Envío de eventos a Amazon CloudWatch Logs

Si configura el registro de seguimiento para enviar eventos a CloudWatch Logs, CloudTrail solo envía los eventos que coinciden con la configuración de este registro. Por ejemplo, si configura el registro de seguimiento para registrar solo eventos de datos, dicho registro de seguimiento envía los eventos de datos solo al grupo de registros de CloudWatch Logs. CloudTrail admite el envío de datos, información y eventos de administración a CloudWatch Logs. Para obtener más información, consulte Trabajar con archivos de registros de CloudTrail.

nota

Solo la cuenta de administración puede configurar un grupo de registro de CloudWatch Logs para un registro de seguimiento de la organización mediante la consola. El administrador delegado puede configurar un grupo de registro de CloudWatch Logs con la AWS CLI o operaciones CreateTrail o UpdateTrail de la API de CloudTrail.

Para enviar eventos a un grupo de registros de CloudWatch Logs:

• Asegúrese de tener permisos suficientes para crear o especificar un rol de IAM. Para obtener más información, consulte Concesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la CloudTrail consola.

• Si configura el grupo de registro de CloudWatch Logs con la AWS CLI, asegúrese de que posee permisos suficientes para crear un flujo de registro de CloudWatch Logs en el grupo de registro que especifique y enviar eventos de CloudTrail a dicho flujo de registro. Para obtener más información, consulte Creación de un documento de políticas.

• Cree un nuevo registro de seguimiento o especifique uno existente. Para obtener más información, consulte Creación y actualización de un registro de seguimiento con la consola.

• Cree un grupo de registros o especifique uno existente.

• Especifique un rol de IAM. Si modifica un rol de IAM existente para un registro de seguimiento de organización, debe actualizar manualmente la política para permitir el registro del registro de seguimiento de organización. Para obtener más información, consulte este ejemplo de política y Creación de un registro de seguimiento para una organización.

• Asocie una política de rol o utilice la opción predeterminada.

Contenido

• Configuración del monitoreo de CloudWatch Logs con la consola
  • Creación de un grupo de registros o especificación de un grupo de registros existente
  • Especificación de un rol de IAM
  • Visualizar eventos en la consola de CloudWatch
• Configuración del monitoreo de CloudWatch Logs con la AWS CLI
  • Creación de un grupo de registros
  • Creación de un rol
  • Creación de un documento de políticas
  • Actualización del registro de seguimiento
• Limitación

Configuración del monitoreo de CloudWatch Logs con la consola

Puede utilizar la AWS Management Console para configurar su registro de seguimiento y enviar eventos a CloudWatch Logs con fines de monitoreo.

Creación de un grupo de registros o especificación de un grupo de registros existente

CloudTrail utiliza un grupo de registros de CloudWatch Logs como punto de enlace para el envío de eventos de registro. Puede crear un grupo de registros o especificar uno existente.

Para crear o especificar un grupo de registro para un registro de seguimiento existente

1. Asegúrese de registrarse con un usuario o un rol administrativo que tenga permisos suficientes para configurar la integración con Registros de CloudWatch. Para obtener más información, consulte Concesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la CloudTrail consola.

   nota

   Solo la cuenta de administración puede configurar un grupo de registro de CloudWatch Logs para un registro de seguimiento de la organización mediante la consola. El administrador delegado puede configurar un grupo de registro de CloudWatch Logs con la AWS CLI o operaciones CreateTrail o UpdateTrail de la API de CloudTrail.

2. Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.

3. Elija el nombre del registro de seguimiento. Si selecciona un registro de seguimiento aplicable a todas las regiones, se le redirigirá a la región en la que se creó. Puede crear un grupo de registro o elegir un grupo de registro existente en la misma región que el registro de seguimiento.

   nota

   Un registro de seguimiento que se aplica a todas las regiones envía archivos de registro desde todas las regiones al grupo de registro de Registros de CloudWatch que especifique.

4. En CloudWatch Logs, elija Edit (Editar).

5. En Registros de CloudWatch, seleccione Activado.

6. En Nombre del grupo de registro, seleccione Nuevo para crear un nuevo grupo de registro o Existente para usar uno existente. Si elige New (Nuevo), CloudTrail especifica un nombre para el grupo de registros nuevo o puede escribir un nombre. Para obtener más información sobre la nomenclatura, consulte Grupo de registros de CloudWatch y nomenclatura de secuencias de registros para CloudTrail.

7. Si elige Existing (Existente), elija un grupo de registros en la lista desplegable.

8. En Nombre del rol, seleccione Nuevo para crear un rol de IAM nuevo con permisos para enviar registros a Registros de CloudWatch. Elija Existing (Existente) para elegir un rol de IAM en la lista desplegable. La instrucción de la política para el rol nuevo o existente se muestra al expandir Policy document (Documento de política). Para obtener más información acerca de este rol, consulte Documento de política de roles CloudTrail para usar CloudWatch registros para monitorear.

   nota

   Cuando configura un registro de seguimiento, puede elegir un bucket de S3 y un tema de SNS que pertenezcan a otra cuenta. Sin embargo, si desea que CloudTrail envíe los eventos a un grupo de archivos de registro de CloudWatch Logs, debe elegir un grupo de archivos de registro que exista en la cuenta actual.

9. Elija Guardar cambios.

Especificación de un rol de IAM

Puede especificar el rol que debe adoptar CloudTrail para enviar eventos a la secuencia de registros.

Para especificar un rol

1. De forma predeterminada, CloudTrail_CloudWatchLogs_Role se especifica automáticamente. La política de roles predeterminada posee los permisos necesarios para crear una secuencia de registros de CloudWatch Logs en un grupo de registros que se haya especificado y para enviar eventos de CloudTrail a dicha secuencia.

   nota

   Si desea utilizar este rol para un grupo de registro para un registro de seguimiento de organización, debe modificar manualmente la política después de crear el rol. Para obtener más información, consulte este ejemplo de política y Creación de un registro de seguimiento para una organización.

   1. Para verificar el rol, vaya a la consola de AWS Identity and Access Management en https://console.aws.amazon.com/iam/.

   2. Elija Roles y, a continuación, seleccione CloudTrail_CloudWatchLogs_Role.

   3. En la pestaña Permisos, expanda la política para ver su contenido.

2. Puede especificar otro rol, pero debe adjuntar la política de roles necesaria al rol existente si desea utilizarlo para enviar eventos a CloudWatch Logs. Para obtener más información, consulte Documento de política de roles CloudTrail para usar CloudWatch registros para monitorear.

Visualizar eventos en la consola de CloudWatch

Después de configurar el registro de seguimiento para enviar eventos al grupo de registros de CloudWatch Logs, puede ver los eventos en la consola de CloudWatch. CloudTrail envía los eventos al grupo de registro cinco minutos después de hacer una llamada a la API. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el Acuerdo de nivel de servicios de AWS CloudTrail.

Para visualizar eventos en la consola de CloudWatch

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

2. En el panel de navegación de la izquierda, en Registros, seleccione Grupos de registros.

3. Elija el grupo de registros especificado para el registro de seguimiento.

4. Seleccione el flujo de registro que desea ver.

5. Para ver los detalles del evento que ha registrado el registro de seguimiento, elija un evento.

nota

La columna Time (UTC) (Hora [UTC]) de la consola de CloudWatch indica cuándo se envió el evento al grupo de registros. Para ver la hora real en la que CloudTrail registró el evento, consulte el campo eventTime.

Configuración del monitoreo de CloudWatch Logs con la AWS CLI

Puede utilizar la AWS CLI para configurar CloudTrail y enviar eventos a CloudWatch Logs con fines de monitoreo.

Creación de un grupo de registros

1. Si no dispone de un grupo de registros, cree un grupo de registros de CloudWatch Logs como un punto de enlace de envío para los eventos de registro mediante el comando create-log-group de CloudWatch Logs.

   aws logs create-log-group --log-group-name name

   El ejemplo siguiente crea un grupo de registros denominado CloudTrail/logs:

   aws logs create-log-group --log-group-name CloudTrail/logs

2. Recupere el nombre de recurso de Amazon (ARN) del grupo de registros.

   aws logs describe-log-groups

Creación de un rol

Cree un rol para CloudTrail que permita enviar eventos al grupo de registros de CloudWatch Logs. El comando create-role de IAM utiliza dos parámetros: un nombre de rol y una ruta de archivo a un documento de políticas de roles en formato JSON. El documento de políticas que utiliza concederá permisos AssumeRole a CloudTrail. El comando create-role crea el rol con los permisos necesarios.

Para crear el archivo JSON que contendrá el documento de política, abra un editor de texto y guarde el siguiente contenido de política en un archivo denominado assume_role_policy_document.json.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Ejecute el siguiente comando para crear el rol con permisos AssumeRole para CloudTrail.

aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json

Cuando el comando se complete, tome nota del ARN del rol en la salida.

Creación de un documento de políticas

Cree el siguiente documento de políticas de roles para CloudTrail. Este documento concede a CloudTrail los permisos necesarios para crear una secuencia de registros de CloudWatch Logs en el grupo de registros que especifique y enviar eventos de CloudTrail a dicha secuencia.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*"
      ]
    }
  ]
}

Guarde el documento de políticas en un archivo denominado role-policy-document.json.

Si está creando una política que podría utilizarse también para registros de seguimiento de organización, tendrá que configurarla de forma ligeramente distinta. Por ejemplo, la siguiente política concede a CloudTrail los permisos necesarios para crear una secuencia de registros de CloudWatch Logs en el grupo de registros que especifique y para enviar eventos de CloudTrail a esa secuencia de registros tanto para los registros de seguimiento de la cuenta 111111111111 de AWS como para los registros de seguimiento de la organización creados en la cuenta 111111111111 que se aplican a la organización de AWS Organizations con el ID de o-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Para obtener más información acerca de los registros de seguimiento de organización, consulte Creación de un registro de seguimiento para una organización.

Ejecute el siguiente comando para aplicar la política al rol.

aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json

Actualización del registro de seguimiento

Actualice el registro de seguimiento con el grupo de registros y la información de rol mediante el comando update-trail de CloudTrail.

aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn

Para obtener más información sobre los comandos de AWS CLI, consulte la Referencia de línea de comandos de AWS CloudTrail.

Limitación

Registros de CloudWatch y EventBridge permiten un tamaño máximo de evento de 256 KB. Aunque la mayoría de los eventos de servicio tienen un tamaño máximo de 256 KB, algunos servicios tienen eventos aún más grandes. CloudTrail no envía estos eventos a Registros de CloudWatch o EventBridge.

A partir de la versión 1.05 de eventos de CloudTrail, los eventos tienen un tamaño máximo de 256 KB. Esto es para ayudar a prevenir la explotación por parte de actores maliciosos y permitir que otros servicios de AWS, como Registros de CloudWatch y EventBridge, consuman los eventos.