Trabajar con archivos de CloudTrail registro - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trabajar con archivos de CloudTrail registro

Puede realizar tareas más avanzadas con sus CloudTrail archivos.

  • Cree varios registros de seguimiento por región.

  • Supervise los archivos de CloudTrail registro enviándolos a CloudWatch Logs.

  • Comparta archivos de registros entre cuentas.

  • Utilice la biblioteca AWS CloudTrail de procesamiento para escribir aplicaciones de procesamiento de registros en Java.

  • Valide los archivos de registro para comprobar que no han cambiado después de su entrega CloudTrail.

Cuando se produce un evento en tu cuenta, CloudTrail evalúa si el evento coincide con la configuración de tus senderos. Solo los eventos que coincidan con la configuración de su ruta se envían a su bucket de Amazon S3 y al grupo de CloudWatch registros de Amazon Logs.

Puede configurar varios registros de seguimiento de forma distinta, de modo que procesen y registren únicamente los eventos que especifique. Por ejemplo, un registro de seguimiento puede registrar eventos de datos de solo lectura y de administración, con el fin de que todos los eventos de solo lectura se envíen a un bucket de S3. Otro registro de seguimiento puede registrar únicamente eventos de datos de solo escritura y de administración, con el fin de que todos los eventos de solo escritura se envíen a un bucket de S3 independiente.

También puede configurar sus registros de seguimiento con un registro para que envíe todos los eventos de administración a un bucket de S3 y otro que registre y envíe todos los eventos de datos a otro bucket de S3.

Puede configurar sus registros de seguimiento para que registren lo siguiente:

  • Datos de eventos: estos eventos proporcionan visibilidad de las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos.

  • Eventos de administración: los eventos de administración proporcionan visibilidad de las operaciones de administración que se llevan a cabo con los recursos de su AWS cuenta. Se denominan también operaciones del plano de control. Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en tu cuenta, CloudTrail registra el ConsoleLogin evento. Para obtener más información, consulte Eventos ajenos a la API capturados por CloudTrail.

  • Eventos de Insights: capturan la actividad inusual que se detecta en la cuenta. Si tienes activados los eventos de Insights y CloudTrail detecta una actividad inusual, los eventos de Insights se registran en el depósito de S3 de destino de tu ruta, pero en una carpeta diferente. También puede ver el tipo de evento de Insights y el período de tiempo del incidente al ver los eventos de Insights en la CloudTrail consola. A diferencia de otros tipos de eventos que se capturan CloudTrail en un registro, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el uso de la API de su cuenta que difieren significativamente de los patrones de uso típicos de la cuenta.

    Los eventos de Insights solo se generan para las API de administración. Para obtener más información, consulte Registro de eventos de Insights.

nota

CloudTrail por lo general, entrega los registros en una media de unos 5 minutos tras una llamada a la API. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el Acuerdo de nivel de servicios de AWS CloudTrail.

Si configuras mal la ruta (por ejemplo, si no se puede acceder al depósito de S3), CloudTrail intentarás volver a enviar los archivos de registro a tu depósito de S3 durante 30 días. Estos attempted-to-deliver eventos estarán sujetos a los cargos estándar. CloudTrail Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.

Temas