Habilitar o log de eventos do CloudTrail para buckets e objetos do S3 - Amazon Simple Storage Service
Habilitar o registro em log do CloudTrail para objetos do S3

Habilitar o log de eventos do CloudTrail para buckets e objetos do S3

Você pode usar eventos de dados do CloudTrail para obter informações sobre solicitações no nível do bucket e do objeto no Amazon S3. Para habilitar eventos de dados do CloudTrail para todos os seus buckets ou para uma lista de buckets específicos, você deve criar uma trilha manualmente no CloudTrail.

nota

  • A configuração padrão para o CloudTrail é encontrar somente eventos de gerenciamento. Verifique se os eventos de dados estão habilitados para sua conta.

  • Com um bucket do S3 que está gerando uma workload elevada, você poderia rapidamente gerar milhares de logs em um curto período. Esteja atento a quanto tempo você escolhe para habilitar eventos de dados do CloudTrail para um bucket ocupado.

O CloudTrail armazena logs de eventos de dados do Amazon S3 em um bucket do S3 de sua escolha. Você deve considerar a possibilidade de usar um bucket em uma Conta da AWS separada para organizar melhor os eventos de vários buckets que você venha a ter em um local central para facilitar a consulta e a análise. O AWS Organizations ajuda você a criar uma Conta da AWS vinculada à conta que é proprietária do bucket que está sendo monitorado. Para obter mais informações, consulte O que é o AWS Organizations? no Guia do usuário do AWS Organizations.

Ao criar uma trilha no CloudTrail, na seção de eventos de dados, você pode marcar a caixa de seleção Select all S3 buckets in your account (Selecionar todos os buckets do S3 em sua conta) para registrar em log todos os eventos de objetos.

nota

Habilitar o registro em log de objetos em um bucket usando o console

Você pode usar o console do Amazon S3 para configurar uma trilha do AWS CloudTrail e registrar em log eventos de dados de objetos em um bucket do S3. O CloudTrail oferece suporte ao registro em log de operações de API no nível do objeto do Amazon S3, como GetObject, DeleteObject e PutObject. Esses eventos são chamados de eventos de dados.

Por padrão, as trilhas do CloudTrail não registram em log eventos de dados, mas é possível configurar as trilhas para registrar eventos de dados para buckets do S3 que você especificar, ou para registrar eventos de dados para todos os buckets do Amazon S3 em sua Conta da AWS. Para obter mais informações, consulte Registrar chamadas de API do Amazon S3 em log usando AWS CloudTrail.

O CloudTrail não preenche eventos de dados no histórico de eventos do CloudTrail. Além disso, nem todas as ações no nível do bucket são preenchidas no histórico de eventos do CloudTrail. Para obter mais informações sobre ações de API no nível do bucket do Amazon S3 monitoradas pelo registro em log do CloudTrail, consulte Ações de buckets do Amazon S3 rastreadas pelo registro em log do CloudTrail. Para obter mais informações sobre como consultar os logs do CloudTrail, consulte o artigo da Central de Conhecimento da AWS que fala sobre o uso de padrões de filtro do Amazon CloudWatch Logs e o Amazon Athena para consultar logs do CloudTrail.

Para configurar uma trilha para registrar em log eventos de dados para um bucket do S3, você pode usar o console do AWS CloudTrail ou o console do Amazon S3. Se você estiver configurando uma trilha para registrar em log eventos de dados para todos os buckets do Amazon S3 na sua Conta da AWS, será mais fácil usar o console do CloudTrail. Para obter informações sobre como usar o console do CloudTrail para configurar uma trilha para registrar em log eventos de dados do S3, consulte Eventos de dados no Guia do usuário do AWS CloudTrail.

Importante

Há cobranças adicionais para eventos de dados. Para obter mais informações, consulte Definição de preço do AWS CloudTrail.

O procedimento a seguir mostra como usar o console do Amazon S3 para configurar uma trilha do CloudTrail para registrar em log eventos de dados para um bucket do S3.

Para habilitar registro de eventos de dados do CloudTrail para um bucket do S3

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. Na lista Buckets, escolha o nome do bucket.

  3. Escolha Properties (Propriedades).

  4. Em Eventos de dados do AWS CloudTrail, selecione Configurar no CloudTrail.

    Você pode criar uma nova trilha do CloudTrail ou reutilizar uma trilha existente e configurar eventos de dados do Amazon S3 para serem registrados em sua trilha. Para obter informações sobre como criar trilhas no console do CloudTrail, consulte Criação e atualização de uma trilha com o console no Guia do usuário do AWS CloudTrail. Para obter informações sobre como configurar o registro em log de eventos de dados do Amazon S3 no console do CloudTrail, consulte Registro em log de eventos de dados para objetos do Amazon S3 no Guia do usuário do AWS CloudTrail.

    nota

    Se você usar o console do CloudTrail ou o console do Amazon S3 para configurar uma trilha para registro em log de eventos de dados para um bucket do S3, o console do Amazon S3 mostra que o registro está habilitado no nível do objeto para o bucket.

Para desabilitar o registro de eventos de dados do CloudTrail para objetos em um bucket do S3

  1. Faça login no AWS Management Console e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação à esquerda, selecione Trilhas.

  3. Escolha o nome da trilha que você criou para registrar eventos para o bucket.

  4. Na página de detalhes da trilha, escolha Parar o registro no canto superior direito.

  5. Na caixa de diálogo exibida, selecione Parar o registro.

Para obter informações sobre como habilitar o registro no nível do objeto ao criar um bucket do S3, consulte Criação de um bucket.

Para obter mais informações sobre o registro em log do CloudTrail com buckets do S3, consulte os seguintes tópicos: