View a markdown version of this page

Consultar logs brutos no Detective - Amazon Detective
Consultando registros brutos para uma função AWSConsultando registros brutos para um cluster Amazon EKSConsultando registros brutos para uma instância do Amazon EC2

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Consultar logs brutos no Detective

Depois de integrar o Detective ao Security Lake, o Detective começa a extrair registros brutos do Security Lake relacionados a eventos de AWS CloudTrail gerenciamento e aos registros de fluxo da Amazon Virtual Private Cloud (Amazon VPC).

nota

Não há cobranças adicionais pela consulta de logs brutos no Detective. As taxas de uso de outros AWS Serviços, incluindo o Amazon Athena, ainda se aplicam às tarifas publicadas.

AWS CloudTrail os eventos de gerenciamento estão disponíveis para os seguintes perfis:

  • AWS conta

  • AWS usuário

  • AWS papel

  • AWS função: Sessão

  • Instância do Amazon EC2

  • Bucket do Amazon S3.

  • IP address (endereço de IP)

  • Cluster Kubernetes

  • Pod do Kubernetes

  • Assunto do Kubernetes

  • perfil do IAM

  • Sessão de função do IAM

  • IAM user (Usuário do IAM)

Os Amazon VPC FLow Logs estão disponíveis para os seguintes perfis:

  • Instância do Amazon EC2

  • Pod do Kubernetes

Para uma demonstração de como usar o Amazon Detective com o Amazon Security Lake usando o console Detective, assista ao vídeo a seguir:

Como consultar logs brutos de uma conta da AWS

  1. Abra o console do Detective em. https://console.aws.amazon.com/detective/

  2. No painel de navegação, selecione Pesquisar e procure uma AWS account.

  3. Na seção Volume geral de chamadas de API, selecione os detalhes de exibição para o tempo de escopo.

  4. Neste ponto, você pode começar a Consultar logs brutos.

Na tabela de Visualização do log bruto, é possível visualizar os logs e eventos recuperados consultando dados do Security Lake. Para obter mais detalhes sobre os logs de eventos brutos, você pode visualizar os dados exibidos no Amazon Athena.

Na tabela de Visualização do log bruto, é possível visualizar os logs e eventos recuperados consultando dados do Security Lake. Para obter mais detalhes sobre os logs de eventos brutos, você pode visualizar os dados exibidos no Amazon Athena.

Na tabela de Visualização do log bruto, é possível visualizar os logs e eventos recuperados consultando dados do Security Lake. Para obter mais detalhes sobre os logs de eventos brutos, você pode visualizar os dados exibidos no Amazon Athena.

Na tabela Consultar logs brutos, você pode Cancelar solicitação de consulta, Ver resultados no Amazon Athena e Baixar resultados como um arquivo de valores separados por vírgula (.csv).

Se você ver logs no Detective, mas a consulta não retornou nenhum resultado, existem alguns motivos pelos quais isso pode ter acontecido.

  • Os logs brutos podem ficar disponíveis no Detective antes de aparecerem nas tabelas de log do Security Lake. Tente novamente mais tarde.

  • Os logs podem estar ausentes do Security Lake. Se você esperou por um longo período, isso indica que faltam logs do Security Lake. Entre em contato com o administrador do Security Lake para resolver o problema.

Consultando registros brutos para uma função AWS

Se quiser entender a atividade de uma AWS função em uma nova geolocalização, você pode fazer isso no console do Detective.

Como consultar logs brutos de um perfil da AWS

  1. Abra o console do Detective em. https://console.aws.amazon.com/detective/

  2. Na página Resumo do Detective, seção Geolocalizações recém-observadas, anote a função. AWS

  3. No painel de navegação, selecione Pesquisar e procure pelo AWS role.

  4. Para a AWS função, expanda o recurso para exibir as chamadas de API específicas que foram emitidas desse endereço IP por esse recurso.

  5. Selecione o ícone de lupa ao lado da chamada de API que você deseja investigar para abrir a tabela de Visualização do log bruto.

    Na tabela de Visualização do log bruto, é possível visualizar os logs e eventos recuperados consultando dados do Security Lake. Para obter mais detalhes sobre os logs de eventos brutos, você pode visualizar os dados exibidos no Amazon Athena.

Consultando registros brutos para um cluster Amazon EKS

  1. Abra o console do Detective em. https://console.aws.amazon.com/detective/

  2. Na página Resumo do Detective, seção Clusters de contêineres com a maioria dos pods criados, navegue até um cluster do Amazon EKS.

  3. Na página de detalhes do cluster do Amazon EKS, selecione a guia Atividade da API Kubernetes.

  4. Na seção Atividade geral da API Kubernetes envolvendo esse cluster do Amazon EKS, escolha exibir detalhes para o tempo do escopo.

  5. Neste ponto, você pode começar a Consultar logs brutos.

Consultando registros brutos para uma instância do Amazon EC2

  1. Abra o console do Detective em. https://console.aws.amazon.com/detective/

  2. No painel de navegação, selecione Pesquisar e procure uma Amazon EC2 instance.

  3. Na seção Volume de fluxo geral da VPC, selecione o ícone de lupa ao lado da chamada de API que você deseja investigar para abrir a tabela de Visualização do log bruto.

  4. Neste ponto, você pode começar a Consultar logs brutos.

    Na tabela de Visualização do log bruto, é possível visualizar os logs e eventos recuperados consultando dados do Security Lake. Para obter mais detalhes sobre os logs de eventos brutos, você pode visualizar os dados exibidos no Amazon Athena.

Na tabela de Visualização do log bruto, é possível visualizar os logs e eventos recuperados consultando dados do Security Lake. Para obter mais detalhes sobre os logs de eventos brutos, você pode visualizar os dados exibidos no Amazon Athena.

Na tabela Consultar logs brutos, você pode Cancelar solicitação de consulta, Ver resultados no Amazon Athena e Baixar resultados como um arquivo de valores separados por vírgula (.csv).