Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Registrazione degli eventi di gestione
Per impostazione predefinita, i percorsi e i datastore di eventi registrano gli eventi di gestione e non includono gli eventi di dati o gli eventi Insights.
Per gli eventi di dati o Insights vengono applicati costi aggiuntivi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail
Indice
- Eventi di gestione
- Lettura e scrittura di eventi
- Registrazione degli eventi con AWS Command Line Interface
- Registrazione degli eventi con gli SDK AWS
- Invio di eventi ad Amazon CloudWatch Logs
Eventi di gestione
Gli eventi di gestione forniscono visibilità sulle operazioni di gestione eseguite sulle risorse del tuo AWS account. Queste operazioni sono definite anche operazioni del piano di controllo (control-plane). Gli eventi di gestione di esempio includono:
-
Configurazione della sicurezza (ad esempio, operazioni API IAM
AttachRolePolicy) -
Registrazione di dispositivi (ad esempio, operazioni API Amazon EC2
CreateDefaultVpc) -
Configurazione di regole per il routing dei dati (ad esempio, operazioni API Amazon EC2
CreateSubnet) -
Configurazione della registrazione (ad esempio, operazioni AWS CloudTrail
CreateTrailAPI)
Gli eventi di gestione possono includere anche eventi non API che si verificano nel tuo account. Ad esempio, quando un utente accede al tuo account, CloudTrail registra l'evento. ConsoleLogin Per ulteriori informazioni, consulta Eventi non API acquisiti da CloudTrail.
Per impostazione predefinita, i percorsi e i datastore di eventi vengono configurati per registrare gli eventi di gestione.
Nota
La funzionalità di cronologia degli CloudTrail eventi supporta solo gli eventi di gestione. Non puoi escludere AWS KMS o escludere eventi Amazon RDS Data API dalla cronologia degli eventi; le impostazioni che applichi a un trail o a un event data store non si applicano alla cronologia degli eventi. Per ulteriori informazioni, consulta Lavorare con la cronologia CloudTrail degli eventi.
Registrazione degli eventi di gestione con AWS Management Console
-
Accedere AWS Management Console e aprire la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/
. -
Per aggiornare un percorso, apri la pagina Trails della CloudTrail console e scegli il nome del percorso.
Per aggiornare un event data store, apri la pagina Event data stores della CloudTrail console e scegli il nome del data store degli eventi.
-
Per Management events (Eventi di gestione), scegli Edit (Modifica).
-
Scegli se vuoi che il percorso o il datastore di eventi registri eventi Read (Lettura), Write (Scrittura) o entrambi.
-
Scegli Escludi AWS KMS eventi per filtrare AWS Key Management Service (AWS KMS) gli eventi dal tuo trail o event data store. L'impostazione predefinita prevede l'inclusione di tutti AWS KMS gli eventi.
L'opzione per registrare o escludere AWS KMS gli eventi è disponibile solo se si registrano gli eventi di gestione nel percorso o nell'archivio dati degli eventi. Se si sceglie di non registrare gli eventi di gestione, AWS KMS gli eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.
AWS KMS azioni come
EncryptDecrypt, eGenerateDataKeyin genere generano un volume elevato (oltre il 99%) di eventi. Queste operazioni vengono ora registrate come eventi Read (Lettura). AWS KMS Le azioni pertinenti a basso volume comeDisableeScheduleKey(che in genere rappresentano meno dello 0,5% del volume degli AWS KMS eventi) vengono registrate come eventi di scrittura.DeletePer escludere eventi ad alto volume come
Encrypt, eDecryptGenerateDataKey, ma comunque registrare eventi pertinenti come eDisableScheduleKey, scegli di registrare gli eventi di gestione di WriteDeletee deseleziona la casella di controllo Escludi eventi. AWS KMS -
Scegli Escludi eventi dell'API dati di Amazon RDS per filtrare gli eventi dell'API dati di Amazon Relational Database Service dal percorso o dal datastore di eventi. L'impostazione predefinita è includere tutti gli eventi dell'API dati di Amazon RDS. Per ulteriori informazioni sugli eventi dell'API dati di Amazon RDS, consulta Registrazione delle chiamate dell'API dati con AWS CloudTrail nella Guida per l'utente di Amazon RDS per Aurora.
-
-
Al termine, scegli Salva modifiche.
Lettura e scrittura di eventi
Quando configuri il percorso o il datastore di eventi per la registrazione degli eventi di gestione, puoi specificare se desideri registrare gli eventi di sola lettura, gli eventi di sola scrittura o entrambi.
-
Lettura
Gli eventi di sola lettura includono le operazioni API che leggono le risorse, ma non le modificano. Ad esempio, gli eventi di sola lettura includono le operazioni API Amazon EC2
DescribeSecurityGroupseDescribeSubnets. Queste operazioni restituiscono solo le informazioni sulle risorse Amazon EC2 e non modificano le configurazioni. -
Scrittura
Gli eventi di tipo Write-only (sola scrittura) includono le operazioni API che modificano o possono modificare le risorse. Ad esempio, le operazioni API Amazon EC2
RunInstanceseTerminateInstancesmodificano le istanze.
Esempio: registrazione degli eventi di lettura e scrittura per percorsi separati
L'esempio seguente mostra come è possibile configurare i trail in modo che le attività di log per un account vengano suddivise in bucket S3 separati: un bucket riceve gli eventi di sola lettura e un secondo bucket riceve eventi di sola scrittura.
-
Puoi creare un trail e scegliere un bucket S3 denominato
read-only-bucketper ricevere i file di log. Puoi quindi aggiornare il percorso e specificare che desideri registrare gli eventi Read (Lettura). -
Puoi creare un secondo trail e scegliere un bucket S3 denominato
write-only-bucketper ricevere i file di log. Puoi quindi aggiornare il percorso per specificare che desideri registrare gli eventi Write (Scrittura). -
Le operazioni API Amazon EC2
DescribeInstanceseTerminateInstancessi verificano nell'account. -
L'operazione API
DescribeInstancesè un evento di sola lettura e corrisponde alle impostazioni del primo trail. Il trail registra e distribuisce l'evento inread-only-bucket. -
L'operazione API
TerminateInstancesè un evento di sola scrittura e corrisponde alle impostazioni del secondo trail. Il trail registra e distribuisce l'evento inwrite-only-bucket.
Registrazione degli eventi con AWS Command Line Interface
È possibile configurare i percorsi o i datastore di eventi per registrare gli eventi di gestione utilizzando la AWS CLI.
Argomenti
Esempi: Registrazione di eventi di gestione per i percorsi
Per verificare se il tuo trail sta registrando gli eventi di gestione, esegui il comando get-event-selectors.
aws cloudtrail get-event-selectors --trail-nameTrailName
L'esempio seguente restituisce le impostazioni di default per un trail. Per impostazione predefinita, i trail registrano tutti gli eventi di gestione, gli eventi di log da tutte le origini eventi e non registrano gli eventi di dati.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
È possibile utilizzare selettori di eventi di base o avanzati per registrare gli eventi di gestione. Non è possibile applicare sia selettori di eventi che selettori di eventi avanzati a un trail. Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti. Le sezioni seguenti forniscono esempi di come registrare gli eventi di gestione utilizzando selettori di eventi avanzati e selettori di eventi di base.
Argomenti
Esempi: registrazione degli eventi di gestione dei sentieri utilizzando selettori di eventi avanzati
L'esempio seguente crea un selettore di eventi avanzato per un percorso denominato TrailNameper includere eventi di gestione di sola lettura e sola scrittura (omettendo il readOnly selettore), ma per escludere gli eventi (). AWS Key Management Service AWS KMS Poiché AWS KMS gli eventi vengono trattati come eventi gestionali e il loro volume può essere elevato, possono avere un impatto sostanziale sulla CloudTrail fattura se si dispone di più di un percorso che raccoglie gli eventi di gestione.
Se si sceglie di non registrare gli eventi di gestione, gli AWS KMS eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.
Per ricominciare a registrare AWS KMS gli eventi in un percorso, rimuovete il eventSource selettore ed eseguite nuovamente il comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Per avviare nuovamente la registrazione di eventi su un percorso, rimuovi il selettore eventSource, come mostrato nel comando seguente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
L'esempio successivo crea un selettore di eventi avanzato per un percorso denominato TrailNameper includere eventi di gestione di sola lettura e sola scrittura (omettendo il readOnly selettore), ma per escludere gli eventi di gestione delle API di Amazon RDS Data. Per escludere gli eventi di gestione di Amazon RDS Data API, specifica l'origine dell'evento Amazon RDS Data API nel valore della stringa per il eventSource campo:. rdsdata.amazonaws.com
Se scegli di non registrare gli eventi di gestione, gli eventi di gestione di Amazon RDS Data API non vengono registrati e non puoi modificare le impostazioni di registrazione degli eventi di Amazon RDS Data API.
Per ricominciare a registrare gli eventi di gestione delle API di Amazon RDS Data su un trail, rimuovi il eventSource selettore ed esegui nuovamente il comando.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Per avviare nuovamente la registrazione di eventi su un percorso, rimuovi il selettore eventSource, come mostrato nel comando seguente.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Esempi: registrazione degli eventi di gestione dei trail utilizzando selettori di eventi di base
Per configurare il trail per la registrazione di eventi di gestione, esegui il comando put-event-selectors. L'esempio seguente mostra come configurare il tuo trail per includere tutti gli eventi di gestione per due oggetti S3. Puoi specificare da 1 a 5 selettori di eventi per un trail. Puoi specificare da 1 a 250 risorse di dati per un trail.
Nota
Il numero massimo di risorse di dati S3 è 250, indipendentemente dal numero di selettori di eventi.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'
L'esempio seguente restituisce il selettore di eventi configurato per il trail.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] }
Per escludere gli eventi AWS Key Management Service (AWS KMS) dai log di un percorso, esegui il put-event-selectors comando e aggiungi l'attributo ExcludeManagementEventSources con un valore di. kms.amazonaws.com L'esempio seguente crea un selettore di eventi per un percorso denominato in TrailNamemodo da includere eventi di gestione di sola lettura e sola scrittura, ma escludendo gli eventi. AWS KMS Poiché AWS KMS può generare un volume elevato di eventi, l'utente in questo esempio potrebbe voler limitare gli eventi per gestire il costo di un trail.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
L'esempio restituisce il selettore di eventi configurato per il trail.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] }
Per escludere gli eventi di gestione dell'API di Amazon RDS Data dai log di un percorso, esegui il put-event-selectors comando e aggiungi l'attributo ExcludeManagementEventSources con un valore di. rdsdata.amazonaws.com L'esempio seguente crea un selettore di eventi per un percorso denominato TrailNameper includere eventi di gestione di sola lettura e sola scrittura, ma esclude gli eventi di gestione delle API di Amazon RDS Data. Poiché Amazon RDS Data API può generare un volume elevato di eventi di gestione, l'utente in questo esempio potrebbe voler limitare gli eventi per gestire il costo di un trail.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] }
Per avviare nuovamente la registrazione AWS KMS o gli eventi di gestione delle API di Amazon RDS Data su un trail, passa una stringa vuota come valore diExcludeManagementEventSources, come illustrato nel comando seguente.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Per registrare AWS KMS gli eventi rilevanti in un percorso, ad esempioDisable, Delete conScheduleKey, ma escludendo AWS KMS gli eventi ad alto volume come EncryptDecrypt, eGenerateDataKey, registra gli eventi di gestione di sola scrittura e mantieni l'impostazione predefinita per registrare AWS KMS gli eventi, come mostrato nell'esempio seguente.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Esempi: Registrazione degli eventi di gestione per i datastore di eventi
Per vedere se il datastore di eventi include eventi di gestione, esegui il comando get-event-data-store.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Di seguito è riportata una risposta di esempio. L'ora di creazione e dell'ultimo aggiornamento sono espressi nel formato timestamp.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "myManagementEvents", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00", "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00" }
Per creare un datastore di eventi che includa tutti gli eventi di gestione, esegui il comando create-event-data-store. Non è necessario specificare i selettori di eventi avanzati per includere tutti gli eventi di gestione.
aws cloudtrail create-event-data-store --name my-event-data-store --retention-period 90\
Di seguito è riportata una risposta di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00", "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00" }
Per creare un archivio dati di eventi che escluda gli eventi AWS Key Management Service (AWS KMS), esegui il create-event-data-store comando e specifica che non eventSource è uguale. kms.amazonaws.com L'esempio seguente crea un Event Data Store che include eventi di gestione di sola lettura e di sola scrittura, ma esclude gli eventi. AWS KMS
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]} ] } ]'
Di seguito è riportata una risposta di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Per creare un event data store che escluda gli eventi di gestione di Amazon RDS Data API, esegui il create-event-data-store comando e specifica che eventSource non è uguale. rdsdata.amazonaws.com Nell'esempio seguente viene creato un datastore di eventi che include eventi di gestione di sola lettura e di sola scrittura, ma esclude gli eventi dell'API dati di Amazon RDS.
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]} ] } ]'
Di seguito è riportata una risposta di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Registrazione degli eventi con gli SDK AWS
Usa l'GetEventSelectorsoperazione per vedere se il tuo percorso sta registrando gli eventi di gestione per un percorso. È possibile configurare i percorsi per registrare gli eventi di gestione con l'PutEventSelectorsoperazione. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS CloudTrail.
Esegui l'GetEventDataStoreoperazione per vedere se il tuo archivio dati degli eventi include eventi di gestione. È possibile configurare i data store degli eventi in modo da includere gli eventi di gestione eseguendo UpdateEventDataStorele operazioni CreateEventDataStoreor. Per ulteriori informazioni, consulta Crea, aggiorna e gestisci archivi di dati di eventi con AWS CLI e il Riferimento API di AWS CloudTrail.
Invio di eventi ad Amazon CloudWatch Logs
Per i percorsi, CloudTrail supporta l'invio di dati ed eventi di gestione a CloudWatch Logs. Quando configuri il percorso per inviare eventi al gruppo di log CloudWatch Logs, CloudTrail invia solo gli eventi specificati nel percorso. Ad esempio, se configuri il percorso per registrare solo gli eventi di gestione, il percorso invia gli eventi di gestione solo al gruppo di log CloudWatch Logs. Per ulteriori informazioni, consulta Monitoraggio dei file di CloudTrail registro con Amazon CloudWatch Logs.
