Registrar los eventos de Insights con el AWS CLI - AWS CloudTrail
Registrar los eventos de Insights para una ruta mediante el AWS CLIRegistrar los eventos de Insights para un banco de datos de eventos mediante el AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registrar los eventos de Insights con el AWS CLI

Puede configurar sus registros de seguimiento y los almacenes de datos de eventos para que registren los eventos de Insights con la AWS CLI.

nota

Para obtener información sobre los eventos de gestión: para registrar los eventos de Insights en la tasa de llamadas de la API, el almacén de datos de seguimiento o de eventos debe registrar los eventos write de administración. Para registrar los eventos de Insights en la tasa de errores de la API, el banco de datos de seguimiento o evento debe registrarlos read o write gestionarlos.

En el caso de Data Events Insights: para registrar los eventos de Insights en la tasa de llamadas a la API o la tasa de errores de la API, el registro debe registrar read o registrar write los eventos de datos.

Registrar los eventos de Insights para una ruta mediante el AWS CLI

Para volver a los selectores de Insights actuales para un registro de seguimiento, ejecute el comando get-insight-selectors.

aws cloudtrail get-insight-selectors --trail-name TrailName

En el siguiente ejemplo de respuesta se muestran los selectores de Insights de un registro de seguimiento denominado insights-trail.

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
    "InsightSelectors": [
        {
            "InsightType": "ApiCallRateInsight",
            "EventCategories": [
                "Management",
                "Data"
            ]
        },
        {
            "InsightType": "ApiErrorRateInsight",
            "EventCategories": [
                "Management",
                "Data"
            ]
        }
    ]
}

Si el sendero no tiene Insights activado, el get-insight-selectors comando devuelve el siguiente mensaje de error: «Se ha producido un error (InsightNotEnabledException) al llamar a la GetInsightSelectors operación: Trail arn:aws:cloudtrail:us-east- 1:123456789012:trail/TrailName no tiene Insights activado. Edite la configuración de la traza para habilitar Insights y, a continuación, vuelva a intentar la operación”.

Para configurar el registro de seguimiento a fin de que registre los eventos de Insights, ejecute el comando put-insight-selectors. En el siguiente ejemplo se muestra cómo configurar el registro de seguimiento para incluir eventos de Insights. Los valores del selector de insights pueden ser ApiCallRateInsight, ApiErrorRateInsight o ambos. Cada uno InsightType EventCategory de ellos se puede habilitar EventCategory para la administración, los datos o ambos.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight", "EventCategories": ["Data"]},{"InsightType": "ApiErrorRateInsight", "EventCategories": ["Data", "Management"]}]'

El siguiente resultado muestra el selector de eventos de Insights configurado para el registro de seguimiento.

{
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight",
            "EventCategories": [ 
                "Data"  
            ]
         },
         {
            "InsightType": "ApiCallRateInsight",
            "EventCategories": [ 
                "Data",    
                "Management" 
            ]
         }
      ]
 }

Registrar los eventos de Insights para un banco de datos de eventos mediante el AWS CLI

Para habilitar Insights en un almacén de datos de eventos, debe tener un almacén de datos de eventos de origen que registre los eventos de administración y un almacén de datos de eventos de destino que registre los eventos de Insights.

Para ver si los eventos de Insights están habilitados en un almacén de datos de eventos, ejecute el comando get-insight-selectors.

aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Para ver si un almacén de datos de eventos está configurado para recibir eventos de Insights o eventos de administración, ejecute el comando get-event-data-store.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

Si un almacén de datos de eventos está configurado para recibir eventos de Insights, la eventCategory se configurará en Insight.

En el siguiente procedimiento, se muestra cómo crear los almacenes de datos de eventos de origen y destino y, a continuación, habilitar los eventos de Insights.

  1. Ejecute el comando aws cloudtrail create-event-data-store para crear un almacén de datos de eventos de destino que recopile los eventos de Insights. El valor para eventCategory debe ser Insight. retention-period-daysReemplácelo por el número de días que desea conservar los eventos en su almacén de datos de eventos.

    Si ha iniciado sesión con la cuenta de administración de una organización de AWS Organizations , incluya el parámetro --organization-enabled si desea dar acceso al administrador delegado al almacén de datos de eventos.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    A continuación, se muestra un ejemplo de respuesta.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}

    Utilizará el ARN (o el sufijo ID del ARN) de la respuesta como valor del parámetro --insights-destination en el paso 3.

  2. Ejecute el comando aws cloudtrail create-event-data-store para crear un almacén de datos de eventos de origen que registre los eventos de administración. De forma predeterminada, los almacenes de datos de eventos registran eventos de administración. No es necesario que especifique ningún selector de eventos avanzado si desea registrar todos los eventos de administración. retention-period-daysSustitúyalo por el número de días que deseas conservar los eventos en tu almacén de datos de eventos. Si va a crear un almacén de datos de eventos de la organización, incluya el parámetro --organization-enabled.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    A continuación, se muestra un ejemplo de respuesta.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}

    Utilizará el ARN (o el sufijo ID del ARN) de la respuesta como valor del parámetro --event-data-store en el paso 3.

  3. Ejecute el comando put-insight-selectors para habilitar los eventos de Insights. Los valores del selector de insights pueden ser ApiCallRateInsight, ApiErrorRateInsight o ambos. Para el parámetro --event-data-store, especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos de origen que registra los eventos de administración y habilitará Insights. Para el parámetro --insights-destination, especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos de destino que registrará los eventos de Insights.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    En el siguiente resultado, se muestra el selector de eventos de Insights configurado para el almacén de datos de eventos.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

Después de activar CloudTrail Insights por primera vez en un almacén de datos de eventos, es CloudTrail posible que pasen hasta 7 días hasta que comience a publicarse los eventos de Insights, siempre que se detecte una actividad inusual durante ese tiempo.