Como uso o CloudTrail para analisar quais chamadas e ações de API ocorreram na minha conta da AWS?
Como posso analisar as ações que ocorreram em minha conta da AWS, como logins no console ou encerramento de uma instância?
Breve descrição
É possível usar os dados do AWS CloudTrail para visualizar e monitorar chamadas de API feitas em sua conta usando:
- Histórico de eventos do CloudTrail
- CloudTrail Lake
- Amazon CloudWatch Logs
- Consultas do Amazon Athena
- Arquivos de log arquivados do Amazon Simple Storage Service (Amazon S3)
Observação: nem todos os serviços da AWS apresentam logs registrados e disponíveis com o CloudTrail. Obtenha uma lista dos serviços da AWS integrados ao CloudTrail consultando tópicos de serviços da AWS para o CloudTrail.
Resolução
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI.
Histórico de eventos do CloudTrail
Revisar o histórico de eventos do CloudTrail usando o console do CloudTrail
Veja todos os tipos de eventos, serviços e integrações compatíveis (criar, modificar, excluir e atividades não mutáveis) dos últimos 90 dias. Não é necessário configurar uma trilha para usar o histórico de eventos do CloudTrail.
Obtenha instruções consultando Visualizar eventos do CloudTrail no console do CloudTrail.
Analisar o histórico de eventos do CloudTrail usando a AWS CLI
Observação: para pesquisar eventos usando a AWS CLI, é necessário ter uma trilha criada e configurada para fazer login no Amazon CloudWatch Logs. Obtenha mais informações consultando Criar uma trilha. Além disso, Enviar eventos para o Amazon CloudWatch Logs.
Use o comando filter-log-events para aplicar filtros métricos a pesquisas de termos, frases e valores específicos em seus eventos de logs. Em seguida, transforme-os em métricas e alarmes do Amazon CloudWatch.
Obtenha mais informações consultando Sintaxe de filtros e padrões.
Observação: para usar o comando filter-log-events em grande escala (por exemplo, automação ou um script), a prática recomendada é usar filtros de assinatura do Amazon CloudWatch Logs. Isso ocorre porque a ação da API filter-log-events tem limites de API. Os filtros de assinatura não têm esses limites. Os filtros de assinatura também oferecem a capacidade de processar grandes quantidades de dados de log em tempo real. Obtenha mais informações consultando Cotas do Amazon CloudWatch Logs.
CloudTrail Lake
O CloudTrail Lake possibilita agregar, armazenar de maneira imutável e executar consultas baseadas em SQL em seus eventos. É possível armazenar até mesmo dados no CloudTrail Lake por até sete anos ou 2.555 dias.
Obtenha mais informações consultando Trabalhar com o AWS CloudTrail Lake.
Amazon CloudWatch Logs
Observação: para usar o Amazon CloudWatch Logs, é necessário ter uma trilha criada e configurada para fazer login no Amazon CloudWatch Logs. Obtenha mais informações consultando Criar uma trilha. Além disso, Enviar eventos para o Amazon CloudWatch Logs.
É possível usar o Amazon CloudWatch Logs para pesquisar operações que alteram o estado de um recurso (por exemplo, StopInstances). Também é possível usar o Amazon CloudWatch Logs para pesquisar operações que não alteram o estado de um recurso (por exemplo, DescribeInstances). Obtenha instruções consultando Exibir dados de log enviados ao Amazon CloudWatch Logs.
Lembre-se:
- Configure explicitamente o CloudTrail para enviar eventos ao Amazon CloudWatch Logs, mesmo que já tenha criado uma trilha.
- Não é possível revisar a atividade anterior à configuração dos logs.
- Pode haver vários fluxos de logs, dependendo do tamanho e do volume dos eventos. Para pesquisar em todos os fluxos, selecione Pesquisar grupo de logs antes de selecionar um fluxo individual.
- Como o Amazon CloudWatch Logs apresenta uma limitação de tamanho de evento de 256 KB, o CloudTrail não envia eventos maiores do que 256 KB para o Amazon CloudWatch Logs.
Consultas do Amazon Athena
Use o Amazon Athena para visualizar eventos de dados e eventos de gerenciamento do CloudTrail armazenados em seu bucket do Amazon S3.
Obtenha mais informações consultando Como posso criar tabelas automaticamente no Amazon Athena para pesquisar nos logs do AWS CloudTrail?Além disso, Crie a tabela de logs do CloudTrail no Athena usando particionamento manual.
Arquivos de log arquivados do Amazon S3
Observação: para visualizar os arquivos de log arquivados do Amazon S3, é necessário ter uma trilha criada e configurada para registrar em um bucket do Amazon S3. Obtenha mais informações consultando Criar uma trilha.
É possível visualizar todos os eventos capturados pelo CloudTrail nos arquivos de log do Amazon S3. Também é possível analisar manualmente os arquivos de log do bucket do Amazon S3 Usar a biblioteca de processamento do CloudTrail, a CLI da AWS ou enviar logs para parceiros do AWS CloudTrail.
Obtenha instruções consultando os eventos do Amazon S3 CloudTrail.
Observação: é necessário ter uma trilha ativada para registrar em um bucket do Amazon S3.
Informações relacionadas
O que é o Amazon CloudWatch Logs?
Criar métricas de eventos de logs usando filtros
O console do AWS Config agora exibe eventos de API associados a alterações de configuração
Criar alarmes do Amazon CloudWatch para eventos do CloudTrail: exemplos
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- Como posso usar o AWS CloudTrail para rastrear chamadas de API para minhas instâncias do Amazon EC2?AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos