¿Cómo utilizo CloudTrail para revisar qué llamadas y acciones a la API se han producido en mi cuenta de AWS?

5 minutos de lectura
0

¿Cómo puedo revisar las acciones que se han producido en mi cuenta de AWS, tales como los inicios de sesión en la consola o la finalización de una instancia?

Breve descripción

Puede usar los datos de AWS CloudTrail para ver y realizar un seguimiento de las llamadas a la API realizadas a su cuenta, de la siguiente manera:

**Nota:**No todos los servicios de AWS disponen de registros almacenados y disponibles con CloudTrail. Para obtener una lista de los servicios de AWS integrados con CloudTrail, consulte los Temas relacionados con los servicios de AWS para CloudTrail.

Resolución

Nota: Si se produce algún error durante la ejecución de los comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de utilizar la versión más reciente de AWS CLI.

Historial de eventos de CloudTrail

**Revisar el historial de eventos de CloudTrail con la consola de CloudTrail **

Puede consultar todos los servicios compatibles e integraciones y tipos de eventos (crear, modificar, eliminar y actividades no mutables) de los últimos 90 días. No necesita configurar una ruta para usar el historial de eventos de CloudTrail.

Para obtener instrucciones, consulte Visualizar eventos de CloudTrail en la consola de CloudTrail.

Revisar historial de eventos de CloudTrail mediante la CLI de AWS

**Nota:**Para buscar eventos mediante la CLI de AWS, debe tener una ruta creada y configurada para iniciar sesión en CloudWatch Logs. Para obtener más información, consulte Crear una ruta. Consulte también Enviar eventos a CloudWatch Logs.

Utilice el comando filter-log-events para aplicar filtros métricos con el fin de buscar términos, frases y valores específicos en los eventos del registro. A continuación, puede transformarlos en métricas y alarmas de CloudWatch.

Para obtener más información, consulte Sintaxis de filtros y patrones.

Nota:Para utilizar el comando ** filter-log-events a escala (por ejemplo, una automatización o un script), se recomienda utilizar los filtros de suscripción de CloudWatch Logs. Esto se debe a que la acción de la API ** filter-log-events tiene límites de API. Los filtros de suscripción no tienen esos límites. Los filtros de suscripción también permiten procesar grandes cantidades de datos de registro en tiempo real. Para obtener más información, consulte cuotas de CloudWatch Logs.

CloudTrail Lake

CloudTrail Lake le permite agregar, almacenar de forma inmutable y ejecutar consultas basadas en SQL sobre sus eventos. Puede almacenar incluso datos en CloudTrail Lake durante un máximo de siete años o 2555 días.

Para obtener más información, consulte Trabajar con AWS CloudTrail Lake.

Amazon CloudWatch Logs

**Nota:**Para usar CloudWatch Logs, debe tener una ruta creada y configurada para iniciar sesión en CloudWatch Logs. Para obtener más información, consulte Crear una ruta. Consulte también Enviar eventos a CloudWatch Logs.

Puede usar CloudWatch Logs para buscar operaciones que cambien el estado de un recurso (por ejemplo, StopInstances). También puede usar CloudWatch Logs para buscar operaciones que no cambien el estado de un recurso (por ejemplo, DescribeInstances). Para obtener instrucciones, consulte Ver los datos de registro enviados a CloudWatch Logs.

Tenga en cuenta lo siguiente:

Consultas de Amazon Athena

Puede usar Amazon Athena para ver los eventos de datos y los eventos de administración de CloudTrail almacenados en su bucket de Amazon S3.

Para obtener más información, consulte ¿Cómo creo automáticamente tablas en Amazon Athena para buscar en los registros de AWS CloudTrail?Consulte también Crear tabla para los registros de CloudTrail en Athena mediante la creación de particiones manual.

Archivos de registro almacenados de Amazon S3

**Nota:**Para ver los archivos de registro almacenados de Amazon S3, debe tener una ruta creada y configurada para iniciar sesión en un bucket de S3. Para obtener más información, consulte Crear una ruta.

Puede ver todos los eventos capturados por CloudTrail en los archivos de registro de Amazon S3. También puede analizar manualmente los archivos de registro del bucket de S3 mediante la biblioteca de procesamiento de CloudTrail, AWS CLI o enviar registros a los asociados de AWS CloudTrail.

Para obtener instrucciones, consulte los eventos de Amazon S3 CloudTrail.

**Nota:**Debe tener una ruta activada para iniciar sesión en un bucket de S3.


Información relacionada

¿Qué es Registros de Amazon CloudWatch?

Creación de métricas a partir de eventos de registro mediante filtros

La consola de AWS Config ahora muestra los eventos de API asociados a los cambios de configuración

Creación de alarmas de CloudWatch para eventos de CloudTrail: ejemplos

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años