Aggregazione degli eventi relativi ai dati

Gli eventi di dati forniscono informazioni sulle operazioni eseguite in una risorsa o al suo interno. Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati.

Abilitando l'aggregazione sugli eventi relativi ai dati, è possibile monitorare in modo efficiente i modelli di accesso ai dati di grandi volumi senza elaborare enormi quantità di singoli eventi. Questa funzionalità consolida automaticamente gli eventi relativi ai dati in riepiloghi di 5 minuti, mostrando tendenze chiave come la frequenza di accesso, i tassi di errore e le azioni più utilizzate. Ad esempio, invece di elaborare migliaia di singoli eventi di accesso ai bucket S3 per comprendere i modelli di utilizzo, ricevi riepiloghi consolidati che mostrano gli utenti e le azioni principali.

È possibile abilitare l'aggregazione sugli eventi relativi ai dati quando si crea un nuovo percorso o si aggiorna un percorso esistente che raccoglie gli eventi relativi ai dati. Puoi selezionare uno o tutti e tre i out-of-the-box modelli su cui aggregare gli eventi relativi ai dati:

• API Activity per ottenere un riepilogo di 5 minuti degli eventi relativi ai dati in base alle chiamate API effettuate. Utilizzalo per comprendere i modelli di utilizzo delle API, tra cui frequenza, chiamanti e origine.

• Resource Access per visualizzare i modelli di attività sulle tue AWS risorse. Utilizzatelo per capire come viene effettuato l'accesso AWS alle risorse, quante volte vi si accede nella finestra di 5 minuti, chi accede alla risorsa e quali azioni vengono eseguite.

• Azioni utente per ottenere modelli di attività basati sul responsabile IAM che effettua chiamate API nel tuo account.

Abilitazione delle aggregazioni per gli eventi relativi ai dati tramite la console

Per abilitare le aggregazioni sui trail, devi prima scegliere la registrazione degli eventi di dati quando crei o aggiorni un percorso e configuri gli eventi dei dati per registrare gli eventi nel percorso. Quindi, nella fase di configurazione dell'aggregazione degli eventi, puoi selezionare modelli come API Activity e Resource Access dal menu a discesa dei modelli di aggregazione, come mostrato nella schermata seguente.

Abilitazione delle aggregazioni per gli eventi di dati utilizzando il AWS CLI

Puoi configurare i tuoi percorsi per aggregare gli eventi utilizzando. AWS CLI

Per vedere se il tuo percorso sta aggregando eventi di dati, esegui il get-event-configurations comando.

aws cloudtrail get-event-configuration --region us-east-1 --trail-name TrailName

Il comando restituisce la configurazione di aggregazione per il trail.

Prima di abilitare l'aggregazione degli eventi, è necessario creare un percorso e configurare gli eventi relativi ai dati al suo interno.

Per abilitare l'aggregazione degli eventi su un percorso, procedi nel seguente passaggio. Il percorso aggregherà gli eventi in base ai modelli di RESOURCE_ACCESS aggregazione API_ACTIVITY e.

aws cloudtrail put-event-configuration --region us-east-1 --trail TrailName \
--aggregation-configurations \
'[
    {
        "EventCategory": "Data",
        "Templates":
        [
            "API_ACTIVITY",
            "RESOURCE_ACCESS"
        ]
    }
]'

Esempio: evento API_ACTIVITY aggregato

Di seguito viene illustrato un esempio di evento aggregato per il API_ACTIVITY modello:

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "62759c1a-6248-48e1-a6b3-d5fb7e6c4bc0",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "eventName",
            "statistics":
            [
                {
                    "name": "PutObject",
                    "value": 1000
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "resourceARN",
                "statistics":
                [
                    {
                        "name": "arn:aws:s3:::bucket-1",
                        "value": 800
                    },
                    {
                        "name": "arn:aws:s3:::bucket-2",
                        "value": 150
                    },
                    {
                        "name": "arn:aws:s3:::bucket-3",
                        "value": 50
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}

Esempio: evento aggregato RESOURCE_ACCESS

Di seguito viene illustrato un esempio di evento aggregato per il modello: RESOURCE_ACCESS

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "2ed87efa-45c1-412d-bc38-7e0879faa6df",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "resourceARN",
            "statistics":
            [
                {
                    "name": "arn:aws:s3:::bucket-1",
                    "value": 800
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "eventName",
                "statistics":
                [
                    {
                        "name": "PutObject",
                        "value": 800
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}