Como CloudTrail funciona - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como CloudTrail funciona

CloudTrail está ativo na sua AWS conta quando você a cria. Quando ocorre uma atividade em sua AWS conta, essa atividade é registrada em um CloudTrail evento. Você pode ver os últimos 90 dias de atividades registradas da API (eventos de gerenciamento) Região da AWS no CloudTrail console acessando Histórico de eventos.

Para obter um registro contínuo de atividades e eventos em sua Conta da AWS, crie um armazenamento de dados de eventos ou crie uma trilha. As trilhas podem registrar eventos para CloudTrail gerenciamento, dados e eventos do Insights. Os armazenamentos de dados de eventos podem registrar eventos de CloudTrail gerenciamento e dados, eventos do CloudTrail Insights, itens de AWS Config configuração, AWS Audit Managerevidências e não AWS eventos de integrações.

Para começar CloudTrail, consulteTutoriais de conceitos básicos do AWS CloudTrail.

Para CloudTrail saber os preços, consulte AWS CloudTrailPreços. Para obter o preço do Amazon S3 e do Amazon SNS, consulte Preços do Amazon S3 e Preços do Amazon SNS.

Histórico do evento

O Histórico de eventos fornece um registro visualizável, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento gravados em uma Região da AWS. Você pode visualizar facilmente os eventos de gerenciamento no CloudTrail console acessando a página Histórico de eventos. Você também pode visualizar o histórico de eventos executando o comando aws cloudtrail lookup-events ou a operação da API LookupEvents. É possível pesquisar eventos no Histórico de eventos filtrando eventos em um único atributo. Para ter mais informações, consulte Trabalhar com o histórico de eventos do CloudTrail.

O Histórico de eventos não está conectado a nenhuma trilha ou armazenamento de dados de eventos existente em sua conta e não é afetado por alterações de configuração feitas em suas trilhas e seus armazenamentos de dados de eventos.

CloudTrail Armazenamentos de dados de lagos e eventos

Você pode criar um armazenamento de dados de eventos do CloudTrail Lake para arquivar, analisar e responder às mudanças em seus AWS recursos. CloudTrail O Lake converte eventos existentes no formato JSON baseado em linhas para o formato Apache ORC. O ORC é um formato colunar de armazenamento otimizado para recuperação rápida de dados. Os eventos são agregados em armazenamentos de dados de eventos, que são coleções imutáveis de eventos baseados nos critérios selecionados com a aplicação de seletores de eventos avançados. Você pode manter os dados do evento em um armazenamento de dados de eventos por até 3.653 dias (cerca de 10 anos) se escolher a opção de preço de retenção extensível de um ano ou até 2.557 dias (cerca de 7 anos) se escolher a opção de preço de retenção por sete anos.

Você pode criar um armazenamento de dados de eventos para coletar eventos CloudTrail de gerenciamento e dados, eventos do CloudTrail Insights, itens de AWS Config configuração, AWS Audit Managerevidências ou não AWS eventos. Você pode criar armazenamentos de dados de eventos usando o consoleAWS CLI, o ou a CloudTrail API. Para obter mais informações sobre a criação de armazenamentos de dados de eventos usando o console, consulte Criar um armazenamento de dados de eventos. Para obter mais informações sobre a criação de armazenamentos de dados de eventos usando a AWS CLI, consulte Gerenciamento do CloudTrail Lake usando a AWS CLI.

CloudTrail O Lake permite que você registre eventos de aplicativos externosAWS, inclusive de qualquer fonte em seus ambientes híbridos, como aplicativos internos ou SaaS hospedados no local ou na nuvem, máquinas virtuais ou contêineres, criando integrações. É possível criar integrações com mais de 12 parceiros para registrar em log eventos que ocorrem fora da AWS em seus armazenamentos de dados de eventos. Para criar uma integração, primeiro deve ser configurado um canal pelo qual os eventos são entregues. Você pode usar o CloudTrail Lake para armazenar, acessar, analisar, solucionar problemas e agir com base nesses dados sem manter vários agregadores de registros e ferramentas de geração de relatórios.

Os armazenamentos de dados de eventos podem registrar em log eventos da Região da AWS atual ou de todas as Regiões da AWS em sua conta da AWS. Os armazenamentos de dados de eventos usados para registrar em log eventos de integração de fora da AWS devem ser apenas para uma única região, não podem ser armazenamentos de dados de eventos de várias regiões.

Para alterar um armazenamento de dados de eventos depois de criá-lo, você pode executar o update-event-data-storecomando ou usar o console do CloudTrail Lake.

Se você criou uma organização no AWS Organizations, poderá criar um armazenamento de dados de eventos que registrará em log todos os eventos de todas as contas da AWS dessa organização. Os armazenamentos de dados de eventos da organização podem ser aplicados a todas as regiões da AWS, ou à região atual. Os armazenamentos de dados de eventos da organização devem ser criados com a conta de gerenciamento ou conta de administrador delegado e, quando especificados como aplicáveis a uma organização, são aplicados automaticamente a todas as contas-membro da respectiva organização. As contas de membro não podem ver o armazenamento de dados de eventos da organização, nem podem modificá-lo ou excluí-lo. Por padrão, as contas de membro não têm acesso aos arquivos de log de um armazenamento de dados de eventos da organização, nem podem executar consultas em armazenamentos de dados de eventos da organização. Os armazenamentos de dados de eventos da organização não podem ser usados para coletar eventos de fora da AWS. Para ter mais informações, consulte Armazenamentos de dados de eventos da organização.

Para obter mais informações sobre como começar a usar o CloudTrail Lake, consulte Trabalhar com o AWS CloudTrail Lake este guia.

CloudTrail trilhas

Você também pode criar uma CloudTrail trilha para arquivar, analisar e responder às mudanças em seus AWS recursos. As trilhas podem registrar eventos CloudTrail de gerenciamento, eventos de dados e eventos do Insights.

Uma trilha é uma configuração que permite a entrega de eventos a um bucket do Amazon S3 especificado. Você também pode entregar e analisar eventos em uma trilha com o Amazon CloudWatch Logs e a Amazon EventBridge. Você pode criar trilhas com o CloudTrail consoleAWS CLI, o ou a CloudTrail API.

Você pode criar dois tipos de trilhas para uma conta da AWS:

Uma trilha que se aplica a todas as regiões

Quando você cria uma trilha que se aplica a todas as regiões, CloudTrail registra eventos em cada região e entrega os arquivos de log de CloudTrail eventos em um bucket do S3 que você especifica. Se alguma região for adicionada depois que você criar uma trilha que se aplica a todas as regiões, essa nova região será incluída automaticamente e os eventos nessa região serão registrados. Criar uma trilha de várias regiões é uma prática recomendada, pois você captura atividades em todas as regiões da conta. Todas as trilhas que você cria usando o CloudTrail console são multirregionais. É possível atualizar uma trilha de região única para registrar todas as regiões usando a AWS CLI. Para obter mais informações, consulte Converter uma trilha que se aplica a uma região para que ela se aplique a todas as regiões e Criar uma trilha no console.

Uma trilha que se aplica a uma região

Quando você cria uma trilha que se aplica a uma região, CloudTrail registra os eventos somente nessa região. Em seguida, ele entrega os arquivos de log de CloudTrail eventos para um bucket do Amazon S3 que você especificar. Só é possível criar uma trilha de região única usando a AWS CLI. Se você criar trilhas únicas adicionais, poderá fazer com que essas trilhas entreguem arquivos de log de CloudTrail eventos no mesmo bucket do Amazon S3 ou em buckets separados. Essa é a opção padrão quando você cria uma trilha usando a AWS CLI ou a CloudTrail API. Para ter mais informações, consulte Criar, atualizar e gerenciar trilhas com a AWS Command Line Interface.

nota

Para os dois tipos de trilhas, é possível especificar um bucket do Amazon S3 de qualquer região.

Desde 12 de abril de 2019, as trilhas podem ser visualizadas apenas em regiões da AWS em que elas registram eventos em log. Se você criar uma trilha que registra eventos em log em todas as regiões da AWS, ela será exibida no console em todas as regiões da AWS. Se você criar uma trilha que registra eventos em log apenas em uma única região da AWS, poderá visualizá-la e gerenciá-la apenas nessa região da AWS.

Se você criou uma organização no AWS Organizations, pode criar uma trilha de organização que registrará em log todos os eventos de todas as contas da AWS dessa organização. As trilhas da organização podem se aplicar a todas as regiões da AWS, ou à região atual. As trilhas da organização devem ser criadas com a conta de gerenciamento ou conta de administrador delegado e, quando especificadas como aplicáveis a uma organização, são aplicadas automaticamente a todas as contas-membro da respectiva organização. As contas de membro podem ver a trilha da organização, mas não pode modificá-la ou excluí-la. Por padrão, as contas de membro não têm acesso aos arquivos de log de uma trilha da organização no bucket do Amazon S3.

Você poderá alterar a configuração de uma trilha após criá-la, bem como especificar se os eventos serão registrados em uma única ou em todas as regiões. Para alterar uma trilha de região única para uma trilha de todas as regiões, ou vice-versa, é necessário executar o comando update-trail da AWS CLI. Você também pode alterar se ele registra dados ou eventos do CloudTrail Insights. Alterar uma trilha para registrar eventos em uma região ou em todas as regiões afeta os eventos que são registrados. Para obter mais informações, consulte Gerenciar trilhas com a AWS CLI (AWS CLI) e Trabalhar com arquivos de log do CloudTrail.

Por padrão, os arquivos de log de CloudTrail eventos das trilhas são criptografados usando a criptografia do lado do servidor (SSE) do Amazon S3. Também é possível optar por criptografar seus arquivos de log com uma chave AWS Key Management Service (AWS KMS). Você pode armazenar seus arquivos de log no seu bucket do pelo tempo que quiser. Você também pode definir as regras de ciclo de vida do Amazon S3 para arquivar ou excluir os arquivos de log automaticamente. Se você deseja receber notificações sobre a entrega e a validação dos arquivos de log, configure as notificações do Amazon SNS.

CloudTrail publica arquivos de log várias vezes por hora, aproximadamente a cada 5 minutos. Esses arquivos de log contêm chamadas de API de serviços na conta que oferece suporte a CloudTrail. Para ter mais informações, consulte CloudTrail serviços e integrações suportados.

nota

CloudTrail normalmente entrega registros em uma média de cerca de 5 minutos após uma chamada de API. Desta vez não há garantias. Consulte o Acordo de Nível de Serviço do AWS CloudTrail para obter mais informações.

Se você configurar incorretamente sua trilha (por exemplo, o bucket do S3 está inacessível), CloudTrail tentará reenviar os arquivos de log para o bucket do S3 por 30 dias, e esses attempted-to-deliver eventos estarão sujeitos às cobranças padrão. CloudTrail Para evitar cobranças em uma trilha mal configurada, você precisa excluir a trilha.

CloudTrail captura ações feitas diretamente pelo usuário ou em nome do usuário por um AWS serviço. Por exemplo, uma chamada AWS CloudFormation CreateStack pode resultar em outras chamadas de API para o Amazon EC2, Amazon RDS, Amazon EBS ou outros serviços, conforme exigido pelo modelo AWS CloudFormation. Esse comportamento é normal e esperado. Você pode identificar se a ação foi realizada por um AWS serviço com o invokedby campo no CloudTrail evento.

CloudTrail canais

CloudTrail suporta dois tipos de canais:

Canais para integrações do CloudTrail Lake com fontes de eventos fora do AWS

CloudTrail O Lake usa canais para trazer não AWS eventos para o CloudTrail Lake de parceiros externos que trabalham com CloudTrail ou de suas próprias fontes. Ao criar um canal, você escolhe um ou mais armazenamentos de dados de eventos para armazenar eventos que cheguem da fonte do canal. É possível alterar os armazenamentos de dados de eventos de destino de um canal conforme necessário, desde que os armazenamentos de dados de eventos de destino estejam configurados para registrar em log eventos de atividades. Ao criar um canal para eventos de um parceiro externo, você fornece um ARN de canal para o parceiro ou aplicação da fonte. A política de recursos anexada ao canal permite que a fonte transmita eventos pelo canal. Para obter mais informações, consulte Crie uma integração com uma fonte de eventos fora da AWS e CreateChannel na Referência da API do AWS CloudTrail.

Canais vinculados ao serviço

AWSos serviços podem criar um canal vinculado ao serviço para receber CloudTrail eventos em seu nome. O serviço da AWS que cria o canal vinculado ao serviço configura seletores de eventos avançados para o canal e especifica se o canal se aplica a todas as regiões ou a uma única região.

Você pode usar o CloudTrail console ou AWS CLIvisualizar informações sobre qualquer canal CloudTrail vinculado ao serviço criado por. Serviços da AWS