Eventos de gerenciamento Ler e gravar eventos Registro de eventos de gerenciamento com o Console de gerenciamento da AWS Registro de eventos de gerenciamento com o AWS CLI Registro em log de eventos de gerenciamento com os SDKs da AWS

Log de eventos de gerenciamento

Por padrão, as trilhas e os armazenamentos de dados de eventos registram em log os eventos de gerenciamento e não incluem eventos de dados nem eventos do Insights.

Há cobranças adicionais para eventos de dados ou eventos do Insights. Para obter mais informações, consulte Preços do AWS CloudTrail.

Sumário

Eventos de gerenciamento

Os eventos de gerenciamento fornecem visibilidade nas operações de gerenciamento executadas em recursos na sua conta da AWS. Também são conhecidas como operações de ambiente de gerenciamento. Exemplos de eventos de gerenciamento incluem:

Configuração da segurança (por exemplo, operações de API AttachRolePolicy do IAM)
Registro de dispositivos (por exemplo, operações de API CreateDefaultVpc do Amazon EC2)
Configuração de regras para roteamento de dados (por exemplo, operações de API CreateSubnet do Amazon EC2)
Configuração de registro (por exemplo, operações de API do AWS CloudTrail CreateTrail).

Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem na sua conta. Por exemplo, quando um usuário faz login na sua conta, o CloudTrail registra o evento ConsoleLogin. Para obter mais informações, consulte Eventos que não são da API capturados pelo CloudTrail.

Por padrão, as trilhas e os armazenamentos de dados de eventos são configurados para registrar eventos de gerenciamento em log.

nota

O recurso do CloudTrail Event history (Histórico de eventos) oferece suporte somente a eventos de gerenciamento. Não é possível excluir eventos da API de dados do Amazon RDS ou do AWS KMS do Histórico de eventos; as configurações aplicadas a uma trilha não se aplicam ao Histórico de eventos. Para obter mais informações, consulte Trabalhar com o histórico de eventos do CloudTrail.

Ler e gravar eventos

Ao configurar a trilha ou o armazenamento de dados de eventos para registrar em log eventos de gerenciamento, é possível especificar se você deseja eventos somente leitura, eventos somente gravação, ou ambos.

Leitura

Os eventos somente leitura incluem operações de API que leem seus recursos, mas não fazem alterações. Por exemplo, os eventos somente leitura incluem as operações de API DescribeSecurityGroups e DescribeSubnets do Amazon EC2. Essas operações retornam apenas informações sobre os recursos do Amazon EC2. Elas não alteram suas configurações.
Write

Os eventos somente gravação incluem operações de API que modificam (ou podem modificar) seus recursos. Por exemplo, as operações de API RunInstances e TerminateInstances do Amazon EC2 modificam suas instâncias.

Exemplo: registro de eventos de leitura e gravação para trilhas separadas

O exemplo a seguir mostra como você pode configurar as trilhas para dividir as atividades de log de uma conta em buckets do S3 separados: um bucket recebe eventos somente leitura e um segundo bucket recebe eventos somente gravação.

Crie uma trilha e escolha um bucket do S3 chamado amzn-s3-demo-bucket1 para receber os arquivos de log. Depois, atualize a trilha para especificar se deseja eventos de gerenciamento somente Read (Leitura).
Crie uma segunda trilha e escolha um bucket do S3 chamado amzn-s3-demo-bucket2 para receber os arquivos de log. Então, atualize a trilha para especificar se deseja eventos de gerenciamento somente Write (Gravação).
As operações de API DescribeInstances e TerminateInstances do Amazon EC2 ocorrem na sua conta.
A operação de API DescribeInstances é um evento somente leitura que corresponde às configurações da primeira trilha. A trilha registra e fornece o evento para amzn-s3-demo-bucket1.
A operação de API TerminateInstances é um evento somente gravação que corresponde às configurações da segunda trilha. A trilha registra e fornece o evento para amzn-s3-demo-bucket2.

Registro de eventos de gerenciamento com o Console de gerenciamento da AWS

Esta seção descreve como atualizar as configurações de evento de gerenciamento para uma trilhas ou um datastore de eventos existente.

Tópicos

Atualizar as configurações de evento de gerenciamento para uma trilha existente
Atualizar as configurações de evento de gerenciamento para uma datastore de eventos existente

Atualizar as configurações de evento de gerenciamento para uma trilha existente

Use o procedimento a seguir para atualizar as configurações de evento de gerenciamento para uma trilha existente.

Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.
Abrir a página Trails (Trilhas) do console do CloudTrail e escolha o nome da trilha.
Em Management events (Eventos de gerenciamento), escolha Edit (Editar).
- Escolha se você deseja registrar em log eventos de leitura, gravação ou ambas.
- Escolha Excluir eventos do AWS KMS para filtrar eventos do AWS Key Management Service (AWS KMS) e excluí-los da trilha. A configuração padrão é incluir todos os eventos do AWS KMS.
  
  A opção para registrar ou excluir eventos do AWS KMS só estará disponível se você registrar eventos de gerenciamento em sua trilha. Se você optar por não registrar eventos de gerenciamento, os eventos do AWS KMS não serão registrados e você não pode alterar as configurações de log de eventos AWS KMS.
  
  As ações do AWS KMS, como Encrypt, Decrypt e GenerateDataKey normalmente geram um grande volume (mais de 99%) de eventos. Agora essas ações são registradas em log como eventos de Leitura. Ações do AWS KMS relevantes, de baixo volume, como Disable, Delete e ScheduleKey (que normalmente representam menos de 0,5% do volume de eventos do AWS KMS) são registradas em log como eventos de gravação.
  
  Para excluir eventos de alto volume, como Encrypt, Decrypt eGenerateDataKey, mas ainda registra eventos relevantes como Disable, Delete e ScheduleKey, escolha para registrar Write (Gravação) e desmarque a caixa de seleção para Exclude AWS KMS events (Excluir eventos do KMS).
- Escolha Exclude Amazon RDS Data API events (Excluir eventos da API de dados do Amazon RDS) para filtrar eventos da API de dados do Amazon Relational Database Service fora da trilha. A configuração padrão é incluir todos os eventos da API de dados do Amazon RDS. Para obter mais informações sobre eventos da API de dados do Amazon RDS, consulte Registrar em log chamadas da API de dados com o AWS CloudTrail no Manual do usuário do Amazon RDS for Aurora.
Após terminar, escolha Salvar alterações.

Atualizar as configurações de evento de gerenciamento para uma datastore de eventos existente

Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.
Abra a página Armazenamento de dados de eventos, do console do CloudTrail e escolha o nome do datastore de eventos.
Em Eventos de gerenciamento, escolha Editar e defina as seguintes configurações:
1. Escolha entre Coleta de eventos simples e Coleta de eventos avançados:
  - Escolha Coleta de eventos simples se quiser registrar em log todos os eventos, apenas eventos de leitura ou apenas eventos de gravação. Você também pode optar por excluir eventos de gerenciamento do AWS Key Management Service e da API de dados do Amazon RDS.
  - Escolha Coleta de eventos avançados se quiser incluir ou excluir eventos de gerenciamento com base nos valores dos campos avançados do seletor de eventos, incluindo os campos eventName, eventType, eventSource e userIdentity.arn.
2. Escolha Coleta de eventos simples, escolha se deseja registrar em log todos os eventos, apenas eventos de leitura ou apenas eventos de gravação. Você também pode optar por excluir eventos de gerenciamento do AWS KMS e do Amazon RDS.
3. Se você selecionou Coleta de eventos avançados, faça as seguintes seleções:
  1. Em Modelo do seletor de logs, escolha um modelo predefinido ou Personalizado para compilar uma configuração personalizada com base nos valores dos campos do seletor de eventos avançados.
    
    Você pode escolher entre os seguintes modelos predefinidos:
    - Registrar em log todos os eventos: escolha esse modelo para registrar em log todos os eventos.
    - Registrar em log apenas eventos de leitura: escolha esse modelo para registrar em log apenas os eventos de leitura. Eventos somente leitura são eventos que não alteram o estado de um recurso, como eventos Get* ou Describe*.
    - Registrar em log apenas eventos de gravação: escolha esse modelo para registrar em log apenas os eventos de gravação. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*.
    - Registrar em log apenas eventos do Console de gerenciamento da AWS: escolha esse modelo para registrar em log apenas os eventos originários do Console de gerenciamento da AWS.
    - Excluir eventos iniciados pelo AWS service (Serviço da AWS): escolha esse modelo para excluir os eventos do AWS service (Serviço da AWS), que têm um eventType de AwsServiceEvent, e eventos iniciados com perfis vinculados ao AWS service (Serviço da AWS) (SLRs).
  2. (Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançados, como “Registrar em log eventos de gerenciamento das sessões do Console de gerenciamento da AWS”. O nome do seletor é listado como Name no seletor de eventos avançado e poderá ser visualizado se você expandir a visualização JSON.
  3. Se você escolheu Personalizado, em Seletores de eventos avançados, compile uma expressão com base nos valores dos campos do seletor de eventos avançados.
    
    nota
    Os seletores não são compatíveis com o uso de curingas, como *. Para combinar vários valores com uma única condição, você pode usar StartsWith, EndsWith, NotStartsWith ou NotEndsWith para corresponder explicitamente ao início ou ao fim do campo do evento.
    1. Escolha um dos seguintes campos:
      readOnly: readOnly pode ser definido como igual a um valor de true ou false. Quando definido como false, o datastore de eventos registra em log os eventos de gerenciamento somente gravação. Eventos de gerenciamento somente leitura são eventos que não alteram o estado de um recurso, como os eventos Get* ou Describe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar em log os eventos de leitura e gravação, não adicione um seletor readOnly.
      
      eventName – eventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de gerenciamento, como CreateAccessPoint ou GetAccessPoint.
      
      userIdentity.arn: inclua ou exclua eventos de ações realizadas por identidades do IAM específicas. Para obter mais informações, consulte Elemento userIdentity do CloudTrail.
      
      sessionCredentialFromConsole: inclua ou exclua eventos originários de uma sessão do Console de gerenciamento da AWS. Esse campo pode ser definido como igual a ou não igual a um valor de true.
      
      eventSource: você pode usá-lo para incluir ou excluir origens de eventos específicas. A eventSource normalmente é uma forma abreviada do nome do serviço sem espaços acrescida de .amazonaws.com. Por exemplo, você pode definir eventSource equals to ec2.amazonaws.com para registrar em log apenas eventos de gerenciamento do Amazon EC2.
      
      eventType: o eventType a ser incluído ou excluído. Por exemplo, é possível definir esse campo como não igual a AwsServiceEvent para excluir eventos do AWS service (Serviço da AWS).
    2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.
      
      Para obter informações sobre como o CloudTrail avalia várias condições, consulte Como o CloudTrail avalia várias condições para um campo.
      
      nota
      É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.
    3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos.
  4. Opcionalmente, expanda a JSON view (Exibição de JSON) para ver seus seletores de eventos avançados como um bloco JSON.
4. Escolha Habilitar a captura de eventos do Insights para habilitar o Insights. Para habilitar o Insights, é necessário configurar um armazenamento de dados de eventos de destino para coletar eventos do Insights com base na atividade de eventos de gerenciamento nesse armazenamento de dados de eventos.
  
  Se você optar por ativar o Insights, siga estas instruções.
  1. Escolha o armazenamento de eventos de destino que registrará em log os eventos do Insights. O armazenamento de dados de eventos de destino coletará eventos do Insights com base na atividade de gerenciamento de eventos nesse armazenamento de dados de eventos. Para obter informações sobre como criar o armazenamento de dados de eventos de destino, consulte Para criar um armazenamento de dados de eventos de destino que registra eventos do Insights.
  2. Escolha os tipos de Insights. É possível escolher a Taxa de chamadas à API, a Taxa de erros da API ou ambas. Você deve registrar eventos de gerenciamento de gravação para registrar em log eventos do Insights sobre a taxa de chamadas à API. É necessário registrar eventos de gerenciamento de leitura ou gravação para registrar em log eventos do Insights sobre a taxa de erros da API.
Após terminar, escolha Salvar alterações.

Registro de eventos de gerenciamento com o AWS CLI

É possível configurar suas trilhas ou seus armazenamentos de dados de eventos para registrar eventos de gerenciamento em log usando a AWS CLI.

Tópicos

Exemplos: registrar em log eventos de gerenciamento para trilhas
Exemplos: registrar em log eventos de gerenciamento para armazenamentos de dados de eventos

Exemplos: registrar em log eventos de gerenciamento para trilhas

Para visualizar se a trilha está registrando em log os eventos de gerenciamento, execute o comando get-event-selectors.


aws cloudtrail get-event-selectors --trail-name TrailName

O exemplo a seguir retorna as configurações padrão de uma trilha. Por padrão, as trilhas registram em log todos os eventos de gerenciamento, registram em log eventos de todas as origens de evento e não registram em log eventos de dados.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ]
}

Você pode usar seletores de eventos básicos ou avançados para registrar eventos de gerenciamento. Não é possível aplicar seletores de eventos e seletores de eventos avançados a uma trilha. Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos. As seções a seguir fornecem exemplos de como registrar eventos de gerenciamento usando seletores de eventos básicos e avançados.

Tópicos

Exemplos: registrar em log eventos de gerenciamento de trilhas usando seletores de eventos avançados
Exemplos: registrar em log eventos de gerenciamento de trilhas usando seletores de eventos avançados

Exemplos: registrar em log eventos de gerenciamento de trilhas usando seletores de eventos avançados

O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailName a fim de incluir eventos de gerenciamento somente leitura e somente gravação (omitindo o seletor readOnly), mas excluir eventos do AWS Key Management Service (AWS KMS). Como os eventos do AWS KMS são tratados como eventos de gerenciamento e pode haver um alto volume deles, eles podem ter um impacto substancial na fatura do CloudTrail, caso você tenha mais de uma trilha que capture eventos de gerenciamento.

Se você optar por não registrar eventos de gerenciamento, os eventos do AWS KMS não serão registrados e você não pode alterar as configurações de log de eventos AWS KMS.

Para começar a registrar eventos do AWS KMS para uma trilha novamente, remova o seletor eventSource e execute o comando novamente.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except KMS events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
    ]
  }
]'

O exemplo retorna os seletores de eventos avançados configurados para a trilha.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except KMS events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "kms.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Para começar a registrar eventos excluídos para uma trilha novamente, remova o seletor eventSource e execute o comando novamente.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

O exemplo a seguir cria um seletor de eventos avançado para uma trilha chamada TrailName a fim de incluir eventos de gerenciamento somente leitura e somente gravação (omitindo o seletor readOnly), mas excluir eventos de gerenciamento da API de dados do Amazon RDS. Para excluir eventos de gerenciamento da API de dados do Amazon RDS, especifique a fonte do evento da API de dados do Amazon RDS no valor da string para o campo eventSource: rdsdata.amazonaws.com.

Se você optar por não registrar eventos de gerenciamento, os eventos de gerenciamento da API de dados do Amazon RDS não serão registrados em log e você não poderá alterar as configurações de registro em log de eventos da API de dados do Amazon RDS.

Para começar a registrar em log os eventos de gerenciamento da API de dados do Amazon RDS em uma trilha novamente, remova o seletor eventSource e execute o comando novamente.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except Amazon RDS Data API management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
    ]
  }
]'

O exemplo retorna os seletores de eventos avançados configurados para a trilha.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except Amazon RDS Data API management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "rdsdata.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Para começar a registrar eventos excluídos para uma trilha novamente, remova o seletor eventSource e execute o comando novamente.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

Exemplos: registrar em log eventos de gerenciamento de trilhas usando seletores de eventos avançados

Para configurar a trilha para registrar em log eventos de gerenciamento, execute o comando put-event-selectors. O exemplo a seguir mostra como configurar a trilha para incluir todos os eventos de gerenciamento para dois objetos do S3. Você pode especificar seletores de eventos de 1 a 5 para uma trilha. Você pode especificar recursos de dados de 1 a 250 para uma trilha.

nota

O número máximo de recursos de dados do S3 é 250, independentemente do número de seletores de evento.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'

O exemplo a seguir retorna o seletor de evento configurado para a trilha.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Type": "AWS::S3::Object",
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ]  
                }
            ],
            "ExcludeManagementEventSources": []
        }
    ]
}

Para excluir eventos do AWS Key Management Service (AWS KMS) dos logs de uma trilha, execute o comando put-event-selectors e adicione o atributo ExcludeManagementEventSources com um valor de kms.amazonaws.com. O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailName a fim de incluir eventos de gerenciamento somente leitura e somente gravação, mas excluir eventos do AWS KMS. Como o AWS KMS pode gerar um alto volume de eventos, o usuário deste exemplo pode querer limitar os eventos para gerenciar o custo de uma trilha.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'

O exemplo a seguir retorna o seletor de eventos configurado para a trilha:


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "kms.amazonaws.com"
            ]
        }
    ]
}

Para excluir eventos de gerenciamento da API de dados do Amazon RDS dos logs de uma trilha, execute o comando put-event-selectors e adicione o atributo ExcludeManagementEventSources com um valor de rdsdata.amazonaws.com. O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailName a fim de incluir eventos de gerenciamento somente leitura e somente gravação, mas excluir eventos de gerenciamento da API de dados do Amazon RDS. Como a API de dados do Amazon RDS pode gerar um alto volume de eventos de gerenciamento, o usuário, neste exemplo, pode querer limitar os eventos para gerenciar o custo de uma trilha.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "rdsdata.amazonaws.com"
            ]
        }
    ]
}

Para iniciar o registro em log do AWS KMS ou eventos de gerenciamento da API de dados do Amazon RDS em uma trilha novamente, transmita uma string vazia como o valor de ExcludeManagementEventSources, conforme mostrado no comando a seguir.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Para registrar eventos relevantes do AWS KMS em uma trilha, como Disable, Delete e ScheduleKey, mas excluir eventos de alto volume do AWS KMS, como Encrypt, Decrypt e GenerateDataKey, registre em log eventos de gerenciamento somente gravação e mantenha a configuração padrão para registrar em log eventos do AWS KMS, conforme mostrado no exemplo a seguir.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Exemplos: registrar em log eventos de gerenciamento para armazenamentos de dados de eventos

Você registra em log eventos de gerenciamento para datastores de eventos configurando seletores de eventos avançados.

Os seguintes campos avançados do seletor de eventos são compatíveis com o registro em log de eventos de gerenciamento em datastore de eventos:

eventCategory: você deve definir eventCategory igual a Management para registrar em log eventos de gerenciamento. Este é um campo obrigatório.
readOnly: readOnly pode ser definido como Equals a um valor de true ou false. Quando definido como false, o datastore de eventos registra em log os eventos de gerenciamento somente gravação. Eventos de gerenciamento somente leitura são eventos que não alteram o estado de um recurso, como os eventos Get* ou Describe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar em log os eventos de leitura e gravação, não adicione um seletor readOnly.
eventName – eventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de gerenciamento, como CreateAccessPoint ou GetAccessPoint. Você pode usar qualquer operador com o campo.
userIdentity.arn: inclua ou exclua eventos de ações realizadas por identidades do IAM específicas. Para obter mais informações, consulte Elemento userIdentity do CloudTrail.
sessionCredentialFromConsole: inclua ou exclua eventos originários de uma sessão do Console de gerenciamento da AWS. Esse campo pode ser definido como igual a ou NotEquals com um valor de true.
eventSource: você pode usá-lo para incluir ou excluir origens de eventos específicas. A eventSource normalmente é uma forma abreviada do nome do serviço sem espaços acrescida de .amazonaws.com. Por exemplo, você pode configurar eventSource Equals a ec2.amazonaws.com para registrar em log somente eventos de gerenciamento do Amazon EC2.
eventType: o eventType a ser incluído ou excluído. Por exemplo, é possível definir esse campo como NotEquals AwsServiceEvent para excluir eventos do AWS service (Serviço da AWS). Você pode usar qualquer operador com o campo.

Para verificar se o armazenamento de dados de eventos inclui eventos de gerenciamento, execute o comando get-event-data-store.


aws cloudtrail get-event-data-store
--event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

O seguinte é um exemplo de resposta. A criação e os horários da última atualização estão no formato timestamp.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "myManagementEvents",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00",
    "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00"
}

Para criar um armazenamento de dados de eventos que inclua todos os eventos de gerenciamento, execute o comando create-event-data-store. Não é necessário especificar nenhum seletor de eventos avançado para incluir todos os eventos de gerenciamento.


aws cloudtrail create-event-data-store
--name my-event-data-store
--retention-period 90\

O seguinte é um exemplo de resposta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00",
    "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00"
}

Exemplos:

Exemplo: excluir eventos de gerenciamento do AWS KMS
Exemplo: excluir eventos de gerenciamento do Amazon RDS
Exemplo: excluir eventos de AWS service (Serviço da AWS) e eventos de sessões do Console de gerenciamento da AWS
Exemplo: excluir eventos de gerenciamento para uma identidade do IAM específica

Exemplo: excluir eventos de gerenciamento do AWS KMS

Para criar um armazenamento de dados de eventos que exclua eventos do AWS Key Management Service (AWS KMS), execute o comando create-event-data-store e especifique que eventSource não seja igual a kms.amazonaws.com. O exemplo a seguir cria um armazenamento de dados de eventos que inclui eventos de gerenciamento somente leitura e somente gravação, mas exclui eventos do AWS KMS.


aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]}
        ]
    }
]'

O seguinte é um exemplo de resposta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "kms.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

Exemplo: excluir eventos de gerenciamento do Amazon RDS

Para criar um armazenamento de dados de eventos que exclua eventos de gerenciamento da API de dados do Amazon RDS, execute o comando create-event-data-store e especifique que eventSource não seja igual a rdsdata.amazonaws.com. O exemplo a seguir cria um armazenamento de dados de eventos que inclui eventos de gerenciamento somente leitura e somente gravação, mas exclui eventos da API de dados do Amazon RDS.


aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]}
        ]
    }
]'

O seguinte é um exemplo de resposta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "rdsdata.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

Exemplo: excluir eventos de AWS service (Serviço da AWS) e eventos de sessões do Console de gerenciamento da AWS

O exemplo a seguir cria um datastore de eventos que registra em log eventos de gerenciamento, mas exclui eventos de AWS service (Serviço da AWS) e eventos originários de sessões do Console de gerenciamento da AWS.


aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
    {
        "Name": "Exclude AWS service (Serviço da AWS) and console events",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventType","NotEquals": ["AwsServiceEvent"]},
            {"Field": "sessionCredentialFromConsole","NotEquals": ["true"]}
        ]
    }
]'

O seguinte é um exemplo de resposta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Exclude AWS service (Serviço da AWS) and console events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventType",
                    "NotEquals": [
                        "AwsServiceEvent"
                    ]
                },
                {
                    "Field": "sessionCredentialFromConsole",
                    "NotEquals": [
                        "true"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}

Exemplo: excluir eventos de gerenciamento para uma identidade do IAM específica

O exemplo a seguir cria um datastore de eventos que registra eventos de gerenciamento, mas exclui eventos gerados pelo userIdentity bucket-scanner-role.


aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
    {
        "Name": "Exclude events generated by bucket-scanner-role userIdentity",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "userIdentity.arn","NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]}
        ]
    }
]'

O seguinte é um exemplo de resposta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Exclude events generated by bucket-scanner-role userIdentity",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "userIdentity.arn",
                    "NotStartsWith": [
                        "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}

Registro em log de eventos de gerenciamento com os SDKs da AWS

Use a operação GetEventSelectors para ver se a trilha está registrando em log eventos de gerenciamento para uma trilha. É possível configurar as trilhas para registrar em log eventos de gerenciamento com a operação PutEventSelectors. Para obter mais informações, consulte a AWS CloudTrail Referência da API do.

Execute a operação GetEventDatastore para ver se seu armazenamento de dados de eventos inclui eventos de gerenciamento. Você pode configurar seus armazenamentos de dados de eventos para incluir eventos de gerenciamento executando as operações CreateEventDataStore ou UpdateEventDatastore. Para obter mais informações, consulte a Criar, atualizar e gerenciar armazenamentos de dados de eventos com a AWS CLI e a Referência da API doAWS CloudTrail.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Noções básicas dos eventos do CloudTrail

Eventos de dados