Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Registro de eventos de actividad de la red
CloudTrail los eventos de actividad de red permiten a los propietarios de puntos finales de VPC grabar las llamadas a la AWS API realizadas con sus puntos de enlace de VPC desde una VPC privada a. Servicio de AWS Los eventos de actividad de la red muestran información sobre las operaciones de recursos realizadas dentro de una VPC. Por ejemplo, registrar los eventos de actividad de la red puede ayudar a los propietarios de puntos de conexión de VPC a detectar intentos de acceso de credenciales ajenas a su organización a sus puntos de conexión de VPC.
Puede registrar los eventos de actividad de la red para los siguientes servicios:
+ AWS AppConfig
+ AWS App Mesh
+ Amazon Athena
+ Intercambio de datos de AWS B2B
+ AWS Backup gateway
+ Amazon Bedrock
+ Administración de facturación y costos
+ Calculadora de precios de AWS
+ AWS Cost Explorer
+ API de control de nube de AWS
+ AWS CloudHSM
+ AWS Cloud Map
+ AWS CloudFormation
+ AWS CloudTrail
+ Amazon CloudWatch
+ CloudWatch Señales de aplicación
+ AWS CodeDeploy
+ Amazon Comprehend Medical
+ AWS Config
+ Exportaciones de datos de AWS
+ Amazon Data Firehose
+ AWS Directory Service
+ Amazon DynamoDB
+ Amazon EC2
+ Amazon Elastic Container Service
+ Amazon Elastic File System
+ Elastic Load Balancing
+ Amazon EventBridge
+ Amazon EventBridge Scheduler
+ Amazon Fraud Detector
+ capa gratuita de AWS
+ Amazon FSx
+ AWS Glue
+ AWS HealthLake
+ AWS IoT FleetWise
+ AWS IoT Secure Tunneling
+ Facturación de AWS
+ Amazon Keyspaces (para Apache Cassandra)
+ AWS KMS
+ AWS Lake Formation
+ AWS Lambda
+ AWS License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Personalize
+ Amazon Q Business
+ Amazon Rekognition
+ Amazon Relational Database Service
+ Amazon S3
**nota**
Amazon S3 no admite [puntos de acceso de varias regiones](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRequests.html).
+ Amazon SageMaker AI
+ AWS Secrets Manager
+ Amazon Simple Notification Service
+ Amazon Simple Queue Service
+ Amazon Simple Workflow Service
+ AWS Storage Gateway
+ Administrador de incidentes de AWS Systems Manager
+ Amazon Textract
+ Amazon Transcribe
+ Amazon Translate
+ AWS Transform
+ Amazon Verified Permissions
+ Amazon WorkMail
Puede configurar tanto registros de seguimiento como almacenes de datos de eventos para registrar eventos de actividad de la red.
De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos no registran eventos de actividad de la red. Se aplican cargos adicionales por los eventos de actividad de la red. Para obtener más información, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/).
**Contents**
+ [Campos de los selectores de eventos avanzados para eventos de actividad de la red](#logging-network-events)
+ [Registrar los eventos de actividad de la red con el Consola de administración de AWS](#creating-network-event-selectors-with-the-console)
+ [Actualización de un registro de seguimiento existente para registrar los eventos de actividad de red](#log-network-events-trail-console)
+ [Actualización de un almacén de datos de eventos existente para registrar los eventos de actividad de red](#log-network-events-lake-console)
+ [Registrar los eventos de actividad de la red con el AWS Command Line Interface](#creating-network-event-selectors-with-the-AWS-CLI)
+ [Ejemplos: Registro de eventos de actividad de la red para registros de seguimiento](#logging-network-events-CLI-trail-examples)
+ [Ejemplo: registrar los eventos de actividad de la red para CloudTrail las operaciones](#logging-network-events-CLI-trail-all-ct)
+ [Ejemplo: Registra `VpceAccessDenied` eventos para AWS KMS](#logging-network-events-CLI-trail-kms)
+ [Ejemplo: registrar los eventos de `VpceAccessDenied` para Amazon S3](#logging-network-events-CLI-trail-s3)
+ [Ejemplo: Registrar eventos `VpceAccessDenied` de EC2 en un punto de conexión de VPC específico](#logging-network-events-CLI-trail-ec2)
+ [Ejemplo: registrar todos los eventos de administración y los eventos de actividad de la red para varios orígenes de los eventos](#logging-network-events-CLI-trail-multiple)
+ [Ejemplos: Registro de eventos de actividad de la red de los almacenes de datos de eventos](#logging-network-events-CLI-eds-examples)
+ [Ejemplo: registre todos los eventos de actividad de la red para las operaciones CloudTrail](#creating-network-events-eds-CLI-ct)
+ [Ejemplo: Registrar `VpceAccessDenied` eventos para AWS KMS](#creating-network-events-eds-CLI-kms)
+ [Ejemplo: Registrar eventos `VpceAccessDenied` de EC2 en un punto de conexión de VPC específico](#creating-network-events-eds-CLI-ec2)
+ [Ejemplo: registrar los eventos de `VpceAccessDenied` para Amazon S3](#creating-network-events-eds-CLI-s3)
+ [Ejemplo: registrar todos los eventos de administración y los eventos de actividad de la red para varios orígenes de los eventos](#creating-network-events-eds-CLI-multiple)
+ [Registrar eventos con el AWS SDKs](#logging-network-events-with-the-AWS-SDKs)
## Campos de los selectores de eventos avanzados para eventos de actividad de la red
Para configurar los selectores de eventos avanzados para registrar los eventos de actividad de la red, especifique el origen de los eventos para el que quiere registrar la actividad. Puede configurar selectores de eventos avanzados mediante la CloudTrail consola AWS SDKs AWS CLI, o.
Son necesarios los siguientes campos de los selectores de eventos avanzados para registrar eventos de actividad de la red:
+ `eventCategory`: para registrar eventos de actividad de la red, el valor debe ser `NetworkActivity`. `eventCategory` solo puede usar el operador `Equals`.
+ `eventSource`: origen cuyos eventos de actividad de la red quiere que se registren. `eventSource` solo puede usar el operador `Equals`. Si quiere registrar los eventos de actividad de la red para varios orígenes, debe crear un selector de campo independiente para cada origen de los eventos.
Los valores válidos son:
+ `aco-automation.amazonaws.com`
+ `appconfig.amazonaws.com`
+ `application-signals.amazonaws.com`
+ `appmesh.amazonaws.com`
+ `athena.amazonaws.com`
+ `b2bi.amazonaws.com`
+ `backup-gateway.amazonaws.com`
+ `bcm-data-exports.amazonaws.com`
+ `bcm-pricing-calculator.amazonaws.com`
+ `bedrock-agentcore.amazonaws.com`
+ `bedrock.amazonaws.com`
+ `billing.amazonaws.com`
+ `cassandra.amazonaws.com`
+ `ce.amazonaws.com`
+ `cloudcontrolapi.amazonaws.com`
+ `cloudformation.amazonaws.com`
+ `cloudhsm.amazonaws.com`
+ `cloudoptimization.amazonaws.com`
+ `cloudtrail.amazonaws.com`
+ `codedeploy.amazonaws.com`
+ `comprehend.amazonaws.com`
+ `comprehendmedical.amazonaws.com`
+ `config.amazonaws.com`
+ `ds.amazonaws.com`
+ `dynamodb.amazonaws.com`
+ `ec2.amazonaws.com`
+ `ecs.amazonaws.com`
+ `elasticfilesystem.amazonaws.com`
+ `elasticloadbalancing.amazonaws.com`
+ `events.amazonaws.com`
+ `firehose.amazonaws.com`
+ `frauddetector.amazonaws.com`
+ `freetier.amazonaws.com`
+ `fsx.amazonaws.com`
+ `glue.amazonaws.com`
+ `healthlake.amazonaws.com`
+ `invoicing.amazonaws.com`
+ `iot.amazonaws.com`
+ `iotfleetwise.amazonaws.com`
+ `iotsecuredtunneling.amazonaws.com`
+ `kms.amazonaws.com`
+ `lakeformation.amazonaws.com`
+ `lambda.amazonaws.com`
+ `license-manager.amazonaws.com`
+ `lookoutequipment.amazonaws.com`
+ `lookoutvision.amazonaws.com`
+ `monitoring.amazonaws.com`
+ `nova-act.amazonaws.com`
+ `personalize.amazonaws.com`
+ `qbusiness.amazonaws.com`
+ `rds.amazonaws.com`
+ `rekognition.amazonaws.com`
+ `rolesanywhere.amazonaws.com`
+ `s3.amazonaws.com`
+ `sagemaker.amazonaws.com`
+ `scheduler.amazonaws.com`
+ `secretsmanager.amazonaws.com`
+ `servicediscovery.amazonaws.com`
+ `sns.amazonaws.com`
+ `sqs.amazonaws.com`
+ `ssm-contacts.amazonaws.com`
+ `ssm.amazonaws.com`
+ `storagegateway.amazonaws.com`
+ `swf.amazonaws.com`
+ `textract.amazonaws.com`
+ `transcribe.amazonaws.com`
+ `transcribestreaming.amazonaws.com`
+ `transform-agents.amazonaws.com`
+ `transform-custom.amazonaws.com`
+ `transform.amazonaws.com`
+ `translate.amazonaws.com`
+ `user-subscriptions.amazonaws.com`
+ `verifiedpermissions.amazonaws.com`
+ `voiceid.amazonaws.com`
+ `workmail.amazonaws.com`
+ `workmailmessageflow.amazonaws.com`
Los siguientes campos del selector de eventos avanzado son opcionales:
+ `eventName`: acción solicitada por la que quiere filtrar. Por ejemplo, `CreateKey` o `ListKeys`. `eventName` puede usar cualquier operador.
+ `errorCode`: código de error solicitado por el que quiere filtrar. Actualmente, el único `errorCode` válido es `VpceAccessDenied`. Solo puede utilizar el operador `Equals` con `errorCode`.
+ `vpcEndpointId`: identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador con `vpcEndpointId`.
El registro de los eventos de actividad de la red está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. Para registrar los eventos de actividad de la CloudTrail red, debe configurar de forma explícita cada fuente de eventos para la que desee recopilar la actividad.
Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para CloudTrail conocer los precios, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/).
## Registrar los eventos de actividad de la red con el Consola de administración de AWS
Puede actualizar un registro de seguimiento o almacén de datos de eventos existente para registrar los eventos de actividad de red con la consola.
**Topics**
+ [Actualización de un registro de seguimiento existente para registrar los eventos de actividad de red](#log-network-events-trail-console)
+ [Actualización de un almacén de datos de eventos existente para registrar los eventos de actividad de red](#log-network-events-lake-console)
### Actualización de un registro de seguimiento existente para registrar los eventos de actividad de red
Siga este procedimiento para actualizar un registro de seguimiento existente para registrar los eventos de actividad de red.
**nota**
Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para obtener información acerca de los precios de CloudTrail, consulte [Precios de AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación izquierdo de la CloudTrail consola, abre la página **Rutas** y elige un nombre para la ruta.
1. Si el registro de seguimiento registra eventos de datos mediante selectores de eventos básicos, tendrá que cambiar a selectores de eventos avanzados para registrar los eventos de actividad de la red.
Siga estos pasos para cambiar a selectores de eventos avanzados:
1. En el área de **Eventos de datos**, anote los selectores de eventos de datos actuales. Al cambiar a selectores de eventos avanzados, se borrarán todos los selectores de eventos de datos existentes.
1. Seleccione **Editar** y, luego, seleccione **Cambiar a selectores de eventos avanzados**.
1. Vuelva a aplicar las selecciones de eventos de datos mediante selectores de eventos avanzados. Para obtener más información, consulte [Actualizar un registro de seguimiento para registrar eventos de datos con selectores de eventos avanzados mediante la consola](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-adv).
1. En **Eventos de actividad de la red**, elija **Editar**.
Para registrar eventos de actividad de la red, aplique estos pasos:
1. En **Origen de eventos de actividad de la red**, seleccione el origen de los eventos de actividad de la red.
1. Elija una plantilla en la sección **Log selector template** (Plantilla de selector de registros). Puede optar por registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o seleccionar **Personalizar** para crear un selector de registro personalizado que filtre por varios campos, como `eventName` y `vpcEndpointId`.
1. (Opcional) Escriba un nombre para identificar el selector. El nombre del selector aparece como **Nombre** en el selector de eventos avanzado y se puede ver si se amplía la **vista JSON**.
1. En **Selectores de eventos avanzados**, cree expresiones mediante la selección de valores para **Campo**, **Operador** y **Valor**. Puede omitir este paso si utiliza una plantilla de registro predefinida.
1. Para excluir o incluir eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.
+ **`eventName`**: puede utilizar cualquier operador con `eventName`. Puede utilizarlo para incluir o excluir cualquier evento, como `CreateKey`.
+ **`errorCode`**: puede usarlo para filtrar por un código de error. Actualmente, el único `errorCode` que se admite es `VpceAccessDenied`.
+ **`vpcEndpointId`**: identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador con `vpcEndpointId`.
1. En cada campo, seleccione **\+ Condición** para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
1. Elija **\+ Field (\+ campos)** para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
1. Para agregar otro origen de eventos de actividad de la red que quiera registrar, seleccione **Agregar selector de eventos de actividad de la red**.
1. De manera opcional, expanda **JSON view** (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.
1. Elija **Guardar cambios** para guardar los cambios.
### Actualización de un almacén de datos de eventos existente para registrar los eventos de actividad de red
Siga este procedimiento para actualizar un almacén de datos de eventos existente y registrar los eventos de actividad de la red.
**nota**
Solo puede registrar los eventos de actividad de la red en los almacenes de datos de eventos del tipo **CloudTrail eventos**.
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación izquierdo de la CloudTrail consola, en **Lake**, selecciona **Almacenes de datos de eventos**.
1. Elija el nombre del almacén de datos de eventos.
1. En **Eventos de actividad de la red**, elija **Editar**.
Para registrar eventos de actividad de la red, aplique estos pasos:
1. En **Origen de eventos de actividad de la red**, seleccione el origen de los eventos de actividad de la red.
1. Elija una plantilla en la sección **Log selector template** (Plantilla de selector de registros). Puede optar por registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o seleccionar **Personalizar** para crear un selector de registro personalizado que filtre por varios campos, como `eventName` y `vpcEndpointId`.
1. (Opcional) Escriba un nombre para identificar el selector. El nombre del selector aparece como **Nombre** en el selector de eventos avanzado y se puede ver si se amplía la **vista JSON**.
1. En **Selectores de eventos avanzados**, cree expresiones mediante la selección de valores para **Campo**, **Operador** y **Valor**. Puede omitir este paso si utiliza una plantilla de registro predefinida.
1. Para excluir o incluir eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.
+ **`eventName`**: puede utilizar cualquier operador con `eventName`. Puede utilizarlo para incluir o excluir cualquier evento, como `CreateKey`.
+ **`errorCode`**: puede usarlo para filtrar por un código de error. Actualmente, el único `errorCode` que se admite es `VpceAccessDenied`.
+ **`vpcEndpointId`**: identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador con `vpcEndpointId`.
1. En cada campo, seleccione **\+ Condición** para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
1. Elija **\+ Field (\+ campos)** para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
1. Para agregar otro origen de eventos de actividad de la red que quiera registrar, seleccione **Agregar selector de eventos de actividad de la red**.
1. De manera opcional, expanda **JSON view** (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.
1. Elija **Guardar cambios** para guardar los cambios.
## Registrar los eventos de actividad de la red con el AWS Command Line Interface
Puede configurar los registros de seguimiento o los almacenes de datos de eventos para que registren los eventos de actividad de la red con la AWS CLI.
**Topics**
+ [Ejemplos: Registro de eventos de actividad de la red para registros de seguimiento](#logging-network-events-CLI-trail-examples)
+ [Ejemplos: Registro de eventos de actividad de la red de los almacenes de datos de eventos](#logging-network-events-CLI-eds-examples)
### Ejemplos: Registro de eventos de actividad de la red para registros de seguimiento
Puede configurar los registros de seguimiento para que registren los eventos de actividad de la red con la AWS CLI. Ejecute el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html) para configurar los selectores de eventos avanzados para su registro de seguimiento.
Para consultar si su registro de seguimiento está registrando los eventos de actividad de la red, ejecute el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html).
**Topics**
+ [Ejemplo: registrar los eventos de actividad de la red para CloudTrail las operaciones](#logging-network-events-CLI-trail-all-ct)
+ [Ejemplo: Registra `VpceAccessDenied` eventos para AWS KMS](#logging-network-events-CLI-trail-kms)
+ [Ejemplo: registrar los eventos de `VpceAccessDenied` para Amazon S3](#logging-network-events-CLI-trail-s3)
+ [Ejemplo: Registrar eventos `VpceAccessDenied` de EC2 en un punto de conexión de VPC específico](#logging-network-events-CLI-trail-ec2)
+ [Ejemplo: registrar todos los eventos de administración y los eventos de actividad de la red para varios orígenes de los eventos](#logging-network-events-CLI-trail-multiple)
#### Ejemplo: registrar los eventos de actividad de la red para CloudTrail las operaciones
El siguiente ejemplo muestra cómo configurar el registro para incluir todos los eventos de actividad de la red para las operaciones de la CloudTrail API, como `CreateTrail` las `CreateEventDataStore` llamadas. El valor del campo `eventSource` es `cloudtrail.amazonaws.com`.
```
aws cloudtrail put-event-selectors /
--trail-name {{TrailName}} /
--region {{region}} /
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
]
}
```
#### Ejemplo: Registra `VpceAccessDenied` eventos para AWS KMS
En el siguiente ejemplo se muestra cómo configurar el registro de seguimiento para incluir eventos `VpceAccessDenied` de AWS KMS. En este ejemplo, se establece el campo `errorCode` igual a los eventos `VpceAccessDenied` y el campo `eventSource` igual a `kms.amazonaws.com`.
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### Ejemplo: registrar los eventos de `VpceAccessDenied` para Amazon S3
En el siguiente ejemplo se muestra cómo configurar el registro de seguimiento para incluir eventos `VpceAccessDenied` de Amazon S3. En este ejemplo, se establece el campo `errorCode` igual a los eventos `VpceAccessDenied` y el campo `eventSource` igual a `s3.amazonaws.com`.
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### Ejemplo: Registrar eventos `VpceAccessDenied` de EC2 en un punto de conexión de VPC específico
En el siguiente ejemplo se muestra cómo configurar el registro de seguimiento para incluir eventos `VpceAccessDenied` de Amazon EC2 para un punto de conexión de VPC específico. En este ejemplo, se establece el campo `errorCode` igual a los eventos `VpceAccessDenied`, el campo `eventSource` igual a `ec2.amazonaws.com` y el `vpcEndpointId` igual al punto de conexión de VPC de interés.
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
]
}
```
#### Ejemplo: registrar todos los eventos de administración y los eventos de actividad de la red para varios orígenes de los eventos
El siguiente ejemplo configura un registro para registrar los eventos de administración y todos los eventos de actividad de la red para las CloudTrail fuentes de eventos de Amazon EC2 AWS KMS y Amazon S3. AWS Secrets Manager
```
aws cloudtrail put-event-selectors \
--region {{region}} /
--trail-name {{TrailName}} /
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
]
}
```
### Ejemplos: Registro de eventos de actividad de la red de los almacenes de datos de eventos
Puede configurar los almacenes de datos de eventos para que incluyan los eventos de actividad de la red con la AWS CLI. Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) para crear un nuevo almacén de datos de eventos para registrar los eventos de actividad de la red. Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html) para actualizar los selectores de eventos avanzados de un almacén de datos de eventos existente.
Para ver si el almacén de datos de eventos incluye eventos de actividad de la red, ejecute el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html).
```
aws cloudtrail get-event-data-store --event-data-store {{EventDataStoreARN}}
```
**Topics**
+ [Ejemplo: registre todos los eventos de actividad de la red para las operaciones CloudTrail](#creating-network-events-eds-CLI-ct)
+ [Ejemplo: Registrar `VpceAccessDenied` eventos para AWS KMS](#creating-network-events-eds-CLI-kms)
+ [Ejemplo: Registrar eventos `VpceAccessDenied` de EC2 en un punto de conexión de VPC específico](#creating-network-events-eds-CLI-ec2)
+ [Ejemplo: registrar los eventos de `VpceAccessDenied` para Amazon S3](#creating-network-events-eds-CLI-s3)
+ [Ejemplo: registrar todos los eventos de administración y los eventos de actividad de la red para varios orígenes de los eventos](#creating-network-events-eds-CLI-multiple)
#### Ejemplo: registre todos los eventos de actividad de la red para las operaciones CloudTrail
El siguiente ejemplo muestra cómo crear un banco de datos de eventos que incluya todos los eventos de actividad de la red relacionados con CloudTrail las operaciones, como las llamadas a `CreateTrail` y`CreateEventDataStore`. El valor del campo `eventSource` se establece en `cloudtrail.amazonaws.com`.
```
aws cloudtrail create-event-data-store \
--name "{{EventDataStoreName}}" \
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
"Name": "EventDataStoreName",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### Ejemplo: Registrar `VpceAccessDenied` eventos para AWS KMS
El siguiente ejemplo muestra cómo crear un banco de datos de `VpceAccessDenied` eventos para incluir eventos AWS KMS. En este ejemplo, se establece el campo `errorCode` igual a los eventos `VpceAccessDenied` y el campo `eventSource` igual a `kms.amazonaws.com`.
```
aws cloudtrail create-event-data-store \
--name {{EventDataStoreName}} \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### Ejemplo: Registrar eventos `VpceAccessDenied` de EC2 en un punto de conexión de VPC específico
En el ejemplo siguiente, se muestra cómo crear un almacén de datos de eventos para que incluya eventos de `VpceAccessDenied` de Amazon EC2 para un punto de conexión de VPC específico. En este ejemplo, se establece el campo `errorCode` igual a los eventos `VpceAccessDenied`, el campo `eventSource` igual a `ec2.amazonaws.com` y el `vpcEndpointId` igual al punto de conexión de VPC de interés.
```
aws cloudtrail create-event-data-store \
--name {{EventDataStoreName}} \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### Ejemplo: registrar los eventos de `VpceAccessDenied` para Amazon S3
En el ejemplo siguiente, se muestra cómo crear un almacén de datos de eventos para que incluya eventos de `VpceAccessDenied` para Amazon S3. En este ejemplo, se establece el campo `errorCode` igual a los eventos `VpceAccessDenied` y el campo `eventSource` igual a `s3.amazonaws.com`.
```
aws cloudtrail create-event-data-store \
--name {{EventDataStoreName}} \
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### Ejemplo: registrar todos los eventos de administración y los eventos de actividad de la red para varios orígenes de los eventos
En los siguientes ejemplos, se actualiza un almacén de datos de eventos que actualmente solo registra eventos de administración para también registrar los eventos de actividad de la red de varios orígenes de eventos. Para actualizar un almacén de datos de eventos y agregar selectores de eventos nuevos, ejecute el comando `get-event-data-store` para volver a los selectores de eventos avanzados actuales. A continuación, ejecute el comando `update-event-data-store` y pase el `--advanced-event-selectors` que incluye los selectores actuales además de los selectores nuevos. Para registrar los eventos de actividad de la red para varios orígenes, incluya un selector para cada origen de los eventos que quiere registrar.
```
aws cloudtrail update-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
El comando devuelve el siguiente resultado de ejemplo.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00"
}
```
## Registrar eventos con el AWS SDKs
Ejecute la [GetEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html)operación para comprobar si su ruta registra los eventos de actividad de la red. Puede configurar sus rutas para registrar los eventos de actividad de la red ejecutando la [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)operación. Para obtener más información, consulte la [Referencia de la API de AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).
Ejecute la [GetEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventDataStore.html)operación para comprobar si el almacén de datos de eventos registra los eventos de actividad de la red. Puede configurar sus almacenes de datos de eventos para incluir eventos de actividad de red ejecutando las [UpdateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html)operaciones [CreateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateEventDataStore.html)o y especificando selectores de eventos avanzados. Para obtener más información, consulte [Cree, actualice y gestione almacenes de datos de eventos con AWS CLI](lake-eds-cli.md) y la [AWS CloudTrail API Reference](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).