Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestire i percorsi con AWS CLI
AWS CLI Include diversi altri comandi che ti aiutano a gestire i tuoi percorsi. Questi comandi aggiungere i tag ai trail, ne ottengono lo stato, ne avviano e ne arrestano la registrazione e li eliminano. È necessario eseguire questi comandi dalla stessa AWS regione in cui è stato creato il percorso (la sua regione di origine). Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella AWS regione configurata per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro --region con il comando.
Argomenti
- Aggiungere uno o più tag a un trail
- Elencare i tag per uno o più trail
- Rimuovere uno o più tag da un trail
- Recupero delle impostazioni e dello stato di un trail
- Configurazione dei selettori CloudTrail di eventi di Insights
- Configurazione di selettori di eventi
- Configurazione di selettori di eventi avanzati
- Arresto e avvio della registrazione di log per un trail
- Eliminazione di un trail
Aggiungere uno o più tag a un trail
Per aggiungere uno o più tag a un percorso esistente, esegui il comando add-tags.
L'esempio seguente aggiunge un tag con il nome Owner (Proprietario) e il valore Mary a un percorso con l'ARN arn:aws:cloudtrail: nella regione Stati Uniti orientali (Ohio). us-east-2:123456789012:trail/my-trail
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail--tags-list Key=Owner,Value=Mary--region us-east-2
In caso di successo, questo comando non restituisce alcun risultato.
Elencare i tag per uno o più trail
Per visualizzare i tag associati a uno o più trail esistenti, utilizzare il comando list-tags.
L'esempio seguente elenca i tag per Trail1 e Trail2.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente.
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ] }
Rimuovere uno o più tag da un trail
Per rimuovere uno o più tag da un percorso esistente, esegui il comando remove-tags.
L'esempio seguente rimuove i tag con i nomi Location (Posizione) e Name (Nome) da un percorso con l'ARN arn:aws:cloudtrail: nella regione Stati Uniti orientali (Ohio). us-east-2:123456789012:trail/Trail1
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1--tags-list Key=Name Key=Location --region us-east-2
In caso di successo, questo comando non restituisce alcun risultato.
Recupero delle impostazioni e dello stato di un trail
Esegui il describe-trails comando per recuperare informazioni sui percorsi in una AWS regione. L'esempio seguente restituisce informazioni sui percorsi configurati nella regione Stati Uniti orientali (Ohio).
aws cloudtrail describe-trails --region us-east-2
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente.
{ "trailList": [ { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "another-bucket", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ] }
Esegui il comando get-trail per recuperare le informazioni sulle impostazioni relative a un percorso specifico. L'esempio seguente restituisce le informazioni sulle impostazioni per un trail denominato my-trail.
aws cloudtrail get-trail - -namemy-trail
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente.
{ "Trail": { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, } }
Esegui il comando get-trail-status per recuperare lo stato di un trail. È necessario eseguire questo comando dalla AWS regione in cui è stato creato (la Home Region) oppure è necessario specificare tale regione aggiungendo il --region parametro.
Nota
Se il percorso è un percorso organizzativo e tu sei un account membro dell'organizzazione in AWS Organizations, devi fornire l'ARN completo di quel percorso e non solo il nome.
aws cloudtrail get-trail-status --namemy-trail
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Oltre ai campi visualizzati nel precedente codice JSON, lo stato contiene i seguenti campi se sono presenti errori di Amazon SNS o Amazon S3:
-
LatestNotificationError. Contiene l'errore generato da Amazon SNS se una sottoscrizione a un argomento ha esito negativo. -
LatestDeliveryError. Contiene l'errore emesso da Amazon S3 CloudTrail se non è possibile inviare un file di registro a un bucket.
Configurazione dei selettori CloudTrail di eventi di Insights
Abilita gli eventi Insights su un trail eseguendo il comando put-insight-selectors e specificando ApiCallRateInsight, ApiErrorRateInsight o entrambi come valore dell'attributo InsightType. Per visualizzare le impostazioni dei selettori di eventi Insights per un trail, esegui il comando get-insight-selectors. È necessario eseguire questo comando dalla AWS regione in cui è stato creato il percorso (la Home Region) oppure è necessario specificare tale regione aggiungendo il --region parametro al comando.
Nota
Per registrare gli eventi di Insights per ApiCallRateInsight, il percorso deve registrare gli eventi di gestione write. Per registrare gli eventi di Insights per ApiErrorRateInsight, il percorso deve registrare gli eventi di gestione read o write.
Percorso di esempio che registra gli eventi Insights
L'esempio seguente utilizza put-insight-selectors per creare un selettore di eventi Insights per un percorso denominato TrailName3. Ciò consente la raccolta di eventi Insights per il percorso TrailName3. Il selettore eventi Insights registra entrambi i tipi di eventi Insights ApiErrorRateInsight e ApiCallRateInsight.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
L'esempio restituisce il selettore di eventi Insights configurato per il trail.
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Esempio: disattivazione della raccolta di eventi Insights
L'esempio seguente utilizza put-insight-selectors la rimozione del selettore di eventi Insights per un percorso denominato TrailName3. La cancellazione della stringa JSON dei selettori di Insights disattiva la raccolta di eventi di Insights per il percorso 3. TrailName
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[]'
Nell'esempio viene restituito il selettore, ora vuoto, di eventi Insights configurato per il trail.
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Configurazione di selettori di eventi
Per visualizzare le impostazioni dei selettori di eventi per un trail, esegui il comando get-event-selectors. È necessario eseguire questo comando dalla AWS regione in cui è stato creato (la regione principale) oppure è necessario specificare tale regione utilizzando il parametro. --region
aws cloudtrail get-event-selectors --trail-nameTrailName
Nota
Se il percorso è un percorso organizzativo e tu sei un account membro dell'organizzazione in AWS Organizations, devi fornire l'ARN completo di quel percorso e non solo il nome.
L'esempio seguente restituisce le impostazioni di default per un selettore di eventi per un trail.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Per creare un selettore di eventi, esegui il comando put-event-selectors. Se desideri registrare gli eventi di Insights sul percorso, assicurati che il selettore di eventi consenta la registrazione dei tipi di Insights per i quali desideri configurare il percorso. Per ulteriori informazioni sulla registrazione di eventi Insights, consulta Registrazione degli eventi Insights.
Quando si verifica un evento nel tuo account, CloudTrail valuta la configurazione dei tuoi percorsi. Se l'evento corrisponde a un qualsiasi selettore di eventi di un trail, il trail elabora e registra l'evento. Per un trail puoi configurare fino a 5 selettori di eventi e un massimo di 250 risorse di dati. Per ulteriori informazioni, consulta Registrazione degli eventi di dati.
Argomenti
- Percorso di esempio con selettori di eventi specifici
- Percorso di esempio che registra tutti gli eventi di gestione e di dati
- Esempio di percorso che non registra gli eventi AWS Key Management Service
- Esempio di percorso che registra gli eventi rilevanti a basso volume AWS Key Management Service
- Percorso di esempio che non registra gli eventi dell'API dati di Amazon RDS
Percorso di esempio con selettori di eventi specifici
L'esempio seguente crea un selettore di eventi per un percorso denominato in TrailNamemodo da includere eventi di gestione di sola lettura e sola scrittura, eventi di dati per due combinazioni di bucket/prefisso Amazon S3 ed eventi di dati per una singola funzione denominata. AWS Lambda hello-world-python-function
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
L'esempio restituisce il selettore di eventi configurato per il trail.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Percorso di esempio che registra tutti gli eventi di gestione e di dati
L'esempio seguente crea un selettore di eventi per un percorso denominato TrailName2 che include tutti gli eventi, inclusi gli eventi di gestione di sola lettura e di sola scrittura, e tutti gli eventi di dati per tutti i bucket Amazon S3, le funzioni e le tabelle Amazon AWS Lambda DynamoDB nell'account. AWS Poiché questo esempio utilizza selettori di eventi di base, non può configurare la registrazione per gli eventi S3 AWS Outposts, le chiamate JSON-RPC di Amazon Managed Blockchain sui nodi Ethereum o altri tipi di risorse di selezione di eventi avanzati. Devi utilizzare selettori di eventi avanzati per registrare gli eventi di dati per tali risorse. Per ulteriori informazioni, consulta Configurazione di selettori di eventi avanzati.
Nota
Se il percorso è valido solo per una regione, vengono registrati solo gli eventi in tale regione, anche se i parametri del selettore di eventi specificano tutti i bucket Amazon S3 e le funzioni Lambda. I selettori di eventi sono validi per le regioni in cui il trail è stato creato.
aws cloudtrail put-event-selectors --trail-nameTrailName2--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
L'esempio restituisce i selettori di eventi configurati per il trail.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }
Esempio di percorso che non registra gli eventi AWS Key Management Service
L'esempio seguente crea un selettore di eventi per un trail denominato in TrailNamemodo da includere eventi di gestione di sola lettura e sola scrittura, ma per escludere gli eventi (). AWS Key Management Service AWS KMS Poiché AWS KMS gli eventi vengono trattati come eventi di gestione e il loro volume può essere elevato, possono avere un impatto sostanziale sulla CloudTrail fattura se si dispone di più di un percorso che raccoglie gli eventi di gestione. L'utente in questo esempio ha scelto di escludere gli eventi AWS KMS da tutti i trail tranne uno. Per escludere un'origine evento, aggiungere ExcludeManagementEventSources ai selettori di eventi e specificare un'origine evento nel valore stringa.
Se si sceglie di non registrare gli eventi di gestione, gli AWS KMS eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.
Per ricominciare a registrare AWS KMS gli eventi su un percorso, passate un array vuoto come valore di. ExcludeManagementEventSources
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
Nell'esempio viene restituito il selettore di eventi configurato per il trail.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Per ricominciare a registrare AWS KMS gli eventi su un percorso, passate un array vuoto come valore diExcludeManagementEventSources, come illustrato nel comando seguente.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Esempio di percorso che registra gli eventi rilevanti a basso volume AWS Key Management Service
L'esempio seguente crea un selettore di eventi per un percorso denominato in TrailNamemodo da includere eventi ed eventi di gestione di sola scrittura. AWS KMS Poiché AWS KMS gli eventi vengono trattati come eventi gestionali e il loro volume può essere elevato, possono avere un impatto sostanziale sulla CloudTrail fattura se si dispone di più di un percorso che raccoglie gli eventi di gestione. L'utente in questo esempio ha scelto di includere gli eventi AWS KMS Write, che includeranno Delete e DisableScheduleKey, ma non includeranno più azioni ad alto volume come EncryptDecrypt, e GenerateDataKey (questi ora vengono considerati come eventi di lettura).
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Nell'esempio viene restituito il selettore di eventi configurato per il trail. In questo modo vengono registrati gli eventi di gestione di sola scrittura, inclusi gli eventi. AWS KMS
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Percorso di esempio che non registra gli eventi dell'API dati di Amazon RDS
L'esempio seguente crea un selettore di eventi per un percorso denominato TrailNameper includere eventi di gestione di sola lettura e sola scrittura, ma per escludere gli eventi Amazon RDS Data API. Poiché gli eventi di Amazon RDS Data API vengono trattati come eventi di gestione e possono essercene un volume elevato, possono avere un impatto sostanziale sulla CloudTrail bolletta se disponi di più di un percorso che registra gli eventi di gestione. L'utente in questo esempio ha scelto di escludere gli eventi dell'API dati di Amazon RDS da tutti i percorsi, tranne uno. Per escludere un'origine eventi, aggiungi ExcludeManagementEventSources ai selettori di eventi e specifica l'origine eventi dell'API dati di Amazon RDS nel valore della stringa: rdsdata.amazonaws.com.
Se scegli di non registrare gli eventi di gestione, gli eventi dell'API dati di Amazon RDS non vengono registrati e non puoi modificare le impostazioni di registrazione degli eventi.
Per ricominciare a registrare gli eventi di gestione delle API di Amazon RDS Data su un trail, passa un array vuoto come valore di. ExcludeManagementEventSources
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
Nell'esempio viene restituito il selettore di eventi configurato per il trail.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Per ricominciare a registrare gli eventi di gestione delle API di Amazon RDS Data su un trail, passa un array vuoto come valore diExcludeManagementEventSources, come mostrato nel comando seguente.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Configurazione di selettori di eventi avanzati
Per utilizzare selettori di eventi avanzati per includere o escludere eventi di dati, anziché selettori di eventi di base, utilizza selettori di eventi avanzati nella pagina dei dettagli di un percorso. I selettori di eventi avanzati consentono di registrare gli eventi di dati su più tipi di risorse rispetto ai selettori di eventi di base. I selettori di base registrano l'attività dell'oggetto S3, l'attività di esecuzione della funzione AWS Lambda e le tabelle DynamoDB.
Nei selettori di eventi avanzati, crea un'espressione per raccogliere eventi di dati su tipi di risorse specifici come bucket S3, funzioni, tabelle DynamoDB AWS Lambda , punti di accesso S3 Object Lambda, API dirette di Amazon EBS su snapshot EBS, punti di accesso S3, flussi DynamoDB, tabelle create da Lake Formation e altro ancora. AWS Glue
Per ulteriori informazioni sui selettori di eventi avanzati, consulta Configurazione di selettori di eventi avanzati.
Per visualizzare le impostazioni dei selettori di eventi avanzati per un percorso, esegui il comando get-event-selectors. È necessario eseguire questo comando dalla AWS regione in cui è stato creato il percorso (la Home Region) oppure è necessario specificare tale regione aggiungendo il --region parametro.
aws cloudtrail get-event-selectors --trail-nameTrailName
Nota
Se il percorso è un percorso organizzativo e hai effettuato l'accesso con un account membro dell'organizzazione in AWS Organizations, devi fornire l'ARN completo del percorso e non solo il nome.
L'esempio seguente restituisce le impostazioni di default per selettori di eventi avanzati per un percorso. Per impostazione predefinita, nessun selettore di eventi avanzato è configurato per un percorso.
{ "AdvancedEventSelectors": [], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Per creare un selettore di eventi avanzato, esegui il comando put-event-selectors. Quando si verifica un evento relativo ai dati nel tuo account, CloudTrail valuta la configurazione dei tuoi percorsi. Se l'evento corrisponde a un qualsiasi selettore di eventi avanzato di un percorso, il percorso elabora e registra l'evento. Puoi configurare fino a 500 condizioni su un percorso, inclusi tutti i valori specificati per tutti i selettori di eventi avanzati sul percorso. Per ulteriori informazioni, consulta Registrazione degli eventi di dati.
Argomenti
- Percorso di esempio con selettori di eventi avanzati specifici
- Esempio di percorso che utilizza selettori di eventi avanzati personalizzati per registrare Amazon S3 AWS Outposts su eventi relativi ai dati
- Esempio di percorso che utilizza selettori di eventi avanzati per escludere gli eventi AWS Key Management Service
- Esempio di percorso che utilizza selettori di eventi avanzati per escludere gli eventi di gestione di Amazon RDS Data API
Percorso di esempio con selettori di eventi avanzati specifici
L'esempio seguente crea selettori di eventi avanzati personalizzati per un percorso denominato in TrailNamemodo da includere eventi di gestione di lettura e scrittura (omettendo il readOnly selettore) PutObject ed eventi di DeleteObject dati per tutte le combinazioni bucket/prefisso di Amazon S3 ad eccezione di un bucket denominato ed eventi di dati per una funzione denominata. sample_bucket_name AWS Lambda MyLambdaFunction Poiché si tratta di selettori di eventi avanzati personalizzati, ogni set di selettori ha un nome descrittivo. Nota che una barra finale fa parte del valore ARN per i bucket S3.
aws cloudtrail put-event-selectors --trail-nameTrailName--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::sample_bucket_name/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::sample_bucket_name/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Esempio di percorso che utilizza selettori di eventi avanzati personalizzati per registrare Amazon S3 AWS Outposts su eventi relativi ai dati
L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi relativi ai dati per tutti gli Amazon S3 sugli AWS Outposts oggetti del tuo avamposto. In questa versione, il valore supportato per S3 sugli AWS Outposts eventi per il resources.type campo è. AWS::S3Outposts::Object
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Questo comando restituisce il seguente output di esempio.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName" }
Esempio di percorso che utilizza selettori di eventi avanzati per escludere gli eventi AWS Key Management Service
L'esempio seguente crea un selettore di eventi avanzato per un percorso denominato TrailNameper includere eventi di gestione di sola lettura e sola scrittura (omettendo il readOnly selettore), ma per escludere eventi (). AWS Key Management Service AWS KMS Poiché AWS KMS gli eventi vengono trattati come eventi gestionali e il loro volume può essere elevato, possono avere un impatto sostanziale sulla CloudTrail fattura se si dispone di più di un percorso che raccoglie gli eventi di gestione.
Se si sceglie di non registrare gli eventi di gestione, gli AWS KMS eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.
Per ricominciare a registrare AWS KMS gli eventi in un percorso, rimuovete il eventSource selettore ed eseguite nuovamente il comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Per avviare nuovamente la registrazione di eventi su un percorso, rimuovi il selettore eventSource, come mostrato nel comando seguente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Esempio di percorso che utilizza selettori di eventi avanzati per escludere gli eventi di gestione di Amazon RDS Data API
L'esempio seguente crea un selettore di eventi avanzato per un percorso denominato TrailNameper includere eventi di gestione di sola lettura e sola scrittura (omettendo il readOnly selettore), ma per escludere gli eventi di gestione delle API di Amazon RDS Data. Per escludere gli eventi di gestione di Amazon RDS Data API, specifica l'origine dell'evento Amazon RDS Data API nel valore della stringa per il eventSource campo:. rdsdata.amazonaws.com
Se scegli di non registrare gli eventi di gestione, gli eventi di gestione di Amazon RDS Data API non vengono registrati e non puoi modificare le impostazioni di registrazione degli eventi di Amazon RDS Data API.
Per ricominciare a registrare gli eventi di gestione delle API di Amazon RDS Data su un trail, rimuovi il eventSource selettore ed esegui nuovamente il comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Per avviare nuovamente la registrazione di eventi su un percorso, rimuovi il selettore eventSource, come mostrato nel comando seguente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Arresto e avvio della registrazione di log per un trail
I seguenti comandi avviano e interrompono la registrazione. CloudTrail
aws cloudtrail start-logging --nameawscloudtrail-example
aws cloudtrail stop-logging --nameawscloudtrail-example
Nota
Prima di eliminare un bucket, esegui il comando stop-logging per interrompere la distribuzione degli eventi nel bucket. Se non interrompi la registrazione, CloudTrail tenta di inviare i file di registro a un bucket con lo stesso nome per un periodo di tempo limitato.
Se interrompi la registrazione o elimini un percorso, CloudTrail Insights viene disabilitato su quel percorso.
Eliminazione di un trail
Se hai abilitato gli eventi di CloudTrail gestione in Amazon Security Lake, devi mantenere almeno un percorso organizzativo multiregionale e registrare sia read gli eventi che gli eventi di write gestione. Non puoi eliminare un trail se è l'unico a tua disposizione che soddisfa questo requisito, a meno che non disattivi gli eventi di CloudTrail gestione in Security Lake.
Puoi eliminare un trail con il comando seguente. Puoi eliminare un trail solo nella regione in cui è stato creato (la regione principale).
aws cloudtrail delete-trail --nameawscloudtrail-example
Quando elimini un percorso, non elimini il bucket Amazon S3 o l'argomento Amazon SNS associato ad esso. Utilizza l'API AWS Management Console AWS CLI, o service per eliminare queste risorse separatamente.
