Habilitar o log de eventos do CloudTrail para buckets e objetos do S3
Você pode usar eventos de dados do CloudTrail para obter informações sobre solicitações no nível do bucket e do objeto no Amazon S3. Para habilitar eventos de dados do CloudTrail para todos os seus buckets ou para uma lista de buckets específicos, você deve criar uma trilha manualmente no CloudTrail.
nota
-
A configuração padrão para o CloudTrail é encontrar somente eventos de gerenciamento. Verifique se os eventos de dados estão habilitados para sua conta.
-
Com um bucket do S3 que está gerando uma workload elevada, você poderia rapidamente gerar milhares de logs em um curto período. Esteja atento a quanto tempo você escolhe para habilitar eventos de dados do CloudTrail para um bucket ocupado.
O CloudTrail armazena logs de eventos de dados do Amazon S3 em um bucket do S3 de sua escolha. Você deve considerar a possibilidade de usar um bucket em uma Conta da AWS separada para organizar melhor os eventos de vários buckets que você venha a ter em um local central para facilitar a consulta e a análise. O AWS Organizations ajuda você a criar uma Conta da AWS vinculada à conta que é proprietária do bucket que está sendo monitorado. Para obter mais informações, consulte O que é o AWS Organizations? no Guia do usuário do AWS Organizations.
Ao registrar eventos de dados de uma trilha no CloudTrail, é possível optar por usar seletores de eventos avançados ou básicos para registrar eventos de dados para objetos armazenados em buckets de uso geral. Para registrar eventos de dados de objetos armazenados em buckets de diretório, é necessário usar seletores de eventos avançados. Para ter mais informações, consulte Logging with AWS CloudTrail for S3 Express One Zone.
Ao criar uma trilha no console do CloudTrail usando seletores de eventos avançados, na seção de eventos de dados, é possível selecionar Registrar todos os eventos no Modelo de seletor de log para registrar em log todos os eventos no nível de objeto. Ao criar uma trilha no console do CloudTrail usando seletores de eventos básicos, na seção de eventos de dados, marque a caixa de seleção Selecionar todos os buckets do S3 em sua conta para registrar em log todos os eventos no nível de objeto.
nota
-
É uma prática recomendada criar uma configuração de ciclo de vida para o bucket de evento de dados do AWS CloudTrail. Configure a configuração de ciclo de vida para remover periodicamente arquivos de log após o período que você acredita ser necessário auditá-los. Fazer isso reduz a quantidade de dados que o Athena analisa para cada consulta. Para obter mais informações, consulte Definir uma configuração do Ciclo de Vida do S3 em um bucket.
-
Para obter mais informações sobre o formato do registro em log, consulte Registrar chamadas de API do Amazon S3 em log usando AWS CloudTrail.
-
Para obter exemplos de como consultar logs do CloudTrail, consulte a publicação do Blog sobre big data da AWS Análise da segurança, compatibilidade e atividade operacional usando o AWS CloudTrail e o Amazon Athena
.
Habilitar o registro em log de objetos em um bucket usando o console
Você pode usar o console do Amazon S3 para configurar uma trilha do AWS CloudTrail e registrar em log eventos de dados de objetos em um bucket do S3. O CloudTrail oferece suporte ao registro em log de operações de API no nível do objeto do Amazon S3, como GetObject
, DeleteObject
e PutObject
. Esses eventos são chamados de eventos de dados.
Por padrão, as trilhas do CloudTrail não registram em log eventos de dados, mas é possível configurar as trilhas para registrar eventos de dados para buckets do S3 que você especificar, ou para registrar eventos de dados para todos os buckets do Amazon S3 em sua Conta da AWS. Para obter mais informações, consulte Registrar chamadas de API do Amazon S3 em log usando AWS CloudTrail.
O CloudTrail não preenche eventos de dados no histórico de eventos do CloudTrail. Além disso, nem todas as ações no nível do bucket são preenchidas no histórico de eventos do CloudTrail. Para obter mais informações sobre ações de API no nível do bucket do Amazon S3 monitoradas pelo registro em log do CloudTrail, consulte Ações de buckets do Amazon S3 rastreadas pelo registro em log do CloudTrail. Para obter mais informações sobre como consultar os logs do CloudTrail, consulte o artigo da Central de Conhecimento da AWS que fala sobre o uso de padrões de filtro do Amazon CloudWatch Logs e o Amazon Athena para consultar logs do CloudTrail
Para configurar uma trilha para registrar em log eventos de dados para um bucket do S3, você pode usar o console do AWS CloudTrail ou o console do Amazon S3. Se você estiver configurando uma trilha para registrar em log eventos de dados para todos os buckets do Amazon S3 na sua Conta da AWS, será mais fácil usar o console do CloudTrail. Para obter informações sobre como usar o console do CloudTrail para configurar uma trilha para registrar em log eventos de dados do S3, consulte Eventos de dados no Guia do usuário do AWS CloudTrail.
Importante
Há cobranças adicionais para eventos de dados. Para obter mais informações, consulte Definição de preço do AWS CloudTrail
O procedimento a seguir mostra como usar o console do Amazon S3 para configurar uma trilha do CloudTrail para registrar em log eventos de dados para um bucket do S3.
Como habilitar o registro em log de eventos de dados do CloudTrail para objetos em um bucket de uso geral do S3 ou em um bucket de diretório do S3
Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Na lista Buckets, escolha o nome do bucket.
-
Escolha Properties (Propriedades).
-
Em Eventos de dados do AWS CloudTrail, selecione Configurar no CloudTrail.
Você pode criar uma nova trilha do CloudTrail ou reutilizar uma trilha existente e configurar eventos de dados do Amazon S3 para serem registrados em sua trilha. Para obter informações sobre como criar trilhas no console do CloudTrail, consulte Criação e atualização de uma trilha com o console no Guia do usuário do AWS CloudTrail. Para obter informações sobre como configurar o registro em log de eventos de dados do Amazon S3 no console do CloudTrail, consulte Registro em log de eventos de dados para objetos do Amazon S3 no Guia do usuário do AWS CloudTrail.
nota
Se você usar o console do CloudTrail ou o console do Amazon S3 para configurar uma trilha para registro em log de eventos de dados para um bucket do S3, o console do Amazon S3 mostra que o registro está habilitado no nível do objeto para o bucket.
Para desabilitar o registro de eventos de dados do CloudTrail para objetos em um bucket do S3
Faça login no AWS Management Console e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/
. -
No painel de navegação à esquerda, selecione Trilhas.
-
Escolha o nome da trilha que você criou para registrar eventos para o bucket.
-
Na página de detalhes da trilha, escolha Parar o registro no canto superior direito.
-
Na caixa de diálogo exibida, selecione Parar o registro.
Para obter informações sobre como habilitar o registro no nível do objeto ao criar um bucket do S3, consulte Criação de um bucket.
Para obter mais informações sobre o registro em log do CloudTrail com buckets do S3, consulte os seguintes tópicos: