Eventos de administración Eventos de datos Eventos de actividad de la red Eventos de Insights

Comprensión de CloudTrail los eventos

Un evento en CloudTrail es el registro de una actividad en una AWS cuenta. Esta actividad puede ser una acción realizada por una identidad de IAM o un servicio que pueda supervisarse. CloudTrail CloudTrail los eventos proporcionan un historial de la actividad de las cuentas API y ajenas a la API realizada a través de las herramientas de línea de comandos AWS Management Console AWS SDKs, entre otras. Servicios de AWS

CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a las API públicas, por lo que los eventos no aparecen en ningún orden específico.

Hay cuatro tipos de CloudTrail eventos:

Eventos de administración
Eventos de datos
Eventos de actividad de la red
Eventos de Insights

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos registran los eventos de administración, pero no los eventos de datos, de actividad de la red o de Insights.

Todos los tipos de eventos utilizan un formato de registro CloudTrail JSON. El registro contiene información acerca de las solicitudes de recursos de su cuenta como, por ejemplo, quién hizo la solicitud, los servicios utilizados, las acciones realizadas y los parámetros de la acción. Los datos de los eventos se encierran dentro de una matriz Records.

Para obtener información sobre los campos de registro de CloudTrail eventos para los eventos de administración, datos y actividad de red, consulteCloudTrail registrar el contenido de los eventos de administración, datos y actividad de la red.

Para obtener información sobre CloudTrail los campos de registro de eventos de Insights para senderos, consulteCloudTrail registrar contenido para eventos de Insights para registros de seguimiento.

Para obtener información sobre CloudTrail los campos de registro de eventos de Insights para los almacenes de datos de eventos, consulteCloudTrail registrar el contenido de eventos de Insights para los almacenes de datos de eventos.

Eventos de administración

Los eventos de administración proporcionan información sobre las operaciones de administración que se realizan en los recursos de su AWS cuenta. Se denominan también operaciones del plano de control.

Algunos ejemplos de eventos de administración son los siguientes:

Configurar la seguridad (por ejemplo, las operaciones AWS Identity and Access Management AttachRolePolicy de la API).
Registrar dispositivos (por ejemplo, operaciones de la EC2 CreateDefaultVpc API de Amazon).
Configuración de reglas para el enrutamiento de datos (por ejemplo, operaciones de la EC2 CreateSubnet API de Amazon).
Configurar el registro (por ejemplo, las operaciones AWS CloudTrail CreateTrail de la API).

Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en tu cuenta, CloudTrail registra el ConsoleLogin evento. Para obtener más información, consulte Eventos ajenos a la API capturados por CloudTrail.

De forma predeterminada, los datos de eventos de CloudTrail Trails and CloudTrail Lake almacenan los eventos de gestión de registros. Para obtener más información sobre el registro de eventos de administración, consulte Registro de eventos de administración.

En el siguiente ejemplo, se muestra un registro único de un evento de administración. En este caso, un usuario de IAM denominado Mary_Major ejecutó el aws cloudtrail start-logging comando para llamar a la CloudTrail StartLoggingacción e iniciar el proceso de registro en una ruta denominadamyTrail.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

En el siguiente ejemplo, un usuario de IAM llamado Paulo_Santos ejecutó el comando aws cloudtrail start-event-data-store-ingestion para llamar a la acción StartEventDataStoreIngestion a fin de iniciar la ingesta en un almacén de datos de eventos.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Eventos de datos

Los eventos de datos proporcionan información sobre las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen.

Algunos ejemplos de eventos de datos son los siguientes:

Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones GetObject, DeleteObject y PutObject de la API) en objetos de los buckets de S3.
AWS Lambda actividad de ejecución de funciones (la Invoke API).
CloudTrail PutAuditEventsactividad en un canal de CloudTrail Lake que se utiliza para registrar eventos del exterior AWS.
Operaciones de la API Publish y PublishBatch de Amazon SNS sobre temas.

La siguiente tabla muestra los tipos de recursos disponibles para los almacenes de datos de senderos y eventos. La columna Tipo de recurso (consola) muestra la selección adecuada en la consola. La columna de valores resources.type muestra el resources.type valor que usted especificaría para incluir eventos de datos de ese tipo en su almacén de datos de rutas o eventos mediante la tecla o. AWS CLI CloudTrail APIs

En el caso de los registros de seguimiento, puede utilizar selectores de eventos básicos o avanzados para registrar eventos de datos de objetos de Amazon S3 en buckets, funciones de Lambda y tablas de DynamoDB de uso general (se muestran en las tres primeras filas de la tabla). Solo puede usar selectores de eventos avanzados para registrar los tipos de recursos que se muestran en las filas restantes.

En el caso de los almacenes de datos de eventos, puede utilizar selectores de eventos avanzados para que se incluyan eventos de datos únicamente.

Los eventos de datos son compatibles con AWS CloudTrail

Servicio de AWS	Descripción	Tipo de recurso (consola)	resources.type value
Amazon RDS	Actividad de la API de Amazon RDS en un clúster de base de datos.	API de datos de RDS: clúster de base de datos	`AWS::RDS::DBCluster`
Amazon S3	Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones `GetObject`, `DeleteObject` y `PutObject` de la API) en objetos de los buckets de uso general.	S3	`AWS::S3::Object`
Amazon S3	Actividad de la API de Amazon S3 en los puntos de acceso.	Punto de acceso de S3	`AWS::S3::AccessPoint`
Amazon S3	Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones `GetObject`, `DeleteObject` y `PutObject` de la API) en objetos de los buckets de directorio.	S3 Express	`AWS::S3Express::Object`
Amazon S3	Actividad de la API en los puntos de acceso de Amazon S3 Object Lambda, como las llamadas a `CompleteMultipartUpload` y `GetObject`.	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3	Actividad de FSx la API de Amazon en volúmenes.	FSx Volumen	`AWS::FSx::Volume`
Amazon S3 Tables	Actividad de la API de Amazon S3 en las tablas.	Tabla S3	`AWS::S3Tables::Table`
Amazon S3 Tables	Actividad de la API de Amazon S3 en los cubos de mesa.	Cubo de mesa S3	`AWS::S3Tables::TableBucket`
Amazon S3 en Outposts	Actividad de la API en cuanto a objetos de Amazon S3 en Outposts.	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SNS	Operaciones de la API `Publish` de Amazon SNS en los puntos de conexión de la plataforma.	Punto de conexión de la plataforma de SNS	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Operaciones de la API `Publish` y `PublishBatch` de Amazon SNS sobre temas.	Tema de SNS	`AWS::SNS::Topic`
Amazon SQS	Actividad de la API de Amazon SQS en los mensajes.	SQS	`AWS::SQS::Queue`
AWS Supply Chain	AWS Supply Chain Actividad de la API en una instancia.	Supply Chain	`AWS::SCN::Instance`
Amazon SWF	Actividad de la API de Amazon SWF en los dominios.	Dominio de SWF	`AWS::SWF::Domain`
AWS AppConfig	AWS AppConfig Actividad de la API para operaciones de configuración, como las llamadas a `StartConfigurationSession` y`GetLatestConfiguration`.	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS AppSync	AWS AppSync Actividad de la API en AppSync GraphQL APIs.	AppSync GraphQL	`AWS::AppSync::GraphQLApi`
Amazon Aurora DSQL	Actividad de la API DSQL de Amazon Aurora en los recursos del clúster.	Amazon Aurora DSQL	`AWS::DSQL::Cluster`
AWS Intercambio de datos B2B	Actividad de la API de intercambio de datos entre empresas para operaciones de Transformer, como las llamadas a `GetTransformerJob` y `StartTransformerJob`.	Intercambio de datos entre empresas	`AWS::B2BI::Transformer`
AWS Backup	AWS Backup Actividad de la API de datos de búsqueda en trabajos de búsqueda.	AWS Backup Datos de búsqueda APIs	`AWS::Backup::SearchJob`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en un alias de agente.	Alias de agente de Bedrock	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en las invocaciones asíncronas.	Invocación asíncrona de Bedrock	`AWS::Bedrock::AsyncInvoke`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en un alias de flujo.	Alias de flujo de Bedrock	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en barreras de protección.	Barrera de protección de Bedrock	`AWS::Bedrock::Guardrail`
Amazon Bedrock	Actividad de la API Amazon Bedrock en los agentes en línea.	Bedrock Invoke Inline-Agent	`AWS::Bedrock::InlineAgent`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en una base de conocimientos.	Base de conocimientos de Bedrock	`AWS::Bedrock::KnowledgeBase`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en modelos.	Modelo de Bedrock	`AWS::Bedrock::Model`
Amazon Bedrock	Actividad de la API Amazon Bedrock según las indicaciones.	Mensaje de Bedrock	`AWS::Bedrock::PromptVersion`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en las sesiones.	Sesión de Bedrock	`AWS::Bedrock::Session`
Amazon Bedrock	Actividad de la API de Amazon Bedrock sobre las ejecuciones de flujos.	Ejecución del flujo de Bedrock	`AWS::Bedrock::FlowExecution`
Amazon Bedrock	Actividad de la API de Amazon Bedrock sobre una política de razonamiento automatizado.	Política de razonamiento automatizado de Bedrock	`AWS::Bedrock::AutomatedReasoningPolicy`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en una versión de política de razonamiento automatizado.	Versión de la política de razonamiento automatizado de Bedrock	`AWS::Bedrock::AutomatedReasoningPolicyVersion`
Amazon Bedrock	Actividad de la API del proyecto de automatización de datos de Amazon Bedrock.	Proyecto de automatización de datos de Bedrock	`AWS::Bedrock::DataAutomationProject`
Amazon Bedrock	Actividad de la API de invocación de automatización de datos de Bedrock.	Invocación de Bedrock Data Automation	`AWS::Bedrock::DataAutomationInvocation`
Amazon Bedrock	Actividad de la API del perfil de automatización de datos de Amazon Bedrock.	Perfil de automatización de datos de Bedrock	`AWS::Bedrock::DataAutomationProfile`
Amazon Bedrock	Actividad de la API del blueprint de Amazon Bedrock.	Plano de Bedrock	`AWS::Bedrock::Blueprint`
Amazon Bedrock	Actividad de la API de interpretación de código de Amazon Bedrock.	Bedrock: intérprete de código AgentCore	`AWS::BedrockAgentCore::CodeInterpreter`
Amazon Bedrock	Actividad de la API del navegador Amazon Bedrock.	Bedrock: navegador AgentCore	`AWS::BedrockAgentCore::Browser`
Amazon Bedrock	Actividad de la API de Amazon Bedrock Workload Identity.	Bedrock: AgentCore identidad de la carga de trabajo	`AWS::BedrockAgentCore::WorkloadIdentity`
Amazon Bedrock	Actividad de la API del directorio de identidades de Amazon Bedrock Workload.	Bedrock: directorio de identidades de AgentCore cargas de trabajo	`AWS::BedrockAgentCore::WorkloadIdentityDirectory`
Amazon Bedrock	Actividad de la API de Amazon Bedrock Token Vault.	Bedrock: Token Vault AgentCore	`AWS::BedrockAgentCore::TokenVault`
Amazon Bedrock	Actividad de la APIKey CredentialProvider API de Amazon Bedrock.	Bedrock: AgentCore APIKey CredentialProvider	`AWS::BedrockAgentCore::APIKeyCredentialProvider`
Amazon Bedrock	Actividad de la API Amazon Bedrock Runtime.	Bedrock: tiempo de ejecución AgentCore	`AWS::BedrockAgentCore::Runtime`
Amazon Bedrock	Actividad de la API Runtime-Endpoint de Amazon Bedrock.	Bedrock: Runtime-Endpoint AgentCore	`AWS::BedrockAgentCore::RuntimeEndpoint`
Amazon Bedrock	Actividad de la API de Amazon Bedrock Gateway.	Bedrock: Gateway AgentCore	`AWS::BedrockAgentCore::Gateway`
Amazon Bedrock	Actividad de la API de memoria de Amazon Bedrock.	Bedrock: memoria AgentCore	`AWS::BedrockAgentCore::Memory`
Amazon Bedrock	Actividad de la API Oauth2 CredentialProvider de Amazon Bedrock.	Bedrock: Oauth2 AgentCore CredentialProvider	`AWS::BedrockAgentCore::OAuth2CredentialProvider`
Amazon Bedrock	Actividad de API personalizada del navegador Amazon Bedrock.	Bedrock - Navegador - Personalizado AgentCore	`AWS::BedrockAgentCore::BrowserCustom`
Amazon Bedrock	Actividad de la Code-Interpreter-Custom API de Amazon Bedrock.	Bedrock: intérprete de código, personalizado AgentCore	`AWS::BedrockAgentCore::CodeInterpreterCustom`
Amazon Bedrock	Actividad de la API de Amazon Bedrock Tool.	Herramienta Bedrock	`AWS::Bedrock::Tool`
AWS Cloud Map	AWS Cloud Map Actividad de la API en un espacio de nombres.	AWS Cloud Map namespace	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	AWS Cloud Map Actividad de la API en un servicio.	AWS Cloud Map service	`AWS::ServiceDiscovery::Service`
Amazon CloudFront	CloudFront Actividad de la API en un KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS CloudTrail	CloudTrail `PutAuditEvents`actividad en un canal de CloudTrail Lake que se utiliza para registrar eventos desde el exterior AWS.	CloudTrail canal	`AWS::CloudTrail::Channel`
Amazon CloudWatch	Actividad de CloudWatch la API de Amazon en las métricas.	CloudWatch métrica	`AWS::CloudWatch::Metric`
Monitor de flujo CloudWatch de red de Amazon	Actividad de la API de Amazon CloudWatch Network Flow Monitor en los monitores.	Monitor de flujo de red	`AWS::NetworkFlowMonitor::Monitor`
Monitor de flujo CloudWatch de red de Amazon	Actividad de la API de Amazon CloudWatch Network Flow Monitor en los ámbitos.	Alcance de Network Flow Monitor	`AWS::NetworkFlowMonitor::Scope`
Amazon CloudWatch RUM	Actividad de la API de Amazon CloudWatch RUM en los monitores de aplicaciones.	Monitor de aplicaciones de RUM	`AWS::RUM::AppMonitor`
Amazon CodeGuru Profiler	CodeGuru Actividad de la API Profiler en los grupos de creación de perfiles.	CodeGuru Grupo de creación de perfiles de Profiler	`AWS::CodeGuruProfiler::ProfilingGroup`
Amazon CodeWhisperer	Actividad CodeWhisperer de la API de Amazon en una personalización.	CodeWhisperer personalización	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	Actividad CodeWhisperer de la API de Amazon en un perfil.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	Actividad de la API de Amazon Cognito en los grupos de identidades de Amazon Cognito.	Grupos de identidades de Cognito	`AWS::Cognito::IdentityPool`
AWS Data Exchange	AWS Data Exchange Actividad de la API en los activos.	Activo de Data Exchange	`AWS::DataExchange::Asset`
Amazon Data Firehose	Actividad de la API de transmisión de entrega de Amazon Data Firehose.	Amazon Data Firehose	`AWS::KinesisFirehose::DeliveryStream`
AWS Deadline Cloud	Actividad de la API de Deadline Cloud en las flotas.	Deadline Cloud flota	`AWS::Deadline::Fleet`
AWS Deadline Cloud	Actividad de la API de Deadline Cloud en los trabajos.	Deadline Cloud trabajo	`AWS::Deadline::Job`
AWS Deadline Cloud	Actividad de la API de Deadline Cloud en las colas.	Deadline Cloud cola	`AWS::Deadline::Queue`
AWS Deadline Cloud	Actividad de la API de Deadline Cloud en los trabajadores.	Deadline Cloud trabajador	`AWS::Deadline::Worker`
Amazon DynamoDB	Actividad de la API en el nivel de elemento de Amazon DynamoDB en las tablas (por ejemplo, las operaciones `PutItem`, `DeleteItem` y `UpdateItem` de la API). nota Para las tablas con flujos habilitados, el campo `resources` del evento de datos contiene `AWS::DynamoDB::Stream` y `AWS::DynamoDB::Table`. Si especifica `AWS::DynamoDB::Table` como `resources.type`, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir eventos de flujos, agregue un filtro en el campo `eventName`.	DynamoDB	`AWS::DynamoDB::Table`
Amazon DynamoDB	Actividad de la API de Amazon DynamoDB en los flujos.	DynamoDB Streams	`AWS::DynamoDB::Stream`
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS) direct APIs, como`PutSnapshotBlock`, `GetSnapshotBlock` y en instantáneas de `ListChangedBlocks` Amazon EBS.	Amazon EBS directo APIs	`AWS::EC2::Snapshot`
Amazon Elastic Compute Cloud	Actividad de la API de punto final de Amazon EC2 Instance Connect.	EC2 instancia, conexión, punto final	`AWS::EC2::InstanceConnectEndpoint`
Amazon Elastic Container Service	Actividad de la API de Amazon Elastic Container Service en una instancia de contenedor.	Instancia de contenedor ECS	`AWS::ECS::ContainerInstance`
Amazon Elastic Kubernetes Service	Actividad de la API de Amazon Elastic Kubernetes Service en los paneles.	Panel de Amazon Elastic Kubernetes Service	`AWS::EKS::Dashboard`
Amazon EMR	Actividad de la API de Amazon EMR en un espacio de trabajo de registros de escritura anticipada.	Espacio de trabajo de registro de escritura anticipada de EMR	`AWS::EMRWAL::Workspace`
AWS Mensajes SMS para el usuario final	AWS Actividad de la API de SMS de mensajería para el usuario final sobre las identidades de origen.	Identidad de origen de SMS Voice	`AWS::SMSVoice::OriginationIdentity`
AWS Mensajes SMS para el usuario final	AWS Actividad de la API de SMS de mensajería para el usuario final en los mensajes.	Mensaje de voz SMS	`AWS::SMSVoice::Message`
AWS Mensajería social para usuarios finales	AWS Actividad de la API social de mensajería para usuarios finales en el número de teléfono IDs.	ID de número de teléfono de mensajes de redes sociales	`AWS::SocialMessaging::PhoneNumberId`
AWS Mensajería social para usuarios finales	AWS Actividad de la API social de mensajería para usuarios finales en Waba IDs.	ID de Waba para mensajería social	`AWS::SocialMessaging::WabaId`
Amazon FinSpace	Actividad de la API de Amazon FinSpace en entornos.	FinSpace	`AWS::FinSpace::Environment`
Amazon GameLift Streams	Amazon GameLift transmite la actividad de la API en las aplicaciones.	GameLift Aplicación Streams	`AWS::GameLiftStreams::Application`
Amazon GameLift Streams	Actividad de la API de GameLift streaming de Amazon Streams en grupos de streaming.	GameLift Transmite un grupo de transmisiones	`AWS::GameLiftStreams::StreamGroup`
AWS Glue	AWS Glue Actividad de la API en tablas creadas por Lake Formation.	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	Actividad GuardDuty de la API de Amazon para un detector.	GuardDuty detector	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging Actividad de la API en los almacenes de datos.	MedicalImaging almacén de datos	`AWS::MedicalImaging::Datastore`
AWS HealthImaging	AWS HealthImaging actividad de la API del conjunto de imágenes.	MedicalImaging conjunto de imágenes	`AWS::MedicalImaging::Imageset`
AWS IoT	AWS IoT Actividad de la API en los certificados.	Certificado IoT	`AWS::IoT::Certificate`
AWS IoT	AWS IoT Actividad de la API en las cosas.	Objeto de IoT	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una versión del componente. nota Greengrass no registra los eventos de acceso denegado.	Versión del componente IoT Greengrass	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una implementación. nota Greengrass no registra los eventos de acceso denegado.	Implementación de IoT Greengrass	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	Actividad de SiteWise la API de IoT en los activos.	SiteWise Activo de IoT	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	Actividad SiteWise de la API de IoT en series temporales.	Series SiteWise temporales de IoT	`AWS::IoTSiteWise::TimeSeries`
AWS IoT SiteWise Asistente	Actividad de la API de Sitewise Assistant en las conversaciones.	Conversación con Sitewise Assist	`AWS::SitewiseAssistant::Conversation`
AWS IoT TwinMaker	Actividad TwinMaker de la API de IoT en una entidad.	TwinMaker Entidad IoT	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	Actividad de TwinMaker la API de IoT en un espacio de trabajo.	TwinMaker Espacio de trabajo de IoT	`AWS::IoTTwinMaker::Workspace`
Clasificación de Amazon Kendra Intelligent	Actividad de la API de Amazon Kendra Intelligent Ranking en los planes de ejecución de nuevas puntuaciones.	Kendra Ranking	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (para Apache Cassandra)	Actividad de la API de Amazon Keyspaces en una tabla.	Tabla de Cassandra	`AWS::Cassandra::Table`
Amazon Keyspaces (para Apache Cassandra)	Actividad de la API de Amazon Keyspaces (para Apache Cassandra) en las transmisiones de Cassandra CDC.	Transmisiones de Cassandra CDC	`AWS::Cassandra::Stream`
Amazon Kinesis Data Streams	Actividad de la API de Kinesis Data Streams en los flujos.	Flujo de Kinesis	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	Actividad de la API de Kinesis Data Streams en los consumidores de flujos.	Consumidor de flujos de Kinesis	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Actividad de la API de Kinesis Video Streams en transmisiones de video, como llamadas a `GetMedia` y `PutMedia`.	Kinesis Video Streams	`AWS::KinesisVideo::Stream`
Amazon Kinesis Video Streams	Actividad de la API del canal de señalización de vídeo de Kinesis Video Streams.	Canal de señalización de vídeo Kinesis	`AWS::KinesisVideo::SignalingChannel`
AWS Lambda	AWS Lambda actividad de ejecución de funciones (la `Invoke` API).	Lambda	`AWS::Lambda::Function`
Mapas de Amazon Location	Actividad de la API de Amazon Location Maps.	Mapas geográficos	`AWS::GeoMaps::Provider`
Amazon Location Places	Actividad de la API Amazon Location Places.	Geo Places	`AWS::GeoPlaces::Provider`
Rutas de Amazon Location	Actividad de la API de Amazon Location Routes.	Rutas geográficas	`AWS::GeoRoutes::Provider`
Amazon Machine Learning	Actividad de la API de machine learning en modelos de ML.	Aprendizaje automático MlModel	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	Actividad de la API de Amazon Managed Blockchain en una red.	Red de Managed Blockchain	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Llamadas JSON-RPC de Amazon Managed Blockchain en nodos de Ethereum, como `eth_getBalance` o `eth_getBlockByNumber`.	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Amazon Managed Blockchain Query	Actividad de la API de consultas de Amazon Managed Blockchain.	Consulta de cadena de bloques gestionada	`AWS::ManagedBlockchainQuery::QueryAPI`
Amazon Managed Workflows para Apache Airflow	Actividad de la API de Amazon MWAA en entornos.	Apache Airflow gestionado	`AWS::MWAA::Environment`
Gráfico de Amazon Neptune	Actividades de la API de datos, por ejemplo, consultas, algoritmos o búsquedas vectoriales, en un gráfico de Neptune.	Gráfico de Neptune	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	Actividad de la API de Amazon One Enterprise en un UKey.	Amazon Uno UKey	`AWS::One::UKey`
Amazon One Enterprise	Actividad de la API de Amazon One Enterprise en los usuarios.	Usuario de Amazon One	`AWS::One::User`
AWS Payment Cryptography	AWS Payment Cryptography Actividad de la API en los alias.	Alias de Payment Cryptography	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	AWS Payment Cryptography Actividad de la API en las claves.	Clave de Payment Cryptography	`AWS::PaymentCryptography::Key`
Amazon Pinpoint	Actividad de la API Amazon Pinpoint en aplicaciones de segmentación móvil.	Aplicación de segmentación móvil	`AWS::Pinpoint::App`
AWS Private CA	AWS Private CA Conector para la actividad de la API de Active Directory.	AWS Private CA Conector para Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA Conector para la actividad de la API SCEP.	AWS Private CA Conector para SCEP	`AWS::PCAConnectorSCEP::Connector`
Amazon Q Apps	Actividad de la API de datos en Amazon Q Apps.	Amazon Q Apps	`AWS::QApps::QApp`
Amazon Q Apps	Actividad de la API de datos en las sesiones de Amazon Q App.	Sesión de la aplicación Amazon Q	`AWS::QApps::QAppSession`
Amazon Q Business	Actividad de la API de Amazon Q Business en una aplicación.	Aplicación de Amazon Q Business	`AWS::QBusiness::Application`
Amazon Q Business	Actividad de la API de Amazon Q Business en un origen de datos.	Origen de datos de Amazon Q Business	`AWS::QBusiness::DataSource`
Amazon Q Business	Actividad de la API de Amazon Q Business en un índice.	Índice de Amazon Q Business	`AWS::QBusiness::Index`
Amazon Q Business	Actividad de la API de Amazon Q Business en una experiencia web.	Experiencia web de Amazon Q Business	`AWS::QBusiness::WebExperience`
Amazon Q Business	Actividad de la API de integración de Amazon Q Business.	Integración de Amazon Q Business	`AWS::QBusiness::Integration`
Amazon Q Developer	Actividad de la API para desarrolladores de Amazon Q en una integración.	Q: Integración para desarrolladores	`AWS::QDeveloper::Integration`
Amazon Q Developer	Actividad de la API para desarrolladores de Amazon Q sobre investigaciones operativas.	AIOps Grupo de investigación	`AWS::AIOps::InvestigationGroup`
Amazon Quick Suite	Actividad de la API de Amazon Quick Suite en un conector de acciones.	AWS QuickSuite Acciones	`AWS::Quicksight::ActionConnector`
Amazon Quick Suite	Actividad de la API Amazon Quick Suite Flow.	AWS::QuickSight::Flow	`AWS::QuickSight::Flow`
Amazon Quick Suite	Actividad de la FlowSession API de Amazon Quick Suite.	AWS::QuickSight::FlowSession	`AWS::QuickSight::FlowSession`
Amazon SageMaker AI	`InvokeEndpointWithResponseStream`Actividad de Amazon SageMaker AI en los puntos finales.	SageMaker Punto final de IA	`AWS::SageMaker::Endpoint`
Amazon SageMaker AI	Actividad de la API Amazon SageMaker AI en las tiendas de artículos destacados.	SageMaker AI feature store	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker AI	Actividad de la API Amazon SageMaker AI en componentes de prueba de experimentos.	SageMaker Componente de prueba de experimentos con métricas de IA	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SageMaker AI;	Actividad de la MLflow API de Amazon SageMaker AI.	SageMaker MLflow	`AWS::SageMaker::MlflowTrackingServer`
AWS Signer	Actividad de la API de firmantes sobre la firma de trabajos.	Trabajo de firma de firmantes	`AWS::Signer::SigningJob`
AWS Signer	Actividad de la API de firmantes en los perfiles de firma.	Perfil de firma del firmante	`AWS::Signer::SigningProfile`
Amazon Simple Email Service	Actividad de la API de Amazon Simple Email Service (Amazon SES) en los conjuntos de configuración.	Conjunto de configuraciones de SES	`AWS::SES::ConfigurationSet`
Amazon Simple Email Service	Actividad de la API de Amazon Simple Email Service (Amazon SES) en las identidades de correo electrónico.	Identidad de SES	`AWS::SES::EmailIdentity`
Amazon Simple Email Service	Actividad de la API de Amazon Simple Email Service (Amazon SES) en las plantillas.	Plantilla SES	`AWS::SES::Template`
Amazon SimpleDB	Actividad de la API Amazon SimpleDB en los dominios.	Dominio SimpleDB	`AWS::SDB::Domain`
AWS Step Functions	Actividad de la API Step Functions en las actividades.	Step Functions	`AWS::StepFunctions::Activity`
AWS Step Functions	Actividad de la API Step Functions en máquinas de estado.	Máquina de estado de Step Functions	`AWS::StepFunctions::StateMachine`
AWS Systems Manager	Actividad de la API de Systems Manager en los canales de control.	Administrador de sistemas	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	Actividad de la API de Systems Manager sobre las evaluaciones de impacto.	Evaluación de impacto de SSM	`AWS::SSM::ExecutionPreview`
AWS Systems Manager	Actividad de la API de Systems Manager en los nodos administrados.	Nodo administrado de Systems Manager	`AWS::SSM::ManagedNode`
Amazon Timestream	Actividad de la API `Query` de Amazon Timestream en las bases de datos.	Base de datos de Timestream	`AWS::Timestream::Database`
Amazon Timestream	Actividad de la API Amazon Timestream en los puntos de enlace regionales.	Punto final regional de Timestream	`AWS::Timestream::RegionalEndpoint`
Amazon Timestream	Actividad de la API `Query` de Amazon Timestream en las tablas.	Tabla de Timestream	`AWS::Timestream::Table`
Amazon Verified Permissions	Actividad de la API de Amazon Verified Permissions en un almacén de políticas.	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces Thin Client	WorkSpaces Actividad de la API de Thin Client en un dispositivo.	Dispositivo de cliente ligero	`AWS::ThinClient::Device`
Amazon WorkSpaces Thin Client	WorkSpaces Actividad de la API de Thin Client en un entorno.	Entorno de cliente ligero	`AWS::ThinClient::Environment`
AWS X-Ray	Actividad de la API de X-Ray en los registros de seguimiento.	Registros de seguimiento de X-Ray	`AWS::XRay::Trace`

El registro de los eventos de datos está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. Para registrar CloudTrail los eventos de datos, debe agregar de forma explícita los recursos o tipos de recursos compatibles para los que desea recopilar la actividad. Para obtener más información, consulte Creación de un registro de seguimiento con la CloudTrail consola y Cree un almacén de datos de CloudTrail eventos para eventos con la consola.

Se aplican cargos adicionales para registrar eventos de datos. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

En el siguiente ejemplo, se muestra un registro único de un evento de datos para la acción Publish de Amazon SNS.


{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

En el siguiente ejemplo, se muestra un registro único de un evento de datos para la acción GetCredentialsForIdentity de Amazon Cognito.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Eventos de actividad de la red

CloudTrail los eventos de actividad de red permiten a los propietarios de puntos finales de VPC grabar las llamadas a la AWS API realizadas con sus puntos de enlace de VPC desde una VPC privada a. Servicio de AWS Los eventos de actividad de la red muestran información sobre las operaciones de recursos realizadas dentro de una VPC.

Puede registrar los eventos de actividad de la red para los siguientes servicios:

AWS AppConfig
AWS App Mesh
Amazon Athena
Intercambio de datos de AWS B2B
AWS Backup gateway
Amazon Bedrock
Administración de facturación y costos
Calculadora de precios de AWS
AWS Cost Explorer
API de control de nube de AWS
AWS CloudHSM
AWS Cloud Map
AWS CloudFormation
AWS CloudTrail
Amazon CloudWatch
CloudWatch Señales de aplicación
AWS CodeDeploy
Amazon Comprehend Medical
AWS Config
Exportaciones de datos de AWS
Amazon Data Firehose
AWS Directory Service
Amazon DynamoDB
Amazon EC2
Amazon Elastic Container Service
Amazon Elastic File System
Elastic Load Balancing
Amazon EventBridge
Amazon EventBridge Scheduler
Amazon Fraud Detector
capa gratuita de AWS
Amazon FSx
AWS Glue
AWS HealthLake
AWS IoT FleetWise
AWS IoT Secure Tunneling
Facturación de AWS
Amazon Keyspaces (para Apache Cassandra)
AWS KMS
AWS Lake Formation
AWS Lambda
AWS License Manager
Amazon Lookout for Equipment
Amazon Lookout for Vision
Amazon Personalize
Amazon Q Business
Amazon Rekognition
Amazon Relational Database Service
Amazon S3

nota
No se admiten los puntos de acceso multirregionales de Amazon S3.
Amazon SageMaker AI
AWS Secrets Manager
Amazon Simple Notification Service
Amazon Simple Queue Service
Amazon Simple Workflow Service
AWS Storage Gateway
Administrador de incidentes de AWS Systems Manager
Amazon Textract
Amazon Transcribe
Amazon Translate
AWS Transform
Amazon Verified Permissions
Amazon WorkMail

El registro de los eventos de actividad de la red está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. Para registrar los eventos de actividad de la CloudTrail red, debe establecer de forma explícita la fuente de eventos para la que desea recopilar la actividad. Para obtener más información, consulte Registro de eventos de actividad de la red.

Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

El siguiente ejemplo muestra un AWS KMS ListKeys evento exitoso que atravesó un punto final de VPC. El campo vpcEndpointId muestra el ID del punto de conexión de VPC. El campo vpcEndpointAccountId muestra el ID de la cuenta del propietario del punto de conexión de VPC. En este ejemplo, la solicitud la realizó el propietario del punto de conexión de VPC.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

El siguiente ejemplo muestra un AWS KMS ListKeys evento fallido con una infracción de la política de puntos finales de la VPC. Debido a que se ha producido una infracción de la política de VPC, se muestran los campos errorCode y errorMessage. El ID de la cuenta en los campos recipientAccountId y vpcEndpointAccountId es el mismo, lo cual indica que el evento se envió al propietario del punto de conexión de VPC. El accountId del elemento userIdentity no es el vpcEndpointAccountId, lo cual indica que el usuario que realiza la solicitud no es el propietario del punto de conexión de VPC.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Eventos de Insights

CloudTrail Los eventos de Insights capturan una actividad inusual en la tasa de llamadas a la API o en la tasa de errores en tu AWS cuenta mediante el análisis CloudTrail de la actividad de administración. Los eventos de Insights proporcionan información relevante, como la API asociada, el código de error, la hora del incidente y las estadísticas, que lo ayuda a conocer la actividad inusual y actuar en consecuencia. A diferencia de otros tipos de eventos que se capturan en un CloudTrail registro o un banco de datos de eventos, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el uso de la API de su cuenta o en el registro de la tasa de errores que difieren significativamente de los patrones de uso típicos de la cuenta. Para obtener más información, consulte Trabajar con CloudTrail Insights.

Entre los ejemplos de actividad que podrían generar los eventos de Insights se incluyen los siguientes:

Por lo general, su cuenta registra no más de 20 llamadas a la API deleteBucket de Amazon S3 por minuto, pero comienza a registrar un promedio de 100 llamadas a la API deleteBucket por minuto. Se registra un evento de Insights al inicio de la actividad inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.
Por lo general, tu cuenta registra 20 llamadas por minuto en la EC2 AuthorizeSecurityGroupIngress API de Amazon, pero tu cuenta empieza a registrar cero llamadas aAuthorizeSecurityGroupIngress. Un evento de Insights se registra al inicio de la actividad inusual y diez minutos más tarde, cuando finaliza la actividad inusual, se registra otro evento de Insights para marcar el final de la actividad inusual.
Normalmente, su cuenta registra menos de uno error AccessDeniedException en un periodo de siete días en la API AWS Identity and Access Management , DeleteInstanceProfile. Su cuenta comienza a registrar un promedio de 12 errores AccessDeniedException por minuto en la llamada a la API DeleteInstanceProfile. Se registra un evento de Insights al inicio de la actividad de tasa de error inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.

Estos ejemplos se ofrecen únicamente con fines ilustrativos. Sus resultados pueden variar según su caso de uso.

Para registrar los eventos de CloudTrail Insights, debes habilitar de forma explícita los eventos de Insights en un almacén de datos de eventos o rutas nuevo o existente. Para obtener más información acerca de la creación de un registro de seguimiento, consulte Creación de un registro de seguimiento con la CloudTrail consola. Para obtener más información acerca de la creación de un almacén de datos de eventos, consulte Creación de un almacén de datos de eventos para los eventos de Insights con la consola.

Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener más información, consulte AWS CloudTrail Precios.

Hay dos eventos registrados para mostrar una actividad inusual en CloudTrail Insights: un evento de inicio y un evento de finalización. En el siguiente ejemplo se muestra un registro único de un evento de Insights que se produjo cuando se llamó un número inusual de veces a la API CompleteLifecycleAction de Auto Scaling de aplicaciones. Para los eventos de Insights, el valor de eventCategory es Insight. Un bloque insightDetails identifica el estado del evento, la fuente, el nombre, el tipo de información y el contexto, incluidas las estadísticas y atribuciones. Para obtener más información sobre el bloque insightDetails, consulte CloudTrail registrar contenido para eventos de Insights para registros de seguimiento.


{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Canales vinculados a servicios

Eventos de administración

Comprensión de CloudTrail los eventos

Eventos de administración

Eventos de datos

Los eventos de datos son compatibles con AWS CloudTrail

nota

nota

nota

Eventos de actividad de la red

nota

Eventos de Insights