Registrar eventos do Insights - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registrar eventos do Insights

AWS CloudTrail Os insights ajudam AWS os usuários a identificar e responder a atividades incomuns associadas a API chamadas e taxas de API erro, analisando continuamente os eventos CloudTrail de gerenciamento. CloudTrail O Insights analisa seus padrões normais de volume de API chamadas e taxas de API erro, também chamados de linha de base, e gera eventos do Insights quando o volume de chamadas ou as taxas de erro estão fora dos padrões normais. Os eventos do Insights sobre o volume de API chamadas são gerados para write gerenciamentoAPIs, e os eventos do Insights sobre a taxa de API erro são gerados para ambos read e para o write gerenciamentoAPIs.

nota

Para registrar eventos do Insights sobre o volume de API chamadas, o armazenamento de dados de trilhas ou eventos deve registrar os eventos write de gerenciamento. Para registrar eventos do Insights sobre a taxa de API erro, o armazenamento de dados de trilhas ou eventos deve registrar read ou write gerenciar eventos.

CloudTrail O Insights analisa eventos de gerenciamento que ocorrem em uma única região, não globalmente. Um evento do CloudTrail Insights é gerado na mesma região em que seus eventos de gerenciamento de apoio são gerados.

Cobranças adicionais são aplicáveis aos eventos do Insights. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail.

Entender a entrega de eventos do Insights

Ao contrário de outros tipos de eventos que CloudTrail capturam, os eventos do Insights são registrados somente quando CloudTrail detectam alterações no API uso da sua conta que diferem significativamente dos padrões de uso típicos da conta.

CloudTrail O local de entrega dos eventos e o tempo necessário para receber os eventos do Insights diferem entre trilhas e armazenamentos de dados de eventos.

Entrega de eventos do Insights para trilhas

Se você ativou eventos do Insights em uma trilha e CloudTrail detectou atividades incomuns, CloudTrail entrega os eventos do Insights na /CloudTrail-Insight pasta no bucket S3 de destino escolhido para sua trilha. Depois de ativar o CloudTrail Insights pela primeira vez em uma trilha, pode levar até 36 horas CloudTrail para entregar o primeiro evento do Insights, se uma atividade incomum for detectada.

Se você desativar o registro de eventos do Insights em uma trilha e depois reativar os eventos do Insights, ou parar e reiniciar o registro em uma trilha, pode levar até 36 horas CloudTrail para reiniciar a entrega dos eventos do Insights, se uma atividade incomum for detectada.

Entrega de eventos do Insights para armazenamentos de dados de eventos

Se você habilitou os eventos do Insights em um armazenamento de dados de eventos de origem, CloudTrail entrega os eventos do Insights para o armazenamento de dados do evento de destino. Depois de ativar o CloudTrail Insights pela primeira vez no armazenamento de dados do evento de origem, pode levar até 7 dias CloudTrail para entregar o primeiro evento do Insights ao armazenamento de dados do evento de destino, se uma atividade incomum for detectada.

Se você desativar o registro de eventos do Insights em um armazenamento de dados de eventos de origem e, em seguida, reativar os eventos do Insights ou interromper e reiniciar a ingestão de eventos em um armazenamento de dados de eventos de origem, pode levar até 7 dias CloudTrail para reiniciar a entrega dos eventos do Insights, se uma atividade incomum for detectada. Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte AWS CloudTrail Preços.

Registrando eventos do Insights com o AWS Management Console

É possível habilitar eventos do Insights em uma trilha ou em um armazenamento de dados de eventos usando o console.

Habilitando eventos do CloudTrail Insights em uma trilha existente

Use o procedimento a seguir para ativar eventos do CloudTrail Insights em uma trilha existente. Por padrão, os eventos do Insights não estão habilitados.

  1. No painel de navegação esquerdo do CloudTrail console, abra a página Trilhas e escolha o nome de uma trilha.

  2. Em Insights events (Eventos do Insights), escolha Edit (Editar).

    nota

    Há cobranças adicionais para o registro em log de eventos do Insights. Para CloudTrail saber os preços, consulte AWS CloudTrail Preços.

  3. Em Event type (Tipo de evento), selecione Insights events (Eventos do Insights).

  4. Em eventos do Insights, em Escolher tipos de Insights, escolha taxa de API chamadas, taxa de API erro ou ambas. Sua trilha deve registrar eventos de gerenciamento de gravação para registrar eventos do Insights sobre a taxa de API chamadas. Sua trilha deve registrar eventos de gerenciamento de leitura ou gravação para registrar eventos do Insights quanto à taxa de API erro.

  5. Escolha Salvar alterações para salvar suas alterações.

Pode levar até 36 horas CloudTrail para entregar os primeiros eventos do Insights, se uma atividade incomum for detectada.

Habilitando eventos do CloudTrail Insights em um armazenamento de dados de eventos existente

Use o procedimento a seguir para habilitar eventos do CloudTrail Insights em um armazenamento de dados de eventos existente. Por padrão, os eventos do Insights não estão habilitados.

Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte AWS CloudTrail Preços.

nota

Você só pode habilitar eventos do CloudTrail Insights em armazenamentos de dados de eventos contendo eventos CloudTrail de gerenciamento. Você não pode habilitar eventos do CloudTrail Insights em outros tipos de armazenamento de dados de eventos.

  1. No painel de navegação esquerdo do CloudTrail console, em Lake, escolha Armazenamentos de dados de eventos.

  2. Escolha o nome do armazenamento de dados de eventos.

  3. Em Eventos de gerenciamento, escolha Editar.

  4. Escolha Habilitar Insights.

  5. Escolha o armazenamento de dados do evento de destino onde CloudTrail entregará os eventos do Insights. O armazenamento de dados de eventos de destino coletará eventos do Insights com base na atividade de gerenciamento de eventos nesse armazenamento de dados de eventos. Para obter informações sobre como criar o armazenamento de dados de eventos de destino, consulte Para criar um armazenamento de dados de eventos de destino que registra eventos do Insights.

  6. Em Escolher tipos de insights, escolha taxa de API chamada, taxa de API erro ou ambas. Seu armazenamento de dados de eventos deve registrar eventos de gerenciamento de gravação para registrar eventos do Insights quanto à taxa de API chamadas. Seu armazenamento de dados de eventos deve registrar eventos de gerenciamento de leitura ou gravação para registrar eventos do Insights quanto à taxa de API erro.

  7. Escolha Salvar alterações para salvar suas alterações.

Pode levar até 7 dias CloudTrail para entregar os primeiros eventos do Insights, se uma atividade incomum for detectada.

Registrando eventos do Insights com o AWS Command Line Interface

É possível configurar suas trilhas e seus armazenamentos de dados de eventos para registrar eventos do Insights em log usando a AWS CLI.

nota

Para registrar eventos do Insights sobre o volume de API chamadas, o armazenamento de dados de trilhas ou eventos deve registrar os eventos write de gerenciamento. Para registrar eventos do Insights sobre a taxa de API erro, o armazenamento de dados de trilhas ou eventos deve registrar read ou write gerenciar eventos.

Registrando eventos do Insights para uma trilha usando o AWS CLI

Para visualizar se a trilha está registrando em log os eventos do Insights, execute o comando get-insight-selectors.

aws cloudtrail get-insight-selectors --trail-name TrailName

O resultado a seguir mostra as configurações padrão para uma trilha. Por padrão, as trilhas não registram em log eventos do Insights. O valor do atributo InsightType está vazio, e nenhum seletor de eventos do Insight é especificado, pois a coleção de eventos do Insights não está ativada.

Se você não adicionar seletores do Insights, o get-insight-selectors comando retornará a seguinte mensagem de erro: “Ocorreu um erro (InsightNotEnabledException) ao chamar a GetInsightSelectors operação: Trail name não tem o Insights ativado. Edite as configurações da trilha para habilitar o Insights e tente a operação novamente.”

{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }

Para configurar a trilha para registrar em log eventos do Insights, execute o comando put-insight-selectors. O exemplo a seguir mostra como configurar a trilha para incluir eventos do Insights. Os valores do seletor Insights podem ser ApiCallRateInsight, ApiErrorRateInsight ou ambos.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

O resultado a seguir mostra o seletor de eventos do Insights que está configurado para a trilha.

{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }

Registrando eventos do Insights para um armazenamento de dados de eventos usando o AWS CLI

Para habilitar o Insights em um armazenamento de dados de eventos, é necessário ter um armazenamento de dados de eventos de origem que registre eventos de gerenciamento e um armazenamento de dados de eventos de destino que registre eventos do Insights.

Para ver se os eventos do Insights estão habilitados em um armazenamento de dados de eventos, execute o comando get-insight-selectors.

aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Para ver se um armazenamento de dados de eventos está configurado para receber eventos do Insights ou eventos de gerenciamento, execute o comando get-event-data-store.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

O procedimento a seguir mostra como criar os armazenamentos de dados de eventos de destino e origem e, em seguida, habilitar os eventos do Insights.

  1. Execute o comando aws cloudtrail create-event-data-store para criar um armazenamento de dados de eventos de destino que coleta eventos do Insights. O valor de eventCategory deve ser Insight. Substituir retention-period-days com o número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos.

    Se você estiver conectado com a conta de gerenciamento de uma AWS Organizations organização, inclua o --organization-enabled parâmetro se quiser dar ao administrador delegado acesso ao armazenamento de dados do evento.

    aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-period retention-period-days \ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'

    O seguinte é um exemplo de resposta.

    { "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00" }

    Você usará o ARN (ou o sufixo de ID doARN) da resposta como o valor do --insights-destination parâmetro na etapa 3.

  2. Execute o comando aws cloudtrail create-event-data-store para criar um armazenamento de dados de eventos que registre eventos de gerenciamento no log. Por padrão, os armazenamentos de dados de eventos registram todos os eventos de gerenciamento. Não é necessário especificar nenhum seletor de eventos avançado para registrar todos os eventos de gerenciamento. Substituir retention-period-days com o número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos. Se você estiver criando um armazenamento de dados de eventos da organização, inclua o parâmetro --organization-enabled.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    O seguinte é um exemplo de resposta.

    { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00" }

    Você usará o ARN (ou o sufixo de ID doARN) da resposta como o valor do --event-data-store parâmetro na etapa 3.

  3. Execute o comando put-insight-selectors para ativar os eventos do Insights. Os valores do seletor Insights podem ser ApiCallRateInsight, ApiErrorRateInsight ou ambos. Para o --event-data-store parâmetro, especifique o ARN (ou o sufixo de ID doARN) do armazenamento de dados de eventos de origem que registra os eventos de gerenciamento e ativará o Insights. Para o --insights-destination parâmetro, especifique o ARN (ou o sufixo de ID doARN) do armazenamento de dados do evento de destino que registrará os eventos do Insights.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    O resultado a seguir mostra o seletor de eventos do Insights que está configurado para o armazenamento de dados de eventos.

    { "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }

    Depois de ativar o CloudTrail Insights pela primeira vez em um armazenamento de dados de eventos, pode levar até 7 dias CloudTrail para entregar o primeiro evento do Insights, se uma atividade incomum for detectada.

    CloudTrail O Insights analisa eventos de gerenciamento que ocorrem em uma única região, não globalmente. Um evento do CloudTrail Insights é gerado na mesma região em que seus eventos de gerenciamento de apoio são gerados.

    Para um armazenamento de dados de eventos da organização, CloudTrail analisa os eventos de gerenciamento da conta de cada membro em vez de analisar a agregação de todos os eventos de gerenciamento da organização.

Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte AWS CloudTrail Preços.

Registrando eventos do Insights com o AWS SDKs

Execute a GetInsightSelectorsoperação para ver se seu armazenamento de dados de trilhas ou eventos habilita eventos do Insights. Você pode configurar suas trilhas ou armazenamentos de dados de eventos para habilitar eventos do Insights com a PutInsightSelectorsoperação. Para obter mais informações, consulte a AWS CloudTrail APIReferência.