Consulta de registros de AWS CloudTrail

AWS CloudTrail es un servicio que registra las llamadas a la API de AWS y los eventos para las cuentas de Amazon Web Services.

Los registros de CloudTrail contienen detalles sobre las llamadas a la API a los servicios de AWS, incluida la consola. CloudTrail genera archivos de registro cifrados y los almacena en Amazon S3. Para obtener más información, consulte la Guía del usuario de AWS CloudTrail.

nota

Si se desea realizar consultas SQL sobre la información de eventos de CloudTrail en diversas cuentas, regiones y fechas, se puede utilizar CloudTrail Lake. CloudTrail Lake es una alternativa de AWS a la creación de trazas que agrega información de una empresa en un único almacén de datos de eventos con capacidad de búsqueda. En lugar de utilizar el almacenamiento de bucket de Amazon S3, almacena los eventos en un lago de datos, lo que permite realizar consultas más ricas y rápidas. Se puede utilizar para crear consultas SQL que buscan eventos en organizaciones, regiones y dentro de intervalos de tiempo personalizados. Dado que realiza consultas de CloudTrail Lake dentro de la consola de CloudTrail, usarlo no requiere Athena. Para obtener más información, consulte la documentación de CloudTrail Lake.

El uso de Athena con los registros de CloudTrail supone un modo eficaz de mejorar el análisis de la actividad de un servicio de AWS. Por ejemplo, puede ejecutar consultas que identifiquen tendencias y aislar la actividad por atributos, como el usuario o la dirección IP de origen.

Una aplicación habitual es usar los registros de CloudTrail para analizar la actividad operativa a fin de garantizar la seguridad y la conformidad. Para obtener información sobre un ejemplo detallado, consulte la publicación del Blog de macrodatos de AWS, Analyze security, compliance, and operational activity using AWS CloudTrail and Amazon Athena.

Athena le permite consultar estos archivos de registro directamente desde Amazon S3 especificando su ubicación con LOCATION. Puede hacerlo de una de las dos formas siguientes:

• Creando tablas para los archivos de registro de CloudTrail directamente desde la consola de CloudTrail.

• Creando tablas manualmente para los archivos de registro de CloudTrail en la consola de Athena.

Temas

• Descripción de los registros de CloudTrail y las tablas de Athena
• Uso de la consola de CloudTrail para crear una tabla de Athena para registros de CloudTrail
• Creación de una tabla para los registros de CloudTrail en Athena mediante la partición manual
• Creación de una tabla para la ruta de toda una organización mediante particiones manuales
• Creación de la tabla para los registros de CloudTrail en Athena mediante la proyección de particiones
• Consultas de registros de CloudTrail de ejemplo