AWS CloudTrail
Guia do usuário (Versão 1.0)

Enviar eventos ao CloudWatch Logs

Quando você configura a sua trilha para enviar eventos para CloudWatch Logs, CloudTrail envia somente os eventos que correspondem às configurações da trilha. Por exemplo, se você configurar a sua trilha para registrar somente eventos de dados, ela enviará eventos de dados somente ao seu grupo de logs CloudWatch Logs. CloudTrail suportado pelo envio de dados e eventos de gerenciamento para CloudWatch Logs. Para obter mais informações, consulte Registro de eventos de dados e gerenciamento para trilhas.

Para enviar eventos a um grupo de log CloudWatch Logs:

  • Crie uma nova trilha ou especifique uma existente. Para obter mais informações, consulte Criar uma trilha com o console.

  • Crie um grupo de logs ou especifique um existente.

  • Especifique uma função IAM.

  • Anexe uma política de função ou use a política padrão.

Configurar o monitoramento CloudWatch Logs com o console

Você pode usar Console de gerenciamento da AWS para configurar a sua trilha para enviar eventos para CloudWatch Logs para monitoramento.

Criar um grupo de logs ou especificar um existente

CloudTrail usa um grupo de logs CloudWatch Logs como um endpoint de fornecimento de eventos de log. Você pode criar um grupo de logs ou especificar um existente.

Para criar ou especificar um grupo de logs

  1. Abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/.

  2. Escolha o nome da trilha. Se você escolher uma trilha que se aplica a todas as regiões, será redirecionado à região em que ela foi criada. Você pode criar um grupo de logs ou escolher um existente na mesma região que a trilha.

    nota

    Uma trilha que se aplica a todas as regiões envia arquivos de log de todas as regiões para o grupo de logs CloudWatch Logs que você especificar.

  3. Para CloudWatch Logs, escolha Configurar.

  4. Em New or existing log group, digite o nome do grupo do log e, em seguida, escolha Continue. Para obter mais informações, consulte CloudWatch Denominação do grupo de log e do fluxo de log para CloudTrail.

  5. Para a função IAM, escolha uma função existente ou crie uma. Se você criar uma função IAM, digite um nome para ela.

  6. Escolha Allow para conceder ao CloudTrail permissões para criar um fluxo de logs CloudWatch Logs e fornecer eventos.

Especificar uma função IAM

Você pode especificar uma função que CloudTrail deverá assumir para fornecer eventos ao fluxo de logs.

Para especificar uma função

  1. Por padrão, a CloudTrail_CloudWatchLogs_Role é especificada para você. A política de função padrão tem as permissões necessárias para criar um fluxo de logs CloudWatch Logs em um grupo de logs que você especificar e para fornecer eventos CloudTrail a esse fluxo de logs.

    1. Para verificar a função, acesse o console AWS Identity and Access Management em https://console.aws.amazon.com/iam/.

    2. Escolha Roles e, em seguida, escolha o CloudTrail_CloudWatchLogs_Role.

    3. Para ver o conteúdo da política de função, escolha View Policy Document.

  2. Você pode especificar outra função, mas deve anexar a política de função obrigatória à função existente, se deseja usá-la para enviar eventos para CloudWatch Logs. Para obter mais informações, consulte Documento de política função para CloudTrail usar CloudWatch Logs para monitoramento.

Visualizar eventos no console CloudWatch

Após configurar a sua trilha para enviar eventos para o seu grupo de log CloudWatch Logs, é possível visualizar os eventos no console CloudWatch. CloudTrail normalmente fornece os eventos para o seu grupo de log alguns minutos após uma chamada de API.

Para visualizar eventos no console CloudWatch

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. Escolha Logs.

  3. Escolha o grupo de logs que você especificou para a sua trilha.

  4. Escolha o nome do fluxo de logs.

  5. Para ver os detalhes do evento que sua trilha registrou, escolha um evento.

nota

A coluna Horário (UTC) no console CloudWatch mostra quando o evento foi fornecido ao seu grupo de logs. Para ver o horário real em que o evento foi registrado pelo CloudTrail, consulte o campo eventTime.

Configurar o monitoramento CloudWatch Logs com AWS CLI

Você pode usar AWS CLI para configurar CloudTrail para enviar eventos para CloudWatch Logs para monitoramento.

Criar um grupo de logs

  1. Se você não tem um grupo de logs existente, crie um grupo de logs CloudWatch Logs como um endpoint de fornecimento de eventos de log usando o comando CloudWatch Logs create-log-group.

    aws logs create-log-group --log-group-name name

    O exemplo a seguir cria um grupo de logs chamado CloudTrail/logs:

    aws logs create-log-group --log-group-name CloudTrail/logs
  2. Recupere o grupo de logs Nome de recurso da Amazon (ARN).

    aws logs describe-log-groups

Criar uma função

Crie uma função para CloudTrail que permita que ele envie eventos ao grupo de logs CloudWatch Logs. O comando IAM create-role usa dois parâmetros: um nome de função e um caminho de arquivo para um documento de política para assumir uma função no formato JSON. O documento de política que você usa concede a AssumeRole permissões de CloudTrail. O comando create-role cria a função com as permissões necessárias.

Para criar o arquivo JSON que conterá o documento de política, abra um editor de texto e salve o conteúdo de política a seguir em um arquivo chamado assume_role_policy_document.json.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Execute o comando a seguir para criar a função com permissões de AssumeRole para CloudTrail.

aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json

Quando o comando for concluído, anote o ARN da função no resultado.

Criar um documento de política

Crie o seguinte documento de política de função para CloudTrail. Este documento concede a CloudTrail as permissões necessárias para criar um fluxo de log CloudWatch Logs no grupo de log especificado e para fornecer eventos CloudTrail para esse fluxo de log.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] } ] }

Salve o documento de política em um arquivo chamado role-policy-document.json.

Execute o comando a seguir para aplicar a política à função.

aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json

Atualizar a trilha

Atualize a trilha com o grupo de log e as informações da função usando o comando CloudTrail update-trail.

aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn

Para obter mais informações sobre os comandos AWS CLI, consulte a AWS CloudTrailReferência de linha de comando.

Limitação

Como CloudWatch Logs tem uma limitação de tamanho de evento de 256 KB, CloudTrail não envia eventos maiores que 256 KB para CloudWatch Logs. Por exemplo, uma chamada para a API RunInstances do EC2 para ativar 500 instâncias excederá o limite de 256 KB. CloudTrail não enviará o evento para CloudWatch Logs. Para garantir que o CloudTrail envie eventos para CloudWatch Logs, divida solicitações grandes em lotes menores.