Trabajar con archivos de registros de CloudTrail - AWS CloudTrail

Trabajar con archivos de registros de CloudTrail

Puede realizar tareas más avanzadas con sus archivos de CloudTrail.

  • Para monitorear los archivos de registros de CloudTrail, envíelos a CloudWatch Logs.

  • Comparta archivos de registros entre cuentas.

  • Utilice la biblioteca de procesamiento de CloudTrail de AWS para escribir aplicaciones de procesamiento de registros en Java.

  • Valide los archivos de registros para verificar que no hayan cambiado después de que CloudTrail los ha enviado.

Cuando se produce un evento en su cuenta, CloudTrail evalúa si coincide con la configuración de sus registros de seguimiento. Solo se envían al bucket de Amazon S3 y al grupo de registros de Amazon CloudWatch Logs los eventos que coinciden con la configuración del registro de seguimiento.

Puede configurar varios registros de seguimiento de forma distinta, de modo que procesen y registren únicamente los eventos que especifique. Por ejemplo, un registro de seguimiento puede registrar eventos de datos de solo lectura y de administración, con el fin de que todos los eventos de solo lectura se envíen a un bucket de S3. Otro registro de seguimiento puede registrar únicamente eventos de datos de solo escritura y de administración, con el fin de que todos los eventos de solo escritura se envíen a un bucket de S3 independiente.

También puede configurar sus registros de seguimiento con un registro para que envíe todos los eventos de administración a un bucket de S3 y otro que registre y envíe todos los eventos de datos a otro bucket de S3.

Puede configurar sus registros de seguimiento para que registren lo siguiente:

  • Datos de eventos: estos eventos proporcionan visibilidad de las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos.

  • Eventos de administración: proporcionan visibilidad de las operaciones de administración que se realizan en los recursos de su cuenta de AWS. Se denominan también operaciones del plano de control. Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en su cuenta, CloudTrail registra el evento ConsoleLogin. Para obtener más información, consulte Eventos no generados por la API capturados por CloudTrail.

  • Eventos de actividad de la red: los eventos de actividad de la red de CloudTrail permiten a los propietarios del punto de conexión de VPC grabar las llamadas a la API de AWS realizadas con sus puntos de conexión de VPC desde una VPC privada al Servicio de AWS. Los eventos de actividad de la red muestran información sobre las operaciones de recursos realizadas dentro de una VPC.

  • Eventos de Insights: capturan la actividad inusual que se detecta en la cuenta. Si ha habilitado eventos de Insights y CloudTrail detecta actividad inusual, los eventos de Insights se registran en el bucket de S3 de destino para su registro de seguimiento, pero en una carpeta diferente. También puede ver el tipo de evento de Insights y el periodo de tiempo del incidente si consulta los eventos de Insights en la consola de CloudTrail. A diferencia de otros tipos de eventos capturados en un registro de seguimiento de CloudTrail, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el uso de la API de su cuenta que difieren considerablemente de los patrones de uso típicos de la cuenta.

    Los eventos de Insights solo se generan para las API de administración. Para obtener más información, consulte Trabajar con CloudTrail Insights.

nota

En general, CloudTrail envía registros en un plazo de 5 minutos tras una llamada a la API. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el Acuerdo de nivel de servicio de AWS CloudTrail.

Si configura mal su registro de seguimiento (por ejemplo, si no se puede acceder al bucket de S3), CloudTrail intentará volver a entregar los archivos de registro a su bucket de S3 durante 30 días, y estos eventos de intento de entrega estarán sujetos a los cargos estándar de CloudTrail. Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.

Temas