Entendendo CloudTrail os eventos - AWS CloudTrail
Eventos de gerenciamentoEventos de dadosEventos do Insights

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Entendendo CloudTrail os eventos

Um evento em CloudTrail é o registro de uma atividade em uma AWS conta. Essa atividade pode ser uma ação realizada por uma identidade do IAM ou um serviço que pode ser monitorado por CloudTrail. CloudTrail os eventos fornecem um histórico das atividades de contas de API e não API feitas por meio de AWS SDKs AWS Management Console, ferramentas de linha de comando e outros. Serviços da AWS

CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, os eventos não aparecem em nenhuma ordem específica.

Há três tipos de CloudTrail eventos:

Por padrão, as trilhas e os armazenamentos de dados de eventos registram eventos de gerenciamento, mas não eventos de dados ou do Insights.

Todos os tipos de eventos usam um formato de log CloudTrail JSON. O log contém informações sobre as solicitações de recursos na sua conta, como quem fez a solicitação, os serviços usados, as ações realizadas e os parâmetros da ação. Os dados do evento são incluídos em um conjunto Records.

Para obter informações sobre campos de registro de CloudTrail eventos, consulteCloudTrail conteúdo do registro.

Eventos de gerenciamento

Os eventos de gerenciamento fornecem informações sobre as operações de gerenciamento que são realizadas nos recursos AWS da sua conta. Elas também são conhecidas como operações de plano de controle.

Exemplos de eventos de gerenciamento incluem:

  • Configurando a segurança (por exemplo, operações de AWS Identity and Access Management AttachRolePolicy API).

  • Registro de dispositivos (por exemplo, operações de API CreateDefaultVpc do Amazon EC2).

  • Configuração de regras para roteamento de dados (por exemplo, operações de API CreateSubnet do Amazon EC2).

  • Configurar o registro (por exemplo, operações de AWS CloudTrail CreateTrail API).

Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem na sua conta. Por exemplo, quando um usuário faz login na sua conta, CloudTrail registra o ConsoleLogin evento. Para ter mais informações, consulte Eventos não relacionados à API capturados por CloudTrail.

Por padrão, os dados de CloudTrail trilhas e eventos do CloudTrail Lake armazenam eventos de gerenciamento de registros. Para obter mais informações sobre eventos de gerenciamento de registros, consulteLog de eventos de gerenciamento.

O exemplo a seguir mostra um único registro de log de um evento de gerenciamento. Nesse evento, um usuário do IAM chamado Mary_Major executou o aws cloudtrail start-logging comando para chamar a CloudTrail StartLoggingação para iniciar o processo de registro em uma trilha chamadamyTrail.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLE6E4XEGITWATV6R",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-19T21:11:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-19T21:33:41Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartLogging",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
    "requestParameters": {
        "name": "myTrail"
    },
    "responseElements": null,
    "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
    "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

No próximo exemplo, um usuário do IAM chamado Paulo_Santos executou o comando aws cloudtrail start-event-data-store-ingestion para chamar a ação StartEventDataStoreIngestion para iniciar a ingestão em um armazenamento de dados de eventos.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPLEPHCNW5EQV7NA54",
        "arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
        "accountId": "123456789012",
        "accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
        "userName": "Paulo_Santos",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-07-21T21:55:30Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-07-21T21:57:28Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "StartEventDataStoreIngestion",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
    "requestParameters": {
        "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
    },
    "responseElements": null,
    "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
    "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Eventos de dados

Os eventos de dados fornecem informações sobre as operações do recurso executadas em um recurso ou dentro de um recurso. Elas também são conhecidas como operações de plano de dados. Eventos de dados geralmente são atividades de alto volume.

Exemplos de eventos de dados incluem:

A tabela a seguir mostra os tipos de eventos de dados disponíveis para trilhas e armazenamentos de dados de eventos. A coluna Tipo de evento de dados (console) mostra a seleção apropriada no console. A coluna de valor resources.type mostra o resources.type valor que você especificaria para incluir eventos de dados desse tipo em seu armazenamento de dados de trilhas ou eventos usando as AWS CLI APIs ou. CloudTrail

Para trilhas, você pode usar seletores de eventos básicos ou avançados para registrar eventos de dados para objetos do Amazon S3 em buckets de uso geral, funções Lambda e tabelas do DynamoDB (mostradas nas três primeiras linhas da tabela). É possível usar somente seletores de eventos avançados para registrar em log os tipos de eventos de dados mostrados nas linhas restantes.

Para armazenamentos de dados de eventos, é possível usar somente seletores de eventos avançados para incluir eventos de dados.

AWS service (Serviço da AWS) Descrição Tipo de evento de dados (console) valor resources.type
Amazon DynamoDB

Atividade de API em nível de item do Amazon DynamoDB em tabelas (por exemploPutItem,,DeleteItem, e operações de API). UpdateItem

nota

Para tabelas com fluxos habilitados, o campo resources no evento de dados contém AWS::DynamoDB::Stream e AWS::DynamoDB::Table. Se você especificar AWS::DynamoDB::Table como resources.type, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Para excluir eventos de streams, adicione um filtro no eventName campo.

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda atividade de execução da função (a Invoke API).

 Lambda AWS::Lambda::Function
Amazon S3

Atividade de API em nível de objeto do Amazon S3 (por exemplo,, GetObjectDeleteObject, e operações de PutObject API) em objetos em buckets de uso geral.

 S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig Atividade de API para operações de configuração, como chamadas para StartConfigurationSession GetLatestConfiguration e.

 AWS AppConfig AWS::AppConfig::Configuration
AWS Intercâmbio de dados B2B

Atividade da API B2B Data Interchange para operações do Transformer, como chamadas para GetTransformerJob e StartTransformerJob.

 B2B Data Interchange AWS::B2BI::Transformer
Amazon Bedrock Atividade da API do Amazon Bedrock em um alias de agente. Alias de agente do Bedrock AWS::Bedrock::AgentAlias
Amazon Bedrock Atividade da API do Amazon Bedrock em uma base de conhecimento. Base de conhecimento do Bedrock AWS::Bedrock::KnowledgeBase
Amazon CloudFront

CloudFront Atividade de API em um KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map Atividade de API em um namespace. AWS Cloud Map namespace AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map Atividade de API em um serviço. AWS Cloud Map serviço AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsatividade em um canal do CloudTrail Lake que é usada para registrar eventos externos AWS.

 CloudTrail canal AWS::CloudTrail::Channel
Amazon CloudWatch

Atividade da CloudWatch API da Amazon em métricas.

 CloudWatch métrica AWS::CloudWatch::Metric
Amazon CodeWhisperer Atividade de CodeWhisperer API da Amazon em uma personalização. CodeWhisperer personalização AWS::CodeWhisperer::Customization
Amazon CodeWhisperer Atividade CodeWhisperer da API da Amazon em um perfil. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Atividade da API do Amazon Cognito em bancos de identidades do Amazon Cognito.

 Bancos de identidades do Cognito AWS::Cognito::IdentityPool
Amazon DynamoDB

Atividade de API do Amazon DynamoDB em fluxos.

 DynamoDB Streams AWS::DynamoDB::Stream
Amazon Elastic Block Store

APIs diretas do Amazon Elastic Block Store (EBS), como PutSnapshotBlock, GetSnapshotBlock e ListChangedBlocks nos snapshots do Amazon EBS.

 APIs diretas do Amazon EBS AWS::EC2::Snapshot
Amazon EMR Atividade da API do Amazon EMR em um espaço de trabalho de log de gravação antecipada. Espaço de trabalho de log de gravação antecipada do EMR AWS::EMRWAL::Workspace
Amazon FinSpace

Atividade de API do Amazon FinSpace em ambientes.

 FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue Atividade de API em tabelas criadas pelo Lake Formation.

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

Atividade de GuardDuty API da Amazon para um detector.

 GuardDuty detector AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging Atividade de API em armazenamentos de dados.

 MedicalImaging armazenamento de dados AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT Atividade de API em certificados.

 Certificado de IoT AWS::IoT::Certificate
AWS IoT

AWS IoT Atividade de API em coisas.

 Coisa de IoT AWS::IoT::Thing
AWS IoT Greengrass Version 2

Atividade da API do Greengrass de um dispositivo principal do Greengrass em uma versão de componente.

nota

O Greengrass não registra eventos de acesso negado.

 Versão do componente IoT Greengrass AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

Atividade da API do Greengrass de um dispositivo principal do Greengrass em uma implantação.

nota

O Greengrass não registra eventos de acesso negado.

 Implantação do IoT Greengrass AWS::GreengrassV2::Deployment
AWS IoT SiteWise

Atividade da SiteWise API de IoT em ativos.

 Ativo de IoT SiteWise AWS::IoTSiteWise::Asset
AWS IoT SiteWise

Atividade da SiteWise API de IoT em séries temporais.

 Série temporal de IoT SiteWise AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker

Atividade da TwinMaker API de IoT em uma entidade.

 Entidade de IoT TwinMaker AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

Atividade da TwinMaker API de IoT em um espaço de trabalho.

 Espaço de trabalho de IoT TwinMaker AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking

Atividade da API do Amazon Kendra Intelligent Ranking em planos de execução de reclassificação.

 Kendra Ranking AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (para Apache Cassandra) Atividade da API Amazon Keyspaces em uma tabela. Mesa Cassandra AWS::Cassandra::Table
Amazon Kinesis Data Streams Atividade da API Kinesis Data Streams em streams. Stream do Kinesis AWS::Kinesis::Stream
Amazon Kinesis Data Streams Atividade da API Kinesis Data Streams em consumidores de streams. Consumidor de streaming do Kinesis AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Atividade da API Kinesis Video Streams em streams de vídeo, como chamadas para e. GetMedia PutMedia Fluxo de vídeo do Kinesis AWS::KinesisVideo::Stream
Amazon Machine Learning Atividade da API Machine Learning em modelos de ML. Aprendizagem automática MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

Atividade da API do Amazon Managed Blockchain em uma rede.

 Rede do Managed Blockchain AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Chamadas de JSON-RPC do Amazon Managed Blockchain em nós Ethereum, como eth_getBalance ou eth_getBlockByNumber.

 Managed Blockchain AWS::ManagedBlockchain::Node
Gráfico do Amazon Neptune

Atividades da API de dados, por exemplo, consultas, algoritmos ou pesquisa vetorial, em um gráfico do Neptune.

 Gráfico do Neptune AWS::NeptuneGraph::Graph
AWS Private CA

AWS Private CA Conector para atividade da API do Active Directory.

 AWS Private CA Conector para Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Conector para atividade da API SCEP.

 AWS Private CA Conector para SCEP AWS::PCAConnectorSCEP::Connector
Aplicativos Amazon Q

Atividade da API de dados no Amazon Q Apps.

 Aplicativos Amazon Q AWS::QApps:QApp
Amazon Q Business

Atividade da API do Amazon Q Business em uma aplicação.

 Aplicação do Amazon Q Business AWS::QBusiness::Application
Amazon Q Business

Atividade da API do Amazon Q Business em uma fonte de dados.

 Fonte de dados do Amazon Q Business AWS::QBusiness::DataSource
Amazon Q Business

Atividade da API do Amazon Q Business em um índice.

 Índice do Amazon Q Business AWS::QBusiness::Index
Amazon Q Business

Atividade da API do Amazon Q Business em uma experiência na web.

 Experiência na web do Amazon Q Business AWS::QBusiness::WebExperience
Amazon RDS

Atividade da API do Amazon RDS em um cluster de banco de dados.

 API de dados do RDS - cluster de banco de dados AWS::RDS::DBCluster
Amazon S3

Atividade da API Amazon S3 em pontos de acesso.

 Ponto de acesso do S3 AWS::S3::AccessPoint
Amazon S3

Atividade da API de pontos de acesso do Amazon S3 Object Lambda, como chamadas para e. CompleteMultipartUpload GetObject

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 on Outposts

Atividade da API em nível de objeto do Amazon S3 on Outposts.

 S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker SageMaker InvokeEndpointWithResponseStreamAtividade da Amazon em endpoints. SageMaker ponto final AWS::SageMaker::Endpoint
Amazon SageMaker

Atividade da SageMaker API da Amazon em lojas de recursos.

 SageMaker feature store AWS::SageMaker::FeatureGroup
Amazon SageMaker

Atividade da SageMaker API da Amazon em componentes de testes experimentais.

 SageMaker componente experimental de métricas AWS::SageMaker::ExperimentTrialComponent
Amazon SNS

Operações da API Publish do Amazon SNS em endpoints da plataforma.

 Endpoint da plataforma SNS AWS::SNS::PlatformEndpoint
Amazon SNS

Operações da API Publish e PublishBatch do Amazon SNS em tópicos.

 Tópico do SNS AWS::SNS::Topic
Amazon SQS

Atividade da API do Amazon SQS em mensagens.

 SQS AWS::SQS::Queue
AWS Step Functions

Atividade da API Step Functions em uma máquina de estado.

 Máquina de estado do Step Functions AWS::StepFunctions::StateMachine
Cadeia de Suprimentos AWS

Cadeia de Suprimentos AWS Atividade de API em uma instância.

 Cadeia de suprimentos AWS::SCN::Instance
Amazon SWF

Atividade da API Amazon SWF em domínios.

 Domínio SWF AWS::SWF::Domain
AWS Systems Manager Atividade da API Systems Manager nos canais de controle. Systems Manager (Gerenciador de sistemas) AWS::SSMMessages::ControlChannel
AWS Systems Manager Atividade da API Systems Manager em nós gerenciados. Nó gerenciado pelo Systems Manager AWS::SSM::ManagedNode
Amazon Timestream Atividade da API Query do Amazon Timestream em bancos de dados. Banco de dados do Timestream AWS::Timestream::Database
Amazon Timestream Atividade da API Query do Amazon Timestream em tabelas. Tabela do Timestream AWS::Timestream::Table
Amazon Verified Permissions

Atividade da API do Amazon Verified Permissions em um repositório de políticas.

 Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client WorkSpaces Atividade da API Thin Client em um dispositivo. Dispositivo Thin Client AWS::ThinClient::Device
Amazon WorkSpaces Thin Client WorkSpaces Atividade da API Thin Client em um ambiente. Ambiente Thin Client AWS::ThinClient::Environment
AWS X-Ray

Atividade da API X-Ray em rastreamentos.

 Traço de raio-X AWS::XRay::Trace

Eventos de dados não são registrados em log por padrão quando você cria uma trilha ou um armazenamento de dados de eventos. Para registrar eventos de CloudTrail dados, você deve adicionar explicitamente os recursos suportados ou os tipos de recursos para os quais deseja coletar atividades. Para obter mais informações, consulte Criando uma trilha com o CloudTrail console e Crie um armazenamento de dados de CloudTrail eventos para eventos com o console.

Há cobranças adicionais para o registro de eventos de dados. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

O exemplo a seguir mostra um único registro de log de um evento de dados para a ação do Amazon SNSPublish.

{
   "eventVersion": "1.09",
   "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AKIAIOSFODNN7EXAMPLE",
            "arn": "arn:aws:iam::123456789012:role/Admin",
            "accountId": "123456789012",
            "userName": "ExampleUser"
            },
            "attributes": {
                "creationDate": "2023-08-21T16:44:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-08-21T16:48:37Z",
    "eventSource": "sns.amazonaws.com",
    "eventName": "Publish",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
    "requestParameters": {
        "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
        "message": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "messageStructure": "json",
        "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
    },
    "responseElements": {
        "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
    },
    "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
    "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::SNS::Topic",
                "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
    }
}

O próximo exemplo mostra um único registro de log de um evento de dados para a ação do Amazon CognitoGetCredentialsForIdentity.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-01-19T16:55:08Z",
    "eventSource": "cognito-identity.amazonaws.com",
    "eventName": "GetCredentialsForIdentity",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.4",
    "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
    "requestParameters": {
        "logins": {
            "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
            "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
            "expiration": "Jan 19, 2023 5:55:08 PM"
        },
        "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
    },
    "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
    "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
    "readOnly": false,
    "resources": [{
        "accountId": "111122223333",
        "type": "AWS::Cognito::IdentityPool",
        "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
    }],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data"
}

Eventos do Insights

CloudTrail Os eventos do Insights capturam atividades incomuns de taxa de chamadas de API ou taxa de erro em sua AWS conta analisando a atividade CloudTrail de gerenciamento. Os eventos do Insights fornecem informações relevantes, como a API associada, a hora do incidente e estatísticas, que ajudam a entender e agir com relação à atividade incomum. Ao contrário de outros tipos de eventos capturados em um armazenamento de dados de CloudTrail trilhas ou eventos, os eventos do Insights são registrados somente quando CloudTrail detectam alterações no uso da API ou no registro da taxa de erro da sua conta que diferem significativamente dos padrões de uso típicos da conta.

Exemplos de atividades que podem gerar eventos do Insights incluem:

  • Sua conta geralmente registra em log no máximo 20 chamadas de API do deleteBucket Amazon S3 por minuto, mas sua conta começa a registrar em log uma média de 100 chamadas de API deleteBucket por minuto. Um evento do Insights é registrado em log no início da atividade incomum e outro evento do Insights é registrado em log para marcar o fim da atividade incomum.

  • Sua conta geralmente registra em log 20 chamadas por minutos para a API do AuthorizeSecurityGroupIngress Amazon EC2, mas sua conta começa a registrar em log zero chamada para AuthorizeSecurityGroupIngress. Um evento do Insights é registrado em log no início da atividade incomum, e dez minutos depois, quando a atividade incomum termina, outro evento do Insights é registrado em log para marcar o fim da atividade incomum.

  • Sua conta normalmente registra menos de um AccessDeniedException erro em um período de sete dias no AWS Identity and Access Management API, DeleteInstanceProfile. Sua conta começa a registrar uma média de 12 AccessDeniedException erros por minuto na DeleteInstanceProfile chamada de API. Um evento do Insights é registrado no início da atividade incomum e outro evento do Insights é registrado para marcar o fim da atividade incomum.

Esses exemplos são fornecidos somente para fins ilustrativos. Seus resultados podem variar dependendo do seu caso de uso.

Para registrar eventos do CloudTrail Insights, você deve habilitar explicitamente os eventos do Insights em um armazenamento de dados de trilhas ou eventos novo ou existente. Para obter mais informações sobre a criação de uma trilha, consulte Criando uma trilha com o CloudTrail console. Para obter mais informações sobre como criar um armazenamento de dados de eventos, consulte Crie um armazenamento de dados de eventos para eventos do Insights com o console.

Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail.

Há dois eventos registrados para mostrar atividades incomuns no CloudTrail Insights: um evento inicial e um evento final. O exemplo a seguir mostra um único registro em log de um evento inicial do Insights que ocorreu quando a API do Application Auto Scaling CompleteLifecycleAction foi chamada um número incomum de vezes. Para eventos do Insights, o valor de eventCategory é Insight. Um bloco do insightDetails identifica o estado, a fonte, o nome, o tipo de Insights e o contexto do evento, incluindo estatísticas e atribuições. Para obter mais informações sobre o bloco insightDetails, consulte CloudTrail insightDetailsElemento Insights.

{
        "eventVersion": "1.08",
        "eventTime": "2023-07-10T01:42:00Z",
        "awsRegion": "us-east-1",
        "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
        "eventType": "AwsCloudTrailInsight",
        "recipientAccountId": "123456789012",
        "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
        "insightDetails": {
            "state": "Start",
            "eventSource": "autoscaling.amazonaws.com",
            "eventName": "CompleteLifecycleAction",
            "insightType": "ApiCallRateInsight",
            "insightContext": {
                "statistics": {
                    "baseline": {
                        "average": 9.82222E-5
                    },
                    "insight": {
                        "average": 5.0
                    },
                    "insightDuration": 1,
                    "baselineDuration": 10181
                },
                "attributions": [{
                    "attribute": "userIdentityArn",
                    "insight": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
                        "average": 5.0
                    }, {
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "userAgent",
                    "insight": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "codedeploy.amazonaws.com",
                        "average": 9.82222E-5
                    }]
                }, {
                    "attribute": "errorCode",
                    "insight": [{
                        "value": "null",
                        "average": 5.0
                    }],
                    "baseline": [{
                        "value": "null",
                        "average": 9.82222E-5
                    }]
                }]
            }
        },
        "eventCategory": "Insight"
    }