Cree un banco de datos de eventos para los eventos de Insights con la consola - AWS CloudTrail
Cómo crear un almacén de datos de eventos de destino que registre los eventos de InsightsPara crear un almacén de datos de eventos de origen que habilite los eventos de Insights

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree un banco de datos de eventos para los eventos de Insights con la consola

AWS CloudTrail Los conocimientos ayudan a AWS los usuarios a identificar y responder a las actividades inusuales asociadas a las API llamadas y las tasas de API error mediante el análisis continuo de los eventos CloudTrail de gestión. CloudTrail Insights analiza sus patrones normales de volumen de API llamadas y tasas de API error, también denominados valores de referencia, y genera eventos de Insights cuando el volumen de llamadas o las tasas de error están fuera de los patrones normales. Los eventos de Insights sobre el volumen de API llamadas se generan para la write administraciónAPIs, y los eventos de Insights sobre la tasa de API errores se generan tanto read para la administración como para write la administraciónAPIs.

Para registrar los eventos de Insights en CloudTrail Lake, necesita un almacén de datos de eventos de destino que registre los eventos de Insights y un banco de datos de eventos de origen que habilite Insights y registre los eventos de administración.

nota

Para registrar los eventos de Insights según el volumen de API llamadas, el banco de datos de eventos de origen debe registrar los eventos write de administración. Para registrar los eventos de Insights en API función de la tasa de errores, el banco de datos de eventos de origen debe registrar read o write gestionar los eventos.

Si tiene CloudTrail Insights activado en un banco de datos de eventos de origen y CloudTrail detecta actividades inusuales, CloudTrail envía los eventos de Insights al banco de datos de eventos de destino. A diferencia de otros tipos de eventos capturados en un CloudTrail banco de datos de eventos, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el API uso de su cuenta que difieren significativamente de los patrones de uso típicos de la cuenta.

Tras activar CloudTrail Insights por primera vez en un banco de datos de eventos, el primer evento de Insights puede tardar hasta 7 días en publicarse si se detecta una actividad inusual. CloudTrail

CloudTrail Insights analiza los eventos de gestión que se producen en una sola región, no a nivel mundial. Un evento de CloudTrail Insights se genera en la misma región en la que se generan los eventos de gestión complementarios.

En el caso de un banco de datos de eventos de la organización, CloudTrail analiza los eventos de gestión de la cuenta de cada miembro en lugar de analizar la agregación de todos los eventos de gestión de la organización.

Se aplican cargos adicionales por la ingesta de eventos de Insights en CloudTrail Lake. Se te cobrará por separado si activas Insights tanto para los almacenes de datos de los senderos como para los de eventos de CloudTrail Lake. Para obtener información sobre CloudTrail los precios, consulta AWS CloudTrail los precios.

Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights

Al crear un almacén de datos de eventos de Insights, tiene la opción de elegir un almacén de datos de eventos de origen existente que registre los eventos de administración y, a continuación, especificar los tipos de Insights que desea recibir. O bien, puede habilitar Insights en un almacén de datos de eventos nuevo o existente después de crear su almacén de datos de eventos de Insights y, a continuación, elegir este almacén de datos de eventos como el almacén de datos de eventos de destino.

En este procedimiento, se muestra cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights.

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, abra el submenú Lake (Lago) y, a continuación, elija Event data stores (Almacenes de datos de eventos).

  3. Elija Create event data store (Crear almacén de datos de eventos).

  4. En la página Configure event data store (Configurar el almacén de datos de eventos), en General details (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.

  5. Elija la Opción de precios que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

    Están disponibles las siguientes opciones:

    • Precio de retención ampliable por un año: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio determinado. Esta es la opción predeterminada.

      • Periodo de retención predeterminado: 366 días.

      • Periodo máximo de retención: 3653 días.

    • Precio de retención ampliable por un año: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.

      • Periodo de retención predeterminado: 2557 días.

      • Periodo máximo de retención: 2557 días.

  6. Especifique un periodo de retención en días para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción Precios de retención ampliables por un año, o entre 7 días y 2557 días (unos siete años) para la opción Precios de retención por siete años. El almacén de datos de eventos retiene los datos de eventos durante el número especificado de días.

  7. (Opcional) Para habilitar el cifrado AWS Key Management Service, selecciona Usar el mío AWS KMS key. Elija Nuevo para que AWS KMS key se cree una para usted, o bien elija Existente para usar una KMS clave existente. En Introducir KMS alias, especifique un alias en el formato alias/MyAliasName. El uso de su propia KMS clave requiere que edite su política de KMS claves para permitir el cifrado y descifrado de los CloudTrail registros. Para obtener más información, consulteConfigurar políticas AWS KMS clave para CloudTrail. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

    El uso de su propia KMS clave conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una KMS clave, la KMS clave no se puede quitar ni cambiar.

    nota

    Para habilitar el AWS Key Management Service cifrado del almacén de datos de eventos de una organización, debe usar una KMS clave existente para la cuenta de administración.

  8. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija Habilitar en Federación de consultas de Lake. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el catálogo de AWS Glue datos y ejecutar SQL consultas con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.

    Para habilitar la federación de consultas de Lake, seleccione Habilitar y, a continuación, haga lo siguiente:

    1. Elija si desea crear un rol nuevo o usar uno existenteIAM. AWS Lake Formationusa este rol para administrar los permisos del banco de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

    2. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.

    3. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta.

  9. (Opcional) En la sección Tags (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar IAM las políticas para autorizar el acceso a un almacén de datos de eventos en función de las etiquetas, consulteEjemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas. Para obtener más información sobre cómo utilizar las etiquetas AWS, consulte Etiquetar AWS los recursos en la Guía del usuario sobre cómo etiquetar AWS los recursos.

  10. Elija Next (Siguiente) para configurar el almacén de datos de eventos.

  11. En la página Elegir eventos, elija eventos y, a continuación, elija AWS eventos de CloudTrailInsights.

  12. En los eventos de CloudTrail Insights, haga lo siguiente.

    1. Seleccione Permitir el acceso de administrador delegado si desea conceder al administrador delegado de su organización el acceso a este almacén de datos de eventos. Esta opción solo está disponible si ha iniciado sesión con la cuenta de administración de una AWS Organizations organización.

    2. (Opcional) Elija un almacén de datos de eventos de origen existente que registre los eventos de administración y especifique los tipos de Insights que desea recibir.

      Para agregar un almacén de datos de origen, realice lo siguiente.

      1. Elija Agregar almacén de datos de eventos de origen.

      2. Elija el almacén de datos de eventos de origen.

      3. Elija el tipo de Insights que desea recibir.

        • ApiCallRateInsight— El tipo ApiCallRateInsight Insights analiza las API llamadas de administración solo por escritura que se agregan por minuto en comparación con un volumen de API llamadas básico. Para recibir Insights en ApiCallRateInsight, el almacén de datos de eventos de origen debe registrar los eventos de administración Escritura.

        • ApiErrorRateInsight— El tipo ApiErrorRateInsight Insights analiza las API llamadas de administración que generan códigos de error. El error se muestra si la API llamada no se realiza correctamente. Para recibir Insights en ApiErrorRateInsight, el almacén de datos de eventos de origen debe registrar los eventos de administración Escritura o Lectura.

      4. Repita los dos pasos anteriores (ii y iii) para agregar cualquier tipo de Insights adicional que desee recibir.

  13. Elija Next (Siguiente) para revisar las opciones seleccionadas.

  14. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija Create event data store (Crear almacén de datos de eventos).

  15. El nuevo almacén de datos de eventos aparece en la tabla Almacenes de datos de eventos de la página Almacenes de datos de eventos.

  16. Si no eligió un almacén de datos de eventos de origen en el paso 10, siga los pasos que se indican en Para crear un almacén de datos de eventos de origen que habilite los eventos de Insights para crear un almacén de datos de eventos de origen.

Para crear un almacén de datos de eventos de origen que habilite los eventos de Insights

Este procedimiento le muestra cómo crear un almacén de datos de eventos de origen que habilite los eventos de Insights y registre los eventos de administración.

  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, abra el submenú Lake (Lago) y, a continuación, elija Event data stores (Almacenes de datos de eventos).

  3. Elija Create event data store (Crear almacén de datos de eventos).

  4. En la página Configure event data store (Configurar el almacén de datos de eventos), en General details (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.

  5. Elija la Opción de precios que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

    Están disponibles las siguientes opciones:

    • Precio de retención ampliable por un año: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio determinado. Esta es la opción predeterminada.

      • Periodo de retención predeterminado: 366 días.

      • Periodo máximo de retención: 3653 días.

    • Precio de retención ampliable por un año: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.

      • Periodo de retención predeterminado: 2557 días.

      • Periodo máximo de retención: 2557 días.

  6. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción Precios de retención ampliables por un año, o entre 7 días y 2557 días (unos siete años) para la opción Precios de retención por siete años.

    CloudTrail Lake determina si se debe retener un evento comprobando si el eventTime evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando eventTime tengan más de 90 días.

  7. (Opcional) Para habilitar el cifrado mediante AWS Key Management Service, selecciona Usar el mío AWS KMS key. Elija Nuevo para que AWS KMS key se cree una para usted, o bien elija Existente para usar una KMS clave existente. En Introducir KMS alias, especifique un alias en el formato alias/MyAliasName. El uso de su propia KMS clave requiere que edite su política de KMS claves para permitir el cifrado y descifrado de los CloudTrail registros. Para obtener más información, consulteConfigurar políticas AWS KMS clave para CloudTrail. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

    El uso de su propia KMS clave conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una KMS clave, la KMS clave no se puede quitar ni cambiar.

    nota

    Para habilitar el AWS Key Management Service cifrado del almacén de datos de eventos de una organización, debe usar una KMS clave existente para la cuenta de administración.

  8. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija Habilitar en Federación de consultas de Lake. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el catálogo de AWS Glue datos y ejecutar SQL consultas con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.

    Para habilitar la federación de consultas de Lake, seleccione Habilitar y, a continuación, haga lo siguiente:

    1. Elija si desea crear un rol nuevo o usar uno existenteIAM. AWS Lake Formationusa este rol para administrar los permisos del banco de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

    2. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.

    3. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta.

  9. (Opcional) En la sección Tags (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar IAM las políticas para autorizar el acceso a un almacén de datos de eventos en función de las etiquetas, consulteEjemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas. Para obtener más información sobre cómo utilizar las etiquetas AWS, consulte Etiquetar AWS los recursos en la Guía del usuario sobre cómo etiquetar AWS los recursos.

  10. Elija Next (Siguiente) para configurar el almacén de datos de eventos.

  11. En la página Elegir eventos, elija AWS eventos y, a continuación, elija CloudTrail eventos.

  12. En CloudTrail eventos, deje seleccionada la opción Eventos de administración.

  13. Para que su almacén de datos de eventos recopile eventos de todas las cuentas de una organización de AWS Organizations , seleccione Enable for all accounts in my organization (Activar en todas las cuentas de mi organización). Debe iniciar sesión en la cuenta de administración de la organización para crear un almacén de datos de eventos que habilite Insights.

  14. Expanda la opción Configuración adicional para elegir si desea que el banco de datos de eventos recopile los eventos de todos los Regiones de AWS eventos o solo los actuales Región de AWS, y elija si el banco de datos de eventos los incorpora. De forma predeterminada, el almacén de datos de eventos recopila los eventos de todas las regiones de la cuenta y comienza a ingerirlos cuando se crea.

    1. Seleccione Incluir solo la región actual en el almacén de datos de eventos si desea incluir solo los eventos registrados en la región actual. Si no elige esta opción, su almacén de datos de eventos incluirá eventos de todas las regiones.

    2. Deje los eventos de incorporación seleccionados.

  15. Elija el tipo de eventos de administración que desea incluir en él. Puede elegir Lectura, Escritura o ambas opciones. Se necesita una como mínimo.

    nota

    Para registrar los eventos de Insights según el volumen de API llamadas, el banco de datos de eventos debe registrar los eventos write de administración. Para registrar los eventos de Insights en API función de la tasa de errores, el almacén de datos de eventos debe registrar read o write gestionar los eventos.

  16. Puede optar por excluir AWS Key Management Service o excluir RDS los API eventos de Amazon Data del almacén de datos de eventos. Para obtener más información sobre estas opciones, consulte Registro de eventos de administración.

  17. Seleccione Habilitar Insights.

  18. En Habilitar Insights, elija el almacén de eventos de destino que registrará los eventos de Insights. El almacén de datos de eventos de destino recopilará los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos. Para obtener información acerca de cómo crear un almacén de datos de eventos de destino, consulte Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights.

  19. Elija los tipos de Insights. Puedes elegir la tasa de API llamadas, la tasa de API errores o ambas. Debes registrar los eventos de administración de Write para registrar los eventos de Insights para la tasa de API llamadas. Debe registrar los eventos de administración de lectura o escritura para registrar los eventos de Insights para conocer la tasa de API errores.

  20. Elija Next (Siguiente) para revisar las opciones seleccionadas.

  21. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija Create event data store (Crear almacén de datos de eventos).

  22. El nuevo almacén de datos de eventos aparece en la tabla Almacenes de datos de eventos de la página Almacenes de datos de eventos.

    A partir de este momento, el almacén de datos de eventos captura los eventos que coinciden con sus selectores de eventos avanzados. Después de activar CloudTrail Insights por primera vez en el banco de datos de eventos de origen, el primer evento de Insights puede tardar hasta 7 días en enviarse al banco de datos de eventos de destino si se detecta una actividad inusual. CloudTrail

    Puede ver el panel de control de CloudTrail Lake para visualizar los eventos de Insights en el banco de datos de eventos de su destino. Para obtener más información acerca de los paneles de Lake, consulte Vea los tableros de CloudTrail Lake con la consola CloudTrail .

Se aplican cargos adicionales por la ingesta de eventos de Insights en CloudTrail Lake. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener información sobre CloudTrail los precios, consulte AWS CloudTrail Precios.