Como o CloudTrail funciona
Você recebe acesso automático ao histórico de eventos do CloudTrail ao criar sua Conta da AWS. O Histórico de eventos fornece um registro visualizável, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento gravados em uma Região da AWS.
Para obter um registro contínuo de eventos em sua Conta da AWS dos últimos 90 dias, crie uma trilha ou um armazenamento de dados de eventos do CloudTrail Lake.
Tópicos
Histórico de eventos do CloudTrail
Você pode visualizar facilmente os eventos de gerenciamento dos últimos 90 dias no console do CloudTrail acessando a página Histórico de eventos. Você também pode visualizar o histórico de eventos executando o comando aws cloudtrail
lookup-events ou a operação da API LookupEvents. É possível pesquisar eventos no Histórico de eventos filtrando eventos em um único atributo. Para obter mais informações, consulte Trabalhar com o histórico de eventos do CloudTrail.
O Histórico de eventos não está conectado a nenhuma trilha ou armazenamento de dados de eventos existente em sua conta e não é afetado por alterações de configuração feitas em suas trilhas e seus armazenamentos de dados de eventos.
Não há cobranças do CloudTrail pela visualização da página Histórico de eventos ou pela execução do comando lookup-events.
CloudTrail Lake e armazenamentos de dados de eventos
Você pode criar um armazenamento de dados de eventos para registrar eventos do CloudTrail (eventos de gerenciamento, eventos de dados e eventos de atividade de rede), eventos do CloudTrail Insights, evidências do AWS Audit Manager, itens de configuração do AWS Config ou eventos externos à AWS.
Os armazenamentos de dados de eventos podem registrar em log eventos da Região da AWS atual ou de todas as Regiões da AWS em sua conta da AWS. Os armazenamentos de dados de eventos usados para registrar em log eventos de integração de fora da AWS devem ser apenas para uma única região, não podem ser armazenamentos de dados de eventos de várias regiões.
Se você criou uma organização no AWS Organizations, poderá criar um armazenamento de dados de eventos que registrará em log todos os eventos de todas as contas da AWS dessa organização. Os armazenamentos de dados de eventos da organização podem ser aplicados a todas as regiões da AWS, ou à região atual. Os armazenamentos de dados de eventos da organização devem ser criados com a conta de gerenciamento ou conta de administrador delegado e, quando especificados como aplicáveis a uma organização, são aplicados automaticamente a todas as contas-membro da respectiva organização. As contas de membro não podem ver o armazenamento de dados de eventos da organização, nem podem modificá-lo ou excluí-lo. Os armazenamentos de dados de eventos da organização não podem ser usados para coletar eventos de fora da AWS. Para obter mais informações, consulte Compreender os armazenamentos de dados de eventos da organização.
Por padrão, todos os eventos em um armazenamento de dados de eventos são criptografados pelo CloudTrail. Ao configurar um armazenamento de dados de eventos, você pode escolher usar sua própria AWS KMS key. O uso da sua própria chave do KMS gera custos de criptografia e decodificação do AWS KMS. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS. Para obter mais informações, consulte Criptografar arquivos de log, arquivos de resumo e datastores de eventos do CloudTrail com chaves do AWS KMS (SSE-KMS).
A tabela a seguir fornece informações sobre as tarefas que você pode executar em armazenamentos de dados de eventos.
| Tarefa | Descrição |
|---|---|
|
Agora é possível usar painéis do CloudTrail Lake para ver tendências de eventos para os datastores de eventos na sua conta. Você pode visualizar painéis gerenciados, criar painéis personalizados e habilitar o painel Destaques para ver os destaques dos seus dados do eventos, selecionados e gerenciados pelo CloudTrail Lake. |
|
|
Configure seu armazenamento de dados de eventos para registrar eventos somente leitura, somente gravação ou todos os eventos de gerenciamento. Por padrão, os armazenamentos de dados de eventos registram eventos de gerenciamento. Você pode filtrar eventos de gerenciamento com base nos seguintes campos do seletor de eventos avançados: |
|
|
Você pode usar seletores de eventos avançados para criar seletores refinados para registrar somente os eventos de dados de interesse. Ao usar seletores de eventos avançados, você pode fazer filtragens com base no campo |
|
|
Configure seu armazenamentos de dados de eventos para registrar eventos de atividade de rede. Você pode usar seletores de eventos avançados para filtrar os campos |
|
Configure os armazenamentos de dados de eventos para registrar eventos do Insights a fim de ajudar a identificar e responder a atividades incomuns associadas a chamadas de APIs de gerenciamento. Para obter mais informações, consulte Trabalhar com o CloudTrail Insights. Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail |
|
É possível copiar os eventos de trilha para um armazenamento de dados de eventos novo ou existente para criar um snapshot pontual dos eventos registrados na trilha. |
|
Habilitar a federação em um armazenamento de dados de eventos |
Você pode federar um armazenamento de dados de eventos para ver os metadados associados a ele no Catálogo de Dados do AWS Glue e executar consultas SQL nos dados do evento usando o Amazon Athena. Os metadados da tabela que estão armazenados no Catálogo de Dados do AWS Glue permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. |
Interromper ou iniciar a ingestão de eventos em um armazenamento de dados de eventos |
Você pode interromper e iniciar a ingestão de eventos em armazenamentos de dados de eventos que coletam eventos de gerenciamento e de dados do CloudTrail ou itens de configuração do AWS Config. |
É possível usar as integrações do CloudTrail Lake para registrar em log e armazenar dados de atividade do usuário de fora da AWS; de qualquer fonte em seus ambientes híbridos, como aplicações internas ou de SaaS hospedadas on-premises ou na nuvem, máquinas virtuais ou contêineres. Para obter informações sobre os parceiros de integração disponíveis, consulte Integrações do AWS CloudTrail Lake |
|
O console do CloudTrail fornece vários exemplos de consultas que podem ajudá-lo a começar a escrever suas próprias consultas. |
|
Consultas no CloudTrail são criadas em SQL. Você pode criar uma consulta na guia Editor do CloudTrail Lake escrevendo a consulta em SQL a partir do zero ou abrindo e editando uma consulta de exemplo salva. |
|
|
Ao executar uma consulta, você pode salvar os resultados de consulta em um bucket do S3. |
|
Você pode baixar um arquivo CSV contendo os resultados salvos de consulta do CloudTrail Lake. |
|
É possível usar a validação de integridade de resultados de consulta do CloudTrail para determinar se os resultados de consulta foram modificados, excluídos ou permanecem inalterados depois que o CloudTrail entregou os resultados da consulta ao bucket do S3. |
Para obter mais informações sobre o CloudTrail Lake, consulte Trabalhar com o AWS CloudTrail Lake.
Os armazenamentos de dados e consultas de eventos do CloudTrail Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Ao executar consultas no Lake, você paga de acordo com a quantidade de dados examinados. Para obter informações sobre preços do CloudTrail e gerenciamento de custos do Lake consulte Preços do AWS CloudTrail
Painéis do CloudTrail Lake
Agora é possível usar painéis do CloudTrail Lake para ver tendências de eventos para os datastores de eventos na sua conta. O CloudTrail Lake oferece os seguintes tipos de painéis:
-
Painéis gerenciados: é possível visualizar um painel gerenciado para ver as tendências de eventos para um datastore de eventos que coleta eventos de gerenciamento, eventos de dados ou eventos do Insights. Esses painéis estão automaticamente disponíveis para você e são gerenciados pelo CloudTrail Lake. O CloudTrail oferece 14 painéis gerenciados para você escolher. Você pode atualizar manualmente os painéis gerenciados. Não é possível modificar, adicionar ou remover os widgets desses painéis, mas poderá salvar um painel gerenciado como um painel personalizado se quiser modificar os widgets ou definir uma agenda de atualização.
-
Painéis personalizados: os painéis personalizados permitem que você consulte eventos em qualquer tipo de datastore de eventos. Você pode adicionar até dez widgets a um painel personalizado. Você pode atualizar manualmente um painel personalizado ou definir uma agenda de atualização.
-
Painéis de destaques: habilite o painel Destaques para ter uma visão geral rápida das atividades da AWS coletadas pelos datastores de eventos da sua conta. O painel Destaques é gerenciado pelo CloudTrail e inclui os widgets que são relevantes para sua conta. Os widgets mostrados no painel Destaques são específicos de cada conta. Esses widgets podem revelar atividades anormais ou as anomalias detectadas. Por exemplo, o painel Destaques pode incluir o widget Total acesso entre contas, que mostra se há um aumento de atividades anormais entre contas. O CloudTrail atualiza o painel Destaques a cada 6 horas. O painel mostra os dados das últimas 24 horas a partir da última atualização.
Cada painel consiste em um ou mais widgets e cada widget representa uma consulta SQL.
Para obter mais informações, consulte Painéis do CloudTrail Lake.
Trilhas do CloudTrail
Uma trilha é uma configuração que permite a entrega de eventos a um bucket do Amazon S3 especificado. Você também pode entregar e analisar eventos em uma trilha com o Amazon CloudWatch Logs e o Amazon EventBridge.
As trilhas podem registrar eventos de gerenciamento, eventos de dados, eventos de atividade de rede e eventos do Insights do CloudTrail.
Você pode criar trilhas de várias regiões e de uma única região para sua Conta da AWS.
- Trilhas de várias regiões
-
Quando você cria uma trilha multirregional, o CloudTrail registra os eventos de todas as Regiões da AWS que estão habilitadas na sua Conta da AWS e entrega os arquivos de log de eventos do CloudTrail a um bucket do S3 que você especifica. A prática recomendada é criar uma trilha multirregional porque ela captura atividade em todas as regiões habilitadas. Todas as trilhas criadas usando o console do CloudTrail são multirregionais. Você pode converter uma trilha de região única em uma trilha de várias regiões usando a AWS CLI. Para ter mais informações, consulte Noções básica sobre trilhas multirregionais e regiões opcionais, Criar uma trilha com o console e Converter uma trilha multirregional em uma trilha de região única.
- Trilhas de região única
-
Quando você cria uma trilha de única região, o CloudTrail registra os eventos somente nessa região. Desse modo, ele fornece os arquivos de log de eventos do CloudTrail para um bucket do Amazon S3 especificado por você. Só é possível criar uma trilha de região única usando a AWS CLI. Se você criar trilhas individuais adicionais, poderá fazer com que elas forneçam arquivos de log do CloudTrail ao mesmo bucket do S3 ou a buckets separados. Essa é a opção padrão quando você cria uma trilha usando AWS CLI ou a API do CloudTrail. Para obter mais informações, consulte Criar, atualizar e gerenciar trilhas com a AWS CLI.
nota
Para os dois tipos de trilhas, é possível especificar um bucket do Amazon S3 de qualquer região.
Se você criou uma organização no AWS Organizations, pode criar uma trilha de organização que registrará em log todos os eventos de todas as contas da AWS dessa organização. As trilhas da organização podem se aplicar a todas as regiões da AWS, ou à região atual. As trilhas da organização devem ser criadas com a conta de gerenciamento ou conta de administrador delegado e, quando especificadas como aplicáveis a uma organização, são aplicadas automaticamente a todas as contas-membro da respectiva organização. As contas-membro podem ver a trilha de organização, mas não podem modificá-las ou excluí-las. Por padrão, as contas de membro não têm acesso aos arquivos de log de uma trilha da organização no bucket do Amazon S3.
Por padrão, ao criar uma trilha no console do CloudTrail, os arquivos de log de eventos e os arquivos de resumo são criptografados com uma chave do KMS. Se você escolher não habilitar a criptografia SSE-KMS, os logs de eventos serão criptografados com a criptografia do lado do servidor (SSE) do Amazon S3. Você pode armazenar seus arquivos de log no seu bucket pelo tempo que quiser. Você também pode definir as regras de ciclo de vida do Amazon S3 para arquivar ou excluir os arquivos de log automaticamente. Se você deseja receber notificações sobre a entrega e a validação dos arquivos de log, configure as notificações do Amazon SNS.
O CloudTrail publica arquivos de log várias vezes em uma hora, aproximadamente a cada 5 minutos. Esses arquivos de log contêm chamadas de API de serviços na conta que oferece suporte ao CloudTrail. Para obter mais informações, consulte Serviços e integrações compatíveis com o CloudTrail.
nota
O CloudTrail normalmente entrega os logs em até 5 minutos após uma chamada à API. Desta vez não há garantias. Consulte o Acordo de Nível de Serviço do AWS CloudTrail
Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 estiver inacessível), o CloudTrail tentará reentregar os arquivos de log ao seu bucket do S3 por 30 dias, e esses eventos de tentativa de entrega estarão sujeitos às cobranças padrão do CloudTrail. Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.
O CloudTrail captura as ações feitas diretamente pelo usuário ou em nome do usuário por um serviço da AWS. Por exemplo, uma chamada CloudFormation CreateStack pode resultar em outras chamadas de API para o Amazon EC2, Amazon RDS, Amazon EBS ou outros serviços, conforme exigido pelo modelo CloudFormation. Esse comportamento é normal e esperado. Você pode identificar se a ação foi tomada por um serviço da AWS com o campo invokedby no evento do CloudTrail.
A tabela a seguir fornece informações sobre tarefas que você pode executar em trilhas.
| Tarefa | Descrição |
|---|---|
|
Configure suas trilhas para registrar eventos somente leitura, somente gravação ou todos os eventos de gerenciamento. |
|
|
Você pode usar seletores de eventos avançados para criar seletores refinados para registrar somente os eventos de dados de interesse. Ao usar seletores de eventos avançados, você pode fazer filtragens com base no campo |
|
|
Configure suas trilhas para registrar eventos de atividade de rede. Você pode configurar seletores de eventos avançados para filtrar os campos |
|
|
Configure as trilhas para registrar eventos de Insights a fim de ajudar a identificar e responder a atividade incomum associada às chamadas de API de gerenciamento de . Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail |
|
|
Depois de habilitar o CloudTrail Insights em uma trilha, você pode exibir até 90 dias de eventos do Insights usando o console do CloudTrail ou a AWS CLI. |
|
|
Depois de ativar o CloudTrail Insights em uma trilha, é possível baixar um arquivo CSV ou JSON que contém até os últimos 90 dias de eventos do Insights para a sua trilha. |
|
|
É possível copiar os eventos de trilhas existentes em um armazenamento de dados de eventos do CloudTrail Lake para criar um instantâneo pontual dos eventos registrados na trilha. |
|
|
Inscreva-se em um tópico para receber notificações sobre o fornecimento de arquivos de log ao seu bucket. O Amazon SNS pode notificar você de várias maneiras, inclusive de modo programático com o Amazon Simple Queue Service. notaSe você deseja receber notificações do SNS sobre a entrega de arquivos de log de todas as regiões, especifique apenas um tópico do SNS para a sua trilha. Se você deseja processar programaticamente todos os eventos, consulte Como usar a biblioteca de processamento do CloudTrail. |
|
|
Encontre e baixe seus arquivos de log do bucket do S3. |
|
|
É possível configurar a trilha para enviar eventos para o CloudWatch Logs. É possível usar o CloudWatch Logs para monitorar sua conta quanto à existência de eventos e chamadas de API específicos. notaSe você configurar uma trilha multirregional para enviar eventos a um grupo de log do CloudWatch Logs, o CloudTrail enviará eventos de todas as regiões para um único grupo de logs. |
|
|
Criptografar os arquivos de log e os arquivos de resumo com uma chave do KMS fornece uma camada extra de segurança para os dados do CloudTrail. |
|
|
A validação da integridade dos arquivos de log ajuda a verificar se eles permanecem inalterados desde que foram enviados pelo CloudTrail. |
|
|
Você pode compartilhar arquivos de log entre contas. |
|
|
Você pode agregar arquivos de log de várias contas em um único bucket. |
|
|
Analise os resultados do CloudTrail com uma solução de parceiros que se integre ao CloudTrail. As soluções de parceiros oferecem um amplo conjunto de recursos, como rastreamento de alterações, solução de problemas e análise de segurança. |
Uma cópia dos seus eventos de gerenciamento em andamento pode ser entregue no bucket do S3 sem nenhum custo via CloudTrail com a criação de uma trilha. No entanto, há cobranças de armazenamento do Amazon S3. Para obter mais informações sobre os preços do CloudTrail, consulte Preços do AWS CloudTrail
Eventos do CloudTrail Insights
O AWS CloudTrail Insights ajuda os usuários da AWS a identificar e responder a qualquer atividade pouco usual associada às taxas de chamadas de API e às taxas de erros de API, analisando continuamente os eventos de gerenciamento do CloudTrail. O CloudTrail Insights analisa seus padrões normais de volume de chamadas de API, também chamado de baseline, e gera eventos do Insights quando o volume está fora dos padrões normais. Eventos do Insights relativos à taxa de chamadas de API são gerados para APIs de gerenciamento de write e eventos do Insights relativos à taxa de erros da API são gerados para as APIs de gerenciamento de read e de write.
Por padrão, as trilhas e os armazenamentos de dados de eventos do CloudTrail não registram eventos do Insights. Você deve configurar suas trilhas ou seus armazenamentos de dados de eventos para registrar eventos do Insights. Para obter mais informações, consulte Registrar em log eventos do Insights com o console do CloudTrail e Registrar em log eventos do Insights com o AWS CLI.
Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail
Visualizar eventos do Insights para trilhas e armazenamentos de dados de eventos
O CloudTrail oferece suporte a eventos do Insights para trilhas e armazenamentos de dados de eventos. No entanto, existem algumas diferenças na forma como você visualiza e acessa os eventos do Insights.
Visualizar eventos do Insights para trilhas
Se os eventos do Insights estiverem habilitados em uma trilha e o CloudTrail detectar atividade incomum, os eventos do Insights serão registrados em uma pasta ou prefixo diferente do bucket do S3 de destino para a trilha. Também é possível ver o tipo de evento de insight e o período do incidente ao visualizar os eventos do Insights no console do CloudTrail. Para obter mais informações, consulte Visualizar eventos do Insights para trilhas com o console.
Após você habilitar o CloudTrail Insights a primeira vez em uma trilha, o CloudTrail pode levar até 36 horas para começar a entregar eventos do Insights após você habilitar eventos do Insights em uma trilha, desde que alguma atividade pouco usual seja detectada durante esse período.
Visualizar eventos do Insights para armazenamentos de dados de eventos
Para registrar eventos do Insights no CloudTrail Lake, é necessário ter um armazenamento de dados de eventos de origem que registre eventos do Insights e um armazenamento de dados de eventos de destino que habilite o Insights e registre eventos de gerenciamento. Para obter mais informações, consulte Criar um armazenamento de dados de eventos para eventos do Insights com o console.
Após você habilitar o CloudTrail Insights a primeira vez no datastore de eventos de origem, o CloudTrail pode levar até sete dias para começar a entregar eventos do Insights, desde que alguma atividade pouco usual seja detectada durante esse período.
Se o CloudTrail Insights estiver habilitado em um armazenamento de dados de eventos de origem e o CloudTrail detectar alguma atividade incomum, o CloudTrail entregará eventos do Insights ao armazenamento de dados de eventos de destino. Depois, você pode consultar o armazenamento de dados de eventos de destino para obter informações sobre os eventos do Insights e, opcionalmente, salvar os resultados da consulta em um bucket do S3. Para obter mais informações, consulte Criar ou editar uma consulta com o console do CloudTrail e Visualizar consultas de exemplo com o console do CloudTrail.
Você pode visualizar o painel Eventos do Insights para ver os eventos do Insights em seu datastore de eventos de destino. Para obter mais informações sobre painéis do Lake, consulte Painéis do CloudTrail Lake.
Canais do CloudTrail
O CloudTrail oferece suporte a dois tipos de canais:
- Canais para integrações do CloudTrail Lake com fontes de eventos de fora da AWS.
-
O CloudTrail Lake usa canais para trazer eventos externos à AWS para o CloudTrail Lake de parceiros externos que trabalham com o CloudTrail, ou de suas próprias fontes. Ao criar um canal, você escolhe um ou mais armazenamentos de dados de eventos para armazenar eventos que cheguem da fonte do canal. É possível alterar os armazenamentos de dados de eventos de destino de um canal conforme necessário, desde que os armazenamentos de dados de eventos de destino estejam configurados para registrar em log eventos de atividades. Ao criar um canal para eventos de um parceiro externo, você fornece um ARN de canal para o parceiro ou aplicação da fonte. A política de recursos anexada ao canal permite que a fonte transmita eventos pelo canal. Para obter mais informações, consulte Crie uma integração com uma fonte de eventos fora da AWS e
CreateChannelna Referência da API do AWS CloudTrail. - Canais vinculados ao serviço
-
Os serviços da AWS podem criar um canal vinculado ao serviço para receber eventos do CloudTrail em seu nome. O serviço da AWS que cria o canal vinculado a serviço configura seletores de eventos avançados para o canal e especifica se o canal é aplicado a todas as regiões ou à região atual.
Você pode usar o console do CloudTrail ou a AWS CLI para visualizar informações sobre quaisquer canais vinculados ao serviço do CloudTrail criado pelos Serviços da AWS.
