Flujo de trabajo de CloudTrail - AWS CloudTrail
Historial de eventosCloudTrail LakeRegistros de seguimiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Flujo de trabajo de CloudTrail

En esta sección, se proporciona información sobre las características de CloudTrail y las tareas que puede llevar a cabo para estas funciones.

Historial de eventos

Ver el historial de eventos de su cuenta de AWS

Puede ver y buscar los últimos 90 días de eventos registrados por CloudTrail en la consola de CloudTrail o mediante la AWS CLI. Para obtener más información, consulte Trabajar con el historial de CloudTrail eventos.

Descargar eventos

Puede descargar un archivo JSON o CSV que contenga hasta los últimos 90 días de eventos de CloudTrail para su cuenta de AWS. Para obtener más información, consulte Descarga de eventos.

CloudTrail Lake

Habilitar CloudTrail Lake

CloudTrail Lake le permite ejecutar consultas precisas basadas en SQL sobre eventos de orígenes de AWS y orígenes externos a AWS. Los eventos se agregan en almacenes de datos de eventos, que son colecciones inmutables de eventos en función de criterios que se seleccionan aplicando selectores de eventos avanzados. Puede conservar los datos de eventos en un almacén de datos de eventos durante un máximo de 3653 días (unos 10 años) si elige la opción de precio de retención ampliable por un año, o hasta 2557 días (unos 7 años) si elige la opción de precio de retención de siete años. CloudTrail Lake forma parte de una solución de auditoría que le ayuda a realizar investigaciones de seguridad y a solucionar problemas. Para obtener más información, consulte Trabajando con AWS CloudTrail Lake.

Creación de un almacén de datos de eventos

Cuando crea un almacén de datos de eventos en CloudTrail Lake, elige el tipo de eventos que desea incluir en él. Para obtener más información, consulte Creación de un almacén de datos de eventos.

Ver los paneles de Lake

Puede utilizar los paneles de CloudTrail Lake para ver los eventos de un almacén de datos de eventos. Puede seleccionar entre varios tipos de paneles. Para obtener más información, consulte Ver los paneles de Lake.

Administración de registro y eventos de datos

Configure sus registros de datos de eventos para que registren eventos de solo lectura, solo escritura o todos los eventos de administración y datos. De forma predeterminada, los almacenes de datos de eventos registran eventos de administración de registros. Para más información, consulte Cree un banco de datos de CloudTrail eventos para eventos, Registro de eventos de administración y Registro de eventos de datos.

Registrar eventos de Insights

Configure sus almacenes de datos de eventos para registrar eventos de Insights y poder identificar y responder a actividades inusuales asociadas a las llamadas a la API de administración. Para más información, consulte Cree un banco de datos de eventos para los eventos de CloudTrail Insights y Registro de eventos de Insights.

Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para más información, consulte Precios de AWS CloudTrail.

Copiar eventos de registro de seguimiento en CloudTrail Lake

Puede copiar los eventos de registro de seguimiento existentes en un almacén de datos de eventos de CloudTrail Lake para crear una instantánea puntual de los eventos del registro de seguimiento. Para obtener más información, consulte Copiar eventos de registro de seguimiento en un almacén de datos de eventos.

Habilitar la federación en un almacén de datos de eventos

Puede federar un almacén de datos de eventos para ver los metadatos asociados al almacén de datos de eventos en el catálogo de datos de AWS Glue y ejecutar consultas SQL sobre los datos de eventos con Amazon Athena. Los metadatos de la tabla almacenados en el Catálogo de datos de AWS Glue permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.

Detener o iniciar la ingesta de eventos en un almacén de datos de eventos

Puede detener e iniciar la ingesta de eventos en los almacenes de datos de eventos que recopilan eventos de datos y administración de CloudTrail o elementos de configuración de AWS Config. Para obtener más información acerca de cómo detener la ingesta de eventos en la consola de CloudTrail, consulte Detener e iniciar la incorporación de eventos. Para obtener más información acerca de cómo detener la ingesta de eventos mediante la AWS CLI, consulte Detener la incorporación en un almacén de datos de eventos con la AWS CLI.

Creación de una integración con un origen de eventos externo a AWS

Puede utilizar las integraciones de CloudTrail Lake para registrar y almacenar datos de actividad de los usuarios externos a AWS, desde cualquier origen en sus entornos híbridos, como aplicaciones internas o de SaaS alojadas en las instalaciones o en la nube, máquinas virtuales o contenedores. Para obtener información acerca de la creación de una integración en la consola de CloudTrail Lake, consulte Creación de una integración con un origen de eventos externo a AWS. Para obtener información acerca de la creación de una integración mediante la AWS CLI, consulte Crear una integración para registrar eventos externos a AWS con la AWS CLI.

Ver de consultas de ejemplo de Lake en la consola de CloudTrail

La consola de CloudTrail brinda una serie de consultas de ejemplo que pueden ayudarlo a empezar a escribir sus propias consultas. Para obtener más información, consulte Visualización de consultas de ejemplo en la consola de CloudTrail.

Creación o edición de una consulta

Las consultas en CloudTrail se crean en SQL. Puede crear una consulta en la pestaña Editor de CloudTrail Lake escribiendo la consulta en SQL desde cero o abriendo una consulta guardada o de muestra y editándola. Para más información, consulte Creación o edición de una consulta y CloudTrail Restricciones de Lake SQL.

Guardar los resultados de consultas de CloudTrail Lake en un bucket de Amazon S3

Al ejecutar una consulta, puede guardar los resultados de la consulta en un bucket de S3. Para obtener más información, consulte Ejecutar una consulta y guardar los resultados de la consulta.

Descarga de los resultados de consultas guardados

Puede descargar un archivo CSV que contenga los resultados de las consultas de CloudTrail Lake guardados. Para obtener más información, consulte Descargar los resultados de consultas guardados de CloudTrail Lake.

Validación de los resultados de consultas guardados

Puede usar la validación de integridad de los resultados de las consultas de CloudTrail para determinar si los resultados de la consulta se han modificado, eliminado o continúan igual después de que CloudTrail los envió al bucket al S3. Para obtener más información, consulte Validación de los resultados de consultas guardados.

Administración de los permisos de usuario

Utilice AWS Identity and Access Management (IAM) para administrar qué usuarios tienen permisos para crear, configurar o eliminar canales y almacenes de datos de eventos, iniciar y detener la ingesta de eventos y copiar los eventos de registros de seguimiento en un almacén de datos de eventos. Para obtener más información, consulte Otorgar permisos de CloudTrail administración.

Registrar a un administrador delegado para que se encargue de los recursos de CloudTrail de su organización

Puede registrar un administrador delegado para que administre los almacenes de datos de eventos de CloudTrail de su organización. Para obtener más información, consulte Administrador delegado de la organización.

Trabajar con soluciones de los socios

Analice su resultado de CloudTrail con una solución de los socios que se integra con CloudTrail. Las soluciones de los socios ofrecen un amplio conjunto de capacidades, como el seguimiento de cambios, la solución de problemas y el análisis de seguridad. Para obtener más información, consulte la página de socios de AWS CloudTrail.

Registros de seguimiento

Crear un registro de seguimiento

Un registro de seguimiento habilita a CloudTrail a enviar archivos de registros a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones de . El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de S3 especificado. Para obtener más información, consulte Creación de un registro de seguimiento para su Cuenta de AWS.

Administración de registro y eventos de datos

Configure sus registros de seguimiento para que registren eventos de solo lectura y solo escritura o todos los eventos de administración y datos. De forma predeterminada, los registros de seguimiento registran eventos de administración. Para más información, consulte Registro de eventos de administración y Registro de eventos de datos.

Registrar eventos de Insights

Configure sus registros de seguimiento para registrar eventos de Insights y poder identificar y responder a actividades inusuales asociadas a las llamadas a la API de administración . Para obtener más información, consulte Registro de eventos de Insights.

Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para más información, consulte Precios de AWS CloudTrail.

Ver eventos de Insights

Después de habilitar CloudTrail Insights en un registro de seguimiento, puede ver hasta 90 días de eventos de Insights mediante la consola de CloudTrail o la AWS CLI. Para obtener más información, consulte Visualizar eventos de CloudTrail Insights para registros de seguimiento.

Descargar eventos de Insights

Después de habilitar CloudTrail Insights en un registro de seguimiento, puede descargar un archivo JSON o CSV que contenga hasta los últimos 90 días de eventos de Insights para su registro de seguimiento. Para obtener más información, consulte Descarga de eventos de Insights.

Copiar eventos de registro de seguimiento en CloudTrail Lake

Puede copiar los eventos de registro de seguimiento existentes en un almacén de datos de eventos de CloudTrail Lake para crear una instantánea puntual de los eventos del registro de seguimiento. Para obtener más información, consulte Copiar los eventos del sendero al CloudTrail lago.

Crear un tema de Amazon SNS y suscribirse a él

Suscríbase a un tema para recibir notificaciones sobre el envío de archivos de registros a su bucket. Amazon SNS puede notificarlo de diversas maneras, por ejemplo, a través de programación mediante Amazon Simple Queue Service. Para obtener más información, consulte Configuración de notificaciones de Amazon SNS para CloudTrail.

nota

Si desea recibir notificaciones de SNS sobre los envíos de archivos de registros de todas las regiones, especifique solo un tema de SNS para el registro de seguimiento. Si desea procesar todos los eventos mediante programación, consulte Uso de la biblioteca de procesamiento de CloudTrail.

Ver los archivos de registros

Utilice Amazon S3 para recuperar los archivos de registros. Para obtener más información, consulte Obtención y visualización de archivos de registros de CloudTrail.

Monitorear eventos con CloudWatch Logs

Puede configurar el registro de seguimiento para enviar eventos a CloudWatch Logs. A continuación, puede utilizar CloudWatch Logs a fin de monitorear su cuenta para eventos y llamadas a la API específicos. Para obtener más información, consulte Monitoreo de archivos de registros de CloudTrail con Amazon CloudWatch Logs.

nota

Si configura un registro de seguimiento que se aplica a todas las regiones para que envíe eventos a un grupo de registro de Registros de CloudWatch, CloudTrail envía eventos de todas las regiones a un solo grupo de registro.

Habilitar el cifrado de registro

El cifrado de archivos de registros proporciona una capa adicional de seguridad para sus archivos de registros. Para obtener más información, consulte Cifrado de archivos de CloudTrail registro con AWS KMS claves (SSE-KMS).

Habilitar la integridad de los archivos de registros

La validación de la integridad de los archivos de registros lo ayuda a verificar que los archivos de registros no se hayan modificado desde que CloudTrail los envió. Para obtener más información, consulte Validar la integridad de los archivos de registros de CloudTrail.

Compartir archivos de registros con otras cuentas de AWS

Puede compartir archivos de registros entre cuentas. Para obtener más información, consulte Compartir archivos de registro de CloudTrail entre cuentas de AWS.

Agrupar archivos de registros de varias cuentas

Puede agrupar archivos de registros de varias cuentas en un solo bucket. Para obtener más información, consulte Recepción de archivos de CloudTrail registro de varias cuentas.

Administración de los permisos de usuario

Utilice AWS Identity and Access Management (IAM) a fin de administrar los permisos de los usuarios para crear, configurar o eliminar registros de seguimiento, iniciar y detener la generación de registros y tener acceso a los buckets que contienen los archivos de registros. Para obtener más información, consulte Otorgar permisos de CloudTrail administración.

Registrar a un administrador delegado para que se encargue de los recursos de CloudTrail de su organización

Puede registrar un administrador delegado para que administre los registros de seguimiento de CloudTrail de su organización. Para obtener más información, consulte Administrador delegado de la organización.

Trabajar con soluciones de los socios

Analice su resultado de CloudTrail con una solución de los socios que se integra con CloudTrail. Las soluciones de los socios ofrecen un amplio conjunto de capacidades, como el seguimiento de cambios, la solución de problemas y el análisis de seguridad. Para obtener más información, consulte la página de socios de AWS CloudTrail.