CloudTrail conceitos - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudTrail conceitos

Esta seção resume os conceitos básicos relacionados ao CloudTrail.

CloudTrail eventos

Um evento em CloudTrail é o registro de atividade em uma AWS contada. Esta atividade pode ser uma ação tomada por uma identidade do IAM que possa ser monitorada por CloudTrail. CloudTrailOs eventos fornecem um histórico de atividades de contas da API e não API feitas por meio do AWS Management Console, AWS SDKs, ferramentas de linha de comando e outros AWS serviços da.

CloudTrail Os arquivos de log não são um rastreamento de pilha ordenada de chamadas de API pública. Dessa forma, eles não são exibidos em uma ordem específica.

CloudTrail registra quatro tipos de eventos:

Todos os tipos de eventos usam o mesmo formato de log CloudTrail JSON.

Por padrão, as trilhas e os armazenamentos de dados de eventos registram eventos de gerenciamento, mas não eventos de dados ou do Insights.

Para obter informações sobre como Serviços da AWS integrar com CloudTrail, consulteAWS tópicos de serviço para CloudTrail.

Eventos de gerenciamento

Os Eventos de gerenciamento fornecem informações sobre operações de gerenciamento executadas em recursos na sua AWS conta da. Elas também são conhecidas como operações de plano de controle.

Exemplos de eventos de gerenciamento incluem:

  • Configurando a segurança (por exemplo, operações de AWS Identity and Access Management AttachRolePolicy API).

  • Registro de dispositivos (por exemplo, operações de EC2 CreateDefaultVpc API da Amazon).

  • Configuração de regras para roteamento de dados (por exemplo, operações de EC2 CreateSubnet API da Amazon).

  • Configurar o registro (por exemplo, operações de AWS CloudTrail CreateTrail API).

Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem na sua conta. Por exemplo, quando um usuário faz login na sua conta, CloudTrail registra o ConsoleLogin evento. Para obter mais informações, consulte Eventos não relacionados à API capturados por CloudTrail.

Por padrão, CloudTrail trilhas e dados de eventos do CloudTrail Lake registram eventos de gerenciamento. Para obter mais informações sobre como registrar eventos de gerenciamento em log, consulte Log de eventos de gerenciamento.

Eventos de dados

Os eventos de dados fornecem informações sobre as operações aplicadas a um recurso ou realizadas em um recurso. Elas também são conhecidas como operações de plano de dados. Eventos de dados geralmente são atividades de alto volume.

Exemplos de eventos de dados incluem:

A tabela a seguir mostra os tipos de recursos disponíveis para trilhas e armazenamentos de dados de eventos. A coluna Tipo de recurso (console) mostra a seleção apropriada no console. A coluna valor do resources.type mostra o resources.type valor que você especificaria para incluir eventos de dados desse tipo em sua trilha ou no armazenamento de dados de eventos usando o ou. AWS CLI CloudTrail APIs

Para trilhas, é possível usar seletores de eventos básicos ou avançados para registrar eventos de dados em objetos do Amazon S3 de uso geral, funções do Lambda e tabelas do DynamoDB (mostradas nas três primeiras linhas da tabela). É possível usar somente seletores de eventos avançados para registrar em log os tipos de recursos mostrados nas linhas restantes.

Para armazenamentos de dados de eventos, é possível usar somente seletores de eventos avançados para incluir eventos de dados.

AWS service (Serviço da AWS) Descrição Tipo de recurso (console) valor resources.type
Amazon DynamoDB

Atividade de API do Amazon DynamoDB no nível de objeto em tabelas (por exemplo, operações de API PutItem, DeleteItem e UpdateItem).

nota

Para tabelas com fluxos habilitados, o campo resources no evento de dados contém AWS::DynamoDB::Stream e AWS::DynamoDB::Table. Se você especificar AWS::DynamoDB::Table como resources.type, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Para excluir eventos de fluxos, adicione um filtro no campo eventName.

DynamoDB

AWS::DynamoDB::Table

AWS Lambda

AWS Lambda atividade de execução da função (a Invoke API).

Lambda AWS::Lambda::Function
Amazon S3

Atividade de APIs no nível de objeto do Amazon S3 (por exemplo, as operações de API GetObject, DeleteObject e PutObject) em objetos em buckets de uso geral.

S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig Atividade de API para operações de configuração, como chamadas para StartConfigurationSession GetLatestConfiguration e.

AWS AppConfig AWS::AppConfig::Configuration
AWS AppSync

AWS AppSync Atividade de API no AppSync GraphQL APIs.

AppSync GraphQL AWS::AppSync::GraphQLApi
AWS Intercâmbio de dados B2B

Atividade da API B2B Data Interchange para operações do Transformer, como chamadas para GetTransformerJob e StartTransformerJob.

B2B Data Interchange AWS::B2BI::Transformer
AWS Backup

AWS Backup Atividade da API Search Data em trabalhos de pesquisa.

AWS Backup Dados de pesquisa APIs AWS::Backup::SearchJob
Amazon Bedrock Atividade da API do Amazon Bedrock em um alias de agente. Alias de agente do Bedrock AWS::Bedrock::AgentAlias
Amazon Bedrock Atividade da API do Amazon Bedrock em invocações assíncronas. Invocação assíncrona Bedrock AWS::Bedrock::AsyncInvoke
Amazon Bedrock Atividade da API do Amazon Bedrock em um alias de fluxo. Alias de fluxo do Bedrock AWS::Bedrock::FlowAlias
Amazon Bedrock Atividade da API do Amazon Bedrock em barreiras de proteção. Barreira de proteção do Bedrock AWS::Bedrock::Guardrail
Amazon Bedrock Atividade da API do Amazon Bedrock em agentes em linha. Agente em linha Bedrock Invoke AWS::Bedrock::InlineAgent
Amazon Bedrock Atividade da API do Amazon Bedrock em uma base de conhecimento. Base de conhecimento do Bedrock AWS::Bedrock::KnowledgeBase
Amazon Bedrock Atividade da API do Amazon Bedrock em modelos. Modelo do Bedrock AWS::Bedrock::Model
Amazon Bedrock Atividade da API do Amazon Bedrock em solicitações. Bedrock prompt AWS::Bedrock::PromptVersion
Amazon Bedrock Atividade da API do Amazon Bedrock em sessões. Sessão Bedrock AWS::Bedrock::Session
Amazon CloudFront

CloudFront Atividade de API em um KeyValueStore.

CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map Atividade de API em um namespace. AWS Cloud Map namespace AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map Atividade de API em um serviço. AWS Cloud Map serviço AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsatividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS.

CloudTrail canal AWS::CloudTrail::Channel
Amazon CloudWatch

Atividade da CloudWatch API da Amazon em métricas.

CloudWatch métrica AWS::CloudWatch::Metric
Amazon CloudWatch Network Flow Monitor

Atividade da API Amazon CloudWatch Network Flow Monitor em monitores.

Network Flow Monitor AWS::NetworkFlowMonitor::Monitor
Amazon CloudWatch Network Flow Monitor

Atividade da API Amazon CloudWatch Network Flow Monitor em escopos.

Escopo do monitor de fluxo de rede AWS::NetworkFlowMonitor::Scope
Amazon CloudWatch RUM

Atividade da API do Amazon CloudWatch RUM em monitores de aplicativos.

Monitor de aplicativos do RUM AWS::RUM::AppMonitor
Amazon CodeGuru Profiler CodeGuru Atividade da API Profiler em grupos de criação de perfil. CodeGuru Grupo de criação de perfil do Profiler AWS::CodeGuruProfiler::ProfilingGroup
Amazon CodeWhisperer Atividade da CodeWhisperer API da Amazon em uma personalização. CodeWhisperer personalização AWS::CodeWhisperer::Customization
Amazon CodeWhisperer Atividade CodeWhisperer da API da Amazon em um perfil. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Atividade da API do Amazon Cognito em bancos de identidades do Amazon Cognito.

Bancos de identidades do Cognito AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange Atividade da API do em ativos.

Ativo do Data Exchange

AWS::DataExchange::Asset

AWS Deadline Cloud

Atividade da API do Deadline Cloud em frotas.

Deadline Cloud frota

AWS::Deadline::Fleet

AWS Deadline Cloud

Atividade da API do Deadline Cloud em trabalhos.

Deadline Cloud emprego

AWS::Deadline::Job

AWS Deadline Cloud

Atividade da API do Deadline Cloud em filas.

Deadline Cloud fila

AWS::Deadline::Queue

AWS Deadline Cloud

Atividade da API do Deadline Cloud em operadores.

Deadline Cloud trabalhador

AWS::Deadline::Worker

Amazon DynamoDB

Atividade de API do Amazon DynamoDB em fluxos.

DynamoDB Streams AWS::DynamoDB::Stream
AWS SMS de mensagens dos usuários finais da AWS Atividade da API de SMS de mensagens dos usuários finais da em identidades de origem. Identidade de origem de voz por SMS AWS::SMSVoice::OriginationIdentity
AWS SMS de mensagens dos usuários finais da AWS Atividade da API de SMS de mensagens para o usuário final nas mensagens. Mensagem de voz SMS AWS::SMSVoice::Message
AWS Mensagens sociais dos usuários finais da AWS Atividade da API de mensagens sociais dos usuários finais da em número de telefone IDs. ID do número de telefone das mensagens sociais AWS::SocialMessaging::PhoneNumberId
AWS Mensagens sociais dos usuários finais da AWS Atividade da API de mensagens sociais dos usuários finais da no Waba IDs. Waba ID de mensagens sociais AWS::SocialMessaging::WabaId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) diretamente APIs, comoPutSnapshotBlock, GetSnapshotBlock e em snapshots do ListChangedBlocks Amazon EBS.

Amazon EBS direto APIs AWS::EC2::Snapshot
Amazon EMR Atividade da API do Amazon EMR em um espaço de trabalho de log de gravação antecipada. Espaço de trabalho de log de gravação antecipada do EMR AWS::EMRWAL::Workspace
Amazon FinSpace

Atividade de API do Amazon FinSpace em ambientes.

FinSpace AWS::FinSpace::Environment
Streams de GameLift servidores da Amazon

A atividade da API Amazon GameLift Servers Streams em aplicativos.

GameLift Aplicação Streams AWS::GameLiftStreams::Application
Streams de GameLift servidores da Amazon

Atividade da API Amazon GameLift Servers Streams em grupos de stream.

GameLift Grupo de streams AWS::GameLiftStreams::StreamGroup
AWS Glue

AWS Glue Atividade da API do em tabelas criadas pelo Lake Formation.

Lake Formation AWS::Glue::Table
Amazon GuardDuty

Atividade de GuardDuty API da Amazon para um detector.

GuardDuty detector AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging Atividade de API em armazenamentos de dados.

MedicalImaging armazenamento de dados AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT Atividade de API em certificados.

Certificado de IoT AWS::IoT::Certificate
AWS IoT

AWS IoT Atividade de API em coisas.

Coisa da IoT AWS::IoT::Thing
AWS IoT Greengrass Version 2

Atividade da API do Greengrass de um dispositivo principal do Greengrass em uma versão de componente.

nota

O Greengrass não registra eventos de acesso negado.

Versão do componente de IoT do Greengrass AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

Atividade da API do Greengrass de um dispositivo principal do Greengrass em uma implantação.

nota

O Greengrass não registra eventos de acesso negado.

Implantação do IoT Greengrass AWS::GreengrassV2::Deployment
AWS IoT SiteWise

Atividade da SiteWise API de IoT em ativos.

Ativo de IoT SiteWise AWS::IoTSiteWise::Asset
AWS IoT SiteWise

Atividade da SiteWise API de IoT em séries temporais.

Série temporal de IoT SiteWise AWS::IoTSiteWise::TimeSeries
AWS IoT SiteWise Assistente

Atividade da API do Sitewise Assistant em conversas.

Conversa com o Sitewise Assistant AWS::SitewiseAssistant::Conversation
AWS IoT TwinMaker

Atividade da TwinMaker API de IoT em uma entidade.

Entidade de IoT TwinMaker AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

Atividade da TwinMaker API de IoT em um espaço de trabalho.

Espaço de trabalho de IoT TwinMaker AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking

Atividade da API do Amazon Kendra Intelligent Ranking em planos de execução de reclassificação.

Kendra Ranking AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (para Apache Cassandra) Atividade da API do Amazon Keyspaces em uma tabela. Tabela do Cassandra AWS::Cassandra::Table
Amazon Kinesis Data Streams Atividade da API do Kinesis Data Streams em fluxos. Fluxo do Kinesis AWS::Kinesis::Stream
Amazon Kinesis Data Streams Atividade da API do Kinesis Data Streams em consumidores de fluxo. Consumidor do fluxo do Kinesis AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Atividade da API do Kinesis Video Streams, como chamadas para GetMedia e PutMedia. Fluxo de vídeo do Kinesis AWS::KinesisVideo::Stream
Amazon Location Maps Atividade da API do Amazon Location Maps. Mapas geográficos AWS::GeoMaps::Provider
Amazon Location Places Atividade da API do Amazon Location Places. Locais geográficos AWS::GeoPlaces::Provider
Amazon Location Routes Atividade da API do Amazon Location Routes. Rotas geográficas AWS::GeoRoutes::Provider
Amazon Machine Learning Atividade da API do Machine Learning em modelos de ML. Aprendizagem automática MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

Atividade da API do Amazon Managed Blockchain em uma rede.

Rede do Managed Blockchain AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Chamadas de JSON-RPC do Amazon Managed Blockchain em nós Ethereum, como eth_getBalance ou eth_getBlockByNumber.

Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Managed Blockchain Query

Atividade da API do Amazon Managed Blockchain Query.

Consulta ao Blockchain Gerenci AWS::ManagedBlockchainQuery::QueryAPI
Amazon Managed Workflows for Apache Airflow

Atividade da API do Amazon MWAA em ambientes.

Apache Airflow gerenciado AWS::MWAA::Environment
Gráfico do Amazon Neptune

Atividades da API de dados, por exemplo, consultas, algoritmos ou pesquisa vetorial, em um gráfico do Neptune.

Gráfico do Neptune AWS::NeptuneGraph::Graph
Amazon One Enterprise

Atividade da API do Amazon One Enterprise em uma UKey.

Amazon One UKey AWS::One::UKey
Amazon One Enterprise

Atividade da API do Amazon One Enterprise sobre usuários.

Usuário do Amazon One AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography Atividade da API do em aliases. Alias de criptografia de pagamento AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography Atividade da API do em chaves. Chave de criptografia de pagamento AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Atividade da API do Connector para Active Directory.

AWS Private CA Connector para Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Conector para atividade da API do SCEP.

AWS Private CA Conector para SCEP da AWS::PCAConnectorSCEP::Connector
Amazon Pinpoint

Atividade da API Amazon Pinpoint em aplicativos móveis de segmentação.

Aplicativo de segmentação móvel AWS::Pinpoint::App
Amazon Q Apps

Atividade da API de dados no Amazon Q Apps.

Amazon Q Apps AWS::QApps::QApp
Amazon Q Apps

Atividade da API de dados em sessões do Amazon Q App.

Sessão do aplicativo Amazon Q AWS::QApps::QAppSession
Amazon Q Business

Atividade da API do Amazon Q Business em uma aplicação.

Aplicação do Amazon Q Business AWS::QBusiness::Application
Amazon Q Business

Atividade da API do Amazon Q Business em uma fonte de dados.

Fonte de dados do Amazon Q Business AWS::QBusiness::DataSource
Amazon Q Business

Atividade da API do Amazon Q Business em um índice.

Índice do Amazon Q Business AWS::QBusiness::Index
Amazon Q Business

Atividade da API do Amazon Q Business em uma experiência na web.

Experiência na web do Amazon Q Business AWS::QBusiness::WebExperience
Amazon Q Developer

Atividade da API do Amazon Q Developer em uma integração.

Q Integração para desenvolvedores AWS::QDeveloper::Integration
Amazon Q Developer

Atividade da Amazon Q Developer API em investigações operacionais.

AIOps Grupo de Investigação AWS::AIOps::InvestigationGroup
Amazon RDS

Atividade da API do Amazon RDS em um cluster de banco de dados.

API de dados do RDS: cluster de banco de dados AWS::RDS::DBCluster
Explorador de recursos da AWS

Atividade da API Resource Explorer em visualizações gerenciadas.

Explorador de recursos da AWS visualização gerenciada AWS::ResourceExplorer2::ManagedView
Explorador de recursos da AWS

Atividade da API Resource Explorer nas visualizações.

Explorador de recursos da AWS view AWS::ResourceExplorer2::View
Amazon S3

Atividade da API do Amazon S3 em pontos de acesso.

Ponto de acesso do S3 AWS::S3::AccessPoint
Amazon S3

Atividade da API no nível de objeto do Amazon S3 (por exemplo, as operações de API GetObject, DeleteObject e PutObject) em objetos em buckets de diretório.

S3 Express AWS::S3Express::Object
Amazon S3

Atividade da API em pontos de acesso do Amazon S3 Object Lambda, como chamadas para CompleteMultipartUpload e GetObject.

S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Tabelas do Amazon S3

Atividade da API Amazon S3 em tabelas.

Tabela S3 AWS::S3Tables::Table
Tabelas do Amazon S3

Atividade da API do Amazon S3 em baldes de mesa.

Balde de mesa S3 AWS::S3Tables::TableBucket
Amazon S3 on Outposts

Atividade da API em nível de objeto do Amazon S3 on Outposts.

S3 Outposts AWS::S3Outposts::Object
SageMaker IA da Amazon InvokeEndpointWithResponseStreamAtividade de SageMaker IA da Amazon em endpoints. SageMaker Endpoint de IA AWS::SageMaker::Endpoint
SageMaker IA da Amazon

Atividade da API do Amazon SageMaker AI em armazenamentos de recursos.

SageMaker AI feature store AWS::SageMaker::FeatureGroup
SageMaker IA da Amazon

Atividade da Amazon SageMaker AI API em componentes de testes experimentais.

SageMaker Componente de avaliação de experimento de métricas de IA AWS::SageMaker::ExperimentTrialComponent
AWS Signer

Atividade da API Signer na assinatura de trabalhos.

Signatário assinando emprego AWS::Signer::SigningJob
AWS Signer

Atividade da API Signer em perfis de assinatura.

Perfil de assinatura do signatário AWS::Signer::SigningProfile
Amazon SimpleDB

Atividade da API Amazon SimpleDB em domínios.

Domínio SimpleDB AWS::SDB::Domain
Amazon Simple Email Service

Atividade da API do Amazon Simple Email Service (Amazon SES) em conjuntos de configurações.

Conjunto de configurações do SES AWS::SES::ConfigurationSet
Amazon Simple Email Service

Atividade da API do Amazon Simple Email Service (Amazon SES) em identidades de e-mail.

Identidade SES AWS::SES::EmailIdentity
Amazon Simple Email Service

Atividade da API do Amazon Simple Email Service (Amazon SES) em modelos.

Modelo SES AWS::SES::Template
Amazon SNS

Operações da API Publish do Amazon SNS em endpoints da plataforma.

Endpoint da plataforma SNS AWS::SNS::PlatformEndpoint
Amazon SNS

Operações da API Publish e PublishBatch do Amazon SNS em tópicos.

Tópico do SNS AWS::SNS::Topic
Amazon SQS

Atividade da API do Amazon SQS em mensagens.

SQS AWS::SQS::Queue
AWS Step Functions

Atividade da API Step Functions em atividades.

Step Functions AWS::StepFunctions::Activity
AWS Step Functions

Atividade da API Step Functions em máquinas de estado.

Máquina de estado do Step Functions AWS::StepFunctions::StateMachine
Cadeia de Suprimentos AWS

Cadeia de Suprimentos AWS Atividade da API da em uma instância.

Cadeia de suprimentos AWS::SCN::Instance
Amazon SWF

Atividade da API do Amazon SWF em domínios.

Domínio do SWF AWS::SWF::Domain
AWS Systems Manager Atividade da API do Systems Manager em canais de controle. Systems Manager (Gerenciador de sistemas) AWS::SSMMessages::ControlChannel
AWS Systems Manager Atividade da API do Systems Manager em avaliações de impacto. Avaliação de impacto do SSM AWS::SSM::ExecutionPreview
AWS Systems Manager Atividade da API do Systems Manager em nós gerenciados. Nó gerenciado pelo Systems Manager AWS::SSM::ManagedNode
Amazon Timestream Atividade da API Query do Amazon Timestream em bancos de dados. Banco de dados do Timestream AWS::Timestream::Database
Amazon Timestream Atividade da API Amazon Timestream em endpoints regionais. Endpoint regional Timestream AWS::Timestream::RegionalEndpoint
Amazon Timestream Atividade da API Query do Amazon Timestream em tabelas. Tabela do Timestream AWS::Timestream::Table
Amazon Verified Permissions

Atividade da API do Amazon Verified Permissions em um repositório de políticas.

Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client WorkSpaces Atividade da API Thin Client em um dispositivo. Dispositivo Thin Client AWS::ThinClient::Device
Amazon WorkSpaces Thin Client WorkSpaces Atividade da API Thin Client em um ambiente. Ambiente Thin Client AWS::ThinClient::Environment
AWS X-Ray

Atividade da API do X-Ray em rastreamentos.

Rastreamento do X-Ray AWS::XRay::Trace

Eventos de dados não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de CloudTrail dados, é necessário adicionar explicitamente cada tipo de recurso para os quais você deseja coletar atividade. Para obter mais informações sobre log de eventos de dados, consulte Eventos de dados de log.

Há cobranças adicionais para o registro de eventos de dados. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

Eventos de atividade de rede

CloudTrail Os eventos de atividade de rede permitem que proprietários de endpoints da VPC gravem chamadas de AWS API da feitas usando seus endpoints da VPC de uma VPC privada para o. AWS service (Serviço da AWS) Os eventos de atividade de rede fornecem visibilidade nas operações de recurso executadas dentro de uma VPC.

Você pode registrar eventos de atividade de rede para os seguintes serviços:

  • AWS AppConfig

  • AWS B2B Data Interchange

  • Gerenciamento de Faturamento e Custos

  • AWS Calculadora de Preços

  • AWS Cost Explorer

  • AWS CloudHSM

  • Amazon Comprehend Medical

  • AWS CloudTrail

  • Exportações de dados da AWS

  • Amazon DynamoDB

  • Amazon EC2

  • Amazon Elastic Container Service

  • Amazon EventBridge Scheduler

  • Nível gratuito da AWS

  • Amazon FSx

  • AWS IoT FleetWise

  • Faturamento da AWS

  • AWS KMS

  • AWS Lambda

  • Amazon Lookout for Equipment

  • Amazon Rekognition

  • Amazon S3

  • AWS Secrets Manager

  • AWS Systems Manager Incident Manager

  • Amazon Textract

  • Amazon WorkMail

Eventos de atividade de rede não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de atividade de CloudTrail rede, é preciso definir claramente a fonte de eventos para a qual você deseja coletar atividade. Para obter mais informações, consulte Registrar em log os eventos de atividade de rede.

Cobranças adicionais são aplicáveis ao registro em log dos eventos de atividade de rede. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

Eventos do Insights

CloudTrail Eventos do Insights capturam uma taxa de chamada de API incomum ou atividade de taxa de erro em sua AWS conta da analisando a atividade CloudTrail de gerenciamento. Os eventos do Insights fornecem informações relevantes, como a API associada, a hora do incidente e estatísticas, que ajudam a entender e agir com relação à atividade incomum. Ao contrário de outros tipos de eventos capturados em um armazenamento de dados de CloudTrail trilhas ou eventos, os eventos do Insights são registrados em log somente quando CloudTrail detecta alterações no log de uso ou de taxa de erros da API da conta que diferem significativamente dos padrões de uso típicos da conta. Para obter mais informações, consulte Trabalhando com o CloudTrail Insights.

Exemplos de atividades que podem gerar eventos do Insights incluem:

  • Sua conta geralmente registra em log no máximo 20 chamadas de API do deleteBucket Amazon S3 por minuto, mas sua conta começa a registrar em log uma média de 100 chamadas de API deleteBucket por minuto. Um evento do Insights é registrado em log no início da atividade incomum e outro evento do Insights é registrado em log para marcar o fim da atividade incomum.

  • Sua conta geralmente registra em log 20 chamadas por minutos para a EC2 AuthorizeSecurityGroupIngress API da Amazon, mas sua conta começa a registrar em log zero chamada paraAuthorizeSecurityGroupIngress. Um evento do Insights é registrado em log no início da atividade incomum, e dez minutos depois, quando a atividade incomum termina, outro evento do Insights é registrado em log para marcar o fim da atividade incomum.

  • Sua conta normalmente registra menos de um AccessDeniedException erro em um período de sete dias no AWS Identity and Access Management API, DeleteInstanceProfile. Sua conta começa a registrar uma média de 12 AccessDeniedException erros por minuto na DeleteInstanceProfile chamada de API. Um evento do Insights é registrado no início da atividade incomum e outro evento do Insights é registrado para marcar o fim da atividade incomum.

Esses exemplos são fornecidos somente para fins ilustrativos. Seus resultados podem variar dependendo do seu caso de uso.

Para registrar em log eventos do CloudTrail Insights, é necessário habilitar explicitamente os eventos do Insights em uma trilha ou em um armazenamento de dados de eventos novo ou existente. Para obter mais informações sobre a criação de uma trilha, consulte Criar uma trilha com o CloudTrail console. Para obter mais informações sobre como criar um armazenamento de dados de eventos, consulte Criar um armazenamento de dados de eventos para eventos do Insights com o console.

Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte AWS CloudTrail Preço.

Histórico de eventos

CloudTrail O histórico de eventos fornece um registro visualizável, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento em uma CloudTrail . Região da AWS Você pode usar esse histórico para obter visibilidade das ações realizadas em sua AWS conta nas ferramentas de linha de comando AWS Management Console AWS SDKs,, e em outros AWS serviços. Você pode personalizar a visualização do histórico de eventos no CloudTrail console selecionando quais colunas são exibidas. Para obter mais informações, consulte Trabalhando com o histórico de CloudTrail eventos.

Trilhas

Uma trilha é uma configuração que permite a entrega de CloudTrail eventos para um bucket do S3, com entrega opcional para a CloudWatch Logs e a Amazon EventBridge. Você pode usar uma trilha para escolher os CloudTrail eventos que você quer enviar, criptografar os seus arquivos de log de CloudTrail eventos com uma AWS KMS chave do e configurar as notificações do Amazon SNS para entrega de arquivos de log. Para obter mais informações sobre como criar e gerenciar uma trilha, consulte Criando uma trilha para o seu Conta da AWS.

Trilhas de várias regiões e de região única

Você pode criar trilhas de várias regiões e de uma única região para sua Conta da AWS.

Trilhas de várias regiões

Quando você cria uma trilha de várias regiões, CloudTrail registra os eventos de todas Regiões da AWS as habilitadas na sua Conta da AWS e fornece os arquivos de log de CloudTrail eventos para um bucket do S3 especificado por você. Como prática recomendada, recomendamos criar uma trilha multirregional porque ela captura a atividade em todas as regiões habilitadas. As trilhas criadas usando o CloudTrail console são trilhas de várias regiões. Você pode converter uma trilha de região única em uma trilha de várias regiões usando a. AWS CLI Para ter mais informações, consulte Entendendo trilhas multirregionais e regiões optativas, Criar uma trilha com o console e Conversão de uma trilha de uma única região em uma trilha de várias regiões.

Trilhas de região única

Quando você cria uma trilha de região única, CloudTrail registra os eventos somente nessa região. Desse modo, ele fornece os arquivos de log de CloudTrail eventos para um bucket do Amazon S3 especificado por você. Só é possível criar uma trilha de região única usando a AWS CLI. Se você criar trilhas individuais adicionais, poderá fazer com que elas forneçam arquivos de log de CloudTrail eventos ao mesmo bucket do S3 ou a buckets separados. Essa é a opção padrão quando você cria uma trilha usando AWS CLI ou a CloudTrail API. Para obter mais informações, consulte Criando, atualizando e gerenciando trilhas com o AWS CLI.

nota

Para os dois tipos de trilhas, é possível especificar um bucket do Amazon S3 de qualquer região.

Uma trilha de várias regiões tem as seguintes vantagens:

  • As definições de configuração da trilha se aplicam de maneira consistente a todas as habilitadas Regiões da AWS.

  • Você recebe CloudTrail eventos de todas as habilitadas Regiões da AWS em um único bucket do Amazon S3 e, opcionalmente, em um grupo de logs de CloudWatch logs.

  • Você gerencia configuração da trilha para todas as em Regiões da AWS um único local.

Criar uma trilha de várias regiões tem os seguintes efeitos:

  • CloudTrail fornece arquivos de log de atividades da conta de todas as habilitadas Regiões da AWS no único bucket do Amazon S3 especificado e, opcionalmente, para um grupo de logs de logs de CloudWatch logs.

  • Se você configurou um tópico do Amazon SNS para a trilha, as notificações do SNS sobre as entregas de arquivos de log de todas as Regiões da AWS habilitadas serão enviadas a esse único tópico do SNS.

  • Você pode ver a trilha multirregional em todas as opções ativadas Regiões da AWS, mas só pode modificá-la na região de origem em que ela foi criada.

Independentemente de uma trilha ser de várias regiões ou de uma única região, os eventos enviados para a Amazon EventBridge serão recebidos no barramento de eventos de cada região, em vez de em um único barramento de eventos.

Várias trilhas por região

Se você tiver grupos de usuários diferentes, porém relacionados, como desenvolvedores, equipe de segurança e auditores de TI, poderá criar várias trilhas por região. Isso permite que cada grupo receba sua própria cópia dos arquivos de log.

CloudTrail oferece suporte a cinco trilhas por região. Um trilha de várias regiões conta como uma trilha por região.

O exemplo a seguir é de uma região com cinco trilhas:

  • Você duas trilhas na região Oeste dos EUA (Norte da Califórnia) que se aplicam somente a essa região.

  • Você cria mais duas trilhas de várias regiões na região Oeste dos EUA (Norte da Califórnia).

  • Você cria outra trilha de várias regiões na região Ásia-Pacífico (Sydney). Esta trilha também existe como uma trilha na região Oeste dos EUA (Norte da Califórnia).

Você pode visualizar uma lista de trilhas em uma Região da AWS na página Trilhas do CloudTrail console. Para obter mais informações, consulte Atualizar uma trilha com o CloudTrail console. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

Trilhas da organização

Uma trilha da organização é uma configuração que permite a entrega de CloudTrail eventos na conta de gerenciamento e todas as contas-membro em uma AWS Organizations organização no mesmo bucket do Amazon S3, CloudWatch Logs e Amazon. EventBridge Criar uma trilha da organização ajuda você a definir uma estratégia de registro de eventos uniforme para sua organização.

Todas as trilhas da organização criadas usando o console são trilhas de organização de várias regiões que registram eventos de logs das habilitadas Regiões da AWS em cada conta-membro da organização. Para registrar em log eventos de logs em todas AWS as partições da em sua organização, crie uma trilha de organização de várias regiões em cada partição. Você pode criar uma trilha de região única ou uma trilha da organização de várias regiões usando a AWS CLI. Ao criar uma trilha de região única, você registrará atividades somente na da trilha Região da AWS (também chamada de região de Origem).

Embora a maioria das Regiões da AWS estejam habilitadas por padrão na sua Conta da AWS, você deve habilitar determinadas regiões manualmente (também chamadas de regiões de adesão). Para obter informações sobre quais regiões estão habilitadas por padrão, consulte Considerações antes de habilitar ou desabilitar regiões no Guia de referência da AWS Gerenciamento de contas . Para ver a lista de regiões CloudTrail compatíveis, consulteCloudTrail Regiões suportadas.

Ao criar uma trilha da organização, uma cópia da trilha com o nome atribuído a ela é criada nas contas-membro que pertencem à sua organização.

  • Se a trilha da organização for de uma região única e a região de Origem da trilha não for uma região de adesão, uma cópia da trilha será criada na região de Origem da trilha da organização na conta de cada membro.

  • Se a trilha da organização for de uma região única e a região de Origem da trilha for uma região de adesão, uma cópia da trilha será criada na região de Origem da trilha da organização nas contas-membros que habilitaram essa região.

  • Se a trilha da organização for de várias regiões e a região de origem da trilha não for uma região de adesão, uma cópia da trilha será criada em cada habilitada Região da AWS em cada conta-membro. Quando uma conta-membro habilita uma região de adesão, uma cópia da trilha de várias regiões é criada na região selecionada para a conta-membro após a conclusão da ativação dessa região.

  • Se a trilha da organização for de várias regiões e a região de Origem for uma região de adesão, as contas-membro não enviarão atividades à trilha da organização, a menos que haja adesão à Região da AWS onde a trilha de várias regiões foi criada. Por exemplo, se você criar uma trilha de várias regiões e escolher a região Europa (Espanha) como a região de Origem da trilha, somente as contas-membro que habilitaram a região Europa (Espanha) para sua conta enviarão a atividade da conta para a trilha da organização.

nota

CloudTrail cria trilhas de organização nas contas-membro, mesmo que a validação de um recurso falhe. Exemplos de falhas de validação incluem:

  • uma política de bucket do Amazon S3 incorreta

  • uma política de tópico do Amazon SNS incorreta

  • incapacidade de entregar a um grupo de CloudWatch registros de registros

  • permissões insuficientes para criptografar usando uma chave do KMS

Uma conta-membro com CloudTrail permissões pode ver qualquer falha de validação em uma trilha da organização visualizando a página de detalhes da trilha no CloudTrail console ou executando o AWS CLI get-trail-statuscomando.

Os usuários com CloudTrail permissões em contas-membro poderão ver as trilhas da organização (incluindo o ARN da trilha) quando fizerem login no CloudTrail console do de suas AWS contas da ou quando executarem AWS CLI comandos da, como describe-trails (embora contas-membro devam usar o ARN para a trilha da organização, e não o nome, ao usar a). AWS CLI No entanto, os usuários de contas-membro não terão permissões suficientes para excluir trilhas da organização, ativar ou desativar o registro em log, alterar quais tipos de eventos são registrados ou alterar a trilha da organização. Para obter mais informações sobre o AWS Organizations, consulte Terminologia e conceitos da organização. Para obter mais informações sobre como criar e trabalhar com trilhas da organização, consulte Criar uma trilha para uma organização.

CloudTrail Armazenamentos de dados de lagos e eventos

CloudTrail O Lake permite que sejam executadas consultas minuciosas baseadas em SQL em seus eventos, e registra em log eventos de fontes de fora da AWS, inclusive de suas próprias aplicações, e de parceiros integrados a. CloudTrail Você não precisa ter uma trilha configurada em sua conta para usar o CloudTrail Lake.

Os eventos são agregados em armazenamentos de dados de eventos, que são coleções imutáveis de eventos com base nos critérios que você seleciona aplicando seletores de eventos avançados. Você pode manter os dados do evento em um armazenamento de dados de eventos por até 3.653 dias (cerca de 10 anos) se escolher a opção de preço de retenção extensível de um ano ou até 2.557 dias (cerca de 7 anos) se escolher a opção de preço de retenção por sete anos. Você pode salvar consultas do Lake para uso futuro e visualizar resultados de consultas por até sete dias. Também é possível salvar resultados de consultas em um bucket do S3. CloudTrail O Lake também pode armazenar eventos de uma organização AWS Organizations em um armazenamento de dados de eventos, ou eventos de várias regiões e contas. CloudTrail O Lake faz parte de uma solução de auditoria que ajuda você a realizar investigações de segurança e solução de problemas. Para obter mais informações, consulte Trabalhar com o AWS CloudTrail Lake e CloudTrail Conceitos e terminologia do lago.

CloudTrail Percepções

CloudTrail O Insights ajuda AWS os usuários a identificar e a responder a volumes incomuns de chamadas de API ou erros registrados em chamadas de API analisando continuamente os eventos CloudTrail de gerenciamento. Um evento do Insights é um registro de níveis incomuns de write atividade da API de gerenciamento ou níveis incomuns de erros retornados na atividade da API de gerenciamento. Por padrão, as trilhas e os armazenamentos de dados de eventos não registram eventos do CloudTrail Insights. No console, é possível optar por registrar em log eventos do Insights ao criar ou atualizar uma trilha ou um armazenamento de dados de eventos. Ao usar a CloudTrail API, é possível registrar em log eventos do Insights editando as configurações de uma trilha ou de um armazenamento de dados de eventos existente com a PutInsightSelectorsAPI. Cobranças adicionais são aplicáveis ao registro em log de eventos do CloudTrail Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Trabalhando com o CloudTrail Insights e Definição de preço do AWS CloudTrail.

Tags

Uma tag é uma chave definida pelo cliente e um valor opcional que pode ser atribuído a AWS recursos da, como CloudTrail trilhas, armazenamentos de dados de eventos e canais, buckets do S3 usados para armazenar arquivos de CloudTrail log, AWS Organizations organizações e unidades organizacionais e muito mais. Ao adicionar as mesmas tags a trilhas e aos buckets do S3 que você usa para armazenar arquivos de log das trilhas, é possível facilitar o gerenciamento, a pesquisa e a filtragem desses recursos com o AWS Resource Groups. Você pode implementar estratégias de marcação para ajudá-lo a encontrar e gerenciar seus recursos de forma consistente, efetiva e fácil. Para obter mais informações, consulte Práticas recomendadas de marcação de AWS recursos da.

AWS Security Token Service and CloudTrail

AWS Security Token Service O (AWS STS) é um serviço que tem um endpoint global e também oferece suporte a endpoints específicos da região. Endpoint é um URL que é o ponto de entrada para solicitações de web service. Por exemplo, https://cloudtrail.us-west-2.amazonaws.com é o ponto de entrada regional do Oeste dos EUA (Oregon) para o AWS CloudTrail serviço. Os endpoints regionais ajudam a reduzir a latência em suas aplicações.

Quando você usa um endpoint AWS STS específico de uma região, a trilha nessa região fornece apenas os AWS STS eventos do que ocorrem nessa região. Por exemplo, se você estiver usando o endpoint sts.us-west-2.amazonaws.com, a trilha em us-west-2 fornece apenas os eventos AWS STS originados em us-west-2. Para obter mais informações sobre endpoints AWS STS regionais, consulte Ativação e desativação AWS STS em uma AWS região no Guia do usuário do IAM.

Para obter uma lista completa de endpoints AWS regionais, consulte AWS Regiões e endpoints no. Referência geral da AWS Para ver detalhes sobre os eventos do endpoint global AWS STS , consulte Eventos de serviços globais.

Eventos de serviços globais

Importante

Desde 22 de novembro de 2021, o AWS CloudTrail alterou a forma como as trilhas capturam eventos de serviços globais. Agora, os eventos criados pela Amazon CloudFront AWS Identity and Access Management, e AWS STS são registrados na região em que foram criados, região Leste dos EUA (Norte da Virgínia), us-east-1. Isso torna o CloudTrail tratamento dedicado a esses serviços compatível com o de outros produtos AWS globais da. Para continuar recebendo eventos de serviços globais fora do Leste dos EUA (Norte da Virgínia), certifique-se de converter as trilhas de região única que usam eventos de serviços globais fora do Leste dos EUA (Norte da Virgínia) para trilhas de várias regiões. Para obter mais informações sobre como capturar eventos de serviços globais, consulte Como habilitar e desabilitar o registro de eventos de serviços globais que aparece adiante nesta seção.

Por outro lado, o Histórico de eventos no CloudTrail console e o aws cloudtrail lookup-events comando mostrarão esses eventos na em Região da AWS que eles ocorreram.

Para a maioria dos serviços, os eventos são registrados na região em que a ação ocorreu. Para serviços globais, como AWS Identity and Access Management (IAM) AWS STS, e Amazon CloudFront, os eventos são fornecidos a qualquer trilha que inclua serviços globais.

Para a maioria dos serviços globais, os eventos são registrados como ocorridos em uma região Leste dos EUA (Norte da Virgínia), mas alguns eventos de serviço globais são registrados como ocorridos em outras regiões, como a região Leste dos EUA (Ohio) ou a região Oeste dos EUA (Oregon).

Para evitar o recebimento de eventos de serviços globais duplicados, lembre-se do seguinte:

  • Os eventos de serviços globais são fornecidos por padrão para trilhas criadas por meio do CloudTrail console. Os eventos resumo são fornecidos ao bucket da trilha.

  • Se você tiver várias trilhas de região única, considere a possibilidade de configurar suas trilhas para que os eventos de serviços globais sejam fornecidos somente em uma das trilhas. Para obter mais informações, consulte Como habilitar e desabilitar o registro de eventos de serviços globais.

  • Quando você converte uma trilha de várias regiões em uma trilha de região única, o registro em log de eventos de serviços globais é desativado automaticamente para essa trilha. Do mesmo modo, quando você converte uma trilha de região única em uma trilha de várias regiões, o registro em log de eventos de serviços globais é ativado automaticamente para essa trilha.

    Para obter mais informações sobre como alterar o registro de eventos de serviços globais de uma trilha, consulte Como habilitar e desabilitar o registro de eventos de serviços globais.

Exemplo:

  1. Crie uma trilha no CloudTrail console. Por padrão, essa trilha registra eventos de serviços globais.

  2. Você tem várias trilhas de região única.

  3. Não é necessário incluir serviços globais para as trilhas de região única. Os eventos de serviços globais são fornecidos à primeira trilha. Para obter mais informações, consulte Criando, atualizando e gerenciando trilhas com o AWS CLI.

nota

Quando você cria ou atualiza uma trilha com AWS CLI,, ou CloudTrail API AWS SDKs, é possível especificar se deseja incluir ou excluir os eventos de serviços globais para as trilhas. Não é possível configurar o registro de eventos de serviços globais pelo CloudTrail console.