Creación de un almacén de datos de eventos para eventos de CloudTrail con la consola - AWS CloudTrail
Para crear un almacén de datos de eventos para eventos de CloudTrail

Creación de un almacén de datos de eventos para eventos de CloudTrail con la consola

Los almacenes de datos de eventos para eventos de CloudTrail pueden incluir eventos de administración de CloudTrail, eventos de datos y eventos de actividad de la red. Puede conservar los datos de los eventos en un almacén de datos de eventos durante un máximo de 3653 días (unos 10 años) si elige la opción Precios de retención ampliables por un año, o hasta 2557 días (unos 7 años) si elige la opción Precios de retención por siete años.

Los almacenes de datos de eventos de CloudTrail Lake conllevan gastos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail y Administración de los costos de CloudTrail Lake.

Para crear un almacén de datos de eventos para eventos de CloudTrail

Utilice este procedimiento para crear un almacén de datos de eventos que registre los eventos de administración de CloudTrail, los eventos de datos o los eventos de actividad de la red.

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija Create event data store (Crear almacén de datos de eventos).

  4. En la página Configure event data store (Configurar el almacén de datos de eventos), en General details (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.

  5. Elija la Opción de precios que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte Precios de AWS CloudTrail y Administración de los costos de CloudTrail Lake.

    Están disponibles las siguientes opciones:

    • Precio de retención ampliable por un año: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención extendida está disponible a precio de pago por uso. Esta es la opción predeterminada.

      • Periodo de retención predeterminado: 366 días.

      • Periodo máximo de retención: 3653 días.

    • Precio de retención ampliable por un año: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.

      • Periodo de retención predeterminado: 2557 días.

      • Periodo máximo de retención: 2557 días.

  6. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción Precios de retención ampliables por un año, o entre 7 días y 2557 días (unos siete años) para la opción Precios de retención por siete años.

    CloudTrail Lake determina si se debe retener un evento. Para ello, comprueba si el valor de eventTime del evento se encuentra dentro del periodo de retención especificado. Por ejemplo, si especifica un periodo de retención de 90 días, CloudTrail eliminará los eventos cuando su valor de eventTime sea superior a 90 días.

    nota

    Si está copiando eventos de registros de seguimiento en este almacén de datos de eventos, CloudTrail no copiará un evento si el valor de eventTime es anterior al periodo de retención especificado. Para determinar el periodo de retención adecuado, tome la suma del evento más antiguo que desea copiar en días y el número de días que desea conservar los eventos en el almacén de datos de eventos (periodo de retención = el evento más antiguo en días más el número de días que se debe retener). Por ejemplo, si el evento más antiguo que va a copiar tiene 45 días y desea conservar los eventos en el almacén de datos de eventos durante otros 45 días, debe establecer el periodo de retención en 90 días.

  7. (Opcional) Para habilitar el cifrado con AWS Key Management Service, elija Utilizar clave de AWS KMS key propia. Elija New (Nueva) si desea que se cree una AWS KMS key para usted, o elija Existing (Existente) para usar una clave de KMS existente. En Enter KMS alias (Ingresar alias de KMS), especifique un alias con el formato alias/MyAliasName. El uso de su propia clave de KMS requiere que edite la política de claves para permitir que se cifre y descifre el almacén de datos de eventos de CloudTrail. Para obtener más información, consulte Configurar políticas de clave de AWS KMS para CloudTrail. CloudTrail también admite claves de AWS KMS de varias regiones. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service.

    Tenga en cuenta que el uso de su propia clave de KMS implica costos de cifrado y descifrado de AWS KMS. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.

    nota

    Para habilitar el cifrado de AWS Key Management Service del almacén de datos de eventos de una organización, debe utilizar una clave de KMS existente para la cuenta de administración.

  8. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija Habilitar en Federación de consultas de Lake. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el catálogo de datos de AWS Glue y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el Catálogo de datos de AWS Glue permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.

    Para habilitar la federación de consultas de Lake, seleccione Habilitar y, a continuación, haga lo siguiente:

    1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. AWS Lake Formation utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un rol nuevo mediante la consola de CloudTrail, CloudTrail crea automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

    2. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.

    3. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta.

  9. (Opcional) Elija Habilitación de política de recursos para agregar una política basada en recursos a este almacén de datos de eventos. Las políticas basadas en recursos le permiten controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos. Por ejemplo, puede agregar una política basada en recursos para permitir a los usuarios raíz de otras cuentas consultar el almacén de datos de eventos y ver los resultados de las consultas. Para ver ejemplos de políticas, consulte Ejemplos de políticas basadas en recursos para almacenes de datos de eventos.

    Una política basada en recursos incluye una o más instrucciones. Cada instrucción de la política define las entidades principales a las que se les permite o deniega el acceso al almacén de datos de eventos y las acciones que las entidades principales pueden realizar en el recurso del almacén de datos de eventos.

    Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    Para los almacenes de datos de eventos de la organización, CloudTrail crea una política basada en los recursos predeterminada que enumera las acciones que las cuentas del administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se obtienen de los permisos del administrador delegado en AWS Organizations. Esta política se actualiza de manera automática tras los cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o elimina una cuenta de administrador delegado de CloudTrail).

  10. (Opcional) En la sección Tags (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas. Para obtener más información sobre cómo usar las etiquetas en AWS, consulte Etiquetado de los recursos de AWS en la Guía del usuario para el etiquetado de recursos de AWS.

  11. Elija Next (Siguiente) para configurar el almacén de datos de eventos.

  12. En la página Elegir eventos, elija Eventos de AWS y, a continuación, Eventos de CloudTrail.

  13. En CloudTrail events (Eventos de CloudTrail), elija al menos un tipo de evento. De forma predeterminada, se selecciona la opción Management events (Eventos de administración). Puede agregar eventos de administración, eventos de datos y eventos de actividad de red a su almacén de datos de eventos.

  14. (Opcional) Elija Copy trail events (Copiar eventos de registros de seguimiento) si desea copiar eventos de un registro de seguimiento existente para ejecutar consultas sobre eventos pasados. Para copiar los eventos de los registros de seguimiento en el almacén de datos de eventos de una organización, debe utilizar su cuenta de administración. La cuenta del administrador delegado no puede copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización. Para obtener más información acerca de las consideraciones para copiar eventos de registro de seguimiento, consulte Consideraciones para copiar eventos de registros de seguimiento.

  15. Para que su almacén de datos de eventos recopile eventos de todas las cuentas de una organización de AWS Organizations, seleccione Enable for all accounts in my organization (Activar en todas las cuentas de mi organización). Para crear un almacén de datos de eventos que recopile eventos de una organización, es necesario haber iniciado sesión con la cuenta de administración o la cuenta de administrador delegado de la organización.

    nota

    Para copiar los eventos de registro de seguimiento o habilitar los eventos de Insights, debe haber iniciado sesión en la cuenta de administración de su organización.

  16. Expanda la opción Configuración adicional para elegir si desea que su almacén de datos de eventos recopile los eventos de todas las Regiones de AWS o solo las Región de AWS actuales, y elija si desea que el almacén de datos de eventos ingiera eventos. De forma predeterminada, el almacén de datos de eventos recopila los eventos de todas las regiones de la cuenta y comienza a ingerirlos cuando se crea.

    1. Seleccione Incluir solo la región actual en el almacén de datos de eventos para incluir solo los eventos registrados en la región actual. Si no elige esta opción, su almacén de datos de eventos incluirá eventos de todas las regiones.

    2. Anule la selección de Ingerir eventos si no quiere que el almacén de datos de eventos comience a ingerir eventos. Por ejemplo, es posible que desee deseleccionar Ingerir eventos si está copiando eventos de registros de seguimiento y no desea que el almacén de datos de eventos incluya eventos futuros. De forma predeterminada, el almacén de datos de eventos comienza a ingerir eventos cuando se crea.

  17. Si el almacén de datos de eventos incluye eventos de administración, puede elegir entre las siguientes opciones. Para obtener más información sobre los eventos de administración, consulte Registro de eventos de administración.

    1. Elija entre la Recopilación de eventos simple o la Recopilación de eventos avanzada:

      • Elija la Recopilación de eventos simple si desea registrar todos los eventos, registrar solo los eventos de lectura o solo los eventos de escritura. También tiene la opción de elegir excluir los eventos de AWS Key Management Service y la API de datos de Amazon RDS.

      • Elija la Recopilación avanzada de eventos si desea incluir o excluir los eventos de administración en función de los valores de los campos del selector de eventos avanzado, como los campos eventName, eventType, eventSource, sessionCredentialFromConsole y userIdentity.arn.

    2. Si seleccionó la Recopilación de eventos simple, elija si quiere registrar todos los eventos, registrar solo los eventos de lectura o registrar solo los eventos de escritura. También tiene la opción de elegir excluir los eventos de AWS KMS y la API de datos de Amazon RDS.

    3. Si seleccionó la Recopilación de eventos avanzada, realice las siguientes selecciones:

      1. En la Plantilla de selector de registros, elija una plantilla predefinida o Personalizada para crear una configuración personalizada basada en los valores de los campos del selector de eventos avanzado.

        Puede elegir entre las siguientes plantillas predefinidas:

        • Registrar todos los eventos: elija esta plantilla para registrar todos los eventos.

        • Registrar solo eventos de lectura: elija esta plantilla para registrar solo eventos de lectura. Los eventos de solo lectura son eventos que no cambian el estado de un recurso, como los eventos Get* o Describe*.

        • Registrar solo eventos de escritura: elija esta plantilla para registrar solo eventos de escritura. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*.

        • Registrar solo eventos de la Consola de administración de AWS: elija esta plantilla para registrar solo los eventos que se originan en la Consola de administración de AWS.

        • Excluir eventos iniciados de Servicio de AWS: elija esta plantilla para excluir los eventos de Servicio de AWS que tienen un eventType de AwsServiceEvent y los eventos iniciados con roles vinculados a Servicio de AWS (SLR).

      2. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de administración de las sesiones de la Consola de administración de AWS”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.

      3. Si eligió Personalizado, en los Selectores de eventos avanzados cree una expresión basada en los valores de los campos del selector de eventos avanzado.

        nota

        Los selectores no admiten el uso de caracteres comodín como *. Para hacer coincidir varios valores con una sola condición, puede usar StartsWith, EndsWith, NotStartsWith o NotEndsWith a fin de hacer coincidir de manera explícita el principio o el final del campo de evento.

        1. Elija uno de los siguientes campos.

          • readOnly: readOnly se puede establecer en igual a un valor true o false. Cuando se establece en false, el almacén de datos de eventos registra los eventos de administración de solo escritura. Los eventos de administración de solo lectura son eventos que no cambian el estado de un recurso, como los eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar los eventos de Lectura y Escritura, no agregue un selector de readOnly.

          • eventNameeventName puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de administración, como CreateAccessPoint o GetAccessPoint.

          • userIdentity.arn: incluya o excluya los eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte Elemento userIdentity de CloudTrail.

          • sessionCredentialFromConsole: incluya o excluya los eventos que se originan en una sesión de Consola de administración de AWS. Este campo se puede establecer como igual o no igual con un valor true.

          • eventSource: puede usarlo para incluir o excluir los orígenes de eventos específicos. El eventSource suele ser una forma abreviada del nombre del servicio sin espacios más .amazonaws.com. Por ejemplo, podría establecer el valor eventSource igual a en ec2.amazonaws.com para registrar solo los eventos de administración de Amazon EC2.

          • eventType: el Tipo de evento que se va a incluir o excluir. Por ejemplo, puede establecer este campo en no igual a AwsServiceEvent para excluir los eventos de Servicio de AWS.

        2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.

          Para obtener información sobre cómo evalúa CloudTrail varias condiciones, consulte Cómo evalúa CloudTrail varias condiciones de un campo.

          nota

          Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.

        3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.

      4. De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.

    4. Seleccione Habilitar la captura de eventos de Insights para activar Insights. Para habilitar Insights, debe configurar un almacén de datos de eventos de destino para recopilar los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos.

      Si decide habilitar Insights, haga lo siguiente.

      1. Elija el almacén de eventos de destino que registrará los eventos de Insights. El almacén de datos de eventos de destino recopilará los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos. Para obtener información acerca de cómo crear un almacén de datos de eventos de destino, consulte Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights.

      2. Elija los tipos de Insights. Puede elegir la tasa de llamadas a la API, la tasa de errores de la API o ambas. Debe registrar los eventos de administración de escritura para registrar los eventos de Insights para calcular la tasa de llamadas a la API. Debe registrar los eventos de administración de lectura o escritura para registrar los eventos de Insights para calcular la tasa de errores de la API.

  18. Para incluir eventos de datos en su almacén de datos de eventos, haga lo siguiente.

    1. Elija un tipo de recurso. Este es el Servicio de AWS y el recurso en los que se registran los eventos de datos.

    2. En la Plantilla de selección de registros, elija una plantilla predefinida o una Personalizada para definir sus propias condiciones de recopilación de eventos en función de los valores de los campos del selector de eventos avanzado.

      Puede elegir entre las siguientes plantillas predefinidas:

      • Registrar todos los eventos: elija esta plantilla para registrar todos los eventos.

      • Registrar solo eventos de lectura: elija esta plantilla para registrar solo eventos de lectura. Los eventos de solo lectura son eventos que no cambian el estado de un recurso, como los eventos Get* o Describe*.

      • Registrar solo eventos de escritura: elija esta plantilla para registrar solo eventos de escritura. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*.

      • Registrar solo eventos de la Consola de administración de AWS: elija esta plantilla para registrar solo los eventos que se originan en la Consola de administración de AWS.

      • Excluir eventos iniciados de Servicio de AWS: elija esta plantilla para excluir los eventos de Servicio de AWS que tienen un eventType de AwsServiceEvent y los eventos iniciados con roles vinculados a Servicio de AWS (SLR).

    3. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.

    4. Si seleccionó Personalizado, en los selectores de eventos avanzados cree una expresión basada en los valores de los campos del selector de eventos avanzado.

      nota

      Los selectores no admiten el uso de caracteres comodín como *. Para hacer coincidir varios valores con una sola condición, puede usar StartsWith, EndsWith, NotStartsWith o NotEndsWith a fin de hacer coincidir de manera explícita el principio o el final del campo de evento.

      1. Elija uno de los siguientes campos.

        • readOnly: readOnly se puede establecer en es igual a con el valor true o false. Los eventos de datos de solo lectura son eventos que no cambian el estado de un recurso, como eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar eventos read y write, no agregue un selector de readOnly.

        • eventName - eventName puede utilizar cualquier operador. Puede utilizarlo para incluir o excluir cualquier evento de datos registrado en CloudTrail, como PutBucket, GetItem o GetSnapshotBlock.

        • eventSource: el origen del evento que se va a incluir o excluir. Este campo puede utilizar cualquier operador.

        • eventType: el tipo de evento que se va a incluir o excluir. Por ejemplo, puede establecer este campo en no igual a AwsServiceEvent para excluir Servicio de AWSEventos de . Para obtener una lista de los tipos de eventos, consulte eventType en CloudTrail registra el contenido de los eventos de administración, de datos y de actividad de la red.

        • sessionCredentialFromConsole: incluya o excluya los eventos que se originan en una sesión de la Consola de administración de AWS. Este campo se puede establecer como igual o no igual con un valor true.

        • userIdentity.arn: incluya o excluya los eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte Elemento userIdentity de CloudTrail.

        • resources.ARN: puede utilizar cualquier operador con resources.ARN, pero si utiliza es igual a o no es igual a, el valor debe coincidir exactamente con el ARN de un recurso válido del tipo especificado en la plantilla como el valor de resources.type.

          nota

          No puede usar el campo resources.ARN para filtrar los tipos de recursos que no tienen ARN.

          Para obtener más información sobre los formatos del ARN de los recursos de eventos de datos, consulte Acciones, recursos y claves de condición para los Servicios de AWS en la Referencia de autorizaciones de servicio.

      2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir eventos de datos de dos buckets de S3 de los eventos de datos registrados en su almacén de datos de eventos, puede establecer el campo en resources.ARN, configurar el operador en no comienza por y, a continuación, pegar un ARN de bucket de S3 para los que no desea registrar eventos.

        Para agregar el segundo bucket de S3, seleccione + Condición y, a continuación, repita la instrucción anterior, pegue el ARN o busque un bucket diferente.

        Para obtener información sobre cómo evalúa CloudTrail varias condiciones, consulte Cómo evalúa CloudTrail varias condiciones de un campo.

        nota

        Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.

      3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos. Por ejemplo, no especifique un ARN en un selector para que sea igual a un valor y luego especifique que el ARN no sea igual al mismo valor en otro selector.

    5. De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.

    6. Para agregar otro tipo de recurso en el que registrar eventos de datos, elija Agregar tipo de evento de datos. Repita los pasos hasta este paso a fin de configurar los selectores de eventos avanzados para el tipo de recursos.

  19. Para incluir eventos de actividad de la red en su almacén de datos de eventos, haga lo siguiente.

    1. En Origen de eventos de actividad de la red, seleccione el origen de los eventos de actividad de la red.

    2. Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede optar por registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o seleccionar Personalizar para crear un selector de registro personalizado que filtre por varios campos, como eventName y vpcEndpointId.

    3. (Opcional) Escriba un nombre para identificar el selector. El nombre del selector aparece como Nombre en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.

    4. En Selectores de eventos avanzados, cree expresiones mediante la selección de valores para Campo, Operador y Valor. Puede omitir este paso si utiliza una plantilla de registro predefinida.

      1. Para excluir o incluir eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.

        • eventName – puede utilizar cualquier operador con eventName. Puede utilizarlo para incluir o excluir cualquier evento, como CreateKey.

        • errorCode – puede usarlo para filtrar por un código de error. Actualmente, el único errorCode que se admite es VpceAccessDenied.

        • vpcEndpointId – identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador con vpcEndpointId.

      2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.

      3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.

    5. Para agregar otro origen de eventos de actividad de la red que quiera registrar, seleccione Agregar selector de eventos de actividad de la red.

    6. De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.

  20. Para copiar eventos de registro de seguimiento existentes en el almacén de datos, haga lo siguiente.

    1. Elija el registro de seguimiento que desea copiar. De forma predeterminada, CloudTrail solo copia los eventos de CloudTrail contenidos en el prefijo CloudTrail del bucket de S3 y los prefijos dentro del prefijo CloudTrail y no comprueba los prefijos de otros servicios de AWS. Si desea copiar los eventos de CloudTrail contenidos en otro prefijo, elija Enter S3 URI (Introducir la URI de S3) y, a continuación, elija Browse S3 (Examinar S3) para buscar el prefijo. Si el bucket de S3 de origen para el registro de seguimiento usa una clave de KMS para el cifrado de datos, verifique que la política de la clave de KMS permite a CloudTrail descifrar los datos. Si su bucket de S3 de origen utiliza varias claves de KMS, debe actualizar la política de cada clave de manera que permitan a CloudTrail descifrar los datos en el bucket. Para obtener más información sobre la actualización de la política de claves KMS, consulte Política de claves KMS para descifrar datos en el bucket de S3 de origen.

    2. Elija el intervalo de tiempo para copiar los eventos. CloudTrail comprueba el prefijo y el nombre del registro para comprobar que el nombre contenga una fecha situada entre la fecha de inicio y la fecha de finalización elegidas antes de intentar copiar los eventos del registro de seguimiento. Puede elegir un intervalo relativo o un intervalo absoluto. Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de tiempo que sea anterior a la creación del almacén de datos de eventos.

      nota

      CloudTrail solo copia los eventos de registros de seguimiento que tengan un valor de eventTime dentro del periodo de retención del almacén de datos de eventos. Por ejemplo, si el periodo de retención de un almacén de datos de eventos es de 90 días, CloudTrail no copiará ningún evento de registro de seguimiento con un valor de eventTime anterior a 90 días.

      • Si elige Intervalo relativo, puede elegir si desea copiar los eventos registrados en los últimos 6 meses, 1 año, 2 años, 7 años o un intervalo personalizado. CloudTrail copia los eventos registrados dentro del periodo seleccionado.

      • Si selecciona Absolute range (Intervalo absoluto), puede elegir fechas de inicio y de finalización específicas. CloudTrail copia los eventos que se produjeron entre las fechas de inicio y de finalización seleccionadas.

    3. Para Permissions (Permisos), elija una de las siguientes opciones de rol de IAM. Si elige un rol de IAM existente, verifique que la política de roles de IAM proporcione los permisos necesarios. Para obtener más información acerca de la actualización de los permisos de rol de IAM, consulte Permisos de IAM para copiar eventos de registro de seguimiento.

      • Elija Create a new role (recommended) (Crear un nuevo rol [recomendado]) para crear un nuevo rol de IAM. En Enter IAM role name (Ingresar nombre del rol de IAM), escriba un nombre único para el rol. CloudTrail crea automáticamente los permisos necesarios para este nuevo rol.

      • Seleccione Usar un rol de IAM personalizado para usar un rol de IAM personalizado que no aparezca en la lista. En Enter IAM role ARN (Ingresar ARN del rol de IAM), escriba el ARN de IAM.

      • Elija un rol de IAM existente de la lista desplegable.

  21. Elija Siguiente para enriquecer los eventos si agrega claves de etiquetas de recurso y claves de condición global de IAM.

  22. En Eventos enriquecidos agregue hasta 50 claves de etiqueta de recurso y 50 claves de condición global de IAM para ofrecer metadatos adicionales sobre los eventos. Esto le ayuda a clasificar y agrupar los eventos relacionados.

    Si agrega claves de etiqueta de recurso, CloudTrail incluirá las claves de las etiquetas seleccionadas asociadas a los recursos que han participado en la llamada a la API. Los eventos de la API relacionados con recursos eliminados no tendrán etiquetas de recurso.

    Si agrega claves de condición global de IAM, CloudTrail incluirá información sobre las claves de condición seleccionadas que se evaluaron durante el proceso de autorización, como detalles adicionales sobre la entidad principal, la sesión, la red y la propia solicitud.

    La información sobre las claves de etiqueta de recurso y las claves de condición global de IAM se muestra en el campo eventContext del evento. Para obtener más información, consulte Enriquecer los eventos de CloudTrail mediante la agregación de etiquetas de recurso y claves de condición global de IAM.

    nota

    Si un evento contiene un recurso que no pertenece a la región del evento, CloudTrail no completará las etiquetas de este recurso porque la recuperación de etiquetas se limita a la región del evento.

  23. Seleccione Expandir el tamaño del evento para ampliar la carga útil del evento de 256 KB a 1 MB. Esta opción se activa de manera automática al agregar claves de etiqueta de recurso o claves de condición global de IAM para garantizar que todas las claves agregadas se incluyan en el evento.

    Ampliar el tamaño del evento es útil para analizar y solucionar problemas de eventos, ya que permite ver el contenido completo de los siguientes campos siempre que la carga útil del evento sea inferior a 1 MB:

    • annotation

    • requestID

    • additionalEventData

    • serviceEventDetails

    • userAgent

    • errorCode

    • responseElements

    • requestParameters

    • errorMessage

    Para obtener más información sobre estos campos, consulte Contenido de los registros de CloudTrail.

  24. Elija Next (Siguiente) para revisar las opciones seleccionadas.

  25. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija Create event data store (Crear almacén de datos de eventos).

  26. El nuevo almacén de datos de eventos aparece en la tabla Almacenes de datos de eventos de la página Almacenes de datos de eventos.

    A partir de este momento, el almacén de datos de eventos captura los eventos que coinciden con sus selectores de eventos avanzados (si ha seleccionado la opción Incorporar eventos). Los eventos que ocurrieron antes de que creara el almacén de datos de eventos no estarán en el almacén de datos de eventos, a menos que opte por copiar los eventos de registro de seguimiento existentes.

Ahora puede ejecutar consultas en su nuevo almacén de datos de eventos. La pestaña Sample queries (Consultas de muestra) proporciona ejemplos de consultas para que pueda empezar. Para obtener más información acerca de la creación y la edición de consultas, consulte Creación o edición de una consulta con la consola de CloudTrail.

También puede ver los paneles administrados o crear paneles personalizados para visualizar las tendencias de los eventos. Para obtener más información acerca de los paneles de Lake, consulte Paneles de CloudTrail Lake.