Registrar em log os eventos de atividade de rede
Os eventos de atividade de rede do CloudTrail permitem que proprietários de endpoints da VPC gravem chamadas de API da AWS feitas usando seus endpoints da VPC de uma VPC privada para o AWS service (Serviço da AWS). Os eventos de atividade de rede fornecem visibilidade nas operações de recurso executadas dentro de uma VPC. Por exemplo, registrar em log os eventos de atividade de rede pode ajudar os proprietários de endpoints da VPC a detectar quando credenciais externas à organização tentam acessar seus endpoints da VPC.
Você pode registrar eventos de atividade de rede para os seguintes serviços:
-
AWS AppConfig
-
AWS App Mesh
-
Amazon Athena
-
AWS B2B Data Interchange
-
AWS Backup gateway
-
Amazon Bedrock
-
Gerenciamento de Faturamento e Custos
-
AWS Calculadora de Preços
-
AWS Cost Explorer
-
AWS API Cloud Control
-
AWS CloudHSM
-
AWS Cloud Map
-
AWS CloudFormation
-
AWS CloudTrail
-
Amazon CloudWatch
-
CloudWatch Application Signals
-
AWS CodeDeploy
-
Amazon Comprehend Medical
-
AWS Config
-
Exportações de dados da AWS
-
Amazon Data Firehose
-
AWS Directory Service
-
Amazon DynamoDB
-
Amazon EC2
-
Amazon Elastic Container Service
-
Amazon Elastic File System
-
Elastic Load Balancing
-
Amazon EventBridge
-
Agendador do Amazon EventBridge
-
Amazon Fraud Detector
-
Nível gratuito da AWS
-
Amazon FSx
-
AWS Glue
-
AWS HealthLake
-
AWS IoT FleetWise
-
AWS IoT Secure Tunneling
-
Faturamento da AWS
-
Amazon Keyspaces (para Apache Cassandra)
-
AWS KMS
-
AWS Lake Formation
-
AWS Lambda
-
AWS License Manager
-
Amazon Lookout for Equipment
-
Amazon Lookout for Vision
-
Amazon Personalize
-
Amazon Q Business
-
Amazon Rekognition
-
Amazon Relational Database Service
-
Amazon S3
nota
Os pontos de acesso multirregionais do Amazon S3 não são compatíveis.
-
Amazon SageMaker AI
-
AWS Secrets Manager
-
Amazon Simple Notification Service
-
Amazon Simple Queue Service
-
Amazon Simple Workflow Service
-
AWS Storage Gateway
-
AWS Systems Manager Incident Manager
-
Amazon Textract
-
Amazon Transcribe
-
Amazon Translate
-
AWS Transform
-
Amazon Verified Permissions
-
Amazon WorkMail
É possível configurar tanto trilhas quanto armazenamentos de dados de eventos para registrar eventos de atividade de rede.
Por padrão, trilhas e armazenamentos de dados de eventos não registram eventos de atividade de rede. Cobranças adicionais são aplicáveis aos eventos de atividade de rede. Para obter mais informações, consulte Preços do AWS CloudTrail
Sumário
Campos dos seletores de eventos avançados para eventos de atividade de rede
Registrar em log os eventos de atividade de rede com o Console de gerenciamento da AWS
Registrar em log os eventos de atividade de rede com o AWS Command Line Interface
Exemplos: registrar em log eventos de atividade de rede para trilhas
Exemplos: registrar em log eventos de atividade de rede para armazenamentos de dados de eventos
Campos dos seletores de eventos avançados para eventos de atividade de rede
Você pode configurar seletores de eventos avançados para registrar eventos de atividade de rede especificando a fonte de eventos para a qual você deseja registrar a atividade. Você pode configurar seletores de eventos avançados usando os SDKs da AWS, a AWS CLI ou o console do CloudTrail.
Os seguintes campos avançados do seletor de eventos são necessários para registrar eventos de atividade de rede:
-
eventCategory— Para registrar eventos de atividade de rede, o valor deve serNetworkActivity. OeventCategorysó pode usar o operadorEquals. -
eventSource— A fonte de eventos para a qual você deseja registrar eventos de atividade de rede. OeventSourcesó pode usar o operadorEquals. Se você quiser registrar eventos de atividade de rede para várias fontes de eventos, deverá criar um seletor de campo separado para cada fonte de eventos.Os valores válidos são:
-
appconfig.amazonaws.com -
application-signals.amazonaws.com -
appmesh.amazonaws.com -
athena.amazonaws.com -
b2bi.amazonaws.com -
backup-gateway.amazonaws.com -
bcm-data-exports.amazonaws.com -
bcm-pricing-calculator.amazonaws.com -
bedrock.amazonaws.com -
billing.amazonaws.com -
cassandra.amazonaws.com -
ce.amazonaws.com -
cloudcontrolapi.amazonaws.com -
cloudformation.amazonaws.com -
cloudhsm.amazonaws.com -
cloudtrail.amazonaws.com -
codedeploy.amazonaws.com -
comprehend.amazonaws.com -
comprehendmedical.amazonaws.com -
config.amazonaws.com -
ds.amazonaws.com -
dynamodb.amazonaws.com -
ec2.amazonaws.com -
ecs.amazonaws.com -
elasticfilesystem.amazonaws.com -
elasticloadbalancing.amazonaws.com -
events.amazonaws.com -
firehose.amazonaws.com -
frauddetector.amazonaws.com -
freetier.amazonaws.com -
fsx.amazonaws.com -
glue.amazonaws.com -
healthlake.amazonaws.com -
invoicing.amazonaws.com -
iotfleetwise.amazonaws.com -
iotsecuredtunneling.amazonaws.com -
kms.amazonaws.com -
lakeformation.amazonaws.com -
lambda.amazonaws.com -
license-manager.amazonaws.com -
lookoutequipment.amazonaws.com -
lookoutvision.amazonaws.com -
monitoring.amazonaws.com -
personalize.amazonaws.com -
qbusiness.amazonaws.com -
rds.amazonaws.com -
rekognition.amazonaws.com -
rolesanywhere.amazonaws.com -
s3.amazonaws.com -
sagemaker.amazonaws.com -
scheduler.amazonaws.com -
secretsmanager.amazonaws.com -
servicediscovery.amazonaws.com -
sns.amazonaws.com -
sqs.amazonaws.com -
ssm-contacts.amazonaws.com -
storagegateway.amazonaws.com -
swf.amazonaws.com -
textract.amazonaws.com -
transcribe.amazonaws.com -
transcribestreaming.amazonaws.com -
transform.amazonaws.com -
translate.amazonaws.com -
user-subscriptions.amazonaws.com -
verifiedpermissions.amazonaws.com -
voiceid.amazonaws.com -
workmail.amazonaws.com -
workmailmessageflow.amazonaws.com
-
Os seguintes campos avançados do seletor de eventos são opcionais:
-
eventName— A ação solicitada que você deseja filtrar. Por exemplo,CreateKeyouListKeys.eventNamepode usar qualquer operador. -
errorCode— O código de erro solicitado que você deseja filtrar. Atualmente, o únicoerrorCodeválido éVpceAccessDenied. Você só pode usar o operadorEqualscomerrorCode. -
vpcEndpointId— Identifica o endpoint da VPC pelo qual a operação passou. Você pode usar qualquer operador comvpcEndpointId.
Eventos de atividade de rede não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de atividade de rede do CloudTrail, é preciso configurar claramente cada fonte de eventos para a qual você deseja coletar atividade.
Cobranças adicionais são aplicáveis ao registro em log dos eventos de atividade de rede. Para obter o preço do CloudTrail, consulte Preços do AWS CloudTrail
Registrar em log os eventos de atividade de rede com o Console de gerenciamento da AWS
É possível atualizar uma trilha ou um armazenamento de dados de eventos existente para registrar eventos de atividade de rede usando o console.
Tópicos
Atualizar uma trilha existente para registrar eventos de atividade de rede
Use o procedimento a seguir para atualizar uma trilha existente para registrar eventos de atividade de rede.
nota
Cobranças adicionais são aplicáveis ao registro em log dos eventos de atividade de rede. Para obter o preço do CloudTrail, consulte Preços do AWS CloudTrail
Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/
. -
No painel de painel de navegação à esquerda do console do CloudTrail, abra a página Trails (Trilhas) e escolha o nome da trilha.
-
Se sua trilha registrar em log eventos de dados usando seletores de eventos básicos, você precisará mudar para seletores de eventos avançados para registrar em log eventos de atividades de rede.
Siga estas etapas para mudar para seletores de eventos avançados:
-
Na área Eventos de dados, anote os seletores de eventos de dados atuais. Mudar para seletores de eventos avançados eliminará todos os seletores de eventos de dados existentes.
-
Escolha Editar e depois Alternar para seletores de eventos avançados.
-
Reaplique suas seleções de eventos de dados usando os seletores de eventos avançados. Para obter mais informações, consulte Atualizar uma trilha existente para registrar em log eventos de dados em log com seletores de eventos avançados usando o console.
-
-
Em Eventos de atividade de rede, escolha Editar.
Para registrar eventos de atividade de rede, execute as seguintes etapas:
-
Em Fonte de eventos de atividade de rede, escolha a fonte dos eventos de atividade de rede.
-
Em Log selector template (Modelo de seletor de logs), escolha um modelo. Você pode registrar todos os eventos de atividade de rede, registrar todos os eventos de acesso negado à atividade de rede ou escolher Personalizado para criar um seletor de registro personalizado para filtrar vários campos, como
eventNameevpcEndpointId. -
(Opcional) Insira um nome para identificar o seletor. O nome do seletor é listado como Nome no seletor de eventos avançado e poderá ser visualizado se você expandir a visualização JSON.
-
Em Seletores de eventos avançados, crie expressões escolhendo valores para Campo, Operador e Valor. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.
-
Para excluir ou incluir eventos de atividades de rede, você pode escolher entre os campos a seguir no console.
-
eventName– Você pode usar qualquer operador comeventName. Você pode usar este campo para incluir ou excluir qualquer evento, comoCreateKey. -
errorCode– Você pode usá-lo para filtrar um código de erro. Atualmente, o únicoerrorCodecompatível éVpceAccessDenied. -
vpcEndpointId– Identifica o endpoint da VPC pelo qual a operação passou. Você pode usar qualquer operador comvpcEndpointId.
-
-
Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.
-
Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos.
-
-
Para adicionar outra fonte de eventos para a qual você deseja registrar eventos de atividade de rede, escolha Adicionar seletor de eventos de atividade de rede.
-
Opcionalmente, expanda a JSON view (Exibição de JSON) para ver seus seletores de eventos avançados como um bloco JSON.
-
-
Escolha Salvar alterações para salvar suas alterações.
Atualizar um armazenamento de dados de eventos existente para registrar eventos de atividade de rede
Use o procedimento a seguir para atualizar um armazenamento de dados de eventos existente para registrar eventos de atividade de rede.
nota
É possível registrar eventos de atividade de rede somente em armazenamentos de dados do tipo eventos do CloudTrail.
Faça login no Console de gerenciamento da AWS e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/
. -
No painel de navegação esquerdo do console do CloudTrail, em Lake, Armazenamentos de dados de eventos.
-
Escolha o nome do armazenamento de dados de eventos.
-
Em Eventos de atividade de rede, escolha Editar.
Para registrar eventos de atividade de rede, execute as seguintes etapas:
-
Em Fonte de eventos de atividade de rede, escolha a fonte dos eventos de atividade de rede.
-
Em Log selector template (Modelo de seletor de logs), escolha um modelo. Você pode registrar todos os eventos de atividade de rede, registrar todos os eventos de acesso negado à atividade de rede ou escolher Personalizado para criar um seletor de registro personalizado para filtrar vários campos, como
eventNameevpcEndpointId. -
(Opcional) Insira um nome para identificar o seletor. O nome do seletor é listado como Nome no seletor de eventos avançado e poderá ser visualizado se você expandir a visualização JSON.
-
Em Seletores de eventos avançados, crie expressões escolhendo valores para Campo, Operador e Valor. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.
-
Para excluir ou incluir eventos de atividades de rede, você pode escolher entre os campos a seguir no console.
-
eventName– Você pode usar qualquer operador comeventName. Você pode usar este campo para incluir ou excluir qualquer evento, comoCreateKey. -
errorCode– Você pode usá-lo para filtrar um código de erro. Atualmente, o únicoerrorCodecompatível éVpceAccessDenied. -
vpcEndpointId– Identifica o endpoint da VPC pelo qual a operação passou. Você pode usar qualquer operador comvpcEndpointId.
-
-
Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.
-
Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos.
-
-
Para adicionar outra fonte de eventos para a qual você deseja registrar eventos de atividade de rede, escolha Adicionar seletor de eventos de atividade de rede.
-
Opcionalmente, expanda a JSON view (Exibição de JSON) para ver seus seletores de eventos avançados como um bloco JSON.
-
-
Escolha Salvar alterações para salvar suas alterações.
Registrar em log os eventos de atividade de rede com o AWS Command Line Interface
É possível configurar suas trilhas ou seus armazenamentos de dados de eventos para registrar eventos de atividade de rede usando a AWS CLI.
Tópicos
Exemplos: registrar em log eventos de atividade de rede para trilhas
Você pode configurar suas trilhas para registrar eventos de atividade de rede usando a AWS CLI. Execute o comando put-event-selectors
Para visualizar se a trilha está registrando em log os eventos de atividade de rede, execute o comando get-event-selectors
Tópicos
Exemplo: registrar eventos de atividade de rede de operações do CloudTrail
O exemplo a seguir mostra como configurar a trilha para incluir todos os eventos de atividade de rede para operações de API do CloudTrail, como chamadas CreateTrail e CreateEventDataStore. O valor do campo eventSource é cloudtrail.amazonaws.com.
aws cloudtrail put-event-selectors / --trail-nameTrailName/ --regionregion/ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ] }
Exemplo: registrar eventos VpceAccessDenied do AWS KMS
O exemplo a seguir mostra como configurar a trilha para incluir eventos VpceAccessDenied para o AWS KMS. Este exemplo define o campo errorCode igual a eventos VpceAccessDenied e o campo eventSource igual a kms.amazonaws.com.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ] }
Exemplo: registrar em log eventos de VpceAccessDenied do Amazon S3
O exemplo a seguir mostra como configurar a trilha para incluir eventos de VpceAccessDenied para o Amazon S3. Este exemplo define o campo errorCode igual a eventos VpceAccessDenied e o campo eventSource igual a s3.amazonaws.com.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Log S3 access denied network activity events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["s3.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Log S3 access denied network activity events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "s3.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ] }
Exemplo: registrar eventos VpceAccessDenied do EC2 em um endpoint da VPC específico
O exemplo a seguir mostra como configurar a trilha para incluir eventos VpceAccessDenied do Amazon EC2 para um endpoint da VPC específico. Este exemplo define o campo errorCode igual a eventos VpceAccessDenied, o campo eventSource igual a ec2.amazonaws.com e vpcEndpointId igual ao endpoint da VPC de interesse.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ] }
Exemplo: registrar em log todos os eventos de gerenciamento e eventos de atividade de rede de várias origens de eventos
O exemplo a seguir configura uma trilha para registrar em log eventos de gerenciamento e todos os eventos de atividade de rede para as origens de eventos do CloudTrail, do Amazon EC2, do AWS KMS, do AWS Secrets Manager e do Amazon S3.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] } ] }, { "Name": "Log all network activity events for S3", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["s3.amazonaws.com"] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["secretsmanager.amazonaws.com"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for S3", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "s3.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "secretsmanager.amazonaws.com" ] } ] } ] }
Exemplos: registrar em log eventos de atividade de rede para armazenamentos de dados de eventos
É possível configurar os armazenamentos de dados de eventos para incluir eventos de atividade de rede usando a AWS CLI. Use o comando create-event-data-storeupdate-event-data-store
Para verificar se o armazenamento de dados de eventos inclui eventos de atividade de rede, execute o comando get-event-data-store
aws cloudtrail get-event-data-store --event-data-storeEventDataStoreARN
Tópicos
Exemplo: registrar todos os eventos de atividade de rede de operações do CloudTrail
O exemplo a seguir mostra como criar um armazenamento de dados de eventos que inclua todos os eventos de atividade de rede relacionados às operações do CloudTrail, como chamadas para CreateTrail e CreateEventDataStore. O valor do campo eventSource é definido como cloudtrail.amazonaws.com.
aws cloudtrail create-event-data-store \ --name "EventDataStoreName" \ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Exemplo: registrar eventos VpceAccessDenied do AWS KMS
O exemplo a seguir mostra como criar um armazenamento de dados para incluir eventos VpceAccessDenied do AWS KMS. Este exemplo define o campo errorCode igual a eventos VpceAccessDenied e o campo eventSource igual a kms.amazonaws.com.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Exemplo: registrar eventos VpceAccessDenied do EC2 em um endpoint da VPC específico
O exemplo a seguir mostra como criar um armazenamento de dados de eventos para incluir eventos VpceAccessDenied do Amazon EC2 para um endpoint da VPC específico. Este exemplo define o campo errorCode igual a eventos VpceAccessDenied, o campo eventSource igual a ec2.amazonaws.com e vpcEndpointId igual ao endpoint da VPC de interesse.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Exemplo: registrar em log eventos de VpceAccessDenied do Amazon S3
O exemplo a seguir mostra como criar um datastore de eventos para incluir eventos de VpceAccessDenied para o Amazon S3. Este exemplo define o campo errorCode igual a eventos VpceAccessDenied e o campo eventSource igual a s3.amazonaws.com.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Log S3 access denied network activity events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["s3.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Log S3 access denied network activity events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "s3.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Exemplo: registrar em log todos os eventos de gerenciamento e eventos de atividade de rede de várias origens de eventos
Os exemplos a seguir atualizam um datastore de eventos que atualmente registra em log apenas eventos de gerenciamento para também registrar em log eventos de atividade de rede para várias origens de eventos. Para atualizar um datastore de eventos para adicionar novos seletores de eventos, execute o comando get-event-data-store para retornar os seletores de eventos avançados atuais. Em seguida, execute o comando update-event-data-store e forneça --advanced-event-selectors que inclui os seletores atuais mais todos os novos seletores. Para registrar em log eventos de atividade de rede para várias origens de eventos, inclua um seletor para cada origem de eventos que você deseja registrar em log.
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --advanced-event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] } ] }, { "Name": "Log all network activity events for S3", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["s3.amazonaws.com"] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["secretsmanager.amazonaws.com"] } ] } ]'
Este comando retorna a saída de exemplo a seguir.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for S3", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "s3.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "secretsmanager.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00" }
Registro de eventos com os SDKs do AWS
Execute a operação GetEventSelectors para ver se a trilha está registrando eventos de atividade de rede em log. É possível configurar as trilhas para registrar eventos de atividade de rede executando a operação PutEventSelectors. Para obter mais informações, consulte a AWS CloudTrail Referência da API do.
Execute a operação GetEventDataStore para ver se o armazenamento de dados de eventos está registrando eventos de atividade de rede em log. Você pode configurar seus armazenamentos de dados de eventos para incluir eventos de atividade de rede executando as operações CreateEventDataStore ou UpdateEventDatastore e especificando seletores de eventos avançados. Para obter mais informações, consulte a Criar, atualizar e gerenciar armazenamentos de dados de eventos com a AWS CLI e a Referência da API doAWS CloudTrail.
