# Opções de registro em log para o Amazon S3 É possível registrar as ações que são realizadas por usuários, perfis ou Serviços da AWS em recursos do Amazon S3 e manter registros de log para fins de auditoria e conformidade. Para fazer isso, você pode usar o registro em log de acesso ao servidor, o registro em log do AWS CloudTrail ou uma combinação de ambos. Recomendamos que você use o CloudTrail para registrar em log ações por bucket e objeto para seus recursos do Amazon S3. Para obter mais informações sobre cada opção, consulte as seguintes seções: + [Registrar em log as solicitações com registro em log de acesso ao servidor](ServerLogs.md) + [Registrar chamadas de API do Amazon S3 em log usando AWS CloudTrail](cloudtrail-logging.md) A tabela a seguir lista as principais propriedades dos logs do CloudTrail e dos logs de acesso ao servidor do Amazon S3. Analise a tabela e as observações para garantir que o CloudTrail atenda aos seus requisitos de segurança. | Propriedades de log | AWS CloudTrail | Logs do servidor do Amazon S3 | | --- |--- |--- | | Pode ser encaminhado para outros sistemas (Amazon CloudWatch Logs, Amazon CloudWatch Events) | Sim | No | | Entregue logs para mais de um destino (por exemplo, envie os mesmos logs para dois buckets diferentes) | Sim | No | | Ative logs para um subconjunto de objetos (prefixo) | Sim | No | | Entrega de logs entre contas (bucket de origem e de destino pertencentes a contas diferentes) | Sim | No | | Validação de integridade do arquivo de log usando assinatura digital ou hashing | Sim | No | | Padrão ou opção de criptografia para arquivos de log | Sim | No | | Operações de objeto (usando APIs do Amazon S3) | Sim | Sim | | Operações de bucket (usando APIs do Amazon S3) | Sim | Sim | | UI pesquisável para logs | Sim | No | | Campos para parâmetros de bloqueio de objetos, propriedades selecionadas do Amazon S3 para registros de log | Sim | No | | Campos de `Object Size`, `Total Time`, `Turn-Around Time` e `HTTP Referer` para registros de log | Não | Sim | | Transições, expirações e restaurações do ciclo de vida | Não | Sim | | Registro de chaves em uma operação de exclusão em lote | Sim | Sim | | Falhas de autenticação1 | Não | Sim | | Contas em que logs são entregues | Proprietário do bucket2 e solicitante | Somente proprietário do bucket | | **Performance and Cost** | **AWS CloudTrail** | **Amazon S3 Server Logs** | | --- |--- |--- | | Preço | Os eventos de gerenciamento (primeira entrega) são gratuitos. Os eventos de dados incorrem em uma taxa, além do armazenamento de logs | Nenhum custo adicional além do armazenamento de logs | | Velocidade da entrega de logs | Eventos de dados a cada 5 minutos; eventos de gerenciamento a cada 15 minutos | Em algumas horas | | Formato do log | JSON | Arquivo de log com registros delimitados por novas linhas e separados por espaços | **Observações** 1. O CloudTrail não entrega logs para solicitações com falha de autenticação (nas quais as credenciais fornecidas não são válidas) ou que falham devido a redirecionamento (código de erro `301 Moved Permanently`). No entanto, ele inclui logs para solicitações nas quais a autorização falha (`AccessDenied`) e as solicitações são feitas por usuários anônimos. 1. O proprietário do bucket do S3 recebe logs do CloudTrail quando a conta não tem acesso total ao objeto na solicitação. Para obter mais informações, consulte [Ações em nível de objeto do Amazon S3 em cenários entre contas](cloudtrail-logging-s3-info.md#cloudtrail-object-level-crossaccount). 1. O S3 não é compatível com a entrega de logs do CloudTrail ou logs de acesso ao servidor ao solicitante ou ao proprietário do bucket para solicitações de endpoint da VPC quando a política de endpoint da VPC as nega ou para solicitações que falham antes da política da VPC ser avaliada.