Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come CloudTrail funziona
Hai automaticamente accesso alla cronologia degli CloudTrail eventi quando crei il tuo Account AWS. La cronologia degli eventi fornisce un record visualizzabile, ricercabile, scaricabile e immutabile degli eventi di gestione verificatisi negli ultimi 90 giorni in una Regione AWS.
Per una registrazione continua degli eventi degli Account AWS ultimi 90 giorni, crea un trail o un archivio dati sugli eventi CloudTrail Lake.
Argomenti
CloudTrail Cronologia degli eventi
Puoi visualizzare facilmente gli ultimi 90 giorni di eventi di gestione nella CloudTrail console accedendo alla pagina Cronologia degli eventi. È inoltre possibile visualizzare la cronologia degli eventi eseguendo il comando aws cloudtrail
lookup-events o l'operazione API LookupEvents. Puoi cercare gli eventi in Event history (Cronologia degli eventi) filtrando gli eventi in base a un singolo attributo. Per ulteriori informazioni, consulta Lavorare con la cronologia CloudTrail degli eventi.
La cronologia degli eventi non è collegata ai percorsi o ai datastore di eventi presenti nel tuo account e non è interessata dalle modifiche alla configurazione apportate ai percorsi e ai datastore di eventi.
Non sono CloudTrail previsti costi per la visualizzazione della pagina della cronologia degli eventi o l'esecuzione del lookup-events comando.
CloudTrail Archivi di dati relativi a laghi ed eventi
È possibile creare un archivio dati di eventi per registrare CloudTrail eventi (eventi di gestione, eventi relativi ai dati), eventi CloudTrail Insights, AWS Audit Manager prove, elementi di AWS Config configurazione o eventi esterni a AWS.
Gli Event Data Store possono registrare gli eventi dell'account corrente Regione AWS o di tutti Regioni AWS quelli presenti nell' AWS account. I data store di eventi utilizzati per registrare gli eventi di integrazione dall'esterno AWS devono essere relativi a una sola regione; non possono essere archivi dati di eventi multiregionali.
Se hai creato un'organizzazione in AWS Organizations, puoi creare un data store degli eventi organizzativi che registri tutti gli eventi per tutti gli AWS account di quell'organizzazione. Gli archivi di dati degli eventi dell'organizzazione possono applicarsi a tutte le Regioni AWS o alla Regione corrente. I datastore di eventi dell'organizzazione devono essere creati nell'account di gestione o nell'account dell'amministratore delegato e, se specificati come applicabili a un'organizzazione, vengono applicati automaticamente a tutti gli account membri di tale organizzazione. Gli account membri possono visualizzare l'archivio di dati degli eventi dell'organizzazione, ma non possono modificarlo o eliminarlo. Gli archivi dati degli eventi organizzativi non possono essere utilizzati per raccogliere eventi dall'esterno. AWS Per ulteriori informazioni, consulta Comprendere gli archivi di dati degli eventi organizzativi.
Per impostazione predefinita, tutti gli eventi in un archivio dati di eventi sono crittografati da CloudTrail. Quando configuri un Event Data Store, puoi scegliere di utilizzare il tuo AWS KMS key. L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata. Per ulteriori informazioni, consulta Crittografia dei file di CloudTrail registro con AWS KMS chiavi (SSE-KMS).
La tabella seguente fornisce informazioni sulle attività che è possibile eseguire sugli archivi dati degli eventi.
| Attività | Descrizione |
|---|---|
|
Puoi utilizzare le dashboard di CloudTrail Lake per visualizzare gli eventi nei data store di eventi che raccolgono eventi di gestione, eventi sui dati S3 o eventi Insights. |
|
|
Configura il tuo Event Data Store per registrare gli eventi di sola lettura, di sola scrittura o tutti gli eventi di gestione. Per impostazione predefinita, i dati degli eventi archiviano gli eventi di gestione dei registri. |
|
|
Configura il tuo archivio dati degli eventi per registrare gli eventi relativi ai dati. Puoi utilizzare selettori di eventi avanzati per filtrare |
|
Configurare i datastore di eventi in modo che registrino gli eventi Insights per individuare e rispondere ad attività insolite associate alle chiamate API di gestione. Per ulteriori informazioni, consulta Registrazione degli eventi Insights. Per gli eventi Insights vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail |
|
È possibile copiare gli eventi del trail in un event data store nuovo o esistente per creare un' point-in-time istantanea degli eventi registrati nel percorso. |
|
Puoi federare un data store di eventi per visualizzare i metadati associati al data store di eventi nel Data Catalog ed eseguire query SQL sui AWS Glue dati dell'evento utilizzando Amazon Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. |
|
Interrompi o avvia l'acquisizione di eventi su un archivio dati di eventi |
È possibile interrompere e avviare l'acquisizione di eventi su archivi di dati di eventi che raccolgono eventi di CloudTrail gestione e dati o elementi di configurazione. AWS Config |
Puoi utilizzare le integrazioni di CloudTrail Lake per registrare e archiviare i dati sulle attività degli utenti dall'esterno AWS; da qualsiasi fonte nei tuoi ambienti ibridi, come applicazioni interne o SaaS ospitate in locale o nel cloud, macchine virtuali o contenitori. Per informazioni sui partner di integrazione disponibili, consulta Lake Integrations.AWS CloudTrail |
|
La CloudTrail console fornisce una serie di query di esempio che possono aiutarti a iniziare a scrivere le tue query. |
|
Le query in CloudTrail vengono create in SQL. È possibile creare una query nella scheda CloudTrail Lake Editor scrivendola da zero in SQL oppure aprendo una query salvata o di esempio e modificandola. |
|
|
Quando si esegue una query, è possibile salvare i risultati della query in un bucket S3. |
|
Puoi scaricare un file CSV contenente i risultati delle query CloudTrail Lake salvate. |
|
È possibile utilizzare la convalida dell'integrità dei risultati delle CloudTrail query per determinare se i risultati delle query sono stati modificati, eliminati o invariati dopo CloudTrail averli inviati al bucket S3. |
Per ulteriori informazioni su CloudTrail Lake, consulta. Lavorare con AWS CloudTrail Lake
CloudTrail Gli archivi e le richieste di dati sugli eventi di Lake sono a pagamento. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Quando si eseguono le query in Lake, si paga in base alla quantità di dati scansionati. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi AWS CloudTrail Prezzi e.
CloudTrail sentieri
Un trail è una configurazione che abilita la distribuzione di eventi in un bucket Amazon S3 che specifichi. Puoi anche fornire e analizzare gli eventi in un percorso con Amazon CloudWatch Logs e Amazon EventBridge.
Trails può registrare eventi CloudTrail di gestione, eventi relativi ai dati ed eventi Insights.
È possibile creare due tipi di percorsi per uno Account AWS: percorsi multiregione e percorsi a regione singola.
- Percorsi multiregionali
-
Quando crei un percorso multiregionale, CloudTrail registra tutti gli eventi nella AWS partizione Regioni AWS in cui stai lavorando e invia i file di registro degli CloudTrail eventi a un bucket S3 da te specificato. Se Regione AWS viene aggiunto un percorso multiregionale, quella nuova regione viene inclusa automaticamente e gli eventi in quella regione vengono registrati. La creazione di un percorso multi-regionale è una best practice consigliata in quanto in questo modo è possibile registrare l'attività in tutte Regioni del proprio account. Tutti i percorsi creati utilizzando la CloudTrail console sono multiregionali. È possibile convertire un percorso a regione singola in un percorso multiregionale utilizzando. AWS CLI Per ulteriori informazioni, consulta Creazione di un percorso nella console e Conversione di un trail valido per una regione in un trail valido per tutte le regioni.
- Percorsi a regione singola
-
Quando crei un percorso a regione singola, CloudTrail registra solo gli eventi in quella regione. Quindi invia i file di registro CloudTrail degli eventi a un bucket Amazon S3 specificato dall'utente. Puoi creare un percorso basato su una singola Regione solo utilizzando la AWS CLI. Se crei percorsi singoli aggiuntivi, puoi fare in modo che questi percorsi consegnino i file di registro CloudTrail degli eventi nello stesso bucket S3 o in bucket separati. Questa è l'opzione predefinita quando crei un trail utilizzando AWS CLI o l'API. CloudTrail Per ulteriori informazioni, consulta Creazione, aggiornamento e gestione di percorsi con AWS CLI.
Nota
Per entrambi i tipi di percorsi, puoi specificare un bucket Amazon S3 di qualsiasi Regione.
Se hai creato un'organizzazione in AWS Organizations, puoi creare un percorso organizzativo che registri tutti gli eventi per tutti gli AWS account di quell'organizzazione. Gli itinerari organizzativi possono essere applicati a tutte le AWS regioni o alla regione corrente. I percorsi dell'organizzazione devono essere creati nell'account di gestione o nell'account dell'amministratore delegato e, se specificati come applicabili a un'organizzazione, vengono applicati automaticamente a tutti gli account membri dell'organizzazione. Gli account dei membri possono visualizzare il percorso dell'organizzazione, ma non possono modificarlo o eliminarlo. Per impostazione predefinita, gli account membro non hanno accesso ai file di log del trail dell'organizzazione nel bucket Amazon S3.
Per impostazione predefinita, quando si crea un percorso nella CloudTrail console, i file di registro degli eventi vengono crittografati con una chiave KMS. Se scegli di non abilitare la crittografia SSE-KMS, i registri degli eventi vengono crittografati utilizzando la crittografia lato server (SSE) di Amazon S3. Puoi archiviare i file di log nel tuo bucket per la durata desiderata. Puoi anche definire regole del ciclo di vita di Amazon S3 per archiviare o eliminare file di log automaticamente. Se desideri ricevere notifiche relative alla distribuzione e alla convalida dei file di log, puoi configurare le notifiche Amazon SNS.
CloudTrail pubblica i file di registro più volte all'ora, circa ogni 5 minuti. Questi file di registro contengono chiamate API dai servizi dell'account che supportano CloudTrail. Per ulteriori informazioni, consulta CloudTrail servizi e integrazioni supportati.
Nota
CloudTrail in genere fornisce i log entro una media di circa 5 minuti da una chiamata API. Questo tempo non è garantito. Per ulteriori informazioni, consultare l'Accordo sul Livello di Servizio (SLA) di AWS CloudTrail
Se configuri male il percorso (ad esempio, il bucket S3 non è raggiungibile), CloudTrail tenterai di recapitare i file di registro al bucket S3 per 30 giorni e questi eventi saranno soggetti ai costi standard. attempted-to-deliver CloudTrail Per evitare addebiti su un percorso configurato erroneamente devi eliminarlo.
CloudTrail registra le azioni eseguite direttamente dall'utente o per conto dell'utente da un servizio. AWS Ad esempio, una AWS CloudFormation CreateStack chiamata può generare chiamate API aggiuntive verso Amazon EC2, Amazon RDS, Amazon EBS o altri servizi come richiesto dal modello. AWS CloudFormation Questo comportamento è normale e previsto. Puoi identificare se l'azione è stata intrapresa da un AWS servizio utilizzando il invokedby campo nell'evento. CloudTrail
La tabella seguente fornisce informazioni sulle attività che è possibile eseguire sui sentieri.
| Attività | Descrizione |
|---|---|
|
Configura i tuoi percorsi per registrare gli eventi di sola lettura, di sola scrittura o tutti gli eventi di gestione. |
|
|
È possibile utilizzare selettori di eventi avanzati per creare selettori dettagliati per registrare solo gli eventi di dati di interesse. Quando utilizzi selettori di eventi avanzati, puoi filtrare in base al |
|
|
Configurare i percorsi in modo che registrino gli eventi Insights per aiutare a individuare e a rispondere ad attività insolite associate con chiamate API di gestione . Per gli eventi Insights vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail |
|
|
Dopo aver abilitato CloudTrail Insights su un trail, puoi visualizzare fino a 90 giorni di eventi Insights utilizzando la CloudTrail console o il AWS CLI. |
|
|
Dopo aver abilitato CloudTrail Insights su un percorso, puoi scaricare un file CSV o JSON contenente fino agli ultimi 90 giorni di eventi Insights relativi al tuo percorso. |
|
|
Puoi copiare gli eventi del trail esistenti in un CloudTrail Lake Event Data Store per creare un' point-in-time istantanea degli eventi registrati nel percorso. |
|
|
Esegui la sottoscrizione a un argomento per ricevere le notifiche relative alla distribuzione dei file di log nel bucket. Amazon SNS può inviare notifiche in diversi modi, ad esempio a livello di programmazione con Amazon Simple Queue Service. NotaSe si desidera ricevere notifiche SNS relative alle distribuzioni dei file di log da tutte le Regioni, specificare un solo argomento SNS per il percorso. Se si desidera elaborare tutti gli eventi a livello di programmazione, consultare Utilizzo della libreria CloudTrail di elaborazione. |
|
|
Trova e scarica i tuoi file di registro dal bucket S3. |
|
|
Puoi configurare il tuo percorso per inviare eventi ai CloudWatch registri. Puoi quindi utilizzare CloudWatch Logs per monitorare il tuo account per chiamate ed eventi API specifici. NotaSe configuri un percorso che si applica a tutte le regioni per inviare eventi a un gruppo di log CloudWatch Logs, CloudTrail invia gli eventi da tutte le regioni a un singolo gruppo di log. |
|
|
La crittografia dei file di log fornisce un ulteriore livello di sicurezza per i file di log. |
|
|
La convalida dell'integrità dei file di registro consente di verificare che i file di registro siano rimasti invariati da quando sono stati CloudTrail consegnati. |
|
|
È possibile condividere i file di log tra account. |
|
|
È possibile aggregare i file di log da più account in un unico bucket. |
|
|
Analizza i tuoi CloudTrail risultati con una soluzione partner che si integra con CloudTrail. Le soluzioni di partner offrono un'ampia gamma di funzionalità, ad esempio il rilevamento delle modifiche, la risoluzione dei problemi e l'analisi della sicurezza. |
Puoi inviare gratuitamente una copia dei tuoi eventi di gestione in corso al tuo bucket S3 CloudTrail creando un percorso, tuttavia ci sono costi di storage di Amazon S3. Per ulteriori informazioni sui CloudTrail prezzi, consulta la pagina Prezzi.AWS CloudTrail
CloudTrail Eventi Insights
AWS CloudTrail Insights aiuta AWS gli utenti a identificare e rispondere alle attività insolite associate alle chiamate API e ai tassi di errore delle API analizzando continuamente gli eventi di CloudTrail gestione. CloudTrail Insights analizza i normali modelli di volume delle chiamate e tassi di errore delle API, detti anche baseline, e genera eventi Insights quando il volume delle chiamate o i tassi di errore non rientrano negli schemi normali. Gli eventi di Insights sul volume delle chiamate API vengono generati per API di gestione write e gli eventi Insights sulla frequenza di errore API vengono generati per API di gestione read e write.
Per impostazione predefinita, i CloudTrail percorsi e gli archivi dati degli eventi non registrano gli eventi di Insights. È necessario configurare l'archivio dati dei percorsi o degli eventi per registrare gli eventi di Insights. Per ulteriori informazioni, consulta Registrazione degli eventi di Insights con AWS Management Console e Registrazione degli eventi di Insights con AWS Command Line Interface.
Per gli eventi Insights vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail
Visualizzazione degli eventi Insights per percorsi e archivi di dati di eventi
CloudTrail supporta gli eventi Insights sia per i percorsi che per gli archivi di dati degli eventi, tuttavia, esistono alcune differenze nel modo in cui si visualizza e si accede agli eventi di Insights.
Visualizzazione di eventi Insights per i percorsi
Se gli eventi di Insights sono abilitati su un percorso e CloudTrail rileva attività insolite, gli eventi Insights vengono registrati in una cartella o prefisso diverso nel bucket S3 di destinazione del percorso. Puoi anche visualizzare il tipo di analisi e il periodo di tempo dell'incidente quando visualizzi gli eventi Insights sulla console. CloudTrail Per ulteriori informazioni, consulta Visualizzazione degli eventi CloudTrail Insights per i percorsi con la console.
Dopo aver abilitato CloudTrail Insights per la prima volta su un trail, possono essere necessarie fino a 36 ore CloudTrail per generare il primo evento Insights, se viene rilevata un'attività insolita.
Visualizzazione degli eventi Insights per i datastore di eventi
Per registrare gli eventi di Insights in CloudTrail Lake, è necessario un data store di destinazione che registri gli eventi di Insights e un data store di eventi di origine che abiliti Insights e registri gli eventi di gestione. Per ulteriori informazioni, consulta Crea un archivio dati di eventi per gli eventi Insights con la console.
Dopo aver abilitato CloudTrail Insights per la prima volta nell'archivio dati degli eventi di origine, possono essere necessari fino a 7 giorni per inviare il primo evento Insights CloudTrail al data store degli eventi di destinazione, se viene rilevata un'attività insolita.
Se hai abilitato CloudTrail Insights su un data store di eventi di origine e CloudTrail rileva attività insolite, CloudTrail invia gli eventi Insights al data store degli eventi di destinazione. Puoi quindi interrogare il data store degli eventi di destinazione per ottenere informazioni sugli eventi Insights e, facoltativamente, salvare i risultati della query in un bucket S3. Per ulteriori informazioni, consulta Crea o modifica un'interrogazione con la console CloudTrail e Visualizza interrogazioni di esempio con la console CloudTrail .
Puoi visualizzare la dashboard Insights Events per visualizzare gli eventi Insights nell'archivio dati degli eventi di destinazione. Per ulteriori informazioni sui pannelli di controllo di Lake, consulta Visualizza i dashboard di CloudTrail Lake con la console CloudTrail .
CloudTrail canali
CloudTrail supporta due tipi di canali:
- Integrazioni di Channels for CloudTrail Lake con fonti di eventi esterne a AWS
-
CloudTrail Lake utilizza i canali per portare eventi dall'esterno AWS a CloudTrail Lake da partner esterni che collaborano con CloudTrail o provenienti da fonti proprie. Quando crei un canale, scegli uno o più archivi di dati degli eventi per archiviare gli eventi che provengono dall'origine del canale. È possibile modificare gli archivi di dati degli eventi di destinazione per un canale in base alle esigenze, a condizione che tali archivi siano impostati per registrare gli eventi dell'attività. Quando crei un canale per gli eventi provenienti da un partner esterno, fornisci un ARN di canale al partner o all'applicazione di origine. La policy delle risorse collegata al canale consente all'origine di trasmettere eventi attraverso il canale. Per ulteriori informazioni, consulta le pagine Crea un'integrazione con una fonte di eventi esterna a AWS e
CreateChannelnella Documentazione di riferimento dell'API AWS CloudTrail . - Canali collegati al servizio
-
AWS i servizi possono creare un canale collegato ai servizi per ricevere CloudTrail eventi per vostro conto. Il AWS servizio che crea il canale collegato al servizio configura selettori di eventi avanzati per il canale e specifica se il canale si applica a tutte le regioni o alla regione corrente.
È possibile utilizzare la CloudTrail console o visualizzare informazioni su qualsiasi AWS CLI CloudTrail canale collegato al servizio creato da. Servizi AWS
