Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar senderos con el AWS CLI
AWS CLI Incluye varios otros comandos que te ayudan a gestionar tus senderos. Estos comandos permiten agregar etiquetas a los registros de seguimiento, obtener su estado, iniciar y detener el registro en ellos y eliminarlos. Debes ejecutar estos comandos desde la misma AWS región en la que se creó el sendero (su región de origen). Cuando utilices el AWS CLI, recuerda que tus comandos se ejecutan en la AWS región configurada para tu perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.
Temas
- Adición de una o varias etiquetas a un registro de seguimiento
- Listado de las etiquetas de uno o varios registros de seguimiento
- Eliminación de una o varias etiquetas de un registro de seguimiento
- Recuperación de la configuración de registros de seguimiento y del estado de un registro de seguimiento
- Configuración de los selectores de eventos de CloudTrail Insights
- Configuración de selectores de eventos avanzados
- Configuración de los selectores de eventos básicos
- Detención e inicio del registro de un registro de seguimiento
- Eliminación de un registro de seguimiento
Adición de una o varias etiquetas a un registro de seguimiento
Para agregar una o varias etiquetas a un registro de seguimiento existente, ejecute el comando add-tags.
En el siguiente ejemplo se agrega una etiqueta con el nombre Owner y el valor de Mary a un sendero con el ARN de arn:aws:cloudtrail: en la región Este de EE. UU. (Ohio). us-east-2:123456789012:trail/my-trail
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail--tags-list Key=Owner,Value=Mary--region us-east-2
Si se ejecuta correctamente, este comando no devuelve nada.
Listado de las etiquetas de uno o varios registros de seguimiento
Para ver las etiquetas asociadas a uno o varios registros de seguimiento existentes, utilice el comando list-tags.
En el siguiente ejemplo se enumeran las etiquetas de Trail1 y Trail2.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
Si se ejecuta correctamente, este comando proporciona información similar a la siguiente.
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ] }
Eliminación de una o varias etiquetas de un registro de seguimiento
Para eliminar una o varias etiquetas de un registro de seguimiento existente, ejecute el comando remove-tags.
En el siguiente ejemplo, se quitan las etiquetas con los nombres Location y Name de un sendero con el signo ARN de arn:aws:cloudtrail: en la región Este de EE. UU. (Ohio). us-east-2:123456789012:trail/Trail1
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1--tags-list Key=Name Key=Location --region us-east-2
Si se ejecuta correctamente, este comando no devuelve nada.
Recuperación de la configuración de registros de seguimiento y del estado de un registro de seguimiento
Ejecute el describe-trails comando para recuperar información sobre los senderos de una AWS región. En el siguiente ejemplo, se devuelve información sobre los registros de seguimiento configurados en la región EE. UU. Este (Ohio).
aws cloudtrail describe-trails --region us-east-2
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.
{ "trailList": [ { "Name": "my-trail", "S3BucketName": "amzn-s3-demo-bucket1", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "amzn-s3-demo-bucket2", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "amzn-s3-demo-bucket3", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ] }
Ejecute el comando get-trail para recuperar información de configuración sobre un registro de seguimiento específico. El siguiente ejemplo devuelve la información de configuración de un sendero denominado my-trail.
aws cloudtrail get-trail - -namemy-trail
Si se ejecuta correctamente, este comando proporciona información similar a la siguiente.
{ "Trail": { "Name": "my-trail", "S3BucketName": "amzn-s3-demo-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, } }
Ejecute el comando get-trail-status para recuperar el estado de un registro de seguimiento. Debe ejecutar este comando desde la AWS región en la que se creó (la región de origen) o debe especificar esa región añadiendo el --region parámetro.
nota
Si la ruta es una ruta de una organización y usted es miembro de la misma AWS Organizations, debe proporcionar la ruta completa ARN y no solo su nombre.
aws cloudtrail get-trail-status --namemy-trail
Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Además de los campos que se muestran en el JSON código anterior, el estado contiene los siguientes campos si hay errores de Amazon SNS o Amazon S3:
-
LatestNotificationError. Contiene el error que emite Amazon SNS si se produce un error en la suscripción a un tema. -
LatestDeliveryError. Contiene el error emitido por Amazon S3 si CloudTrail no puede entregar un archivo de registro a un bucket.
Configuración de los selectores de eventos de CloudTrail Insights
Habilite los eventos de Insights en una traza ejecutando put-insight-selectors y especificando ApiCallRateInsight, ApiErrorRateInsight como valor del atributo InsightType. Para ver la configuración de los selectores de Insights de un registro de seguimiento, ejecute el comando get-insight-selectors. Debe ejecutar este comando desde la AWS región en la que se creó la ruta (la región de origen) o debe especificar esa región añadiendo el --region parámetro al comando.
nota
Para registrar los eventos de Insights para ApiCallRateInsight, el registro de seguimiento debe registrar los eventos de administración de write. Para registrar los eventos de Insights para ApiErrorRateInsight, el registro de seguimiento debe registrar los eventos de administración de read o write.
Ejemplo de registro de seguimiento que registra eventos de Insights
En el siguiente ejemplo, se utiliza put-insight-selectors la creación de un selector de eventos de Insights para un sendero denominado TrailName3. Esto permite la recopilación de eventos de Insights para el TrailName3 sendero. El selector de eventos de Insights registra ambos ApiErrorRateInsight y ApiCallRateInsight tipos de eventos de Insights.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
El ejemplo devuelve el selector de eventos de Insights configurado para el registro de seguimiento.
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Ejemplo: Desactivar la recopilación de eventos de Insights
En el siguiente ejemplo, put-insight-selectors se utiliza para eliminar el selector de eventos de Insights de un sendero denominado TrailName3. Al borrar la JSON cadena de selectores de Insights, se deshabilita la recopilación de eventos de Insights para TrailName3 sendero.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[]'
El ejemplo devuelve el selector de eventos de Insights ahora vacío que está configurado para el registro de seguimiento.
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Configuración de selectores de eventos avanzados
Puede utilizar selectores de eventos avanzados para registrar los eventos de administración y los eventos de datos para todos los tipos de recursos. Por el contrario, puede usar selectores de eventos básicos para registrar los eventos de administración y los eventos de datos para los AWS::DynamoDB::Table tipos AWS::Lambda::Function de AWS::S3::Object recursos y. Puede utilizar selectores de eventos básicos o selectores de eventos avanzados, pero no ambos. Si aplicas selectores de eventos avanzados a una ruta que utiliza selectores de eventos básicos, los selectores de eventos básicos se sobrescriben.
Para convertir una ruta en selectores de eventos avanzados, ejecute el get-event-selectors comando para confirmar los selectores de eventos actuales y, a continuación, configure los selectores de eventos avanzados para que coincidan con la cobertura de los selectores de eventos anteriores y, a continuación, añada los selectores adicionales.
Debe ejecutar el get-event-selectors comando desde el Región de AWS lugar donde se creó la ruta (la región de origen) o debe especificar esa región añadiendo el parámetro. --region
aws cloudtrail get-event-selectors --trail-nameTrailName
nota
Si la ruta es una ruta de una organización y has iniciado sesión con una cuenta de miembro de la organización AWS Organizations, debes proporcionar ARN la ruta completa y no solo el nombre.
En el siguiente ejemplo, se muestra la configuración de una ruta que utiliza selectores de eventos avanzados para registrar los eventos de administración. De forma predeterminada, un registro está configurado para registrar todos los eventos de administración y ningún evento de datos.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Para crear un selector de eventos avanzados, ejecute el comando put-event-selectors. Cuando ocurre un evento en tu cuenta, CloudTrail evalúa la configuración de tus senderos. Si el evento coincide con algún selector de eventos avanzados de un registro de seguimiento, se procesa el registro de seguimiento y se registra el evento. Puede configurar hasta 500 condiciones en un registro de seguimiento, incluido todos los valores especificados para todos los selectores de eventos avanzados del registro de seguimiento. Para obtener más información, consulte Registro de eventos de datos.
Temas
- Ejemplo de registro de seguimiento con selectores de eventos avanzados específicos
- Ejemplo de ruta que utiliza selectores de eventos avanzados personalizados para registrar Amazon S3 en eventos de AWS Outposts datos
- Ejemplo de ruta que utiliza selectores de eventos avanzados para excluir AWS Key Management Service eventos
- Ejemplo de ruta que utiliza selectores de eventos avanzados para excluir los eventos de API administración de Amazon RDS Data
Ejemplo de registro de seguimiento con selectores de eventos avanzados específicos
En el siguiente ejemplo, se crean selectores de eventos avanzados y personalizados para un sendero denominado TrailName para incluir eventos de administración de lectura y escritura (omitiendo el readOnly selector) PutObject y eventos de DeleteObject datos para todas las combinaciones de bucket y prefijo de Amazon S3amzn-s3-demo-bucket, excepto para un bucket con nombre y eventos de datos para una función con nombre. AWS Lambda MyLambdaFunction Dado que se trata de selectores de eventos avanzados personalizados, cada conjunto de selectores tiene un nombre descriptivo. Tenga en cuenta que una barra al final forma parte del valor de los buckets de S3. ARN
aws cloudtrail put-event-selectors --trail-nameTrailName--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Ejemplo de ruta que utiliza selectores de eventos avanzados personalizados para registrar Amazon S3 en eventos de AWS Outposts datos
El siguiente ejemplo muestra cómo configurar su ruta para incluir todos los eventos de datos de todos los Amazon S3 en los AWS Outposts objetos de su puesto de avanzada. En esta versión, el valor admitido para S3 en AWS Outposts los eventos del resources.type campo esAWS::S3Outposts::Object.
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
El comando devuelve el siguiente resultado de ejemplo.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName" }
Ejemplo de ruta que utiliza selectores de eventos avanzados para excluir AWS Key Management Service eventos
En el siguiente ejemplo, se crea un selector de eventos avanzado para una ruta denominada TrailName para incluir eventos de administración de solo lectura y solo de escritura (omitiendo el readOnly selector), pero para excluir los eventos (). AWS Key Management Service AWS KMS Como AWS KMS los eventos se tratan como eventos de gestión y pueden tener un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración.
Si decide no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.
Para volver a iniciar el registro de AWS KMS eventos en una ruta, quite el eventSource selector y vuelva a ejecutar el comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Ejemplo de ruta que utiliza selectores de eventos avanzados para excluir los eventos de API administración de Amazon RDS Data
En el siguiente ejemplo, se crea un selector de eventos avanzado para una ruta denominada TrailName para incluir eventos de administración de solo lectura y solo de escritura (omitiendo el readOnly selector), pero para excluir los eventos de administración de Amazon Data. RDS API Para excluir los eventos API de administración de Amazon RDS Data, especifique la fuente del API evento de Amazon RDS Data en el valor de cadena del eventSource campo:rdsdata.amazonaws.com.
Si decide no registrar los eventos de administración, los eventos de API administración de Amazon RDS Data no se registran y no puede cambiar la configuración del registro de API eventos de Amazon RDS Data.
Para volver a iniciar el registro de los eventos de API gestión de Amazon RDS Data en una ruta, quite el eventSource selector y ejecute el comando de nuevo.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Configuración de los selectores de eventos básicos
Solo puede utilizar los selectores de eventos básicos para registrar los eventos de administración y los eventos de datos para los tipos de AWS::S3::Object recursos AWS::DynamoDB::TableAWS::Lambda::Function, y. Puede registrar los eventos de administración y los eventos de datos para todos los tipos de recursos mediante selectores de eventos avanzados.
Puede utilizar selectores de eventos básicos o selectores de eventos avanzados, pero no ambos. Si aplicas selectores de eventos básicos a una ruta que utiliza selectores de eventos avanzados, los selectores de eventos avanzados se sobrescriben.
Para ver la configuración de los selectores de eventos de un registro de seguimiento, ejecute el comando get-event-selectors. Debe ejecutar este comando desde el Región de AWS lugar donde se creó (la región de origen) o debe especificar esa región mediante el parámetro. --region
aws cloudtrail get-event-selectors --trail-nameTrailName
nota
Si la ruta es una ruta de la organización y usted es miembro de la misma AWS Organizations, debe proporcionar la ruta completa ARN y no solo el nombre.
En el siguiente ejemplo, se muestra la configuración de un sendero que utiliza selectores de eventos básicos para registrar los eventos de administración.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para crear un selector de eventos, ejecute el comando put-event-selectors. Si desea registrar los eventos de Insights en el registro de seguimiento, asegúrese de que el selector de eventos permita registrar los tipos de Insights que desea configurar para el registro de seguimiento. Para obtener más información sobre cómo registrar los eventos de Insights, consulte Registro de eventos de Insights.
Cuando se produce un evento en tu cuenta, CloudTrail evalúa la configuración de tus senderos. Si el evento coincide con algún selector de eventos de un registro de seguimiento, se procesa el registro de seguimiento y se registra el evento. Puede configurar hasta cinco selectores de eventos para un registro de seguimiento y hasta 250 recursos de datos para un registro de seguimiento. Para obtener más información, consulte Registro de eventos de datos.
Temas
- Ejemplo de registro de seguimiento con selectores de eventos específicos
- Ejemplo de registro de seguimiento que registra todos los eventos de administración y datos
- Ejemplo de ruta que no registra eventos AWS Key Management Service
- Ejemplo de ruta que registra eventos relevantes de bajo volumen AWS Key Management Service
- Ejemplo de ruta que no registra API eventos de RDS datos de Amazon
Ejemplo de registro de seguimiento con selectores de eventos específicos
En el siguiente ejemplo, se crea un selector de eventos para un sendero denominado TrailName para incluir eventos de administración de solo lectura y solo escritura, eventos de datos para dos combinaciones de bucket y prefijo de Amazon S3 y eventos de datos para una sola función denominada AWS Lambda hello-world-python-function.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Ejemplo de registro de seguimiento que registra todos los eventos de administración y datos
En el siguiente ejemplo, se crea un selector de eventos para una ruta denominada TrailName2 que incluye todos los eventos de administración, incluidos los eventos de administración de solo lectura y solo escritura, y los eventos de datos para todos los buckets, funciones AWS Lambda y tablas de Amazon DynamoDB de Amazon S3 del. Cuenta de AWS Como en este ejemplo se utilizan selectores de eventos básicos, no se puede configurar el registro de eventos de S3 en nodos de Ethereum AWS Outposts, Amazon Managed Blockchain JSON (RPCllamadas en nodos de Ethereum) u otros tipos de recursos de selectores de eventos avanzados. Debe utilizar selectores de eventos avanzados para registrar los eventos de datos de todos los demás tipos de recursos. Para obtener más información, consulte Configuración de selectores de eventos avanzados.
nota
Si el registro de seguimiento solo aplica a una región, solo se registrarán los eventos de dicha región, aunque los parámetros del selector de eventos especifiquen todos los buckets de Amazon S3 y las funciones Lambda. Los selectores de eventos solo se aplican a las regiones en las que se crea el registro de seguimiento.
aws cloudtrail put-event-selectors --trail-nameTrailName2--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
El ejemplo devuelve los selectores de eventos configurados para el registro de seguimiento.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }
Ejemplo de ruta que no registra eventos AWS Key Management Service
En el siguiente ejemplo, se crea un selector de eventos para una ruta denominada TrailName para incluir eventos de administración de solo lectura y solo de escritura, pero para excluir AWS Key Management Service eventos ().AWS KMS Como AWS KMS los eventos se tratan como eventos de gestión y pueden tener un gran volumen, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración. El usuario de este ejemplo ha optado por excluir los eventos de AWS KMS de todos los registros de seguimiento menos uno. Para excluir un origen de eventos, añada ExcludeManagementEventSources a los selectores de eventos y especifique un origen de eventos en el valor de cadena.
Si decide no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.
Para volver a iniciar el registro de AWS KMS eventos en una ruta, pase una matriz vacía como valor deExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento:
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para volver a iniciar el registro de AWS KMS eventos en una ruta, pase una matriz vacía como el valor deExcludeManagementEventSources, tal y como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Ejemplo de ruta que registra eventos relevantes de bajo volumen AWS Key Management Service
En el siguiente ejemplo, se crea un selector de eventos para una ruta denominada TrailName para incluir eventos y eventos de gestión de solo escritura. AWS KMS Como AWS KMS los eventos se consideran eventos de gestión y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración. En este ejemplo, el usuario ha optado por incluir los eventos de AWS KMS escrituraDisable, que incluirán Delete y ScheduleKey dejarán de incluir acciones de gran volumenEncrypt, comoDecrypt, y GenerateDataKey (ahora se consideran eventos de lectura).
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento: Esto registra los eventos de administración de solo escritura, incluidos los eventos. AWS KMS
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Ejemplo de ruta que no registra API eventos de RDS datos de Amazon
El siguiente ejemplo crea un selector de eventos para una ruta llamada TrailName para incluir eventos de administración de solo lectura y solo de escritura, pero para excluir los eventos de Amazon Data. RDS API Como RDS los API eventos de Amazon Data se tratan como eventos de administración y puede haber un gran volumen de ellos, pueden tener un impacto sustancial en su CloudTrail factura si tiene más de un registro que capture los eventos de administración. El usuario de este ejemplo ha optado por excluir RDS los API eventos de Amazon Data de todas las rutas excepto de una. Para excluir una fuente de eventos, ExcludeManagementEventSources agréguela a sus selectores de eventos y especifique la fuente de API eventos de Amazon RDS Data en el valor de cadena:rdsdata.amazonaws.com.
Si decide no registrar los eventos de administración, los eventos de Amazon RDS Data API no se registran y no puede cambiar la configuración del registro de eventos.
Para volver a registrar los eventos API de administración de Amazon RDS Data en una ruta, pase una matriz vacía como el valor deExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento:
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Para volver a iniciar el registro API de los eventos de Amazon RDS Data Management en una ruta, pase una matriz vacía con el valor deExcludeManagementEventSources, como se muestra en el siguiente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Detención e inicio del registro de un registro de seguimiento
Los siguientes comandos inician y detienen el CloudTrail registro.
aws cloudtrail start-logging --nameawscloudtrail-example
aws cloudtrail stop-logging --nameawscloudtrail-example
nota
Antes de eliminar un bucket, ejecute el comando stop-logging para detener el envío de eventos al bucket. Si no detiene el registro, CloudTrail intentará entregar los archivos de registro a un depósito con el mismo nombre durante un período de tiempo limitado.
Si dejas de registrar o eliminas una ruta, CloudTrail Insights se deshabilita en esa ruta.
Eliminación de un registro de seguimiento
Si ha habilitado los eventos CloudTrail de administración en Amazon Security Lake, debe mantener al menos un registro organizativo que sea multirregional y registre tanto read los eventos de administración como los eventos write de administración. No puede eliminar una ruta si es la única que tiene que cumple este requisito, a menos que desactive la CloudTrail administración de eventos en Security Lake.
Puede eliminar un registro de seguimiento con el siguiente comando. Puede eliminar un registro de seguimiento únicamente en la región en la que lo creó (la región principal).
aws cloudtrail delete-trail --nameawscloudtrail-example
Cuando eliminas una ruta, no eliminas el bucket de Amazon S3 ni el SNS tema de Amazon asociado a él. Utilice el servicio AWS Management Console AWS CLI, o API para eliminar estos recursos por separado.
