Registrazione degli eventi Insights

AWS CloudTrail Insights aiuta AWS gli utenti a identificare e rispondere alle attività insolite associate alle API chiamate e ai tassi API di errore analizzando continuamente gli eventi di CloudTrail gestione. CloudTrail Insights analizza i normali modelli di volume delle API chiamate e tassi di API errore, detti anche baseline, e genera eventi Insights quando il volume delle chiamate o i tassi di errore non rientrano negli schemi normali. Gli eventi Insights sul volume delle API chiamate vengono generati per la write gestioneAPIs, mentre gli eventi Insights sul tasso di API errore vengono generati sia per la gestione che read per la gestione. write APIs

Nota

Per registrare gli eventi di Insights sul volume delle API chiamate, il trail o event data store deve registrare gli eventi di write gestione. Per registrare gli eventi di Insights in base al tasso di API errore, il trail o event data store deve registrare gli eventi read o write gestirli.

CloudTrail Insights analizza gli eventi di gestione che si verificano in una singola regione, non a livello globale. Un evento CloudTrail Insights viene generato nella stessa regione in cui vengono generati gli eventi di gestione di supporto.

Per gli eventi Insights vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail.

Indice

• Comprensione della distribuzione di eventi Insights
• Registrazione degli eventi di Insights con AWS Management Console
  • Abilitazione degli eventi CloudTrail Insights su un percorso esistente
  • Abilitazione degli eventi CloudTrail Insights su un archivio dati di eventi esistente
• Registrazione degli eventi di Insights con AWS Command Line Interface
  • Registrazione degli eventi di Insights per un percorso utilizzando il AWS CLI
  • Registrazione degli eventi di Insights per un archivio dati di eventi utilizzando il AWS CLI
• Registrazione degli eventi di Insights con AWS SDKs

Comprensione della distribuzione di eventi Insights

A differenza di altri tipi di eventi CloudTrail acquisiti, gli eventi Insights vengono registrati solo quando CloudTrail rilevano cambiamenti nell'APIutilizzo dell'account che differiscono significativamente dai modelli di utilizzo tipici dell'account.

CloudTrail Il luogo in cui vengono distribuiti gli eventi e il tempo necessario per riceverli variano a seconda dei percorsi e degli archivi di dati sugli eventi.

Distribuzione di eventi Insights per i percorsi

Se hai abilitato gli eventi di Insights su un percorso e CloudTrail rilevi attività insolite, CloudTrail invia gli eventi di Insights nella /CloudTrail-Insight cartella nel bucket S3 di destinazione scelto per il percorso. Dopo aver abilitato CloudTrail Insights per la prima volta su un percorso, possono essere necessarie fino a 36 ore CloudTrail per generare il primo evento Insights, se viene rilevata un'attività insolita.

Se disattivi la registrazione degli eventi di Insights su un percorso e poi riattivi gli eventi di Insights oppure interrompi e riavvii la registrazione su un percorso, possono essere necessarie fino a 36 ore per CloudTrail riavviare la consegna degli eventi Insights, se viene rilevata un'attività insolita.

Distribuzione di eventi Insights per i datastore di eventi

Se hai abilitato gli eventi Insights su un data store di eventi di origine, CloudTrail invia gli eventi di Insights al data store degli eventi di destinazione. Dopo aver abilitato CloudTrail Insights per la prima volta nell'archivio dati degli eventi di origine, possono essere necessari fino a 7 giorni prima che il primo evento Insights venga inviato al data store degli eventi di destinazione, se viene rilevata un'attività insolita. CloudTrail

Se disattivi la registrazione degli eventi di Insights su un data store di eventi di origine e quindi riattivi gli eventi di Insights o interrompi e riavvii l'inserimento degli eventi su un data store di eventi di origine, possono essere necessari fino a 7 giorni per CloudTrail riavviare la consegna degli eventi di Insights, se viene rilevata un'attività insolita. Si applicano costi aggiuntivi per l'importazione di eventi Insights in Lake. CloudTrail Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.

Registrazione degli eventi di Insights con AWS Management Console

Puoi abilitare gli eventi Insights su un percorso o in un datastore di eventi utilizzando la console.

Argomenti

• Abilitazione degli eventi CloudTrail Insights su un percorso esistente
• Abilitazione degli eventi CloudTrail Insights su un archivio dati di eventi esistente

Abilitazione degli eventi CloudTrail Insights su un percorso esistente

Utilizzare la procedura seguente per abilitare gli eventi CloudTrail Insights su un percorso esistente. Per impostazione predefinita, gli eventi Insights non sono abilitati.

1. Nel riquadro di navigazione a sinistra della CloudTrail console, apri la pagina Trails e scegli il nome di un percorso.

2. In Insights events (Eventi Insights) scegli Edit (Modifica).

   Nota

   Per la registrazione degli eventi Insights vengono applicati costi aggiuntivi. Per CloudTrail i prezzi, consulta la sezione AWS CloudTrail Prezzi.

3. In Event type (Tipo di evento), scegli Insights events (Eventi Insights).

4. Negli eventi Insights, in Scegli i tipi di Insights, scegli la frequenza delle API chiamate, la frequenza di API errore o entrambe. Il percorso deve registrare gli eventi di gestione della scrittura per registrare gli eventi di Insights per la frequenza delle API chiamate. Il percorso deve registrare gli eventi di gestione di lettura o scrittura per registrare gli eventi di Insights e il tasso APIdi errore.

5. Per salvare le modifiche, scegliere Salva modifiche.

La trasmissione dei primi eventi Insights può richiedere fino CloudTrail a 36 ore, se viene rilevata un'attività insolita.

Abilitazione degli eventi CloudTrail Insights su un archivio dati di eventi esistente

Utilizzare la procedura seguente per abilitare gli eventi CloudTrail Insights su un data store di eventi esistente. Per impostazione predefinita, gli eventi Insights non sono abilitati.

Si applicano costi aggiuntivi per l'importazione di eventi Insights in CloudTrail Lake. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.

Nota

È possibile abilitare gli eventi CloudTrail Insights solo negli archivi di dati di eventi contenenti eventi di CloudTrail gestione. Non è possibile abilitare gli eventi CloudTrail Insights su altri tipi di data store di eventi.

1. Nel riquadro di navigazione a sinistra della CloudTrail console, sotto Lake, scegli Event data store.

2. Scegli l'evento dal datastore di eventi.

3. Per Eventi di gestione, scegli Modifica.

4. Scegli Abilita Insights.

5. Scegli l'archivio dati degli eventi di destinazione in cui CloudTrail verranno distribuiti gli eventi Insights. Il datastore di eventi di destinazione raccoglierà gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi. Per informazioni su come creare il datastore di eventi di destinazione, consulta Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights.

6. In Scegli i tipi di Insights, scegli la frequenza delle API chiamate, il tasso di API errore o entrambi. Il tuo archivio dati degli eventi deve registrare gli eventi di gestione della scrittura per registrare gli eventi di Insights per la frequenza delle API chiamate. L'archivio dati degli eventi deve registrare gli eventi di gestione di lettura o scrittura per registrare gli eventi di Insights e il tasso APIdi errore.

7. Per salvare le modifiche, scegliere Salva modifiche.

La distribuzione dei primi eventi Insights può richiedere fino CloudTrail a 7 giorni, se viene rilevata un'attività insolita.

Registrazione degli eventi di Insights con AWS Command Line Interface

Puoi configurare i percorsi o i datastore di eventi per registrare gli eventi Insights utilizzando la AWS CLI.

Nota

Per registrare gli eventi di Insights sul volume delle API chiamate, il trail o event data store deve registrare gli eventi di write gestione. Per registrare gli eventi di Insights in base al tasso di API errore, il trail o event data store deve registrare gli eventi read o write gestirli.

Argomenti

• Registrazione degli eventi di Insights per un percorso utilizzando il AWS CLI
• Registrazione degli eventi di Insights per un archivio dati di eventi utilizzando il AWS CLI

Registrazione degli eventi di Insights per un percorso utilizzando il AWS CLI

Per verificare se il percorso sta registrando eventi Insights, esegui il comando get-insight-selectors.

aws cloudtrail get-insight-selectors --trail-name TrailName

Il risultato seguente mostra le impostazioni predefinite per un trail. Per impostazione predefinita, i trail non registrano gli eventi Insights. Il valore dell'attributo InsightType è vuoto e non vengono specificati selettori di eventi Insight, poiché la raccolta di eventi Insights non è abilitata.

Se non aggiungete selettori Insights, il get-insight-selectors comando restituisce il seguente messaggio di errore: «Si è verificato un errore (InsightNotEnabledException) durante la chiamata dell' GetInsightSelectors operazione: Trail name non ha Insights abilitato. Modificare le impostazioni del percorso per abilitare Insights, quindi riprovare l'operazione.»

{
  "InsightSelectors": [ ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Per configurare il percorso per la registrazione di eventi Insights, esegui il comando put-insight-selectors. Nell'esempio seguente viene illustrato come configurare il percorso per includere eventi Insights. I valori del selettore Insights possono essereApiCallRateInsight, ApiErrorRateInsight o entrambi.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

Il risultato seguente mostra il selettore di eventi Insights configurato per il trail.

{
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Registrazione degli eventi di Insights per un archivio dati di eventi utilizzando il AWS CLI

Per registrare gli eventi di Insights in un datastore di eventi, è necessario un datastore di eventi di origine che registri gli eventi di gestione e un datastore di eventi di destinazione che registri gli eventi Insights.

Per vedere se gli eventi Insights sono abilitati su un datastore di eventi, esegui il comando get-insight-selectors.

aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Per vedere se un datastore di eventi è configurato per ricevere gli eventi Insights o gli eventi di gestione, esegui il comando get-event-data-store.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

Questa procedura mostra come creare i datastore di eventi di destinazione e di origine e come abilitare gli eventi Insights.

1. Esegui il comando aws cloudtrail create-event-data-store per creare un datastore di eventi di destinazione che raccolga gli eventi di Insights. Il valore di eventCategory deve essere Insight. Replace (Sostituisci) retention-period-days con il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi.

   Se hai effettuato l'accesso con l'account di gestione di un' AWS Organizations organizzazione, includi il --organization-enabled parametro se desideri concedere all'amministratore delegato l'accesso all'archivio dati degli eventi.

   aws cloudtrail create-event-data-store \
   --name insights-event-data-store \
   --no-multi-region-enabled \
   --retention-period retention-period-days \
   --advanced-event-selectors '[
       {
         "Name": "Select Insights events",
         "FieldSelectors": [
             { "Field": "eventCategory", "Equals": ["Insight"] }
           ]
       }
     ]'
               

   Di seguito è riportata una risposta di esempio.

   {
       "Name": "insights-event-data-store",
       "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
       "AdvancedEventSelectors": [
           {
              "Name": "Select Insights events",
              "FieldSelectors": [
                 {
                     "Field": "eventCategory",
                     "Equals": [
                         "Insight"
                       ]
                   }
               ]
           }
       ],
       "MultiRegionEnabled": false,
       "OrganizationEnabled": false,
       "BillingMode": "EXTENDABLE_RETENTION_PRICING",
       "RetentionPeriod": "90",
       "TerminationProtectionEnabled": true,
       "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
       "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
   }

   Utilizzerai il ARN (o il suffisso ID diARN) contenuto nella risposta come valore per il --insights-destination parametro nel passaggio 3.

2. Esegui il comando aws cloudtrail create-event-data-store per creare un datastore di eventi di origine che registri gli eventi di gestione. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione. Non è necessario specificare i selettori di eventi avanzati se si desidera registrare tutti gli eventi di gestione. Replace (Sostituisci) retention-period-days con il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi. Se stai creando un datastore di eventi dell'organizzazione, includi il parametro --organization-enabled.

   aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

   Di seguito è riportata una risposta di esempio.

   {
       "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
       "Name": "source-event-data-store",
       "Status": "CREATED",
       "AdvancedEventSelectors": [
           {
               "Name": "Default management events",
               "FieldSelectors": [
                   {
                       "Field": "eventCategory",
                       "Equals": [
                           "Management"
                       ]
                   }
               ]
           }
       ],
       "MultiRegionEnabled": true,
       "OrganizationEnabled": false,
       "BillingMode": "EXTENDABLE_RETENTION_PRICING",
       "RetentionPeriod": 90,
       "TerminationProtectionEnabled": true,
       "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
       "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
   }

   Utilizzerai il ARN (o il suffisso ID diARN) contenuto nella risposta come valore per il --event-data-store parametro nel passaggio 3.

3. Esegui il comando put-insight-selectors per abilitare gli eventi Insights. I valori del selettore Insights possono essereApiCallRateInsight, ApiErrorRateInsight o entrambi. Per il --event-data-store parametro, specificate il ARN (o il suffisso ID delARN) dell'archivio dati degli eventi di origine che registra gli eventi di gestione e abiliterà Insights. Per il --insights-destination parametro, specificate il ARN (o il suffisso ID delARN) del data store degli eventi di destinazione che registrerà gli eventi di Insights.

   aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

   Il risultato seguente mostra il selettore di eventi Insights configurato per il datastore di eventi.

   {
     "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
     "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
     "InsightSelectors":
         [
            {
               "InsightType": "ApiErrorRateInsight"
            },
            {
               "InsightType": "ApiCallRateInsight"
            }
         ]
   }

   Dopo aver abilitato CloudTrail Insights per la prima volta su un Event Data Store, possono essere necessari fino a 7 giorni per CloudTrail la consegna del primo evento Insights, se viene rilevata un'attività insolita.

   CloudTrail Insights analizza gli eventi di gestione che si verificano in una singola regione, non a livello globale. Un evento CloudTrail Insights viene generato nella stessa regione in cui vengono generati gli eventi di gestione di supporto.

   Per un archivio dati di eventi organizzativi, CloudTrail analizza gli eventi di gestione dell'account di ciascun membro anziché analizzare l'aggregazione di tutti gli eventi di gestione dell'organizzazione.

Si applicano costi aggiuntivi per l'importazione di eventi Insights in Lake. CloudTrail Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.

Registrazione degli eventi di Insights con AWS SDKs

Esegui l'GetInsightSelectorsoperazione per vedere se il tuo trail o event data store abilita gli eventi Insights. È possibile configurare i percorsi o gli archivi di dati degli eventi per abilitare gli eventi Insights con l'PutInsightSelectorsoperazione. Per ulteriori informazioni, consulta il AWS CloudTrail APIReference.