What is a time-to-event endpoint?

Rastrea la Actividad en AWS con CloudTrail Event History

hace 5 años

Valoración: 4.27 (8929 votos)

En el dinámico mundo de la computación en la nube, mantener un registro preciso de la actividad dentro de tu infraestructura es crucial para la seguridad, el cumplimiento normativo y la auditoría. Amazon Web Services (AWS) proporciona una herramienta poderosa y fundamental para esta tarea: CloudTrail Event History. Esta funcionalidad, activada de forma predeterminada para todas las cuentas de AWS, te permite acceder a un registro inmutable y detallado de los eventos de gestión que ocurren en tu entorno de nube. A través de este artículo, exploraremos en profundidad cómo utilizar CloudTrail Event History para rastrear y analizar la actividad en tu cuenta de AWS, asegurando que tengas visibilidad completa sobre quién hace qué y cuándo en tu infraestructura.

Índice de Contenido

¿Qué es CloudTrail Event History y por qué es importante?

CloudTrail Event History es un registro de los últimos 90 días de eventos de gestión que se producen en cada región de AWS. Estos eventos capturan acciones realizadas a través de la Consola de Administración de AWS, la interfaz de línea de comandos (CLI) de AWS, los SDKs de AWS y las APIs. En esencia, cualquier interacción con tus recursos de AWS que involucre la creación, modificación o eliminación de recursos, queda registrada en el historial de eventos. Esto incluye acciones tan diversas como el lanzamiento de instancias EC2, la modificación de políticas de IAM, la creación de buckets S3 o la configuración de reglas de seguridad en tus VPCs.

How to check AWS activity?
SIGN IN TO THE AWS MANAGEMENT CONSOLE AND OPEN THE CLOUDTRAIL CONSOLE AT HTTPS://CONSOLE.AWS.AMAZON.COM/CLOUDTRAIL/ . , In the navigation pane, choose Event history. ... , Choose an attribute to filter on and enter the full value for the attribute. ... , To view a specific management event, choose the event name.

La importancia de CloudTrail Event History radica en su capacidad para proporcionar:

  • Visibilidad Completa: Obtén una visión clara de todas las acciones de gestión realizadas en tu cuenta de AWS, independientemente de la herramienta utilizada.
  • Seguridad Mejorada: Identifica actividades sospechosas o no autorizadas, como intentos de acceso no permitidos o modificaciones inesperadas en la configuración de seguridad.
  • Auditoría Simplificada: Cumple con los requisitos de auditoría interna y externa al contar con un registro detallado e inmutable de la actividad.
  • Resolución de Problemas: Diagnostica y resuelve problemas operativos al rastrear la secuencia de eventos que llevaron a un estado no deseado.
  • Cumplimiento Normativo: Satisface las necesidades de cumplimiento de diversas normativas que exigen la supervisión y el registro de la actividad en entornos de TI.

Es importante destacar que CloudTrail Event History no genera cargos adicionales. Está disponible de forma gratuita para todos los usuarios de AWS, lo que lo convierte en una herramienta esencial y accesible para la gestión de la seguridad y la operativa en la nube.

Accediendo al Historial de Eventos a través de la Consola de Administración de AWS

La forma más sencilla e intuitiva de acceder y consultar el historial de eventos de CloudTrail es a través de la Consola de Administración de AWS. Sigue estos pasos para comenzar:

  1. Inicia Sesión en la Consola de AWS: Accede a la Consola de Administración de AWS con tus credenciales de usuario.
  2. Navega a CloudTrail: Encuentra el servicio CloudTrail. Puedes buscar "CloudTrail" en la barra de búsqueda de servicios o navegar a través de la lista de servicios en la sección "Administración y Gobernanza".
  3. Selecciona Historial de Eventos: En el panel de navegación izquierdo de CloudTrail, haz clic en "Historial de eventos".

Una vez en la página de "Historial de eventos", verás una lista de los eventos más recientes, mostrados de forma predeterminada en orden cronológico inverso. Cada evento muestra información clave como:

  • Nombre del evento: La acción específica que se realizó (ej., RunInstances, CreateUser, DeleteBucket).
  • Hora del evento: La marca de tiempo en la que ocurrió el evento.
  • Nombre de usuario: El usuario o rol de IAM que realizó la acción.
  • Fuente del evento: El servicio de AWS que generó el evento (ej., ec2.amazonaws.com, iam.amazonaws.com, s3.amazonaws.com).
  • Región de AWS: La región de AWS donde ocurrió el evento.

Puedes personalizar la vista del historial de eventos para adaptarla a tus necesidades. Por ejemplo, puedes:

  • Ajustar el número de eventos por página: Selecciona cuántos eventos quieres ver en cada página.
  • Mostrar/Ocultar columnas: Elige qué columnas de información quieres que se muestren en la tabla de eventos.
  • Comparar detalles de eventos: Selecciona varios eventos y compáralos en paralelo para identificar diferencias o patrones.

Filtrando y Buscando Eventos Específicos

El poder real de CloudTrail Event History se manifiesta al utilizar sus capacidades de filtrado y búsqueda para encontrar eventos específicos de interés. La página de "Historial de eventos" te permite aplicar filtros basados en diversos atributos de los eventos.

Para filtrar eventos, sigue estos pasos:

  1. Selecciona un atributo de filtro: Haz clic en el menú desplegable "Filtrar por atributo" para elegir el atributo por el que deseas filtrar (ej., "Nombre del evento", "Nombre de usuario", "Nombre del recurso", "Tiempo del evento", etc.).
  2. Introduce el valor del atributo: Escribe el valor exacto del atributo que estás buscando. Es crucial recordar que CloudTrail no permite filtrar por valores parciales. Debes proporcionar el valor completo y exacto.
  3. Aplica el filtro: Una vez que has seleccionado el atributo y el valor, el historial de eventos se actualizará automáticamente para mostrar solo los eventos que coincidan con tu filtro.

Por ejemplo, si deseas encontrar todos los eventos de inicio de sesión en la consola, puedes filtrar por el atributo "Nombre del evento" y especificar "ConsoleLogin" como valor. Esto te mostrará únicamente los eventos relacionados con inicios de sesión en la Consola de Administración de AWS.

Puedes combinar múltiples filtros para refinar aún más tu búsqueda. Por ejemplo, puedes buscar eventos de "ConsoleLogin" realizados por un usuario específico en un rango de tiempo determinado.

Limitaciones del Historial de Eventos de CloudTrail

Aunque CloudTrail Event History es una herramienta muy útil, es importante tener en cuenta sus limitaciones:

  • Retención de 90 días: El historial de eventos solo conserva los eventos de los últimos 90 días. Para una retención a largo plazo, debes configurar un registro de CloudTrail (Trail) o un almacén de datos de eventos (Event Data Store).
  • Eventos de Gestión: El historial de eventos se centra en eventos de gestión, que son operaciones que controlan la gestión de tus recursos de AWS. No incluye eventos de datos, como accesos a objetos S3 o invocaciones de funciones Lambda, a menos que configures un Trail o un Event Data Store para capturarlos.
  • Registro por Región: El historial de eventos registra eventos en la región de AWS donde ocurrieron. Debes revisar el historial de eventos en cada región para obtener una visión completa de la actividad global de tu cuenta.
  • Eventos Adicionales de Servicios: A medida que AWS agrega nuevos servicios y eventos, estos se incorporan al historial de eventos. Sin embargo, puede que no haya un registro completo de 90 días de actividad que incluya los eventos recién agregados hasta 90 días después de su incorporación.
  • Separación de Trails y Event Data Stores: El historial de eventos es independiente de cualquier Trail o Event Data Store que crees. Los cambios que realices en tus Trails o Event Data Stores no afectarán al historial de eventos.

Descargando el Historial de Eventos

Además de visualizar y filtrar eventos en la Consola de Administración de AWS, también puedes descargar el historial de eventos como un archivo JSON. Esta opción es útil si deseas analizar los eventos fuera de la consola, archivarlos localmente o procesarlos con herramientas externas.

How to check events in AWS?
You can look up events related to the creation, modification, or deletion of resources (such as IAM users or Amazon EC2 instances) in your AWS account on a by-Region basis in the CloudTrail console by viewing the Event history page.

Para descargar el historial de eventos:

  1. Aplica los filtros deseados: Si quieres descargar solo un subconjunto de eventos, aplica los filtros necesarios en la página de "Historial de eventos".
  2. Haz clic en "Descargar eventos": En la parte superior derecha de la página, encontrarás el botón "Descargar eventos". Haz clic en él.
  3. Guarda el archivo JSON: Tu navegador te pedirá que guardes un archivo JSON que contiene los eventos filtrados (o todos los eventos si no aplicaste filtros).

El archivo JSON descargado contendrá un array de objetos JSON, donde cada objeto representa un evento de CloudTrail. Puedes procesar este archivo utilizando herramientas de línea de comandos como `jq` o lenguajes de programación como Python para realizar análisis más complejos.

Accediendo al Historial de Eventos con la AWS CLI

Si prefieres la línea de comandos, también puedes acceder y buscar eventos en el historial de eventos de CloudTrail utilizando la AWS Command Line Interface (CLI). El comando principal para esta tarea es `aws cloudtrail lookup-events`.

Para utilizar la AWS CLI para buscar eventos, necesitas tener la AWS CLI instalada y configurada con las credenciales de tu cuenta de AWS. Luego, puedes ejecutar el comando `aws cloudtrail lookup-events` con diferentes parámetros para filtrar y buscar eventos.

Por ejemplo, para buscar eventos con el nombre "ConsoleLogin", puedes usar el siguiente comando:

aws cloudtrail lookup-events --filters AttributeKey=EventName,AttributeValue=ConsoleLogin

Este comando devolverá una lista de eventos en formato JSON que coinciden con el filtro especificado. Puedes consultar la documentación de la AWS CLI para el comando `aws cloudtrail lookup-events` para conocer todos los parámetros de filtrado y opciones disponibles.

Preguntas Frecuentes sobre CloudTrail Event History

¿Cuánto tiempo se retienen los eventos en CloudTrail Event History?
CloudTrail Event History retiene los eventos de gestión de los últimos 90 días.
¿Hay costos asociados con el uso de CloudTrail Event History?
No, el acceso y la consulta del historial de eventos de CloudTrail son gratuitos.
¿Qué tipos de eventos se registran en el historial de eventos?
El historial de eventos registra eventos de gestión, que son operaciones que controlan la gestión de tus recursos de AWS. No incluye eventos de datos de forma predeterminada.
¿Puedo buscar eventos por usuario o rol de IAM?
Sí, puedes filtrar eventos por el nombre de usuario o rol de IAM que realizó la acción.
¿Cómo puedo retener eventos por más de 90 días?
Para la retención a largo plazo, debes configurar un registro de CloudTrail (Trail) o un almacén de datos de eventos (Event Data Store).

Conclusión

CloudTrail Event History es una herramienta invaluable para cualquier usuario de AWS que busque mantener la seguridad, la visibilidad y el control sobre su entorno de nube. Su facilidad de acceso a través de la Consola de Administración de AWS y su capacidad de filtrado y búsqueda permiten a los usuarios rastrear rápidamente la actividad, identificar posibles problemas de seguridad y cumplir con los requisitos de auditoría. Aunque tiene limitaciones como la retención de 90 días, para la monitorización y respuesta a incidentes recientes, CloudTrail Event History es una funcionalidad fundamental que debes conocer y utilizar en tu día a día en AWS. Aprovecha el poder de esta herramienta para mantener tu infraestructura de AWS segura, eficiente y bajo control.

Subir