☁️CloudTrail

CloudTrail Essentials:

• Se guardan 90 dias por defecto en el Event History (Sin costo).

• Esta habilitado por defecto.

• Se puede personalizar creando uno o mas trails.

• El cloutrail consta de:

  • Management events: Provee informacion de operaciones de management, control plane operations. Eg. Crear instancia, terminar, login to console etc.

  • Data Events: Resource operations en un resource. Eg. lambda function invoked, archivo cargado a S3 etc.

  • Insight Events.: Unusual activity behaviors.

• Por defecto cloudtrail solo loguea management events.

• Cloudtrail es un servicio regional.

• Se puede crear un trail para Single region o para todas las regiones.

• Servicios globales como IAM, STS, Cloudfront, loguean en Us-east-1 (Northern Virginia). Pero en el trail debes habilitar el Global service events.

• Los trails pueden ser almacenados indefinidamente en un bucket S3.

• Puede ser integrado con Cloudwatch logs.

• Se puede crear un organizational trail, desde la management account. Single management point de todas las cuentas en la organization.

• NOT Realtime login, Delay de 15 minutos.

Amazon CloudWatch PricingAmazon Web Services, Inc.

PricingAmazon Web Services, Inc.

Log File Integrity

• Se habilitan en el trail.

• Digest files tienen hashes de los log files en periodos de 1 hora.

• Digests son firmados por un CloudTrail Private Key.

• Son unicos por region (Private Key)

• Se colocan en un folder diferente en el mismo bucket (Digest/)

• Se usa el CLI para validar los logs (validate-logs).

Custom implementations of CloudTrail log file integrity validation - AWS CloudTrailAWS CloudTrail

Validating CloudTrail log file integrity - AWS CloudTrailAWS CloudTrail

CloudTrail digest file structure - AWS CloudTrailAWS CloudTrail