O que é o AWS CloudTrail?

O AWS CloudTrail é um AWS service (Serviço da AWS) que ajuda você a habilitar a auditoria operacional e de risco, a governança e a conformidade da sua Conta da AWS. As ações realizadas por um usuário, uma função ou um serviço da AWS são registradas como eventos no CloudTrail. Os eventos incluem ações realizadas em Console de gerenciamento da AWS, AWS Command Line Interface, e AWS SDKs e APIs.

O CloudTrail fornece três maneiras de registrar eventos:

Histórico de eventos: o Histórico de eventos fornece um registro visualizável, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento em uma Região da AWS. É possível pesquisar eventos filtrando-os por um único atributo. Você recebe acesso automático ao Histórico de eventos ao criar sua conta. Para obter mais informações, consulte Trabalhar com o histórico de eventos do CloudTrail.

Não há cobranças do CloudTrail pela visualização do Histórico de eventos.
CloudTrail Lake: o AWS CloudTrail Lake é um data lake gerenciado que permite capturar, armazenar, acessar e analisar a atividade de usuários e APIs na AWS para fins de auditoria e segurança. O CloudTrail Lake converte eventos existentes em formato JSON baseado em linhas para o formato Apache ORC. O ORC é um formato colunar de armazenamento otimizado para recuperação rápida de dados. Os eventos são agregados em armazenamentos de dados de eventos, que são coleções imutáveis de eventos com base nos critérios que você seleciona aplicando seletores de eventos avançados. Você pode manter os dados do evento em um armazenamento de dados de eventos por até 3.653 dias (cerca de 10 anos) se escolher a opção de preço de retenção extensível de um ano ou até 2.557 dias (cerca de 7 anos) se escolher a opção de preço de retenção por sete anos. É possível criar um armazenamento de dados de eventos para uma única Conta da AWS ou para várias Contas da AWS usando o AWS Organizations. É possível importar quaisquer logs existentes do CloudTrail de seus buckets do S3 para um armazenamento de dados de eventos novo ou existente. Você também pode visualizar as principais tendências de eventos do CloudTrail com os Painéis do Lake. Para obter mais informações, consulte Trabalhar com o AWS CloudTrail Lake.

Os armazenamentos de dados e consultas de eventos do CloudTrail Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Ao executar consultas no Lake, você paga de acordo com a quantidade de dados examinados. Para obter informações sobre preços do CloudTrail e gerenciamento de custos do Lake consulte Preços do AWS CloudTrail e Gerenciar custos do CloudTrail Lake.
Trilhas: as trilhas capturam um registro das atividades da AWS, entregando e armazenando esses eventos em um bucket do Amazon S3, com entrega opcional para o CloudWatch Logs e o Amazon EventBridge. Você pode inserir esses eventos em suas soluções de monitoramento de segurança. Você também pode usar suas próprias soluções de terceiros ou soluções como o Amazon Athena para pesquisar e analisar seus logs do CloudTrail. É possível criar uma trilha para uma única Conta da AWS ou para várias Contas da AWS usando o AWS Organizations. Você pode registrar em log eventos do Insights para analisar os eventos de gerenciamento a fim de detectar comportamento anômalo nas taxas de chamadas de API e nas taxas de erros de API. Para obter mais informações, consulte Criar uma trilha para a sua Conta da AWS.

Uma cópia dos seus eventos de gerenciamento em andamento pode ser entregue no bucket do S3 sem nenhum custo via CloudTrail com a criação de uma trilha. No entanto, há cobranças de armazenamento do Amazon S3. Para obter mais informações sobre os preços do CloudTrail, consulte Preços do AWS CloudTrail. Para receber informações sobre a definição de preços do Amazon S3, consulte Definição de preços do Amazon S3.

A visibilidade das atividades na sua conta AWS é um aspecto importante de segurança e uma prática operacional recomendada. Você pode usar o CloudTrail para visualizar, pesquisar, baixar, arquivar, analisar e responder à atividade da conta em sua infraestrutura da AWS. É possível identificar quem ou o que fez qual ação, quais recursos foram aproveitados, quando o evento ocorreu e outros detalhes para ajudar a analisar e responder às atividades na sua conta AWS.

É possível integrar o CloudTrail a aplicações usando a API, automatizar a criação de trilhas ou de armazenamentos de dados de eventos para a sua organização, confirmar o status dos armazenamentos de dados de eventos e das trilhas que você criou e controlar como os usuários visualizam eventos do CloudTrail.

Acessar o CloudTrail

Você pode trabalhar com o CloudTrail de qualquer uma das formas a seguir.

Console do CloudTrail

Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

O console do CloudTrail fornece uma interface de usuário para realizar muitas tarefas do CloudTrail, como:

Visualizar eventos recentes e o histórico de eventos da sua conta AWS.
Baixar um arquivo filtrado ou completo de eventos de gerenciamento dos últimos 90 dias no Histórico de eventos.
Criar e editar trilhas do CloudTrail.
Criação e edição de armazenamentos de dados de eventos do CloudTrail.
Execução de consultas em armazenamentos de dados de eventos.
Configurar trilhas do CloudTrail, incluindo:
- Seleção de um bucket do Amazon S3 para trilhas.
- Definir um prefixo.
- Configurar a entrega no CloudWatch Logs.
- Uso de chaves do AWS KMS para criptografia de dados de trilhas.
- Habilitação de notificações do Amazon SNS para entrega de arquivos de log em trilhas.
- Adicione e gerencie as tags de suas trilhas.
Configuração de armazenamentos de dados de eventos do CloudTrail Lake, incluindo:
- Integração de armazenamentos de dados de eventos com parceiros do CloudTrail ou com suas próprias aplicações, para registrar em log eventos de fontes de fora da AWS.
- Federar armazenamentos de dados de eventos para executar consultas do Amazon Athena.
- Uso de chaves do AWS KMS para criptografia de dados de armazenamento de dados de eventos.
- Adição e gerenciamento de tags para seus armazenamentos de dados de eventos.

Para obter mais informações sobre o Console de gerenciamento da AWS, consulte Console de gerenciamento da AWS.

AWS CLI

A AWS Command Line Interface é uma ferramenta unificada que você pode usar para interagir com o CloudTrail a partir da linha de comando. Para obter mais informações, consulte o Guia do usuário do AWS Command Line Interface. Para obter uma lista completa de comandos da CLI do CloudTrail, consulte cloudtrail e cloudtrail-data na Referência de comandos da AWS CLI.

API do CloudTrail

Além do console e da CLI, você também pode usar as APIs RESTful do CloudTrail para programar o CloudTrail diretamente. Para obter mais informações, consulte a Referência da API do AWS CloudTrail e a Referência da API CloudTrail-Data.

SDKs da AWS

Como alternativa ao uso da API do CloudTrail, você pode usar um dos SDKs da AWS. Cada SDK consiste em bibliotecas e código de exemplo para várias plataformas e linguagens de programação. Os SDKs são uma forma conveniente de criar acesso programático ao CloudTrail. Por exemplo, você pode usar os SDKs para assinar solicitações de maneira criptográfica, gerenciar erros e realizar automaticamente novas tentativas de solicitações. Para obter mais informações, consulte a página Ferramentas para criar na AWS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como o CloudTrail funciona