Criar uma trilha para sua organização no console

Para criar uma trilha da organização a partir do CloudTrail console, você deve entrar no console como usuário ou função na conta de gerenciamento ou de administrador delegado que tenha permissões suficientes. Se você não entrar com a conta de gerenciamento ou de administrador delegado, não verá a opção de aplicar uma trilha a uma organização ao criar ou editar uma trilha no CloudTrail console.

Para criar uma trilha organizacional com o AWS Management Console

1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

   É necessário estar conectado como uma identidade do IAM na conta de gerenciamento ou de administrador delegado com permissões suficientes para criar uma trilha da organização.

2. Escolha Trails (Trilhas) e, depois Create trail (Criar trilha).

3. Na página Create Trail (Criar trilha), em Trail name (Nome da trilha), digite um nome para a sua trilha. Para ter mais informações, consulte Requisitos de nomenclatura para CloudTrail recursos, buckets S3 e chaves KMS.

4. Selecione Enable for all accounts in my organization (Habilitar para todas as contas na minha organização). Você só verá essa opção se estiver conectado ao console com um perfil ou um usuário na conta de gerenciamento ou de administrador delegado. Para criar uma trilha da organização, verifique se o usuário ou a função tem permissões suficientes.

5. Em Storage location (Local de armazenamento), escolha Create a S3 bucket (Criar um bucket do S3) para criar um bucket. Quando você cria um bucket, CloudTrail cria e aplica as políticas de bucket necessárias.

   nota

   Se você escolheu Use existing S3 bucket (Usar bucket do S3 existente), especifique um bucket em Trail log bucket name (Nome do bucket de log de trilha), ou escolha Browse (Procurar) para escolher um bucket. Você pode escolher um bucket pertencente a qualquer conta, no entanto, a política do bucket deve conceder CloudTrail permissão para gravar nele. Para obter informações sobre como editar manualmente a política de bucket, consulte Política de bucket do Amazon S3 para CloudTrail.

   Para facilitar a localização de seus registros, crie uma nova pasta (também conhecida como prefixo) em um bucket existente para armazenar seus CloudTrail registros. Insira o prefixo em Prefix (Prefixo).

6. Em Log file SSE-KMS encryption (Criptografia de arquivo de log com SSE-KMS), escolha Enabled (Habilitado) se quiser criptografar os arquivos de log com criptografia SSE-KMS em vez de criptografia SSE-S3. O padrão é Enabled (Habilitado). Se você não habilitar a criptografia SSE-SKMS, seus registros serão criptografados usando a criptografia SSE-S3. Para obter mais informações sobre a criptografia SSE-KMS, consulte Uso de criptografia no lado do servidor com o AWS Key Management Service [SSE-KMS]. Para obter mais informações sobre a criptografia SSE-S3, consulte Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3) (Uso de criptografia no lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 [SSE-S3]).

   Se você habilitar a criptografia SSE-KMS, escolha Nova ou Existente. AWS KMS key Em AWS KMS Alias, especifique um alias, no formato. alias/ MyAliasName Para ter mais informações, consulte Atualizar um recurso para usar sua chave do KMS.

   nota

   Você também pode digitar o Nome de região da Amazon (ARN) de uma chave de outra conta. Para ter mais informações, consulte Atualizar um recurso para usar sua chave do KMS. A política de chaves deve permitir CloudTrail o uso da chave para criptografar seus arquivos de log e permitir que os usuários que você especificar leiam os arquivos de log em formato não criptografado. Para obter informações sobre como editar manualmente a política de chaves, consulte Configure as AWS KMS principais políticas para CloudTrail.

7. Em Additional settings (Configurações adicionais), configure as opções a seguir.

   1. Em Log file validation (Validação de arquivo de log), escolha Enabled (Habilitado) para receber resumos de log no seu bucket do S3. Você pode usar os arquivos de resumo para verificar se seus arquivos de log não foram alterados após CloudTrail serem entregues. Para ter mais informações, consulte Validando a integridade CloudTrail do arquivo de log.

   2. Para entrega de notificações do SNS, escolha Ativado para ser notificado sempre que um registro for entregue ao seu bucket. CloudTrail armazena vários eventos em um arquivo de log. As notificações do SNS são enviadas para todos os arquivos de log, não para todos os eventos. Para ter mais informações, consulte Configurando notificações do Amazon SNS para CloudTrail.

      Se você habilitar notificações do SNS, para Create a new SNS topic (Criar um tópico do SNS), escolha New (Novo) para criar um tópico ou escolha Existing (Existente) para usar um tópico existente. Se criar uma trilha aplicável a todas as regiões, as notificações do SNS sobre a entrega de arquivos de log de todas as regiões serão enviadas ao único tópico do SNS que você criar.

      Se você escolher Novo, CloudTrail especifica um nome para o novo tópico para você ou pode digitar um nome. Se escolher Existing (Existente), escolha um tópico do SNS na lista suspensa. Você também pode inserir o Nome de região da Amazon (ARN) de um tópico de outra região ou de uma conta com permissões apropriadas. Para ter mais informações, consulte Política de tópicos do Amazon SNS para CloudTrail.

      Se você criar um tópico, precisará se inscrever nele para ser notificado sobre a entrega de arquivos de log. Você pode se inscrever no console do Amazon SNS. Devido à frequência das notificações, recomendamos que você configure a inscrição para usar uma fila do Amazon SQS para gerenciar as notificações de modo programático. Para obter mais informações, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.

8. Opcionalmente, configure CloudTrail para enviar arquivos de log para o CloudWatch Logs escolhendo Habilitado em CloudWatch Registros. Para ter mais informações, consulte Envio de eventos para o CloudWatch Logs.

   nota

   Somente a conta de gerenciamento pode configurar um grupo de CloudWatch registros de registros para uma trilha da organização usando o console. O administrador delegado pode configurar um grupo de CloudWatch registros de registros usando as operações AWS CLI ou CloudTrail CreateTrail ou UpdateTrail da API.

   1. Se você habilitar a integração com CloudWatch Logs, escolha Novo para criar um novo grupo de registros ou Existente para usar um existente. Se você escolher Novo, CloudTrail especifica um nome para o novo grupo de registros para você ou pode digitar um nome.

   2. Se escolher Existing (Existente), escolha um grupo de logs na lista suspensa.

   3. Escolha Novo para criar uma nova função do IAM para obter permissões para enviar registros para o CloudWatch Logs. Escolha Existing (Existente) para escolher uma função do IAM existente na lista suspensa. A declaração de política para a função nova ou existente é exibida quando você expande Policy document (Documento de política). Para obter mais informações sobre essa função, consulte Documento de política de funções CloudTrail para usar CloudWatch registros para monitoramento.

      nota

      Quando você configura uma trilha, é possível escolher um bucket do S3 e um tópico do Amazon SNS que pertençam a outra conta. No entanto, se você quiser CloudTrail entregar eventos a um grupo de CloudWatch registros de registros, deverá escolher um grupo de registros que exista na sua conta atual.

9. Para Tags, adicione uma ou mais tags personalizadas (pares chave-valor) à sua trilha. As tags podem ajudá-lo a identificar suas CloudTrail trilhas e os buckets do Amazon S3 que contêm CloudTrail arquivos de log. Em seguida, você pode usar grupos de recursos para seus CloudTrail recursos. Para obter mais informações, consulte AWS Resource Groups e Tags.

10. Na página Choose log events (Escolher eventos de log), escolha os tipos de eventos que você deseja registrar. Em Management events (Eventos de gerenciamento), faça o indicado a seguir.

    1. Em API activity (Atividade da API), escolha se você deseja que sua trilha registre eventos Read (Leitura), Write (Gravação) ou ambos. Para ter mais informações, consulte Eventos de gerenciamento.

    2. Escolha Excluir AWS KMS eventos para filtrar AWS Key Management Service (AWS KMS) eventos da sua trilha. A configuração padrão é incluir todos os eventos do AWS KMS .

       A opção de registrar ou excluir AWS KMS eventos está disponível somente se você registrar eventos de gerenciamento em sua trilha. Se você optar por não registrar eventos de gerenciamento, os AWS KMS eventos não serão registrados e você não poderá alterar as configurações do registro de AWS KMS eventos.

       AWS KMS ações comoEncrypt,Decrypt, e GenerateDataKey normalmente geram um grande volume (mais de 99%) de eventos. Agora essas ações são registradas em log como eventos de Leitura. AWS KMS Ações relevantes de baixo volume, como DisableDelete, e ScheduleKey (que normalmente representam menos de 0,5% do volume de AWS KMS eventos) são registradas como eventos de gravação.

       Para excluir eventos de alto volume, como Encrypt, Decrypt eGenerateDataKey, mas ainda registra eventos relevantes como Disable, Delete e ScheduleKey, escolha para registrar Write (Gravação) e desmarque a caixa de seleção para Exclude AWS KMS events (Excluir eventos do KMS).

    3. Escolha Exclude Amazon RDS Data API events (Excluir eventos da API de dados do Amazon RDS) para filtrar eventos da API de dados do Amazon Relational Database Service fora da trilha. A configuração padrão é incluir todos os eventos da API de dados do Amazon RDS. Para obter mais informações sobre eventos da API de dados do Amazon RDS, consulte Registrar em log chamadas da API de dados com o AWS CloudTrail no Manual do usuário do Amazon RDS for Aurora.

11. Para registrar eventos de dados, escolha Data events (Eventos de dados). Há cobranças adicionais para o registro de eventos de dados. Para obter mais informações, consulte Preços do AWS CloudTrail.

12. Importante

    As etapas 12 a 16 devem ser usadas para configurar eventos de dados usando seletores de eventos avançados, que é o padrão. Os seletores de eventos avançados permitem que você configure mais tipos de eventos de dados e oferecem um controle mais preciso sobre quais eventos de dados são capturados por sua trilha. Se você optou por usar seletores de eventos básicos, conclua as etapas em Configurar opções de eventos de dados utilizando seletores de eventos básicos e retorne à etapa 17 desse procedimento.

    Em Data event type (Tipo de evento de dados), escolha o tipo de recurso no qual você deseja registrar eventos de dados. Para obter mais informações sobre os tipos de eventos de dados disponíveis, consulte Eventos de dados.

    nota

    Para registrar eventos de dados para AWS Glue tabelas criadas pelo Lake Formation, escolha Lake Formation.

13. Escolha um modelo de seletor de registros. CloudTrail inclui modelos predefinidos que registram todos os eventos de dados do tipo de recurso. Para criar um modelo de seletor de log personalizado, escolha Custom (Personalizado).

    nota

    A escolha de um modelo predefinido para buckets do S3 permite o registro de eventos de dados de todos os buckets atualmente em sua AWS conta e de todos os buckets que você criar depois de concluir a criação da trilha. Ele também permite o registro da atividade de eventos de dados realizada por qualquer identidade do IAM em sua AWS conta, mesmo que essa atividade seja realizada em um bucket que pertença a outra AWS conta.

    Se a trilha se aplicar somente a uma região, a escolha da opção Select all S3 buckets in your account (Selecionar todos os buckets do S3 em sua conta) habilitará o registro de eventos de dados para todos os buckets do S3 na mesma região que a trilha e todos os buckets que você criar posteriormente nessa região. Os eventos de dados não serão registrados para os buckets do Amazon S3 em outras regiões em sua conta da AWS .

    Se você estiver criando uma trilha para todas as regiões, a escolha de um modelo predefinido para as funções do Lambda permite o registro de eventos de dados para todas as funções atualmente em AWS sua conta e para quaisquer funções do Lambda que você possa criar em qualquer região depois de terminar de criar a trilha. Se você estiver criando uma trilha para uma única região (feita usando o AWS CLI), essa seleção habilita o registro de eventos de dados para todas as funções atualmente nessa região em sua AWS conta e quaisquer funções Lambda que você possa criar nessa região depois de terminar de criar a trilha. Essa opção não permite o registro de eventos de dados para funções do Lambda criadas em outras regiões.

    O registro de eventos de dados para todas as funções também permite o registro da atividade de eventos de dados realizada por qualquer identidade do IAM em sua AWS conta, mesmo que essa atividade seja realizada em uma função que pertence a outra AWS conta.

14. (Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como Name no seletor de eventos avançado e poderá ser visualizado se você expandir a visualização JSON.

15. Em Advanced event selectors (Seletores de eventos avançados), crie uma expressão para os recursos específicos nos quais você deseja registrar eventos de dados. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.

    1. Escolha um dos seguintes campos:

       • readOnly- readOnly pode ser definido como igual a um valor de true ou. false Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, como Get* ou Describe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar os eventos read e write, não adicione um seletor readOnly.

       • eventName - eventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado CloudTrail, como PutBucketPutItem, ouGetSnapshotBlock.

       • resources.ARN- Você pode usar qualquer operador comresources.ARN, mas se usar igual ou diferente, o valor deverá corresponder exatamente ao ARN de um recurso válido do tipo que você especificou no modelo como valor de. resources.type

         A tabela a seguir mostra o formato de ARN válido para cada resources.type.

         nota

         Você não pode usar o resources.ARN campo para filtrar tipos de recursos que não tenham ARNs.

         resources.type	resources.ARN
         AWS::DynamoDB::Table1	arn:partition:dynamodb:region:account_ID:table/table_name
         AWS::Lambda::Function	arn:partition:lambda:region:account_ID:function:function_name
         AWS::S3::Object2	arn:partition:s3:::DOC-EXAMPLE-BUCKET/ arn:partition:s3:::DOC-EXAMPLE-BUCKET/object_or_file_name/
         AWS::AppConfig::Configuration	arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
         AWS::B2BI::Transformer	arn:partition:b2bi:region:account_ID:transformer/transformer_ID
         AWS::Bedrock::AgentAlias	arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
         AWS::Bedrock::KnowledgeBase	arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
         AWS::Cassandra::Table	arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
         AWS::CloudFront::KeyValueStore	arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
         AWS::CloudTrail::Channel	arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
         AWS::CodeWhisperer::Customization	arn:partition:codewhisperer:region:account_ID:customization/customization_ID
         AWS::CodeWhisperer::Profile	arn:partition:codewhisperer:region:account_ID:profile/profile_ID
         AWS::Cognito::IdentityPool	arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
         AWS::DynamoDB::Stream	arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
         AWS::EC2::Snapshot	arn:partition:ec2:region::snapshot/snapshot_ID
         AWS::EMRWAL::Workspace	arn:partition:emrwal:region:account_ID:workspace/workspace_name
         AWS::FinSpace::Environment	arn:partition:finspace:region:account_ID:environment/environment_ID
         AWS::Glue::Table	arn:partition:glue:region:account_ID:table/database_name/table_name
         AWS::GreengrassV2::ComponentVersion	arn:partition:greengrass:region:account_ID:components/component_name
         AWS::GreengrassV2::Deployment	arn:partition:greengrass:region:account_ID:deployments/deployment_ID
         AWS::GuardDuty::Detector	arn:partition:guardduty:region:account_ID:detector/detector_ID
         AWS::IoT::Certificate	arn:partition:iot:region:account_ID:cert/certificate_ID
         AWS::IoT::Thing	arn:partition:iot:region:account_ID:thing/thing_ID
         AWS::IoTSiteWise::Asset	arn:partition:iotsitewise:region:account_ID:asset/asset_ID
         AWS::IoTSiteWise::TimeSeries	arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
         AWS::IoTTwinMaker::Entity	arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
         AWS::IoTTwinMaker::Workspace	arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
         AWS::KendraRanking::ExecutionPlan	arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
         AWS::Kinesis::Stream	arn:partition:kinesis:region:account_ID:stream/stream_name
         AWS::Kinesis::StreamConsumer	arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
         AWS::KinesisVideo::Stream	arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
         AWS::MachineLearning::MlModel	arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
         AWS::ManagedBlockchain::Network	arn:partition:managedblockchain:::networks/network_name
         AWS::ManagedBlockchain::Node	arn:partition:managedblockchain:region:account_ID:nodes/node_ID
         AWS::MedicalImaging::Datastore	arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
         AWS::NeptuneGraph::Graph	arn:partition:neptune-graph:region:account_ID:graph/graph_ID
         AWS::PCAConnectorAD::Connector	arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
         AWS::PCAConnectorSCEP::Connector	arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
         AWS::QApps:QApp	arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
         AWS::QBusiness::Application	arn:partition:qbusiness:region:account_ID:application/application_ID
         AWS::QBusiness::DataSource	arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
         AWS::QBusiness::Index	arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
         AWS::QBusiness::WebExperience	arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
         AWS::RDS::DBCluster	arn:partition:rds:region:account_ID:cluster/cluster_name
         AWS::S3::AccessPoint3	arn:partition:s3:region:account_ID:accesspoint/access_point_name
         AWS::S3ObjectLambda::AccessPoint	arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
         AWS::S3Outposts::Object	arn:partition:s3-outposts:region:account_ID:object_path
         AWS::SageMaker::Endpoint	arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
         AWS::SageMaker::ExperimentTrialComponent	arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
         AWS::SageMaker::FeatureGroup	arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
         AWS::SCN::Instance	arn:partition:scn:region:account_ID:instance/instance_ID
         AWS::ServiceDiscovery::Namespace	arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
         AWS::ServiceDiscovery::Service	arn:partition:servicediscovery:region:account_ID:service/service_ID
         AWS::SNS::PlatformEndpoint	arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
         AWS::SNS::Topic	arn:partition:sns:region:account_ID:topic_name
         AWS::SQS::Queue	arn:partition:sqs:region:account_ID:queue_name
         AWS::SSM::ManagedNode	O ARN deve estar em um dos seguintes formatos: arn:partition:ssm:region:account_ID:managed-instance/instance_ID arn:partition:ec2:region:account_ID:instance/instance_ID
         AWS::SSMMessages::ControlChannel	arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
         AWS::StepFunctions::StateMachine	O ARN deve estar em um dos seguintes formatos: arn:partition:states:region:account_ID:stateMachine:stateMachine_name arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
         AWS::SWF::Domain	arn:partition:swf:region:account_ID:/domain/domain_name
         AWS::ThinClient::Device	arn:partition:thinclient:region:account_ID:device/device_ID
         AWS::ThinClient::Environment	arn:partition:thinclient:region:account_ID:environment/environment_ID
         AWS::Timestream::Database	arn:partition:timestream:region:account_ID:database/database_name
         AWS::Timestream::Table	arn:partition:timestream:region:account_ID:database/database_name/table/table_name
         AWS::VerifiedPermissions::PolicyStore	arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

         ¹ Para tabelas com fluxos habilitados, o campo resources no evento de dados contém AWS::DynamoDB::Stream e AWS::DynamoDB::Table. Se você especificar AWS::DynamoDB::Table como resources.type, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Para excluir eventos de streams, adicione um filtro no eventName campo.

         ² Para registrar em log todos os eventos de dados de todos os objetos em um bucket do S3 específico, use o operador StartsWith e inclua apenas o ARN do bucket como o valor correspondente. A barra final é intencional; não a exclua.

         ³ Para registrar em log eventos de todos os objetos em um ponto de acesso do S3, recomendamos usar somente o ARN do ponto de acesso, não incluir o caminho do objeto e usar os operadores StartsWith ou NotStartsWith.

       Para obter mais informações sobre os formatos do ARN de recursos de evento de dados, consulte Ações, recursos e chaves de condição no Guia do usuário do AWS Identity and Access Management .

    2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir eventos de dados de dois buckets do S3 dos eventos de dados registrados em sua trilha, você pode definir o campo como Resources.arn, definir o operador para does not start with e, em seguida, colar o ARN de um bucket do S3 ou procurar os buckets do S3 nos quais você não deseja registrar eventos.

       Para adicionar o segundo bucket do S3, escolha + Condição e, em seguida, repita a instrução anterior, colando o ARN ou procurando um bucket diferente.

       nota

       É possível ter, no máximo, 500 valores para todos os seletores em uma trilha. Isso inclui matrizes de vários valores para um seletor, como eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.

       Se você tiver mais de 15.000 funções do Lambda em sua conta, não poderá visualizar ou selecionar todas as funções no console CloudTrail ao criar uma trilha. Ainda será possível registrar todas as funções com um modelo de seletor predefinido, mesmo se elas não forem exibidas. Se você desejar registrar eventos de dados para funções específicas, poderá adicionar manualmente uma função se você souber seu ARN. Você também pode concluir a criação da trilha no console e, em seguida, usar o put-event-selectors comando AWS CLI e o para configurar o registro de eventos de dados para funções específicas do Lambda. Para ter mais informações, consulte Gerenciando trilhas com o AWS CLI.

    3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um ARN em um seletor para ser igual a um valor e, em seguida, especifique que o ARN não seja igual ao mesmo valor em outro seletor.

16. Para adicionar outro tipo de dados no qual registrar eventos de dados, escolha Add data event type (Adicionar tipo de evento de dados). Repita as etapas de 12 até esta etapa para configurar seletores de eventos avançados para o tipo de evento de dados.

17. Escolha eventos do Insights se quiser que sua trilha registre eventos do CloudTrail Insights.

    Em Event type (Tipo de evento), selecione Insights events (Eventos do Insights). Em Eventos do Insights, escolha Taxa de chamada da API, Taxa de erro da API ou ambos. Você deve registrar eventos de gerenciamento de gravação para registrar em log eventos do Insights sobre a taxa de chamadas à API. É necessário registrar eventos de gerenciamento de leitura ou gravação para registrar em log eventos do Insights sobre a taxa de erros da API.

    CloudTrail O Insights analisa eventos de gerenciamento em busca de atividades incomuns e registra eventos quando anomalias são detectadas. Por padrão, as trilhas não registram em log eventos do Insights. Para obter mais informações sobre eventos do Insights, consulte Registrar eventos do Insights. Há cobranças adicionais para o registro em log de eventos do Insights. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

    Os eventos do Insights são entregues em uma pasta diferente chamada /CloudTrail-Insight do mesmo bucket do S3 que é especificado na área de localização de armazenamento da página de detalhes da trilha. CloudTrailcria o novo prefixo para você. Por exemplo, se o bucket de destino do S3 atual for chamado de DOC-EXAMPLE-DESTINATION-BUCKET/AWSLogs/CloudTrail/, o nome do bucket do S3 com um novo prefixo será chamado de DOC-EXAMPLE-DESTINATION-BUCKET/AWSLogs/CloudTrail-Insight/.

18. Quando terminar de escolher os tipos de eventos para registrar, escolhaNext (Próximo).

19. Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) em uma seção para alterar as configurações de trilha mostradas nessa seção. Quando estiver pronto para criar a trilha, escolha Create trail (Criar trilha).

20. A nova trilha será exibida na página Trails (Trilhas). Até 24 horas podem ser necessárias para uma trilha da organização ser criada em todas as regiões em todas as contas-membro. A página Trails (Trilhas) mostra as trilhas de todas as regiões na sua conta. Em cerca de 5 minutos, CloudTrail publica arquivos de log que mostram as chamadas de AWS API feitas em sua organização. Você pode ver os arquivos de log no bucket do Amazon S3 que você especificou.

nota

Não é possível renomear uma trilha após sua criação. Em vez disso, você pode excluir a trilha e criar uma nova.

Próximas etapas

Depois que você criar a trilha, poderá retornar a ela para fazer alterações:

• Edite sua trilha para alterar a configuração dela. Para ter mais informações, consulte Atualizando uma trilha com o CloudTrail console.

• Se necessário, configure o bucket do Amazon S3 para permitir que usuários específicos em contas-membro leiam os arquivos de log da organização. Para ter mais informações, consulte Compartilhamento CloudTrail de arquivos de log entre AWS contas.

• Configure CloudTrail para enviar arquivos de log para o CloudWatch Logs. Para obter mais informações, consulte Envio de eventos para o CloudWatch Logs e o item CloudWatch Logs inPreparar a criação de uma trilha para sua organização.

  nota

  Somente a conta de gerenciamento pode configurar um grupo de CloudWatch registros de registros para uma trilha da organização.

• Crie uma tabela e use-a para executar uma consulta no Amazon Athena para analisar sua atividade de serviço da AWS . Para obter mais informações, consulte Criação de uma tabela para CloudTrail registros no CloudTrail console no Guia do usuário do Amazon Athena.

• Adicione tags personalizadas (pares de chave-valor) à trilha.

• Para criar outra trilha da organização, volte para a página Trails (Trilhas) e escolha Create trail (Criar trilha).

nota

Quando você configura uma trilha, é possível escolher um bucket do Amazon S3 e um tópico do SNS que pertençam a outra conta. No entanto, se você quiser CloudTrail entregar eventos a um grupo de CloudWatch registros de registros, deverá escolher um grupo de registros que exista na sua conta atual.