As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Monitorando arquivos de CloudTrail log com o Amazon CloudWatch Logs
Você pode usar o [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para monitorar, armazenar e acessar seus arquivos de log a partir de CloudTrail.
CloudWatch O Logs permite que você centralize os registros de todos os seus sistemas, aplicativos e os Serviços da AWS que você usa, em um único serviço altamente escalável. Em seguida, você pode facilmente visualizá-los, pesquisá-los em busca de códigos de erro ou padrões específicos, filtrá-los com base em campos específicos ou arquivá-los com segurança para futuras análises. CloudWatch Os registros permitem que você veja todos os seus registros, independentemente da origem, como um fluxo único e consistente de eventos ordenados por horário.
Conclua as etapas a seguir para configurar CloudTrail com o CloudWatch Logs para monitorar seus registros de trilhas e ser notificado quando ocorrer uma atividade específica.
1. Configure sua trilha para enviar eventos de registro para o CloudWatch Logs.
1. Defina filtros métricos de CloudWatch registros para avaliar eventos de registro em busca de correspondências em termos, frases ou valores. Por exemplo, você pode monitorar eventos `ConsoleLogin`.
1. Atribua CloudWatch métricas aos filtros métricos.
1. Crie CloudWatch alarmes que sejam acionados de acordo com os limites e períodos de tempo que você especificar. Você pode configurar alertas para enviar notificações quando os alarmes forem acionados. Assim, você poderá realizar uma ação.
1. Você também pode configurar CloudWatch para executar automaticamente uma ação em resposta a um alarme.
Aplica-se o preço padrão para Amazon CloudWatch e Amazon CloudWatch Logs. Para obter mais informações, consulte [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).
Para obter mais informações sobre as regiões nas quais você pode configurar suas trilhas para enviar CloudWatch registros para Logs, consulte [Regiões e cotas do Amazon CloudWatch Logs](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html) na *Referência AWS geral*.
**Topics**
+ [Enviando eventos para o CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md)
+ [Criação CloudWatch de alarmes para CloudTrail eventos: exemplos](cloudwatch-alarms-for-cloudtrail.md)
+ [Parando CloudTrail de enviar eventos para o CloudWatch Logs](stop-cloudtrail-from-sending-events-to-cloudwatch-logs.md)
+ [CloudWatch nome do grupo de registros e do fluxo de registros para CloudTrail](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md)
+ [Documento de política de funções CloudTrail para usar CloudWatch registros para monitoramento](cloudtrail-required-policy-for-cloudwatch-logs.md)
# Enviando eventos para o CloudWatch Logs
Quando você configura sua trilha para enviar eventos para o CloudWatch Logs, CloudTrail envia somente os eventos que correspondem às suas configurações de trilha. Por exemplo, se você configurar sua trilha para registrar somente eventos de dados, ela enviará eventos de dados somente para seu grupo de CloudWatch registros de registros. CloudTrail suporta o envio de dados, Insights e eventos de gerenciamento para o CloudWatch Logs. Para obter mais informações, consulte [Trabalhando com arquivos CloudTrail de log](cloudtrail-working-with-log-files.md).
**nota**
Somente a conta de gerenciamento pode configurar um grupo de CloudWatch registros de registros para uma trilha da organização usando o console. O administrador delegado pode configurar um grupo de CloudWatch registros de registros usando as operações AWS CLI ou CloudTrail `CreateTrail` ou `UpdateTrail` da API.
Para enviar eventos para um grupo de CloudWatch registros de registros:
+ Verifique se você tem permissões suficientes para criar ou especificar uma função do IAM. Para obter mais informações, consulte [Conceder permissão para visualizar e configurar as informações do Amazon CloudWatch Logs no console CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
+ Se você estiver configurando o grupo de CloudWatch registros de registros usando o AWS CLI, verifique se você tem permissões suficientes para criar um fluxo de CloudWatch registros de registros no grupo de registros especificado e para entregar CloudTrail eventos a esse fluxo de registros. Para obter mais informações, consulte [Criar um documento de política](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document).
+ Crie uma nova trilha ou especifique uma existente. Para obter mais informações, consulte [Criar e atualizar uma trilha com o console](cloudtrail-create-and-update-a-trail-by-using-the-console.md).
+ Crie um grupo de logs ou especifique um existente.
+ Especifique uma função do IAM. Se você estiver modificando uma função do IAM existente de uma trilha da organização, deverá atualizar manualmente a política para permitir o registro da trilha. Para obter mais informações, consulte [este exemplo de política](#policy-cwl-org) e [Criar uma trilha para uma organização](creating-trail-organization.md).
+ Anexe uma política de função ou use a política padrão.
**Contents**
+ [Configurando o monitoramento CloudWatch de registros com o console](#send-cloudtrail-events-to-cloudwatch-logs-console)
+ [Criar um grupo de logs ou especificar um existente](#send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group)
+ [Especificar uma função do IAM](#send-cloudtrail-events-to-cloudwatch-logs-console-create-role)
+ [Visualizando eventos no CloudWatch console](#viewing-events-in-cloudwatch)
+ [Configurando o monitoramento CloudWatch de registros com o AWS CLI](#send-cloudtrail-events-to-cloudwatch-logs-cli)
+ [Criar um grupo de logs](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group)
+ [Criar uma função](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-role)
+ [Criar um documento de política](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document)
+ [Atualizar a trilha](#send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail)
+ [Limitação](#send-cloudtrail-events-to-cloudwatch-logs-limitations)
## Configurando o monitoramento CloudWatch de registros com o console
Você pode usar o Console de gerenciamento da AWS para configurar sua trilha para enviar eventos ao CloudWatch Logs para monitoramento.
### Criar um grupo de logs ou especificar um existente
CloudTrail usa um grupo de CloudWatch registros de registros como um endpoint de entrega para eventos de registro. Você pode criar um grupo de logs ou especificar um existente.
**Para criar ou especificar um grupo de logs para uma trilha existente**
1. Certifique-se de fazer login com um usuário ou função administrativa com permissões suficientes para configurar a integração do CloudWatch Logs. Para obter mais informações, consulte [Conceder permissão para visualizar e configurar as informações do Amazon CloudWatch Logs no console CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
**nota**
Somente a conta de gerenciamento pode configurar um grupo de CloudWatch registros de registros para uma trilha da organização usando o console. O administrador delegado pode configurar um grupo de CloudWatch registros de registros usando as operações AWS CLI ou CloudTrail `CreateTrail` ou `UpdateTrail` da API.
1. Abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Escolha o nome da trilha. Se escolher um trilha multirregional, você será redirecionado para a região na qual a trilha foi criada. Você pode criar um grupo de logs ou escolher um existente na mesma região que a trilha.
**nota**
Uma trilha multirregional envia arquivos de registro de todas as regiões habilitadas na sua Conta da AWS para o grupo de CloudWatch registros de registros que você especificar.
1. Em **CloudWatch Registros**, escolha **Editar**.
1. Em **CloudWatch Registros**, escolha **Ativado**.
1. Em **Nome do grupo de logs**, escolha **Novo** para criar um novo grupo de logs ou **Existente** para usar um existente. Se você escolher **Novo**, CloudTrail especifica um nome para o novo grupo de registros para você ou pode digitar um nome. Para obter mais informações sobre nomenclatura, consulte [CloudWatch nome do grupo de registros e do fluxo de registros para CloudTrail](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md).
1. Se escolher **Existing** (Existente), escolha um grupo de logs na lista suspensa.
1. Em **Nome da função**, escolha **Novo** para criar uma nova função do IAM para obter permissões para enviar CloudWatch registros para Logs. Escolha **Existing** (Existente) para escolher uma função do IAM existente na lista suspensa. A declaração de política para a função nova ou existente é exibida quando você expande **Policy document** (Documento de política). Para obter mais informações sobre esse perfil, consulte [Documento de política de funções CloudTrail para usar CloudWatch registros para monitoramento](cloudtrail-required-policy-for-cloudwatch-logs.md).
**nota**
Quando você configurar uma trilha, você pode escolher um bucket do S3 e um tópico do SNS que pertençam a outra conta. No entanto, se você quiser CloudTrail entregar eventos a um grupo de CloudWatch registros de registros, deverá escolher um grupo de registros que exista na sua conta atual.
1. Escolha **Salvar alterações**.
### Especificar uma função do IAM
Você pode especificar uma função CloudTrail a ser assumida para entregar eventos ao fluxo de registros.
**Para especificar uma função**
1. Por padrão, a `CloudTrail_CloudWatchLogs_Role` é especificada para você. A política de função padrão tem as permissões necessárias para criar um fluxo de CloudWatch registros de registros em um grupo de registros especificado por você e para entregar CloudTrail eventos a esse fluxo de registros.
**nota**
Se você quiser usar essa função para um grupo de logs de uma trilha da organização, deverá modificar manualmente a política após a criação da função. Para obter mais informações, consulte [este exemplo de política](#policy-cwl-org) e [Criar uma trilha para uma organização](creating-trail-organization.md).
1. Para verificar a função, acesse o AWS Identity and Access Management console em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Escolha **Funções** e, em seguida, escolha **CloudTrail\$1 CloudWatchLogs \$1Função**.
1. Na guia **Permissões**, expanda a política para visualizar seu conteúdo.
1. Você pode especificar outra função, mas deve anexar a política de função necessária à função existente se quiser usá-la para enviar eventos ao CloudWatch Logs. Para obter mais informações, consulte [Documento de política de funções CloudTrail para usar CloudWatch registros para monitoramento](cloudtrail-required-policy-for-cloudwatch-logs.md).
### Visualizando eventos no CloudWatch console
Depois de configurar sua trilha para enviar eventos ao seu grupo de CloudWatch registros de registros, você pode ver os eventos no CloudWatch console. CloudTrail normalmente entrega eventos ao seu grupo de registros em uma média de cerca de 5 minutos após uma chamada de API. Desta vez não há garantias. Consulte o [Acordo de Nível de Serviço do AWS CloudTrail](https://aws.amazon.com/cloudtrail/sla) para obter mais informações.
**Para visualizar eventos no CloudWatch console**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação esquerdo, em **Logs**, escolha **Grupos de logs**.
1. Escolha o grupo de logs que você especificou para a sua trilha.
1. Escolha o fluxo de logs que deseja visualizar.
1. Para ver os detalhes do evento que sua trilha registrou, escolha um evento.
**nota**
A coluna **Hora (UTC)** no CloudWatch console mostra quando o evento foi entregue ao seu grupo de registros. Para ver a hora real em que o evento foi registrado CloudTrail, consulte o `eventTime` campo.
## Configurando o monitoramento CloudWatch de registros com o AWS CLI
Você pode usar o AWS CLI to configure CloudTrail para enviar eventos ao CloudWatch Logs para monitoramento.
### Criar um grupo de logs
1. Se você não tiver um grupo de registros existente, crie um grupo de CloudWatch registros de registros como um endpoint de entrega para eventos de registro usando o `create-log-group` comando CloudWatch Logs.
```
aws logs create-log-group --log-group-name name
```
O exemplo a seguir cria um grupo de logs chamado `CloudTrail/logs`:
```
aws logs create-log-group --log-group-name CloudTrail/logs
```
1. Recupere o grupo de logs Nome de recurso da Amazon (ARN).
```
aws logs describe-log-groups
```
### Criar uma função
Criar uma função para CloudTrail que ela possa enviar eventos para o grupo de CloudWatch registros de registros. O comando `create-role` do IAM usa dois parâmetros: um nome de função e um caminho de arquivo para um documento de política para assumir uma função no formato JSON. O documento de política que você usa concede `AssumeRole` permissões CloudTrail a. O comando `create-role` cria a função com as permissões necessárias.
Para criar o arquivo JSON que conterá o documento de política, abra um editor de texto e salve o conteúdo de política a seguir em um arquivo chamado `assume_role_policy_document.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Execute o comando a seguir para criar a função com `AssumeRole` permissões para CloudTrail.
```
aws iam create-role --role-name role_name --assume-role-policy-document file://.json
```
Quando o comando for concluído, anote o ARN da função no resultado.
### Criar um documento de política
Crie o seguinte documento de política de função para CloudTrail. Este documento concede CloudTrail as permissões necessárias para criar um fluxo de CloudWatch registros de registros no grupo de registros especificado e para entregar CloudTrail eventos a esse fluxo de registros.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream2014110",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
]
}
]
}
```
------
Salve o documento de política em um arquivo chamado `role-policy-document.json`.
Se você criar uma política que também pode ser usada para trilhas da organização, precisará configurá-la de maneira um pouco diferente. Por exemplo, a política a seguir concede CloudTrail as permissões necessárias para criar um fluxo de CloudWatch registros de registros no grupo de registros que você especifica e para entregar CloudTrail eventos a esse fluxo de registros para trilhas na AWS conta 111111111111 e para trilhas da organização criadas na conta 111111111111 que são aplicadas à organização com o ID de: AWS Organizations *o-exampleorgid*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream20141101",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
]
}
]
}
```
------
Para obter mais informações sobre trilhas da organização, consulte [Criar uma trilha para uma organização](creating-trail-organization.md).
Execute o comando a seguir para aplicar a política à função.
```
aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://.json
```
### Atualizar a trilha
Atualize a trilha com o grupo de registros e as informações da função usando o CloudTrail `update-trail` comando.
```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn
```
Para obter mais informações sobre os AWS CLI comandos, consulte a [Referência da linha de AWS CloudTrail comando](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/).
## Limitação
CloudWatch Os registros e EventBridge cada [um permitem um tamanho máximo de evento de 256 KB](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html). Embora a maioria dos eventos de serviço tenha um tamanho máximo de 256 KB, alguns serviços ainda têm eventos maiores. CloudTrail não envia esses eventos para CloudWatch Logs ou EventBridge.
A partir da versão 1.05, os eventos têm um tamanho máximo de 256 KB. CloudTrail Isso ajuda a evitar a exploração por agentes mal-intencionados e permite que os eventos sejam consumidos por outros AWS serviços, como CloudWatch Logs EventBridge e.
# Criação CloudWatch de alarmes para CloudTrail eventos: exemplos
Este tópico descreve como configurar alarmes para CloudTrail eventos e inclui exemplos.
**Topics**
+ [Pré-requisitos](#cloudwatch-alarms-prerequisites)
+ [Criar um filtro de métrica e um alarme](#cloudwatch-alarms-metric-filter-alarm)
+ [Exemplo: alterações de configuração no grupo de segurança](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [Exemplo de Console de gerenciamento da AWS falhas de login](#cloudwatch-alarms-for-cloudtrail-signin)
+ [Exemplo: alterações na política do IAM](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [Configurando notificações para alarmes de CloudWatch registros](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)
## Pré-requisitos
Antes de usar os exemplos deste tópico, você deve:
+ Criar uma trilha com o console do ou a CLI.
+ Crie um grupo de logs, que você pode fazer como parte da criação de uma trilha. Para obter mais informações sobre a criação de uma trilha, consulte [Criando uma trilha com o CloudTrail console](cloudtrail-create-a-trail-using-the-console-first-time.md).
+ Especifique ou crie uma função do IAM que CloudTrail conceda as permissões para criar um stream de CloudWatch registros de registros no grupo de registros que você especifica e para entregar CloudTrail eventos a esse stream de registros. O `CloudTrail_CloudWatchLogs_Role` padrão cuida disso para você.
Para obter mais informações, consulte [Enviando eventos para o CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md). Os exemplos nesta seção são apresentados no console do Amazon CloudWatch Logs. Para obter mais informações sobre como criar filtros métricos e alarmes, consulte [Criação de métricas a partir de eventos de log usando filtros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) e Uso de [ CloudWatch alarmes da Amazon no Guia CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) *do usuário da Amazon*.
## Criar um filtro de métrica e um alarme
Para criar um alarme, você deve primeiro criar um filtro de métrica e configurar um alarme com base no filtro. Os procedimentos são mostrados para todos os exemplos. Para obter mais informações sobre a sintaxe de filtros métricos e padrões para eventos de CloudTrail log, consulte as seções relacionadas a JSON de [Filtro e sintaxe de padrões no Guia do usuário](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) do *Amazon CloudWatch * Logs.
## Exemplo: alterações de configuração no grupo de segurança
Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando ocorrem alterações de configuração em grupos de segurança.
### Criar um filtro de métrica
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, em **Logs**, escolha **Grupos de logs**.
1. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.
1. No menu **Filtros métricos** ou **Ações**, escolha **Criar filtro métrico**.
1. Na página **Define pattern** (Definir padrão), em **Create filter pattern** (Criar padrão de filtro), insira as opções a seguir para **Filter pattern** (Padrão de filtro).
```
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
```
1. Em **Test pattern** (Padrão de teste), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Atribuir métrica**, em **Nome do filtro**, insira **SecurityGroupEvents**.
1. Em **Detalhes da métrica**, ative **Criar nova** e, em seguida, insira **CloudTrailMetrics** em **Namespace da métrica**.
1. Em **Nome da métrica**, digite **SecurityGroupEventCount**.
1. Em **Valor da métrica**, digite **1**.
1. Deixe **Default value** (Valor padrão) em branco.
1. Escolha **Próximo**.
1. Na página **Review and create** (Revisar e criar), revise as suas escolhas. Selecione **Create metric filter** (Criar filtro de métrica) para criar o filtro ou escolha **Edit** (Editar) para voltar e alterar os valores.
### Criar um alarme
Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.
1. Na guia **Metric filters** (Filtros de métrica), localize o filtro de métrica que você criou no [Criar um filtro de métrica](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter). Preencha a caixa de seleção para o filtro de métrica. Na barra **Metric filters** (Filtros de métrica), escolha **Create alarm** (Criar alarme).
1. Em **Especificar métrica e condições**, insira o seguinte.
1. Em **Graph** (Gráfico), a linha é definida em **1** com base em outras configurações que você faz ao criar seu alarme.
1. Em **Metric name** (Nome da métrica), mantenha o nome da métrica atual, **SecurityGroupEventCount**.
1. Em **Statistic** (Estatística), mantenha os valores padrão, **Sum**.
1. Em **Period** (Período), mantenha os valores padrão, **5 minutes**.
1. Na seção **Conditions** (Condições), em **Threshold type** (Tipo de limite), escolha **Static** (Estático).
1. Em **Sempre que *metric\$1name* for**, escolha **Maior/Igual.**
1. Para o valor do limite, insira **1**.
1. Em **Additional configuration** (Configuração adicional), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Configurar ações**, escolha **Notificação** e, em seguida, escolha **Em alarme**, o que indica que a ação é tomada quando o limite de 1 evento de alteração em 5 minutos é ultrapassado e **SecurityGroupEventCount**está em estado de alarme.
1. Em **Enviar uma notificação para o seguinte tópico do SNS**, escolha **Criar tópico**.
1. Insira **SecurityGroupChanges\$1CloudWatch\$1Alarms\$1Topic** como o nome do novo tópico do Amazon SNS.
1. Em **Endpoints de e-mail que receberão notificação**, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.
Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.
1. Escolha **Criar tópico**.
1. Para este exemplo, ignore os outros tipos de ação. Escolha **Próximo**.
1. Na página **Add name and description** (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira **Security group configuration changes** para o nome e **Raises alarms if security group configuration changes occur** para a descrição. Escolha **Próximo**.
1. Na página **Preview and create** (Visualizar e criar), verifique suas opções. Selecione **Edit** (Editar) para fazer alterações ou escolha **Create alarm** (Criar alarme) para criar o alarme.
Depois de criar o alarme, CloudWatch abre a página **Alarmes**. O alarme **Actions** (Ações) mostrará a coluna **Pending confirmation** (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.
## Exemplo de Console de gerenciamento da AWS falhas de login
Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando há três ou mais falhas de Console de gerenciamento da AWS login durante um período de cinco minutos.
### Criar um filtro de métrica
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, em **Logs**, escolha **Grupos de logs**.
1. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.
1. No menu **Filtros métricos** ou **Ações**, escolha **Criar filtro métrico**.
1. Na página **Define pattern** (Definir padrão), em **Create filter pattern** (Criar padrão de filtro), insira as opções a seguir para **Filter pattern** (Padrão de filtro).
```
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
```
1. Em **Test pattern** (Padrão de teste), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Atribuir métrica**, em **Nome do filtro**, insira **ConsoleSignInFailures**.
1. Em **Detalhes da métrica**, ative **Criar nova** e, em seguida, insira **CloudTrailMetrics** em **Namespace da métrica**.
1. Em **Nome da métrica**, digite **ConsoleSigninFailureCount**.
1. Em **Valor da métrica**, digite **1**.
1. Deixe **Default value** (Valor padrão) em branco.
1. Escolha **Próximo**.
1. Na página **Review and create** (Revisar e criar), revise as suas escolhas. Selecione **Create metric filter** (Criar filtro de métrica) para criar o filtro ou escolha **Edit** (Editar) para voltar e alterar os valores.
### Criar um alarme
Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.
1. Na guia **Metric filters** (Filtros de métrica), localize o filtro de métrica que você criou no [Criar um filtro de métrica](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter). Preencha a caixa de seleção para o filtro de métrica. Na barra **Metric filters** (Filtros de métrica), escolha **Create alarm** (Criar alarme).
1. Na página **Create Alarm** (Criar alarme), em **Specify metric and conditions** (Especificar métrica e condições), faça o seguinte:
1. Em **Graph** (Gráfico), a linha é definida em **3** com base em outras configurações que você faz ao criar seu alarme.
1. Em **Metric name** (Nome da métrica), mantenha o nome da métrica atual, **ConsoleSigninFailureCount**.
1. Em **Statistic** (Estatística), mantenha os valores padrão, **Sum**.
1. Em **Period** (Período), mantenha os valores padrão, **5 minutes**.
1. Na seção **Conditions** (Condições), em **Threshold type** (Tipo de limite), escolha **Static** (Estático).
1. Em **Sempre que *metric\$1name* for**, escolha **Maior/Igual.**
1. Para o valor do limite, insira **3**.
1. Em **Additional configuration** (Configuração adicional), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Configurar ações**, em **Notificação**, escolha **Em alarme**, que indica que a ação é tomada quando o limite de 3 eventos de alteração em 5 minutos é ultrapassado e **ConsoleSigninFailureCount**está em estado de alarme.
1. Em **Enviar uma notificação para o seguinte tópico do SNS**, escolha **Criar tópico**.
1. Insira **ConsoleSignInFailures\$1CloudWatch\$1Alarms\$1Topic** como o nome do novo tópico do Amazon SNS.
1. Em **Endpoints de e-mail que receberão notificação**, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.
Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.
1. Escolha **Criar tópico**.
1. Para este exemplo, ignore os outros tipos de ação. Escolha **Próximo**.
1. Na página **Add name and description** (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira **Console sign-in failures** para o nome e **Raises alarms if more than 3 console sign-in failures occur in 5 minutes** para a descrição. Escolha **Próximo**.
1. Na página **Preview and create** (Visualizar e criar), verifique suas opções. Selecione **Edit** (Editar) para fazer alterações ou escolha **Create alarm** (Criar alarme) para criar o alarme.
Depois de criar o alarme, CloudWatch abre a página **Alarmes**. O alarme **Actions** (Ações) mostrará a coluna **Pending confirmation** (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.
## Exemplo: alterações na política do IAM
Siga este procedimento para criar um CloudWatch alarme da Amazon que é acionado quando uma chamada de API é feita para alterar uma política do IAM.
### Criar um filtro de métrica
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Logs**.
1. Na lista de grupos de logs, escolha aquele que você criou para sua trilha.
1. Escolha **Actions** (Ações) e **Create metric filter** (Criar filtro de métrica).
1. Na página **Define pattern** (Definir padrão), em **Create filter pattern** (Criar padrão de filtro), insira as opções a seguir para **Filter pattern** (Padrão de filtro).
```
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
```
1. Em **Test pattern** (Padrão de teste), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Atribuir métrica**, em **Nome do filtro**, insira **IAMPolicyChanges**.
1. Em **Detalhes da métrica**, ative **Criar nova** e, em seguida, insira **CloudTrailMetrics** em **Namespace da métrica**.
1. Em **Nome da métrica**, digite **IAMPolicyEventCount**.
1. Em **Valor da métrica**, digite **1**.
1. Deixe **Default value** (Valor padrão) em branco.
1. Escolha **Próximo**.
1. Na página **Review and create** (Revisar e criar), revise as suas escolhas. Selecione **Create metric filter** (Criar filtro de métrica) para criar o filtro ou escolha **Edit** (Editar) para voltar e alterar os valores.
### Criar um alarme
Depois de criar o filtro métrico, a página de detalhes do grupo de CloudWatch registros de registros do seu grupo de registros de CloudTrail trilhas é aberta. Siga este procedimento para criar um alarme.
1. Na guia **Metric filters** (Filtros de métrica), localize o filtro de métrica que você criou no [Criar um filtro de métrica](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter). Preencha a caixa de seleção para o filtro de métrica. Na barra **Metric filters** (Filtros de métrica), escolha **Create alarm** (Criar alarme).
1. Na página **Create Alarm** (Criar alarme), em **Specify metric and conditions** (Especificar métrica e condições), faça o seguinte:
1. Em **Graph** (Gráfico), a linha é definida em **1** com base em outras configurações que você faz ao criar seu alarme.
1. Em **Metric name** (Nome da métrica), mantenha o nome da métrica atual, **IAMPolicyEventCount**.
1. Em **Statistic** (Estatística), mantenha os valores padrão, **Sum**.
1. Em **Period** (Período), mantenha os valores padrão, **5 minutes**.
1. Na seção **Conditions** (Condições), em **Threshold type** (Tipo de limite), escolha **Static** (Estático).
1. Em **Sempre que *metric\$1name* for**, escolha **Maior/Igual.**
1. Para o valor do limite, insira **1**.
1. Em **Additional configuration** (Configuração adicional), deixe os valores padrão. Escolha **Próximo**.
1. Na página **Configurar ações**, em **Notificação**, escolha **Em alarme**, que indica que a ação é tomada quando o limite de 1 evento de alteração em 5 minutos é ultrapassado e **IAMPolicyEventCount**está em estado de alarme.
1. Em **Enviar uma notificação para o seguinte tópico do SNS**, escolha **Criar tópico**.
1. Insira **IAM\$1Policy\$1Changes\$1CloudWatch\$1Alarms\$1Topic** como o nome do novo tópico do Amazon SNS.
1. Em **Endpoints de e-mail que receberão notificação**, insira os endereços de e-mail dos usuários que você deseja que recebam notificações se esse alarme for acionado. Separe endereços de e-mail por vírgulas.
Cada destinatário de email receberá uma mensagem de e-mail solicitando que confirme que deseja se inscrever no tópico do Amazon SNS.
1. Escolha **Criar tópico**.
1. Para este exemplo, ignore os outros tipos de ação. Escolha **Próximo**.
1. Na página **Add name and description** (Adicionar nome e descrição), insira um nome amigável para o alarme e uma descrição. Neste exemplo, insira **IAM Policy Changes** para o nome e **Raises alarms if IAM policy changes occur** para a descrição. Escolha **Próximo**.
1. Na página **Preview and create** (Visualizar e criar), verifique suas opções. Selecione **Edit** (Editar) para fazer alterações ou escolha **Create alarm** (Criar alarme) para criar o alarme.
Depois de criar o alarme, CloudWatch abre a página **Alarmes**. O alarme **Actions** (Ações) mostrará a coluna **Pending confirmation** (Confirmação pendente) até que todos os destinatários de e-mail no tópico do SNS tenham confirmado que desejam se inscrever nas notificações do SNS.
## Configurando notificações para alarmes de CloudWatch registros
Você pode configurar o CloudWatch Logs para enviar uma notificação sempre que um alarme for acionado CloudTrail. Isso permite que você responda rapidamente a eventos operacionais críticos capturados em CloudTrail eventos e detectados pelo CloudWatch Logs. CloudWatch usa o Amazon Simple Notification Service (SNS) para enviar e-mails. Para obter mais informações, consulte [Configuração de notificações do Amazon SNS no Guia](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS) do *CloudWatch usuário*.
# Parando CloudTrail de enviar eventos para o CloudWatch Logs
Você pode parar de enviar AWS CloudTrail eventos para o Amazon CloudWatch Logs atualizando uma trilha para desativar as configurações de CloudWatch registros.
## Parar de enviar eventos para o CloudWatch Logs (console)
**Para parar de enviar CloudTrail eventos para o CloudWatch Logs**
1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. No painel de navegação, selecione **Trilhas**.
1. Escolha o nome da trilha para a qual você deseja desativar a integração de CloudWatch registros.
1. Em **CloudWatch Registros**, escolha **Editar**.
1. Desmarque a caixa de seleção **Enabled (Habilitado)**.
1. Escolha **Salvar alterações**.
## Pare de enviar eventos para CloudWatch Logs (CLI)
Você pode remover o grupo de CloudWatch registros de registros como um endpoint de entrega executando o [**update-trail**](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md)comando. O comando a seguir limpa o grupo de registros e a função da configuração da trilha substituindo os valores do ARN do grupo de registros CloudWatch e do ARN da função de registros por valores vazios.
```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn="" --cloud-watch-logs-role-arn=""
```
# CloudWatch nome do grupo de registros e do fluxo de registros para CloudTrail
A Amazon CloudWatch exibirá o grupo de registros que você criou para CloudTrail eventos junto com quaisquer outros grupos de registros que você tenha em uma região. Recomendamos que você use um nome para o grupo de logs que o ajude a distingui-lo facilmente de outros. Por exemplo, .**CloudTrail/logs**
Siga estas diretrizes ao nomear um grupos de log:
+ Os nomes de grupos de logs devem ser exclusivos em uma região para uma Conta da AWS.
+ Os nomes de grupos de log podem ter entre 1 e 512 caracteres.
+ Os nomes de grupos de logs são formados pelos seguintes caracteres: a-z, A-Z, 0-9, '\$1' (sublinhado), '-' (hífen), '/' (barra), '.' (ponto) e '\$1' (símbolo numérico).
Quando CloudTrail cria o fluxo de registros para o grupo de registros, ele nomeia o fluxo de registros de acordo com o seguinte formato: *account\$1ID* \$1 CloudTrail \$1*trail\$1region*.
**nota**
Se o volume de CloudTrail registros for grande, vários fluxos de registros poderão ser criados para entregar dados de registro ao seu grupo de registros. Quando houver vários fluxos de log, CloudTrail nomeie cada fluxo de log de acordo com o seguinte formato: *account\$1ID* \$1 \$1 CloudTrail *trail\$1region* \$1*number*.
Para obter mais informações sobre grupos de CloudWatch registros, consulte [Trabalho com grupos de registros e fluxos de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) no *Guia do usuário do Amazon CloudWatch Logs* e [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)na *Referência da API Amazon CloudWatch Logs*.
# Documento de política de funções CloudTrail para usar CloudWatch registros para monitoramento
Esta seção descreve a política de permissões necessária para que a CloudTrail função envie eventos de registro para o CloudWatch Logs. Você pode anexar um documento de política a uma função CloudTrail ao configurar o envio de eventos, conforme descrito em[Enviando eventos para o CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md). Você também pode criar uma função usando o IAM. Para obter mais informações, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) ou [Criar um perfil do IAM (AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-cli).
O exemplo de documento de política a seguir contém as permissões necessárias para criar um fluxo de CloudWatch registros no grupo de registros que você especifica e para entregar CloudTrail eventos a esse fluxo de registros na região Leste dos EUA (Ohio). (Essa é a política padrão da função padrão do IAM `CloudTrail_CloudWatchLogs_Role`.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream2014110",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
]
}
]
}
```
------
Se você criar uma política que também pode ser usada para trilhas da organização, será necessário modificá-la na política padrão criada para a função. Por exemplo, a política a seguir concede CloudTrail as permissões necessárias para criar um stream de CloudWatch registros de registros no grupo de registros que você especifica como valor e para entregar CloudTrail eventos a esse fluxo de *log\$1group\$1name* registros para as trilhas na AWS conta 111111111111 e para as trilhas da organização criadas na conta 111111111111 que são aplicadas à organização com o ID de: AWS Organizations *o-exampleorgid*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream20141101",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
]
}
]
}
```
------
Para obter mais informações sobre trilhas da organização, consulte [Criar uma trilha para uma organização](creating-trail-organization.md).