Ejemplos de archivos de log de CloudTrail - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de archivos de log de CloudTrail

CloudTrail monitoriza eventos para su cuenta. Si crea un registro de seguimiento, envía estos eventos como archivos de registro a su bucket de Amazon S3. Consulte lo siguiente para obtener más información acerca de los archivos de registro.

Formato de nombres de archivos de registro de Cloud

CloudTrail utiliza el siguiente formato de nombre de archivo para los objetos de archivos de registro que envía a su bucket de Amazon S3:

AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
  • YYYY, MM, DD, HH y mm son los dígitos del año, mes, día, hora y minuto cuando se envió el archivo de registro. Las horas están en formato de 24 horas. La Z indica que la hora se muestra en UTC.

    nota

    Un archivo de registro enviado en un momento específico puede contener registros escritos en cualquier momento antes de ese momento.

  • El componente UniqueString de 16 caracteres del nombre del archivo de registro sirve para impedir que se sobrescriban los archivos. No tiene ningún significado y el software de procesamiento de archivos de registro debería omitirlo.

  • FileNameFormat es la codificación del archivo. Actualmente, es json.gz, que es un archivo de texto JSON en formato gzip comprimido.

Nombre de archivo de registro de CloudTrail

111122223333_CloudTrail_us-east-2_20150801T0210Z_Mu0KsOhtH1ar15ZZ.json.gz

Ejemplos de archivos de registro

Un archivo de registro contiene uno o más registros. Los siguientes ejemplos son fragmentos de archivos de registro que muestran los registros de una acción que inició la creación de un archivo de registro.

Ejemplos de registro de Amazon EC2

Amazon Elastic Compute Cloud (Amazon EC2) proporciona una capacidad de cálculo de tamaño variable en la nube de AWS. Puede lanzar servidores virtuales, configurar la seguridad y las redes y administrar el almacenamiento. Asimismo, Amazon EC2 puede escalarse rápidamente para adaptarlo a cambios en los requisitos o picos de popularidad, con lo que se reduce la necesidad de prever el tráfico de los servidores. Para obtener más información, consulte la .Guía del usuario de Amazon EC2 para instancias de Linux.

El ejemplo siguiente muestra que una usuaria de IAM llamada Alice utilizó la CLI de AWS para llamar a laStartInstancesmediante el uso de la funciónec2-start-instancescomando, por ejemploi-ebeaf9e2.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accessKeyId": "EXAMPLE_KEY_ID", "accountId": "123456789012", "userName": "Alice" }, "eventTime": "2014-03-06T21:22:54Z", "eventSource": "ec2.amazonaws.com", "eventName": "StartInstances", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.176", "userAgent": "ec2-api-tools 1.6.12.2", "requestParameters": {"instancesSet": {"items": [{"instanceId": "i-ebeaf9e2"}]}}, "responseElements": {"instancesSet": {"items": [{ "instanceId": "i-ebeaf9e2", "currentState": { "code": 0, "name": "pending" }, "previousState": { "code": 80, "name": "stopped" } }]}} }]}

El ejemplo siguiente muestra que una usuaria de IAM llamada Alice utilizó la CLI de AWS para llamar a laStopInstancesmediante el uso de la funciónec2-stop-instances.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-06T21:01:59Z", "eventSource": "ec2.amazonaws.com", "eventName": "StopInstances", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.176", "userAgent": "ec2-api-tools 1.6.12.2", "requestParameters": { "instancesSet": {"items": [{"instanceId": "i-ebeaf9e2"}]}, "force": false }, "responseElements": {"instancesSet": {"items": [{ "instanceId": "i-ebeaf9e2", "currentState": { "code": 64, "name": "stopping" }, "previousState": { "code": 16, "name": "running" } }]}} }]}

El ejemplo siguiente muestra que la consola de Amazon EC2 denominadaCreateKeyPairEn respuesta a las solicitudes iniciadas por la usuaria de IAM (Alice). Tenga en cuenta que laresponseElementscontienen un hash del key pair y que el material de las claves ha sido eliminado por AWS.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2014-03-06T15:15:06Z" }} }, "eventTime": "2014-03-06T17:10:34Z", "eventSource": "ec2.amazonaws.com", "eventName": "CreateKeyPair", "awsRegion": "us-east-2", "sourceIPAddress": "72.21.198.64", "userAgent": "EC2ConsoleBackend, aws-sdk-java/Linux/x.xx.fleetxen Java_HotSpot(TM)_64-Bit_Server_VM/xx", "requestParameters": {"keyName": "mykeypair"}, "responseElements": { "keyName": "mykeypair", "keyFingerprint": "30:1d:46:d0:5b:ad:7e:1b:b6:70:62:8b:ff:38:b5:e9:ab:5d:b8:21", "keyMaterial": "\u003csensitiveDataRemoved\u003e" } }]}

Ejemplos de registro de IAM

AWS Identity and Access Management (IAM) es un servicio web que permite a los clientes de AWS administrar usuarios y permisos de usuario. Con IAM puede administrar usuarios, credenciales de seguridad como las claves de acceso y los permisos que controlan a qué recursos de AWS pueden tener acceso los usuarios. Para obtener más información, consulte la .Guía del usuario de IAM.

El ejemplo siguiente muestra que la usuaria de IAM (Alice) utilizó la CLI de AWS para llamar a laCreateUserpara crear un nuevo usuario llamado Bob.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-24T21:11:59Z", "eventSource": "iam.amazonaws.com", "eventName": "CreateUser", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.3.2 Python/2.7.5 Windows/7", "requestParameters": {"userName": "Bob"}, "responseElements": {"user": { "createDate": "Mar 24, 2014 9:11:59 PM", "userName": "Bob", "arn": "arn:aws:iam::123456789012:user/Bob", "path": "/", "userId": "EXAMPLEUSERID" }} }]}

El ejemplo siguiente muestra que la usuaria de IAM (Alice) utilizó la AWS Management Console para llamar a laAddUserToGrouppara agregar Bob al grupo de administradores.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2014-03-25T18:45:11Z" }} }, "eventTime": "2014-03-25T21:08:14Z", "eventSource": "iam.amazonaws.com", "eventName": "AddUserToGroup", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "AWSConsole", "requestParameters": { "userName": "Bob", "groupName": "admin" }, "responseElements": null }]}

El ejemplo siguiente muestra que la usuaria de IAM (Alice) utilizó la CLI de AWS para llamar a laCreateRolepara crear un nuevo rol de IAM.

{ "Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-25T20:17:37Z", "eventSource": "iam.amazonaws.com", "eventName": "CreateRole", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.3.2 Python/2.7.5 Windows/7", "requestParameters": { "assumeRolePolicyDocument": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Sid\": \"\", \n\"Effect\": \"Allow\",\n \"Principal\": {\n \"AWS\": \"arn:aws:iam::210987654321:root\"\n },\n \"Action\": \"sts:AssumeRole\"\n }\n ]\n}", "roleName": "TestRole" }, "responseElements": { "role": { "assumeRolePolicyDocument": "%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0A%20%20%22Statement%22%3A%20%5B%0A%20%20%20%20%7B%0A%20%20%20%20%20%20%22Sid%22%3A%20%22%22%2C%0A%20%20%20%20%20%20%22Effect%22%3A%20%22Allow%22%2C%0A%20%20%20%20%20%20%22Principal%22%3A%20%7B%0A%20%20%20%20%20%20%20%20%22AWS%22%3A%20%22arn%3Aaws%3Aiam%3A%3A803981987763%3Aroot%22%0A%20%20%20%20%20%20%7D%2C%0A%20%20%20%20%20%20%22Action%22%3A%20%22sts%3AAssumeRole%22%0A%20%20%20%20%7D%0A%20%20%5D%0A%7D", "roleName": "TestRole", "roleId": "AROAIUU2EOWSWPGX2UJUO", "arn": "arn:aws:iam::123456789012:role/TestRole", "createDate": "Mar 25, 2014 8:17:37 PM", "path": "/" } } }] }

Ejemplo de archivo de registro de código y mensaje de error

El ejemplo siguiente muestra que la usuaria de IAM (Alice) utilizó la CLI de AWS para llamar a laUpdateTrailPara actualizar un registro de seguimiento denominadomyTrail2, pero no se encontró el nombre del rastro. El archivo de registro muestra este error en los elementos errorCode y errorMessage.

{"Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2016-07-14T19:15:45Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "UpdateTrail", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.182", "userAgent": "aws-cli/1.10.32 Python/2.7.9 Windows/7 botocore/1.4.22", "errorCode": "TrailNotFoundException", "errorMessage": "Unknown trail: myTrail2 for the user: 123456789012", "requestParameters": {"name": "myTrail2"}, "responseElements": null, "requestID": "5d40662a-49f7-11e6-97e4-d9cb6ff7d6a3", "eventID": "b7d4398e-b2f0-4faa-9c76-e2d316a8d67f", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Ejemplo de registro de eventos de CloudTrail

En el siguiente ejemplo se muestra un log de eventos de CloudTrail Insights. Un evento de Insights es en realidad un par de eventos que marcan el inicio y el final de un periodo de actividad inusual de la API de administración "write". El campo state muestra si el evento se registró al principio o al final del periodo de actividad inusual. El nombre del evento,UpdateInstanceInformation, es el mismo nombre que la API de AWS Systems Manager para la que CloudTrail analizó eventos de administración para determinar si se produjo una actividad inusual. Aunque los eventos de inicio y fin tienen valores eventID únicos, también tienen un valor sharedEventID utilizado en el par. El evento de Insights muestra el baseline, o el patrón normal de actividad, insight, o la actividad inusual promedio que desencadenó el evento de Insights inicial y, en el evento final, el valor insight de la actividad inusual promedio durante el evento de Insights. Para obtener más información acerca de CloudTrail Insights, consulteRegistro de eventos de Insights para registros de seguimiento.

{ "Records": [ { "eventVersion": "1.07", "eventTime": "2019-11-14T00:51:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE8-9621-4d00-b913-beca2EXAMPLE", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE2-1729-42f1-b735-5d8c0EXAMPLE", "insightDetails": { "state": "Start", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceInformation", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 85.4202380952 }, "insight": { "average": 664 } } } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-11-14T00:52:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-28be-486c-8928-49ce6EXAMPLE", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE2-1729-42f1-b735-5d8c0EXAMPLE", "insightDetails": { "state": "End", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceInformation", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 85.4202380952 }, "insight": { "average": 664 }, "insightDuration": 1 } } }, "eventCategory": "Insight" } ] }