Trabalhar com o histórico de eventos do CloudTrail - AWS CloudTrail
Limitações do histórico de eventos

Trabalhar com o histórico de eventos do CloudTrail

Por padrão, o CloudTrail é habilitado para sua conta da AWS e você tem acesso automático ao histórico de eventos do CloudTrail. O histórico de eventos fornece um registro imutável, que pode ser visualizado, pesquisado e baixado, dos últimos 90 dias de eventos de gerenciamento em uma Região da AWS. Esses eventos capturam atividades feitas por meio de Console de gerenciamento da AWS, AWS Command Line Interface e APIs e SDKs da AWS. O histórico de eventos registra eventos na Região da AWS em que o evento aconteceu. Não há custos do CloudTrail pela visualização do histórico de eventos.

Você pode consultar eventos relacionados à criação, modificação ou exclusão de recursos (como usuários do IAM ou instâncias do Amazon EC2) em sua Conta da AWS por região no console do CloudTrail visualizando a página Histórico de eventos. Você também pode pesquisar esses eventos executando o comando aws cloudtrail lookup-events ou usando a API LookupEvents.

Você pode usar a página Histórico de eventos no console do CloudTrail para visualizar, pesquisar, baixar, arquivar, analisar e responder a atividades de conta em toda a infraestrutura da AWS. Você pode personalizar a visão do Histórico de eventos selecionando quantos eventos devem ser exibidos em cada página e quais colunas serão exibidas ou ficarão ocultas. Você também pode comparar os detalhes dos eventos do histórico de eventos lado a lado. Você pode consultar eventos de maneira programática usando os AWS SDKs ou a AWS Command Line Interface.

nota

Com o passar do tempo, os Serviços da AWS podem adicionar outros eventos. O CloudTrail registra esses eventos no histórico de eventos, mas um registro completo das atividades de 90 dias que inclui eventos adicionados não estará disponível até 90 dias após a adição dos eventos.

O histórico de eventos é separado de todas as trilhas ou datastores de eventos que você cria para sua conta. As alterações feitas nos datastores de eventos ou nas trilhas não afetam o histórico de eventos.

As seções a seguir descrevem como pesquisar eventos de gerenciamento recentes usando o console do CloudTrail e a AWS CLI e descrevem como baixar um arquivo de eventos. Para obter informações sobre como usar a API LookupEvents para recuperar informações de eventos do CloudTrail, consulte LookupEvents na Referência da API do AWS CloudTrail.

Tópicos

Limitações do histórico de eventos

As limitações a seguir se aplicam ao histórico de eventos.

  • A página Histórico de eventos no console do CloudTrail mostra somente eventos de gerenciamento. Ela não mostra eventos de dados, eventos do Insights ou eventos de atividade de rede.

  • O histórico de eventos é limitado aos últimos 90 dias de eventos. Para obter um registro contínuo de atividades e eventos em sua conta da Conta da AWS, crie um armazenamento de dados de eventos ou crie uma trilha.

  • Ao baixar eventos na página Histórico de eventos no console do CloudTrail, é possível baixar até 200 mil eventos em um único arquivo. Se você atingir o limite de 200 mil eventos, o console do CloudTrail fornecerá a opção de baixar arquivos adicionais.

  • O histórico de eventos não fornece agregação de eventos em nível organizacional. Para registrar eventos em toda a sua organização, crie um armazenamento de dados de eventos ou uma trilha da organização.

  • Uma pesquisa do histórico de eventos é limitada a uma única Conta da AWS, retorna apenas eventos de uma Região da AWS e não pode consultar vários atributos. É possível aplicar somente um filtro de atributo e um filtro de intervalo de tempo.

    É possível criar um armazenamento de dados de eventos do CloudTrail Lake para consultar vários atributos e Regiões da AWS. Você também pode consultar em várias Contas da AWS em uma organização do AWS Organizations. No CloudTrail Lake, é possível consultar vários tipos de eventos, incluindo eventos de gerenciamento, eventos de dados, eventos de Insights itens de configuração do AWS Config, evidências do Audit Manager e eventos não AWS. As consultas do CloudTrail Lake oferecem uma visão mais aprofundada e personalizável dos eventos do que simples pesquisas de chave e valor na página Histórico de eventos ou execução do comando LookupEvents. Para obter mais informações, consulte Trabalhar com o AWS CloudTrail Lake e Criar um armazenamento de dados de eventos para eventos do CloudTrail com o console.

  • Não é possível excluir eventos da API de dados do Amazon RDS ou do AWS KMS do histórico de eventos; as configurações aplicadas a uma trilha não se aplicam ao histórico de eventos.