Trabalhar com arquivos de log do CloudTrail - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Trabalhar com arquivos de log do CloudTrail

É possível realizar tarefas mais avançadas com os seus arquivos do CloudTrail.

  • Crie várias trilhas por região.

  • Monitore os arquivos de log do CloudTrail enviando-os ao CloudWatch Logs.

  • Compartilhe arquivos de log entre contas.

  • Use a biblioteca de processamento do CloudTrail da AWS para aplicações de processamento de log de gravação em Java.

  • Valide os seus arquivos de log para verificar se não foram alterados após terem sido entregues pelo CloudTrail.

Quando ocorre um evento na sua conta, o CloudTrail avalia se ele corresponde às configurações das suas trilhas. Somente eventos que correspondem às suas configurações de trilhas são fornecidos ao bucket do Amazon S3 e ao grupo de logs do Amazon CloudWatch Logs.

Você pode configurar várias trilhas de maneiras diferentes para que elas processem e registrem somente os eventos que você especificar. Por exemplo, uma trilha pode registrar dados somente leitura e gerenciamento de eventos para que todos os eventos somente leitura sejam entregues a um bucket do S3. Outra trilha pode registrar apenas dados somente gravação e eventos de gerenciamento para que todos os eventos somente gravação sejam fornecidos a um bucket separado do S3.

Você também pode configurar suas trilhas para ter um log de trilha e fornecer todos os eventos de gerenciamento a um bucket do S3 e configurar outra trilha para registrar e fornecer todos os eventos de dados de a outro bucket do S3.

Você pode configurar suas trilhas para registrar o seguinte:

  • Eventos de dados: esses eventos fornecem visibilidade nas operações do recurso executadas no recurso ou dentro de um recurso. Elas também são conhecidas como operações de plano de dados.

  • Eventos de gerenciamento: eventos de gerenciamento fornecem visibilidade em operações de gerenciamento que são executadas nos recursos em sua conta da AWS. Elas também são conhecidas como operações de plano de controle. Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem na sua conta. Por exemplo, quando um usuário faz login na sua conta, o CloudTrail registra o evento ConsoleLogin. Para obter mais informações, consulte Eventos que não são da API capturados pelo CloudTrail.

    nota

    Nem todos os serviços da AWS oferecem suporte a eventos do CloudTrail. Para obter mais informações sobre serviços compatíveis, consulte CloudTrail serviços e integrações suportados. Para obter detalhes específicos sobre quais APIs são registradas para um serviço específico, consulte a documentação desse serviço em CloudTrail serviços e integrações suportados.

  • Eventos do Insights: os eventos do Insights capturam atividades incomuns detectadas em sua conta. Se os eventos do Insights estiverem habilitados e o CloudTrail detectar atividade incomum, os eventos do Insights serão registrados em log no bucket do S3 de destino para a trilha, mas em outra pasta. Também é possível ver o tipo de evento do Insights e o período do incidente ao visualizar os eventos do Insights no console do CloudTrail. Ao contrário de outros tipos de eventos capturados em uma trilha do CloudTrail, os eventos do Insights são registrados em log somente quando o CloudTrail detecta alterações no uso da API da conta que diferem significativamente dos padrões de uso típicos da conta.

    Os eventos do Insights são gerados somente para APIs de gerenciamento. Para obter mais informações, consulte Registrar eventos do Insights.

nota

O CloudTrail normalmente entrega os logs em até 5 minutos após uma chamada à API. Desta vez não há garantias. Consulte o Acordo de Nível de Serviço do AWS CloudTrail para obter mais informações.

Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 estiver inacessível), o CloudTrail tentará reentregar os arquivos de log ao seu bucket do S3 por 30 dias, e esses eventos de tentativa de entrega estarão sujeitos às cobranças padrão do CloudTrail. Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.