

   ```
   {
       "StartTime": "2023-11-01",
       "EndTime": "2023-12-12",
       "MaxResults": 10
   }
   ```

1. Para usar o arquivo editado como entrada, use a sintaxe `--cli-input-json file://`*<filename>*, como no exemplo a seguir:

   ```
   aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt
   ```

**nota**  
Você pode usar outros argumentos na mesma linha de comando como `--cli-input-json`. 

## Pesquisar campos de resultados
<a name="view-cloudtrail-events-cli-output-fields"></a>

**Eventos**  
Uma lista de eventos de pesquisa com base no atributo de pesquisa e no período que foram especificados. A lista de eventos é classificada por tempo, com o último evento listado primeiro. Cada entrada contém informações sobre a solicitação de pesquisa e inclui uma representação em cadeia de caracteres do CloudTrail evento que foi recuperado.   
As seguintes entradas descrevem os campos de cada evento de pesquisa. 

**CloudTrailEvent**  
Uma string JSON que contém uma representação do objeto do evento retornado. Para obter informações sobre cada um dos elementos retornados, consulte [Conteúdo do corpo do registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html). 

**EventId**  
Uma string que contém a GUID do evento retornado.

**EventName**  
Uma string que contém o nome do evento retornado. 

**EventSource**  
O AWS serviço para o qual a solicitação foi feita. 

**EventTime**  
A data e a hora, em formato de horário do UNIX, do evento. 

**Recursos**  
Uma lista de recursos referenciados pelo evento que foi retornado. Cada entrada de recurso especifica um tipo e um nome do recurso. 

**ResourceName**  
Uma string que contém o nome do recurso referenciado pelo evento. 

**ResourceType**  
Uma string que contém o tipo de um recurso referenciado pelo evento. Quando o tipo de recurso não pode ser determinado, null é retornado. 

**Nome de usuário**  
Uma string que contém o nome do usuário da conta do evento retornado. 

**NextToken**  
Uma string para obter a próxima página de resultados de um comando `lookup-events` anterior. Para usar o token, os parâmetros precisam ser os mesmos do comando original. Se nenhuma entrada `NextToken` aparecer nos resultados, significa que não há mais resultados a serem retornados.