As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Log de eventos de gerenciamento
Por padrão, as trilhas e os armazenamentos de dados de eventos registram em log os eventos de gerenciamento e não incluem eventos de dados nem eventos do Insights.
Há cobranças adicionais para eventos de dados ou eventos do Insights. Para obter mais informações, consulte [AWS CloudTrail Preço](https://aws.amazon.com/cloudtrail/pricing/).
**Contents**
+ [Eventos de gerenciamento](#logging-management-events)
+ [Ler e gravar eventos](#read-write-events-mgmt)
+ [Registrando eventos de gerenciamento com o Console de gerenciamento da AWS](#logging-management-events-with-the-cloudtrail-console)
+ [Atualizar as configurações de evento de gerenciamento para uma trilha existente](#logging-management-events-with-the-cloudtrail-console-trail)
+ [Atualizar as configurações de evento de gerenciamento para uma datastore de eventos existente](#logging-management-events-with-the-cloudtrail-console-eds)
+ [Registrando eventos de gerenciamento com o AWS CLI](#creating-mgmt-event-selectors-with-the-AWS-CLI)
+ [Exemplos: registrar em log eventos de gerenciamento para trilhas](#log-mgmt-events-trails-examples)
+ [Exemplos: registrar em log eventos de gerenciamento de trilhas usando seletores de eventos avançados](#log-mgmt-events-trails-examples-adv)
+ [Exemplos: registrar em log eventos de gerenciamento de trilhas usando seletores de eventos avançados](#log-mgmt-events-trails-examples-basic)
+ [Exemplos: registrar em log eventos de gerenciamento para armazenamentos de dados de eventos](#log-mgmt-events-eds-examples)
+ [Exemplo: excluir eventos AWS KMS de gerenciamento](#log-mgmt-events-eds-examples-kms)
+ [Exemplo: excluir eventos de gerenciamento do Amazon RDS](#log-mgmt-events-eds-examples-rds)
+ [Exemplo: excluir AWS service (Serviço da AWS) eventos e eventos das Console de gerenciamento da AWS sessões](#log-mgmt-events-eds-examples-service)
+ [Exemplo: excluir eventos de gerenciamento para uma identidade do IAM específica](#log-mgmt-events-eds-examples-useridentity)
+ [Registrando eventos de gerenciamento com o AWS SDKs](#logging-management-events-with-the-AWS-SDKs)
## Eventos de gerenciamento
Os eventos de gerenciamento fornecem visibilidade das operações de gerenciamento que são realizadas nos recursos AWS da sua conta. Também são conhecidas como operações de ambiente de gerenciamento. Exemplos de eventos de gerenciamento incluem:
+ Configuração da segurança (por exemplo, operações de API `AttachRolePolicy` do IAM)
+ Registro de dispositivos (por exemplo, operações de API `CreateDefaultVpc` do Amazon EC2)
+ Configuração de regras para roteamento de dados (por exemplo, operações de API `CreateSubnet` do Amazon EC2)
+ Configurando o registro (por exemplo, operações de AWS CloudTrail `CreateTrail` API)
Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem na sua conta. Por exemplo, quando um usuário faz login na sua conta, CloudTrail registra o `ConsoleLogin` evento. Para obter mais informações, consulte [Eventos não relacionados à API capturados por CloudTrail](cloudtrail-non-api-events.md).
Por padrão, as trilhas e os armazenamentos de dados de eventos são configurados para registrar eventos de gerenciamento em log.
**nota**
O recurso **Histórico de CloudTrail eventos** oferece suporte somente a eventos de gerenciamento. Você não pode excluir AWS KMS nem os eventos da Amazon RDS Data API do **histórico de eventos**; as configurações que você aplica a um armazenamento de dados de trilhas ou eventos não se aplicam ao **histórico de eventos**. Para obter mais informações, consulte [Trabalhando com o histórico de CloudTrail eventos](view-cloudtrail-events.md).
## Ler e gravar eventos
Ao configurar a trilha ou o armazenamento de dados de eventos para registrar em log eventos de gerenciamento, é possível especificar se você deseja eventos somente leitura, eventos somente gravação, ou ambos.
+ **Read**
Os eventos somente leitura incluem operações de API que leem seus recursos, mas não fazem alterações. Por exemplo, os eventos somente leitura incluem as operações de API `DescribeSecurityGroups` e `DescribeSubnets` do Amazon EC2. Essas operações retornam apenas informações sobre os recursos do Amazon EC2. Elas não alteram suas configurações.
+ **Write**
Os eventos somente gravação incluem operações de API que modificam (ou podem modificar) seus recursos. Por exemplo, as operações de API `RunInstances` e `TerminateInstances` do Amazon EC2 modificam suas instâncias.
**Exemplo: registro de eventos de leitura e gravação para trilhas separadas**
O exemplo a seguir mostra como você pode configurar as trilhas para dividir as atividades de log de uma conta em buckets do S3 separados: um bucket recebe eventos somente leitura e um segundo bucket recebe eventos somente gravação.
1. Crie uma trilha e escolha um bucket do S3 chamado `amzn-s3-demo-bucket1` para receber os arquivos de log. Depois, atualize a trilha para especificar se deseja eventos de gerenciamento somente **Read** (Leitura).
1. Crie uma segunda trilha e escolha um bucket do S3 chamado `amzn-s3-demo-bucket2` para receber os arquivos de log. Então, atualize a trilha para especificar se deseja eventos de gerenciamento somente **Write** (Gravação).
1. As operações de API `DescribeInstances` e `TerminateInstances` do Amazon EC2 ocorrem na sua conta.
1. A operação de API `DescribeInstances` é um evento somente leitura que corresponde às configurações da primeira trilha. A trilha registra e fornece o evento para `amzn-s3-demo-bucket1`.
1. A operação de API `TerminateInstances` é um evento somente gravação que corresponde às configurações da segunda trilha. A trilha registra e fornece o evento para `amzn-s3-demo-bucket2`.
## Registrando eventos de gerenciamento com o Console de gerenciamento da AWS
Esta seção descreve como atualizar as configurações de evento de gerenciamento para uma trilhas ou um datastore de eventos existente.
**Topics**
+ [Atualizar as configurações de evento de gerenciamento para uma trilha existente](#logging-management-events-with-the-cloudtrail-console-trail)
+ [Atualizar as configurações de evento de gerenciamento para uma datastore de eventos existente](#logging-management-events-with-the-cloudtrail-console-eds)
### Atualizar as configurações de evento de gerenciamento para uma trilha existente
Use o procedimento a seguir para atualizar as configurações de evento de gerenciamento para uma trilha existente.
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Abra a página **Trilhas** do CloudTrail console e escolha o nome da trilha.
1. Em **Management events** (Eventos de gerenciamento), escolha **Edit** (Editar).
+ Escolha se você deseja registrar em log eventos de **leitura**, **gravação** ou ambas.
+ Escolha **Excluir AWS KMS eventos** para filtrar AWS Key Management Service (AWS KMS) eventos do seu TRail. A configuração padrão é incluir todos os AWS KMS eventos.
A opção de registrar ou excluir AWS KMS eventos está disponível somente se você registrar eventos de gerenciamento em sua trilha. Se você optar por não registrar eventos de gerenciamento, os AWS KMS eventos não serão registrados e você não poderá alterar as configurações do registro de AWS KMS eventos.
AWS KMS ações como`Encrypt`,`Decrypt`, e `GenerateDataKey` normalmente geram um grande volume (mais de 99%) de eventos. Agora essas ações são registradas em log como eventos de **Leitura**. AWS KMS **Ações relevantes de baixo volume, como `Disable``Delete`, e `ScheduleKey` (que normalmente representam menos de 0,5% do volume de AWS KMS eventos) são registradas como eventos de gravação.**
Para excluir eventos de alto volume`Encrypt`, como`Decrypt`, e`GenerateDataKey`, mas ainda registrar eventos relevantes`Disable`, como `Delete` e`ScheduleKey`, escolha registrar eventos de gerenciamento de **gravação** e desmarque a caixa de seleção **Excluir AWS KMS eventos**.
+ Escolha **Exclude Amazon RDS Data API events** (Excluir eventos da API de dados do Amazon RDS) para filtrar eventos da API de dados do Amazon Relational Database Service fora da trilha. A configuração padrão é incluir todos os eventos da API de dados do Amazon RDS. Para obter mais informações sobre eventos da API de dados do Amazon RDS, consulte [Registrar em log chamadas da API de dados com o AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) no *Manual do usuário do Amazon RDS for Aurora*.
1. Após terminar, escolha **Salvar alterações**.
### Atualizar as configurações de evento de gerenciamento para uma datastore de eventos existente
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Abra a página **Armazenamentos de dados de eventos** do CloudTrail console e escolha o nome do armazenamento de dados de eventos.
1. Em **Eventos de gerenciamento**, escolha **Editar** e defina as seguintes configurações:
1. Escolha entre **Coleta de eventos simples** e **Coleta de eventos avançados**:
+ Escolha **Coleta de eventos simples** se quiser registrar em log todos os eventos, apenas eventos de leitura ou apenas eventos de gravação. Você também pode optar por excluir AWS Key Management Service eventos de gerenciamento da API de dados do Amazon RDS.
+ Escolha **Coleta de eventos avançados** se quiser incluir ou excluir eventos de gerenciamento com base nos valores dos campos avançados do seletor de eventos, incluindo os campos `eventName`, `eventType`, `eventSource` e `userIdentity.arn`.
1. Escolha **Coleta de eventos simples**, escolha se deseja registrar em log todos os eventos, apenas eventos de leitura ou apenas eventos de gravação. Você também pode optar por excluir eventos AWS KMS de gerenciamento do Amazon RDS.
1. Se você selecionou **Coleta de eventos avançados**, faça as seguintes seleções:
1. Em **Modelo do seletor de logs**, escolha um modelo predefinido ou **Personalizado** para compilar uma configuração personalizada com base nos valores dos campos do seletor de eventos avançados.
Você pode escolher entre os seguintes modelos predefinidos:
+ **Registrar em log todos os eventos**: escolha esse modelo para registrar em log todos os eventos.
+ **Registrar em log apenas eventos de leitura**: escolha esse modelo para registrar em log apenas os eventos de leitura. Eventos somente leitura são eventos que não alteram o estado de um recurso, como eventos `Get*` ou `Describe*`.
+ **Registrar em log apenas eventos de gravação**: escolha esse modelo para registrar em log apenas os eventos de gravação. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como `Put*`, `Delete*` ou `Write*`.
+ **Registrar somente Console de gerenciamento da AWS eventos** — Escolha este modelo para registrar somente eventos originados do Console de gerenciamento da AWS.
+ **Excluir eventos AWS service (Serviço da AWS) iniciados** — Escolha esse modelo para excluir AWS service (Serviço da AWS) eventos, que têm um `eventType` de`AwsServiceEvent`, e eventos iniciados com funções AWS service (Serviço da AWS) vinculadas a -(SLRs).
1. (Opcional) Em **Nome do seletor**, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como “Registrar eventos de gerenciamento de sessões”. Console de gerenciamento da AWS O nome do seletor é listado como `Name` no seletor de eventos avançado e poderá ser visualizado se você expandir a **visualização JSON**.
1. Se você escolheu **Personalizado**, em **Seletores de eventos avançados**, compile uma expressão com base nos valores dos campos do seletor de eventos avançados.
**nota**
Os seletores não são compatíveis com o uso de curingas, como `*`. Para combinar vários valores com uma única condição, é possível usar `StartsWith`, `EndsWith`, `NotStartsWith` ou `NotEndsWith` para corresponder explicitamente ao início ou ao fim do campo do evento.
1. Escolha um dos seguintes campos:
+ **`readOnly`**: `readOnly` pode ser definido como **igual a** um valor de `true` ou `false`. Quando definido como `false`, o datastore de eventos registra em log os eventos de gerenciamento somente gravação. Eventos de gerenciamento somente leitura são eventos que não alteram o estado de um recurso, como os eventos `Get*` ou `Describe*`. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como `Put*`, `Delete*` ou `Write*`. Para registrar em log os eventos de **leitura** e **gravação**, não adicione um seletor `readOnly`.
+ **`eventName`**— `eventName` pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de gerenciamento, como `CreateAccessPoint` ou `GetAccessPoint`.
+ **`userIdentity.arn`**: inclua ou exclua eventos de ações realizadas por identidades do IAM específicas. Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Inclua ou exclua eventos originados de uma Console de gerenciamento da AWS sessão. Esse campo pode ser definido como **igual a** ou **não igual a ** um valor de `true`.
+ **`eventSource`**: você pode usá-lo para incluir ou excluir origens de eventos específicas. A `eventSource` normalmente é uma forma abreviada do nome do serviço sem espaços acrescida de `.amazonaws.com`. Por exemplo, você pode definir `eventSource` **equals** to `ec2.amazonaws.com` para registrar em log apenas eventos de gerenciamento do Amazon EC2.
+ **`eventType`**: o [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type) a ser incluído ou excluído. Por exemplo, é possível definir esse campo como **não igual a** `AwsServiceEvent` para excluir [eventos do AWS service (Serviço da AWS)](non-api-aws-service-events.md).
1. Para cada campo, escolha **\+ Condição** para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.
Para obter informações sobre como CloudTrail avalia várias condições, consulte[Como CloudTrail avalia várias condições para um campo](filtering-data-events.md#filtering-data-events-conditions).
**nota**
É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como `eventName`. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.
1. Selecione **\+ Field** (\+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para os campos.
1. Opcionalmente, expanda a **JSON view** (Exibição de JSON) para ver seus seletores de eventos avançados como um bloco JSON.
1. Escolha **Habilitar a captura de eventos do Insights** para habilitar o Insights. Para habilitar o Insights, é necessário configurar um [armazenamento de dados de eventos de destino](query-event-data-store-insights.md#query-event-data-store-insights-procedure) para coletar eventos do Insights com base na atividade de eventos de gerenciamento nesse armazenamento de dados de eventos.
Se você optar por ativar o Insights, siga estas instruções.
1. Escolha o armazenamento de eventos de destino que registrará em log os eventos do Insights. O armazenamento de dados de eventos de destino coletará eventos do Insights com base na atividade de gerenciamento de eventos nesse armazenamento de dados de eventos. Para obter informações sobre como criar o armazenamento de dados de eventos de destino, consulte [Para criar um armazenamento de dados de eventos de destino que registra eventos do Insights](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Escolha os tipos de Insights. É possível escolher a **Taxa de chamadas à API**, a **Taxa de erros da API** ou ambas. Você deve registrar eventos de gerenciamento de **gravação** para registrar em log eventos do Insights sobre a **taxa de chamadas à API**. É necessário registrar eventos de gerenciamento de **leitura** ou **gravação** para registrar em log eventos do Insights sobre a **taxa de erros da API**.
1. Após terminar, escolha **Salvar alterações**.
## Registrando eventos de gerenciamento com o AWS CLI
É possível configurar suas trilhas ou seus armazenamentos de dados de eventos para registrar eventos de gerenciamento em log usando a AWS CLI.
**Topics**
+ [Exemplos: registrar em log eventos de gerenciamento para trilhas](#log-mgmt-events-trails-examples)
+ [Exemplos: registrar em log eventos de gerenciamento para armazenamentos de dados de eventos](#log-mgmt-events-eds-examples)
### Exemplos: registrar em log eventos de gerenciamento para trilhas
Para visualizar se a trilha está registrando em log os eventos de gerenciamento, execute o comando `get-event-selectors`.
```
aws cloudtrail get-event-selectors --trail-name {{TrailName}}
```
O exemplo a seguir retorna as configurações padrão de uma trilha. Por padrão, as trilhas registram em log todos os eventos de gerenciamento, registram em log eventos de todas as origens de evento e não registram em log eventos de dados.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/{{TrailName}}",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
]
}
```
Você pode usar seletores de eventos básicos ou avançados para registrar eventos de gerenciamento. Não é possível aplicar seletores de eventos e seletores de eventos avançados a uma trilha. Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos. As seções a seguir fornecem exemplos de como registrar eventos de gerenciamento usando seletores de eventos básicos e avançados.
**Topics**
+ [Exemplos: registrar em log eventos de gerenciamento de trilhas usando seletores de eventos avançados](#log-mgmt-events-trails-examples-adv)
+ [Exemplos: registrar em log eventos de gerenciamento de trilhas usando seletores de eventos avançados](#log-mgmt-events-trails-examples-basic)
#### Exemplos: registrar em log eventos de gerenciamento de trilhas usando seletores de eventos avançados
O exemplo a seguir cria um seletor de eventos avançado para uma trilha chamada {{TrailName}} para incluir eventos de gerenciamento somente para leitura e somente gravação (omitindo o `readOnly` seletor), mas para excluir eventos (). AWS Key Management Service AWS KMS Como AWS KMS os eventos são tratados como eventos de gerenciamento e podem haver um grande volume deles, eles podem ter um impacto substancial em sua CloudTrail fatura se você tiver mais de uma trilha que capture eventos de gerenciamento.
Se você optar por não registrar eventos de gerenciamento, os AWS KMS eventos não serão registrados e você não poderá alterar as configurações do registro de AWS KMS eventos.
Para começar a registrar AWS KMS eventos em uma trilha novamente, remova o `eventSource` seletor e execute o comando novamente.
```
aws cloudtrail put-event-selectors --trail-name {{TrailName}} \
--advanced-event-selectors '
[
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
]
}
]'
```
O exemplo retorna os seletores de eventos avançados configurados para a trilha.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "kms.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/{{TrailName}}"
}
```
Para começar a registrar eventos excluídos para uma trilha novamente, remova o seletor `eventSource` e execute o comando novamente.
```
aws cloudtrail put-event-selectors --trail-name {{TrailName}} \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
O próximo exemplo cria um seletor de eventos avançado para uma trilha nomeada para incluir eventos de gerenciamento somente {{TrailName}} para leitura e somente gravação (omitindo o `readOnly` seletor), mas para excluir eventos de gerenciamento da API de dados do Amazon RDS. Para excluir eventos de gerenciamento da API de dados do Amazon RDS, especifique a fonte do evento da API de dados do Amazon RDS no valor da string para o campo `eventSource`: `rdsdata.amazonaws.com`.
Se você optar por não registrar eventos de gerenciamento, os eventos de gerenciamento da API de dados do Amazon RDS não serão registrados em log e você não poderá alterar as configurações de registro em log de eventos da API de dados do Amazon RDS.
Para começar a registrar em log os eventos de gerenciamento da API de dados do Amazon RDS em uma trilha novamente, remova o seletor `eventSource` e execute o comando novamente.
```
aws cloudtrail put-event-selectors --trail-name {{TrailName}} \
--advanced-event-selectors '
[
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
]
}
]'
```
O exemplo retorna os seletores de eventos avançados configurados para a trilha.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "rdsdata.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/{{TrailName}}"
}
```
Para começar a registrar eventos excluídos para uma trilha novamente, remova o seletor `eventSource` e execute o comando novamente.
```
aws cloudtrail put-event-selectors --trail-name {{TrailName}} \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
#### Exemplos: registrar em log eventos de gerenciamento de trilhas usando seletores de eventos avançados
Para configurar a trilha para registrar em log eventos de gerenciamento, execute o comando `put-event-selectors`. O exemplo a seguir mostra como configurar a trilha para incluir todos os eventos de gerenciamento para dois objetos do S3. Você pode especificar seletores de eventos de 1 a 5 para uma trilha. Você pode especificar recursos de dados de 1 a 250 para uma trilha.
**nota**
O número máximo de recursos de dados do S3 é 250, independentemente do número de seletores de evento.
```
aws cloudtrail put-event-selectors --trail-name {{TrailName}} --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'
```
O exemplo a seguir retorna o seletor de evento configurado para a trilha.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/{{TrailName}}",
"EventSelectors": [
{
"ReadWriteType": "All",
"IncludeManagementEvents": true,
"DataResources": [
{
"Type": "AWS::S3::Object",
"Values": [
"arn:aws:s3:::amzn-s3-demo-bucket/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
]
}
],
"ExcludeManagementEventSources": []
}
]
}
```
Para excluir eventos AWS Key Management Service (AWS KMS) dos registros de uma trilha, execute o `put-event-selectors` comando e adicione o atributo `ExcludeManagementEventSources` com um valor de`kms.amazonaws.com`. O exemplo a seguir cria um seletor de eventos para uma trilha chamada {{TrailName}} para incluir eventos de gerenciamento somente para leitura e somente gravação, mas exclui eventos. AWS KMS Como AWS KMS pode gerar um grande volume de eventos, o usuário neste exemplo pode querer limitar os eventos para gerenciar o custo de uma trilha.
```
aws cloudtrail put-event-selectors --trail-name {{TrailName}} --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
```
O exemplo a seguir retorna o seletor de eventos configurado para a trilha:
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/{{TrailName}}",
"EventSelectors": [
{
"ReadWriteType": "All",
"IncludeManagementEvents": true,
"DataResources": [],
"ExcludeManagementEventSources": [
"kms.amazonaws.com"
]
}
]
}
```
Para excluir eventos de gerenciamento da API de dados do Amazon RDS dos logs de uma trilha, execute o comando `put-event-selectors` e adicione o atributo `ExcludeManagementEventSources` com um valor de `rdsdata.amazonaws.com`. O exemplo a seguir cria um seletor de eventos para uma trilha nomeada para incluir eventos de gerenciamento somente {{TrailName}} para leitura e somente gravação, mas exclui eventos de gerenciamento da API de dados do Amazon RDS. Como a API de dados do Amazon RDS pode gerar um alto volume de eventos de gerenciamento, o usuário, neste exemplo, pode querer limitar os eventos para gerenciar o custo de uma trilha.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/{{TrailName}}",
"EventSelectors": [
{
"ReadWriteType": "All",
"IncludeManagementEvents": true,
"DataResources": [],
"ExcludeManagementEventSources": [
"rdsdata.amazonaws.com"
]
}
]
}
```
Para começar a registrar AWS KMS novamente os eventos de gerenciamento da API de dados do Amazon RDS em uma trilha, passe uma string vazia como o valor de`ExcludeManagementEventSources`, conforme mostrado no comando a seguir.
```
aws cloudtrail put-event-selectors --trail-name {{TrailName}} --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
```
Para registrar AWS KMS eventos relevantes em uma trilha`Disable`, como `Delete` e`ScheduleKey`, mas excluir AWS KMS eventos de alto volume`Encrypt`, como`Decrypt`, e`GenerateDataKey`, registrar eventos de gerenciamento somente para gravação e manter a configuração padrão para registrar AWS KMS eventos, conforme mostrado no exemplo a seguir.
```
aws cloudtrail put-event-selectors --trail-name {{TrailName}} --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
```
### Exemplos: registrar em log eventos de gerenciamento para armazenamentos de dados de eventos
Você registra em log eventos de gerenciamento para datastores de eventos configurando seletores de eventos avançados.
Os seguintes campos avançados do seletor de eventos são compatíveis com o registro em log de eventos de gerenciamento em datastore de eventos:
+ **`eventCategory`**: você deve definir `eventCategory` igual a `Management` para registrar em log eventos de gerenciamento. Este é um campo obrigatório.
+ **`readOnly`**: `readOnly` pode ser definido como `Equals` a um valor de `true` ou `false`. Quando definido como `false`, o datastore de eventos registra em log os eventos de gerenciamento somente gravação. Eventos de gerenciamento somente leitura são eventos que não alteram o estado de um recurso, como os eventos `Get*` ou `Describe*`. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como `Put*`, `Delete*` ou `Write*`. Para registrar em log os eventos de **leitura** e **gravação**, não adicione um seletor `readOnly`.
+ **`eventName`**— `eventName` pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de gerenciamento, como `CreateAccessPoint` ou `GetAccessPoint`. Você pode usar qualquer operador com o campo.
+ **`userIdentity.arn`**: inclua ou exclua eventos de ações realizadas por identidades do IAM específicas. Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Inclua ou exclua eventos originados de uma Console de gerenciamento da AWS sessão. Esse campo pode ser definido como **igual a ** ou `NotEquals` com um valor de `true`.
+ **`eventSource`**: você pode usá-lo para incluir ou excluir origens de eventos específicas. A `eventSource` normalmente é uma forma abreviada do nome do serviço sem espaços acrescida de `.amazonaws.com`. Por exemplo, você pode configurar `eventSource` `Equals` a `ec2.amazonaws.com` para registrar em log somente eventos de gerenciamento do Amazon EC2.
+ **`eventType`**: o [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type) a ser incluído ou excluído. Por exemplo, é possível definir esse campo como `NotEquals` `AwsServiceEvent` para excluir [eventos do AWS service (Serviço da AWS)](non-api-aws-service-events.md). Você pode usar qualquer operador com o campo.
Para verificar se o armazenamento de dados de eventos inclui eventos de gerenciamento, execute o comando **get-event-data-store**.
```
aws cloudtrail get-event-data-store
--event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
O seguinte é um exemplo de resposta. A criação e os horários da última atualização estão no formato `timestamp`.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "myManagementEvents",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "FIXED_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00",
"UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00"
}
```
Para criar um armazenamento de dados de eventos que inclua todos os eventos de gerenciamento, execute o comando **create-event-data-store**. Não é necessário especificar nenhum seletor de eventos avançado para incluir todos os eventos de gerenciamento.
```
aws cloudtrail create-event-data-store
--name my-event-data-store
--retention-period 90\
```
O seguinte é um exemplo de resposta.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "my-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00",
"UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00"
}
```
**Topics**
+ [Exemplo: excluir eventos AWS KMS de gerenciamento](#log-mgmt-events-eds-examples-kms)
+ [Exemplo: excluir eventos de gerenciamento do Amazon RDS](#log-mgmt-events-eds-examples-rds)
+ [Exemplo: excluir AWS service (Serviço da AWS) eventos e eventos das Console de gerenciamento da AWS sessões](#log-mgmt-events-eds-examples-service)
+ [Exemplo: excluir eventos de gerenciamento para uma identidade do IAM específica](#log-mgmt-events-eds-examples-useridentity)
#### Exemplo: excluir eventos AWS KMS de gerenciamento
Para criar um armazenamento de dados de eventos que exclua AWS Key Management Service (AWS KMS) eventos, execute o `create-event-data-store` comando e especifique que `eventSource` não seja igual`kms.amazonaws.com`. O exemplo a seguir cria um armazenamento de dados de eventos que inclui eventos de gerenciamento somente para leitura e somente gravação, mas exclui eventos. AWS KMS
```
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
{
"Name": "Management events selector",
"FieldSelectors": [
{"Field": "eventCategory","Equals": ["Management"]},
{"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]}
]
}
]'
```
O seguinte é um exemplo de resposta.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "event-data-store-name",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
},
{
"Field": "eventSource",
"NotEquals": [
"kms.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
"UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}
```
#### Exemplo: excluir eventos de gerenciamento do Amazon RDS
Para criar um armazenamento de dados de eventos que exclua eventos de gerenciamento da API de dados do Amazon RDS, execute o comando `create-event-data-store` e especifique que `eventSource` não seja igual a `rdsdata.amazonaws.com`. O exemplo a seguir cria um armazenamento de dados de eventos que inclui eventos de gerenciamento somente leitura e somente gravação, mas exclui eventos da API de dados do Amazon RDS.
```
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
{
"Name": "Management events selector",
"FieldSelectors": [
{"Field": "eventCategory","Equals": ["Management"]},
{"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]}
]
}
]'
```
O seguinte é um exemplo de resposta.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "my-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
},
{
"Field": "eventSource",
"NotEquals": [
"rdsdata.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
"UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}
```
#### Exemplo: excluir AWS service (Serviço da AWS) eventos e eventos das Console de gerenciamento da AWS sessões
O exemplo a seguir cria um armazenamento de dados de eventos que registra eventos de gerenciamento, mas exclui AWS service (Serviço da AWS) eventos e eventos originados de Console de gerenciamento da AWS sessões.
```
aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
{
"Name": "Exclude AWS service (Serviço da AWS) and console events",
"FieldSelectors": [
{"Field": "eventCategory","Equals": ["Management"]},
{"Field": "eventType","NotEquals": ["AwsServiceEvent"]},
{"Field": "sessionCredentialFromConsole","NotEquals": ["true"]}
]
}
]'
```
O seguinte é um exemplo de resposta.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "event-data-store-name",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Exclude AWS service (Serviço da AWS) and console events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
},
{
"Field": "eventType",
"NotEquals": [
"AwsServiceEvent"
]
},
{
"Field": "sessionCredentialFromConsole",
"NotEquals": [
"true"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
"UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}
```
#### Exemplo: excluir eventos de gerenciamento para uma identidade do IAM específica
O exemplo a seguir cria um datastore de eventos que registra eventos de gerenciamento, mas exclui eventos gerados pelo `userIdentity` `bucket-scanner-role`.
```
aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
{
"Name": "Exclude events generated by bucket-scanner-role userIdentity",
"FieldSelectors": [
{"Field": "eventCategory","Equals": ["Management"]},
{"Field": "userIdentity.arn","NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]}
]
}
]'
```
O seguinte é um exemplo de resposta.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "event-data-store-name",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Exclude events generated by bucket-scanner-role userIdentity",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
},
{
"Field": "userIdentity.arn",
"NotStartsWith": [
"arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
"UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}
```
## Registrando eventos de gerenciamento com o AWS SDKs
Use a [GetEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html)operação para ver se sua trilha está registrando eventos de gerenciamento de uma trilha. Você pode configurar suas trilhas para registrar eventos de gerenciamento com a [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)operação. Para obter mais informações, consulte a [Referência da API do AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).
Execute a [GetEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventDataStore.html)operação para ver se seu armazenamento de dados de eventos inclui eventos de gerenciamento. Você pode configurar seus armazenamentos de dados de eventos para incluir eventos de gerenciamento executando as [UpdateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html)operações [CreateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateEventDataStore.html)ou. Para obter mais informações, consulte a [Crie, atualize e gerencie armazenamentos de dados de eventos com o AWS CLI](lake-eds-cli.md) e a [ Referência da API do AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).