Como criar uma trilha no CloudTrail Como acessar eventos com o histórico de eventos do CloudTrail Exemplo de trilha para CreateEnvironment Próximas etapas

Como acessar logs de auditoria em AWS CloudTrail

AWS CloudTrail está habilitado na sua Conta da AWS ao criá-la. O CloudTrail registra em log a atividade realizada por uma entidade IAM ou serviço AWS, como o Amazon Managed Workflows for Apache Airflow, no qual é registrado como um evento do CloudTrail. Você pode visualizar, pesquisar e baixar o histórico de eventos dos últimos 90 dias no console do CloudTrail. O CloudTrail captura todos os eventos no console do Amazon MWAA e todas as chamadas para as APIs do Amazon MWAA. Ele não captura ações somente para leitura, como GetEnvironment, ou ação PublishMetrics. Esta página descreve como usar o CloudTrail para monitorar eventos do Amazon MWAA.

Sumário

Como criar uma trilha no CloudTrail

Você precisa criar uma trilha para acessar um registro de eventos em andamento na sua Conta da AWS, incluindo eventos do Amazon MWAA. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket do Amazon S3. Mesmo que você não crie uma trilha, ainda será possível acessar o histórico de eventos disponível no console do CloudTrail. Por exemplo, usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação feita para o Amazon MWAA, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais. Para saber mais, consulte Criação de uma trilha para a Conta da AWS.

Como acessar eventos com o histórico de eventos do CloudTrail

É possível resolver problemas operacionais e incidentes de segurança dos últimos 90 dias no console do CloudTrail ao visualizar o histórico de eventos. Como exemplo, é possível acessar eventos relacionados à criação, à modificação ou à exclusão de recursos (como usuários do IAM ou outros recursos da AWS) em sua Conta da AWS por região. Para saber mais, consulte Como acessar eventos com o histórico de eventos do CloudTrail.

Abra o console CloudTrail.
Escolha Histórico de eventos.
Selecione os eventos que quer visualizar e, em seguida, escolha Comparar detalhes do evento.

Exemplo de trilha para `CreateEnvironment`

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log a um bucket Amazon S3 especificado.

Os arquivos de log do CloudTrail contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer origem e inclui informações sobre a ação solicitada, como a data e a hora da ação ou os parâmetros de solicitação. Os arquivos de log do CloudTrail não são um rastreamento de pilha ordenada das chamadas de API pública e não são exibidos em uma ordem específica. O exemplo a seguir é uma entrada de log para a ação CreateEnvironment, que foi negada devido à falta de permissões. Os valores em AirflowConfigurationOptions foram alterados para fins de privacidade.


{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "00123456ABC7DEF8HIJK",
    "arn": "arn:aws:sts::012345678901:assumed-role/root/myuser",
    "accountId": "012345678901",
    "accessKeyId": "",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "00123456ABC7DEF8HIJK",
        "arn": "arn:aws:iam::012345678901:role/user",
        "accountId": "012345678901",
        "userName": "user"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2020-10-07T15:51:52Z"
      }
    }
  },
  "eventTime": "2020-10-07T15:52:58Z",
  "eventSource": "airflow.amazonaws.com",
  "eventName": "CreateEnvironment",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "205.251.233.178",
  "userAgent": "PostmanRuntime/7.26.5",
  "errorCode": "AccessDenied",
  "requestParameters": {
    "SourceBucketArn": "arn:aws:s3:::my-bucket",
    "ExecutionRoleArn": "arn:aws:iam::012345678901:role/AirflowTaskRole",
    "AirflowConfigurationOptions": "***",
    "DagS3Path": "sample_dag.py",
    "NetworkConfiguration": {
      "SecurityGroupIds": [
      "sg-01234567890123456"
      ],
      "SubnetIds": [
        "subnet-01234567890123456",
        "subnet-65432112345665431"
      ]
    },
    "Name": "test-cloudtrail"
  },
  "responseElements": {
    "message": "Access denied."
  },
  "requestID": "RequestID",
  "eventID": "EventID",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "recipientAccountId": "012345678901"
}

Próximas etapas

Saiba como configurar outros serviços AWS para os dados de eventos coletados nos logs do CloudTrail em Serviços e integrações compatíveis com o CloudTrail.
Saiba como ser notificado quando o CloudTrail publicar novos arquivos de log em um bucket do Amazon S3 em Como configurar notificações do Amazon SNS para o CloudTrail.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visão geral

Como acessar logs do Airflow