Registrazione di eventi di gestione per i percorsi
Per impostazione predefinita, i trail registrano gli eventi di gestione e non includono gli eventi di dati o Insights. Per gli eventi di dati o Insights vengono applicati costi aggiuntivi. Per ulteriori informazioni, consultare Prezzi di AWS CloudTrail
Indice
Eventi di gestione
Gli eventi di gestione permettono di visualizzare le operazioni di gestione eseguite sulle risorse nel tuo account AWS. Queste operazioni sono definite anche operazioni del piano di controllo. Gli eventi di gestione di esempio includono:
-
Configurazione della sicurezza (ad esempio, operazioni API IAM
AttachRolePolicy) -
Registrazione di dispositivi (ad esempio, operazioni API Amazon EC2
CreateDefaultVpc) -
Configurazione di regole per il routing dei dati (ad esempio, operazioni API Amazon EC2
CreateSubnet) -
Configurazione della registrazione (ad esempio, operazioni API AWS CloudTrail
CreateTrail)
Gli eventi di gestione possono includere anche eventi non API che si verificano nel tuo account. Ad esempio, quando un utente accede al tuo account, CloudTrail registra l'evento ConsoleLogin. Per ulteriori informazioni, consulta Eventi non API acquisiti da CloudTrail. Per un elenco degli eventi di gestione supportati che CloudTrail registra per i servizi AWS, consulta Servizi e integrazioni CloudTrail supportati.
Per impostazione di default, i trail vengono configurati per la registrazione degli eventi di gestione. Per un elenco degli eventi di gestione supportati che CloudTrail registra per i servizi AWS, consulta Servizi e integrazioni CloudTrail supportati.
La caratteristica Event history (Cronologia eventi) di CloudTrail supporta solo gli eventi di gestione. Non tutti gli eventi di gestione sono supportati nella cronologia degli eventi. Non puoi escludere eventi AWS KMS o dell'API dati di Amazon RDS da Event history (Cronologia eventi). Le impostazioni applicate a un percorso non si applicano a Event history (Cronologia eventi). Per ulteriori informazioni, consulta Visualizzazione di eventi mediante la cronologia eventi di CloudTrail.
Registrazione degli eventi di gestione con la AWS Management Console
-
Apri la pagina Trails (Percorsi) della console CloudTrail e scegli il nome del percorso.
-
Per Management events (Eventi di gestione), scegli Edit (Modifica).
-
Scegli se vuoi che il percorso registri eventi Read (Lettura), Write (Scrittura) o entrambi.
-
Scegli Exclude AWS KMS events (Escludi eventi KMS) per escludere gli eventi AWS Key Management Service (AWS KMS) dal percorso. L'impostazione predefinita è includere tutti gli eventi AWS KMS.
L'opzione per registrare o escludere gli eventi AWS KMS è disponibile solo se registri gli eventi di gestione sul percorso. Se scegli di non registrare gli eventi di gestione, gli eventi AWS KMS non vengono registrati e non puoi modificare le impostazioni di registrazione degli eventi AWS KMS.
Operazioni AWS KMS, quali ad esempio
Encrypt,DecrypteGenerateDataKey, in genere generano un volume elevato (più del 99%) di eventi. Queste operazioni vengono ora registrate come eventi Read (Lettura). Le operazioni AWS KMS a basso volume pertinenti, comeDisable,DeleteeScheduleKey(che in genere rappresentano meno dello 0,5% del volume degli eventi AWS KMS), vengono registrate come eventi Write (Scrittura).Per escludere eventi a volume elevato come
Encrypt,DecrypteGenerateDataKey, ma registrare comunque eventi rilevanti comeDisable,DeleteeScheduleKey, scegli di registrare gli eventi di gestione Write (Scrittura) e deseleziona la casella di controllo Exclude AWS KMS events (Escludi eventi KMS). -
Scegli Exclude Amazon RDS Data API events (Escludi eventi dell'API dati di Amazon RDS) per escludere dal percorso gli eventi dell'API dati di Amazon Relational Database Service. L'impostazione predefinita è includere tutti gli eventi dell'API dati di Amazon RDS. Per ulteriori informazioni sugli eventi dell'API dati di Amazon RDS, consulta Registrazione delle chiamate dell'API dati con AWS CloudTrail nella Guida per l'utente di Amazon RDS per Aurora.
Scegli Update trail (Aggiorna percorso) al termine.
-
Lettura e scrittura di eventi
Quando configuri il percorso per la registrazione degli eventi di gestione, puoi specificare se desideri registrare gli eventi di sola lettura, gli eventi di sola scrittura o entrambi.
-
Lettura
Gli eventi di sola lettura includono le operazioni API che leggono le risorse, ma non le modificano. Ad esempio, gli eventi di sola lettura includono le operazioni API Amazon EC2
DescribeSecurityGroupseDescribeSubnets. Queste operazioni restituiscono solo le informazioni sulle risorse Amazon EC2 e non modificano le configurazioni. -
Scrittura
Gli eventi di tipo Write-only (sola scrittura) includono le operazioni API che modificano o possono modificare le risorse. Ad esempio, le operazioni API Amazon EC2
RunInstanceseTerminateInstancesmodificano le istanze.
Esempio: registrazione degli eventi di lettura e scrittura per percorsi separati
L'esempio seguente mostra come è possibile configurare i trail in modo che le attività di log per un account vengano suddivise in bucket S3 separati: un bucket riceve gli eventi di sola lettura e un secondo bucket riceve eventi di sola scrittura.
-
Puoi creare un trail e scegliere un bucket S3 denominato
read-only-bucketper ricevere i file di log. Puoi quindi aggiornare il percorso e specificare che desideri registrare gli eventi Read (Lettura). -
Puoi creare un secondo trail e scegliere un bucket S3 denominato
write-only-bucketper ricevere i file di log. Puoi quindi aggiornare il percorso per specificare che desideri registrare gli eventi Write (Scrittura). -
Le operazioni API Amazon EC2
DescribeInstanceseTerminateInstancessi verificano nell'account. -
L'operazione API
DescribeInstancesè un evento di sola lettura e corrisponde alle impostazioni del primo trail. Il trail registra e distribuisce l'evento inread-only-bucket. -
L'operazione API
TerminateInstancesè un evento di sola scrittura e corrisponde alle impostazioni del secondo trail. Il trail registra e distribuisce l'evento inwrite-only-bucket.
Registrazione degli eventi con AWS Command Line Interface
Puoi configurare i trail per la registrazione di eventi di gestione utilizzando l'AWS CLI.
Per verificare se il tuo trail sta registrando gli eventi di gestione, esegui il comando get-event-selectors.
aws cloudtrail get-event-selectors --trail-nameTrailName
L'esempio seguente restituisce le impostazioni di default per un trail. Per impostazione predefinita, i trail registrano tutti gli eventi di gestione, gli eventi di log da tutte le origini eventi e non registrano gli eventi di dati.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Per configurare il trail per la registrazione di eventi di gestione, esegui il comando put-event-selectors. L'esempio seguente mostra come configurare il tuo trail per includere tutti gli eventi di gestione per due oggetti S3. Puoi specificare da 1 a 5 selettori di eventi per un trail. Puoi specificare da 1 a 250 risorse di dati per un trail.
Il numero massimo di risorse di dati S3 è 250, indipendentemente dal numero di selettori di eventi.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'
L'esempio seguente restituisce il selettore di eventi configurato per il trail.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] }
Per escludere gli eventi AWS Key Management Service (AWS KMS) dai log di un trail, esegui il comando put-event-selectors e aggiungi l'attributo ExcludeManagementEventSources con un valore pari a kms.amazonaws.com. Nell'esempio seguente viene creato un selettore di eventi per un trail denominato TrailName per includere eventi di gestione di sola lettura e di sola scrittura, ma per escludere eventi AWS KMS. Poiché AWS KMS è in grado di generare un volume elevato di eventi, l'utente in questo esempio potrebbe voler limitare gli eventi per gestire il costo di un trail.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
L'esempio restituisce il selettore di eventi configurato per il trail.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] }
Per escludere gli eventi dell'API dati di Amazon RDS dai registri di un percorso, esegui il comando put-event-selectors e aggiungi l'attributo ExcludeManagementEventSources con un valore pari a rdsdata.amazonaws.com. Nell'esempio seguente viene creato un selettore di eventi per un percorso denominato TrailName per includere eventi di gestione di sola lettura e di sola scrittura, ma escludere eventi dell'API dati di Amazon RDS. Poiché l'API dati di Amazon RDS è in grado di generare un volume elevato di eventi, l'utente in questo esempio potrebbe voler limitare gli eventi per gestire il costo di un percorso.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] }
Per avviare nuovamente la registrazione di eventi AWS KMS o dell'API dati di Amazon RDS, passa una stringa vuota come valore di ExcludeManagementEventSources, come mostrato nel seguente comando.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Per registrare eventi AWS KMS rilevanti in un trail come Disable, Delete e ScheduleKey, ma escludere eventi AWS KMS a volume elevato, come Encrypt, Decrypt e GenerateDataKey, registrare eventi di gestione in sola scrittura e mantenere l'impostazione predefinita per registrare gli eventi AWS KMS, come illustrato nell'esempio seguente.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Registrazione degli eventi con gli SDK AWS
Utilizza l'operazione GetEventSelectors per verificare se il trail sta registrando gli eventi di gestione per un trail. Puoi configurare i trail per registrare gli eventi di gestione con l'operazione PutEventSelectors. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS CloudTrail.
Invio di eventi ad Amazon CloudWatch Logs
CloudTrail supporta l'invio di eventi di dati e di gestione a CloudWatch Logs. Quando configuri il percorso per l'invio di eventi al gruppo di registri di CloudWatch Logs, CloudTrail invia solo gli eventi specificati nel percorso. Ad esempio, se configuri il percorso in modo che registri solo eventi di gestione, il percorso distribuisce gli eventi di gestione solo nel gruppo di registri di CloudWatch Logs. Per ulteriori informazioni, consulta Monitoraggio dei file di log CloudTrail con Amazon CloudWatch Logs.
