Registrar chamadas à API do AWS Directory Service usando o AWS CloudTrail - AWS Directory Service
Informações do AWS Managed Microsoft AD no CloudTrailNoções básicas das entradas do arquivo de log do AWS Managed Microsoft AD

Registrar chamadas à API do AWS Directory Service usando o AWS CloudTrail

A API do AWS Managed Microsoft AD é integrada ao AWS CloudTrail, um serviço que captura chamadas de API feitas pelo AWS Managed Microsoft AD ou em nome dele na Conta da AWS e entrega os arquivos de log a um bucket do Amazon S3 que você especificar. O CloudTrail captura todas as chamadas de API do console do AWS Managed Microsoft AD e de chamadas de código para APIs do AWS Managed Microsoft AD. Usando as informações coletadas pelo CloudTrail, você pode determinar qual solicitação foi feita ao AWS Managed Microsoft AD, o endereço IP de origem de onde a solicitação foi feita, quem fez a solicitação, quando ela foi feita, e assim por diante. Para saber mais sobre o CloudTrail, consulte o Guia do usuário do AWS CloudTrail.

Informações do AWS Managed Microsoft AD no CloudTrail

O CloudTrail é habilitado em sua Conta da AWS quando ela é criada. Quando ocorre uma atividade no AWS Managed Microsoft AD, essa atividade é registrada em um evento do CloudTrail com outros eventos de serviço da AWS no Histórico de eventos. Você pode exibir, pesquisar e baixar eventos recentes em sua Conta da AWS. Para obter mais informações, consulte Visualizar eventos com o histórico de eventos do CloudTrail.

Para obter um registro contínuo de eventos na Conta da AWS, incluindo eventos do AWS Managed Microsoft AD, crie um rastreamento. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket do Amazon S3. Por padrão, quando uma trilha é criada no console, a mesma é aplicada a todas as regiões da AWS. A trilha registra logs de eventos de todas as Regiões na AWS divisória e entrega os arquivos do log para o bucket Amazon S3 especificado. Além disso, é possível configurar outros AWS serviços para melhor analisar e agir de acordo com dados coletados do evento nos logs CloudTrail. Para obter mais informações, consulte:

Quando o registro de logs do CloudTrail é habilitado na sua Conta da AWS, todas as chamadas de API feitas para ações do AWS Managed Microsoft AD são rastreadas em arquivos de log. Os registros do AWS Os registros do Managed Microsoft AD são gravados com outros registros de serviços da AWS em um arquivo de log. O CloudTrail determina quando criar e gravar em um novo arquivo conforme o período e o tamanho do arquivo. Todas as chamadas feitas para a API ou CLI do Directory Service são registradas em log pelo CloudTrail.

Cada entrada de log contém informações sobre quem gerou a solicitação. As informações sobre identidade do usuário no registro ajudam a determinar se a solicitação foi feita com credenciais de usuário raiz ou do IAM;, com credenciais de segurança temporárias para uma função ou um usuário federado ou por outro serviço da AWS. Para obter mais informações, consulte o campo userIdentity na Referência de eventos do CloudTrail.

Você pode armazenar os arquivos de log no bucket pelo tempo que desejar, mas também pode definir regras do ciclo de vida do Amazon S3 para arquivar ou excluir os arquivos de log automaticamente. Por padrão, os arquivos de log são criptografados usando-se Server-Side Encryption (Criptografia do lado do servidor (SSE)) do Amazon S3.

É possível optar por ter as notificações do CloudTrail publicadas pelo Amazon SNS quando os arquivos de log novos forem entregues caso você queira agir rapidamente após a entrega do arquivo de log. Para obter mais informações, consulte Configuring Amazon SNS Notifications.

Você também pode agregar os arquivos de log do AWS Managed Microsoft AD de várias regiões da AWS e de Contas da AWS em um único bucket do Amazon S3. Para obter mais informações, consulte Agregando arquivos de log do CloudTrail em um único bucket do Amazon S3.

Noções básicas das entradas do arquivo de log do AWS Managed Microsoft AD

Os arquivos de log do CloudTrail podem conter uma ou mais entradas de log, onde cada uma é composta por vários eventos em formato JSON. Uma entrada de log representa uma única solicitação de qualquer origem e inclui informações sobre a ação solicitada, quaisquer parâmetros, a data e hora da ação e assim por diante. As entradas de log não têm garantia de estarem em uma ordem específica; ou seja, elas não são um rastreamento de pilha ordenado das chamadas de API públicas.

As informações confidenciais, como senhas, tokens de autenticação, comentários de arquivos e o conteúdo do arquivo são redigidas nas entradas do registro.

O exemplo a seguir mostra um exemplo de uma entrada de log do CloudTrail para o AWS Managed Microsoft AD:

{
  "Records" : [
    {
      "eventVersion" : "1.02",
      "userIdentity" :
      {
        "type" : "IAMUser",
        "principalId" : "<user_id>",
        "arn" : "<user_arn>",
        "accountId" : "<account_id>",
        "accessKeyId" : "<access_key_id>",
        "userName" : "<username>"
      },
      "eventTime" : "<event_time>",
      "eventSource" : "ds.amazonaws.com",
      "eventName" : "CreateDirectory",
      "awsRegion" : "<region>",
      "sourceIPAddress" : "<IP_address>",
      "userAgent" : "<user_agent>",
      "requestParameters" :
      {
        "name" : "<name>",
        "shortName" : "<short_name>",
        "vpcSettings" :
        {
          "vpcId" : "<vpc_id>",
          "subnetIds" : [
            "<subnet_id_1>",
            "<subnet_id_2>"
          ]
        },
        "type" : "<size>",
        "setAsDefault" : <option>,
        "password" : "***OMITTED***"
      },
      "responseElements" :
      {
        "requestId" : "<request_id>",
        "directoryId" : "<directory_id>"
      },
      "requestID" : "<request_id>",
      "eventID" : "<event_id>",
      "eventType" : "AwsApiCall",
      "recipientAccountId" : "<account_id>"
    }
  ]
}