Registrar em log eventos do Insights para uma trilha usando a AWS CLI Registrar em log eventos do Insights para um armazenamento de dados de eventos usando o AWS CLI

Registrar em log eventos do Insights com o AWS CLI

É possível configurar suas trilhas e seus armazenamentos de dados de eventos para registrar eventos do Insights em log usando a AWS CLI.

nota

Para registrar em log eventos do Insights relativos à taxa de chamadas de API, a trilha ou o datastore de eventos deve registrar em log eventos de gerenciamento de write. Para registrar em log eventos do Insights relativos à taxa de erros da API, a trilha ou o datastore de eventos deve registrar em log eventos de gerenciamento de read ou de write.

Tópicos

Registrar em log eventos do Insights para uma trilha usando a AWS CLI
Registrar em log eventos do Insights para um armazenamento de dados de eventos usando o AWS CLI

Registrar em log eventos do Insights para uma trilha usando a AWS CLI

Para retornar os seletores atuais do Insights para uma trilha, execute o comando get-insight-selectors.


aws cloudtrail get-insight-selectors --trail-name TrailName

O exemplo de resposta a seguir mostra os seletores do Insights para uma trilha denominada insights-trail.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
    "InsightSelectors": [
        {
            "InsightType": "ApiCallRateInsight"
        },
        {
            "InsightType": "ApiErrorRateInsight"
        }
    ]
}

Se a trilha não tiver o Insights habilitado, o comando get-insight-selectors retornará a seguinte mensagem de erro: “Ocorreu um erro (InsightNotEnabledException) ao chamar a operação GetInsightSelectors: a trilha arn:aws:cloudtrail:us-east-1:123456789012:trail/trailName não tem o Insights habilitado”. Edite as configurações da trilha para habilitar o Insights e tente a operação novamente.”

Para configurar a trilha para registrar em log eventos do Insights, execute o comando put-insight-selectors. O exemplo a seguir mostra como configurar a trilha para incluir eventos do Insights. Os valores do seletor Insights podem ser ApiCallRateInsight, ApiErrorRateInsight ou ambos.


aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

O resultado a seguir mostra o seletor de eventos do Insights que está configurado para a trilha.


{
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
 }

Registrar em log eventos do Insights para um armazenamento de dados de eventos usando o AWS CLI

Para habilitar o Insights em um armazenamento de dados de eventos, é necessário ter um armazenamento de dados de eventos de origem que registre eventos de gerenciamento e um armazenamento de dados de eventos de destino que registre eventos do Insights.

Para ver se os eventos do Insights estão habilitados em um armazenamento de dados de eventos, execute o comando get-insight-selectors.


aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Para ver se um armazenamento de dados de eventos está configurado para receber eventos do Insights ou eventos de gerenciamento, execute o comando get-event-data-store.


aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

Se um datastore de eventos estiver configurado para receber eventos do Insights, sua eventCategory estará configurado como Insight.

O procedimento a seguir mostra como criar os armazenamentos de dados de eventos de destino e origem e, em seguida, habilitar os eventos do Insights.

Execute o comando aws cloudtrail create-event-data-store para criar um armazenamento de dados de eventos de destino que coleta eventos do Insights. O valor de eventCategory deve ser Insight. Substitua retention-period-days pelo número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos.

Se você estiver conectado com a conta de gerenciamento de uma organização do AWS Organizations, inclua o parâmetro --organization-enabled se quiser conceder ao administrador delegado acesso ao armazenamento de dados de eventos.


aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

O seguinte é um exemplo de resposta.


{
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}

Você usará o ARN (ou o sufixo de ID do ARN) da resposta como o valor do parâmetro --insights-destination na etapa 3.

Execute o comando aws cloudtrail create-event-data-store para criar um armazenamento de dados de eventos que registre eventos de gerenciamento no log. Por padrão, os armazenamentos de dados de eventos registram todos os eventos de gerenciamento. Não é necessário especificar nenhum seletor de eventos avançado para registrar todos os eventos de gerenciamento. Substitua retention-period-days pelo número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos. Se você estiver criando um armazenamento de dados de eventos da organização, inclua o parâmetro --organization-enabled.


aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

O seguinte é um exemplo de resposta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}

Você usará o ARN (ou o sufixo de ID do ARN) da resposta como o valor do parâmetro --event-data-store na etapa 3.

Execute o comando put-insight-selectors para ativar os eventos do Insights. Os valores do seletor Insights podem ser ApiCallRateInsight, ApiErrorRateInsight ou ambos. Para o parâmetro --event-data-store, especifique o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos de origem que registra os eventos de gerenciamento e ativará o Insights. Para o parâmetro --insights-destination, especifique o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos de destino que registrará os eventos do Insights.


aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

O resultado a seguir mostra o seletor de eventos do Insights que está configurado para o armazenamento de dados de eventos.


{
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

Após você habilitar o CloudTrail Insights a primeira vez em um datastore de eventos, o CloudTrail pode levar até sete dias para começar a entregar eventos do Insights, desde que alguma atividade pouco usual seja detectada durante esse período.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Registrar em log eventos do Insights com o console do CloudTrail

Visualizar eventos do Insights para trilhas