Gerenciar trilhas com a AWS CLI
A AWS CLI inclui vários outros comandos que ajudam você a gerenciar suas trilhas. Esses comandos adicionam tags a trilhas, obtêm o status da trilha, iniciam e interrompem o registro de trilhas e excluem uma trilha. Você deve executar esses comandos na mesma região da AWS em que a trilha foi criada (a região inicial). Ao usar a AWS CLI, lembre-se de que os comandos são executados na região da AWS configurada para o seu perfil. Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use o parâmetro --region com o comando.
Adicionar uma ou mais tags a uma trilha
Para adicionar uma ou mais tags a uma trilha existente, execute o comando add-tags.
O exemplo a seguir adiciona uma tag com o nome Owner e o valor Mary a uma trilha com o ARN de arn:aws:cloudtrail: na região Leste dos EUA (Ohio). us-east-2:123456789012:trail/my-trail
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail--tags-list Key=Owner,Value=Mary--region us-east-2
Se houver êxito, o comando não retornará nada.
Listar tags para uma ou mais trilhas
Para visualizar as tags associadas a uma ou mais trilhas existentes, use o comando list-tags.
O exemplo a seguir lista as tags de Trail1 e Trail2.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
Se houver êxito, o comando gerará uma saída semelhante à seguinte.
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ] }
Remover uma ou mais tags de uma trilha
Para remover uma ou mais tags de uma trilha existente, execute o comando remove-tags.
O exemplo a seguir remove tags com os nomes Location e Name de uma trilha com o ARN de arn:aws:cloudtrail: na região Leste dos EUA (Ohio). us-east-2:123456789012:trail/Trail1
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1--tags-list Key=Name Key=Location --region us-east-2
Se houver êxito, o comando não retornará nada.
Recuperar as configurações de trilha e o status de uma trilha
Execute o comando describe-trails para recuperar informações sobre trilhas em uma região da AWS. O exemplo a seguir retorna informações sobre as trilhas configuradas na região Leste dos EUA (Ohio).
aws cloudtrail describe-trails --region us-east-2
Se o comando for bem-sucedido, você verá um resultado semelhante a este.
{ "trailList": [ { "Name": "my-trail", "S3BucketName": "amzn-s3-demo-bucket1", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "amzn-s3-demo-bucket2", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "amzn-s3-demo-bucket3", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ] }
Execute o comando get-trail para recuperar informações de configurações sobre uma trilha específica. O exemplo a seguir retorna informações de configurações para uma trilha chamada my-trail.
aws cloudtrail get-trail - -namemy-trail
Se houver êxito, o comando gerará uma saída semelhante à seguinte.
{ "Trail": { "Name": "my-trail", "S3BucketName": "amzn-s3-demo-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, } }
Execute o comando get-trail-status para recuperar o status de uma trilha. Você deve executar esse comando na região da AWS em que ele foi criado (região inicial) ou especificar essa região adicionando o parâmetro --region.
nota
Se a trilha é de uma organização e você é uma conta-membro na organização no AWS Organizations, é necessário fornecer o ARN completo da trilha, e não apenas o nome.
aws cloudtrail get-trail-status --namemy-trail
Se o comando for bem-sucedido, você verá um resultado semelhante a este.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Além dos campos exibidos no código JSON anterior, o status conterá os seguintes campos, se houver erros do Amazon SNS ou do Amazon S3:
-
LatestNotificationError. Contém o erro emitido pelo Amazon SNS se uma inscrição em um tópico falhar. -
LatestDeliveryError. Contém o erro emitido pelo Amazon S3, se o CloudTrail não puder fornecer um arquivo de log a um bucket.
Configurar seletores de eventos do CloudTrail Insights
Habilite eventos do Insights em uma trilha executando o put-insight-selectors, e especificando ApiCallRateInsight, ApiErrorRateInsight ou ambos como o valor do atributo InsightType. Para visualizar as configurações do seletor do Insights para uma trilha, execute o comando get-insight-selectors. Você deve executar esse comando na região da AWS onde a trilha foi criada (a região de origem) ou deve especificar essa região adicionando o parâmetro --region ao comando.
nota
Para registrar em log eventos do Insights para ApiCallRateInsight, a trilha deve registrar em log os eventos de gerenciamento de write. Para registrar em log eventos do Insights para ApiErrorRateInsight, a trilha deve registrar em log os eventos de gerenciamento de read ou write.
Exemplo: trilha que registra em log eventos do Insights
O exemplo a seguir usa put-insight-selectors para criar um seletor de eventos do Insights para uma trilha chamada TrailName3. Isso ativa a coleção de eventos do Insights para a trilha TrailName3. O seletor de eventos do Insights registra ambosApiErrorRateInsight e ApiCallRateInsightTipos de eventos do Insights.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
O exemplo retorna o seletor de eventos do Insights que está configurado para a trilha.
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Exemplo: desative a coleção de eventos do Insights
O exemplo a seguir usa put-insight-selectors para remover o seletor de eventos do Insights para uma trilha chamada TrailName3. Limpar a string JSON dos seletores do Insights desativa a coleção de eventos do Insights para a trilha TrailName3.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[]'
O exemplo retorna o seletor de eventos do Insights que ficou vazio configurado para a trilha.
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Configurar seletores de eventos avançados
Você pode usar seletores de eventos avançados para registrar em log eventos de gerenciamento, eventos de dados para todos os tipos de recursos e eventos de atividades de rede. Por outro lado, você pode usar seletores de eventos básicos para registrar eventos de gerenciamento e eventos de dados para os tipos de recursos AWS::DynamoDB::Table, AWS::Lambda::Function e AWS::S3::Object. Você pode usar seletores de eventos avançados ou seletores de eventos básicos, mas não ambos. Se você aplicar seletores de eventos avançados a uma trilha que está usando seletores de eventos básicos, todos os seletores de eventos básicos existentes serão substituídos.
Para converter uma trilha em seletores de eventos avançados, execute o comando get-event-selectors para confirmar os seletores de eventos atuais e, em seguida, configure os seletores de eventos avançados para corresponder à cobertura dos seletores de eventos anteriores, depois, adicione quaisquer seletores.
Você deve executar o comando get-event-selectors na Região da AWS onde a trilha foi criada (a região de origem) ou deve especificar essa região adicionando o parâmetro --region.
aws cloudtrail get-event-selectors --trail-nameTrailName
nota
Se a trilha for de uma organização e você for uma conta-membro na organização no AWS Organizations, será necessário fornecer o ARN completo da trilha, e não apenas o nome.
O exemplo a seguir mostra as configurações de uma trilha que está usando seletores de eventos avançados para registrar eventos de gerenciamento. Por padrão, uma trilha é configurada para registrar todos os eventos de gerenciamento e nenhum evento de dados ou de rede.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Para criar um seletor de eventos avançado, execute o comando put-event-selectors. Quando ocorre um evento na sua conta, o CloudTrail avalia a configuração das suas trilhas. Se o evento corresponder a qualquer seletor de evento avançado de uma trilha, ela processará e registrará o evento. Você pode configurar até 500 condições em uma trilha, incluindo todos os valores especificados para todos os seletores de eventos avançados em sua trilha. Para obter mais informações, consulte Eventos de dados de log e Registrar em log os eventos de atividade de rede.
Exemplo de trilha com seletores de eventos avançados específicos
O exemplo a seguir cria seletores de eventos personalizados avançados para uma trilha denominada TrailName para incluir eventos de gerenciamento de leitura e gravação (omitindo o seletor readOnly), os eventos de dados PutObject e DeleteObject para todas as combinações de bucket/prefixo do Amazon S3, exceto para um bucket denominado amzn-s3-demo-bucket, eventos de dados para uma função AWS Lambda denominada MyLambdaFunction e eventos de atividade de rede para eventos de acesso negado do AWS KMS em um endpoint da VPC. Como estes são seletores de eventos avançados personalizados, cada conjunto de seletores tem um nome descritivo. Observe que uma barra à direita faz parte do valor ARN para buckets do S3.
aws cloudtrail put-event-selectors --trail-nameTrailName--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] }, { "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"]}, { "Field": "errorCode", "Equals": ["VpceAccessDenied"]} ] } ]'
O exemplo retorna os seletores de eventos avançados configurados para a trilha.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ] } ] }, { "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Exemplo de trilha que usa seletores de eventos avançados personalizados para registrar o Amazon S3 em eventos de dados do AWS Outposts.
O exemplo a seguir mostra como configurar a trilha para incluir todos os eventos de dados para todos os objetos do Amazon S3 on AWS Outposts em seu outpost. Nesta versão, o valor compatível para eventos do S3 em eventos do AWS Outposts para o campo resources.type é AWS::S3Outposts::Object.
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName" }
Exemplo de trilha que usa seletores de eventos avançados para excluir eventos do AWS Key Management Service
O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailName a fim de incluir eventos de gerenciamento somente leitura e somente gravação (omitindo o seletor readOnly), mas excluir eventos do AWS Key Management Service (AWS KMS). Como os eventos do AWS KMS são tratados como eventos de gerenciamento e pode haver um alto volume deles, eles podem ter um impacto substancial na fatura do CloudTrail, caso você tenha mais de uma trilha que capture eventos de gerenciamento.
Se você optar por não registrar eventos de gerenciamento, os eventos do AWS KMS não serão registrados e você não pode alterar as configurações de log de eventos AWS KMS.
Para começar a registrar eventos do AWS KMS para uma trilha novamente, remova o seletor eventSource e execute o comando novamente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
O exemplo retorna os seletores de eventos avançados configurados para a trilha.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para começar a registrar eventos excluídos para uma trilha novamente, remova o seletor eventSource e execute o comando novamente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Exemplo de trilha que usa seletores de eventos avançados para excluir eventos de gerenciamento da API de dados do Amazon RDS
O exemplo a seguir cria um seletor de eventos avançado para uma trilha chamada TrailName a fim de incluir eventos de gerenciamento somente leitura e somente gravação (omitindo o seletor readOnly), mas excluir eventos de gerenciamento da API de dados do Amazon RDS. Para excluir eventos de gerenciamento da API de dados do Amazon RDS, especifique a fonte do evento da API de dados do Amazon RDS no valor da string para o campo eventSource: rdsdata.amazonaws.com.
Se você optar por não registrar eventos de gerenciamento, os eventos de gerenciamento da API de dados do Amazon RDS não serão registrados em log e você não poderá alterar as configurações de registro em log de eventos da API de dados do Amazon RDS.
Para começar a registrar em log os eventos de gerenciamento da API de dados do Amazon RDS em uma trilha novamente, remova o seletor eventSource e execute o comando novamente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
O exemplo retorna os seletores de eventos avançados configurados para a trilha.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para começar a registrar eventos excluídos para uma trilha novamente, remova o seletor eventSource e execute o comando novamente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Configurar seletores de eventos básicos
Você só pode usar seletores de eventos básicos para registrar eventos de gerenciamento e eventos de dados para os tipos de recursos AWS::DynamoDB::Table, AWS::Lambda::Function e AWS::S3::Object. Você pode registrar em log eventos de gerenciamento, todos os tipos de recursos de dados e eventos de atividade de rede usando seletores de evento avançados.
Você pode usar seletores de eventos avançados ou seletores de eventos básicos, mas não ambos. Se você aplicar seletores de eventos básicos a uma trilha que está usando seletores de eventos avançados, todos os seletores de eventos avançados existentes serão substituídos.
Para visualizar as configurações do seletor de eventos de uma trilha, execute o comando get-event-selectors. Você deve executar esse comando na Região da AWS em que ele foi criado (região inicial) ou especificar essa região usando o parâmetro --region.
aws cloudtrail get-event-selectors --trail-nameTrailName
nota
Se a trilha é de uma organização e você é uma conta-membro na organização no AWS Organizations, é necessário fornecer o ARN completo da trilha, e não apenas o nome.
O exemplo a seguir mostra as configurações de uma trilha que está usando seletores de eventos básicos para registrar eventos de gerenciamento.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para criar um seletor de eventos, execute o comando put-event-selectors. Se você quiser registrar eventos do Insights na trilha, certifique-se de que o seletor de eventos habilite o registro dos tipos de Insights que você deseja configurar em sua trilha. Para obter mais informações sobre registrar eventos do Insights, consulte Trabalhar com o CloudTrail Insights.
Quando ocorre um evento na sua conta, o CloudTrail avalia a configuração das suas trilhas. Se o evento corresponder a qualquer seletor de evento de uma trilha, ela processará e registrará o evento. Você pode configurar até 5 seletores de eventos para uma trilha e até 250 recursos de dados para uma trilha. Para obter mais informações, consulte Eventos de dados de log.
Tópicos
Exemplo: trilha que registra em log todos os eventos de dados e de gerenciamento
Exemplo: uma trilha que não registra em log eventos do AWS Key Management Service
Exemplo: trilha que registra em log eventos relevantes de baixo volume do AWS Key Management Service
Exemplo de trilha que não registra eventos de API de dados do Amazon RDS
Exemplo: trilha com seletores de eventos específicos
O exemplo a seguir cria um seletor de eventos para uma trilha denominada TrailName com o objetivo de incluir eventos de gerenciamento somente leitura e somente gravação, eventos de dados para duas combinações de bucket/prefixo do Amazon S3 e eventos de dados para uma única função AWS Lambda chamada hello-world-python-function.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
O exemplo a seguir retorna o seletor de eventos configurado para a trilha:
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Exemplo: trilha que registra em log todos os eventos de dados e de gerenciamento
O exemplo a seguir cria um seletor de eventos de uma trilha denominada TrailName2 que inclui todos os eventos de gerenciamento, incluindo eventos de gerenciamento somente leitura e somente gravação e eventos de dados para todos os buckets do Amazon S3, as funções AWS Lambda e as tabelas do Amazon DynamoDB na Conta da AWS. Como esse exemplo usa seletores de eventos básicos, ele não pode configurar o registro para eventos do S3 no AWS Outposts, chamadas de JSON-RPC do Amazon Managed Blockchain em nós do Ethereum ou outros tipos de recursos de seletores de eventos avançados. Você também não pode registrar eventos de atividade de rede usando seletores de eventos básicos. Você deve usar seletores de eventos avançados para registrar eventos de atividade de rede e eventos de dados para todos os outros tipos de recursos. Para obter mais informações, consulte Configurar seletores de eventos avançados.
nota
Se a trilha se aplicar somente a uma região, somente eventos nessa região serão registrados, mesmo que os parâmetros do seletor de eventos especificarem todos os buckets do Amazon S3 e funções do Lambda. Os seletores de eventos se aplicam somente às regiões em que a trilha é criada.
aws cloudtrail put-event-selectors --trail-nameTrailName2--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
O exemplo a seguir retorna os seletores de eventos configurados para a trilha:
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }
Exemplo: uma trilha que não registra em log eventos do AWS Key Management Service
O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailName a fim de incluir eventos de gerenciamento somente leitura e somente gravação, mas excluir eventos do AWS Key Management Service (AWS KMS). Como os eventos do AWS KMS são tratados como eventos de gerenciamento e pode haver um alto volume deles, eles podem ter um impacto substancial na fatura do CloudTrail, caso você tenha mais de uma trilha que capture eventos de gerenciamento. O usuário neste exemplo optou por excluir eventos do AWS KMS de todas as trilhas, exceto uma. Para excluir uma origem de evento, adicione ExcludeManagementEventSources ao seletor de eventos e especifique uma origem de evento no valor da string.
Se você optar por não registrar eventos de gerenciamento, os eventos do AWS KMS não serão registrados e você não pode alterar as configurações de log de eventos AWS KMS.
Para começar a registrar eventos do AWS KMS em uma trilha novamente, transmita uma matriz vazia como o valor de ExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
O exemplo retorna o seletor de eventos configurado para a trilha.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para começar a registrar eventos do AWS KMS em uma trilha novamente, transmita uma matriz vazia como o valor de ExcludeManagementEventSources, conforme mostrado no comando a seguir.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Exemplo: trilha que registra em log eventos relevantes de baixo volume do AWS Key Management Service
O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailName a fim de incluir eventos de gerenciamento somente gravação e eventos do AWS KMS. Como os eventos do AWS KMS são tratados como eventos de gerenciamento e pode haver um alto volume deles, eles podem ter um impacto substancial na fatura do CloudTrail, caso você tenha mais de uma trilha que capture eventos de gerenciamento. O usuário neste exemplo optou por incluir eventos de Gravação do AWS KMS, o que inclui Disable, Delete e ScheduleKey, mas não incluem mais ações em grande volume, como Encrypt, Decrypt, e GenerateDataKey (agora tratados como eventos de Leitura).
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
O exemplo retorna o seletor de eventos configurado para a trilha. Isso registra em log eventos de gerenciamento somente gravação, incluindo eventos do AWS KMS.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Exemplo de trilha que não registra eventos de API de dados do Amazon RDS
O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailName a fim de incluir eventos de gerenciamento somente leitura e somente gravação, mas excluir eventos do Amazon RDS Data API. Como os eventos da API de dados do Amazon RDS são tratados como eventos de gerenciamento e pode haver um alto volume deles, eles podem ter um impacto substancial na fatura do CloudTrail, caso você tenha mais de uma trilha que capture eventos de gerenciamento. O usuário neste exemplo optou por excluir eventos do Amazon RDS Data API de todas as trilhas, exceto uma. Para excluir uma origem de evento, adicione ExcludeManagementEventSources ao seletor de eventos e especifique uma fonte de evento do Amazon RDS Data API no valor da string: rdsdata.amazonaws.com.
Se você optar por não registrar eventos de gerenciamento, os eventos do Amazon RDS Data API não serão registrados e você não pode alterar as configurações de log de eventos.
Para começar a registrar eventos de gerenciamento da API de dados do Amazon RDS em uma trilha novamente, transmita uma matriz vazia como o valor de ExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
O exemplo retorna o seletor de eventos configurado para a trilha.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para começar a registrar eventos de gerenciamento da API de dados do Amazon RDS em uma trilha novamente, transmita uma matriz vazia como o valor de ExcludeManagementEventSources, conforme mostrado no comando a seguir.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Interromper e iniciar o registro de uma trilha
Os comandos a seguir iniciam e interrompem o registro do CloudTrail.
aws cloudtrail start-logging --nameawscloudtrail-example
aws cloudtrail stop-logging --nameawscloudtrail-example
nota
Antes de excluir um bucket, execute o comando stop-logging para interromper o fornecimento de eventos ao bucket. Se você não interromper o registro, o CloudTrail tentará fornecer arquivos de log a um bucket com o mesmo nome por um período limitado.
Se você interromper o registro em log ou excluir uma trilha, o CloudTrail Insights será desabilitado nessa trilha.
Excluir uma trilha
Se você habilitou os eventos de gerenciamento do CloudTrail no Amazon Security Lake, é necessário manter pelo menos uma trilha organizacional que seja de várias regiões e registre os eventos de gerenciamento de read e write. Uma trilha não poderá ser excluída se ela for a única trilha que atenda a esse requisito, a menos que você desative os eventos de gerenciamento do CloudTrail no Security Lake.
Você pode excluir uma trilha com o comando a seguir. Só é possível excluir uma trilha na região em que ela foi criada (a região inicial).
Importante
Embora excluir uma trilha do CloudTrail seja uma ação irreversível, o CloudTrail não exclui arquivos de log do bucket do Amazon S3 dessa trilha, do próprio bucket do Amazon S3 ou do grupo de log do CloudWatch ao qual a trilha entrega eventos. A exclusão de uma trilha multirregional interrompe o registro em log de eventos em todas as regiões da AWS habilitadas em sua Conta da AWS. A exclusão de trilha de região única interrompe o registro em log de eventos somente nessa região. Não interrompe o registro em log de eventos em outras regiões, mesmo que as trilhas nessas outras regiões tenham nomes idênticos aos da trilha excluída.
Para obter informações sobre o encerramento de contas e a exclusão de trilhas do CloudTrail, consulte Fechamento da Conta da AWS e trilhas.
aws cloudtrail delete-trail --nameawscloudtrail-example
Ao excluir uma trilha, você não exclui o bucket do Amazon S3 ou o tópico do Amazon SNS associado a ela. Use o Console de gerenciamento da AWS, a AWS CLI ou a API de serviço para excluir esses recursos separadamente.
