Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Comprensión de CloudTrail los eventos
Un evento en CloudTrail es el registro de una actividad en una AWS cuenta. Esta actividad puede ser una acción realizada por una identidad de IAM o un servicio que pueda supervisarse. CloudTrail CloudTrail los eventos proporcionan un historial de la actividad de las cuentas API y ajenas a la API realizada a través de los AWS SDK AWS Management Console, las herramientas de línea de comandos y otros. Servicios de AWS
CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a las API públicas, por lo que los eventos no aparecen en ningún orden específico.
Hay tres tipos de CloudTrail eventos:
De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos registran los eventos de administración, pero no los eventos de datos o de Insights.
Todos los tipos de eventos utilizan un formato de registro CloudTrail JSON. El registro contiene información acerca de las solicitudes de recursos de su cuenta como, por ejemplo, quién hizo la solicitud, los servicios utilizados, las acciones realizadas y los parámetros de la acción. Los datos de los eventos se encierran dentro de una matriz Records
.
Para obtener información sobre los campos de registro de CloudTrail eventos, consulteCloudTrail contenido del registro.
Eventos de administración
Los eventos de administración proporcionan información sobre las operaciones de administración que se realizan en los recursos de su AWS cuenta. Se denominan también operaciones del plano de control.
Algunos ejemplos de eventos de administración son los siguientes:
-
Configurar la seguridad (por ejemplo, las operaciones AWS Identity and Access Management
AttachRolePolicy
de la API). -
Registro de dispositivos (por ejemplo, operaciones de la API
CreateDefaultVpc
de Amazon EC2). -
Configuración de reglas para el enrutamiento de datos (por ejemplo, operaciones de la API
CreateSubnet
de Amazon EC2). -
Configurar el registro (por ejemplo, las operaciones AWS CloudTrail
CreateTrail
de la API).
Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en tu cuenta, CloudTrail registra el ConsoleLogin
evento. Para obtener más información, consulte Eventos ajenos a la API capturados por CloudTrail.
De forma predeterminada, los datos de eventos de CloudTrail Trails and CloudTrail Lake almacenan los eventos de gestión de registros. Para obtener más información sobre el registro de eventos de administración, consulteRegistro de eventos de administración.
El siguiente ejemplo muestra un único registro de un evento de administración. En este caso, un usuario de IAM denominado Mary_Major
ejecutó el aws cloudtrail start-logging comando para llamar a la CloudTrail StartLogging
acción e iniciar el proceso de registro en una ruta denominadamyTrail
.
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
En el siguiente ejemplo, un usuario de IAM llamado Paulo_Santos
ejecutó el comando aws cloudtrail start-event-data-store-ingestion para llamar a la acción StartEventDataStoreIngestion
a fin de iniciar la ingesta en un almacén de datos de eventos.
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
Eventos de datos
Los eventos de datos proporcionan información sobre las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen.
Algunos ejemplos de eventos de datos son los siguientes:
-
Actividad de la API a nivel de objeto de Amazon S3 (por ejemplo
GetObject
DeleteObject
, y operaciones de laPutObject
API) en los objetos de los buckets de S3. -
AWS Lambda actividad de ejecución de funciones (la
Invoke
API). -
CloudTrail
PutAuditEvents
actividad en un canal de CloudTrail Lake que se utiliza para registrar eventos del exterior AWS. -
Operaciones de la API
Publish
yPublishBatch
de Amazon SNS sobre temas.
En la siguiente tabla, se muestran los tipos de eventos de datos disponibles para los registros de seguimiento y los almacenes de datos de eventos. En la columna Tipo de evento de datos (consola), se muestra la selección adecuada en la consola. La columna de valores resources.type muestra el resources.type
valor que usted especificaría para incluir eventos de datos de ese tipo en su almacén de datos de rutas o eventos mediante las AWS CLI API o. CloudTrail
En el caso de las rutas, puede utilizar selectores de eventos básicos o avanzados para registrar eventos de datos para objetos de Amazon S3 en cubos de uso general, funciones de Lambda y tablas de DynamoDB (se muestran en las tres primeras filas de la tabla). Solo puede usar selectores de eventos avanzados para registrar los tipos de eventos de datos que se muestran en las filas restantes.
En el caso de los almacenes de datos de eventos, puede utilizar selectores de eventos avanzados para que se incluyan eventos de datos únicamente.
Servicio de AWS | Descripción | Tipo de evento de datos (consola) | resources.type value |
---|---|---|---|
Amazon DynamoDB | Actividad de la API a nivel de elemento de Amazon DynamoDB en las tablas (por ejemplo notaPara las tablas con flujos habilitados, el campo |
DynamoDB |
|
AWS Lambda | AWS Lambda actividad de ejecución de funciones (la |
Lambda | AWS::Lambda::Function |
Amazon S3 | Actividad de la API a nivel de objeto de Amazon S3 (por ejemplo |
S3 | AWS::S3::Object |
AWS AppConfig | AWS AppConfig Actividad de la API para operaciones de configuración, como las llamadas a y. |
AWS AppConfig | AWS::AppConfig::Configuration |
AWS Intercambio de datos B2B | Actividad de la API de intercambio de datos entre empresas para operaciones de Transformer, como las llamadas a |
Intercambio de datos entre empresas | AWS::B2BI::Transformer |
Amazon Bedrock | Actividad de la API de Amazon Bedrock en un alias de agente. | Alias de agente de Bedrock | AWS::Bedrock::AgentAlias |
Amazon Bedrock | Actividad de la API de Amazon Bedrock en una base de conocimientos. | Base de conocimientos de Bedrock | AWS::Bedrock::KnowledgeBase |
Amazon CloudFront | CloudFront Actividad de la API en un KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | AWS Cloud Map Actividad de la API en un espacio de nombres. | AWS Cloud Map namespace |
|
AWS Cloud Map | AWS Cloud Map Actividad de la API en un servicio. | AWS Cloud Map service |
|
AWS CloudTrail | CloudTrail |
CloudTrail canal | AWS::CloudTrail::Channel |
Amazon CloudWatch | Actividad de CloudWatch la API de Amazon en las métricas. |
CloudWatch métrica | AWS::CloudWatch::Metric |
Amazon CodeWhisperer | Actividad CodeWhisperer de la API de Amazon en una personalización. | CodeWhisperer personalización | AWS::CodeWhisperer::Customization |
Amazon CodeWhisperer | Actividad CodeWhisperer de la API de Amazon en un perfil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | Actividad de la API de Amazon Cognito en los grupos de identidades de Amazon Cognito. |
Grupos de identidades de Cognito | AWS::Cognito::IdentityPool |
Amazon DynamoDB | Actividad de la API de Amazon DynamoDB en los flujos. |
DynamoDB Streams | AWS::DynamoDB::Stream |
Amazon Elastic Block Store | API directas de Amazon Elastic Block Store (EBS), como |
API directas de Amazon EBS | AWS::EC2::Snapshot |
Amazon EMR | Actividad de la API de Amazon EMR en un espacio de trabajo de registros de escritura anticipada. | Espacio de trabajo de registro de escritura anticipada de EMR | AWS::EMRWAL::Workspace |
Amazon FinSpace | Actividad de la API de Amazon FinSpace en entornos. |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue Actividad de la API en tablas creadas por Lake Formation. |
Lake Formation | AWS::Glue::Table |
Amazon GuardDuty | Actividad GuardDuty de la API de Amazon para un detector. |
GuardDuty detector | AWS::GuardDuty::Detector |
AWS HealthImaging | AWS HealthImaging Actividad de la API en los almacenes de datos. |
MedicalImaging almacén de datos | AWS::MedicalImaging::Datastore |
AWS IoT | Certificado IoT | AWS::IoT::Certificate |
|
AWS IoT | Cosa de IoT | AWS::IoT::Thing |
|
AWS IoT Greengrass Version 2 | Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una versión de componentes. notaGreengrass no registra los eventos de acceso denegado. |
Versión del componente IoT Greengrass | AWS::GreengrassV2::ComponentVersion |
AWS IoT Greengrass Version 2 | Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una implementación. notaGreengrass no registra los eventos de acceso denegado. |
Despliegue de IoT Greengrass | AWS::GreengrassV2::Deployment |
AWS IoT SiteWise | SiteWise Activo de IoT | AWS::IoTSiteWise::Asset |
|
AWS IoT SiteWise | Series SiteWise temporales de IoT | AWS::IoTSiteWise::TimeSeries |
|
AWS IoT TwinMaker | Actividad TwinMaker de la API de IoT en una entidad. |
TwinMaker Entidad IoT | AWS::IoTTwinMaker::Entity |
AWS IoT TwinMaker | Actividad de TwinMaker la API de IoT en un espacio de trabajo. |
TwinMaker Espacio de trabajo de IoT | AWS::IoTTwinMaker::Workspace |
Clasificación de Amazon Kendra Intelligent | Actividad de la API de Amazon Kendra Intelligent Ranking en los planes de ejecución de nuevas puntuaciones. |
Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces (para Apache Cassandra) | Actividad de la API de Amazon Keyspaces en una tabla. | Mesa Cassandra | AWS::Cassandra::Table |
Amazon Kinesis Data Streams | Actividad de la API de Kinesis Data Streams en las transmisiones. | Transmisión de Kinesis | AWS::Kinesis::Stream |
Amazon Kinesis Data Streams | Actividad de la API de Kinesis Data Streams en los consumidores de streaming. | Kinesis Stream Consumer | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | La actividad de la API de Kinesis Video Streams en las transmisiones de vídeo, como las llamadas GetMedia a PutMedia y. |
Kinesis Video Streams | AWS::KinesisVideo::Stream |
Amazon Machine Learning | Actividad de la API Machine Learning en modelos de aprendizaje automático. | Aprendizaje automático MlModel | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | Actividad de la API de Amazon Managed Blockchain en una red. |
Red de Managed Blockchain | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain | Llamadas JSON-RPC de Amazon Managed Blockchain en nodos de Ethereum, como |
Managed Blockchain | AWS::ManagedBlockchain::Node |
Gráfico de Amazon Neptune | Actividades de la API de datos, por ejemplo, consultas, algoritmos o búsquedas vectoriales, en un gráfico de Neptune. |
Gráfico de Neptune | AWS::NeptuneGraph::Graph |
AWS Private CA | AWS Private CA Conector para la actividad de la API de Active Directory. |
AWS Private CA Conector para Active Directory | AWS::PCAConnectorAD::Connector |
AWS Private CA | AWS Private CA Conector para la actividad de la API SCEP. |
AWS Private CA Conector para SCEP | AWS::PCAConnectorSCEP::Connector |
Aplicaciones Amazon Q | Actividad de la API de datos en Amazon Q Apps. |
Aplicaciones Amazon Q | AWS::QApps:QApp |
Amazon Q Business | Actividad de la API de Amazon Q Business en una aplicación. |
Aplicación de Amazon Q Business | AWS::QBusiness::Application |
Amazon Q Business | Actividad de la API de Amazon Q Business en un origen de datos. |
Origen de datos de Amazon Q Business | AWS::QBusiness::DataSource |
Amazon Q Business | Actividad de la API de Amazon Q Business en un índice. |
Índice de Amazon Q Business | AWS::QBusiness::Index |
Amazon Q Business | Actividad de la API de Amazon Q Business en una experiencia web. |
Experiencia web de Amazon Q Business | AWS::QBusiness::WebExperience |
Amazon RDS | Actividad de la API de Amazon RDS en un clúster de base de datos. |
API de datos de RDS: clúster de base de datos | AWS::RDS::DBCluster |
Amazon S3 | Actividad de la API de Amazon S3 en los puntos de acceso. |
Punto de acceso de S3 | AWS::S3::AccessPoint |
Amazon S3 | Actividad de la API de los puntos de acceso de Amazon S3 Object Lambda, como las llamadas a |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
Amazon S3 en Outposts | Actividad de la API en cuanto a objetos de Amazon S3 en Outposts. |
S3 Outposts | AWS::S3Outposts::Object |
Amazon SageMaker | SageMaker InvokeEndpointWithResponseStream Actividad de Amazon en los puntos finales. |
SageMaker punto final | AWS::SageMaker::Endpoint |
Amazon SageMaker | Actividad SageMaker de la API de Amazon en tiendas destacadas. |
SageMaker feature store | AWS::SageMaker::FeatureGroup |
Amazon SageMaker | Actividad de la SageMaker API de Amazon en componentes de prueba de experimentos. |
SageMaker métricas (componente de prueba de experimentos) | AWS::SageMaker::ExperimentTrialComponent |
Amazon SNS | Operaciones de la API |
Punto de conexión de la plataforma de SNS | AWS::SNS::PlatformEndpoint |
Amazon SNS | Operaciones de la API |
Tema de SNS | AWS::SNS::Topic |
Amazon SQS | Actividad de la API de Amazon SQS en los mensajes. |
SQS | AWS::SQS::Queue |
AWS Step Functions | Actividad de la API Step Functions en una máquina de estados. |
Máquina de estado de Step Functions | AWS::StepFunctions::StateMachine |
AWS Supply Chain | AWS Supply Chain Actividad de la API en una instancia. |
Cadena de suministro | AWS::SCN::Instance |
Amazon SWF | Dominio SWF | AWS::SWF::Domain |
|
AWS Systems Manager | Actividad de la API de Systems Manager en los canales de control. | Systems Manager | AWS::SSMMessages::ControlChannel |
AWS Systems Manager | Actividad de la API de Systems Manager en los nodos gestionados. | Nodo administrado de Systems Manager | AWS::SSM::ManagedNode |
Amazon Timestream | Actividad de la API Query de Amazon Timestream en las bases de datos. |
Base de datos de Timestream | AWS::Timestream::Database |
Amazon Timestream | Actividad de la API Query de Amazon Timestream en las tablas. |
Tabla de Timestream | AWS::Timestream::Table |
Amazon Verified Permissions | Actividad de la API de Amazon Verified Permissions en un almacén de políticas. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces Thin Client | WorkSpaces Actividad de la API de Thin Client en un dispositivo. | Dispositivo de cliente ligero | AWS::ThinClient::Device |
Amazon WorkSpaces Thin Client | WorkSpaces Actividad de la API de Thin Client en un entorno. | Entorno de cliente ligero | AWS::ThinClient::Environment |
AWS X-Ray | Actividad de la API X-Ray en las trazas. |
Rastro de rayos X | AWS::XRay::Trace |
El registro de los eventos de datos está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. Para registrar CloudTrail los eventos de datos, debe añadir de forma explícita los recursos o tipos de recursos compatibles para los que desea recopilar la actividad. Para obtener más información, consulte Crear un sendero con la CloudTrail consola y Cree un almacén de datos de CloudTrail eventos para los eventos con la consola.
Se aplican cargos adicionales para registrar eventos de datos. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios
El siguiente ejemplo muestra un registro de registro único de un evento de datos para la acción de Amazon SNS. Publish
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
El siguiente ejemplo muestra un registro de registro único de un evento de datos para la acción de Amazon CognitoGetCredentialsForIdentity
.
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
Eventos de Insights
CloudTrail Los eventos de Insights capturan la actividad inusual de la tasa de llamadas a la API o la tasa de errores en su AWS cuenta mediante el análisis CloudTrail de la actividad de administración. Los eventos de Insights proporcionan información relevante, como la API asociada, el código de error, la hora del incidente y las estadísticas, que lo ayuda a conocer la actividad inusual y actuar en consecuencia. A diferencia de otros tipos de eventos que se capturan en un CloudTrail registro o un banco de datos de eventos, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el uso de la API de su cuenta o en el registro de la tasa de errores que difieren significativamente de los patrones de uso típicos de la cuenta.
Entre los ejemplos de actividad que podrían generar los eventos de Insights se incluyen los siguientes:
-
Por lo general, su cuenta registra no más de 20 llamadas a la API
deleteBucket
de Amazon S3 por minuto, pero comienza a registrar un promedio de 100 llamadas a la APIdeleteBucket
por minuto. Se registra un evento de Insights al inicio de la actividad inusual y se registra otro evento de Insights para marcar el final de la actividad inusual. -
Por lo general, su cuenta registra 20 llamadas por minuto a la API
AuthorizeSecurityGroupIngress
de Amazon EC2, pero comienza a registrar cero llamadas aAuthorizeSecurityGroupIngress
. Un evento de Insights se registra al inicio de la actividad inusual y diez minutos más tarde, cuando finaliza la actividad inusual, se registra otro evento de Insights para marcar el final de la actividad inusual. -
Normalmente, su cuenta registra menos de uno error
AccessDeniedException
en un periodo de siete días en la API AWS Identity and Access Management ,DeleteInstanceProfile
. Su cuenta comienza a registrar un promedio de 12 erroresAccessDeniedException
por minuto en la llamada a la APIDeleteInstanceProfile
. Se registra un evento de Insights al inicio de la actividad de tasa de error inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.
Estos ejemplos se ofrecen únicamente con fines ilustrativos. Sus resultados pueden variar según su caso de uso.
Para registrar los eventos de CloudTrail Insights, debes habilitar de forma explícita los eventos de Insights en un banco de datos de eventos o seguimiento nuevo o existente. Para obtener más información acerca de la creación de un registro de seguimiento, consulte Crear un sendero con la CloudTrail consola. Para obtener más información acerca de la creación de un almacén de datos de eventos, consulte Cree un banco de datos de eventos para los eventos de Insights con la consola.
Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener más información, consulte AWS CloudTrail Precios
Hay dos eventos registrados para mostrar una actividad inusual en CloudTrail Insights: un evento de inicio y un evento de finalización. En el siguiente ejemplo se muestra un registro único de un evento de Insights que se produjo cuando se llamó un número inusual de veces a la API CompleteLifecycleAction
de Auto Scaling de aplicaciones. Para los eventos de Insights, el valor de eventCategory
es Insight
. Un bloque insightDetails
identifica el estado del evento, la fuente, el nombre, el tipo de información y el contexto, incluidas las estadísticas y atribuciones. Para obtener más información sobre el bloque insightDetails
, consulte CloudTrail insightDetailsElemento Insights.
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }