As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Crie um armazenamento de dados de eventos para eventos do Insights com o console
AWS CloudTrail Os insights ajudam AWS os usuários a identificar e responder a atividades incomuns associadas a API chamadas e taxas de API erro, analisando continuamente os eventos CloudTrail de gerenciamento. CloudTrail O Insights analisa seus padrões normais de volume de API chamadas e taxas de API erro, também chamados de linha de base, e gera eventos do Insights quando o volume de chamadas ou as taxas de erro estão fora dos padrões normais. Os eventos do Insights sobre o volume de API chamadas são gerados para write
gerenciamentoAPIs, e os eventos do Insights sobre a taxa de API erro são gerados para ambos read
e para o write
gerenciamentoAPIs.
Para registrar eventos do Insights no CloudTrail Lake, você precisa de um armazenamento de dados de eventos de destino que registre eventos do Insights e um armazenamento de dados de eventos de origem que permita o Insights e eventos de gerenciamento de registros.
nota
Para registrar eventos do Insights sobre o volume de API chamadas, o armazenamento de dados de eventos de origem deve registrar os eventos write
de gerenciamento. Para registrar eventos do Insights sobre a taxa de API erro, o armazenamento de dados de eventos de origem deve registrar read
ou write
gerenciar eventos.
Se você tiver o CloudTrail Insights ativado em um armazenamento de dados de eventos de origem e CloudTrail detectar atividades incomuns, CloudTrail entrega os eventos do Insights ao seu armazenamento de dados de eventos de destino. Ao contrário de outros tipos de eventos capturados em um CloudTrail armazenamento de dados de eventos, os eventos do Insights são registrados somente quando CloudTrail detectam alterações no API uso da sua conta que diferem significativamente dos padrões de uso típicos da conta.
Depois de ativar o CloudTrail Insights pela primeira vez em um armazenamento de dados de eventos, pode levar até 7 dias CloudTrail para entregar o primeiro evento do Insights, se uma atividade incomum for detectada.
CloudTrail O Insights analisa eventos de gerenciamento que ocorrem em uma única região, não globalmente. Um evento do CloudTrail Insights é gerado na mesma região em que seus eventos de gerenciamento de apoio são gerados.
Para um armazenamento de dados de eventos da organização, CloudTrail analisa os eventos de gerenciamento da conta de cada membro em vez de analisar a agregação de todos os eventos de gerenciamento da organização.
Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos em CloudTrail Lake. Para obter informações sobre CloudTrail preços, consulte AWS CloudTrail Preços
Tópicos
Para criar um armazenamento de dados de eventos de destino que registra eventos do Insights
Ao criar um armazenamento de dados de eventos do Insights, você tem a opção de escolher um armazenamento de dados de eventos de origem existente que registra os eventos de gerenciamento e, em seguida, especificar os tipos de Insights que deseja receber. Ou, como alternativa, é possível habilitar o Insights em um armazenamento de dados de eventos novo ou existente depois de criar seu armazenamento de dados de eventos do Insights e, em seguida, escolher esse armazenamento de dados de eventos como o armazenamento de dados de eventos de destino.
Este procedimento mostra como criar um armazenamento de dados de eventos de destino que registra eventos do Insights
-
Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/
. -
No painel de navegação, abra o submenu Lake e escolha Event data stores (Armazenamentos de dados de eventos).
-
Selecione Create event data store (Criar armazenamento de dados de eventos).
-
Na página Configure event data store (Configurar armazenamento de dados de eventos), em General details (Detalhes gerais), insira um nome para o armazenamento de dados de eventos. Um nome é obrigatório.
-
Escolha a opção de preço que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail
e Gerenciando os custos CloudTrail do Lake. As seguintes opções estão disponíveis:
-
Preço de retenção extensível de um ano: geralmente recomendado se você espera ingerir menos de 25 TB de dados de eventos por mês e deseja um período de retenção flexível de até 10 anos. Nos primeiros 366 dias (o período de retenção padrão), o armazenamento é incluído sem custo adicional no preço de ingestão. Depois de 366 dias, a retenção estendida está disponível pelo pay-as-you-go preço. Esta é a opção padrão.
-
Período de retenção padrão: 366 dias
-
Período máximo de retenção: 3.653 dias
-
-
Preço de retenção de sete anos: recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 7 anos. A retenção está incluída no preço de ingestão sem custo adicional.
-
Período de retenção padrão: 2.557 dias
-
Período máximo de retenção: 2.557 dias
-
-
-
Especifique um período de retenção para o armazenamento de dados de eventos em dias. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de preço de retenção extensível de um ano ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de preço de retenção de sete anos. O armazenamento de dados de eventos retém os dados de eventos pelo número especificado de dias.
-
(Opcional) Para ativar o uso da criptografia AWS Key Management Service, escolha Usar minha própria AWS KMS key. Escolha Novo para AWS KMS key criar uma para você ou escolha Existente para usar uma KMS chave existente. Em Inserir KMS alias, especifique um alias, no formato
alias/
MyAliasName
. Usar sua própria KMS chave exige que você edite sua política de KMS chaves para permitir que CloudTrail os registros sejam criptografados e descriptografados. Para obter mais informações, consulteConfigure as AWS KMS principais políticas para CloudTrail. CloudTrail também suporta chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service .Usar sua própria KMS chave gera AWS KMS custos de criptografia e decodificação. Depois de associar um armazenamento de dados de eventos a uma KMS chave, a KMS chave não pode ser removida ou alterada.
nota
Para habilitar a AWS Key Management Service criptografia para um armazenamento de dados de eventos da organização, você deve usar uma KMS chave existente para a conta de gerenciamento.
-
(Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha Habilitar na federação de consultas do Lake. A federação permite que você visualize os metadados associados ao armazenamento de dados do evento no Catálogo de AWS Glue Dados e execute SQL consultas nos dados do evento no Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte Federar um armazenamento de dados de eventos.
Para habilitar a federação de consultas do Lake, escolha Habilitar e faça o seguinte:
-
Escolha se você deseja criar uma nova função ou usar uma IAM função existente. AWS Lake Formationusa essa função para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria uma nova função usando o CloudTrail console, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as permissões mínimas necessárias.
-
Se você estiver criando um perfil, insira um nome para identificá-lo.
-
Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta.
-
-
(Opcional) Na seção Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso ao seu armazenamento de dados de eventos. Para obter mais informações sobre como usar IAM políticas para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulteExemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags. Para obter mais informações sobre como você pode usar tags em AWS, consulte Como marcar seus AWS recursos no Guia do usuário de AWS recursos de marcação.
-
Escolha Next (Avançar) para configurar o armazenamento de dados de eventos.
-
Na página Escolher eventos, escolha AWS eventos e, em seguida, escolha Eventos do CloudTrail Insights.
-
Em eventos do CloudTrail Insights, faça o seguinte.
-
Escolha Permitir acesso de administrador delegado se quiser dar acesso ao administrador delegado da sua organização a esse armazenamento de dados de eventos. Essa opção só está disponível se você estiver conectado com a conta de gerenciamento de uma AWS Organizations organização.
-
(Opcional) Escolha um armazenamento de dados de eventos de origem existente que registre eventos de gerenciamento e especifique os tipos de Insights que deseja receber.
Para adicionar um armazenamento de dados de eventos de origem, faça o seguinte:
-
Escolha Adicionar armazenamento de dados de eventos de origem.
-
Escolha o armazenamento de dados de eventos de origem.
-
Escolha o Tipo de insights que deseja receber.
-
ApiCallRateInsight
— O tipoApiCallRateInsight
Insights analisa as API chamadas de gerenciamento somente de gravação que são agregadas por minuto em relação a um volume básico de chamadas. API Para receber insights deApiCallRateInsight
, o armazenamento de dados de eventos de origem deve registrar os eventos de gerenciamento de gravação. -
ApiErrorRateInsight
— O tipoApiErrorRateInsight
Insights analisa as API chamadas de gerenciamento que resultam em códigos de erro. O erro é exibido se a API chamada não for bem-sucedida. Para receber insights deApiErrorRateInsight
, o armazenamento de dados de eventos de origem deve registrar os eventos de gerenciamento de gravação ou de leitura.
-
-
Repita as duas etapas anteriores (ii e iii) para adicionar outros tipos de insights que você deseja receber.
-
-
-
Selecione Next (Próximo) para revisar suas escolhas.
-
Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha Create event data store (Criar armazenamento de dados de eventos).
-
O novo armazenamento de dados de eventos está visível na tabela Armazenamentos de dados de eventos na página Armazenamento de dados de eventos.
-
Se você não escolheu um armazenamento de dados de eventos de origem na etapa 10, siga as etapas em Para criar um armazenamento de dados de eventos de origem que registra eventos do Insights para criar um armazenamento de dados de eventos de origem.
Para criar um armazenamento de dados de eventos de origem que registra eventos do Insights
Este procedimento mostra como criar um armazenamento de dados de eventos de origem que habilita eventos do Insights e registra eventos de gerenciamento.
-
Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/
. -
No painel de navegação, abra o submenu Lake e escolha Event data stores (Armazenamentos de dados de eventos).
-
Selecione Create event data store (Criar armazenamento de dados de eventos).
-
Na página Configure event data store (Configurar armazenamento de dados de eventos), em General details (Detalhes gerais), insira um nome para o armazenamento de dados de eventos. Um nome é obrigatório.
-
Escolha a opção de preço que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail
e Gerenciando os custos CloudTrail do Lake. As seguintes opções estão disponíveis:
-
Preço de retenção extensível de um ano: geralmente recomendado se você espera ingerir menos de 25 TB de dados de eventos por mês e deseja um período de retenção flexível de até 10 anos. Nos primeiros 366 dias (o período de retenção padrão), o armazenamento é incluído sem custo adicional no preço de ingestão. Depois de 366 dias, a retenção estendida está disponível pelo pay-as-you-go preço. Esta é a opção padrão.
-
Período de retenção padrão: 366 dias
-
Período máximo de retenção: 3.653 dias
-
-
Preço de retenção de sete anos: recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 7 anos. A retenção está incluída no preço de ingestão sem custo adicional.
-
Período de retenção padrão: 2.557 dias
-
Período máximo de retenção: 2.557 dias
-
-
-
Especifique um período de retenção para o armazenamento de dados de eventos. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de preço de retenção extensível de um ano ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de preço de retenção de sete anos.
CloudTrail Lake determina se deve reter um evento verificando se o
eventTime
evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, CloudTrail removerá eventos quando forem mais antigos do que 90 dias.eventTime
-
(Opcional) Para ativar o uso da criptografia AWS Key Management Service, escolha Usar minha própria AWS KMS key. Escolha Novo para AWS KMS key criar uma para você ou escolha Existente para usar uma KMS chave existente. Em Inserir KMS alias, especifique um alias, no formato
alias/
MyAliasName
. Usar sua própria KMS chave exige que você edite sua política de KMS chaves para permitir que CloudTrail os registros sejam criptografados e descriptografados. Para obter mais informações, consulteConfigure as AWS KMS principais políticas para CloudTrail. CloudTrail também suporta chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service .Usar sua própria KMS chave gera AWS KMS custos de criptografia e decodificação. Depois de associar um armazenamento de dados de eventos a uma KMS chave, a KMS chave não pode ser removida ou alterada.
nota
Para habilitar a AWS Key Management Service criptografia para um armazenamento de dados de eventos da organização, você deve usar uma KMS chave existente para a conta de gerenciamento.
-
(Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha Habilitar na federação de consultas do Lake. A federação permite que você visualize os metadados associados ao armazenamento de dados do evento no Catálogo de AWS Glue Dados e execute SQL consultas nos dados do evento no Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte Federar um armazenamento de dados de eventos.
Para habilitar a federação de consultas do Lake, escolha Habilitar e faça o seguinte:
-
Escolha se você deseja criar uma nova função ou usar uma IAM função existente. AWS Lake Formationusa essa função para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria uma nova função usando o CloudTrail console, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as permissões mínimas necessárias.
-
Se você estiver criando um perfil, insira um nome para identificá-lo.
-
Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta.
-
-
(Opcional) Na seção Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso ao seu armazenamento de dados de eventos. Para obter mais informações sobre como usar IAM políticas para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulteExemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags. Para obter mais informações sobre como você pode usar tags em AWS, consulte Como marcar seus AWS recursos no Guia do usuário de AWS recursos de marcação.
-
Escolha Next (Avançar) para configurar o armazenamento de dados de eventos.
-
Na página Escolher eventos, escolha AWS eventos e, em seguida, escolha CloudTraileventos.
-
Em CloudTrail eventos, deixe a opção Eventos de gerenciamento selecionada.
-
Para que o armazenamento de dados do seu evento colete eventos de todas as contas em uma organização do AWS Organizations , selecione Enable for all accounts in my organization (Habilitar para todas as contas na minha organização). Você deve estar conectado à conta de gerenciamento da organização para criar um armazenamento de dados de eventos que habilite o Insights.
-
Expanda Configurações adicionais para escolher se você deseja que seu armazenamento de dados de eventos colete eventos para todos Regiões da AWS ou somente para os atuais Região da AWS, e escolha se o armazenamento de dados de eventos ingere eventos. Por padrão, seu armazenamento de dados de eventos coleta eventos de todas as regiões em sua conta e começa a ingerir eventos ao ser criado.
-
Opcionalmente, selecione Incluir somente a região atual no meu armazenamento de dados de eventos para incluir somente eventos que são registrados em log na região atual. Se você não escolher essa opção, o armazenamento de dados de eventos incluirá eventos de todas as regiões.
-
Mantenha a opção Ingerir eventos selecionada.
-
-
Escolha o tipo dos eventos de gerenciamento que você deseja incluir em seu armazenamento de dados de eventos. É possível escolher Ler, Gravar ou ambas. Pelo menos um é necessário.
nota
Para registrar eventos do Insights sobre o volume de API chamadas, o armazenamento de dados de eventos deve registrar os eventos
write
de gerenciamento. Para registrar eventos do Insights sobre a taxa de API erro, o armazenamento de dados de eventos deve registrarread
ouwrite
gerenciar eventos. -
Você pode optar por excluir AWS Key Management Service ou excluir API eventos do Amazon RDS Data do seu armazenamento de dados de eventos. Para obter mais informações sobre essas opções, consulte Log de eventos de gerenciamento.
-
Escolha Habilitar Insights.
-
Em Habilitar Insights, escolha o armazenamento de dados de eventos de destino que registrará os eventos do Insights. O armazenamento de dados de eventos de destino coletará eventos do Insights com base na atividade de gerenciamento de eventos nesse armazenamento de dados de eventos. Para obter informações sobre como criar o armazenamento de dados de eventos de destino, consulte Para criar um armazenamento de dados de eventos de destino que registra eventos do Insights.
-
Escolha os tipos de Insights. Você pode escolher a taxa de API chamadas, a taxa de API erro ou ambas. Você deve registrar eventos de gerenciamento de gravação para registrar eventos do Insights sobre a taxa de API chamadas. Você deve registrar eventos de gerenciamento de leitura ou gravação para registrar a taxa de API erro dos eventos do Insights.
-
Selecione Next (Próximo) para revisar suas escolhas.
-
Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha Create event data store (Criar armazenamento de dados de eventos).
-
O novo armazenamento de dados de eventos está visível na tabela Armazenamentos de dados de eventos na página Armazenamento de dados de eventos.
Deste ponto em diante, o armazenamento de dados de eventos captura eventos que correspondem aos seletores de eventos avançados. Depois de ativar o CloudTrail Insights pela primeira vez em seu armazenamento de dados de eventos de origem, pode levar até 7 dias CloudTrail para entregar o primeiro evento do Insights ao armazenamento de dados de eventos de destino, se uma atividade incomum for detectada.
Você pode visualizar o painel do CloudTrail Lake para visualizar os eventos do Insights em seu armazenamento de dados de eventos de destino. Para obter mais informações sobre painéis do Lake, consulte Veja os painéis do CloudTrail Lake com o console CloudTrail .
Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte AWS CloudTrail Preços