Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administrar senderos con el AWS CLI
AWS CLI Incluye varios otros comandos que te ayudan a gestionar tus senderos. Estos comandos permiten agregar etiquetas a los registros de seguimiento, obtener su estado, iniciar y detener el registro en ellos y eliminarlos. Debes ejecutar estos comandos desde la misma AWS región en la que se creó el sendero (su región de origen). Cuando utilices el AWS CLI, recuerda que tus comandos se ejecutan en la AWS región configurada para tu perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro **--region** con el comando.
**Topics**
+ [Adición de una o varias etiquetas a un registro de seguimiento](#cloudtrail-additional-cli-commands-add-tag)
+ [Listado de las etiquetas de uno o varios registros de seguimiento](#cloudtrail-additional-cli-commands-list-tags)
+ [Eliminación de una o varias etiquetas de un registro de seguimiento](#cloudtrail-additional-cli-commands-remove-tag)
+ [Recuperación de la configuración de registros de seguimiento y del estado de un registro de seguimiento](#cloudtrail-additional-cli-commands-retrieve)
+ [Configuración de los selectores de eventos de CloudTrail Insights](#configuring-insights-selector)
+ [Configuración de selectores de eventos avanzados](#configuring-adv-event-selector-examples)
+ [Configuración de selectores de eventos básicos](#configuring-event-selector-examples)
+ [Detención e inicio del registro de un registro de seguimiento](#cloudtrail-start-stop-logging-cli-commands)
+ [Eliminación de un registro de seguimiento](#cloudtrail-delete-trail-cli)
## Adición de una o varias etiquetas a un registro de seguimiento
Para agregar una o varias etiquetas a un registro de seguimiento existente, ejecute el comando **add-tags**.
El siguiente ejemplo agrega una etiqueta con el nombre *Owner* y el valor de *Mary* a un sendero con el ARN de *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*my-trail** en la región EE.UU. Este (Ohio).
```
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2
```
Si se ejecuta correctamente, este comando no devuelve nada.
## Listado de las etiquetas de uno o varios registros de seguimiento
Para ver las etiquetas asociadas a uno o varios registros de seguimiento existentes, utilice el comando **list-tags**.
En el siguiente ejemplo, se muestran las etiquetas de *Trail1* y*Trail2*.
```
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
```
Si se ejecuta correctamente, este comando proporciona información similar a la siguiente.
```
{
"ResourceTagList": [
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1",
"TagsList": [
{
"Value": "Alice",
"Key": "Name"
},
{
"Value": "Ohio",
"Key": "Location"
}
]
},
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2",
"TagsList": [
{
"Value": "Bob",
"Key": "Name"
}
]
}
]
}
```
## Eliminación de una o varias etiquetas de un registro de seguimiento
Para eliminar una o varias etiquetas de un registro de seguimiento existente, ejecute el comando **remove-tags**.
En el siguiente ejemplo, se eliminan las etiquetas con los nombres *Location* y *Name* de un sendero con el ARN de *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*Trail1** la región EE.UU. Este (Ohio).
```
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2
```
Si se ejecuta correctamente, este comando no devuelve nada.
## Recuperación de la configuración de registros de seguimiento y del estado de un registro de seguimiento
Ejecute el `describe-trails` comando para recuperar información sobre los senderos de una AWS región. En el siguiente ejemplo, se devuelve información sobre los registros de seguimiento configurados en la región EE. UU. Este (Ohio).
```
aws cloudtrail describe-trails --region us-east-2
```
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.
```
{
"trailList": [
{
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket1",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
},
{
"Name": "my-special-trail",
"S3BucketName": "amzn-s3-demo-bucket2",
"S3KeyPrefix": "example-prefix",
"IncludeGlobalServiceEvents": false,
"IsMultiRegionTrail": false,
"HomeRegion": "us-east-2",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": true,
"IsOrganizationTrail": false
},
{
"Name": "my-org-trail",
"S3BucketName": "amzn-s3-demo-bucket3",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-1"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": true
}
]
}
```
Ejecute el comando `get-trail` para recuperar información de configuración sobre un registro de seguimiento específico. El siguiente ejemplo devuelve la información de configuración de un sendero denominado*my-trail*.
```
aws cloudtrail get-trail - -name my-trail
```
Si se ejecuta correctamente, este comando proporciona información similar a la siguiente.
```
{
"Trail": {
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
}
}
```
Ejecute el comando `get-trail-status` para recuperar el estado de un registro de seguimiento. Debe ejecutar este comando desde la AWS región en la que se creó (la región de origen) o debe especificar esa región añadiendo el **--region** parámetro.
**nota**
Si el sendero es un sendero de una organización y usted es miembro de la cuenta de la organización en AWS Organizations, debe proporcionar el ARN completo de ese sendero y no solo el nombre.
```
aws cloudtrail get-trail-status --name my-trail
```
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
Además de los campos que se muestran en el código JSON anterior, el estado contiene los siguientes campos si hay errores de Amazon SNS o Amazon S3:
+ `LatestNotificationError`. Contiene el error emitido por Amazon SNS si se produce un error en una suscripción a un tema.
+ `LatestDeliveryError`. Contiene el error emitido por Amazon S3 si CloudTrail no puede entregar un archivo de registro a un bucket.
## Configuración de los selectores de eventos de CloudTrail Insights
Habilite los eventos de Insights en una traza ejecutando **put-insight-selectors** y especificando `ApiCallRateInsight`, `ApiErrorRateInsight` como valor del atributo `InsightType`. Para ver la configuración de los selectores de Insights de un registro de seguimiento, ejecute el comando `get-insight-selectors`. Debe ejecutar este comando desde la AWS región en la que se creó la ruta (la región de origen) o debe especificar esa región añadiendo el **--region** parámetro al comando.
**nota**
Para registrar los eventos de Insights para `ApiCallRateInsight`, el registro de seguimiento debe registrar los eventos de administración de `write`. Para registrar los eventos de Insights para `ApiErrorRateInsight`, el registro de seguimiento debe registrar los eventos de administración de `read` o `write`.
### Ejemplo de registro de seguimiento que registra eventos de Insights
En el siguiente ejemplo, se utiliza **put-insight-selectors** la creación de un selector de eventos de Insights para una ruta denominada*TrailName3*. Esto permite la recopilación de eventos de Insights para el *TrailName3* sendero. El selector de eventos de Insights registra ambos `ApiErrorRateInsight` y `ApiCallRateInsight` tipos de eventos de Insights.
```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
El ejemplo devuelve el selector de eventos de Insights configurado para el registro de seguimiento.
```
{
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```
### Ejemplo: Desactivar la recopilación de eventos de Insights
En el siguiente ejemplo, **put-insight-selectors** se utiliza para eliminar el selector de eventos de Insights de una ruta denominada*TrailName3*. Al borrar la cadena JSON de los selectores de Insights, se deshabilita la recopilación de eventos de Insights para la *TrailName3* ruta.
```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'
```
El ejemplo devuelve el selector de eventos de Insights ahora vacío que está configurado para el registro de seguimiento.
```
{
"InsightSelectors": [ ],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```
## Configuración de selectores de eventos avanzados
Puede utilizar selectores de eventos avanzados para registrar los [eventos de administración](logging-management-events-with-cloudtrail.md), los [eventos de datos](logging-data-events-with-cloudtrail.md) para todos los tipos de recursos y los [eventos de actividad de la red](logging-network-events-with-cloudtrail.md). Por el contrario, puede usar selectores de eventos básicos para registrar los eventos de administración y los eventos de datos para los tipos de recursos `AWS::DynamoDB::Table`, `AWS::Lambda::Function` y `AWS::S3::Object`. Puede usar selectores de eventos básicos o avanzados, pero no ambos. Si aplica selectores de eventos avanzados a un registro de seguimiento que está usando selectores de eventos básicos, estos últimos se sobrescriben.
Para convertir un registro de seguimiento en selectores de eventos avanzados, ejecute el comando **get-event-selectors** para confirmar los selectores de eventos actuales y, a continuación, configure los selectores de eventos avanzados para que coincidan con la cobertura de los selectores de eventos anteriores. Luego, agregue los selectores adicionales.
Debe ejecutar el `get-event-selectors` comando desde el Región de AWS lugar donde se creó la ruta (la región de origen) o debe especificar esa región añadiendo el **--region** parámetro.
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
**nota**
Si la ruta es una ruta de una organización y has iniciado sesión con una cuenta de miembro de la organización AWS Organizations, debes proporcionar el ARN completo de la ruta y no solo el nombre.
El siguiente ejemplo muestra la configuración de un registro de seguimiento que usa selectores de eventos avanzados para registrar los eventos de administración. De forma predeterminada, se configura un registro de seguimiento para registrar todos los eventos de administración y no los de datos ni de la actividad de la red.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
]
}
```
Para crear un selector de eventos avanzados, ejecute el comando `put-event-selectors`. Cuando ocurre un evento en tu cuenta, CloudTrail evalúa la configuración de tus senderos. Si el evento coincide con algún selector de eventos avanzados de un registro de seguimiento, se procesa el registro de seguimiento y se registra el evento. Puede configurar hasta 500 condiciones en un registro de seguimiento, incluido todos los valores especificados para todos los selectores de eventos avanzados del registro de seguimiento. Para obtener más información, consulte [Registro de eventos de datos](logging-data-events-with-cloudtrail.md) y [Registro de eventos de actividad de la red](logging-network-events-with-cloudtrail.md).
**Topics**
+ [Ejemplo de registro de seguimiento con selectores de eventos avanzados específicos](#configuring-adv-event-selector-specific)
+ [Ejemplo de ruta que utiliza selectores de eventos avanzados personalizados para registrar Amazon S3 en eventos de AWS Outposts datos](#configuring-adv-event-selector-outposts)
+ [Ejemplo de ruta que utiliza selectores de eventos avanzados para excluir AWS Key Management Service eventos](#configuring-adv-event-selector-exclude)
+ [Ejemplo de registro de seguimiento que usa selectores de eventos avanzados para excluir eventos de administración de la API de datos de Amazon RDS](#configuring-adv-event-selector-exclude-rds)
### Ejemplo de registro de seguimiento con selectores de eventos avanzados específicos
En el siguiente ejemplo, se crean selectores de eventos avanzados personalizados para una ruta cuyo nombre *TrailName* incluye eventos de administración de lectura y escritura (omitiendo el `readOnly` selector) y eventos de `DeleteObject` datos para todas las combinaciones de bucket `PutObject` y prefijo de Amazon S3, excepto para un bucket denominado`amzn-s3-demo-bucket`, eventos de datos para una AWS Lambda función denominada `MyLambdaFunction` y eventos de actividad de red para eventos de AWS KMS acceso denegado en un punto final de VPC. Dado que se trata de selectores de eventos avanzados personalizados, cada conjunto de selectores tiene un nombre descriptivo. Tenga en cuenta que una barra diagonal final forma parte del valor de ARN para los buckets de S3.
```
aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
{ "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
{ "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["NetworkActivity"]},
{ "Field": "eventSource", "Equals": ["kms.amazonaws.com"]},
{ "Field": "errorCode", "Equals": ["VpceAccessDenied"]}
]
}
]'
```
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
}
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::S3::Object" ]
},
{
"Field": "resources.ARN",
"NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
},
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::Lambda::Function" ]
},
{
"Field": "eventName",
"Equals": [ "Invoke" ]
},
{
"Field": "resources.ARN",
"Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ]
}
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Ejemplo de ruta que utiliza selectores de eventos avanzados personalizados para registrar Amazon S3 en eventos de AWS Outposts datos
El siguiente ejemplo muestra cómo configurar su ruta para incluir todos los eventos de datos de todos los Amazon S3 en los AWS Outposts objetos de su puesto de avanzada. En esta versión, el valor admitido para S3 en AWS Outposts los eventos del `resources.type` campo es`AWS::S3Outposts::Object`.
```
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"AdvancedEventSelectors": [
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3Outposts::Object"
]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName"
}
```
### Ejemplo de ruta que utiliza selectores de eventos avanzados para excluir AWS Key Management Service eventos
El siguiente ejemplo crea un selector de eventos avanzado para una ruta cuyo nombre *TrailName* incluye eventos de administración de solo lectura y solo escritura (omitiendo el `readOnly` selector), pero excluye eventos (). AWS Key Management Service AWS KMS Como AWS KMS los eventos se consideran eventos de gestión y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración.
Si decide no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.
Para volver a iniciar el registro de AWS KMS eventos en una ruta, quite el `eventSource` selector y vuelva a ejecutar el comando.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
]
}
]'
```
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "kms.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector `eventSource`, como se muestra en el siguiente comando.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
### Ejemplo de registro de seguimiento que usa selectores de eventos avanzados para excluir eventos de administración de la API de datos de Amazon RDS
El siguiente ejemplo crea un selector de eventos avanzado para una ruta cuyo nombre *TrailName* incluye eventos de administración de solo lectura y solo escritura (omitiendo el `readOnly` selector), pero excluye los eventos de administración de Amazon RDS Data API. A fin de excluir eventos de administración de la API de datos de Amazon RDS, especifique el origen de los eventos de la API de datos de Amazon RDS en el valor de cadena del campo `eventSource`: `rdsdata.amazonaws.com`.
Si elige no registrar eventos de administración, no se registrarán los eventos de administración de la API de datos de Amazon RDS y no podrá cambiar la configuración del registro de eventos de la API de datos de Amazon RDS.
Para comenzar de nuevo a registrar eventos de administración de la API de datos de Amazon RDS en un registro de seguimiento, elimine el selector `eventSource` y ejecute de nuevo el comando.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
]
}
]'
```
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "rdsdata.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector `eventSource`, como se muestra en el siguiente comando.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
## Configuración de selectores de eventos básicos
Solo puede usar selectores de eventos básicos para registrar los eventos de administración y los eventos de datos de los tipos de recursos `AWS::DynamoDB::Table`, `AWS::Lambda::Function` y `AWS::S3::Object`. Puede registrar eventos de administración, todos los tipos de recursos de datos y los eventos de actividad de la red mediante selectores de eventos avanzados.
Puede usar selectores de eventos básicos o avanzados, pero no ambos. Si aplica selectores de eventos básicos a un registro de seguimiento que está usando selectores de eventos avanzados, estos últimos se sobrescriben.
Para ver la configuración de los selectores de eventos de un registro de seguimiento, ejecute el comando `get-event-selectors`. Debe ejecutar este comando desde el Región de AWS lugar donde se creó (la región de origen) o debe especificar esa región mediante el parámetro. **--region**
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
**nota**
Si el sendero es un sendero de una organización y usted es miembro de la cuenta de la organización en AWS Organizations, debe proporcionar el ARN completo de ese sendero y no solo el nombre.
El siguiente ejemplo muestra la configuración de un registro de seguimiento que usa selectores de eventos básicos para registrar los eventos de administración.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Para crear un selector de eventos, ejecute el comando `put-event-selectors`. Si desea registrar los eventos de Insights en el registro de seguimiento, asegúrese de que el selector de eventos permita registrar los tipos de Insights que desea configurar para el registro de seguimiento. Para obtener más información sobre cómo registrar los eventos de Insights, consulte [Trabajar con CloudTrail Insights](logging-insights-events-with-cloudtrail.md).
Cuando se produce un evento en su cuenta, CloudTrail evalúa la configuración de sus registros de seguimiento. Si el evento coincide con algún selector de eventos de un registro de seguimiento, se procesa el registro de seguimiento y se registra el evento. Puede configurar hasta cinco selectores de eventos para un registro de seguimiento y hasta 250 recursos de datos para un registro de seguimiento. Para obtener más información, consulte [Registro de eventos de datos](logging-data-events-with-cloudtrail.md).
**Topics**
+ [Ejemplo de registro de seguimiento con selectores de eventos específicos](#configuring-event-selector-example1)
+ [Ejemplo de registro de seguimiento que registra todos los eventos de administración y datos](#configuring-event-selector-example2)
+ [Ejemplo de ruta que no registra eventos AWS Key Management Service](#configuring-event-selector-example-kms)
+ [Ejemplo de ruta que registra eventos relevantes de bajo volumen AWS Key Management Service](#configuring-event-selector-log-kms)
+ [Ejemplo de registro de seguimiento que no registra eventos de la API de datos de Amazon RDS](#configuring-event-selector-example-rds)
### Ejemplo de registro de seguimiento con selectores de eventos específicos
En el siguiente ejemplo, se crea un selector de eventos para una ruta cuyo nombre *TrailName* incluye eventos de administración de solo lectura y solo escritura, eventos de datos para dos bucket/prefix combinaciones de Amazon S3 y eventos de datos para una sola función denominada. AWS Lambda *hello-world-python-function*
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
```
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::amzn-s3-demo-bucket/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function"
],
"Type": "AWS::Lambda::Function"
},
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Ejemplo de registro de seguimiento que registra todos los eventos de administración y datos
El siguiente ejemplo crea un selector de eventos para una ruta denominada *TrailName2* que incluye todos los eventos de administración, incluidos los eventos de administración de solo lectura y solo escritura, y los eventos de datos para todos los buckets, funciones AWS Lambda y tablas de Amazon DynamoDB de Amazon S3 del. Cuenta de AWS Como este ejemplo utiliza selectores de eventos básicos, no puede configurar el registro de eventos de S3 en AWS Outposts, llamadas JSON-RPC de Amazon Managed Blockchain en nodos de Ethereum ni otros tipos de recursos de selector de eventos avanzados. Con los selectores de eventos básicos tampoco puede registrar los eventos de actividad de la red. Puede utilizar selectores de eventos avanzados para registrar eventos de actividad de la red y eventos de datos de todos los demás tipos de recursos. Para obtener más información, consulte [Configuración de selectores de eventos avanzados](#configuring-adv-event-selector-examples).
**nota**
Si el registro de seguimiento solo aplica a una región, solo se registrarán los eventos de dicha región, aunque los parámetros del selector de eventos especifiquen todos los buckets de Amazon S3 y las funciones Lambda. Los selectores de eventos solo se aplican a las regiones en las que se crea el registro de seguimiento.
```
aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
```
El ejemplo devuelve los selectores de eventos configurados para el registro de seguimiento.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda"
],
"Type": "AWS::Lambda::Function"
},
{
"Values": [
"arn:aws:dynamodb"
],
"Type": "AWS::DynamoDB::Table"
}
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"
}
```
### Ejemplo de ruta que no registra eventos AWS Key Management Service
En el siguiente ejemplo, se crea un selector de eventos para una ruta cuyo nombre *TrailName* incluye los eventos de administración de solo lectura y solo escritura, pero los eventos exclude AWS Key Management Service ().AWS KMS Como AWS KMS los eventos se consideran eventos de gestión y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración. El usuario de este ejemplo ha optado por excluir los eventos de AWS KMS de todos los registros de seguimiento menos uno. Para excluir un origen de eventos, añada `ExcludeManagementEventSources` a los selectores de eventos y especifique un origen de eventos en el valor de cadena.
Si decide no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.
Para volver a iniciar el registro de AWS KMS eventos en una ruta, pase una matriz vacía como valor de`ExcludeManagementEventSources`.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
```
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento:
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "kms.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Para volver a iniciar el registro de AWS KMS eventos en una ruta, pase una matriz vacía como el valor de`ExcludeManagementEventSources`, tal y como se muestra en el siguiente comando.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
### Ejemplo de ruta que registra eventos relevantes de bajo volumen AWS Key Management Service
En el siguiente ejemplo, se crea un selector de eventos para una ruta cuyo nombre *TrailName* incluye eventos y eventos de administración de solo escritura. AWS KMS Como AWS KMS los eventos se consideran eventos de gestión y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración. En este ejemplo, el usuario ha optado por incluir los eventos de AWS KMS **escritura**`Disable`, que incluirán `Delete` y `ScheduleKey` dejarán de incluir acciones de gran volumen`Encrypt`, como`Decrypt`, y `GenerateDataKey` (ahora se consideran eventos de **lectura**).
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento: Esto registra los eventos de administración de solo escritura, incluidos los eventos. AWS KMS
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "WriteOnly"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Ejemplo de registro de seguimiento que no registra eventos de la API de datos de Amazon RDS
El siguiente ejemplo crea un selector de eventos para una ruta cuyo nombre *TrailName* incluye eventos de administración de solo lectura y solo escritura, pero excluye los eventos de la API de datos de Amazon RDS. Como los eventos de la API de datos de Amazon RDS se tratan como eventos de administración y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración. El usuario de este ejemplo ha optado por excluir los eventos de la API de datos de Amazon RDS de todos los registros de seguimiento menos uno. Para excluir un origen de eventos, agregue `ExcludeManagementEventSources` a los selectores de eventos y especifique un origen de eventos de la API de datos de Amazon RDS en el valor de cadena: `rdsdata.amazonaws.com`.
Si elige no registrar eventos de administración, no se registran eventos de la API de datos de Amazon RDS y no podrá cambiar la configuración del registro de eventos.
Para iniciar de nuevo el registro de eventos de administración de la API de datos de Amazon RDS en un registro de seguimiento, pase una matriz vacía como valor de `ExcludeManagementEventSources`.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
```
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento:
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Para iniciar de nuevo el registro de eventos de administración de la API de datos de Amazon RDS en un registro de seguimiento, pase una matriz vacía como valor de `ExcludeManagementEventSources`, como se muestra en el siguiente comando.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
## Detención e inicio del registro de un registro de seguimiento
Los siguientes comandos inician y detienen el CloudTrail registro.
```
aws cloudtrail start-logging --name awscloudtrail-example
```
```
aws cloudtrail stop-logging --name awscloudtrail-example
```
**nota**
Antes de eliminar un bucket, ejecute el comando `stop-logging` para detener el envío de eventos al bucket. Si no detiene el registro, CloudTrail intentará entregar los archivos de registro a un depósito con el mismo nombre durante un período de tiempo limitado.
Si dejas de registrar o eliminas una ruta, CloudTrail Insights se deshabilita en esa ruta.
**La entrega de eventos después de detener el registro**
Después de dejar de registrar una ruta, la ruta puede seguir recibiendo los eventos que ocurrieron antes de que se detuviera el registro. Los eventos se pueden retrasar por varios motivos, como el alto tráfico de la red, los problemas de conectividad, una interrupción del servicio o las actualizaciones de los eventos existentes. CloudTrail utiliza la última vez que se detuvo el registro para determinar si se deben producir eventos retrasados, en lugar del estado de registro del registro en el momento en que se produjo el evento. Como resultado, los retrasos que se produjeron antes de la última interrupción de la tala pueden seguir transmitiéndose al sendero. Para obtener más información sobre los retrasos en la entrega, consulte el `addendum` campo de[CloudTrail registrar el contenido de los eventos de administración, datos y actividad de la red](cloudtrail-event-reference-record-contents.md).
Además, los selectores de eventos y los selectores de eventos avanzados no se evalúan para detectar los eventos retrasados que se envían a una ruta una vez que se detiene el registro. Esto significa que una ruta puede recibir cualquier tipo de evento que se haya producido antes de que se detuviera el registro, independientemente de la configuración del selector de eventos de la ruta.
## Eliminación de un registro de seguimiento
Si ha habilitado los eventos CloudTrail de administración en Amazon Security Lake, debe mantener al menos un registro organizativo que sea multirregional y registre tanto `read` los eventos de administración como los eventos `write` de administración. No puede eliminar una ruta si es la única que tiene que cumple este requisito, a menos que desactive la CloudTrail administración de eventos en Security Lake.
Puede eliminar un registro de seguimiento con el siguiente comando. Puede eliminar un registro de seguimiento únicamente en la región en la que lo creó (la región principal).
**importante**
Si bien eliminar una CloudTrail ruta es una acción irreversible, CloudTrail no elimina los archivos de registro del bucket de Amazon S3 de esa ruta, ni del propio bucket de Amazon S3 ni del grupo de CloudWatch registros al que la ruta envía los eventos. Si eliminas un registro multirregional, se detendrá el registro de los eventos en todas AWS las regiones que tengas habilitadas. Cuenta de AWS Si elimina un registro de seguimiento de una sola región, solo se dejarán de registrar los eventos de esa región. No detendrá el registro de eventos en otras regiones, incluso si los registros de seguimiento de esas otras regiones tienen nombres idénticos a los del registro de seguimiento eliminado.
Para obtener información sobre el cierre de cuentas y la eliminación de CloudTrail rutas, consulta[Cuenta de AWS cierre y senderos](cloudtrail-account-closure.md).
```
aws cloudtrail delete-trail --name awscloudtrail-example
```
Cuando se elimina un registro de seguimiento, no se elimina el bucket de Amazon S3 ni el tema de Amazon SNS asociados. Usa la Consola de administración de AWS AWS CLI, o la API de servicio para eliminar estos recursos por separado.