Eventos de administración Eventos de lectura y escritura Registro de eventos de administración con la Consola de administración de AWS Registro de eventos de administración con la AWS CLI Registro de eventos de administración con los SDK de AWS

Registro de eventos de administración

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos registran eventos de administración y no incluyen datos ni eventos de Insights.

Se aplican cargos adicionales por los eventos de datos o de Insights. Para más información, consulte Precios de AWS CloudTrail.

Contenido

Eventos de administración

Los eventos de administración proporcionan visibilidad de las operaciones de administración que se realizan en los recursos de una cuenta de AWS. Se denominan también operaciones del plano de control. Algunos ejemplos de eventos de administración son los siguientes:

Configuración de la seguridad (por ejemplo, operaciones de la API AttachRolePolicy de IAM)
Registro de dispositivos (por ejemplo, operaciones de la API CreateDefaultVpc de Amazon EC2)
Configuración de reglas para el enrutamiento de datos (por ejemplo, operaciones de la API CreateSubnet de Amazon EC2)
Configuración del registro (por ejemplo, operaciones de la API AWS CloudTrail de CreateTrail)

Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en su cuenta, CloudTrail registra el evento ConsoleLogin. Para obtener más información, consulte Eventos no generados por la API capturados por CloudTrail.

De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos están configurados para registrar eventos de administración.

nota

La característica Event history (Historial de eventos) de CloudTrail admite únicamente eventos de administración. No puede excluir a AWS KMS ni a eventos de la API de datos de Amazon RDS del Historial de eventos; la configuración que se aplica a un registro de seguimiento o almacén de datos de eventos no se aplica al Historial de eventos. Para obtener más información, consulte Trabajar con el historial de eventos de CloudTrail.

Eventos de lectura y escritura

Cuando configure su registro de seguimiento o almacén de datos de eventos para registrar eventos de administración, puede indicar si desea que se registren eventos de solo lectura, de solo escritura, o ambos.

Lectura

Los eventos de solo lectura incluyen los roles de API que leen sus recursos, pero no realizan cambios. Por ejemplo, los eventos de solo lectura incluyen las operaciones de la API de Amazon EC2 DescribeSecurityGroups y DescribeSubnets. Estas operaciones devuelven únicamente información sobre sus recursos de Amazon EC2 y no cambian las configuraciones.
Escritura

Los eventos de solo escritura incluyen funciones de API que modifican (o podrían modificar) sus recursos. Por ejemplo, las operaciones de la API de Amazon EC2 RunInstances y TerminateInstances modifican sus instancias.

Ejemplo: Registro de eventos de lectura y escritura en registros de seguimiento individuales

El ejemplo siguiente muestra cómo puede configurar registros de seguimiento para dividir la actividad de registro de una cuenta en diferentes buckets de S3: un bucket recibe los eventos de solo lectura y un segundo bucket, aquellos de solo escritura.

Usted crea un registro de seguimiento y elige un bucket de S3 llamado amzn-s3-demo-bucket1 para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración de Read (Lectura).
Usted crea un segundo registro de seguimiento y elige un bucket de S3 denominado amzn-s3-demo-bucket2 para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración de escritura.
En su cuenta se generan las operaciones de la API DescribeInstances y TerminateInstances de Amazon EC2.
La operación de API DescribeInstances es un evento de solo lectura y coincide con la configuración del primer registro de seguimiento. El registro de seguimiento registra y envía el evento a amzn-s3-demo-bucket1.
La operación de API TerminateInstances es un evento de solo escritura y coincide con la configuración del segundo registro de seguimiento. El registro de seguimiento registra y envía el evento a amzn-s3-demo-bucket2.

Registro de eventos de administración con la Consola de administración de AWS

En esta sección, se describe cómo actualizar la configuración de eventos de administración de un registro de seguimiento o almacén de datos de eventos existentes.

Temas

Actualización de la configuración de los eventos de administración de un registro de seguimiento existente
Actualización de la configuración de eventos de administración de un almacén de datos de eventos existente

Actualización de la configuración de los eventos de administración de un registro de seguimiento existente

Utilice los siguientes procedimientos para actualizar la configuración de eventos de administración de un registro de seguimiento existente.

Inicie sesión en la Consola de administración de AWS y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.
Abra la página Trails (Registros de seguimiento) de la consola de CloudTrail y elija el nombre del registro de seguimiento.
En Management events (Eventos de administración), elija Edit (Editar).
- Elija si quiere registrar eventos de Lectura, Escritura o ambos.
- Elija Excluir eventos de AWS KMS para filtrar eventos de AWS Key Management Service (AWS KMS) del registro de seguimiento. La configuración predeterminada es incluir a todos los eventos de AWS KMS.
  
  La opción para registrar o excluir eventos de AWS KMS solo se encuentra disponible si registra eventos de administración en su registro de seguimiento. Si elige no registrar eventos de administración, no se registran eventos de AWS KMS y no podrá cambiar la configuración del registro de eventos de AWS KMS.
  
  En general, las acciones de AWS KMS como Encrypt, Decrypt y GenerateDataKey generan un gran volumen (más del 99 %) de eventos. Estas acciones se registran ahora como eventos de lectura. Las acciones relevantes y de bajo volumen de AWS KMS, como Disable, Delete y ScheduleKey (que normalmente representan menos del 0,5 % del volumen de eventos de AWS KMS) se registran como eventos de Escritura.
  
  Para excluir eventos de gran volumen como Encrypt, Decrypt y GenerateDataKey, y seguir registrando eventos relevantes como Disable, Delete y ScheduleKey, elija registrar eventos de administración Write (Escritura) y desmarque la casilla de verificación Exclude AWS KMS events (Excluir eventos de KMS).
- Elija Exclude Amazon RDS Data API events (Excluir eventos de API de datos de Amazon RDS) para quitar del registro de seguimiento los eventos de API de datos de Amazon Relational Database Service. La configuración predeterminada es incluir a todos los eventos de la API de datos de Amazon RDS. A fin de obtener más información sobre los eventos de API de datos de Amazon RDS, consulte Registro de llamadas a la API de datos con AWS CloudTrail en la Guía del usuario de Amazon RDS para Aurora.
Cuando haya terminado, seleccione Guardar cambios.

Actualización de la configuración de eventos de administración de un almacén de datos de eventos existente

Inicie sesión en la Consola de administración de AWS y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.
Abra la página Almacenes de datos de eventos de la consola de CloudTrail y seleccione el nombre del almacén de datos de eventos.
Para los Eventos de administración, elija Editar y, luego, configure los siguientes ajustes:
1. Elija entre la Recopilación de eventos simple o la Recopilación de eventos avanzada:
  - Elija Recopilación de eventos simple si desea registrar todos los eventos, registrar solo los eventos de lectura o registrar solo los eventos de escritura. También tiene la opción de elegir excluir los eventos de administración de AWS Key Management Service y la API de datos de Amazon RDS.
  - Elija Recopilación avanzada de eventos si desea incluir o excluir los eventos de administración en función de los valores de los campos del selector de eventos avanzado, como los campos eventName, eventType, eventSource y userIdentity.arn.
2. Si seleccionó la Recopilación de eventos simple, elija si quiere registrar todos los eventos, registrar solo los eventos de lectura o registrar solo los eventos de escritura. También tiene la opción de elegir excluir los eventos de administración de AWS KMS y de Amazon RDS.
3. Si seleccionó la Recopilación de eventos avanzada, realice las siguientes selecciones:
  1. En la Plantilla de selector de registros, elija una plantilla predefinida o Personalizada para crear una configuración personalizada basada en los valores de los campos del selector de eventos avanzado.
    
    Puede elegir entre las siguientes plantillas predefinidas:
    - Registrar todos los eventos: elija esta plantilla para registrar todos los eventos.
    - Registrar solo eventos de lectura: elija esta plantilla para registrar solo eventos de lectura. Los eventos de solo lectura son eventos que no cambian el estado de un recurso, como los eventos Get* o Describe*.
    - Registrar solo eventos de escritura: elija esta plantilla para registrar solo eventos de escritura. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*.
    - Registrar solo eventos de la Consola de administración de AWS: elija esta plantilla para registrar solo los eventos que se originan en la Consola de administración de AWS.
    - Excluir eventos iniciados de Servicio de AWS: elija esta plantilla para excluir los eventos de Servicio de AWS que tienen un eventType de AwsServiceEvent y los eventos iniciados con roles vinculados a Servicio de AWS (SLR).
  2. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de administración de las sesiones de la Consola de administración de AWS”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.
  3. Si eligió Personalizado, en los Selectores de eventos avanzados cree una expresión basada en los valores de los campos del selector de eventos avanzado.
    
    nota
    Los selectores no admiten el uso de caracteres comodín como *. Para hacer coincidir varios valores con una sola condición, puede usar StartsWith, EndsWith, NotStartsWith o NotEndsWith a fin de hacer coincidir de manera explícita el principio o el final del campo de evento.
    1. Elija uno de los siguientes campos.
      readOnly: readOnly se puede establecer en igual a un valor true o false. Cuando se establece en false, el almacén de datos de eventos registra eventos de administración de solo escritura. Los eventos de administración de solo lectura son eventos que no cambian el estado de un recurso, como los eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar los eventos Lectura y Escritura, no agregue un selector de readOnly.
      
      eventName – eventName puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de administración, como CreateAccessPoint o GetAccessPoint.
      
      userIdentity.arn: incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte Elemento userIdentity de CloudTrail.
      
      sessionCredentialFromConsole: incluya o excluya los eventos que se originan en una sesión de Consola de administración de AWS. Este campo se puede establecer como igual o no igual con un valor de true.
      
      eventSource: puede usarlo para incluir o excluir orígenes de eventos específicos. El eventSource suele ser una forma abreviada del nombre del servicio sin espacios más .amazonaws.com. Por ejemplo, podría establecer el valor eventSource igual a en ec2.amazonaws.com para registrar solo los eventos de administración de Amazon EC2.
      
      eventType: el Tipo de evento que se va a incluir o excluir. Por ejemplo, puede establecer este campo en no igual a AwsServiceEvent para excluir eventos de Servicio de AWS.
    2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
      
      Para obtener información sobre cómo evalúa CloudTrail varias condiciones, consulte Cómo evalúa CloudTrail varias condiciones de un campo.
      
      nota
      Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.
    3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
  4. De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.
4. Seleccione Habilitar la captura de eventos de Insights para activar Insights. Para habilitar Insights, debe configurar un almacén de datos de eventos de destino para recopilar los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos.
  
  Si decide habilitar Insights, haga lo siguiente.
  1. Elija el almacén de eventos de destino que registrará los eventos de Insights. El almacén de datos de eventos de destino recopilará los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos. Para obtener información acerca de cómo crear un almacén de datos de eventos de destino, consulte Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights.
  2. Elija los tipos de Insights. Puede elegir la tasa de llamadas a la API, la tasa de errores de la API o ambas. Debe registrar los eventos de administración de escritura para registrar los eventos de Insights para calcular la tasa de llamadas a la API. Debe registrar los eventos de administración de lectura o escritura para registrar los eventos de Insights para calcular la tasa de errores de la API.
Cuando haya terminado, seleccione Guardar cambios.

Registro de eventos de administración con la AWS CLI

Puede configurar sus registros de seguimiento o los almacenes de datos de eventos para que registren los eventos de administración con la AWS CLI.

Temas

Ejemplos: Registro de eventos de administración para los registros de seguimiento
Ejemplos: Registros de eventos de administración para los almacenes de datos de eventos

Ejemplos: Registro de eventos de administración para los registros de seguimiento

Para saber si su registro de seguimiento está registrando los eventos de administración, ejecute el comando get-event-selectors.


aws cloudtrail get-event-selectors --trail-name TrailName

El ejemplo siguiente devuelve la configuración predeterminada de un registro de seguimiento. De forma predeterminada, los registros de seguimiento registran todos los eventos de administración, registran los eventos de todos los orígenes de eventos y no registran los eventos de datos.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ]
}

Puede utilizar selectores de eventos básicos o avanzados para registrar eventos de administración. No puede aplicar selectores de eventos ni selectores de eventos avanzados a un registro de seguimiento. Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes. En las siguientes secciones se proporcionan ejemplos de cómo registrar los eventos de administración mediante selectores de eventos básicos y avanzados.

Temas

Ejemplos: Registro de eventos de administración para registros de seguimiento mediante selectores de eventos avanzados
Ejemplos: Registro de eventos de administración para registros de seguimiento mediante selectores de eventos básicos

Ejemplos: Registro de eventos de administración para registros de seguimiento mediante selectores de eventos avanzados

En el siguiente ejemplo se crea un selector de eventos avanzados para un registro de seguimiento denominado TrailName que incluye eventos de administración de solo lectura y de solo escritura (se omite el selector readOnly), pero excluye los eventos de AWS Key Management Service (AWS KMS). Como los eventos de AWS KMS se tratan como eventos de administración y puede haber una gran cantidad de ellos, su factura de CloudTrail se puede ver incrementada si tiene más de un registro de seguimiento que captura eventos de administración.

Si elige no registrar eventos de administración, no se registran eventos de AWS KMS y no podrá cambiar la configuración del registro de eventos de AWS KMS.

Para comenzar de nuevo el registro de eventos de AWS KMS en un registro de seguimiento, quite el selector eventSource y ejecute de nuevo el comando.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except KMS events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
    ]
  }
]'

El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except KMS events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "kms.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

En el siguiente ejemplo se crea un selector de eventos avanzados para un registro de seguimiento denominado TrailName que incluye eventos de administración de solo lectura y de solo escritura (se omite el selector readOnly), pero excluye los eventos de administración de la API de datos de Amazon RDS. A fin de excluir eventos de administración de la API de datos de Amazon RDS, especifique el origen de los eventos de la API de datos de Amazon RDS en el valor de cadena del campo eventSource: rdsdata.amazonaws.com.

Si elige no registrar eventos de administración, no se registrarán los eventos de administración de la API de datos de Amazon RDS y no podrá cambiar la configuración del registro de eventos de la API de datos de Amazon RDS.

Para comenzar de nuevo a registrar eventos de administración de la API de datos de Amazon RDS en un registro de seguimiento, elimine el selector eventSource y ejecute de nuevo el comando.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except Amazon RDS Data API management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
    ]
  }
]'

El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except Amazon RDS Data API management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "rdsdata.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Para comenzar de nuevo el registro de eventos excluidos en un registro de seguimiento, quite el selector eventSource, como se muestra en el siguiente comando.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

Ejemplos: Registro de eventos de administración para registros de seguimiento mediante selectores de eventos básicos

Para configurar el registro de seguimiento para que registre los eventos de administración, ejecute el comando put-event-selectors. El ejemplo siguiente muestra cómo configurar su registro de seguimiento para que incluya todos los eventos de administración para dos objetos de S3. Puede especificar entre 1 y 5 selectores de eventos en los registros de seguimiento. Puede especificar entre 1 y 250 recursos de datos en los registros de seguimiento.

nota

El número máximo de recursos de datos de S3 es 250, independientemente del número de selectores de eventos.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'

El ejemplo siguiente devuelve el selector de eventos configurado para el registro de seguimiento.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Type": "AWS::S3::Object",
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ]  
                }
            ],
            "ExcludeManagementEventSources": []
        }
    ]
}

Para excluir los eventos de AWS Key Management Service (AWS KMS) del registro de seguimiento, ejecute el comando put-event-selectors y añada el atributo ExcludeManagementEventSources con un valor de kms.amazonaws.com. En el ejemplo siguiente se crea un selector de eventos para un registro de seguimiento denominado TrailName que incluye eventos de administración de solo lectura y de solo escritura, pero excluye los eventos de AWS KMS. Como AWS KMS puede generar un gran volumen de eventos, el usuario de este ejemplo podría querer limitar los eventos para administrar el costo de un registro de seguimiento.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'

El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "kms.amazonaws.com"
            ]
        }
    ]
}

Para excluir los eventos de administración de la API de datos de Amazon RDS del registro de seguimiento, ejecute el comando put-event-selectors y agregue el atributo ExcludeManagementEventSources con un valor de rdsdata.amazonaws.com. En el ejemplo siguiente se crea un selector de eventos para un registro de seguimiento denominado TrailName que incluye eventos de administración de solo lectura y de solo escritura, pero excluye los eventos de administración de la API de datos de Amazon RDS. Como la API de datos de Amazon RDS puede generar un gran volumen de eventos de administración, el usuario de este ejemplo debería limitar los eventos para administrar el costo de un registro de seguimiento.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "rdsdata.amazonaws.com"
            ]
        }
    ]
}

Para comenzar de nuevo el registro de eventos de administración de la API de datos de AWS KMS o Amazon RDS en un registro de seguimiento, pase una cadena vacía como el valor de ExcludeManagementEventSources, como se muestra en el siguiente comando.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Para registrar eventos de AWS KMS relevantes en un seguimiento como Disable, Delete y ScheduleKey, y excluir eventos de AWS KMS de gran volumen como Encrypt, Decrypt y GenerateDataKey, registre eventos de administración de solo escritura y mantenga la configuración predeterminada para registrar eventos de AWS KMS, como se muestra en el ejemplo siguiente.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Ejemplos: Registros de eventos de administración para los almacenes de datos de eventos

Los eventos de administración de los almacenes de datos de eventos se registran mediante la configuración de los selectores de eventos avanzados.

Los siguientes campos del selector de eventos avanzado son compatibles para registrar eventos de administración en los almacenes de datos de eventos:

eventCategory: debe configurarse eventCategory igual a Management para registrar los eventos de administración. Este campo es obligatorio.
readOnly: readOnly se puede establecer en Equals un valor de true o false. Cuando se establece en false, el almacén de datos de eventos registra eventos de administración de solo escritura. Los eventos de administración de solo lectura son eventos que no cambian el estado de un recurso, como los eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar los eventos Lectura y Escritura, no agregue un selector de readOnly.
eventName – eventName puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de administración, como CreateAccessPoint o GetAccessPoint. Puede utilizar cualquier operador con este campo.
userIdentity.arn: incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte Elemento userIdentity de CloudTrail.
sessionCredentialFromConsole: incluya o excluya los eventos que se originan en una sesión de Consola de administración de AWS. Este campo se puede establecer como igual o NotEquals con un valor de true.
eventSource: puede usarlo para incluir o excluir orígenes de eventos específicos. El eventSource suele ser una forma abreviada del nombre del servicio sin espacios más .amazonaws.com. Por ejemplo, podría establecer el eventSource Equals en ec2.amazonaws.com para registrar solo los eventos de administración de Amazon EC2.
eventType: el Tipo de evento que se va a incluir o excluir. Por ejemplo, puede establecer este campo en NotEquals AwsServiceEvent a fin de excluir eventos de Servicio de AWS. Puede utilizar cualquier operador con este campo.

Para ver si el almacén de datos de eventos incluye eventos de administración, ejecute el comando get-event-data-store.


aws cloudtrail get-event-data-store
--event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

A continuación, se muestra un ejemplo de respuesta. Las horas de creación y última actualización están en formato timestamp.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "myManagementEvents",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00",
    "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00"
}

Para crear un almacén de datos de eventos que incluya todos los eventos de administración, ejecute el comando create-event-data-store. No es necesario especificar ningún selector de eventos avanzado para incluir todos los eventos de administración.


aws cloudtrail create-event-data-store
--name my-event-data-store
--retention-period 90\

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00",
    "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00"
}

Ejemplos:

Ejemplo: excluir los eventos de administración de AWS KMS
Ejemplo: excluir los eventos de administración de Amazon RDS
Ejemplo: excluir los eventos de Servicio de AWS y eventos de las sesiones de la Consola de administración de AWS
Ejemplo: excluir los eventos de administración para una identidad de IAM específica

Ejemplo: excluir los eventos de administración de AWS KMS

Para crear un almacén de datos de eventos que excluya los eventos de AWS Key Management Service (AWS KMS), ejecute el comando create-event-data-store y especifique que eventSource no es igual que kms.amazonaws.com. En el ejemplo siguiente se crea un almacén de datos de eventos que incluye eventos de administración de solo lectura y de solo escritura, pero excluye los eventos de AWS KMS.


aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]}
        ]
    }
]'

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "kms.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

Ejemplo: excluir los eventos de administración de Amazon RDS

Para crear un almacén de datos de eventos que excluya los eventos de administración de la API de datos de Amazon RDS, ejecute el comando create-event-data-store y especifique que eventSource no es igual que rdsdata.amazonaws.com. En el ejemplo siguiente se crea un almacén de datos de eventos que incluye eventos de administración de solo lectura y de solo escritura, pero excluye los eventos de la API de datos de Amazon RDS.


aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]}
        ]
    }
]'

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "rdsdata.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

Ejemplo: excluir los eventos de Servicio de AWS y eventos de las sesiones de la Consola de administración de AWS

En el siguiente ejemplo, se crea un almacén de datos de eventos que registra los eventos de administración, pero excluye los eventos de Servicio de AWS y eventos que se originan en las sesiones de Consola de administración de AWS.


aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
    {
        "Name": "Exclude Servicio de AWS and console events",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventType","NotEquals": ["AwsServiceEvent"]},
            {"Field": "sessionCredentialFromConsole","NotEquals": ["true"]}
        ]
    }
]'

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Exclude Servicio de AWS and console events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventType",
                    "NotEquals": [
                        "AwsServiceEvent"
                    ]
                },
                {
                    "Field": "sessionCredentialFromConsole",
                    "NotEquals": [
                        "true"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}

Ejemplo: excluir los eventos de administración para una identidad de IAM específica

En el siguiente ejemplo, se crea un almacén de datos de eventos que registra los eventos de administración, pero excluye los eventos que genera bucket-scanner-role userIdentity.


aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
    {
        "Name": "Exclude events generated by bucket-scanner-role userIdentity",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "userIdentity.arn","NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]}
        ]
    }
]'

A continuación, se muestra un ejemplo de respuesta.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Exclude events generated by bucket-scanner-role userIdentity",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "userIdentity.arn",
                    "NotStartsWith": [
                        "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}

Registro de eventos de administración con los SDK de AWS

Utilice la operación GetEventSelectors para saber si el registro de seguimiento está registrando los eventos de administración para un registro de seguimiento. Puede configurar sus registros de seguimiento para que registren los eventos de administración con la operación PutEventSelectors. Para obtener más información, consulte la Referencia de la API de AWS CloudTrail.

Ejecute la operación GetEventDataStore para comprobar si su almacén de datos de eventos incluye los eventos de administración. Puede configurar sus almacenes de datos de eventos para incluir eventos de administración ejecutando las operaciones CreateEventDataStore o UpdateEventDataStore. Para obtener más información, consulte Creación, actualización y administración de almacenes de datos de eventos con la AWS CLI y la AWS CloudTrail API Reference.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Descripción de los eventos de CloudTrail

Eventos de datos