CloudTrail es un servicio que se utiliza para rastrear la actividad del usuario y el uso de la API en la nube de AWS. Permite la auditoría y el gobierno de la cuenta de AWS. Con él, puede monitorear lo que sucede en su cuenta de AWS y monitorearlos continuamente. Proporciona un historial de eventos que realiza un seguimiento de los cambios de recursos. También puede habilitar el registro de todos los eventos en S3 y analizar qué otro servicio como Athena o Cloudwatch.
En este tutorial, vamos a ver el historial de eventos de su cuenta de AWS. Además, vamos a crear un ‘rastro’ y almacenar el evento en S3 y analizarlo usando Cloudwatch.
Historial de eventos
Todos los eventos de administración de lectura/escritura se registran mediante el historial de eventos. Le permite ver, filtrar y descargar la actividad reciente de su cuenta de AWS durante los últimos 90 días. No es necesario configurar nada para ello.
Usando la consola de AWS
Vaya al servicio ‘CloudTrail’ y haga clic en el tablero. Puede ver el nombre del evento, la hora y la fuente. Puede hacer clic en ‘Ver historial completo de eventos’ para obtener todos los eventos.
En la página de detalles del historial de eventos, puede aplicar un filtro a su elección. Para ver todos los eventos, use Solo lectura y falso como se indicó anteriormente.
Uso de la CLI de AWS
También puede usar AWS CLI para ver los eventos. El siguiente comando muestra la instancia Terminada de su cuenta.
# aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=TerminateInstances
Caminos
Ahora, creemos un registro que registrará todos los eventos de su cuenta y los almacenará en un depósito S3.
En el lado izquierdo, seleccione Rutas y haga clic en ‘Crear ruta’
En la página siguiente, asigne un nombre de ruta, elija crear un nuevo depósito de S3 y asigne un nombre de depósito. (Si ya tiene un depósito, también puede elegir el depósito s3 existente)
Desplácese hacia abajo en la página y habilite CloudWatch Logs. Crea un grupo de registro y dale un nombre. Además, asigne el rol de IAM y proporcione un nombre. Luego, haga clic en siguiente.
Si desea registrar todos los tipos de eventos, haga clic en seleccionar opciones en la sección Tipo de eventos. Solo vamos con eventos de gestión. Entonces, haga clic en siguiente.
Ahora, revise su configuración y haga clic en ‘Crear ruta’.
También puede ver la lista de senderos creados con la ayuda del siguiente comando de AWS.
# aws cloudtrail list-trails
Utilice el siguiente comando para ver todos los eventos de la ruta que creamos anteriormente.
# aws cloudtrail describe-trails --trail-name-list management-events
Analizar iniciar sesión en Cloudwatch
Durante la creación de CloudTrail, hemos definido enviar el registro a Cloudwatch. Entonces, vaya al servicio Cloudwatch y haga clic en ‘grupo de registro’.
De forma predeterminada, los registros se mantienen indefinidamente y nunca caducan. Aquí, también puede aplicar el filtro para obtener el resultado deseado. Por ejemplo, vamos a ver todas las instancias en ejecución en la cuenta de AWS. Para hacer esto, use el filtro ‘RunInstances’ como se muestra a continuación. La salida se muestra en formato JSON.
También puede usar CLI para obtener todos los eventos de registro. Ejecute el siguiente comando para obtener todos los eventos del grupo de registro que definió anteriormente.
# aws logs filter-log-events --log-group-name aws-cloudtrail-logs-20201229
En este artículo, vemos cómo auditar y encontrar las actividades en la cuenta de AWS usando CloudTrail. Gracias por leer.
Leer también: Cómo crear y agregar un volumen de EBS en una instancia de AWS (EC2)