Menu
AWS CloudTrail
Guia do usuário (Version 1.0)

Enviar eventos ao CloudWatch Logs

Quando você configura sua trilha para enviar eventos ao CloudWatch Logs, o CloudTrail envia somente aqueles que correspondem às configurações da trilha. Por exemplo, se você configurar sua trilha para registrar somente eventos de dados, ela enviará eventos de dados somente ao grupo de logs do CloudWatch Logs. O CloudTrail oferece suporte ao envio de eventos de dados e de gerenciamento ao CloudWatch Logs. Para obter mais informações, consulte Registro de eventos de dados e gerenciamento para trilhas.

Para enviar eventos a um grupo de logs do CloudWatch Logs:

  • Crie uma nova trilha ou especifique uma existente. Para obter mais informações, consulte Criar uma trilha com o console.

  • Crie um grupo de logs ou especifique um existente.

  • Especifique uma função IAM.

  • Anexe uma política de função ou use a política padrão.

Configurar o monitoramento do CloudWatch Logs com o console

Você pode usar o Console de gerenciamento da AWS e configurar sua trilha para enviar eventos ao CloudWatch Logs para monitoramento.

Criar um grupo de logs ou especificar um existente

O CloudTrail usa um grupo de logs do CloudWatch Logs como um endpoint de fornecimento de eventos de log. Você pode criar um grupo de logs ou especificar um existente.

Para criar ou especificar um grupo de logs

  1. Open the CloudTrail console at https://console.aws.amazon.com/cloudtrail/.

  2. Escolha o nome da trilha. Se você escolher uma trilha que se aplica a todas as regiões, será redirecionado à região em que ela foi criada. Você pode criar um grupo de logs ou escolher um existente na mesma região que a trilha.

    nota

    Uma trilha que se aplica a todas as regiões envia arquivos de log de todas as regiões ao grupo de logs do CloudWatch Logs que você especificar.

  3. Para CloudWatch Logs, escolha Configure.

  4. Para New or existing log group, digite o nome do grupo de logs e, em seguida, escolha Continue. Para obter mais informações, consulte Nomenclatura de listas e grupos de logs do CloudWatch para o CloudTrail.

  5. Para a função IAM, escolha uma função existente ou crie uma. Se você criar uma função IAM, digite um nome para ela.

  6. Escolha Allow para conceder ao CloudTrail permissões para criar um fluxo de logs do CloudWatch Logs e fornecer eventos.

Especificar uma função IAM

Você pode especificar uma função que o CloudTrail deverá assumir para fornecer eventos ao fluxo de logs.

Para especificar uma função

  1. Por padrão, a CloudTrail_CloudWatchLogs_Role é especificada para você. A política de função padrão tem as permissões necessárias para criar um fluxo de logs do CloudWatch Logs em um grupo de logs que você especificar e para fornecer eventos do CloudTrail a esse fluxo de logs.

    1. Para verificar a função, acesse o console do AWS Identity and Access Management em https://console.aws.amazon.com/iam/.

    2. Escolha Roles e, em seguida, escolha CloudTrail_CloudWatchLogs_Role.

    3. Para ver o conteúdo da política de função, escolha View Policy Document.

  2. Você pode especificar outra função, mas deve anexar a política de função obrigatória à função existente, se deseja usá-la para enviar eventos ao CloudWatch Logs. Para obter mais informações, consulte Policy Document de função do CloudTrail para usar o CloudWatch Logs para fins de monitoramento.

Visualizar eventos no console do CloudWatch

Depois de configurar a trilha para enviar eventos ao grupo de logs do CloudWatch Logs, você pode visualizar os eventos no console do CloudWatch. O CloudTrail normalmente fornece os eventos ao grupo de logs em até alguns minutos após uma chamada de API.

Para visualizar eventos no console do CloudWatch

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. Escolha Logs.

  3. Escolha o grupo de logs que você especificou para a sua trilha.

  4. Escolha o nome do fluxo de logs.

  5. Para ver os detalhes do evento que sua trilha registrou, escolha um evento.

nota

A coluna Horário (UTC) no console do CloudWatch mostra quando o evento foi fornecido ao seu grupo de logs. Para ver o horário real em que o evento foi registrado pelo CloudTrail, consulte o campo eventTime.

Configurar o monitoramento do CloudWatch Logs com a AWS CLI

Você pode usar a AWS CLI e configurar o CloudTrail para enviar eventos ao CloudWatch Logs para monitoramento.

Criar um grupo de logs

  1. Se você não tem um grupo de logs existente, crie um grupo de logs do CloudWatch Logs como um endpoint de fornecimento de eventos de log usando o comando create-log-group do CloudWatch Logs.

    Copy
    aws logs create-log-group --log-group-name name

    O exemplo a seguir cria um grupo de logs chamado CloudTrail/logs:

    Copy
    aws logs create-log-group --log-group-name CloudTrail/logs
  2. Recupere o grupo de logs Nome de recurso da Amazon (ARN).

    Copy
    aws logs describe-log-groups

Criar uma função

Crie uma função para o CloudTrail que permita que ele envie eventos ao grupo de logs do CloudWatch Logs. O comando create-role do IAM usa dois parâmetros: um nome de função e um caminho de arquivo para um documento de política para assumir uma função no formato JSON. O documento de política que você usa concede ao CloudTrail permissões de AssumeRole. O comando create-role cria a função com as permissões necessárias.

Para criar o arquivo JSON que conterá o documento de política, abra um editor de texto e salve o conteúdo de política a seguir em um arquivo chamado assume_role_policy_document.json.

Copy
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Execute o comando a seguir para criar a função com permissões de AssumeRole para o CloudTrail.

Copy
aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json

Quando o comando for concluído, anote o ARN da função no resultado.

Criar um documento de política

Crie o seguinte documento de política de função para o CloudTrail. Este documento concede ao CloudTrail as permissões necessárias para criar um fluxo de logs do CloudWatch Logs no grupo de logs especificado e para fornecer eventos do CloudTrail a esse fluxo de logs.

Copy
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] } ] }

Salve o documento de política em um arquivo chamado role-policy-document.json.

Execute o comando a seguir para aplicar a política à função.

Copy
aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json

Atualizar a trilha

Atualize a trilha com o grupo de logs e as informações da função usando o comando update-trail do CloudTrail.

Copy
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn

Para obter mais informações sobre os comandos AWS CLI, consulte a Referência de linha de comando do AWS CloudTrail.

Limitação

Como o CloudWatch Logs tem uma limitação de tamanho de evento de 256 KB, o CloudTrail não envia eventos maiores do que 256 KB ao CloudWatch Logs. Por exemplo, uma chamada para a API RunInstances do EC2 para iniciar 500 instâncias excederá o limite de 256 KB. O CloudTrail não envia o evento ao CloudWatch Logs. Para garantir que o CloudTrail envie eventos ao CloudWatch Logs, divida solicitações grandes em lotes menores.