Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Supervisión de archivos de CloudTrail registro con Amazon CloudWatch Logs
<a name="monitor-cloudtrail-log-files-with-cloudwatch-logs"></a>

Puedes usar [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para monitorear, almacenar y acceder a tus archivos de registro CloudTrail.

CloudWatch Logs le permite centralizar los registros de todos los sistemas y aplicaciones Servicios de AWS que utilice en un único servicio altamente escalable. A continuación, podrá verlos fácilmente, buscarlos por códigos o patrones de error específicos, filtrarlos en función de campos específicos o archivarlos de forma segura para futuros análisis. CloudWatch Los registros le permiten ver todos sus registros, independientemente de su origen, como un flujo único y coherente de eventos ordenados por tiempo.

Complete los siguientes pasos para configurarlo CloudTrail con CloudWatch Logs para monitorear sus registros de seguimiento y recibir notificaciones cuando se produzca una actividad específica.

1. Configura tu ruta para enviar los eventos de registro a CloudWatch Logs.

1. Defina filtros de métricas de CloudWatch registros para evaluar los eventos de registro y ver si coinciden en términos, frases o valores. Por ejemplo, puede monitorizar eventos `ConsoleLogin`. 

1. Asigne CloudWatch métricas a los filtros de métricas.

1. Cree CloudWatch alarmas que se activen de acuerdo con los umbrales y los períodos de tiempo que especifique. Puede configurar alarmas para enviar notificaciones cuando se activen las alarmas para que pueda emprender acciones.

1. También puede configurarlo CloudWatch para que ejecute automáticamente una acción en respuesta a una alarma. 

Se aplica el precio estándar para Amazon CloudWatch y Amazon CloudWatch Logs. Para obtener más información, consulta los [ CloudWatch precios de Amazon](https://aws.amazon.com/cloudwatch/pricing/).

Para obtener más información sobre las regiones en las que puedes configurar tus rutas para enviar CloudWatch registros a Logs, consulta [Regiones y cuotas de Amazon CloudWatch Logs](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html) en la *Referencia AWS general*.

**Topics**
+ [Envío de eventos a CloudWatch registros](send-cloudtrail-events-to-cloudwatch-logs.md)
+ [Creación de CloudWatch alarmas para CloudTrail eventos: ejemplos](cloudwatch-alarms-for-cloudtrail.md)
+ [Dejar CloudTrail de enviar eventos a los CloudWatch registros](stop-cloudtrail-from-sending-events-to-cloudwatch-logs.md)
+ [CloudWatch denominación de grupos de registros y flujos de registros para CloudTrail](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md)
+ [Documento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión](cloudtrail-required-policy-for-cloudwatch-logs.md)

# Envío de eventos a CloudWatch registros
<a name="send-cloudtrail-events-to-cloudwatch-logs"></a>

Cuando configuras tu ruta para enviar eventos a CloudWatch Logs, solo CloudTrail envía los eventos que coinciden con la configuración de tu ruta. Por ejemplo, si configuras tu ruta para registrar solo los eventos de datos, la ruta envía los eventos de datos solo a tu grupo de CloudWatch registros. CloudTrail admite el envío de datos, información y eventos de administración a CloudWatch Logs. Para obtener más información, consulte [Trabajar con archivos de CloudTrail registro](cloudtrail-working-with-log-files.md).

**nota**  
Solo la cuenta de administración puede configurar un grupo de CloudWatch registros para un registro de la organización mediante la consola. El administrador delegado puede configurar un grupo de CloudWatch registros mediante las operaciones de la `UpdateTrail` API AWS CLI CloudTrail `CreateTrail` o o.

Para enviar eventos a un grupo CloudWatch de registros:
+ Asegúrese de tener permisos suficientes para crear o especificar un rol de IAM. Para obtener más información, consulte [Concesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la CloudTrail consola](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
+ Si va a configurar el grupo de CloudWatch registros mediante el AWS CLI, asegúrese de tener los permisos suficientes para crear un flujo de registro de CloudWatch registros en el grupo de registros que especifique y para enviar CloudTrail los eventos a ese flujo de registro. Para obtener más información, consulte [Creación de un documento de políticas](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document).
+ Cree un nuevo registro de seguimiento o especifique uno existente. Para obtener más información, consulte [Creación y actualización de un registro de seguimiento con la consola](cloudtrail-create-and-update-a-trail-by-using-the-console.md).
+ Cree un grupo de registros o especifique uno existente.
+ Especifique un rol de IAM. Si modifica un rol de IAM existente para un registro de seguimiento de organización, debe actualizar manualmente la política para permitir el registro del registro de seguimiento de organización. Para obtener más información, consulte [este ejemplo de política](#policy-cwl-org) y [Creación de un registro de seguimiento para una organización](creating-trail-organization.md).
+ Asocie una política de rol o utilice la opción predeterminada.

**Contents**
+ [Configurar la supervisión de CloudWatch registros con la consola](#send-cloudtrail-events-to-cloudwatch-logs-console)
  + [Creación de un grupo de registros o especificación de un grupo de registros existente](#send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group)
  + [Especificación de un rol de IAM](#send-cloudtrail-events-to-cloudwatch-logs-console-create-role)
  + [Visualización de eventos en la CloudWatch consola](#viewing-events-in-cloudwatch)
+ [Configuración de la supervisión de CloudWatch registros con AWS CLI](#send-cloudtrail-events-to-cloudwatch-logs-cli)
  + [Creación de un grupo de registros](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group)
  + [Creación de un rol](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-role)
  + [Creación de un documento de políticas](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document)
  + [Actualización del registro de seguimiento](#send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail)
+ [Limitación](#send-cloudtrail-events-to-cloudwatch-logs-limitations)

## Configurar la supervisión de CloudWatch registros con la consola
<a name="send-cloudtrail-events-to-cloudwatch-logs-console"></a>

Puede utilizarla Consola de administración de AWS para configurar su seguimiento y enviar los eventos a CloudWatch Logs para su supervisión.

### Creación de un grupo de registros o especificación de un grupo de registros existente
<a name="send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group"></a>

CloudTrail utiliza un grupo de CloudWatch registros como punto final de entrega para registrar eventos. Puede crear un grupo de registros o especificar uno existente.

**Para crear o especificar un grupo de registro para un registro de seguimiento existente**

1. Asegúrese de iniciar sesión con un usuario o rol administrativo con permisos suficientes para configurar la integración de CloudWatch Logs. Para obtener más información, consulte [Concesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la CloudTrail consola](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
**nota**  
Solo la cuenta de administración puede configurar un grupo de CloudWatch registros para un registro de la organización mediante la consola. El administrador delegado puede configurar un grupo de CloudWatch registros mediante las operaciones de la `UpdateTrail` API AWS CLI CloudTrail `CreateTrail` o o.

1. Abra la CloudTrail consola en. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)

1. Elija el nombre del registro de seguimiento. Si selecciona un registro de seguimiento de varias regiones, se le redirigirá a la región en la que se creó. Puede crear un grupo de registro o elegir un grupo de registro existente en la misma región que el registro de seguimiento.
**nota**  
Un registro multirregional envía los archivos de registro de todas las regiones habilitadas del usuario Cuenta de AWS al grupo de CloudWatch registros que especifique.

1. En **CloudWatch Registros**, selecciona **Editar**.

1. En **CloudWatch Registros**, selecciona **Activado**.

1. En **Nombre del grupo de registro**, seleccione **Nuevo** para crear un nuevo grupo de registro o **Existente** para usar uno existente. Si elige **Nuevo**, CloudTrail especifica un nombre para el nuevo grupo de registros o puede escribir un nombre. Para obtener más información sobre la nomenclatura, consulte [CloudWatch denominación de grupos de registros y flujos de registros para CloudTrail](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md).

1. Si elige **Existing (Existente)**, elija un grupo de registros en la lista desplegable.

1. En **Nombre del rol**, elija **Nuevo** para crear un nuevo rol de IAM con los permisos necesarios para enviar CloudWatch registros a Logs. Elija **Existing (Existente)** para elegir un rol de IAM en la lista desplegable. La instrucción de la política para el rol nuevo o existente se muestra al expandir **Policy document (Documento de política)**. Para obtener más información acerca de este rol, consulte [Documento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión](cloudtrail-required-policy-for-cloudwatch-logs.md).
**nota**  
Cuando configura un registro de seguimiento, puede elegir un bucket de S3 y un tema de SNS que pertenezcan a otra cuenta. Sin embargo, si desea CloudTrail enviar eventos a un grupo de CloudWatch registros, debe elegir un grupo de registros que exista en su cuenta actual.

1. Seleccione **Save changes (Guardar cambios)**.

### Especificación de un rol de IAM
<a name="send-cloudtrail-events-to-cloudwatch-logs-console-create-role"></a>

Puede especificar el rol que debe asumir CloudTrail para entregar los eventos al flujo de registro.

**Para especificar un rol**

1. De forma predeterminada, `CloudTrail_CloudWatchLogs_Role` se especifica automáticamente. La política de roles predeterminada tiene los permisos necesarios para crear un flujo de registro de CloudWatch registros en un grupo de registros que especifique y para entregar CloudTrail eventos a ese flujo de registro. 
**nota**  
Si desea utilizar este rol para un grupo de registro para un registro de seguimiento de organización, debe modificar manualmente la política después de crear el rol. Para obtener más información, consulte [este ejemplo de política](#policy-cwl-org) y [Creación de un registro de seguimiento para una organización](creating-trail-organization.md).

   1. Para comprobar el rol, vaya a la AWS Identity and Access Management consola en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Elija **Roles** y, a continuación, elija el **CloudTrail\$1 CloudWatchLogs \$1Role**.

   1. En la pestaña **Permisos**, expanda la política para ver su contenido.

1. Puede especificar otro rol, pero debe adjuntar la política de roles requerida al rol existente si quiere usarla para enviar eventos a los CloudWatch registros. Para obtener más información, consulte [Documento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión](cloudtrail-required-policy-for-cloudwatch-logs.md).



### Visualización de eventos en la CloudWatch consola
<a name="viewing-events-in-cloudwatch"></a>

Después de configurar la ruta para enviar los eventos a su grupo de CloudWatch registros, podrá verlos en la CloudWatch consola. CloudTrail Por lo general, envía los eventos a tu grupo de registros en una media de unos 5 minutos tras una llamada a la API. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el [Acuerdo de nivel de servicio de AWS CloudTrail](https://aws.amazon.com/cloudtrail/sla).

**Para ver los eventos en la CloudWatch consola**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación de la izquierda, en **Registros**, seleccione **Grupos de registros**.

1. Elija el grupo de registros especificado para el registro de seguimiento.

1. Seleccione el flujo de registro que desea ver.

1. Para ver los detalles del evento que ha registrado el registro de seguimiento, elija un evento.

**nota**  
La columna **Hora (UTC)** de la CloudWatch consola muestra cuándo se envió el evento a su grupo de registros. Para ver la hora real a la que se registró el evento CloudTrail, consulta el `eventTime` campo.

## Configuración de la supervisión de CloudWatch registros con AWS CLI
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli"></a>

Puede utilizar el AWS CLI para configurar CloudTrail el envío de eventos a CloudWatch Logs para su supervisión.

### Creación de un grupo de registros
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group"></a>

1. Si no tiene un grupo de registros existente, cree un grupo de CloudWatch registros como punto final de entrega para los eventos de registro mediante el `create-log-group` comando CloudWatch Logs.

   ```
   aws logs create-log-group --log-group-name name
   ```

   El ejemplo siguiente crea un grupo de registros denominado `CloudTrail/logs`:

   ```
   aws logs create-log-group --log-group-name CloudTrail/logs
   ```

1. Recupere el nombre de recurso de Amazon (ARN) del grupo de registros.

   ```
   aws logs describe-log-groups
   ```

### Creación de un rol
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-create-role"></a>

Cree un rol CloudTrail que le permita enviar eventos al grupo de CloudWatch registros. El comando `create-role` de IAM utiliza dos parámetros: un nombre de rol y una ruta de archivo a un documento de políticas de roles en formato JSON. El documento de política que utilice le otorga `AssumeRole` permisos a CloudTrail. El comando `create-role` crea el rol con los permisos necesarios. 

Para crear el archivo JSON que contendrá el documento de política, abra un editor de texto y guarde el siguiente contenido de política en un archivo denominado `assume_role_policy_document.json`. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Ejecute el siguiente comando para crear el rol con `AssumeRole` permisos CloudTrail. 

```
aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json
```

Cuando el comando se complete, tome nota del ARN del rol en la salida.

### Creación de un documento de políticas
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document"></a>

Cree el siguiente documento de política de roles para CloudTrail. Este documento otorga CloudTrail los permisos necesarios para crear un flujo de registro de CloudWatch registros en el grupo de registros que especifique y para enviar CloudTrail eventos a ese flujo de registro.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream2014110",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
            ]
        }
    ]
}
```

------

Guarde el documento de políticas en un archivo denominado `role-policy-document.json`.<a name="policy-cwl-org"></a>

Si está creando una política que podría utilizarse también para registros de seguimiento de organización, tendrá que configurarla de forma ligeramente distinta. Por ejemplo, la siguiente política otorga CloudTrail los permisos necesarios para crear un flujo de registro de CloudWatch registros en el grupo de registros que especifique y enviar CloudTrail eventos a ese flujo de registro tanto para las rutas de la AWS cuenta 1111 como para las rutas de la organización creadas en la cuenta 1111 que se aplican a la AWS Organizations organización con el identificador de: *o-exampleorgid*

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
            ]
        }
    ]
}
```

------

Para obtener más información acerca de los registros de seguimiento de organización, consulte [Creación de un registro de seguimiento para una organización](creating-trail-organization.md).

Ejecute el siguiente comando para aplicar la política al rol.

```
aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json
```

### Actualización del registro de seguimiento
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail"></a>

Actualice el registro con la información del grupo de registros y la función mediante el CloudTrail `update-trail` comando.

```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn
```

Para obtener más información sobre los AWS CLI comandos, consulte la [Referencia de la línea de AWS CloudTrail comandos](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/). 

## Limitación
<a name="send-cloudtrail-events-to-cloudwatch-logs-limitations"></a>

CloudWatch Los registros y EventBridge cada uno de ellos [permiten un tamaño máximo de evento de 256 KB](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html). Si bien la mayoría de los eventos de servicio tienen un tamaño máximo de 256 KB, algunos servicios aún tienen eventos que son más grandes. CloudTrail no envía estos eventos a CloudWatch Logs o EventBridge.

A partir de la versión 1.05 del CloudTrail evento, los eventos tienen un tamaño máximo de 256 KB. El objetivo es evitar que actores malintencionados exploten los eventos y permitir que otros AWS servicios, como CloudWatch Logs y EventBridge.

# Creación de CloudWatch alarmas para CloudTrail eventos: ejemplos
<a name="cloudwatch-alarms-for-cloudtrail"></a>

En este tema se describe cómo configurar las alarmas de CloudTrail los eventos e incluye ejemplos.

**Topics**
+ [Requisitos previos](#cloudwatch-alarms-prerequisites)
+ [Creación de un filtro de métricas y de una alarma](#cloudwatch-alarms-metric-filter-alarm)
+ [Ejemplo de cambios de configuración del grupo de seguridad](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [Ejemplo de errores Consola de administración de AWS de inicio de sesión](#cloudwatch-alarms-for-cloudtrail-signin)
+ [Ejemplo: cambios en política de IAM](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [Configurar las notificaciones para las alarmas CloudWatch de Logs](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)

## Requisitos previos
<a name="cloudwatch-alarms-prerequisites"></a>

Para poder utilizar los ejemplos en este tema, debe:
+ Creación de un registro de seguimiento con la consola o CLI.
+ Creación de un grupo de registros como parte de la creación de un registro de seguimiento. Para obtener más información acerca de la creación de un registro de seguimiento, consulte [Crear un sendero con la CloudTrail consola](cloudtrail-create-a-trail-using-the-console-first-time.md).
+ Especifique o cree una función de IAM que conceda CloudTrail los permisos para crear un flujo de registro de CloudWatch registros en el grupo de registros que especifique y para enviar CloudTrail los eventos a ese flujo de registro. El valor predeterminado `CloudTrail_CloudWatchLogs_Role` se encarga de ello por usted.

Para obtener más información, consulte [Envío de eventos a CloudWatch registros](send-cloudtrail-events-to-cloudwatch-logs.md). Los ejemplos de esta sección se realizan en la consola de Amazon CloudWatch Logs. Para obtener más información sobre cómo crear filtros y alarmas de métricas, consulte [Creación de métricas a partir de eventos de registro mediante filtros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) y [Uso de CloudWatch alarmas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del CloudWatch usuario de Amazon*.

## Creación de un filtro de métricas y de una alarma
<a name="cloudwatch-alarms-metric-filter-alarm"></a>

Para crear una alarma, primero debe crear un filtro de métricas y, a continuación, configurar una alarma en función del filtro. Los procedimientos se muestran para todos los ejemplos. Para obtener más información sobre la sintaxis de los filtros de métricas y los patrones de los eventos de CloudTrail registro, consulte las secciones relacionadas con JSON de la [sintaxis de filtros y patrones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) en la Guía del *usuario de Amazon CloudWatch Logs*.

## Ejemplo de cambios de configuración del grupo de seguridad
<a name="cloudwatch-alarms-for-cloudtrail-security-group"></a>

Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se produzcan cambios de configuración en los grupos de seguridad.

### Creación del filtro de métricas
<a name="cloudwatch-alarms-for-cloudtrail-security-group-metric-filter"></a>

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, en **Registros**, seleccione **Grupos de registros**.

1. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

1. En el menú **Filtros de métrica** o **Acciones**, seleccione **Crear filtro de métrica**.

1. En la página **Define pattern (Definir patrón)**, vaya a **Create filter pattern (Crear patrón de filtro)** e ingrese lo siguiente para **Filter pattern (Patrón de filtro)**.

   ```
   { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
   ```

1. En **Test pattern (Probar patrón)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Asignar métrica**, vaya a **Nombre de filtro** e introduzca **SecurityGroupEvents**.

1. En **Detalles de métrica**, active **Crear nueva** y, a continuación, introduzca **CloudTrailMetrics** en **Espacio de nombres de métrica**.

1. En **Nombre de métrica**, escriba **SecurityGroupEventCount**.

1. En **Valor de la métrica**, escriba **1**.

1. Deje **Default value (Valor predeterminado)** en blanco.

1. Elija **Siguiente**.

1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Seleccione **Create metric filter (Crear filtro de métricas)** para crear el filtro, o elija **Edit (Editar)** para volver y cambiar los valores.

### Crear una alarma
<a name="cloudwatch-alarms-for-cloudtrail-security-group-create-alarm"></a>

Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.

1. En la página **Metric filters (Filtros de métricas)**, busque el filtro de métrica que creó en [Creación del filtro de métricas](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter). Complete la casilla de verificación del filtro de métricas. En la barra **Metric filters (Filtros de métricas)**, elija **Create alarm (Crear alarma)**.

1. En **Especificar métrica y condiciones**, introduzca lo siguiente.

   1. Para **Graph (Gráfico)**, la línea se establece en **1** en función de otras configuraciones que realice al crear la alarma.

   1. Para **Metric name (Nombre de métrica)**, conserve el nombre de métrica actual, **SecurityGroupEventCount**.

   1. Para **Statistic (Estadística)**, conserve el valor predeterminado, **Sum**.

   1. Para **Period (Periodo)**, conserve el valor predeterminado, **5 minutes**.

   1. En la sección **Conditions (Condiciones)**, vaya a **Threshold type (Tipo de umbral)** y escriba **Static (Estático)**.

   1. En **Whenever *metric\$1name* is**, selecciona **Greater/Equal**.

   1. Para el valor de umbral, introduzca **1**.

   1. En **Additional configuration (Configuración adicional)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Configurar acciones**, elija **Notificación** y, a continuación, **en alarma**, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 1 cambio en 5 minutos y se **SecurityGroupEventCount**encuentra en estado de alarma.

   1. En **Enviar una notificación al siguiente tema de SNS**, seleccione **Crear un tema nuevo**.

   1. Introduzca **SecurityGroupChanges\$1CloudWatch\$1Alarms\$1Topic** como el nombre del nuevo tema de Amazon SNS.

   1. En **Puntos de conexión de correo electrónico que recibirán la notificación**, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

   1. Elija **Create new topic**.

1. En este ejemplo, omita los otros tipos de acción. Elija **Siguiente**.

1. En la página **Add name and description (Agregar nombre y descripción)**, ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese **Security group configuration changes** para el nombre y **Raises alarms if security group configuration changes occur** para la descripción. Elija **Siguiente**.

1. En la página **Preview and create (Ver de manera preliminar y crear)**, revise las opciones seleccionadas. Seleccione **Edit (Editar)** para realizar cambios, o elija **Create alarm (Crear alarma)** para crear la alarma.

   Tras crear la alarma, CloudWatch abre la página **Alarmas**. La columna **Actions (Acciones)** de la alarma muestra **Pending confirmation (Confirmación pendiente)** hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

## Ejemplo de errores Consola de administración de AWS de inicio de sesión
<a name="cloudwatch-alarms-for-cloudtrail-signin"></a>

Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se produzcan tres o más errores de Consola de administración de AWS inicio de sesión durante un período de cinco minutos.

### Creación del filtro de métricas
<a name="cloudwatch-alarms-for-cloudtrail-signin-metric-filter"></a>

1. Abre la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. En el panel de navegación, en **Registros**, seleccione **Grupos de registros**.

1. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

1. En el menú **Filtros de métrica** o **Acciones**, seleccione **Crear filtro de métrica**.

1. En la página **Define pattern (Definir patrón)**, vaya a **Create filter pattern (Crear patrón de filtro)** e ingrese lo siguiente para **Filter pattern (Patrón de filtro)**.

   ```
   { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
   ```

1. En **Test pattern (Probar patrón)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Asignar métrica**, vaya a **Nombre de filtro** e introduzca **ConsoleSignInFailures**.

1. En **Detalles de métrica**, active **Crear nueva** y, a continuación, introduzca **CloudTrailMetrics** en **Espacio de nombres de métrica**.

1. En **Nombre de métrica**, escriba **ConsoleSigninFailureCount**.

1. En **Valor de la métrica**, escriba **1**.

1. Deje **Default value (Valor predeterminado)** en blanco.

1. Elija **Siguiente**.

1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Seleccione **Create metric filter (Crear filtro de métricas)** para crear el filtro, o elija **Edit (Editar)** para volver y cambiar los valores.

### Crear una alarma
<a name="cloudwatch-alarms-for-cloudtrail-signin-create-alarm"></a>

Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.

1. En la página **Metric filters (Filtros de métricas)**, busque el filtro de métrica que creó en [Creación del filtro de métricas](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter). Complete la casilla de verificación del filtro de métricas. En la barra **Metric filters (Filtros de métricas)**, elija **Create alarm (Crear alarma)**.

1. En la página **Create Alarm (Crear alarma)**, vaya a **Specify metric and conditions (Especificar métrica y condiciones)** e ingrese lo siguiente.

   1. Para **Graph (Gráfico)**, la línea se establece en **3** en función de otras configuraciones que realice al crear la alarma.

   1. Para **Metric name (Nombre de métrica)**, conserve el nombre de métrica actual, **ConsoleSigninFailureCount**.

   1. Para **Statistic (Estadística)**, conserve el valor predeterminado, **Sum**.

   1. Para **Period (Periodo)**, conserve el valor predeterminado, **5 minutes**.

   1. En la sección **Conditions (Condiciones)**, vaya a **Threshold type (Tipo de umbral)** y escriba **Static (Estático)**.

   1. En **Whenever *metric\$1name* is**, selecciona **Greater/Equal**.

   1. Para el valor de umbral, introduzca **3**.

   1. En **Additional configuration (Configuración adicional)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Configurar acciones**, en **Notificación**, selecciona **En alarma**, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 3 cambios en 5 minutos y se **ConsoleSigninFailureCount**encuentra en estado de alarma.

   1. En **Enviar una notificación al siguiente tema de SNS**, seleccione **Crear un tema nuevo**.

   1. Introduzca **ConsoleSignInFailures\$1CloudWatch\$1Alarms\$1Topic** como el nombre del nuevo tema de Amazon SNS.

   1. En **Puntos de conexión de correo electrónico que recibirán la notificación**, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

   1. Elija **Create new topic**.

1. En este ejemplo, omita los otros tipos de acción. Elija **Siguiente**.

1. En la página **Add name and description (Agregar nombre y descripción)**, ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese **Console sign-in failures** para el nombre y **Raises alarms if more than 3 console sign-in failures occur in 5 minutes** para la descripción. Elija **Siguiente**.

1. En la página **Preview and create (Ver de manera preliminar y crear)**, revise las opciones seleccionadas. Seleccione **Edit (Editar)** para realizar cambios, o elija **Create alarm (Crear alarma)** para crear la alarma.

   Tras crear la alarma, CloudWatch abre la página **Alarmas**. La columna **Actions (Acciones)** de la alarma muestra **Pending confirmation (Confirmación pendiente)** hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

## Ejemplo: cambios en política de IAM
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes"></a>

Siga este procedimiento para crear una CloudWatch alarma de Amazon que se active cuando se realice una llamada a la API para cambiar una política de IAM.

### Creación del filtro de métricas
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter"></a>

1. Abre la CloudWatch consola en. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. En el panel de navegación, elija **Logs (Registros)**.

1. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para el registro de seguimiento.

1. Elija **Actions (Acciones)** y, a continuación, seleccione **Create metric filter (Crear filtro de métrica)**.

1. En la página **Define pattern (Definir patrón)**, vaya a **Create filter pattern (Crear patrón de filtro)** e ingrese lo siguiente para **Filter pattern (Patrón de filtro)**.

   ```
   {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
   ```

1. En **Test pattern (Probar patrón)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Asignar métrica**, vaya a **Nombre de filtro** e introduzca **IAMPolicyChanges**.

1. En **Detalles de métrica**, active **Crear nueva** y, a continuación, introduzca **CloudTrailMetrics** en **Espacio de nombres de métrica**.

1. En **Nombre de métrica**, escriba **IAMPolicyEventCount**.

1. En **Valor de la métrica**, escriba **1**.

1. Deje **Default value (Valor predeterminado)** en blanco.

1. Elija **Siguiente**.

1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Seleccione **Create metric filter (Crear filtro de métricas)** para crear el filtro, o elija **Edit (Editar)** para volver y cambiar los valores.

### Crear una alarma
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-create-alarm"></a>

Tras crear el filtro de métricas, se abre la página de detalles del grupo de CloudWatch registros de su CloudTrail grupo de registros de seguimiento. Siga este procedimiento para crear una alarma.

1. En la página **Metric filters (Filtros de métricas)**, busque el filtro de métrica que creó en [Creación del filtro de métricas](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter). Complete la casilla de verificación del filtro de métricas. En la barra **Metric filters (Filtros de métricas)**, elija **Create alarm (Crear alarma)**.

1. En la página **Create Alarm (Crear alarma)**, vaya a **Specify metric and conditions (Especificar métrica y condiciones)** e ingrese lo siguiente.

   1. Para **Graph (Gráfico)**, la línea se establece en **1** en función de otras configuraciones que realice al crear la alarma.

   1. Para **Metric name (Nombre de métrica)**, conserve el nombre de métrica actual, **IAMPolicyEventCount**.

   1. Para **Statistic (Estadística)**, conserve el valor predeterminado, **Sum**.

   1. Para **Period (Periodo)**, conserve el valor predeterminado, **5 minutes**.

   1. En la sección **Conditions (Condiciones)**, vaya a **Threshold type (Tipo de umbral)** y escriba **Static (Estático)**.

   1. En **Whenever *metric\$1name* is**, selecciona **Greater/Equal**.

   1. Para el valor de umbral, introduzca **1**.

   1. En **Additional configuration (Configuración adicional)**, deje los valores predeterminados. Elija **Siguiente**.

1. En la página **Configurar acciones**, en **Notificación**, selecciona **En alarma**, lo que indica que la acción se lleva a cabo cuando se supera el umbral de 1 cambio en 5 minutos y se **IAMPolicyEventCount**encuentra en estado de alarma.

   1. En **Enviar una notificación al siguiente tema de SNS**, seleccione **Crear un tema nuevo**.

   1. Introduzca **IAM\$1Policy\$1Changes\$1CloudWatch\$1Alarms\$1Topic** como el nombre del nuevo tema de Amazon SNS.

   1. En **Puntos de conexión de correo electrónico que recibirán la notificación**, introduzca las direcciones de correo electrónico de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Todos los destinatarios de correo electrónico recibirán un correo electrónico en el que se les solicita que confirmen que desean suscribirse al tema de Amazon SNS.

   1. Elija **Create new topic**.

1. En este ejemplo, omita los otros tipos de acción. Elija **Siguiente**.

1. En la página **Add name and description (Agregar nombre y descripción)**, ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese **IAM Policy Changes** para el nombre y **Raises alarms if IAM policy changes occur** para la descripción. Elija **Siguiente**.

1. En la página **Preview and create (Ver de manera preliminar y crear)**, revise las opciones seleccionadas. Seleccione **Edit (Editar)** para realizar cambios, o elija **Create alarm (Crear alarma)** para crear la alarma.

   Tras crear la alarma, CloudWatch abre la página **Alarmas**. La columna **Actions (Acciones)** de la alarma muestra **Pending confirmation (Confirmación pendiente)** hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

## Configurar las notificaciones para las alarmas CloudWatch de Logs
<a name="cloudtrail-configure-notifications-for-cloudwatch-logs-alarms"></a>

Puede configurar CloudWatch los registros para que envíen una notificación cada vez que se active una alarma CloudTrail. Esto le permite responder rápidamente a los eventos operativos críticos capturados en los CloudTrail eventos y detectados por CloudWatch los registros. CloudWatch utiliza Amazon Simple Notification Service (SNS) para enviar correos electrónicos. Para obtener más información, consulte [Configuración de las notificaciones de Amazon SNS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS) en la Guía del *CloudWatch usuario*.

# Dejar CloudTrail de enviar eventos a los CloudWatch registros
<a name="stop-cloudtrail-from-sending-events-to-cloudwatch-logs"></a>

Puedes dejar de enviar AWS CloudTrail eventos a Amazon CloudWatch Logs actualizando una ruta para deshabilitar la configuración de CloudWatch Logs.

## Deje de enviar eventos a CloudWatch Logs (consola)
<a name="stop-cloudtrail-from-sending-events-to-cloudwatch-logs-console"></a>



**Para dejar de enviar CloudTrail eventos a CloudWatch Logs**

1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. En el panel de navegación, seleccione **Trails**.

1. Elige el nombre de la ruta para la que quieres deshabilitar la integración de CloudWatch los registros.

1. En **CloudWatch Registros**, selecciona **Editar**.

1. Elimine la selección del recuadro **Enabled (Habilitado)**.

1. Seleccione **Save changes (Guardar cambios)**.

## Dejar de enviar eventos a CloudWatch los registros (CLI)
<a name="stop-cloudtrail-from-sending-events-to-cloudwatch-logs-cli"></a>

Puede eliminar el grupo de CloudWatch registros de registros como punto final de entrega ejecutando el [**update-trail**](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md)comando. El siguiente comando borra el grupo de registros y el rol de la configuración de seguimiento sustituyendo los valores del ARN del grupo de registros CloudWatch y el ARN del rol de registro por valores vacíos.

```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn="" --cloud-watch-logs-role-arn=""
```

# CloudWatch denominación de grupos de registros y flujos de registros para CloudTrail
<a name="cloudwatch-log-group-log-stream-naming-for-cloudtrail"></a>

Amazon CloudWatch mostrará el grupo de registros que creaste para CloudTrail los eventos junto con cualquier otro grupo de registros que tengas en una región. Le recomendamos que utilice un nombre de grupo de registros que le permita distinguirlo de otros grupos de registros. Por ejemplo, **CloudTrail/logs**.

Cuando asigne un nombre al grupo de registros, siga estas directrices:
+ Los nombres de los grupos de registro deben ser únicos en una región para una Cuenta de AWS.
+ Los nombres de grupo de registro puede tener de 1 a 512 caracteres de longitud.
+ Los nombres del grupo de registros pueden tener los siguientes caracteres: a-z, A-Z, 0-9, '\$1' (guion bajo), '-' (guion), '/' (barra inclinada), '.' (punto) y '\$1' (numeral).

Cuando CloudTrail crea el flujo de registro para el grupo de registros, asigna un nombre al flujo de registro según el siguiente formato: *account\$1ID* \$1 CloudTrail \$1*trail\$1region*.

**nota**  
Si el volumen de CloudTrail registros es grande, se pueden crear varios flujos de registros para entregar los datos de registro al grupo de registros. Si hay varios flujos de registro, CloudTrail asigne un nombre a cada flujo de registro con el siguiente formato: *account\$1ID* \$1 CloudTrail \$1 *trail\$1region* \$1*number*.

Para obtener más información sobre los grupos de CloudWatch registros, consulte [Trabajar con grupos de registros y flujos](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) de * CloudWatch registros en la Guía del usuario de Amazon Logs* y [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)en la *Referencia de la API de Amazon CloudWatch Logs*.

# Documento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión
<a name="cloudtrail-required-policy-for-cloudwatch-logs"></a>

En esta sección se describe la política de permisos necesaria para que el CloudTrail rol envíe eventos de registro a CloudWatch Logs. Puede adjuntar un documento de política a un rol al configurarlo CloudTrail para enviar eventos, tal y como se describe en[Envío de eventos a CloudWatch registros](send-cloudtrail-events-to-cloudwatch-logs.md). También puede crear un rol con IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) o [Crear un rol de IAM (AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-cli).

El siguiente ejemplo de documento de política contiene los permisos necesarios para crear un CloudWatch flujo de registro en el grupo de registros que especifique y para enviar CloudTrail los eventos a ese flujo de registro en la región EE.UU. Este (Ohio). (Esta es la política predeterminada para el rol de IAM predeterminado `CloudTrail_CloudWatchLogs_Role`).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream2014110",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        }
    ]
}
```

------

Si va a crear una política que también se puede utilizar para los registros de seguimiento de organización, deberá modificarla a partir la política predeterminada creada para el rol. Por ejemplo, la siguiente política otorga CloudTrail los permisos necesarios para crear un flujo de registro de CloudWatch registros en el grupo de *log\$1group\$1name* registros que especifique como valor y para entregar CloudTrail eventos a ese flujo de registro tanto para las rutas de la AWS cuenta 1111 como para las rutas de la organización creadas en la cuenta 1111 que se aplican a la AWS Organizations organización con el ID de*o-exampleorgid*:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}
```

------

Para obtener más información acerca de los registros de seguimiento de organización, consulte [Creación de un registro de seguimiento para una organización](creating-trail-organization.md).