Agregando eventos de dados

Os eventos de dados fornecem informações sobre as operações aplicadas a um recurso ou realizadas em um recurso. Também são conhecidas como operações de plano de dados. Os eventos de dados costumam ser atividades de alto volume.

Ao permitir a agregação em seus eventos de dados, você pode monitorar com eficiência padrões de acesso a dados de alto volume sem processar grandes quantidades de eventos individuais. Esse recurso consolida automaticamente os eventos de dados em resumos de 5 minutos, mostrando as principais tendências, como frequência de acesso, taxas de erro e ações mais usadas. Por exemplo, em vez de processar milhares de eventos individuais de acesso ao bucket do S3 para entender os padrões de uso, você recebe resumos consolidados mostrando os principais usuários e ações.

Você pode ativar a agregação em eventos de dados ao criar uma nova trilha ou atualizar uma trilha existente que coleta eventos de dados. Você pode selecionar um ou todos os três out-of-the-box modelos para agregar seus eventos de dados em:

• Atividade de API para obter um resumo de 5 minutos de seus eventos de dados com base nas chamadas de API feitas. Use isso para entender seus padrões de uso da API, incluindo frequência, chamadores e origem.

• Acesso a recursos para obter os padrões de atividade em seus AWS recursos. Use isso para entender como seus AWS recursos estão sendo acessados, quantas vezes eles estão sendo acessados na janela de 5 minutos, quem está acessando o recurso e quais ações estão sendo executadas.

• Ações do usuário para obter padrões de atividade com base no diretor do IAM fazendo chamadas de API em sua conta.

Habilitando agregações para eventos de dados usando o console

Para habilitar agregações em trilhas, primeiro você escolhe o registro de eventos de dados ao criar ou atualizar uma trilha e configurar eventos de dados para registrar eventos na trilha. Em seguida, na etapa de configuração da agregação de eventos, você pode selecionar modelos como Atividade de API e Acesso a recursos no menu suspenso Modelos de agregação, conforme mostrado na captura de tela abaixo.

Habilitando agregações para eventos de dados usando o AWS CLI

Você pode configurar suas trilhas para agregar eventos usando o. AWS CLI

Para ver se sua trilha está agregando eventos de dados, execute o get-event-configurations comando.

aws cloudtrail get-event-configuration --region us-east-1 --trail-name TrailName

O comando retorna a configuração de agregação da trilha.

Antes de ativar a agregação de eventos, você deve criar uma trilha e configurar eventos de dados nela.

Para ativar a agregação de eventos em uma trilha, siga a etapa abaixo. A trilha agregará eventos com base nos modelos API_ACTIVITY de RESOURCE_ACCESS agregação.

aws cloudtrail put-event-configuration --region us-east-1 --trail TrailName \
--aggregation-configurations \
'[
    {
        "EventCategory": "Data",
        "Templates":
        [
            "API_ACTIVITY",
            "RESOURCE_ACCESS"
        ]
    }
]'

Exemplo: evento API_ACTIVITY agregado

Veja a seguir um exemplo de um evento agregado para o API_ACTIVITY modelo:

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "62759c1a-6248-48e1-a6b3-d5fb7e6c4bc0",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "eventName",
            "statistics":
            [
                {
                    "name": "PutObject",
                    "value": 1000
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "resourceARN",
                "statistics":
                [
                    {
                        "name": "arn:aws:s3:::bucket-1",
                        "value": 800
                    },
                    {
                        "name": "arn:aws:s3:::bucket-2",
                        "value": 150
                    },
                    {
                        "name": "arn:aws:s3:::bucket-3",
                        "value": 50
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}

Exemplo: evento agregado RESOURCE_ACCESS

Veja a seguir um exemplo de um evento agregado para o RESOURCE_ACCESS modelo:

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "2ed87efa-45c1-412d-bc38-7e0879faa6df",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "resourceARN",
            "statistics":
            [
                {
                    "name": "arn:aws:s3:::bucket-1",
                    "value": 800
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "eventName",
                "statistics":
                [
                    {
                        "name": "PutObject",
                        "value": 800
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}