Registro de eventos de Insights para un registro de seguimiento mediante la AWS CLI Registro de eventos de Insights para un almacén de datos de eventos mediante la AWS CLI

Registro de eventos de Insights con la AWS CLI

Puede configurar sus registros de seguimiento y los almacenes de datos de eventos para que registren los eventos de Insights con la AWS CLI.

nota

Para registrar los eventos de Insights sobre las tasas de llamada a la API, el registro de seguimiento o almacén de datos de eventos debe registrar los eventos de administración de write. Para registrar los eventos de Insights sobre la tasa de errores de la API, el registro de seguimiento o el almacén de datos de eventos debe registrar los eventos de administración de read o write.

Temas

Registro de eventos de Insights para un registro de seguimiento mediante la AWS CLI
Registro de eventos de Insights para un almacén de datos de eventos mediante la AWS CLI

Registro de eventos de Insights para un registro de seguimiento mediante la AWS CLI

Para volver a los selectores de Insights actuales para un registro de seguimiento, ejecute el comando get-insight-selectors.


aws cloudtrail get-insight-selectors --trail-name TrailName

En el siguiente ejemplo de respuesta se muestran los selectores de Insights de un registro de seguimiento denominado insights-trail.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
    "InsightSelectors": [
        {
            "InsightType": "ApiCallRateInsight"
        },
        {
            "InsightType": "ApiErrorRateInsight"
        }
    ]
}

Si el registro de seguimiento no tiene Insights habilitado, el comando get-insight-selectors muestra el siguiente mensaje de error: “Se produjo un error (InsightNotEnabledException) al llamar a la operación GetInsightSelectors: el registro de seguimiento arn:aws:cloudtrail:us-east-1:123456789012:trail/trailName no tiene Insights habilitado. Edite la configuración de la traza para habilitar Insights y, a continuación, vuelva a intentar la operación”.

Para configurar el registro de seguimiento a fin de que registre los eventos de Insights, ejecute el comando put-insight-selectors. En el siguiente ejemplo se muestra cómo configurar el registro de seguimiento para incluir eventos de Insights. Los valores del selector de insights pueden ser ApiCallRateInsight, ApiErrorRateInsight o ambos.


aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

El siguiente resultado muestra el selector de eventos de Insights configurado para el registro de seguimiento.


{
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
 }

Registro de eventos de Insights para un almacén de datos de eventos mediante la AWS CLI

Para habilitar Insights en un almacén de datos de eventos, debe tener un almacén de datos de eventos de origen que registre los eventos de administración y un almacén de datos de eventos de destino que registre los eventos de Insights.

Para ver si los eventos de Insights están habilitados en un almacén de datos de eventos, ejecute el comando get-insight-selectors.


aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Para ver si un almacén de datos de eventos está configurado para recibir eventos de Insights o eventos de administración, ejecute el comando get-event-data-store.


aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

Si un almacén de datos de eventos está configurado para recibir eventos de Insights, la eventCategory se configurará en Insight.

En el siguiente procedimiento, se muestra cómo crear los almacenes de datos de eventos de origen y destino y, a continuación, habilitar los eventos de Insights.

Ejecute el comando aws cloudtrail create-event-data-store para crear un almacén de datos de eventos de destino que recopile los eventos de Insights. El valor para eventCategory debe ser Insight. Sustituya los retention-period-days con la cantidad de días que desea retener los eventos en su almacén de datos de eventos.

Si ha iniciado sesión con la cuenta de administración de una organización de AWS Organizations, incluya el parámetro --organization-enabled si desea dar acceso al administrador delegado al almacén de datos de eventos.


aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

A continuación, se muestra un ejemplo de respuesta.


{
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}

Utilizará el ARN (o el sufijo ID del ARN) de la respuesta como valor del parámetro --insights-destination en el paso 3.

Ejecute el comando aws cloudtrail create-event-data-store para crear un almacén de datos de eventos de origen que registre los eventos de administración. De forma predeterminada, los almacenes de datos de eventos registran eventos de administración. No es necesario que especifique ningún selector de eventos avanzado si desea registrar todos los eventos de administración. Sustituya los retention-period-days con la cantidad de días que desea retener los eventos en su almacén de datos de eventos. Si va a crear un almacén de datos de eventos de la organización, incluya el parámetro --organization-enabled.


aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}

Utilizará el ARN (o el sufijo ID del ARN) de la respuesta como valor del parámetro --event-data-store en el paso 3.

Ejecute el comando put-insight-selectors para habilitar los eventos de Insights. Los valores del selector de insights pueden ser ApiCallRateInsight, ApiErrorRateInsight o ambos. Para el parámetro --event-data-store, especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos de origen que registra los eventos de administración y habilitará Insights. Para el parámetro --insights-destination, especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos de destino que registrará los eventos de Insights.


aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

En el siguiente resultado, se muestra el selector de eventos de Insights configurado para el almacén de datos de eventos.


{
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

Después de habilitar CloudTrail Insights por primera vez en un almacén de datos de eventos, CloudTrail puede tardar hasta 7 días en empezar a entregar los eventos de Insights, siempre que se detecte actividad inusual en ese tiempo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registro de eventos de Insights con la consola de CloudTrail

Visualización de eventos de Insights para registros de seguimiento