Historial de eventos de CloudTrail CloudTrail Lake y los almacenes de datos de eventos Paneles de CloudTrail Lake Registros de seguimiento de CloudTrail Eventos de CloudTrail Insights Canales de CloudTrail

Funcionamiento de CloudTrail

Al crear su Cuenta de AWS, tendrá acceso automáticamente al Historial de eventos de CloudTrail. El Historial de eventos proporciona un registro visible e inmutable, que se puede buscar y descargar, de los últimos 90 días de eventos de administración registrados en una Región de AWS.

Para mantener un registro continuo de los eventos en su Cuenta de AWS más allá de los 90 días, cree un registro de seguimiento o un almacén de datos de eventos de CloudTrail Lake.

Temas

Historial de eventos de CloudTrail
CloudTrail Lake y los almacenes de datos de eventos
Paneles de CloudTrail Lake
Registros de seguimiento de CloudTrail
Eventos de CloudTrail Insights
Canales de CloudTrail

Historial de eventos de CloudTrail

Vaya a la página Historial de eventos para ver los eventos de administración de los últimos 90 días de forma sencilla en la consola de CloudTrail. También puede ejecutar el comando aws cloudtrail lookup-events o la operación de la API LookupEvents para ver el historial de eventos. Puede buscar eventos en el historial de eventos filtrando los eventos en un solo atributo. Para obtener más información, consulte Trabajar con el historial de eventos de CloudTrail.

El Historial de eventos no está conectado a ningún registro de seguimiento ni almacén de datos de eventos que exista en su cuenta y no se ve afectado por los cambios de configuración que haga en los registros de seguimiento ni en los almacenes de datos de eventos.

No se cobran cargos de CloudTrail por ver la página Historial de eventos ni por ejecutar el comando lookup-events.

CloudTrail Lake y los almacenes de datos de eventos

Puede crear un almacén de datos de eventos para registrar los eventos de CloudTrail (eventos de administración, de datos y de actividad de la red), los eventos de CloudTrail Insights, las pruebas de AWS Audit Manager, los elementos de configuración de AWS Config o los eventos ajenos a AWS.

Los almacenes de datos de eventos pueden registrar eventos de la Región de AWS actual o de todas las Regiones de AWS de su cuenta de AWS. Los almacenes de datos de eventos que utilice para registrar eventos de Integración externos a AWS deben ser únicamente para una región; no pueden ser almacenes de datos de eventos de varias regiones.

Si ha creado una organización en AWS Organizations, puede crear un almacén de datos de eventos de la organización que registra todos los eventos de todas las cuentas de AWS en dicha organización. Los almacenes de datos de eventos de la organización se pueden aplicar a todas las regiones de AWS o a la región actual. Los almacenes de datos de eventos de la organización deben crearse mediante la cuenta de administración o la cuenta del administrador delegado, y, cuando se especifica que se aplican a una organización, se aplican de forma automática a todas las cuentas de miembro de la organización. Las cuentas de miembro no pueden ver el almacén de datos de eventos de la organización, ni pueden modificarlo o eliminarlo. Los almacenes de datos de eventos de la organización no se pueden utilizar para recopilar eventos de fuera de AWS. Para obtener más información, consulte Descripción de los almacenes de datos de eventos de la organización.

De forma predeterminada, CloudTrail cifra todos los eventos que se encuentran en un almacén de datos de eventos. Cuando configure un almacén de datos de eventos, puede optar por utilizar su propia AWS KMS key. Tenga en cuenta que el uso de su propia clave de KMS implica costos de cifrado y descifrado de AWS KMS. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar. Para obtener más información, consulte Cifrado de archivos de registros, archivos de resumen y los almacenes de datos de eventos de CloudTrail con claves de AWS KMS (SSE-KMS).

En la siguiente tabla se proporciona información sobre las tareas que puede realizar en los almacenes de datos de eventos.

Tarea	Descripción
Ver y crear paneles	Puede usar los paneles de CloudTrail Lake para consultar las tendencias de eventos de los almacenes de datos de eventos de la cuenta. Puede ver los paneles administrados, crear paneles personalizados y habilitar el panel de aspectos destacados para ver los aspectos destacados de los datos de sus eventos que CloudTrail Lake selecciona y administra.
Registro de eventos de administración	Configure su almacén de datos de eventos para que registre eventos de solo lectura, de solo escritura o todos los eventos de administración. De forma predeterminada, los almacenes de datos de eventos registran eventos de administración. Puede filtrar los eventos administrados en los siguientes campos del selector de eventos avanzados: `eventName`, `eventSource`, `eventType`, `readOnly`, `sessionCredentialFromConsole` y `userIdentity.arn`.
Registrar eventos de datos	Puede usar selectores de eventos avanzados para crear selectores detallados que registren solo los eventos que le interesen. Por ejemplo, puede filtrar por el campo `eventName` para incluir o excluir el registro de llamadas a la API específicas, lo que puede ayudar a controlar los costos. Para obtener más información, consulte Filtrado de los eventos de datos mediante selectores de eventos avanzados.
Registro de eventos de actividad de la red	Puede configurar su almacén de datos de eventos para que registre eventos de actividad de la red. Puede utilizar selectores de eventos avanzados para filtrar en función de los campos `eventName`, `errorCode` y `vpcEndpointId` para registrar solo los eventos que le interesen.
Registrar eventos de Insights	Configure sus almacenes de datos de eventos para registrar eventos de Insights y poder identificar y responder a actividades inusuales asociadas a las llamadas a la API de administración. Para obtener más información, consulte Trabajar con CloudTrail Insights. Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para más información, consulte Precios de AWS CloudTrail.
Copiar eventos de registro de seguimiento	Puede copiar los eventos de registro de seguimiento en un almacén de datos de eventos nuevo o existente para crear una instantánea puntual de los eventos registrados en el registro de seguimiento.
Habilitar la federación en un almacén de datos de eventos	Puede federar un almacén de datos de eventos para ver los metadatos asociados al almacén de datos de eventos en el catálogo de datos de AWS Glue y ejecutar consultas SQL sobre los datos de eventos con Amazon Athena. Los metadatos de la tabla almacenados en el Catálogo de datos de AWS Glue permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar.
Detener o iniciar la ingesta de eventos en un almacén de datos de eventos	Puede detener e iniciar la ingesta de eventos en los almacenes de datos de eventos que recopilan eventos de datos y administración de CloudTrail o elementos de configuración de AWS Config.
Creación de una integración con un origen de eventos externo a AWS	Puede utilizar las integraciones de CloudTrail Lake para registrar y almacenar datos de actividad de los usuarios externos a AWS, desde cualquier origen en sus entornos híbridos, como aplicaciones internas o de SaaS alojadas en las instalaciones o en la nube, máquinas virtuales o contenedores. Para obtener información sobre los socios de integración disponibles, consulte Integraciones con AWS CloudTrail Lake.
Visualización de consultas de ejemplo de Lake en la consola de CloudTrail	La consola de CloudTrail brinda una serie de consultas de ejemplo que pueden ayudarlo a empezar a escribir sus propias consultas.
Creación o edición de una consulta	Las consultas en CloudTrail se crean en SQL. Puede crear una consulta en la pestaña Editor de CloudTrail Lake escribiendo la consulta en SQL desde cero o abriendo una consulta guardada o de muestra y editándola.
Guardado de los resultados de las consultas en un bucket de S	Al ejecutar una consulta, puede guardar los resultados de la consulta en un bucket de S3.
Descargar los resultados de consultas guardados	Puede descargar un archivo CSV que contenga los resultados de las consultas de CloudTrail Lake guardados.
Validar los resultados de consultas guardados	Puede usar la validación de integridad de los resultados de las consultas de CloudTrail para determinar si los resultados de la consulta se han modificado, eliminado o continúan igual después de que CloudTrail los envió al bucket al S3.

Para obtener más información acerca de CloudTrail Lake, consulte Trabajar con AWS CloudTrail Lake.

Los almacenes de datos de eventos de CloudTrail Lake y las consultas conllevan cargos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Cuando ejecuta consultas en Lake, paga según la cantidad de datos escaneados. Para obtener información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail y Administración de los costos de CloudTrail Lake.

Paneles de CloudTrail Lake

Puede usar los paneles de CloudTrail Lake para consultar las tendencias de eventos de los almacenes de datos de eventos de la cuenta. CloudTrail Lake ofrece los siguientes tipos de paneles:

Paneles administrados: puede ver un panel administrado para ver las tendencias de eventos de un almacén de datos de eventos que recopila eventos de administración, eventos de datos o eventos de Insights. Estos paneles están disponibles automáticamente y CloudTrail Lake los administra. CloudTrail ofrece 14 paneles administrados entre los que elegir. Puede actualizar manualmente los paneles administrados. No puede modificar, agregar ni eliminar los widgets de estos paneles; sin embargo, puede guardar un panel administrado como un panel personalizado si desea modificar los widgets o establecer un programa de actualización.
Paneles personalizados: estos le permiten consultar eventos en cualquier tipo de almacén de datos de eventos. Puede agregar hasta 10 widgets a un panel personalizado. Puede actualizar manualmente un panel personalizado o puede establecer un programa de actualización.
Paneles destacados: habilite el panel de aspectos destacados para ver información general a golpe de vista de la actividad recopilada de AWS por los almacenes de datos de eventos de la cuenta. CloudTrail administra el panel de aspectos destacados e incluye widgets que son pertinentes para la cuenta. Los widgets que se muestran en el panel de aspectos destacados son únicos para cada cuenta. Estos widgets podrían mostrar la actividad anormal o las anomalías detectadas. Por ejemplo, el panel de aspectos destacados podría incluir el Widget de acceso entre cuentas total, que muestra si hay un aumento en la actividad anormal entre cuentas. CloudTrail actualiza el panel de aspectos destacados cada 6 horas. En el panel se muestran los datos de las últimas 24 horas de la última actualización.

Cada panel consta de uno o más widgets y cada uno representa una consulta SQL.

Para obtener más información, consulte Paneles de CloudTrail Lake.

Registros de seguimiento de CloudTrail

Un registro de seguimiento es una configuración que permite la entrega de eventos a un bucket de Amazon S3 que especifique. También puede enviar y analizar los eventos de un registro de seguimiento con Registros de Amazon CloudWatch y Amazon EventBridge.

Los registros de seguimiento pueden registrar eventos de administración de CloudTrail, eventos de datos, eventos de actividad de la red y eventos de Insights.

Puede crear registros de seguimiento multirregión y de una sola región para su Cuenta de AWS.

registros de seguimiento multirregión: Cuando crea un registro de seguimiento de varias regiones, CloudTrail registra los eventos de todas las Regiones de AWS que están habilitadas en la Cuenta de AWS y envía los archivos de registro de eventos de CloudTrail al bucket de S3 que se especifique. Como práctica recomendada, le recomendamos crear un registro de seguimiento de varias regiones, ya que captura la actividad en todas las regiones habilitadas. Todos los registros de seguimiento que se crearon mediante la consola de CloudTrail son registros de seguimiento de varias regiones. Puede convertir un registro de seguimiento de una sola región en uno de varias regiones mediante la AWS CLI. Para obtener más información, consulte Cómo entender los registros de seguimiento de varias regiones y las regiones optativas, Creación de un registro de seguimiento con la consola y Conversión de un registro de seguimiento de una sola región en un registro de seguimiento de varias regiones.
registros de seguimiento de una sola región: Cuando crea un registro de seguimiento de una sola región, CloudTrail solo registra los eventos de esa región. A continuación, entrega los archivos de registros de eventos de CloudTrail al bucket de Amazon S3 que especifique. Solo puede crear un registro de seguimiento de una sola región mediante la AWS CLI. Si crea registros de seguimiento individuales adicionales, puede disponer que dichos registros de seguimiento envíen los archivos de registro de eventos de CloudTrail al mismo bucket de S3 o a buckets separados. Esta es la opción predeterminada al crear un registro de seguimiento mediante la AWS CLI o la API de CloudTrail. Para obtener más información, consulte Creación, actualización y administración de registros de seguimiento con la AWS CLI.

nota

Puede especificar un bucket de Amazon S3 desde cualquier región para ambos tipos de registro de seguimiento.

Si ha creado una organización en AWS Organizations, puede crear un registro de seguimiento de la organización que registre todos los eventos de todas las cuentas de AWS en dicha organización. Los registros de seguimiento de la organización se pueden aplicar a todas las regiones de AWS o a la región actual. Los registros de seguimiento de organización deben crearse mediante la cuenta de administración o la cuenta del administrador delegado, y, cuando se especifica que se aplican a una organización, se aplican de forma automática a todas las cuentas miembro de la organización. Las cuentas de miembro pueden ver el registro de seguimiento de la organización, pero no pueden modificarlo ni eliminarlo. De forma predeterminada, las cuentas de miembro no tendrán acceso a los archivos de registros del registro de seguimiento de una organización en el bucket de Amazon S3.

De forma predeterminada, cuando crea un registro de seguimiento en la consola de CloudTrail, los archivos de registro de eventos y de resumen se cifran con una clave de KMS. Si decide no habilitar el cifrado SSE-KMS, los archivos de registros de eventos y de resumen se cifran mediante el cifrado del servidor (SSE) de Amazon S3. Puede almacenar sus archivos de registro en su bucket durante el tiempo que quiera. También puede definir reglas de ciclo de vida de Amazon S3 para archivar o eliminar archivos de registros de forma automática. Si desea recibir notificaciones sobre el envío y la validación de archivos de registros, puede configurar las notificaciones de Amazon SNS.

CloudTrail publica archivos de registros varias veces por hora, cada 5 minutos aproximadamente. Estos archivos de registros contienen llamadas a la API de servicios en la cuenta que admite CloudTrail. Para obtener más información, consulte Integraciones y servicios admitidos de CloudTrail.

nota

En general, CloudTrail envía registros en un plazo de 5 minutos tras una llamada a la API. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el Acuerdo de nivel de servicio de AWS CloudTrail.

Si configura mal su registro de seguimiento (por ejemplo, si no se puede acceder al bucket de S3), CloudTrail intentará volver a entregar los archivos de registro a su bucket de S3 durante 30 días, y estos eventos de intento de entrega estarán sujetos a los cargos estándar de CloudTrail. Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.

CloudTrail captura las acciones realizadas directamente por el usuario o en nombre del usuario por un servicio de AWS. Por ejemplo, una llamada a CreateStack de CloudFormation puede resultar en llamadas a la API adicionales a Amazon EC2, Amazon RDS, Amazon EBS u otros servicios, según lo requiera la plantilla de CloudFormation. Este comportamiento es normal y previsible. Puede identificar si la acción la ha realizado un servicio de AWS al consultar el campo invokedby del evento de CloudTrail.

En la siguiente tabla se proporciona información sobre las tareas que puede realizar en los registros de seguimiento.

Tarea	Descripción
Registro de eventos de administración	Configure sus registros de seguimiento para que registren eventos de solo lectura y solo escritura o todos los eventos de administración.
Registrar eventos de datos	Puede usar selectores de eventos avanzados para crear selectores detallados que registren solo los eventos que le interesen. Por ejemplo, puede filtrar por el campo `eventName` para incluir o excluir el registro de llamadas a la API específicas, lo que puede ayudar a controlar los costos. Para obtener más información, consulte Filtrado de los eventos de datos mediante selectores de eventos avanzados.
Registro de eventos de actividad de la red	Configure sus registros de seguimiento para que registren eventos de actividad de la red. Puede configurar los selectores de eventos avanzados para filtrar en función de los campos `eventName`, `errorCode` y `vpcEndpointId` y registrar solo los eventos que le interesen.
Registrar eventos de Insights	Configure sus registros de seguimiento para registrar eventos de Insights y poder identificar y responder a actividades inusuales asociadas a las llamadas a la API de administración . Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para más información, consulte Precios de AWS CloudTrail.
Visualización de eventos de Insights	Después de habilitar CloudTrail Insights en un registro de seguimiento, puede ver hasta 90 días de eventos de Insights mediante la consola de CloudTrail o la AWS CLI.
Descargar eventos de Insights	Después de habilitar CloudTrail Insights en un registro de seguimiento, puede descargar un archivo JSON o CSV que contenga hasta los últimos 90 días de eventos de Insights para su registro de seguimiento.
Copiar eventos de registro de seguimiento en CloudTrail Lake	Puede copiar los eventos de registro de seguimiento existentes en un almacén de datos de eventos de CloudTrail Lake para crear una instantánea puntual de los eventos del registro de seguimiento.
Creación de un tema de Amazon SNS y suscripción	Suscríbase a un tema para recibir notificaciones sobre el envío de archivos de registros a su bucket. Amazon SNS puede notificarlo de diversas maneras, por ejemplo, a través de programación mediante Amazon Simple Queue Service. nota Si desea recibir notificaciones de SNS sobre los envíos de archivos de registros de todas las regiones, especifique solo un tema de SNS para el registro de seguimiento. Si desea procesar todos los eventos mediante programación, consulte Uso de la biblioteca de procesamiento de CloudTrail.
Visualización de los archivos de registro	Busque y descargue los archivos de registro del bucket de S3.
Monitoreo de eventos con Registros de CloudWatch	Puede configurar el registro de seguimiento para enviar eventos a CloudWatch Logs. A continuación, puede utilizar CloudWatch Logs a fin de monitorear su cuenta para eventos y llamadas a la API específicos. nota Si configura un registro de seguimiento de varias regiones para que envíe eventos a un grupo de registro de Registros de CloudWatch, CloudTrail envía eventos de todas las regiones a un solo grupo de registro.
Habilitar el cifrado de SSE-KMS	El cifrado de archivos de registros y de resumen con una clave de KMS ofrece una capa adicional de seguridad para sus datos de CloudTrail.
Habilitar la integridad de los archivos de registro	La validación de la integridad de los archivos de registros lo ayuda a verificar que los archivos de registros no se hayan modificado desde que CloudTrail los envió.
Compartir archivos de registro con otras cuentas de Cuentas de AWS	Puede compartir archivos de registros entre cuentas.
Agrupar archivos de registro de varias cuentas	Puede agrupar archivos de registros de varias cuentas en un solo bucket.
Trabajar con soluciones de los socios	Analice su resultado de CloudTrail con una solución de los socios que se integra con CloudTrail. Las soluciones de los socios ofrecen un amplio conjunto de capacidades, como el seguimiento de cambios, la solución de problemas y el análisis de seguridad.

Puede crear un registro de seguimiento para enviar una copia de los eventos de administración en curso a su bucket de S3 sin costo alguno desde CloudTrail; sin embargo, hay cargos por almacenamiento en Amazon S3. Para obtener más información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail. Para obtener información acerca de los precios de Amazon S3, consulte Precios de Amazon S3.

Eventos de CloudTrail Insights

AWS CloudTrail Insights ayuda a los usuarios de AWS a identificar y responder a la actividad inusual asociada a las tasas de llamada a la API y las tasas de error de la API mediante el análisis continuo de los eventos de administración de CloudTrail. CloudTrail Insights analiza sus patrones normales de volumen de llamadas a la API y tasas de error de API, también conocido como valor de referencia, y genera eventos de Insights cuando el volumen se encuentra fuera de los patrones normales. Los eventos de Insights en las tasas de llamada a la API se generan para las API de administración de write y los eventos de Insights en la tasa de errores de la API se generan tanto para las API de administración read como write.

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos de CloudTrail no registran eventos de Insights. Debe configurar sus registros de seguimiento y almacenes de datos de eventos para que registren los eventos de Insights. Para obtener más información, consulte Registro de eventos de Insights con la consola de CloudTrail y Registro de eventos de Insights con la AWS CLI.

Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para más información, consulte Precios de AWS CloudTrail.

Visualización de eventos de Insights para registros de seguimiento y almacenes de datos de eventos

CloudTrail admite los eventos de Insights tanto para los registros de seguimiento como para los almacenes de datos de eventos; sin embargo, existen algunas diferencias en la forma de ver y acceder a los eventos de Insights.

Visualización de eventos de Insights para registros de seguimiento

Si ha habilitado los eventos de Insights en un registro de seguimiento y CloudTrail detecta actividad inusual, los eventos de Insights se registran en una carpeta o prefijo diferente en el bucket de S3 de destino para su registro de seguimiento. También puede ver el tipo de información y el periodo de tiempo del incidente al consultar los eventos de Insights en la consola de CloudTrail. Para obtener más información, consulte Cómo visualizar eventos de Insights para registros de seguimiento con la consola.

Después de habilitar Insights de CloudTrail por primera vez en un registro de seguimiento, CloudTrail puede tardar hasta 36 horas en empezar a entregar los eventos de Insights después que habilite los eventos de Insights en un registro de seguimiento, siempre que se detecte actividad inusual durante ese tiempo.

Visualización de eventos de Insights para los almacenes de datos de eventos

Para registrar los eventos de Insights en CloudTrail Lake, necesita un almacén de datos de eventos de destino que registre los eventos de Insights y un almacén de datos de eventos de origen que habilite Insights y registre los eventos de administración. Para obtener más información, consulte Creación de un almacén de datos de eventos para los eventos de Insights con la consola.

Después de que habilite CloudTrail Insights por primera vez en el almacén de datos de eventos de origen, CloudTrail puede tardar hasta 7 días en entregar el primer evento de Insights, si se detecta una actividad inusual.

Si ha habilitado CloudTrail Insights en un almacén de datos de eventos de origen y CloudTrail detecta actividad inusual, CloudTrail entrega los eventos de Insights en el almacén de datos de eventos de destino. A continuación, puede consultar el almacén de datos de eventos de destino para obtener información sobre sus eventos de Insights y, de forma opcional, puede guardar los resultados de las consultas en un bucket de S3. Para obtener más información, consulte Creación o edición de una consulta con la consola de CloudTrail y Visualización de consultas de ejemplo con la consola de CloudTrail.

También puede ver el panel de Eventos de Insights para ver los eventos de Insights del almacén de datos de eventos de destino. Para obtener más información acerca de los paneles de Lake, consulte Paneles de CloudTrail Lake.

Canales de CloudTrail

CloudTrail es compatible con dos tipos de canales:

Canales para integraciones de CloudTrail Lake con orígenes de eventos externos a AWS

CloudTrail Lake utiliza canales para incluir elementos ajenos a AWS en CloudTrail Lake de socios externos que trabajan con CloudTrail o de sus propios orígenes. Cuando crea un canal, elige uno o más almacenes de datos de eventos para almacenar los eventos que llegan del origen del canal. Puede cambiar los almacenes de datos de eventos de destino de un canal según sea necesario, siempre que los almacenes de datos de eventos de destino estén configurados para registrar los eventos de actividad de registros. Cuando crea un canal para eventos de un socio externo, proporciona un ARN de canal a la aplicación asociada o de origen. La política de recursos asociada al canal permite que el origen transmita eventos a través del canal. Para obtener más información consulte Creación de una integración con un origen de eventos externo a AWS y CreateChannel en la Referencia de la API de AWS CloudTrail.

Canales vinculados a servicios

Los servicios de AWS pueden crear un canal vinculado a servicios para recibir eventos de CloudTrail en su nombre. El servicio de AWS que crea el canal vinculado a servicios configura selectores de eventos avanzados para el canal y especifica si este se aplica a todas las regiones o solo a la región actual.

Puede usar la consola de CloudTrail o la AWS CLI para ver la información sobre cualquier canal vinculado a servicios de CloudTrail creado por los Servicios de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

¿Qué es AWS CloudTrail?

Conceptos