Visualizando eventos CloudTrail de gerenciamento recentes no CloudTrail console - AWS CloudTrail
Navegar entre páginasPersonalizar a exibiçãoFiltrando eventos CloudTrail Visualizar detalhes de um eventoBaixar eventosVisualizando recursos referenciados com AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizando eventos CloudTrail de gerenciamento recentes no CloudTrail console

Você pode usar a página Histórico de eventos no CloudTrail console para visualizar os últimos 90 dias de eventos de gerenciamento em um Região da AWS. Você também pode fazer download de um arquivo com essas informações, ou um subconjunto de informações com base no filtro e intervalo de tempo que escolher. É possível personalizar a visualização do Histórico de eventos selecionando quantos eventos devem ser exibidos em cada página e escolhendo quais colunas serão exibidas no console. Você também pode pesquisar e filtrar eventos pelos tipos de recursos disponíveis para um determinado serviço. Você pode selecionar até cinco eventos no histórico de eventos e comparar seus detalhes side-by-side.

Event history (Histórico de eventos) não exibe eventos de dados. Para visualizar eventos de dados, crie um armazenamento de dados de eventos ou uma trilha.

Após 90 dias, os eventos não são mais exibidos em Event history (Histórico de eventos). Você não pode excluir manualmente eventos do Event history (Histórico de eventos).

Você pode saber mais sobre as especificidades de como CloudTrail registrar eventos para um serviço específico consultando a documentação desse serviço. Para ter mais informações, consulte AWS tópicos de serviço para CloudTrail.

nota

Para obter um registro contínuo de atividades e eventos em crie um armazenamento de dados de eventos ou uma trilha.

A criação de um armazenamento de dados de eventos permite que você aproveite os seguintes recursos:

  • Você pode criar um armazenamento de dados de eventos para coletar eventos CloudTrail de gerenciamento e dados, itens de AWS Config configuração, AWS Audit Manager evidências ou não AWS eventos de integrações. Para ter mais informações, consulte Trabalhando com AWS CloudTrail Lake e Criar um armazenamento de dados de eventos.

  • Analise sua atividade AWS de serviço com as consultas CloudTrail do Lake. CloudTrail As consultas do Lake oferecem uma visão mais profunda e personalizável dos eventos do que pesquisas simples de chaves e valores no histórico de eventos ou em execução. LookupEvents Uma pesquisa no histórico de eventos é limitada a uma única Conta da AWS, retorna somente eventos de uma única Região da AWS e não pode consultar vários atributos. Por outro lado, os usuários do CloudTrail Lake podem executar consultas SQL complexas em vários campos de eventos. Para ter mais informações, consulte Criar ou editar uma consulta e Visualização de consultas de exemplo no console do CloudTrail.

  • Visualize os painéis do CloudTrail Lake para visualizar os dados em seus armazenamentos de dados de eventos. Para ter mais informações, consulte Visualizar painéis do Lake.

  • Um armazenamento de dados de eventos permite que você exclua AWS Key Management Service (AWS KMS) ou eventos da Amazon Relational Database Service Data API. AWS KMS ações comoEncrypt,Decrypt, e GenerateDataKey normalmente geram um grande volume (mais de 99%) de eventos. Os eventos não podem ser excluídos do Histórico de eventos.

Criar uma trilha também permite que você aproveite as seguintes integrações:

  • Uma trilha permite registrar eventos do CloudTrail Insights, que podem ajudá-lo a identificar e responder a atividades incomuns associadas às chamadas da API write de gerenciamento. Para ter mais informações, consulte Registrar eventos do Insights.

  • Analise sua atividade AWS de serviço com consultas no Amazon Athena. Para obter mais informações, consulte Criação de uma tabela para CloudTrail registros no CloudTrail console no Guia do usuário do Amazon Athena ou escolha a opção de criar uma tabela diretamente do histórico de eventos no CloudTrail console.

  • Monitore seus registros de trilhas e seja notificado quando ocorrer uma atividade específica com o Amazon CloudWatch Logs. Para ter mais informações, consulte Monitorar arquivos de log do CloudTrail com o Amazon CloudWatch Logs.

  • Uma trilha permite que você exclua AWS Key Management Service (AWS KMS) ou eventos da Amazon Relational Database Service Data API. AWS KMS ações comoEncrypt,Decrypt, e GenerateDataKey normalmente geram um grande volume (mais de 99%) de eventos. Os eventos não podem ser excluídos do Histórico de eventos.

Para ver CloudTrail eventos recentes no console

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/home/.

  2. No painel de navegação, escolha Event history (Histórico de eventos).

    Uma lista filtrada de eventos é exibida no painel de conteúdo com o evento mais recente primeiro. Desça para ver mais eventos.

  3. Para comparar eventos, selecione até cinco eventos preenchendo as caixas de seleção na margem esquerda da tabela Event history (Histórico de eventos). Veja os detalhes dos eventos selecionados side-by-side na tabela Comparar detalhes do evento.

A exibição padrão de eventos em Event history (Histórico de eventos) usa um filtro de atributo para excluir eventos somente leitura da lista de eventos exibidos. Para remover esse filtro ou para aplicar outros filtros, altere as configurações de filtros. Para ter mais informações, consulte Filtrando eventos CloudTrail .

Você pode navegar entre as páginas no Histórico de eventos escolhendo a página que deseja visualizar. Também é possível a próxima página e a página anterior no Histórico de eventos.

Escolha < para ver a página anterior do Histórico de eventos.

Escolha > para ver a próxima página do Histórico de eventos.

Personalizar a exibição

Você pode personalizar a exibição do histórico de eventos no CloudTrail console selecionando uma das seguintes preferências.

  • Tamanho da página: escolha se deseja exibir 10, 25 ou 50 eventos em cada página.

  • Quebrar linhas: quebre o texto para poder ver todo o texto de cada evento.

  • Linhas listradas: sombreie linhas alternadas na tabela.

  • Exibição da hora do evento: escolha se deseja exibir a hora do evento em UTC ou no fuso horário local.

  • Selecionar colunas visíveis: selecione as colunas que serão exibidas. Por padrão, as colunas a seguir são exibidas:

    • Nome do evento

    • Hora do evento

    • Nome do usuário

    • Origem do evento.

    • Tipo de atributo

    • Nome do recurso

    nota

    Você não pode alterar a ordem das colunas ou excluir manualmente eventos do Event history (Histórico de eventos).

Para personalizar a exibição

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, escolha Event history (Histórico de eventos).

  3. Escolha o ícone de engrenagem.

  4. Em Tamanho da página, escolha o número de eventos a serem exibidos em uma página.

  5. Escolha Quebrar linhas para ver todo o texto de cada evento.

  6. Escolha Linhas listradas para sombrear linhas alternadas na tabela.

  7. Em Exibição da hora do evento, escolha se deseja exibir a hora do evento em UTC ou no fuso horário local. Por padrão, UTC é selecionado.

  8. Em Select visible columns (Selecionar colunas visíveis), selecione as colunas que você deseja exibir. Desabilite as colunas que você não deseja exibir.

  9. Após terminar de fazer as alterações, escolha Confirmar.

Filtrando eventos CloudTrail

A exibição padrão de eventos em Event history (Histórico de eventos) usa um filtro de atributo para excluir eventos somente leitura da lista de eventos exibidos. Esse filtro de atributo é chamado de Read only (Somente leitura) e está definido como false (falso). É possível remover esse filtro para exibir tanto eventos de leitura, como de gravação. Para visualizar somente os eventos Read (Leitura), você pode alterar o valor do filtro para true (verdadeiro). Também é possível filtrar eventos por outros atributos. Além disso, é possível filtrar por intervalo de tempo.

nota

É possível aplicar somente um filtro de atributo e um filtro de intervalo de tempo. Não é possível aplicar vários filtros de atributo.

AWS chave de acesso

O ID da chave de AWS acesso que foi usado para assinar a solicitação. Se a solicitação foi feita com credenciais de segurança temporárias, esse é o ID da chave de acesso delas.

ID do evento

O CloudTrail ID do evento. Cada evento tem um ID exclusivo.

Nome do evento

O nome do evento. Por exemplo, você pode filtrar eventos do IAM como CreatePolicy, ou eventos do Amazon EC2, como RunInstances.

Origem do evento.

O AWS serviço para o qual a solicitação foi feita, como iam.amazonaws.com ous3.amazonaws.com. Você pode percorrer uma lista de fontes de eventos depois que selecionar o filtro Origem do evento.

Somente leitura

O tipo de leitura do evento. Os eventos são categorizados como eventos de leitura ou eventos de gravação. Se estiverem definidos como false (falso), eventos de leitura não serão incluídos na lista de eventos exibidos. Por padrão, esse filtro de atributo é aplicado e o valor é definido como false (falso).

Nome do recurso

O nome ou o ID do recurso ao qual o evento faz referência. Por exemplo, o nome do recurso pode ser "auto-scaling-test-group" para um grupo de Auto Scaling ou “i-12345678910" para uma instância do EC2.

Tipo de recurso

O tipo de recurso ao qual o evento faz referência. Por exemplo, um tipo de recurso pode ser Instance para EC2 ou DBInstance para RDS. Os tipos de recursos variam para cada AWS serviço.

Intervalo de tempo

O período no qual você deseja filtrar eventos. É possível escolher entre Intervalo relativo e Intervalo absoluto. Você pode filtrar os eventos dos últimos 90 dias.

Nome do usuário

A identidade ao qual o evento faz referência. Ela pode ser um usuário, um nome de perfil ou um perfil de serviço.

Se não houver eventos registrados para o atributo ou o tempo que você escolher, a lista de resultados estará vazia. Você pode aplicar apenas um filtro de atributo, além do período. Se você escolher um filtro de atributo diferente, o intervalo de tempo especificado será preservado.

As etapas a seguir descrevem como filtrar por atributo.

Para filtrar por atributo

  1. Para filtrar os resultados por um atributo, escolha um atributo na lista suspensa Lookup attributes (Atributos de pesquisa) e, em seguida, digite ou escolha um valor para o atributo na caixa de texto.

  2. Para remover um filtro de atributo, selecione o X à direita da caixa de filtros de atributos.

As etapas a seguir descrevem como filtrar por data e hora de início e de término.

Para filtrar por data e hora de início e de término

  1. Para limitar o período dos eventos que você deseja ver, escolha um período na barra de períodos. É possível escolher entre Intervalo relativo e Intervalo absoluto.

    Escolha Intervalo relativo para selecionar um valor predefinido ou escolher um intervalo personalizado. Os valores predefinidos são 30 minutos, 1 hora, 12 horas ou 1 dia. Para especificar um período personalizado, escolha Custom (Personalizado).

    Escolha Intervalo absoluto para especificar horas de início e término específicas. Também é possível escolher entre o fuso horário local e UTC.

  2. Para remover um filtro de intervalo de tempo, escolha Limpar e dispensar na barra de intervalos de tempo.

Visualizar detalhes de um evento

  1. Escolha um evento na lista de resultados para mostrar os detalhes dele.

  2. Os recursos referenciados no evento são mostrados na seção Resources referenced (Recursos de referência) na página de detalhes do evento.

  3. Alguns recursos referenciados têm links. Selecione o link para abrir o console para esse recurso.

  4. Role até Event record (Registro de eventos) na página de detalhes para ver o registro de evento JSON, também chamado de evento payload.

  5. Selecione Event history (Histórico de eventos) na página de rastro para fechar a página de detalhes do evento e retornar ao Event history (Histórico de eventos).

Baixar eventos

Você pode fazer download do histórico de eventos registrados como um arquivo no formato JSON ou CSV. Você pode baixar até 200.000 eventos em um único arquivo. Se você atingir o limite de 200.000 eventos, o CloudTrail console fornecerá a opção de baixar arquivos adicionais. Use filtros e intervalos de tempo para reduzir o tamanho do arquivo que você fizer download.

nota

CloudTrail arquivos de histórico de eventos são arquivos de dados que contêm informações (como nomes de recursos) que podem ser configuradas por usuários individuais. Alguns dados podem ser interpretados como comandos em programas usados para ler e analisar esses dados (injeção de CSV). Por exemplo, quando CloudTrail os eventos são exportados para CSV e importados para um programa de planilhas, esse programa pode alertá-lo sobre questões de segurança. Você deve optar por desabilitar esse conteúdo para manter o sistema seguro. Sempre desabilite links ou macros de arquivos do histórico de eventos obtidos por download.

  1. Adicione um filtro e um período para eventos no Event history (Histórico de eventos) que você deseja baixar. Por exemplo, você pode especificar o nome do evento, StartInstances, e um período relativo aos últimos três dias de atividade.

  2. Escolha Download events (Baixar eventos) e, em seguida, Download as CSV (Baixar como CSV) ou Download as JSON (Baixar como JSON). O download inicia imediatamente.

    nota

    O download pode levar algum tempo para ser concluído. Para obter resultados mais rápidos, antes de iniciar o processo de download, use um filtro específico ou um período mais curto para restringir os resultados. É possível cancelar um download. Se você cancelar um download, um download parcial incluindo apenas alguns dados de eventos poderá ficar no computador local. Para baixar o histórico de eventos completo, reinicie o download.

  3. Quando o download for concluído, abra o arquivo para visualizar os eventos que você especificou.

  4. Para cancelar o download, escolha Cancel (Cancelar) e confirme selecionando Cancel download (Cancelar download). Se você precisar reiniciar um download, aguarde até que termine o cancelamento do download anterior.

Visualizando recursos referenciados com AWS Config

AWS Config registra detalhes de configuração, relacionamentos e alterações em seus AWS recursos.

No painel Recursos referenciados, escolha a coluna AWS Config timeline icon na linha do tempo do AWS Config recurso para visualizar o recurso no console. AWS Config

Se o AWS Config timeline ícone estiver cinza, AWS Config não estiver ligado ou não estiver registrando o tipo de recurso. Escolha o ícone para acessar o AWS Config console para ativar o serviço ou começar a gravar esse tipo de recurso. Para obter mais informações, consulte Configurar o AWS Config uso do console no Guia do AWS Config desenvolvedor.

Se Link not available (Link não disponível) for exibido na coluna, o recurso não poderá ser visualizado por um dos seguintes motivos:

  • AWS Config não é compatível com o tipo de recurso. Para obter mais informações, consulte Recursos com suporte, itens de configuração e relacionamentos no Manual do desenvolvedor do AWS Config .

  • AWS Config recentemente adicionou suporte para o tipo de recurso, mas ele ainda não está disponível no CloudTrail console. Você pode pesquisar o recurso no AWS Config console para ver o cronograma do recurso.

  • O recurso é de propriedade de outro Conta da AWS.

  • O recurso pertence a outro AWS service (Serviço da AWS), como uma política gerenciada do IAM.

  • O recurso foi criado e excluído imediatamente.

  • O recurso foi criado ou atualizado recentemente.

Para conceder aos usuários permissão somente de leitura para visualizar recursos no AWS Config console, consulte. Concedendo permissão para visualizar AWS Config informações no console CloudTrail

Para obter mais informações sobre AWS Config, consulte o Guia do AWS Config desenvolvedor.