Log de eventos de gerenciamento

Por padrão, as trilhas e os armazenamentos de dados de eventos registram em log os eventos de gerenciamento e não incluem eventos de dados nem eventos do Insights.

Há cobranças adicionais para eventos de dados ou eventos do Insights. Para obter mais informações, consulte Preços do AWS CloudTrail.

Sumário

• Eventos de gerenciamento
  • Registrando eventos de gerenciamento com o AWS Management Console
• Ler e gravar eventos
• Registrar eventos com o AWS Command Line Interface
  • Exemplos: registrar em log eventos de gerenciamento para trilhas
    • Exemplos: registro de eventos de gerenciamento para trilhas usando seletores de eventos avançados
    • Exemplos: registro de eventos de gerenciamento para trilhas usando seletores de eventos básicos
  • Exemplos: registrar em log eventos de gerenciamento para armazenamentos de dados de eventos
• Registro de eventos com os SDKs do AWS
• Envio de eventos para o Amazon CloudWatch Logs

Eventos de gerenciamento

Os eventos de gerenciamento fornecem visibilidade das operações de gerenciamento que são realizadas nos recursos AWS da sua conta. Elas também são conhecidas como operações de plano de controle. Exemplos de eventos de gerenciamento incluem:

• Configuração da segurança (por exemplo, operações de API AttachRolePolicy do IAM)

• Registro de dispositivos (por exemplo, operações de API CreateDefaultVpc do Amazon EC2)

• Configuração de regras para roteamento de dados (por exemplo, operações de API CreateSubnet do Amazon EC2)

• Configurando o registro (por exemplo, operações de AWS CloudTrail CreateTrail API)

Os eventos de gerenciamento também podem incluir eventos que não são de API que ocorrem na sua conta. Por exemplo, quando um usuário faz login na sua conta, CloudTrail registra o ConsoleLogin evento. Para ter mais informações, consulte Eventos não relacionados à API capturados por CloudTrail.

Por padrão, as trilhas e os armazenamentos de dados de eventos são configurados para registrar eventos de gerenciamento em log.

nota

O recurso Histórico de CloudTrail eventos oferece suporte somente a eventos de gerenciamento. Você não pode excluir AWS KMS nem os eventos da Amazon RDS Data API do histórico de eventos; as configurações que você aplica a um armazenamento de dados de trilhas ou eventos não se aplicam ao histórico de eventos. Para ter mais informações, consulte Trabalhando com o histórico de CloudTrail eventos.

Registrando eventos de gerenciamento com o AWS Management Console

1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

2. Para atualizar uma trilha, abra a página Trilhas do CloudTrail console e escolha o nome da trilha.

   Para atualizar um armazenamento de dados de eventos, abra a página Armazenamentos de dados de eventos do CloudTrail console e escolha o nome do armazenamento de dados de eventos.

3. Em Management events (Eventos de gerenciamento), escolha Edit (Editar).

   • Escolha se você deseja que sua trilha ou o armazenamento de dados de eventos registre eventos de Leitura, Gravação ou ambos.

   • Escolha Excluir AWS KMS eventos para filtrar AWS Key Management Service (AWS KMS) eventos do seu armazenamento de dados de trilhas ou eventos. A configuração padrão é incluir todos os AWS KMS eventos.

     A opção de registrar ou excluir AWS KMS eventos está disponível somente se você registrar eventos de gerenciamento em sua trilha ou armazenamento de dados de eventos. Se você optar por não registrar eventos de gerenciamento, os AWS KMS eventos não serão registrados e você não poderá alterar as configurações do registro de AWS KMS eventos.

     AWS KMS ações comoEncrypt,Decrypt, e GenerateDataKey normalmente geram um grande volume (mais de 99%) de eventos. Agora essas ações são registradas em log como eventos de Leitura. AWS KMS Ações relevantes de baixo volume, como DisableDelete, e ScheduleKey (que normalmente representam menos de 0,5% do volume de AWS KMS eventos) são registradas como eventos de gravação.

     Para excluir eventos de alto volumeEncrypt, comoDecrypt, eGenerateDataKey, mas ainda registrar eventos relevantesDisable, como Delete eScheduleKey, escolha registrar eventos de gerenciamento de gravação e desmarque a caixa de seleção Excluir AWS KMS eventos.

   • Escolha Excluir eventos da API de dados do Amazon RDS para filtrar eventos da API de dados do Amazon Relational Database Service e não incluí-los na trilha. A configuração padrão é incluir todos os eventos da API de dados do Amazon RDS. Para obter mais informações sobre eventos da API de dados do Amazon RDS, consulte Registrar em log chamadas da API de dados com o AWS CloudTrail no Manual do usuário do Amazon RDS for Aurora.

4. Após terminar, escolha Salvar alterações.

Ler e gravar eventos

Ao configurar a trilha ou o armazenamento de dados de eventos para registrar em log eventos de gerenciamento, é possível especificar se você deseja eventos somente leitura, eventos somente gravação, ou ambos.

• Read

  Os eventos somente leitura incluem operações de API que leem seus recursos, mas não fazem alterações. Por exemplo, os eventos somente leitura incluem as operações de API DescribeSecurityGroups e DescribeSubnets do Amazon EC2. Essas operações retornam apenas informações sobre os recursos do Amazon EC2. Elas não alteram suas configurações.

• Write

  Os eventos somente gravação incluem operações de API que modificam (ou podem modificar) seus recursos. Por exemplo, as operações de API RunInstances e TerminateInstances do Amazon EC2 modificam suas instâncias.

Exemplo: registro de eventos de leitura e gravação para trilhas separadas

O exemplo a seguir mostra como você pode configurar as trilhas para dividir as atividades de log de uma conta em buckets do S3 separados: um bucket recebe eventos somente leitura e um segundo bucket recebe eventos somente gravação.

1. Crie uma trilha e escolha um bucket do S3 chamado read-only-bucket para receber os arquivos de log. Depois, atualize a trilha para especificar se deseja eventos de gerenciamento somente Read (Leitura).

2. Crie uma segunda trilha e escolha um bucket do S3 chamado write-only-bucket para receber os arquivos de log. Então, atualize a trilha para especificar se deseja eventos de gerenciamento somente Write (Gravação).

3. As operações de API DescribeInstances e TerminateInstances do Amazon EC2 ocorrem na sua conta.

4. A operação de API DescribeInstances é um evento somente leitura que corresponde às configurações da primeira trilha. A trilha registra e fornece o evento ao read-only-bucket.

5. A operação de API TerminateInstances é um evento somente gravação que corresponde às configurações da segunda trilha. A trilha registra e fornece o evento ao write-only-bucket.

Registrar eventos com o AWS Command Line Interface

É possível configurar suas trilhas ou seus armazenamentos de dados de eventos para registrar eventos de gerenciamento em log usando a AWS CLI.

Tópicos

• Exemplos: registrar em log eventos de gerenciamento para trilhas
• Exemplos: registrar em log eventos de gerenciamento para armazenamentos de dados de eventos

Exemplos: registrar em log eventos de gerenciamento para trilhas

Para visualizar se a trilha está registrando em log os eventos de gerenciamento, execute o comando get-event-selectors.

aws cloudtrail get-event-selectors --trail-name TrailName

O exemplo a seguir retorna as configurações padrão de uma trilha. Por padrão, as trilhas registram em log todos os eventos de gerenciamento, registram em log eventos de todas as origens de evento e não registram em log eventos de dados.

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ]
}

Você pode usar seletores de eventos básicos ou avançados para registrar eventos de gerenciamento. Não é possível aplicar seletores de eventos e seletores de eventos avançados a uma trilha. Se você aplicar seletores de eventos avançados a uma trilha, todos os seletores de eventos básicos existentes serão substituídos. As seções a seguir fornecem exemplos de como registrar eventos de gerenciamento usando seletores de eventos avançados e seletores de eventos básicos.

Tópicos

• Exemplos: registro de eventos de gerenciamento para trilhas usando seletores de eventos avançados
• Exemplos: registro de eventos de gerenciamento para trilhas usando seletores de eventos básicos

Exemplos: registro de eventos de gerenciamento para trilhas usando seletores de eventos avançados

O exemplo a seguir cria um seletor de eventos avançado para uma trilha chamada TrailNamepara incluir eventos de gerenciamento somente para leitura e somente gravação (omitindo o readOnly seletor), mas para excluir eventos (). AWS Key Management Service AWS KMS Como AWS KMS os eventos são tratados como eventos de gerenciamento e podem haver um grande volume deles, eles podem ter um impacto substancial em sua CloudTrail fatura se você tiver mais de uma trilha que capture eventos de gerenciamento.

Se você optar por não registrar eventos de gerenciamento, os AWS KMS eventos não serão registrados e você não poderá alterar as configurações do registro de AWS KMS eventos.

Para começar a registrar AWS KMS eventos em uma trilha novamente, remova o eventSource seletor e execute o comando novamente.

aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except KMS events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
    ]
  }
]'

O exemplo retorna os seletores de eventos avançados configurados para a trilha.

{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except KMS events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "kms.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Para começar a registrar eventos excluídos para uma trilha novamente, remova o seletor eventSource e execute o comando novamente.

aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

O próximo exemplo cria um seletor de eventos avançado para uma trilha nomeada para incluir eventos de gerenciamento somente TrailNamepara leitura e somente gravação (omitindo o readOnly seletor), mas para excluir eventos de gerenciamento da API de dados do Amazon RDS. Para excluir eventos de gerenciamento da API de dados do Amazon RDS, especifique a origem do evento da API de dados do Amazon RDS no valor da string para o eventSource campo:. rdsdata.amazonaws.com

Se você optar por não registrar eventos de gerenciamento, os eventos de gerenciamento da API de dados do Amazon RDS não serão registrados e você não poderá alterar as configurações de registro de eventos da API de dados do Amazon RDS.

Para começar a registrar novamente os eventos de gerenciamento da API de dados do Amazon RDS em uma trilha, remova o eventSource seletor e execute o comando novamente.

aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except Amazon RDS Data API management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
    ]
  }
]'

O exemplo retorna os seletores de eventos avançados configurados para a trilha.

{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except Amazon RDS Data API management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "rdsdata.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Para começar a registrar eventos excluídos para uma trilha novamente, remova o seletor eventSource e execute o comando novamente.

aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

Exemplos: registro de eventos de gerenciamento para trilhas usando seletores de eventos básicos

Para configurar a trilha para registrar em log eventos de gerenciamento, execute o comando put-event-selectors. O exemplo a seguir mostra como configurar a trilha para incluir todos os eventos de gerenciamento para dois objetos do S3. Você pode especificar seletores de eventos de 1 a 5 para uma trilha. Você pode especificar recursos de dados de 1 a 250 para uma trilha.

nota

O número máximo de recursos de dados do S3 é 250, independentemente do número de seletores de evento.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'

O exemplo a seguir retorna o seletor de evento configurado para a trilha.

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Type": "AWS::S3::Object",
                    "Values": [
                        "arn:aws:s3:::mybucket/prefix",
                        "arn:aws:s3:::mybucket2/prefix2",
                    ]  
                }
            ],
            "ExcludeManagementEventSources": []
        }
    ]
}

Para excluir eventos AWS Key Management Service (AWS KMS) dos registros de uma trilha, execute o put-event-selectors comando e adicione o atributo ExcludeManagementEventSources com um valor dekms.amazonaws.com. O exemplo a seguir cria um seletor de eventos para uma trilha chamada TrailNamepara incluir eventos de gerenciamento somente para leitura e somente gravação, mas exclui eventos. AWS KMS Como AWS KMS pode gerar um grande volume de eventos, o usuário neste exemplo pode querer limitar os eventos para gerenciar o custo de uma trilha.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'

O exemplo a seguir retorna o seletor de eventos configurado para a trilha:

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "kms.amazonaws.com"
            ]
        }
    ]
}

Para excluir eventos de gerenciamento da API de dados do Amazon RDS dos registros de uma trilha, execute o put-event-selectors comando e adicione o atributo ExcludeManagementEventSources com um valor derdsdata.amazonaws.com. O exemplo a seguir cria um seletor de eventos para uma trilha nomeada para incluir eventos de gerenciamento somente TrailNamepara leitura e somente gravação, mas exclui eventos de gerenciamento da API de dados do Amazon RDS. Como a API de dados do Amazon RDS pode gerar um alto volume de eventos de gerenciamento, o usuário neste exemplo pode querer limitar os eventos para gerenciar o custo de uma trilha.

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "rdsdata.amazonaws.com"
            ]
        }
    ]
}

Para começar a registrar AWS KMS novamente os eventos de gerenciamento da API de dados do Amazon RDS em uma trilha, passe uma string vazia como o valor deExcludeManagementEventSources, conforme mostrado no comando a seguir.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Para registrar AWS KMS eventos relevantes em uma trilhaDisable, como Delete eScheduleKey, mas excluir AWS KMS eventos de alto volumeEncrypt, comoDecrypt, eGenerateDataKey, registrar eventos de gerenciamento somente para gravação e manter a configuração padrão para registrar AWS KMS eventos, conforme mostrado no exemplo a seguir.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Exemplos: registrar em log eventos de gerenciamento para armazenamentos de dados de eventos

Para verificar se o armazenamento de dados de eventos inclui eventos de gerenciamento, execute o comando get-event-data-store.

aws cloudtrail get-event-data-store
--event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

A seguir, uma exemplo de resposta. A criação e os horários da última atualização estão no formato timestamp.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "myManagementEvents",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00",
    "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00"
}

Para criar um armazenamento de dados de eventos que inclua todos os eventos de gerenciamento, execute o comando create-event-data-store. Não é necessário especificar nenhum seletor de eventos avançado para incluir todos os eventos de gerenciamento.

aws cloudtrail create-event-data-store
--name my-event-data-store
--retention-period 90\

A seguir, uma exemplo de resposta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00",
    "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00"
}

Para criar um armazenamento de dados de eventos que exclua AWS Key Management Service (AWS KMS) eventos, execute o create-event-data-store comando e especifique que eventSource não seja igualkms.amazonaws.com. O exemplo a seguir cria um armazenamento de dados de eventos que inclui eventos de gerenciamento somente para leitura e somente gravação, mas exclui eventos. AWS KMS

aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]}
        ]
    }
]'

A seguir, uma exemplo de resposta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "kms.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

Para criar um armazenamento de dados de eventos que exclua eventos de gerenciamento da API de dados do Amazon RDS, execute o create-event-data-store comando e especifique que eventSource não é igual. rdsdata.amazonaws.com O exemplo a seguir cria um armazenamento de dados de eventos que inclui eventos de gerenciamento somente leitura e somente gravação, mas exclui eventos da API de dados do Amazon RDS.

aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]}
        ]
    }
]'

A seguir, uma exemplo de resposta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "rdsdata.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

Registro de eventos com os SDKs do AWS

Use a GetEventSelectorsoperação para ver se sua trilha está registrando eventos de gerenciamento de uma trilha. Você pode configurar suas trilhas para registrar eventos de gerenciamento com a PutEventSelectorsoperação. Para obter mais informações, consulte a AWS CloudTrail Referência da API do .

Execute a GetEventDataStoreoperação para ver se seu armazenamento de dados de eventos inclui eventos de gerenciamento. Você pode configurar seus armazenamentos de dados de eventos para incluir eventos de gerenciamento executando as UpdateEventDataStoreoperações CreateEventDataStoreou. Para obter mais informações, consulte a Crie, atualize e gerencie armazenamentos de dados de eventos com o AWS CLI e a Referência da API do AWS CloudTrail.

Envio de eventos para o Amazon CloudWatch Logs

Para trilhas, CloudTrail suporta o envio de dados e eventos de gerenciamento para o CloudWatch Logs. Quando você configura sua trilha para enviar eventos ao seu grupo de CloudWatch registros de registros, CloudTrail envia somente os eventos que você especifica na trilha. Por exemplo, se você configurar sua trilha para registrar somente eventos de gerenciamento, ela entregará eventos de gerenciamento somente ao seu grupo de CloudWatch registros de registros. Para ter mais informações, consulte Monitoramento CloudTrail de arquivos de log com o Amazon CloudWatch Logs.