Descripción de CloudTrail los eventos - AWS CloudTrail
Eventos de administraciónEventos de datosEventos de actividad de la redEventos de Insights

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción de CloudTrail los eventos

Un evento en CloudTrail es el registro de una actividad en una AWS cuenta. Esta actividad puede ser una acción de una identidad de IAM o un servicio que puede supervisar. CloudTrail CloudTrail los eventos proporcionan un historial de las actividades de la cuenta, tanto de la API como no de esta, que se realizan a través de la AWS Management Console AWS SDKs,, las herramientas de línea de comando y otros Servicios de AWS.

CloudTrail los archivos de registro no rastrean el orden en la pila de las llamadas públicas a la API, por lo que los eventos no aparecen en ningún orden específico.

Hay cuatro tipos de CloudTrail eventos:

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos registran los eventos de administración, pero no los eventos de datos, de actividad de la red o de Insights.

Todos los tipos de eventos utilizan un formato de registro CloudTrail JSON. El registro contiene información acerca de las solicitudes de recursos de su cuenta como, por ejemplo, quién hizo la solicitud, los servicios utilizados, las acciones realizadas y los parámetros de la acción. Los datos de los eventos se encierran dentro de una matriz Records.

Para obtener información sobre los campos de registro de CloudTrail eventos para los eventos de administración, datos y actividad de red, consulteCloudTrail registrar el contenido de los eventos de administración, datos y actividad de la red.

Para obtener información sobre CloudTrail los campos de registro de eventos de Insights para senderos, consulteCloudTrail registrar contenido para eventos de Insights para registros de seguimiento.

Para obtener información sobre CloudTrail los campos de registro de eventos de Insights para los almacenes de datos de eventos, consulteCloudTrail registrar el contenido de eventos de Insights para los almacenes de datos de eventos.

Eventos de administración

Los eventos de administración proporcionan información sobre las operaciones de administración que se realizan en los recursos de su AWS cuenta de. Se denominan también operaciones del plano de control.

Algunos ejemplos de eventos de administración son los siguientes:

  • Configurar la seguridad (por ejemplo, las operaciones AWS Identity and Access Management AttachRolePolicy de la API).

  • Registrar dispositivos (por ejemplo, operaciones de la EC2 CreateDefaultVpc API de Amazon).

  • Configuración de reglas para el direccionamiento de datos (por ejemplo, operaciones de la EC2 CreateSubnet API de Amazon).

  • Configurar el registro (por ejemplo, las operaciones AWS CloudTrail CreateTrail de la API).

Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en su cuenta, CloudTrail registra el ConsoleLogin evento. Para obtener más información, consulte Eventos ajenos a la API capturados por CloudTrail.

De forma predeterminada, los almacenes CloudTrail de datos de CloudTrail eventos de seguimiento y los almacenes de datos de eventos de administración. Para obtener más información sobre el registro de eventos de administración, consulte Registro de eventos de administración.

En el siguiente ejemplo, se muestra un registro único de un evento de administración. En este caso, un usuario de IAM denominado Mary_Major ejecutó el aws cloudtrail start-logging comando para llamar a la CloudTrail StartLoggingacción e iniciar el proceso de registro en una ruta denominadamyTrail.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

En el siguiente ejemplo, un usuario de IAM llamado Paulo_Santos ejecutó el comando aws cloudtrail start-event-data-store-ingestion para llamar a la acción StartEventDataStoreIngestion a fin de iniciar la ingesta en un almacén de datos de eventos.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Eventos de datos

Los eventos de datos proporcionan información sobre las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen.

Algunos ejemplos de eventos de datos son los siguientes:

En la siguiente tabla, se muestran los tipos de recursos disponibles para los registros de seguimiento y los almacenes de datos de eventos. En la columna Tipo de recurso (consola), se muestra la selección adecuada en la consola. En la columna resources.type value, se muestra el resources.type valor que especificaría para incluir eventos de datos de ese tipo en el registro de seguimiento o el almacén de datos de eventos por medio de la o. AWS CLI CloudTrail APIs

En el caso de los registros de seguimiento, puede utilizar selectores de eventos básicos o avanzados para registrar eventos de datos de objetos de Amazon S3 en buckets, funciones de Lambda y tablas de DynamoDB de uso general (se muestran en las tres primeras filas de la tabla). Solo puede usar selectores de eventos avanzados para registrar los tipos de recursos que se muestran en las filas restantes.

En el caso de los almacenes de datos de eventos, puede utilizar selectores de eventos avanzados para que se incluyan eventos de datos únicamente.

Servicio de AWS Descripción Tipo de recurso (consola) resources.type value
Amazon DynamoDB

Actividad de la API en el nivel de elemento de Amazon DynamoDB en las tablas (por ejemplo, las operaciones PutItem, DeleteItem y UpdateItem de la API).

nota

Para las tablas con flujos habilitados, el campo resources del evento de datos contiene AWS::DynamoDB::Stream y AWS::DynamoDB::Table. Si especifica AWS::DynamoDB::Table como resources.type, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir eventos de flujos, agregue un filtro en el campo eventName.

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda actividad de ejecución de funciones (la Invoke API).

 Lambda AWS::Lambda::Function
Amazon S3

Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones GetObject, DeleteObject y PutObject de la API) en objetos de los buckets de uso general.

 S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig Actividad de la API para operaciones de configuración, como las llamadas a StartConfigurationSession yGetLatestConfiguration.

 AWS AppConfig AWS::AppConfig::Configuration
AWS AppSync

AWS AppSync Actividad de la API en AppSync GraphQL APIs.

 AppSync GraphQL AWS::AppSync::GraphQLApi
AWS Intercambio de datos entre empresas

Actividad de la API de intercambio de datos entre empresas para operaciones de Transformer, como las llamadas a GetTransformerJob y StartTransformerJob.

 Intercambio de datos entre empresas AWS::B2BI::Transformer
AWS Backup

AWS Backup Actividad de la API de datos de búsqueda en trabajos de búsqueda.

 AWS Backup Datos de búsqueda APIs AWS::Backup::SearchJob
Amazon Bedrock Actividad de la API de Amazon Bedrock en un alias de agente. Alias de agente de Bedrock AWS::Bedrock::AgentAlias
Amazon Bedrock Actividad de la API de Amazon Bedrock en invocaciones asíncronas. Invocación asíncrona de Bedrock AWS::Bedrock::AsyncInvoke
Amazon Bedrock Actividad de la API de Amazon Bedrock en un alias de flujo. Alias de flujo de Bedrock AWS::Bedrock::FlowAlias
Amazon Bedrock Actividad de la API de Amazon Bedrock en barreras de protección. Barrera de protección de Bedrock AWS::Bedrock::Guardrail
Amazon Bedrock Actividad de la API de Amazon Bedrock en los agentes en línea. Bedrock Invoke Inline-Agent AWS::Bedrock::InlineAgent
Amazon Bedrock Actividad de la API de Amazon Bedrock en una base de conocimientos. Base de conocimientos de Bedrock AWS::Bedrock::KnowledgeBase
Amazon Bedrock Actividad de la API de Amazon Bedrock en modelos. Modelo de Bedrock AWS::Bedrock::Model
Amazon Bedrock Actividad de la API de Amazon Bedrock en los avisos. Mensaje de Bedrock AWS::Bedrock::PromptVersion
Amazon Bedrock Actividad de la API de Amazon Bedrock en las sesiones. Sesión de Bedrock AWS::Bedrock::Session
Amazon CloudFront

CloudFront Actividad de la API en un KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map Actividad de la API en un espacio de nombres. AWS Cloud Map namespace AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map Actividad de la API en un servicio. AWS Cloud Map service AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsactividad en un canal de CloudTrail Lake que se utiliza para registrar eventos externos AWS.

 CloudTrail canal AWS::CloudTrail::Channel
Amazon CloudWatch

Actividad de CloudWatch la API de Amazon en las métricas.

 CloudWatch métrica AWS::CloudWatch::Metric
Monitor del flujo CloudWatch de red de Amazon Network

Actividad de la API de Amazon CloudWatch Network Flow Monitor en los monitores.

 Monitor del flujo de red AWS::NetworkFlowMonitor::Monitor
Monitor del flujo CloudWatch de red de Amazon Network

Actividad de la API de Amazon CloudWatch Network Flow Monitor en los ámbitos.

 Alcance de Network Flow Monitor AWS::NetworkFlowMonitor::Scope
Amazon CloudWatch RUM

Actividad de la API de Amazon CloudWatch RUM en los monitores de aplicaciones.

 Monitor de aplicaciones de RUM AWS::RUM::AppMonitor
Amazon CodeGuru Profiler CodeGuru Actividad de la API Profiler en los grupos de creación de perfiles. CodeGuru Grupo de creación de perfiles de Profiler AWS::CodeGuruProfiler::ProfilingGroup
Amazon CodeWhisperer Actividad CodeWhisperer de la API de Amazon en una personalización. CodeWhisperer personalización AWS::CodeWhisperer::Customization
Amazon CodeWhisperer Actividad CodeWhisperer de la API de Amazon en un perfil. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Actividad de la API de Amazon Cognito en los grupos de identidades de Amazon Cognito.

 Grupos de identidades de Cognito AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange Actividad de la API de en los activos.

Activo de Data Exchange

AWS::DataExchange::Asset
AWS Deadline Cloud

Actividad de la API de Deadline Cloud en las flotas.

Deadline Cloud flota

AWS::Deadline::Fleet
AWS Deadline Cloud

Actividad de la API de Deadline Cloud en los trabajos.

Deadline Cloud trabajo

AWS::Deadline::Job
AWS Deadline Cloud

Actividad de la API de Deadline Cloud en las colas.

Deadline Cloud cola

AWS::Deadline::Queue
AWS Deadline Cloud

Actividad de la API de Deadline Cloud en los trabajadores.

Deadline Cloud trabajador

AWS::Deadline::Worker
Amazon DynamoDB

Actividad de la API de Amazon DynamoDB en los flujos.

 DynamoDB Streams AWS::DynamoDB::Stream
AWS Mensajes SMS para usuarios finales de AWS Actividad de la API de Mensajes SMS para usuarios finales de en las identidades de origen. Identidad de origen de SMS Voice AWS::SMSVoice::OriginationIdentity
AWS Mensajes SMS para usuarios finales de AWS Actividad de la API de SMS de mensajería para el usuario final en los mensajes. Mensaje de voz SMS AWS::SMSVoice::Message
AWS Mensajes de redes sociales para usuarios finales de AWS Actividad de la API de Mensajes de redes sociales para usuarios finales de en el número de teléfono IDs. ID de número de teléfono de mensajes de redes sociales AWS::SocialMessaging::PhoneNumberId
AWS Mensajes de redes sociales para usuarios finales de AWS Actividad de la API de Mensajes de redes sociales para usuarios finales de en Waba IDs. ID de Waba para mensajería social AWS::SocialMessaging::WabaId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) direct APIs, comoPutSnapshotBlock, GetSnapshotBlock y en instantáneas de ListChangedBlocks Amazon EBS.

 Amazon EBS directo APIs AWS::EC2::Snapshot
Amazon EMR Actividad de la API de Amazon EMR en un espacio de trabajo de registros de escritura anticipada. Espacio de trabajo de registro de escritura anticipada de EMR AWS::EMRWAL::Workspace
Amazon FinSpace

Actividad de la API de Amazon FinSpace en entornos.

 FinSpace AWS::FinSpace::Environment
Amazon GameLift Servers Streams

Amazon GameLift Servers transmite la actividad de la API en las aplicaciones.

 GameLift Aplicación Streams AWS::GameLiftStreams::Application
Amazon GameLift Servers Streams

Amazon GameLift Servers transmite la actividad de la API en grupos de transmisiones.

 GameLift Transmite un grupo de transmisiones AWS::GameLiftStreams::StreamGroup
AWS Glue

AWS Glue Actividad de la API de en tablas creadas por Lake Formation.

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

Actividad GuardDuty de la API de Amazon para un detector.

 GuardDuty detector AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging Actividad de la API en los almacenes de datos.

 MedicalImaging almacén de datos AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT Actividad de la API en los certificados.

 Certificado IoT AWS::IoT::Certificate
AWS IoT

AWS IoT Actividad de la API en las cosas.

 Objeto de IoT AWS::IoT::Thing
AWS IoT Greengrass Version 2

Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una versión del componente.

nota

Greengrass no registra los eventos de acceso denegado.

 Versión del componente IoT Greengrass AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una implementación.

nota

Greengrass no registra los eventos de acceso denegado.

 Implementación de IoT Greengrass AWS::GreengrassV2::Deployment
AWS IoT SiteWise

Actividad de SiteWise la API de IoT en los activos.

 SiteWise Activo de IoT AWS::IoTSiteWise::Asset
AWS IoT SiteWise

Actividad SiteWise de la API de IoT en series temporales.

 Series SiteWise temporales de IoT AWS::IoTSiteWise::TimeSeries
AWS IoT SiteWise Asistente

Actividad de la API de Sitewise Assistant en las conversaciones.

 Conversación con Sitewise Assist AWS::SitewiseAssistant::Conversation
AWS IoT TwinMaker

Actividad TwinMaker de la API de IoT en una entidad.

 TwinMaker Entidad IoT AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

Actividad de TwinMaker la API de IoT en un espacio de trabajo.

 TwinMaker Espacio de trabajo de IoT AWS::IoTTwinMaker::Workspace
Clasificación de Amazon Kendra Intelligent

Actividad de la API de Amazon Kendra Intelligent Ranking en los planes de ejecución de nuevas puntuaciones.

 Kendra Ranking AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (para Apache Cassandra) Actividad de la API de Amazon Keyspaces en una tabla. Tabla de Cassandra AWS::Cassandra::Table
Amazon Kinesis Data Streams Actividad de la API de Kinesis Data Streams en los flujos. Flujo de Kinesis AWS::Kinesis::Stream
Amazon Kinesis Data Streams Actividad de la API de Kinesis Data Streams en los consumidores de flujos. Consumidor de flujos de Kinesis AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Actividad de la API de Kinesis Video Streams en transmisiones de video, como llamadas a GetMedia y PutMedia. Kinesis Video Streams AWS::KinesisVideo::Stream
Mapas de Amazon Location Actividad de la API de Amazon Location Maps. Mapas geográficos AWS::GeoMaps::Provider
Amazon Location Places Actividad de la API de Amazon Location Places. Lugares geográficos AWS::GeoPlaces::Provider
Rutas de Amazon Location Actividad de la API de Amazon Location Routes. Rutas geográficas AWS::GeoRoutes::Provider
Amazon Machine Learning Actividad de la API de machine learning en modelos de ML. Aprendizaje automático MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

Actividad de la API de Amazon Managed Blockchain en una red.

 Red de Managed Blockchain AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Llamadas JSON-RPC de Amazon Managed Blockchain en nodos de Ethereum, como eth_getBalance o eth_getBlockByNumber.

 Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Managed Blockchain Query

Actividad de la API de Amazon Managed Blockchain Query.

 Query de cadena de bloques AWS::ManagedBlockchainQuery::QueryAPI
Amazon Managed Workflows para Apache Airflow

Actividad de la API de Amazon MWAA en los entornos.

 Apache Airflow gestionado AWS::MWAA::Environment
Gráfico de Amazon Neptune

Actividades de la API de datos, por ejemplo, consultas, algoritmos o búsquedas vectoriales, en un gráfico de Neptune.

 Gráfico de Neptune AWS::NeptuneGraph::Graph
Amazon One Enterprise

Actividad de la API de Amazon One Enterprise en UKey.

 Amazon Uno UKey AWS::One::UKey
Amazon One Enterprise

Actividad de la API de Amazon One Enterprise en los usuarios.

 Usuario de Amazon One AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography Actividad de la API de en los alias. Alias de Payment Cryptography AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography Actividad de la API de en las claves. Clave de Payment Cryptography AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Conector para la actividad de la API de Active Directory.

 AWS Private CA Conector para Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Conector de para la actividad de la API de SCEP.

 AWS Private CA Conector para SCEP AWS::PCAConnectorSCEP::Connector
Amazon Pinpoint

Actividad de la API Amazon Pinpoint en aplicaciones de segmentación móvil.

 Aplicación de segmentación móvil AWS::Pinpoint::App
Amazon Q Apps

Actividad de la API de datos en Amazon Q Apps.

 Amazon Q Apps AWS::QApps::QApp
Amazon Q Apps

Actividad de la API de datos en las sesiones de Amazon Q App.

 Sesión de la aplicación Amazon Q AWS::QApps::QAppSession
Amazon Q Business

Actividad de la API de Amazon Q Business en una aplicación.

 Aplicación de Amazon Q Business AWS::QBusiness::Application
Amazon Q Business

Actividad de la API de Amazon Q Business en un origen de datos.

 Origen de datos de Amazon Q Business AWS::QBusiness::DataSource
Amazon Q Business

Actividad de la API de Amazon Q Business en un índice.

 Índice de Amazon Q Business AWS::QBusiness::Index
Amazon Q Business

Actividad de la API de Amazon Q Business en una experiencia web.

 Experiencia web de Amazon Q Business AWS::QBusiness::WebExperience
Amazon Q Developer

Actividad de la API de Amazon Q Developer en una integración.

 Q: Integración para desarrolladores AWS::QDeveloper::Integration
Amazon Q Developer

Actividad de la API para desarrolladores de Amazon Q sobre investigaciones operativas.

 AIOps Grupo de investigación AWS::AIOps::InvestigationGroup
Amazon RDS

Actividad de la API de Amazon RDS en un clúster de base de datos.

 API de datos de RDS: clúster de base de datos AWS::RDS::DBCluster
Explorador de recursos de AWS

Actividad de la API Resource Explorer en las vistas gestionadas.

 Explorador de recursos de AWS vista gestionada AWS::ResourceExplorer2::ManagedView
Explorador de recursos de AWS

Actividad de la API Resource Explorer en las vistas.

 Explorador de recursos de AWS view AWS::ResourceExplorer2::View
Amazon S3

Actividad de la API de Amazon S3 en los puntos de acceso.

 Punto de acceso de S3 AWS::S3::AccessPoint
Amazon S3

Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones GetObject, DeleteObject y PutObject de la API) en objetos de los buckets de directorio.

 S3 Express AWS::S3Express::Object
Amazon S3

Actividad de la API en los puntos de acceso de Amazon S3 Object Lambda, como las llamadas a CompleteMultipartUpload y GetObject.

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Tablas de Amazon S3

Actividad de la API de Amazon S3 en las tablas.

 Tabla S3 AWS::S3Tables::Table
Tablas de Amazon S3

Actividad de la API Amazon S3 en cubos de tablas.

 Cubo de mesa S3 AWS::S3Tables::TableBucket
Amazon S3 en Outposts

Actividad de la API en cuanto a objetos de Amazon S3 en Outposts.

 S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker AI InvokeEndpointWithResponseStreamActividad de Amazon SageMaker AI en los puntos finales. SageMaker Punto final de IA AWS::SageMaker::Endpoint
Amazon SageMaker AI

Actividad de la API de Amazon SageMaker AI en los almacenes de características.

 SageMaker AI feature store AWS::SageMaker::FeatureGroup
Amazon SageMaker AI

Actividad de la API Amazon SageMaker AI en componentes de prueba de experimentos.

 SageMaker Componente de prueba del experimento de métricas de IA AWS::SageMaker::ExperimentTrialComponent
AWS Signer

Actividad de la API Signer sobre la firma de trabajos.

 Trabajo de firma de firmantes AWS::Signer::SigningJob
AWS Signer

Actividad de la API de firmantes en los perfiles de firma.

 Perfil de firma del firmante AWS::Signer::SigningProfile
Amazon SimpleDB

Actividad de la API Amazon SimpleDB en los dominios.

 Dominio SimpleDB AWS::SDB::Domain
Amazon Simple Email Service

Actividad de la API de Amazon Simple Email Service (Amazon SES) en los conjuntos de configuración.

 Conjunto de configuraciones de SES AWS::SES::ConfigurationSet
Amazon Simple Email Service

Actividad de la API de Amazon Simple Email Service (Amazon SES) en las identidades de correo electrónico.

 Identidad de SES AWS::SES::EmailIdentity
Amazon Simple Email Service

Actividad de la API de Amazon Simple Email Service (Amazon SES) en plantillas.

 Plantilla SES AWS::SES::Template
Amazon SNS

Operaciones de la API Publish de Amazon SNS en los puntos de conexión de la plataforma.

 Punto de conexión de la plataforma de SNS AWS::SNS::PlatformEndpoint
Amazon SNS

Operaciones de la API Publish y PublishBatch de Amazon SNS sobre temas.

 Tema de SNS AWS::SNS::Topic
Amazon SQS

Actividad de la API de Amazon SQS en los mensajes.

 SQS AWS::SQS::Queue
AWS Step Functions

Actividad de la API Step Functions en las actividades.

 Step Functions AWS::StepFunctions::Activity
AWS Step Functions

Actividad de la API Step Functions en máquinas de estado.

 Máquina de estado de Step Functions AWS::StepFunctions::StateMachine
AWS Supply Chain

AWS Supply Chain Actividad de la API de en una instancia.

 Supply Chain AWS::SCN::Instance
Amazon SWF

Actividad de la API de Amazon SWF en los dominios.

 Dominio de SWF AWS::SWF::Domain
AWS Systems Manager Actividad de la API de Systems Manager en los canales de control. Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager Actividad de la API de Systems Manager sobre las evaluaciones de impacto. Evaluación de impacto de SSM AWS::SSM::ExecutionPreview
AWS Systems Manager Actividad de la API de Systems Manager en los nodos administrados. Nodo administrado de Systems Manager AWS::SSM::ManagedNode
Amazon Timestream Actividad de la API Query de Amazon Timestream en las bases de datos. Base de datos de Timestream AWS::Timestream::Database
Amazon Timestream Actividad de la API Amazon Timestream en los puntos de enlace regionales. Punto final regional de Timestream AWS::Timestream::RegionalEndpoint
Amazon Timestream Actividad de la API Query de Amazon Timestream en las tablas. Tabla de Timestream AWS::Timestream::Table
Amazon Verified Permissions

Actividad de la API de Amazon Verified Permissions en un almacén de políticas.

 Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Cliente WorkSpaces ligero de Amazon WorkSpaces Actividad de la API de cliente ligero en un dispositivo. Dispositivo de cliente ligero AWS::ThinClient::Device
Cliente WorkSpaces ligero de Amazon WorkSpaces Actividad de la API de cliente ligero en un entorno. Entorno de cliente ligero AWS::ThinClient::Environment
AWS X-Ray

Actividad de la API de X-Ray en los registros de seguimiento.

 Registros de seguimiento de X-Ray AWS::XRay::Trace

El registro de los eventos de datos está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. A fin de registrar eventos de CloudTrail datos, debe agregar explícitamente los recursos o tipos de recursos admitidos cuya actividad desea recopilar. Para obtener más información, consulte Creación de un registro de seguimiento con la CloudTrail consola y Creación de un almacén de datos de CloudTrail eventos para eventos con la consola.

Se aplican cargos adicionales para registrar eventos de datos. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

En el siguiente ejemplo, se muestra un registro único de un evento de datos para la acción Publish de Amazon SNS.

{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

En el siguiente ejemplo, se muestra un registro único de un evento de datos para la acción GetCredentialsForIdentity de Amazon Cognito.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Eventos de actividad de la red

CloudTrail los eventos de actividad de la red permiten a los propietarios de los puntos de conexión de VPC grabar las llamadas a la AWS API de realizadas con sus puntos de conexión de VPC desde una VPC privada al. Servicio de AWS Los eventos de actividad de la red muestran información sobre las operaciones de recursos realizadas dentro de una VPC.

Puede registrar los eventos de actividad de la red para los siguientes servicios:

  • AWS AppConfig

  • Intercambio de datos de AWS B2B

  • Administración de facturación y costos

  • Calculadora de precios de AWS

  • AWS Cost Explorer

  • AWS CloudHSM

  • Amazon Comprehend Medical

  • AWS CloudTrail

  • Exportaciones de datos de AWS

  • Amazon DynamoDB

  • Amazon EC2

  • Amazon Elastic Container Service

  • Amazon EventBridge Scheduler

  • capa gratuita de AWS

  • Amazon FSx

  • AWS IoT FleetWise

  • Facturación de AWS

  • AWS KMS

  • AWS Lambda

  • Amazon Lookout for Equipment

  • Amazon Rekognition

  • Amazon S3

    nota

    No se admiten puntos de acceso multirregión de Amazon S3.

  • AWS Secrets Manager

  • Administrador de incidentes de AWS Systems Manager

  • Amazon Textract

  • Amazon WorkMail

El registro de los eventos de actividad de la red está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. A fin CloudTrail de registrar eventos de actividad de la red, debe establecer explícitamente el origen de los eventos cuya actividad desea recopilar. Para obtener más información, consulte Registro de eventos de actividad de la red.

Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

El siguiente ejemplo muestra un AWS KMS ListKeys evento de correcto que ha atravesado un punto de conexión de VPC. El campo vpcEndpointId muestra el ID del punto de conexión de VPC. El campo vpcEndpointAccountId muestra el ID de la cuenta del propietario del punto de conexión de VPC. En este ejemplo, la solicitud la realizó el propietario del punto de conexión de VPC.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

El siguiente ejemplo muestra un AWS KMS ListKeys evento de incorrecto con una infracción de la política de puntos de conexión de VPC. Debido a que se ha producido una infracción de la política de VPC, se muestran los campos errorCode y errorMessage. El ID de la cuenta en los campos recipientAccountId y vpcEndpointAccountId es el mismo, lo cual indica que el evento se envió al propietario del punto de conexión de VPC. El accountId del elemento userIdentity no es el vpcEndpointAccountId, lo cual indica que el usuario que realiza la solicitud no es el propietario del punto de conexión de VPC.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Eventos de Insights

CloudTrail Los eventos de Insights capturan una tasa de llamadas inusuales de API o una actividad de tasa de error en su AWS cuenta de mediante el análisis CloudTrail de la actividad de administración. Los eventos de Insights proporcionan información relevante, como la API asociada, el código de error, la hora del incidente y las estadísticas, que lo ayuda a conocer la actividad inusual y actuar en consecuencia. A diferencia de otros tipos de eventos capturados en un CloudTrail registro de seguimiento o un almacén de datos de eventos, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el registro de la tasa de error o de uso de la API de su cuenta que difieren considerablemente de los patrones de uso típicos de la cuenta. Para obtener más información, consulte Trabajar con CloudTrail Insights.

Entre los ejemplos de actividad que podrían generar los eventos de Insights se incluyen los siguientes:

  • Por lo general, su cuenta registra no más de 20 llamadas a la API deleteBucket de Amazon S3 por minuto, pero comienza a registrar un promedio de 100 llamadas a la API deleteBucket por minuto. Se registra un evento de Insights al inicio de la actividad inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.

  • Por lo general, su cuenta registra 20 llamadas por minuto a la EC2 AuthorizeSecurityGroupIngress API de Amazon, pero comienza a registrar cero llamadas aAuthorizeSecurityGroupIngress. Un evento de Insights se registra al inicio de la actividad inusual y diez minutos más tarde, cuando finaliza la actividad inusual, se registra otro evento de Insights para marcar el final de la actividad inusual.

  • Normalmente, su cuenta registra menos de uno error AccessDeniedException en un periodo de siete días en la API AWS Identity and Access Management , DeleteInstanceProfile. Su cuenta comienza a registrar un promedio de 12 errores AccessDeniedException por minuto en la llamada a la API DeleteInstanceProfile. Se registra un evento de Insights al inicio de la actividad de tasa de error inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.

Estos ejemplos se ofrecen únicamente con fines ilustrativos. Sus resultados pueden variar según su caso de uso.

A fin de registrar eventos de CloudTrail Insights, debe habilitar explícitamente los eventos de Insights en un registro de seguimiento o almacén de datos de eventos nuevos o existentes. Para obtener más información acerca de la creación de un registro de seguimiento, consulte Creación de un registro de seguimiento con la CloudTrail consola. Para obtener más información acerca de la creación de un almacén de datos de eventos, consulte Creación de un almacén de datos de eventos para los eventos de Insights con la consola.

Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener más información, consulte AWS CloudTrail Precios.

Hay dos eventos registrados para mostrar actividad inusual en CloudTrail Insights: un evento inicial y un evento final. En el siguiente ejemplo se muestra un registro único de un evento de Insights que se produjo cuando se llamó un número inusual de veces a la API CompleteLifecycleAction de Auto Scaling de aplicaciones. Para los eventos de Insights, el valor de eventCategory es Insight. Un bloque insightDetails identifica el estado del evento, la fuente, el nombre, el tipo de información y el contexto, incluidas las estadísticas y atribuciones. Para obtener más información sobre el bloque insightDetails, consulte CloudTrail registrar contenido para eventos de Insights para registros de seguimiento.

{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }