Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo CloudTrail funciona
Tienes acceso automáticamente al historial de CloudTrail eventos al crear tu Cuenta de AWS. El Historial de eventos proporciona un registro visible e inmutable, que se puede buscar y descargar, de los últimos 90 días de eventos de administración registrados en una Región de AWS.
Para tener un registro continuo de los eventos de Cuenta de AWS los últimos 90 días, crea un banco de datos de eventos de senderos o CloudTrail lagos.
Temas
CloudTrail Historial de eventos
Para ver fácilmente los últimos 90 días de los eventos de gestión en la CloudTrail consola, vaya a la página del historial de eventos. También puede ver el historial de eventos ejecutando el aws cloudtrail
lookup-eventscomando o la LookupEventsAPIoperación. Puede buscar eventos en el historial de eventos filtrando los eventos en un solo atributo. Para obtener más información, consulte Trabajar con el historial de CloudTrail eventos.
El Historial de eventos no está conectado a ningún registro de seguimiento ni almacén de datos de eventos que exista en su cuenta y no se ve afectado por los cambios de configuración que haga en los registros de seguimiento ni en los almacenes de datos de eventos.
Ver la página CloudTrail del historial de eventos o ejecutar el lookup-events comando es gratuito.
CloudTrail Almacenes de datos de lagos y eventos
Puede crear un almacén de datos de eventos para registrar CloudTrail eventos (eventos de administración, eventos de datos), eventos de CloudTrail Insights, AWS Audit Manager pruebas, elementos de AWS Config configuración o eventos externos a AWS.
Los almacenes de datos de eventos pueden registrar los eventos de la cuenta actual Región de AWS o Regiones de AWS de toda la AWS cuenta. Los almacenes de datos de eventos que utilice para registrar eventos de integración externos AWS deben ser únicamente para una sola región; no pueden ser almacenes de datos de eventos multirregionales.
Si ha creado una organización en AWS Organizations, puede crear un almacén de datos de eventos de la organización que registre todos los eventos de todas las AWS cuentas de esa organización. Los almacenes de datos de eventos de la organización se pueden aplicar a todas las regiones de AWS o a la región actual. Los almacenes de datos de eventos de la organización deben crearse mediante la cuenta de administración o la cuenta del administrador delegado, y, cuando se especifica que se aplican a una organización, se aplican de forma automática a todas las cuentas de miembro de la organización. Las cuentas de miembro no pueden ver el almacén de datos de eventos de la organización, ni pueden modificarlo o eliminarlo. Los almacenes de datos de eventos de la organización no se pueden utilizar para recopilar eventos ajenos a ella AWS. Para obtener más información, consulte Descripción de los almacenes de datos de eventos de la organización.
De forma predeterminada, todos los eventos de un almacén de datos de eventos se cifran mediante CloudTrail. Al configurar un banco de datos de eventos, puede optar por utilizar el suyo propio AWS KMS key. El uso de su propia KMS clave conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una KMS clave, la KMS clave no se puede quitar ni cambiar. Para obtener más información, consulte Cifrado de archivos de CloudTrail registro con AWS KMS claves (SSE-KMS).
La siguiente tabla proporciona información sobre las tareas que puede realizar en los almacenes de datos de eventos.
| Tarea | Descripción |
|---|---|
|
Puede usar los paneles de CloudTrail Lake para visualizar los eventos en los almacenes de datos de eventos que recopilan eventos de administración, eventos de datos de S3 o eventos de Insights. |
|
|
Configure su almacén de datos de eventos para registrar los eventos de administración de solo lectura, solo de escritura o todos los eventos de administración. De forma predeterminada, los almacenes de datos de eventos registran los eventos de administración. |
|
|
Configure su almacén de datos de eventos para registrar eventos de datos. Puede utilizar selectores de eventos avanzados para filtrar los |
|
Configure sus almacenes de datos de eventos para que registren los eventos de Insights y le ayuden a identificar y responder a las actividades inusuales asociadas a API las llamadas de la administración. Para obtener más información, consulte Registro de eventos de Insights. Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para más información, consulte Precios de AWS CloudTrail |
|
Puede copiar los eventos de la ruta a un banco de datos de eventos nuevo o existente para crear una point-in-time instantánea de los eventos registrados en la ruta. |
|
Puede federar un banco de datos de eventos para ver los metadatos asociados al banco de datos de eventos en el catálogo de AWS Glue datos y ejecutar SQL consultas sobre los datos del evento con Amazon Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. |
|
Detenga o inicie la ingesta de eventos en un banco de datos de eventos |
Puede detener e iniciar la ingesta de eventos en los almacenes de datos de eventos que recopilan eventos CloudTrail de administración y datos o elementos de AWS Config configuración. |
Puede usar las integraciones de CloudTrail Lake para registrar y almacenar datos de actividad de AWS los usuarios desde fuera o desde cualquier fuente en sus entornos híbridos, como aplicaciones internas o SaaS alojadas en las instalaciones o en la nube, máquinas virtuales o contenedores. Para obtener información sobre los socios de integración disponibles, consulte AWS CloudTrail Lake Integrations. |
|
Vea las consultas de muestra de Lake en la consola CloudTrail |
La CloudTrail consola proporciona una serie de consultas de ejemplo que pueden ayudarle a empezar a escribir sus propias consultas. |
Las consultas CloudTrail se crean enSQL. Puede crear una consulta en la pestaña CloudTrail Lake Editor escribiéndola SQL desde cero o abriendo una consulta guardada o de muestra y editándola. |
|
|
Al ejecutar una consulta, puede guardar los resultados de la consulta en un bucket de S3. |
|
Puede descargar un CSV archivo que contenga los resultados de las consultas de CloudTrail Lake guardadas. |
|
Puede utilizar CloudTrail la validación de integridad de los resultados de la consulta para determinar si los resultados de la consulta se modificaron, eliminaron o no cambiaron después de CloudTrail enviarlos al bucket de S3. |
Para obtener más información sobre CloudTrail Lake, consulteTrabajando con AWS CloudTrail lago.
CloudTrail Los almacenes de datos y las consultas sobre eventos de Lake conllevan cargos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Cuando ejecuta consultas en Lake, paga según la cantidad de datos escaneados. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios
CloudTrail senderos
Un registro de seguimiento es una configuración que permite la entrega de eventos a un bucket de Amazon S3 que especifique. También puedes publicar y analizar eventos de una ruta con Amazon CloudWatch Logs y Amazon EventBridge.
Los senderos pueden registrar eventos CloudTrail de administración, eventos de datos y eventos de Insights.
Puedes crear rutas multirregionales o de una sola región para ti. Cuenta de AWS
- Rutas multirregionales
-
Al crear un registro multirregional, CloudTrail registra todos los eventos de la AWS partición Regiones de AWS en la que está trabajando y envía los archivos de registro de CloudTrail eventos a un depósito de S3 que especifique. Si Región de AWS se añade una tras crear una ruta multirregional, esa nueva región se incluye automáticamente y los eventos de esa región se registran. Crear un registro de seguimiento de varias regiones es una práctica recomendada, ya que registra actividad en todas las regiones de su cuenta. Todos los senderos que crees con la CloudTrail consola son multirregionales. Puede convertir un sendero de una sola región en un sendero multirregional utilizando el. AWS CLI Para obtener más información, consulte Creación de un registro de seguimiento en la consola y Conversión de un registro de seguimiento que se aplica a una sola región en uno que se aplique a todas las regiones.
- Senderos de una sola región
-
Al crear un sendero de una sola región, CloudTrail registra los eventos solo en esa región. A continuación, entrega los archivos de registro de CloudTrail eventos a un bucket de Amazon S3 que usted especifique. Solo puede crear un registro de seguimiento de una sola región mediante la AWS CLI. Si crea rutas individuales adicionales, puede hacer que esas rutas entreguen los archivos de registro de CloudTrail eventos en el mismo depósito de S3 o en depósitos separados. Esta es la opción predeterminada cuando se crea un sendero con AWS CLI o el CloudTrail API. Para obtener más información, consulte Creación, actualización y gestión de senderos con el AWS CLI.
nota
Puede especificar un bucket de Amazon S3 desde cualquier región para ambos tipos de registro de seguimiento.
Si ha creado una organización en AWS Organizations, puede crear un registro de la organización que registre todos los eventos de todas AWS las cuentas de esa organización. Los registros organizativos se pueden aplicar a todas AWS las regiones o a la región actual. Los registros de seguimiento de organización deben crearse mediante la cuenta de administración o la cuenta del administrador delegado, y, cuando se especifica que se aplican a una organización, se aplican de forma automática a todas las cuentas miembro de la organización. Las cuentas de los miembros pueden ver el registro de la organización, pero no pueden modificarlo ni eliminarlo. De forma predeterminada, las cuentas de miembro no tendrán acceso a los archivos de registros del registro de seguimiento de una organización en el bucket de Amazon S3.
De forma predeterminada, al crear un registro en la CloudTrail consola, los archivos de registro de eventos se cifran con una KMS clave. Si decide no habilitar SSE el KMScifrado, sus registros de eventos se cifrarán mediante el cifrado del lado del servidor de Amazon S3 ()SSE. Puede almacenar sus archivos de registro en el bucket de durante el tiempo que quiera. También puede definir reglas de ciclo de vida de Amazon S3 para archivar o eliminar archivos de registros de forma automática. Si quieres recibir notificaciones sobre la entrega y validación de archivos de registro, puedes configurar SNS las notificaciones de Amazon.
CloudTrail publica los archivos de registro varias veces por hora, aproximadamente cada 5 minutos. Estos archivos de registro contienen API las llamadas de los servicios de la cuenta que lo admiten CloudTrail. Para obtener más información, consulte CloudTrail servicios e integraciones compatibles.
nota
CloudTrail normalmente entrega los registros en un promedio de unos 5 minutos después de una API llamada. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el Acuerdo de nivel de servicios de AWS CloudTrail
Si configuras mal la ruta (por ejemplo, si no se puede acceder al depósito de S3), CloudTrail intentarás volver a entregar los archivos de registro en tu depósito de S3 durante 30 días. Estos attempted-to-deliver eventos estarán sujetos a los cargos estándar. CloudTrail Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.
CloudTrail captura las acciones realizadas directamente por el usuario o en nombre del usuario por un servicio. AWS Por ejemplo, una AWS CloudFormation CreateStack llamada puede generar API llamadas adicionales a AmazonEC2, Amazon RDSEBS, Amazon u otros servicios según lo requiera la AWS CloudFormation plantilla. Este comportamiento es normal y previsible. En ese CloudTrail caso, puedes identificar si la acción fue realizada por un AWS servicio con el invokedby campo.
La siguiente tabla proporciona información sobre las tareas que puede realizar en los senderos.
| Tarea | Descripción |
|---|---|
|
Configure sus rutas para registrar los eventos de administración de solo lectura, solo de escritura o todos los eventos de administración. |
|
|
Puede utilizar selectores de eventos avanzados para crear selectores detallados que registren solo los eventos de datos que le interesen. Si utilizas selectores de eventos avanzados, puedes filtrar el |
|
|
Configura tus rutas para registrar los eventos de Insights y ayudarte a identificar y responder a las actividades inusuales asociadas a las API llamadas de la gerencia. Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener más información, consulte AWS CloudTrail Precios |
|
|
Después de activar CloudTrail Insights en una ruta, puede ver hasta 90 días de eventos de Insights mediante la CloudTrail consola o el AWS CLI. |
|
|
Después de activar CloudTrail Insights en una ruta, puedes descargar un JSON archivo CSV o un archivo que contenga los eventos de Insights de los últimos 90 días para tu ruta. |
|
|
Puede copiar los eventos de senderos existentes a un banco de datos de eventos de CloudTrail Lake para crear una point-in-time instantánea de los eventos registrados en el sendero. |
|
|
Suscríbase a un tema para recibir notificaciones sobre el envío de archivos de registros a su bucket. Amazon SNS puede notificarte de varias formas, incluso mediante programación con Amazon Simple Queue Service. notaSi desea recibir SNS notificaciones sobre las entregas de archivos de registro de todas las regiones, especifique solo un SNS tema para su ruta. Si desea procesar todos los eventos mediante programación, consulte Uso de la biblioteca CloudTrail de procesamiento. |
|
|
Busque y descargue sus archivos de registro del bucket de S3. |
|
|
Puede configurar su ruta para enviar los eventos a CloudWatch los registros. Luego, puedes usar CloudWatch los registros para monitorear tu cuenta en busca de API llamadas y eventos específicos. notaSi configuras un registro que se aplique a todas las regiones para enviar eventos a un grupo de CloudWatch registros, CloudTrail envía los eventos de todas las regiones a un solo grupo de registros. |
|
|
El cifrado de archivos de registros proporciona una capa adicional de seguridad para sus archivos de registros. |
|
|
La validación de la integridad de los archivos de registro le ayuda a comprobar que los archivos de registro no han cambiado desde que CloudTrail se entregaron. |
|
|
Puede compartir archivos de registros entre cuentas. |
|
|
Puede agrupar archivos de registros de varias cuentas en un solo bucket. |
|
|
Analice sus CloudTrail resultados con una solución asociada que se integre con CloudTrail. Las soluciones de los socios ofrecen un amplio conjunto de capacidades, como el seguimiento de cambios, la solución de problemas y el análisis de seguridad. |
Puede enviar una copia de sus eventos de administración en curso a su bucket de S3 sin coste alguno CloudTrail mediante la creación de un registro; sin embargo, hay cargos por almacenamiento en Amazon S3. Para obtener más información sobre CloudTrail los precios, consulte AWS CloudTrail Precios
CloudTrail Eventos de Insights
AWS CloudTrail Los conocimientos ayudan a AWS los usuarios a identificar y responder a las actividades inusuales asociadas a las API llamadas y las tasas de API error mediante el análisis continuo de los eventos CloudTrail de gestión. CloudTrail Insights analiza sus patrones normales de volumen de API llamadas y tasas de API error, también denominados valores de referencia, y genera eventos de Insights cuando el volumen de llamadas o las tasas de error están fuera de los patrones normales. Los eventos de Insights sobre el volumen de API llamadas se generan para la write administraciónAPIs, y los eventos de Insights sobre la tasa de API errores se generan tanto read para la administración como para write la administraciónAPIs.
De forma predeterminada, los CloudTrail registros y los almacenes de datos de eventos no registran los eventos de Insights. Debe configurar su banco de datos de senderos o eventos para registrar los eventos de Insights. Para obtener más información, consulte Registrar los eventos de Insights con el AWS Management Console y Registrar los eventos de Insights con el AWS Command Line Interface.
Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener más información, consulte AWS CloudTrail Precios
Visualización de los eventos de Insights para las rutas y los almacenes de datos de eventos
CloudTrail admite los eventos de Insights tanto para los senderos como para los almacenes de datos de eventos; sin embargo, existen algunas diferencias en la forma de ver y acceder a los eventos de Insights.
Visualización de eventos de Insights para registros de seguimiento
Si tienes activados los eventos de Insights en una ruta y CloudTrail detecta una actividad inusual, los eventos de Insights se registran en una carpeta o prefijo diferente en el depósito de S3 de destino de tu ruta. También puede ver el tipo de información y el período de tiempo del incidente al ver los eventos de Insights en la CloudTrail consola. Para obtener más información, consulte Visualización de eventos de CloudTrail Insights para senderos con la consola.
Tras activar CloudTrail Insights por primera vez en una ruta, el primer evento de Insights puede tardar hasta 36 horas en generarse si se detecta una actividad inusual. CloudTrail
Visualización de eventos de Insights para los almacenes de datos de eventos
Para registrar los eventos de Insights en CloudTrail Lake, necesita un almacén de datos de eventos de destino que registre los eventos de Insights y un banco de datos de eventos de origen que habilite Insights y registre los eventos de administración. Para obtener más información, consulte Cree un banco de datos de eventos para los eventos de Insights con la consola.
Tras activar CloudTrail Insights por primera vez en el banco de datos de eventos de origen, el primer evento de Insights puede tardar hasta 7 días en enviarse al banco de datos de eventos de destino si se detecta una actividad inusual. CloudTrail
Si tiene CloudTrail Insights activado en un banco de datos de eventos de origen y CloudTrail detecta actividades inusuales, CloudTrail envía los eventos de Insights al banco de datos de eventos de destino. A continuación, puede consultar el banco de datos de eventos de destino para obtener información sobre sus eventos de Insights y, si lo desea, puede guardar los resultados de la consulta en un depósito de S3. Para obtener más información, consulte Cree o edite una consulta con la consola CloudTrail y Vea ejemplos de consultas con la CloudTrail consola.
Puede ver el panel de Insights Events para visualizar los eventos de Insights en su banco de datos de eventos de destino. Para obtener más información acerca de los paneles de Lake, consulte Vea los tableros de CloudTrail Lake con la consola CloudTrail .
CloudTrail canales
CloudTrail admite dos tipos de canales:
- Canales para la integración de CloudTrail Lake con fuentes de eventos ajenas a AWS
-
CloudTrail Lake usa los canales para llevar eventos de fuera de CloudTrail Lake AWS a través de socios externos con los que CloudTrail trabajas o de tus propias fuentes. Cuando crea un canal, elige uno o más almacenes de datos de eventos para almacenar los eventos que llegan del origen del canal. Puede cambiar los almacenes de datos de eventos de destino de un canal según sea necesario, siempre que los almacenes de datos de eventos de destino estén configurados para registrar los eventos de actividad de registros. Cuando crea un canal para eventos de un socio externo, proporciona un canal ARN al socio o a la aplicación de origen. La política de recursos asociada al canal permite que el origen transmita eventos a través del canal. Para obtener más información, consulte Cree una integración con una fuente de eventos externa a AWS y
CreateChannelen la AWS CloudTrail APIReferencia. - Canales vinculados a servicios
-
AWS los servicios pueden crear un canal vinculado al servicio para recibir CloudTrail eventos en su nombre. El AWS servicio que crea el canal vinculado al servicio configura selectores de eventos avanzados para el canal y especifica si el canal se aplica a todas las regiones o a la región actual.
Puede usar la CloudTrail consola o ver información sobre cualquier AWS CLIcanal vinculado a un CloudTrail servicio creado por. Servicios de AWS
