Utilizzo dei file di log di CloudTrail - AWS CloudTrail

Utilizzo dei file di log di CloudTrail

Puoi eseguire attività più avanzate con i file di CloudTrail.

  • Creazione di più trail per regione.

  • Esegui il monitoraggio dei file di log di CloudTrail mediante il loro invio a CloudWatch Logs.

  • Condivisione dei file di log tra account.

  • Utilizza la libreria di elaborazione di AWS CloudTrail per scrivere applicazioni per l'elaborazione dei log in Java.

  • Convalida i file di log per verificare la presenza di eventuali modifiche dopo la distribuzione da parte di CloudTrail.

Quando si verifica un evento nel tuo account, CloudTrail valuta se l'evento corrisponde alle impostazioni del percorso. Solo gli eventi che corrispondono alle impostazioni del percorso vengono distribuiti nel bucket Amazon S3 e nel gruppo di log di Amazon CloudWatch Logs.

Puoi configurare più trail in modo tale che elaborino e registrino solo gli eventi specificati. Ad esempio, un trail può registrare gli eventi di dati e gli eventi di gestione di sola lettura in modo tale che tutti gli eventi di sola lettura vengano distribuiti in un bucket S3 specifico. Un altro trail può registrare gli eventi di dati e gli eventi di gestione di sola scrittura in modo tale che tutti gli eventi di sola scrittura vengano distribuiti in un bucket S3 distinto.

Puoi anche configurare i trail in modo che un trail registri e distribuisca tutti gli eventi di gestione in un bucket S3 e un altro trail registri e distribuisca tutti gli eventi di dati in un altro bucket S3.

Puoi configurare i trail per la registrazione dei seguenti eventi:

  • Eventi di dati: questi eventi forniscono visibilità sulle operazioni eseguite in una risorsa o al suo interno. Queste operazioni sono definite anche operazioni del piano dei dati.

  • Eventi di gestione: gli eventi di gestione forniscono visibilità sulle operazioni di gestione eseguite su una risorsa nel tuo account AWS. Queste operazioni sono definite anche operazioni del piano di controllo. Gli eventi di gestione possono includere anche eventi non API che si verificano nel tuo account. Ad esempio, quando un utente accede al tuo account, CloudTrail registra l'evento ConsoleLogin. Per ulteriori informazioni, consulta Eventi non API acquisiti da CloudTrail.

    Nota

    Non tutti i servizi AWS supportano gli eventi CloudTrail. Per ulteriori informazioni sui servizi supportati, consulta Servizi e integrazioni CloudTrail supportati. Per dettagli specifici sulle API registrate per un servizio specifico, consulta la documentazione del servizio interessato in Servizi e integrazioni CloudTrail supportati.

  • Eventi Insights: gli eventi Insights acquisiscono l'attività insolita rilevata nel tuo account. Se hai abilitato gli eventi Insights e CloudTrail rileva un'attività insolita, gli eventi Insights vengono registrati nel bucket S3 di destinazione del tuo percorso, ma in una cartella diversa. Puoi anche visualizzare il tipo di evento Insights e il periodo di tempo dell'incidente quando visualizzi gli eventi Insights nella console CloudTrail. A differenza di altri tipi di eventi acquisiti in un percorso CloudTrail, gli eventi Insights vengono registrati solo quando CloudTrail rileva modifiche all'utilizzo dell'API dell'account che differiscono significativamente dai modelli di utilizzo tipici dell'account.

    Gli eventi Insights vengono generati solo per le API di gestione Write (Scrittura).

Argomenti