Eventos de administración Eventos de datos Eventos de actividad de la red Eventos de Insights

Descripción de los eventos de CloudTrail

Un evento en CloudTrail es el registro de una actividad en una cuenta de AWS. Esta actividad puede ser una acción de una identidad de IAM o un servicio que CloudTrail puede supervisar. Los eventos de CloudTrail proporcionan un historial de las actividades de la cuenta, tanto de la API como no de esta, que se realizan a través de la Consola de administración de AWS, los SDK de AWS, las herramientas de línea de comando y otros Servicios de AWS.

Los archivos de registro de CloudTrail no rastrean el orden en la pila de las llamadas a la API públicas, por lo que los eventos no aparecen en un orden específico.

Hay cuatro tipos de eventos de CloudTrail:

Eventos de administración
Eventos de datos
Eventos de actividad de la red
Eventos de Insights

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos registran los eventos de administración, pero no los eventos de datos, de actividad de la red o de Insights.

Todos los tipos de eventos utilizan un formato de registro JSON de CloudTrail. El registro contiene información acerca de las solicitudes de recursos de su cuenta como, por ejemplo, quién hizo la solicitud, los servicios utilizados, las acciones realizadas y los parámetros de la acción. Los datos de los eventos se encierran dentro de una matriz Records.

Para obtener más información acerca de los campos de registros de eventos de CloudTrail para los eventos de administración, de datos y de actividad de la red, consulte CloudTrail registra el contenido de los eventos de administración, de datos y de actividad de la red.

Para obtener más información acerca de los campos de registros de eventos de CloudTrail para los eventos de Insights a fin del registro de seguimiento, consulte CloudTrail registra el contenido de los eventos de Insights para registros de seguimiento.

Para obtener más información acerca de los campos de registros de eventos de CloudTrail para los eventos de Insights a fin de los eventos de datos de eventos, consulte CloudTrail registra el contenido de los eventos de Insights para los almacenes de datos de eventos.

Eventos de administración

Los eventos de administración proporcionan información sobre las operaciones de administración que se realizan en los recursos de su cuenta de AWS. Se denominan también operaciones del plano de control.

Algunos ejemplos de eventos de administración son los siguientes:

Configuración de la seguridad (por ejemplo, operaciones de la API AWS Identity and Access Management de AttachRolePolicy).
Registro de dispositivos (por ejemplo, operaciones de la API CreateDefaultVpc de Amazon EC2).
Configuración de reglas para el enrutamiento de datos (por ejemplo, operaciones de la API CreateSubnet de Amazon EC2).
Configuración del registro (por ejemplo, operaciones de la API AWS CloudTrail de CreateTrail).

Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en su cuenta, CloudTrail registra el evento ConsoleLogin. Para obtener más información, consulte Eventos no generados por la API capturados por CloudTrail.

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos de CloudTrail Lake registran los eventos de administración. Para obtener más información sobre el registro de eventos de administración, consulte Registro de eventos de administración.

En el siguiente ejemplo, se muestra un registro único de un evento de administración. En este caso, un usuario de IAM llamado Mary_Major ejecutó el comando aws cloudtrail start-logging para llamar a la acción StartLogging de CloudTrail a fin de iniciar el proceso de registro en un registro de seguimiento denominado myTrail.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

En el siguiente ejemplo, un usuario de IAM llamado Paulo_Santos ejecutó el comando aws cloudtrail start-event-data-store-ingestion para llamar a la acción StartEventDataStoreIngestion a fin de iniciar la ingesta en un almacén de datos de eventos.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Eventos de datos

Los eventos de datos proporcionan información sobre las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen.

Algunos ejemplos de eventos de datos son los siguientes:

Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones GetObject, DeleteObject y PutObject de la API) en objetos de los buckets de S3.
Actividad de ejecución de funciones de AWS Lambda (la API Invoke).
La actividad de PutAuditEvents de CloudTrail en un canal de CloudTrail Lake que se utiliza para registrar eventos externos a AWS.
Operaciones de la API Publish y PublishBatch de Amazon SNS sobre temas.

En la siguiente tabla, se muestran los tipos de recursos disponibles para los registros de seguimiento y los almacenes de datos de eventos. En la columna Tipo de recurso (consola), se muestra la selección adecuada en la consola. En la columna resources.type value, se muestra el valor de resources.type que debe especificar para incluir eventos de datos de ese tipo en el registro de seguimiento o el almacén de datos de eventos por medio de la AWS CLI o las API de CloudTrail.

En el caso de los registros de seguimiento, puede utilizar selectores de eventos básicos o avanzados para registrar eventos de datos de objetos de Amazon S3 en buckets, funciones de Lambda y tablas de DynamoDB de uso general (se muestran en las tres primeras filas de la tabla). Solo puede usar selectores de eventos avanzados para registrar los tipos de recursos que se muestran en las filas restantes.

En el caso de los almacenes de datos de eventos, puede utilizar selectores de eventos avanzados para que se incluyan eventos de datos únicamente.

Eventos de datos compatibles con AWS CloudTrail

Servicio de AWS	Descripción	Tipo de recurso (consola)	resources.type value
Amazon RDS	Actividad de la API de Amazon RDS en un clúster de base de datos.	API de datos de RDS: clúster de base de datos	`AWS::RDS::DBCluster`
Amazon S3	Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones `GetObject`, `DeleteObject` y `PutObject` de la API) en objetos de los buckets de uso general.	S3	`AWS::S3::Object`
Amazon S3	Actividad de la API de Amazon S3 en los puntos de acceso.	Punto de acceso de S	`AWS::S3::AccessPoint`
Amazon S3	Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones `GetObject`, `DeleteObject` y `PutObject` de la API) en objetos de los buckets de directorio.	S3 Express	`AWS::S3Express::Object`
Amazon S3	Actividad de la API en los puntos de acceso de Amazon S3 Object Lambda, como las llamadas a `CompleteMultipartUpload` y `GetObject`.	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3	Actividad de la API de Amazon FSx en volúmenes.	Volumen de FSx	`AWS::FSx::Volume`
Tablas de Amazon S3	Actividad de la API de Amazon S3 en las tablas.	Tabla de S3	`AWS::S3Tables::Table`
Tablas de Amazon S3	Actividad de la API de Amazon S3 en los buckets de las tablas.	Bucket de tablas de S3	`AWS::S3Tables::TableBucket`
Amazon S3 Vectors	Actividad de la API de Amazon S3 en los buckets de vectores.	Bucket de vector S3	`AWS::S3Vectors::VectorBucket`
Amazon S3 Vectors	Actividad de la API de Amazon S3 en índices de vectores.	Índice de vector S3	`AWS::S3Vectors::Index`
Amazon S3 en Outposts	Actividad de la API en cuanto a objetos de Amazon S3 en Outposts.	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SNS	Operaciones de la API `Publish` de Amazon SNS en los puntos de conexión de la plataforma.	Punto de conexión de la plataforma de SNS	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Operaciones de la API `Publish` y `PublishBatch` de Amazon SNS sobre temas.	Tema de SNS	`AWS::SNS::Topic`
Amazon SQS	Actividad de la API de Amazon SQS en los mensajes.	SQS	`AWS::SQS::Queue`
AWS Supply Chain	Actividad de la API de AWS Supply Chain en una instancia.	Supply Chain	`AWS::SCN::Instance`
Amazon SWF	Actividad de la API de Amazon SWF en los dominios.	Dominio de SWF	`AWS::SWF::Domain`
AWS AppConfig	Actividad de la API de AWS AppConfig para operaciones de configuración, como las llamadas a `StartConfigurationSession` y `GetLatestConfiguration`.	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS AppSync	Actividad de la API de AWS AppSync en las API GraphQL de AppSync.	AppSync GraphQL	`AWS::AppSync::GraphQLApi`
Amazon Aurora DSQL	Actividad de la API de Amazon Aurora DSQL en los recursos del clúster.	Amazon Aurora DSQL	`AWS::DSQL::Cluster`
Intercambio de datos B2B de AWS	Actividad de la API de intercambio de datos entre empresas para operaciones de Transformer, como las llamadas a `GetTransformerJob` y `StartTransformerJob`.	Intercambio de datos entre empresas	`AWS::B2BI::Transformer`
AWS Backup	Actividad de la API de datos de búsqueda de AWS Backup en trabajos de búsqueda.	API de datos de búsqueda de AWS Backup	`AWS::Backup::SearchJob`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en un alias de agente.	Alias de agente de Bedrock	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en invocaciones asíncronas.	Invocación asíncrona de Bedrock	`AWS::Bedrock::AsyncInvoke`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en un alias de flujo.	Alias de flujo de Bedrock	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en barreras de protección.	Barrera de protección de Bedrock	`AWS::Bedrock::Guardrail`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en un agente insertado	Agente insertado e invocado en Bedrock	`AWS::Bedrock::InlineAgent`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en una base de conocimientos.	Base de conocimientos de Bedrock	`AWS::Bedrock::KnowledgeBase`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en modelos.	Modelo de Bedrock	`AWS::Bedrock::Model`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en peticiones.	Petición de Bedrock	`AWS::Bedrock::PromptVersion`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en sesiones.	Sesión de Bedrock	`AWS::Bedrock::Session`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en ejecuciones de flujo.	Ejecución de flujo de Bedrock	`AWS::Bedrock::FlowExecution`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en una política de razonamiento automatizado.	Política de razonamiento automatizado de Bedrock	`AWS::Bedrock::AutomatedReasoningPolicy`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en una versión de la política de razonamiento automatizado.	Versión de la política de razonamiento automatizado de Bedrock	`AWS::Bedrock::AutomatedReasoningPolicyVersion`
Amazon Bedrock	Actividad de la API del proyecto de automatización de datos de Amazon Bedrock.	Proyectos de automatización de datos de Bedrock	`AWS::Bedrock::DataAutomationProject`
Amazon Bedrock	Actividad de la API de invocación de automatización de datos de Bedrock.	Invocación de automatización de datos de Bedrock	`AWS::Bedrock::DataAutomationInvocation`
Amazon Bedrock	Actividad de la API del perfil de automatización de datos de Amazon Bedrock.	Perfil de automatización de datos de Bedrock	`AWS::Bedrock::DataAutomationProfile`
Amazon Bedrock	Actividad de la API del esquema de Amazon Bedrock.	Esquema de Bedrock	`AWS::Bedrock::Blueprint`
Amazon Bedrock	Actividad de la API de intérprete de código de Amazon Bedrock.	Intérprete de código AgentCore de Bedrock	`AWS::BedrockAgentCore::CodeInterpreter`
Amazon Bedrock	Actividad de la API del navegador Amazon Bedrock.	Navegador AgentCore de Bedrock	`AWS::BedrockAgentCore::Browser`
Amazon Bedrock	Actividad de la API de identidad de carga de trabajo de Amazon Bedrock.	Identidad de carga de trabajo de AgentCore de Bedrock	`AWS::BedrockAgentCore::WorkloadIdentity`
Amazon Bedrock	Actividad de la API del directorio de identidad de carga de trabajo de Amazon Bedrock.	Directorio de identidad de carga de trabajo de AgentCore de Bedrock	`AWS::BedrockAgentCore::WorkloadIdentityDirectory`
Amazon Bedrock	Actividad de la API de bóveda de token de Amazon Bedrock .	Bóveda de token de AgentCore de Bedrock	`AWS::BedrockAgentCore::TokenVault`
Amazon Bedrock	Actividad de la API de CredentialProvider de APIKey de Amazon Bedrock.	CredentialProvider de APIKey de AgentCore de Bedrock	`AWS::BedrockAgentCore::APIKeyCredentialProvider`
Amazon Bedrock	Actividad de la API de tiempo de ejecución de Amazon Bedrock.	Tiempo de ejecución de AgentCore de Bedrock	`AWS::BedrockAgentCore::Runtime`
Amazon Bedrock	Actividad de la API del tiempo de ejecución del punto de conexión de Amazon Bedrock.	Tiempo de ejecución de AgentCore del punto de conexión de Bedrock	`AWS::BedrockAgentCore::RuntimeEndpoint`
Amazon Bedrock	Actividad de la API de la puerta de enlace de Amazon Bedrock.	Puerta de enlace AgentCore de Bedrock	`AWS::BedrockAgentCore::Gateway`
Amazon Bedrock	Actividad de la API de memoria de Amazon Bedrock.	Memoria de AgentCore de Bedrock	`AWS::BedrockAgentCore::Memory`
Amazon Bedrock	Actividad de la API de CredentialProvider de Oauth2 de Amazon Bedrock.	CredentialProvider de Oauth2 de AgentCore de Bedrock	`AWS::BedrockAgentCore::OAuth2CredentialProvider`
Amazon Bedrock	Actividad de API personalizada del navegador Amazon Bedrock.	Navegador AgentCore personalizado de Bedrock	`AWS::BedrockAgentCore::BrowserCustom`
Amazon Bedrock	Actividad de la API de intérprete de código personalizado de Amazon Bedrock.	Intérprete de código AgentCore personalizado de Bedrock	`AWS::BedrockAgentCore::CodeInterpreterCustom`
Amazon Bedrock	Actividad de la API de la herramienta de Amazon Bedrock.	Herramienta de Bedrock	`AWS::Bedrock::Tool`
AWS Cloud Map	Actividad AWS Cloud Map de la API en un espacio de nombres.	AWS Cloud Map Espacio de nombres de	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	Actividad AWS Cloud Map de la API en un servicio.	AWS Cloud Map Servicio de	`AWS::ServiceDiscovery::Service`
Amazon CloudFront	Actividad de la API de CloudFront en un KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS CloudTrail	La actividad de `PutAuditEvents` de CloudTrail en un canal de CloudTrail Lake que se utiliza para registrar eventos externos a AWS.	Canal de CloudTrail	`AWS::CloudTrail::Channel`
Amazon CloudWatch	Actividad de la API de Amazon CloudWatch en las métricas.	Métrica de CloudWatch	`AWS::CloudWatch::Metric`
Monitor de flujo de red de Amazon CloudWatch	Actividad de la API del monitor de flujo de red de Amazon CloudWatch en los monitores.	Monitor de flujo de red	`AWS::NetworkFlowMonitor::Monitor`
Monitor de flujo de red de Amazon CloudWatch	Actividad de la API del monitor de flujo de red de Amazon CloudWatch en el alcance.	Agente del monitor de flujo de red del alcance	`AWS::NetworkFlowMonitor::Scope`
Amazon CloudWatch RUM	Actividad de la API de Amazon CloudWatch RUM en los monitores de aplicaciones.	Monitor de aplicaciones de RUM	`AWS::RUM::AppMonitor`
Generador de perfiles de Amazon CodeGuru	Actividad de la API de perfiles de CodeGuru en grupos de creación de perfiles.	Grupo de perfiles de CodeGuru	`AWS::CodeGuruProfiler::ProfilingGroup`
Amazon CodeWhisperer	Actividad de la API de Amazon CodeWhisperer en una personalización.	Personalización de CodeWhisperer	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	Actividad de la API de Amazon CodeWhisperer en un perfil.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	Actividad de la API de Amazon Cognito en los grupos de identidades de Amazon Cognito.	Grupos de identidades de Cognito	`AWS::Cognito::IdentityPool`
AWS Data Exchange	Actividad de la API de AWS Data Exchange en los activos.	Activo de Data Exchange	`AWS::DataExchange::Asset`
Amazon Data Firehose	Actividad de la API del flujo de entrega de Amazon Data Firehose	Amazon Data Firehose	`AWS::KinesisFirehose::DeliveryStream`
AWS Deadline Cloud	Deadline Cloud Actividad de la API de en las flotas.	Deadline Cloud Flota de	`AWS::Deadline::Fleet`
AWS Deadline Cloud	Deadline Cloud Actividad de la API de en los trabajos.	Deadline Cloud Trabajo de	`AWS::Deadline::Job`
AWS Deadline Cloud	Deadline Cloud Actividad de la API de en las colas.	Deadline Cloud Cola de	`AWS::Deadline::Queue`
AWS Deadline Cloud	Deadline Cloud Actividad de la API de en los trabajadores.	Deadline Cloud Trabajador de	`AWS::Deadline::Worker`
Amazon DynamoDB	Actividad de la API en el nivel de elemento de Amazon DynamoDB en las tablas (por ejemplo, las operaciones `PutItem`, `DeleteItem` y `UpdateItem` de la API). nota Para las tablas con flujos habilitados, el campo `resources` del evento de datos contiene `AWS::DynamoDB::Stream` y `AWS::DynamoDB::Table`. Si especifica `AWS::DynamoDB::Table` como `resources.type`, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir eventos de flujos, agregue un filtro en el campo `eventName`.	DynamoDB	`AWS::DynamoDB::Table`
Amazon DynamoDB	Actividad de la API de Amazon DynamoDB en los flujos.	DynamoDB Streams	`AWS::DynamoDB::Stream`
Amazon Elastic Block Store	API directas de Amazon Elastic Block Store (EBS), como `PutSnapshotBlock`, `GetSnapshotBlock` y `ListChangedBlocks` en instantáneas de Amazon EBS.	API directas de Amazon EBS	`AWS::EC2::Snapshot`
Amazon Elastic Compute Cloud	Actividad de la API del punto de conexión de Amazon EC2 Instance Connect	Punto de conexión a EC2 Instance Connect	`AWS::EC2::InstanceConnectEndpoint`
Amazon Elastic Container Service	Actividad de la API de Amazon Elastic Container Service en una instancia de contenedor.	Instancia de contenedor de ECS	`AWS::ECS::ContainerInstance`
Amazon Elastic Kubernetes Service	Actividad de la API de Amazon Elastic Kubernetes Service en los paneles.	Paneles de Amazon Elastic Kubernetes Service	`AWS::EKS::Dashboard`
Amazon EMR	Actividad de la API de Amazon EMR en un espacio de trabajo de registros de escritura anticipada.	Espacio de trabajo de registro de escritura anticipada de EMR	`AWS::EMRWAL::Workspace`
Mensajes SMS para usuarios finales de AWS	Actividad de la API de Mensajes SMS para usuarios finales de AWS en las identidades de origen.	Identidad de origen de SMS Voice	`AWS::SMSVoice::OriginationIdentity`
Mensajes SMS para usuarios finales de AWS	Actividad de la API de mensajes SMS para usuarios finales de AWS en los mensajes.	Mensaje de voz de SMS	`AWS::SMSVoice::Message`
Mensajes de redes sociales para usuarios finales de AWS	Actividad de la API de Mensajes de redes sociales para usuarios finales de AWS en los ID de números de teléfono.	ID de número de teléfono de mensajes de redes sociales	`AWS::SocialMessaging::PhoneNumberId`
Mensajes de redes sociales para usuarios finales de AWS	Actividad de la API de Mensajes de redes sociales de AWS para usuarios finales de en los ID de Waba.	ID de Waba ID de mensajes de redes sociales	`AWS::SocialMessaging::WabaId`
Amazon FinSpace	Amazon FinSpace Actividad de la API de en entornos.	FinSpace	`AWS::FinSpace::Environment`
Amazon GameLift Streams	Actividad de la API de transmisión de Amazon GameLift Streams en las aplicaciones.	Aplicación de GameLift Streams	`AWS::GameLiftStreams::Application`
Amazon GameLift Streams	Actividad de la API de transmisión de Amazon GameLift Streams en los grupos de transmisión.	Grupo de transmisiones de GameLift Streams	`AWS::GameLiftStreams::StreamGroup`
AWS Glue	Actividad de la API de AWS Glue en tablas creadas por Lake Formation.	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	Actividad de la API de Amazon GuardDuty para un detector.	Detector de GuardDuty	`AWS::GuardDuty::Detector`
AWS HealthImaging	Actividad de la API de AWS HealthImaging en los almacenes de datos.	Almacén de datos de MedicalImaging	`AWS::MedicalImaging::Datastore`
AWS HealthImaging	Actividad de la API del conjunto de imágenes de AWS HealthImaging.	Conjunto de imágenes de MedicalImaging	`AWS::MedicalImaging::Imageset`
AWS IoT	Actividad de la API de AWS IoT en los certificados.	Certificado IoT	`AWS::IoT::Certificate`
AWS IoT	Actividad de la API de AWS IoT en los objetos.	Objeto de IoT	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una versión del componente. nota Greengrass no registra los eventos de acceso denegado.	Versión del componente IoT Greengrass	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una implementación. nota Greengrass no registra los eventos de acceso denegado.	Implementación de IoT Greengrass	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	Actividad de la API de IoT SiteWise en los activos.	Activo de IoT SiteWise	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	Actividad de la API de IoT SiteWise en las series temporales.	Series temporales de IoT SiteWise	`AWS::IoTSiteWise::TimeSeries`
AWS IoT SiteWiseAsistente de	Actividad de la API de Sitewise Assistant en las conversaciones.	Conversación con Sitewise Assist	`AWS::SitewiseAssistant::Conversation`
AWS IoT TwinMaker	Actividad de la API de IoT TwinMaker en una entidad.	Entidad de IoT TwinMaker	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	Actividad de la API de IoT TwinMaker en un espacio de trabajo.	Espacio de trabajo de IoT TwinMaker	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra Intelligent Ranking	Actividad de la API de Amazon Kendra Intelligent Ranking en los planes de ejecución de nuevas puntuaciones.	Kendra Ranking	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (for Apache Cassandra)	Actividad de la API de Amazon Keyspaces en una tabla.	Tabla de Cassandra	`AWS::Cassandra::Table`
Amazon Keyspaces (for Apache Cassandra)	Actividad de la API de Amazon Keyspaces (para Apache Cassandra) en transmisiones de Cassandra CDC.	Transmisiones de Cassandra CDC	`AWS::Cassandra::Stream`
Amazon Kinesis Data Streams	Actividad de la API de Kinesis Data Streams en los flujos.	Flujo de Kinesis	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	Actividad de la API de Kinesis Data Streams en los consumidores de flujos.	Consumidor de flujos de Kinesis	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Actividad de la API de Kinesis Video Streams en transmisiones de video, como llamadas a `GetMedia` y `PutMedia`.	Kinesis Video Streams	`AWS::KinesisVideo::Stream`
Amazon Kinesis Video Streams	Actividad de la API del canal de señalización de video de Kinesis Video Streams.	Canal de señalización de video de Kinesis	`AWS::KinesisVideo::SignalingChannel`
AWS Lambda	Actividad de ejecución de funciones de AWS Lambda (la API `Invoke`).	Lambda	`AWS::Lambda::Function`
Mapas de Amazon Location	Actividad de la API de mapas de Amazon Location	Mapas geográficos	`AWS::GeoMaps::Provider`
Amazon Location Places	Actividad de la API de Amazon Location Places.	Lugares geográficos	`AWS::GeoPlaces::Provider`
Rutas de Amazon Location	Actividad de la API de rutas de Amazon Location	Rutas geográficas	`AWS::GeoRoutes::Provider`
Amazon Machine Learning	Actividad de la API de machine learning en modelos de ML.	MLModel de maching learning	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	Actividad de la API de Amazon Managed Blockchain en una red.	Red de Managed Blockchain	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Llamadas JSON-RPC de Amazon Managed Blockchain en nodos de Ethereum, como `eth_getBalance` o `eth_getBlockByNumber`.	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Amazon Managed Blockchain Query	Actividad de la API de Amazon Managed Blockchain Query.	Managed Blockchain Query	`AWS::ManagedBlockchainQuery::QueryAPI`
Amazon Managed Workflows para Apache Airflow	Actividad de la API de Amazon MWAA en entornos.	Managed Apache Airflow	`AWS::MWAA::Environment`
Gráfico de Amazon Neptune	Actividades de la API de datos, por ejemplo, consultas, algoritmos o búsquedas vectoriales, en un gráfico de Neptune.	Gráfico de Neptune	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	Actividad de la API de Amazon One Enterprise en una clave de usuario.	Clave de usuario de Amazon One	`AWS::One::UKey`
Amazon One Enterprise	Actividad de la API de Amazon One Enterprise en los usuarios.	Usuario de Amazon One	`AWS::One::User`
AWS Payment Cryptography	Actividad de la API de AWS Payment Cryptography en los alias.	Alias de Payment Cryptography	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	Actividad de la API de AWS Payment Cryptography en las claves.	Clave de Payment Cryptography	`AWS::PaymentCryptography::Key`
Amazon Pinpoint	Actividad de la API de Amazon Pinpoint en aplicaciones de segmentación móvil.	Aplicación de segmentación móvil	`AWS::Pinpoint::App`
AWS Private CA	Conector AWS Private CA para la actividad de la API de Active Directory.	AWS Private CA Conector para Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	Conector de AWS Private CA para la actividad de la API de SCEP.	AWS Private CA Conector para SCEP	`AWS::PCAConnectorSCEP::Connector`
Amazon Q Apps	Actividad de la API de datos en Amazon Q Apps.	Amazon Q Apps	`AWS::QApps::QApp`
Amazon Q Apps	Actividad de la API de datos en las sesiones de Amazon Q Apps.	Sesión de Amazon Q App	`AWS::QApps::QAppSession`
Amazon Q Business	Actividad de la API de Amazon Q Business en una aplicación.	Aplicación de Amazon Q Business	`AWS::QBusiness::Application`
Amazon Q Business	Actividad de la API de Amazon Q Business en un origen de datos.	Origen de datos de Amazon Q Business	`AWS::QBusiness::DataSource`
Amazon Q Business	Actividad de la API de Amazon Q Business en un índice.	Índice de Amazon Q Business	`AWS::QBusiness::Index`
Amazon Q Business	Actividad de la API de Amazon Q Business en una experiencia web.	Experiencia web de Amazon Q Business	`AWS::QBusiness::WebExperience`
Amazon Q Business	Actividad de la API de integración de Amazon Q Business.	Integración de Amazon Q Business	`AWS::QBusiness::Integration`
Amazon Q Developer	Actividad de la API de Amazon Q Developer en una integración.	Integración para Q Developer	`AWS::QDeveloper::Integration`
Amazon Q Developer	Actividad de la API de Amazon Q Developer en investigaciones operativas.	Grupos de investigación de AIOps	`AWS::AIOps::InvestigationGroup`
Amazon Quick Suite	Actividad de la API de Amazon Quick Suite en un conector de acciones.	Acciones de QuickSuite de AWS	`AWS::Quicksight::ActionConnector`
Amazon Quick Suite	Actividad de la API de flujo de Amazon Quick Suite.	AWS::QuickSight::Flow	`AWS::QuickSight::Flow`
Amazon Quick Suite	Actividad de la API de FlowSession de Amazon Quick Suite.	AWS::QuickSight::FlowSession	`AWS::QuickSight::FlowSession`
Amazon SageMaker AI	Actividad de `InvokeEndpointWithResponseStream` de Amazon SageMaker AI en puntos de conexión.	Punto de conexión de SageMaker AI	`AWS::SageMaker::Endpoint`
Amazon SageMaker AI	Actividad de la API de Amazon SageMaker AI en los almacenes de características.	Almacén de características de SageMaker AI	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker AI	Actividad de la API de Amazon SageMaker AI en los componentes del registro de seguimiento experimental.	Componente de prueba del experimento de métricas de SageMaker AI	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SageMaker AI	Actividad de la API MLFlow de Amazon SageMaker AI.	MLflow de Sagemaker	`AWS::SageMaker::MlflowTrackingServer`
AWS Signer	Actividad de la API de Signer sobre el trabajo de firma.	Trabajo de firma de Signer	`AWS::Signer::SigningJob`
AWS Signer	Actividad de la API de Signer sobre los trabajos de firma.	Perfil de firma del Signer	`AWS::Signer::SigningProfile`
Amazon Simple Email Service	Actividad de la API de Amazon Simple Email Service (Amazon SES) en conjuntos de configuraciones.	Conjunto de configuración de SES	`AWS::SES::ConfigurationSet`
Amazon Simple Email Service	Actividad de la API de Amazon Simple Email Service (Amazon SES) en identidades de correo electrónico.	Identidad de SES	`AWS::SES::EmailIdentity`
Amazon Simple Email Service	Actividad de la API de Amazon Simple Email Service (Amazon SES) en plantillas.	Plantilla de SES	`AWS::SES::Template`
Amazon SimpleDB	Actividad de la API de Amazon SimpleDB en los dominios.	Dominio de SimpleDB	`AWS::SDB::Domain`
AWS Step Functions	Actividad de la API de Step Functions en las actividades.	Step Functions	`AWS::StepFunctions::Activity`
AWS Step Functions	Actividad de la API de Step Functions en una máquina de estado.	Máquina de estado de Step Functions	`AWS::StepFunctions::StateMachine`
AWS Systems Manager	Actividad de la API de Systems Manager en los canales de control.	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	Actividad de la API de Systems Manager sobre las evaluaciones de impacto.	Evaluación de impacto de SSM	`AWS::SSM::ExecutionPreview`
AWS Systems Manager	Actividad de la API de Systems Manager en los nodos administrados.	Nodo administrado de Systems Manager	`AWS::SSM::ManagedNode`
Amazon Timestream	Actividad de la API `Query` de Amazon Timestream en las bases de datos.	Base de datos de Timestream	`AWS::Timestream::Database`
Amazon Timestream	Actividad de la API de Amazon Timestream en los puntos de conexión regionales.	Punto de conexión regional de Timestream	`AWS::Timestream::RegionalEndpoint`
Amazon Timestream	Actividad de la API `Query` de Amazon Timestream en las tablas.	Tabla de Timestream	`AWS::Timestream::Table`
Amazon Verified Permissions	Actividad de la API de Amazon Verified Permissions en un almacén de políticas.	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Cliente ligero de Amazon WorkSpaces	Actividad de la API de cliente ligero de WorkSpaces en un dispositivo.	Dispositivo de cliente ligero	`AWS::ThinClient::Device`
Cliente ligero de Amazon WorkSpaces	Actividad de la API de cliente ligero de WorkSpaces en un entorno.	Entorno de cliente ligero	`AWS::ThinClient::Environment`
AWS X-Ray	Actividad de la API de X-Ray en los registros de seguimiento.	Registros de seguimiento de X-Ray	`AWS::XRay::Trace`

El registro de los eventos de datos está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. Para registrar eventos de datos de CloudTrail, debe agregar explícitamente los recursos o tipos de recursos admitidos cuya actividad desea recopilar. Para obtener más información, consulte Creación de un registro de seguimiento con la consola de CloudTrail y Creación de un almacén de datos de eventos para eventos de CloudTrail con la consola.

Se aplican cargos adicionales para registrar eventos de datos. Para conocer los precios de CloudTrail, consulte Precios de AWS CloudTrail.

En el siguiente ejemplo, se muestra un registro único de un evento de datos para la acción Publish de Amazon SNS.


{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

En el siguiente ejemplo, se muestra un registro único de un evento de datos para la acción GetCredentialsForIdentity de Amazon Cognito.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Eventos de actividad de la red

Los eventos de actividad de la red de CloudTrail permiten a los propietarios de los puntos de conexión de VPC grabar las llamadas a la API de AWS realizadas con sus puntos de conexión de VPC desde una VPC privada al Servicio de AWS. Los eventos de actividad de la red muestran información sobre las operaciones de recursos realizadas dentro de una VPC.

Puede registrar los eventos de actividad de la red para los siguientes servicios:

AWS AppConfig
AWS App Mesh
Amazon Athena
Intercambio de datos de AWS B2B
AWS Backup gateway
Amazon Bedrock
Administración de facturación y costos
Calculadora de precios de AWS
AWS Cost Explorer
API de control de nube de AWS
AWS CloudHSM
AWS Cloud Map
AWS CloudFormation
AWS CloudTrail
Amazon CloudWatch
Señales de aplicación de CloudWatch
AWS CodeDeploy
Amazon Comprehend Medical
AWS Config
Exportaciones de datos de AWS
Amazon Data Firehose
AWS Directory Service
Amazon DynamoDB
Amazon EC2
Amazon Elastic Container Service
Amazon Elastic File System
Elastic Load Balancing
Amazon EventBridge
Programador de Amazon EventBridge
Amazon Fraud Detector
capa gratuita de AWS
Amazon FSx
AWS Glue
AWS HealthLake
AWS IoT FleetWise
AWS IoT Secure Tunneling
Facturación de AWS
Amazon Keyspaces (for Apache Cassandra)
AWS KMS
AWS Lake Formation
AWS Lambda
AWS License Manager
Amazon Lookout for Equipment
Amazon Lookout for Vision
Amazon Personalize
Amazon Q Business
Amazon Rekognition
Amazon Relational Database Service
Amazon S3

nota
Amazon S3 no admite puntos de acceso de varias regiones.
Amazon SageMaker AI
AWS Secrets Manager
Amazon Simple Notification Service
Amazon Simple Queue Service
Amazon Simple Workflow Service
AWS Storage Gateway
Administrador de incidentes de AWS Systems Manager
Amazon Textract
Amazon Transcribe
Amazon Translate
AWS Transform
Amazon Verified Permissions
Amazon WorkMail

El registro de los eventos de actividad de la red está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. A fin de registrar eventos de actividad de la red de CloudTrail, debe establecer explícitamente el origen de los eventos cuya actividad desea recopilar. Para obtener más información, consulte Registro de eventos de actividad de la red.

Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para conocer los precios de CloudTrail, consulte Precios de AWS CloudTrail.

En el siguiente ejemplo, se muestra un evento ListKeys de AWS KMS correcto que ha atravesado un punto de conexión de VPC. El campo vpcEndpointId muestra el ID del punto de conexión de VPC. El campo vpcEndpointAccountId muestra el ID de la cuenta del propietario del punto de conexión de VPC. En este ejemplo, la solicitud la realizó el propietario del punto de conexión de VPC.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2024-06-04T23:10:46Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-06-04T23:12:50Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
    "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

El siguiente ejemplo muestra un evento ListKeys de AWS KMS incorrecto con una infracción de la política de puntos de conexión de VPC. Debido a que se ha producido una infracción de la política de VPC, se muestran los campos errorCode y errorMessage. El ID de la cuenta en los campos recipientAccountId y vpcEndpointAccountId es el mismo, lo cual indica que el evento se envió al propietario del punto de conexión de VPC. El accountId del elemento userIdentity no es el vpcEndpointAccountId, lo cual indica que el usuario que realiza la solicitud no es el propietario del punto de conexión de VPC.


{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "accountId": "777788889999"
    },
    "eventTime": "2024-07-15T23:57:12Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "ListKeys",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "errorCode": "VpceAccessDenied",
    "errorMessage": "The request was denied due to a VPC endpoint policy",
    "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
    "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
    "eventType": "AwsVpceEvent",
    "recipientAccountId": "123456789012",
    "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
    "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
    "vpcEndpointAccountId": "123456789012",
    "eventCategory": "NetworkActivity"
}

Eventos de Insights

Los eventos de CloudTrail Insights capturan una tasa de llamadas inusuales de API o una actividad de tasa de error en su cuenta de AWS mediante el análisis de la actividad de administración de CloudTrail. Los eventos de Insights proporcionan información relevante, como la API asociada, el código de error, la hora del incidente y las estadísticas, que lo ayuda a conocer la actividad inusual y actuar en consecuencia. A diferencia de otros tipos de eventos capturados en un registro de seguimiento o un almacén de datos de eventos de CloudTrail, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el registro de la tasa de error o de uso de la API de su cuenta que difieren considerablemente de los patrones de uso típicos de la cuenta. Para obtener más información, consulte Trabajar con CloudTrail Insights.

Entre los ejemplos de actividad que podrían generar los eventos de Insights se incluyen los siguientes:

Por lo general, su cuenta registra no más de 20 llamadas a la API deleteBucket de Amazon S3 por minuto, pero comienza a registrar un promedio de 100 llamadas a la API deleteBucket por minuto. Se registra un evento de Insights al inicio de la actividad inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.
Por lo general, su cuenta registra 20 llamadas por minuto a la API AuthorizeSecurityGroupIngress de Amazon EC2, pero comienza a registrar cero llamadas a AuthorizeSecurityGroupIngress. Un evento de Insights se registra al inicio de la actividad inusual y diez minutos más tarde, cuando finaliza la actividad inusual, se registra otro evento de Insights para marcar el final de la actividad inusual.
Normalmente, su cuenta registra menos de uno error AccessDeniedException en un periodo de siete días en la API AWS Identity and Access Management, DeleteInstanceProfile. Su cuenta comienza a registrar un promedio de 12 errores AccessDeniedException por minuto en la llamada a la API DeleteInstanceProfile. Se registra un evento de Insights al inicio de la actividad de tasa de error inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.

Estos ejemplos se ofrecen únicamente con fines ilustrativos. Sus resultados pueden variar según su caso de uso.

Para registrar eventos de Insights de CloudTrail, debe habilitar explícitamente los eventos de Insights en un registro de seguimiento o almacén de datos de eventos nuevo o existente. Para obtener más información acerca de la creación de un registro de seguimiento, consulte Creación de un registro de seguimiento con la consola de CloudTrail. Para obtener más información acerca de la creación de un almacén de datos de eventos, consulte Creación de un almacén de datos de eventos para los eventos de Insights con la consola.

Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para más información, consulte Precios de AWS CloudTrail.

Hay dos eventos registrados para mostrar actividad inusual en CloudTrail Insights: un evento inicial y un evento final. En el siguiente ejemplo se muestra un registro único de un evento de Insights que se produjo cuando se llamó un número inusual de veces a la API CompleteLifecycleAction de Auto Scaling de aplicaciones. Para los eventos de Insights, el valor de eventCategory es Insight. Un bloque insightDetails identifica el estado del evento, la fuente, el nombre, el tipo de información y el contexto, incluidas las estadísticas y atribuciones. Para obtener más información sobre el bloque insightDetails, consulte CloudTrail registra el contenido de los eventos de Insights para registros de seguimiento.


{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Canales vinculados a servicios

Eventos de administración

Descripción de los eventos de CloudTrail

Eventos de administración

Eventos de datos

Eventos de datos compatibles con AWS CloudTrail

nota

nota

nota

Eventos de actividad de la red

nota

Eventos de Insights