Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar senderos con el AWS CLI
AWS CLI Incluye varios otros comandos que te ayudan a gestionar tus senderos. Estos comandos permiten agregar etiquetas a los registros de seguimiento, obtener su estado, iniciar y detener el registro en ellos y eliminarlos. Debes ejecutar estos comandos desde la misma AWS región en la que se creó el sendero (su región de origen). Cuando utilices el AWS CLI, recuerda que tus comandos se ejecutan en la AWS región configurada para tu perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.
Temas
- Adición de una o varias etiquetas a un registro de seguimiento
- Listado de las etiquetas de uno o varios registros de seguimiento
- Eliminación de una o varias etiquetas de un registro de seguimiento
- Recuperación de la configuración de registros de seguimiento y del estado de un registro de seguimiento
- Configuración de los selectores de eventos de CloudTrail Insights
- Configuración de selectores de eventos
- Configuración de selectores de eventos avanzados
- Detención e inicio del registro de un registro de seguimiento
- Eliminación de un registro de seguimiento
Adición de una o varias etiquetas a un registro de seguimiento
Para agregar una o varias etiquetas a un registro de seguimiento existente, ejecute el comando add-tags.
En el siguiente ejemplo, se agrega una etiqueta denominada Owner (Propietario) con el valor Mary a una registro de seguimiento con el ARN arn:aws:cloudtrail: en la región Este de EE. UU. (Ohio). us-east-2:123456789012:trail/my-trail
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail--tags-list Key=Owner,Value=Mary--region us-east-2
Si se ejecuta correctamente, este comando no devuelve nada.
Listado de las etiquetas de uno o varios registros de seguimiento
Para ver las etiquetas asociadas a uno o varios registros de seguimiento existentes, utilice el comando list-tags.
En el ejemplo siguiente, se muestran las etiquetas de Trail1 y Trail2.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
Si se ejecuta correctamente, este comando proporciona información similar a la siguiente.
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ] }
Eliminación de una o varias etiquetas de un registro de seguimiento
Para eliminar una o varias etiquetas de un registro de seguimiento existente, ejecute el comando remove-tags.
En el siguiente ejemplo, se eliminan las etiquetas denominadas Location (Ubicación) y Name (Nombre) de un registro de seguimiento con el ARN arn:aws:cloudtrail: en la región Este de EE. UU. (Ohio). us-east-2:123456789012:trail/Trail1
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1--tags-list Key=Name Key=Location --region us-east-2
Si se ejecuta correctamente, este comando no devuelve nada.
Recuperación de la configuración de registros de seguimiento y del estado de un registro de seguimiento
Ejecute el describe-trails comando para recuperar información sobre los senderos de una AWS región. En el siguiente ejemplo, se devuelve información sobre los registros de seguimiento configurados en la región EE. UU. Este (Ohio).
aws cloudtrail describe-trails --region us-east-2
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.
{ "trailList": [ { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "another-bucket", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ] }
Ejecute el comando get-trail para recuperar información de configuración sobre un registro de seguimiento específico. En el ejemplo siguiente se devuelve la información de configuración de un registro de seguimiento denominado my-trail.
aws cloudtrail get-trail - -namemy-trail
Si se ejecuta correctamente, este comando proporciona información similar a la siguiente.
{ "Trail": { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, } }
Ejecute el comando get-trail-status para recuperar el estado de un registro de seguimiento. Debe ejecutar este comando desde la AWS región en la que se creó (la región de origen) o debe especificar esa región añadiendo el --region parámetro.
nota
Si el sendero es un sendero de una organización y usted es miembro de la cuenta de la organización en AWS Organizations, debe proporcionar el ARN completo de ese sendero y no solo el nombre.
aws cloudtrail get-trail-status --namemy-trail
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Además de los campos que se muestran en el código JSON anterior, el estado contiene los siguientes campos si hay errores de Amazon SNS o Amazon S3:
-
LatestNotificationError. Contiene el error emitido por Amazon SNS si se produce un error en una suscripción a un tema. -
LatestDeliveryError. Contiene el error emitido por Amazon S3 si CloudTrail no puede entregar un archivo de registro a un bucket.
Configuración de los selectores de eventos de CloudTrail Insights
Habilite los eventos de Insights en una traza ejecutando put-insight-selectors y especificando ApiCallRateInsight, ApiErrorRateInsight como valor del atributo InsightType. Para ver la configuración de los selectores de Insights de un registro de seguimiento, ejecute el comando get-insight-selectors. Debe ejecutar este comando desde la AWS región en la que se creó la ruta (la región de origen) o debe especificar esa región añadiendo el --region parámetro al comando.
nota
Para registrar los eventos de Insights para ApiCallRateInsight, el registro de seguimiento debe registrar los eventos de administración de write. Para registrar los eventos de Insights para ApiErrorRateInsight, el registro de seguimiento debe registrar los eventos de administración de read o write.
Ejemplo de registro de seguimiento que registra eventos de Insights
En el siguiente ejemplo, se utiliza put-insight-selectors la creación de un selector de eventos de Insights para una ruta denominada TrailName3. Esto permite la recopilación de eventos de Insights para los TrailNametres senderos. El selector de eventos de Insights registra ambos ApiErrorRateInsight y ApiCallRateInsight tipos de eventos de Insights.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
El ejemplo devuelve el selector de eventos de Insights configurado para el registro de seguimiento.
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Ejemplo: Desactivar la recopilación de eventos de Insights
En el siguiente ejemplo, put-insight-selectors se utiliza para eliminar el selector de eventos de Insights de una ruta denominada TrailName3. Al borrar la cadena JSON de los selectores de Insights, se deshabilita la recopilación de eventos de Insights para las TrailNametres rutas.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[]'
El ejemplo devuelve el selector de eventos de Insights ahora vacío que está configurado para el registro de seguimiento.
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Configuración de selectores de eventos
Para ver la configuración de los selectores de eventos de un registro de seguimiento, ejecute el comando get-event-selectors. Debe ejecutar este comando desde la AWS región en la que se creó (la región de origen) o debe especificar esa región mediante el --region parámetro.
aws cloudtrail get-event-selectors --trail-nameTrailName
nota
Si el sendero es un sendero de una organización y usted es miembro de la cuenta de la organización en AWS Organizations, debe proporcionar el ARN completo de ese sendero y no solo el nombre.
El ejemplo siguiente devuelve la configuración predeterminada de un selector de eventos de un registro de seguimiento.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para crear un selector de eventos, ejecute el comando put-event-selectors. Si desea registrar los eventos de Insights en el registro de seguimiento, asegúrese de que el selector de eventos permita registrar los tipos de Insights que desea configurar para el registro de seguimiento. Para obtener más información sobre cómo registrar los eventos de Insights, consulte Registro de eventos de Insights.
Cuando se produce un evento en tu cuenta, CloudTrail evalúa la configuración de tus senderos. Si el evento coincide con algún selector de eventos de un registro de seguimiento, se procesa el registro de seguimiento y se registra el evento. Puede configurar hasta cinco selectores de eventos para un registro de seguimiento y hasta 250 recursos de datos para un registro de seguimiento. Para obtener más información, consulte Registro de eventos de datos.
Temas
- Ejemplo de registro de seguimiento con selectores de eventos específicos
- Ejemplo de registro de seguimiento que registra todos los eventos de administración y datos
- Ejemplo de ruta que no registra eventos AWS Key Management Service
- Ejemplo de ruta que registra eventos relevantes de bajo volumen AWS Key Management Service
- Ejemplo de registro de seguimiento que no registra eventos de la API de datos de Amazon RDS
Ejemplo de registro de seguimiento con selectores de eventos específicos
En el siguiente ejemplo, se crea un selector de eventos para una ruta cuyo nombre TrailNameincluye eventos de administración de solo lectura y solo escritura, eventos de datos para dos combinaciones de bucket y prefijo de Amazon S3 y eventos de datos para una sola función denominada. AWS Lambda hello-world-python-function
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Ejemplo de registro de seguimiento que registra todos los eventos de administración y datos
En el siguiente ejemplo, se crea un selector de eventos para una ruta denominada TrailName2 que incluye todos los eventos, incluidos los eventos de administración de solo lectura y solo escritura, y todos los eventos de datos de todos los buckets, funciones AWS Lambda y tablas de Amazon DynamoDB de la cuenta. AWS Como este ejemplo utiliza selectores de eventos básicos, no puede configurar el registro de eventos de S3 en AWS Outposts, llamadas JSON-RPC de Amazon Managed Blockchain en nodos de Ethereum ni otros tipos de recursos de selector de eventos avanzados. Debe utilizar selectores de eventos avanzados a fin de registrar eventos de datos para esos recursos. Para obtener más información, consulte Configuración de selectores de eventos avanzados.
nota
Si el registro de seguimiento solo aplica a una región, solo se registrarán los eventos de dicha región, aunque los parámetros del selector de eventos especifiquen todos los buckets de Amazon S3 y las funciones Lambda. Los selectores de eventos solo se aplican a las regiones en las que se crea el registro de seguimiento.
aws cloudtrail put-event-selectors --trail-nameTrailName2--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
El ejemplo devuelve los selectores de eventos configurados para el registro de seguimiento.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }
Ejemplo de ruta que no registra eventos AWS Key Management Service
En el siguiente ejemplo, se crea un selector de eventos para una ruta cuyo nombre TrailNameincluye los eventos de administración de solo lectura y solo escritura, pero los eventos exclude AWS Key Management Service ().AWS KMS Como AWS KMS los eventos se consideran eventos de gestión y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración. El usuario de este ejemplo ha optado por excluir los eventos de AWS KMS de todos los registros de seguimiento menos uno. Para excluir un origen de eventos, añada ExcludeManagementEventSources a los selectores de eventos y especifique un origen de eventos en el valor de cadena.
Si decide no registrar los eventos de administración, los AWS KMS eventos no se registrarán y no podrá cambiar la configuración AWS KMS del registro de eventos.
Para volver a iniciar el registro de AWS KMS eventos en una ruta, pase una matriz vacía como valor deExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento:
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para volver a iniciar el registro de AWS KMS eventos en una ruta, pase una matriz vacía como el valor deExcludeManagementEventSources, tal y como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Ejemplo de ruta que registra eventos relevantes de bajo volumen AWS Key Management Service
En el siguiente ejemplo, se crea un selector de eventos para una ruta cuyo nombre TrailNameincluye eventos y eventos de administración de solo escritura. AWS KMS Como AWS KMS los eventos se consideran eventos de gestión y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración. En este ejemplo, el usuario ha optado por incluir los eventos de AWS KMS escrituraDisable, que incluirán Delete y ScheduleKey dejarán de incluir acciones de gran volumenEncrypt, comoDecrypt, y GenerateDataKey (ahora se consideran eventos de lectura).
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento: Esto registra los eventos de administración de solo escritura, incluidos los eventos. AWS KMS
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Ejemplo de registro de seguimiento que no registra eventos de la API de datos de Amazon RDS
En el siguiente ejemplo, se crea un selector de eventos para una ruta cuyo nombre TrailNameincluye eventos de administración de solo lectura y solo escritura, pero excluye los eventos de la API de datos de Amazon RDS. Como los eventos de la API de datos de Amazon RDS se tratan como eventos de administración y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración. El usuario de este ejemplo ha optado por excluir los eventos de la API de datos de Amazon RDS de todos los registros de seguimiento menos uno. Para excluir un origen de eventos, agregue ExcludeManagementEventSources a los selectores de eventos y especifique un origen de eventos de la API de datos de Amazon RDS en el valor de cadena: rdsdata.amazonaws.com.
Si elige no registrar eventos de administración, no se registran eventos de la API de datos de Amazon RDS y no podrá cambiar la configuración del registro de eventos.
Para volver a iniciar el registro de los eventos de administración de la API de datos de Amazon RDS en una ruta, pase una matriz vacía como el valor deExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento:
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para volver a iniciar el registro de los eventos de administración de la API de datos de Amazon RDS en una ruta, pase una matriz vacía con el valor deExcludeManagementEventSources, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Configuración de selectores de eventos avanzados
Para utilizar selectores de eventos avanzados a fin de incluir o excluir eventos de datos en lugar de selectores de eventos básicos, use selectores de eventos avanzados en la página de detalles de la traza. Los selectores de eventos avanzados permiten registrar eventos de datos en más tipos de recursos que los selectores de eventos básicos. Los selectores básicos registran la actividad de objetos de S3, la actividad de ejecución de funciones de AWS Lambda y las tablas de DynamoDB.
En los selectores de eventos avanzados, cree una expresión para recopilar eventos de datos en tipos de recursos específicos, como depósitos S3, AWS Lambda funciones, tablas de DynamoDB, puntos de acceso S3 Object Lambda, API directas de Amazon EBS en instantáneas de EBS, puntos de acceso S3, transmisiones de DynamoDB, tablas creadas por Lake Formation y más. AWS Glue
Para obtener más información sobre los selectores de eventos avanzados, consulte Configuración de selectores de eventos avanzados.
Para ver la configuración de los selectores de eventos avanzados de un registro de seguimiento, ejecute el siguiente comando get-event-selectors. Debe ejecutar este comando desde la AWS región en la que se creó la ruta (la región de origen) o debe especificar esa región añadiendo el --region parámetro.
aws cloudtrail get-event-selectors --trail-nameTrailName
nota
Si la ruta es una ruta de una organización y has iniciado sesión con una cuenta de miembro de la organización AWS Organizations, debes proporcionar el ARN completo de la ruta y no solo el nombre.
El siguiente ejemplo devuelve la configuración predeterminada de un selector de eventos avanzados de un registro de seguimiento. De forma predeterminada, no hay selectores de eventos avanzados configurados para un registro de seguimiento.
{ "AdvancedEventSelectors": [], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para crear un selector de eventos avanzados, ejecute el comando put-event-selectors. Cuando se produce un evento de datos en tu cuenta, CloudTrail evalúa la configuración de tus senderos. Si el evento coincide con algún selector de eventos avanzados de un registro de seguimiento, se procesa el registro de seguimiento y se registra el evento. Puede configurar hasta 500 condiciones en un registro de seguimiento, incluido todos los valores especificados para todos los selectores de eventos avanzados del registro de seguimiento. Para obtener más información, consulte Registro de eventos de datos.
Temas
- Ejemplo de registro de seguimiento con selectores de eventos avanzados específicos
- Ejemplo de ruta que utiliza selectores de eventos avanzados personalizados para registrar Amazon S3 en eventos de AWS Outposts datos
- Ejemplo de ruta que utiliza selectores de eventos avanzados para excluir AWS Key Management Service eventos
- Ejemplo de ruta que utiliza selectores de eventos avanzados para excluir los eventos de administración de Amazon RDS Data API
Ejemplo de registro de seguimiento con selectores de eventos avanzados específicos
En el siguiente ejemplo, se crean selectores de eventos avanzados personalizados para una ruta cuyo nombre TrailNameincluye eventos de administración de lectura y escritura (omitiendo el readOnly selector) y eventos de DeleteObject datos para todas las combinaciones de bucket PutObject y prefijo de Amazon S3, excepto para un bucket con nombre sample_bucket_name y eventos de datos para una función denominada. AWS Lambda MyLambdaFunction Dado que se trata de selectores de eventos avanzados personalizados, cada conjunto de selectores tiene un nombre descriptivo. Tenga en cuenta que una barra diagonal final forma parte del valor de ARN para los buckets de S3.
aws cloudtrail put-event-selectors --trail-nameTrailName--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::sample_bucket_name/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::sample_bucket_name/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Ejemplo de ruta que utiliza selectores de eventos avanzados personalizados para registrar Amazon S3 en eventos de AWS Outposts datos
El siguiente ejemplo muestra cómo configurar su ruta para incluir todos los eventos de datos de todos los Amazon S3 en los AWS Outposts objetos de su puesto de avanzada. En esta versión, el valor admitido para S3 en AWS Outposts los eventos del resources.type campo esAWS::S3Outposts::Object.
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName" }
Ejemplo de ruta que utiliza selectores de eventos avanzados para excluir AWS Key Management Service eventos
El siguiente ejemplo crea un selector de eventos avanzado para una ruta cuyo nombre TrailNameincluye eventos de administración de solo lectura y solo escritura (omitiendo el readOnly selector), pero excluye eventos (). AWS Key Management Service AWS KMS Como AWS KMS los eventos se consideran eventos de gestión y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración.
Si decide no registrar los eventos de administración, los AWS KMS eventos no se registrarán y no podrá cambiar la configuración AWS KMS del registro de eventos.
Para volver a iniciar el registro de AWS KMS eventos en una ruta, quite el eventSource selector y vuelva a ejecutar el comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Ejemplo de ruta que utiliza selectores de eventos avanzados para excluir los eventos de administración de Amazon RDS Data API
El siguiente ejemplo crea un selector de eventos avanzado para una ruta cuyo nombre TrailNameincluye eventos de administración de solo lectura y solo escritura (omitiendo el readOnly selector), pero excluye los eventos de administración de Amazon RDS Data API. Para excluir los eventos de administración de la API de datos de Amazon RDS, especifique la fuente de eventos de la API de datos de Amazon RDS en el valor de cadena del eventSource campo:. rdsdata.amazonaws.com
Si decide no registrar los eventos de administración, los eventos de administración de la API de datos de Amazon RDS no se registran y no puede cambiar la configuración del registro de eventos de la API de datos de Amazon RDS.
Para volver a iniciar el registro de los eventos de administración de la API de datos de Amazon RDS en una ruta, quite el eventSource selector y vuelva a ejecutar el comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Detención e inicio del registro de un registro de seguimiento
Los siguientes comandos inician y detienen el CloudTrail registro.
aws cloudtrail start-logging --nameawscloudtrail-example
aws cloudtrail stop-logging --nameawscloudtrail-example
nota
Antes de eliminar un bucket, ejecute el comando stop-logging para detener el envío de eventos al bucket. Si no detiene el registro, CloudTrail intentará entregar los archivos de registro a un depósito con el mismo nombre durante un período de tiempo limitado.
Si dejas de registrar o eliminas una ruta, CloudTrail Insights se deshabilita en esa ruta.
Eliminación de un registro de seguimiento
Si ha habilitado los eventos CloudTrail de administración en Amazon Security Lake, debe mantener al menos un registro organizativo que sea multirregional y registre tanto read los eventos de administración como los eventos write de administración. No puede eliminar una ruta si es la única que tiene que cumple este requisito, a menos que desactive la CloudTrail administración de eventos en Security Lake.
Puede eliminar un registro de seguimiento con el siguiente comando. Puede eliminar un registro de seguimiento únicamente en la región en la que lo creó (la región principal).
aws cloudtrail delete-trail --nameawscloudtrail-example
Cuando se elimina un registro de seguimiento, no se elimina el bucket de Amazon S3 ni el tema de Amazon SNS asociados. Utilice la API AWS Management Console AWS CLI, o de servicio para eliminar estos recursos por separado.
