Habilitar o log de eventos do CloudTrail para buckets e objetos do S3
Você pode usar eventos de dados do CloudTrail para obter informações sobre solicitações no nível do bucket e do objeto no Amazon S3. Para habilitar eventos de dados do CloudTrail para todos os seus buckets ou para uma lista de buckets específicos, você deve criar uma trilha manualmente no CloudTrail.
nota
-
A configuração padrão para o CloudTrail é encontrar somente eventos de gerenciamento. Verifique se os eventos de dados estão habilitados para sua conta.
-
Com um bucket do S3 que está gerando uma workload elevada, você poderia rapidamente gerar milhares de logs em um curto período. Esteja atento a quanto tempo você escolhe para habilitar eventos de dados do CloudTrail para um bucket ocupado.
O CloudTrail armazena logs de eventos de dados do Amazon S3 em um bucket do S3 de sua escolha. Você deve considerar a possibilidade de usar um bucket em uma Conta da AWS separada para organizar melhor os eventos de vários buckets que você venha a ter em um local central para facilitar a consulta e a análise. O AWS Organizations ajuda você a criar uma Conta da AWS vinculada à conta que é proprietária do bucket que está sendo monitorado. Para obter mais informações, consulte O que é o AWS Organizations? no Guia do usuário do AWS Organizations.
Ao registrar eventos de dados de uma trilha no CloudTrail, é possível optar por usar seletores de eventos avançados ou básicos para registrar eventos de dados para objetos armazenados em buckets de uso geral. Para registrar eventos de dados de objetos armazenados em buckets de diretório, é necessário usar seletores de eventos avançados. Para ter mais informações, consulte Logging with AWS CloudTrail for S3 Express One Zone.
Ao criar uma trilha no console do CloudTrail usando seletores de eventos avançados, na seção de eventos de dados, é possível selecionar Registrar todos os eventos no Modelo de seletor de log para registrar em log todos os eventos no nível de objeto. Ao criar uma trilha no console do CloudTrail usando seletores de eventos básicos, na seção de eventos de dados, marque a caixa de seleção Selecionar todos os buckets do S3 em sua conta para registrar em log todos os eventos no nível de objeto.
nota
-
É uma prática recomendada criar uma configuração de ciclo de vida para o bucket de evento de dados do AWS CloudTrail. Configure a configuração de ciclo de vida para remover periodicamente arquivos de log após o período que você acredita ser necessário auditá-los. Fazer isso reduz a quantidade de dados que o Athena analisa para cada consulta. Para obter mais informações, consulte Definir uma configuração do Ciclo de Vida do S3 em um bucket.
-
Para obter mais informações sobre o formato do registro em log, consulte Registrar chamadas de API do Amazon S3 em log usando AWS CloudTrail.
-
Para obter exemplos de como consultar logs do CloudTrail, consulte a publicação do Blog sobre big data da AWS Análise da segurança, compatibilidade e atividade operacional usando o AWS CloudTrail e o Amazon Athena
.
Habilitar o registro em log de objetos em um bucket usando o console
Você pode usar o console do AWS CloudTrail para configurar uma trilha do CloudTrail e registrar em log eventos de dados de objetos em um bucket do S3. O CloudTrail oferece suporte ao registro em log de operações de API no nível do objeto do Amazon S3, como GetObject, DeleteObject e PutObject. Esses eventos são chamados de eventos de dados.
Por padrão, as trilhas do CloudTrail não registram em log eventos de dados, mas é possível configurar as trilhas para registrar eventos de dados para buckets do S3 que você especificar, ou para registrar eventos de dados para todos os buckets do Amazon S3 em sua Conta da AWS. Para obter mais informações, consulte Registrar chamadas de API do Amazon S3 em log usando AWS CloudTrail.
O CloudTrail não preenche eventos de dados no histórico de eventos do CloudTrail. Além disso, nem todas as ações no nível do bucket são preenchidas no histórico de eventos do CloudTrail. Para obter mais informações sobre ações de API no nível do bucket do Amazon S3 monitoradas pelo registro em log do CloudTrail, consulte Ações de buckets do Amazon S3 rastreadas pelo registro em log do CloudTrail. Para obter mais informações sobre como consultar os logs do CloudTrail, consulte o artigo da Central de Conhecimento da AWS que fala sobre o uso de padrões de filtro do Amazon CloudWatch Logs e o Amazon Athena para consultar logs do CloudTrail
nota
Se você estiver registrando atividades de dados em log com o AWS CloudTrail, o registro de um evento de dados DeleteObjects do Amazon S3 inclui o evento DeleteObjects e um evento DeleteObject para cada objeto excluído como parte dessa operação. Você pode omitir a visibilidade adicional sobre objetos excluídos do registro de eventos. Para ter mais informações, consulte AWS CLI examples for filtering data events no Guia do usuário do AWS CloudTrail.
Para habilitar o registro em log de eventos de dados do CloudTrail para objetos em um bucket de uso geral do S3 ou em um bucket de diretório do S3, consulte Creating a trail with the CloudTrail console no Guia do usuário do AWS CloudTrail.
Para ter mais informações sobre como registrar objetos em log em um bucket de diretório do S3, consulte Registro em log com o AWS CloudTrail para buckets de diretório.
Para ter informações sobre como usar o console do CloudTrail para configurar uma trilha para registrar em log eventos de dados do S3, consulte Logging data events no Guia do usuário do AWS CloudTrail.
Para desabilitar o registro em log de eventos de dados do CloudTrail para objetos em um bucket do S3, consulte Deleting a trail with the CloudTrail console no Guia do usuário do AWS CloudTrail.
Importante
Há cobranças adicionais para eventos de dados. Para obter mais informações, consulte Definição de preço do AWS CloudTrail
Para obter mais informações sobre o registro em log do CloudTrail com buckets do S3, consulte os seguintes tópicos:
