Crea un archivio dati di eventi per gli eventi Insights con la console - AWS CloudTrail
Creazione di un datastore di eventi di destinazione che registra gli eventi di InsightsCreazione di un datastore di eventi di origine che registra gli eventi di Insights

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un archivio dati di eventi per gli eventi Insights con la console

AWS CloudTrail Insights aiuta AWS gli utenti a identificare e rispondere alle attività insolite associate alle chiamate API e ai tassi di errore delle API analizzando continuamente gli eventi di CloudTrail gestione. CloudTrail Insights analizza i normali modelli di volume delle chiamate e tassi di errore delle API, detti anche baseline, e genera eventi Insights quando il volume delle chiamate o i tassi di errore non rientrano negli schemi normali. Gli eventi di Insights sul volume delle chiamate API vengono generati per API di gestione write e gli eventi Insights sulla frequenza di errore API vengono generati per API di gestione read e write.

Per registrare gli eventi di Insights in CloudTrail Lake, è necessario un data store di eventi di destinazione che registri gli eventi di Insights e un data store di eventi di origine che abiliti Insights e registri gli eventi di gestione.

Nota

Per registrare gli eventi di Insights sul volume delle chiamate API, il datastore di eventi di origine deve registrare gli eventi di gestione write. Per registrare gli eventi di Insights sulla frequenza di errore delle API, il datastore di eventi deve registrare gli eventi di gestione read o write.

Se hai abilitato CloudTrail Insights su un data store di eventi di origine e CloudTrail rileva attività insolite, CloudTrail invia gli eventi Insights al data store degli eventi di destinazione. A differenza di altri tipi di eventi acquisiti in un archivio dati di CloudTrail eventi, gli eventi di Insights vengono registrati solo quando CloudTrail rileva cambiamenti nell'utilizzo dell'API dell'account che differiscono in modo significativo dai modelli di utilizzo tipici dell'account.

Dopo aver abilitato CloudTrail Insights per la prima volta su un Event Data Store, possono essere necessari fino a 7 giorni per CloudTrail la distribuzione del primo evento Insights, se viene rilevata un'attività insolita.

CloudTrail Insights analizza gli eventi di gestione che si verificano in una singola regione, non a livello globale. Un evento CloudTrail Insights viene generato nella stessa regione in cui vengono generati gli eventi di gestione di supporto.

Per un archivio dati di eventi organizzativi, CloudTrail analizza gli eventi di gestione dell'account di ciascun membro anziché analizzare l'aggregazione di tutti gli eventi di gestione dell'organizzazione.

Si applicano costi aggiuntivi per l'importazione di eventi Insights in Lake. CloudTrail L'addebito verrà effettuato separatamente se attivi Insights sia per i trail che per i data store di eventi CloudTrail Lake. Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.

Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights

Quando si crea un datastore di eventi Insights, è possibile scegliere un datastore di eventi di origine esistente che registri gli eventi di gestione e quindi specificare i tipi di Insights che si desidera ricevere. In alternativa, puoi abilitare Insights su un datastore di eventi nuovo o esistente dopo aver creato il tuo datastore di eventi di Insights e quindi scegliere questo datastore come datastore di eventi di destinazione.

Questa procedura mostra come creare un datastore di eventi di destinazione che registra gli eventi di Insights.

  1. Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Dal pannello di navigazione, apri il sottomenu Lake, quindi scegli Event data stores (Archivi di dati degli eventi).

  3. Scegliere Create event data store (Crea archivio di dati degli eventi).

  4. Nella pagina Configure event data store (Configura archivio di dati degli eventi), in General details (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.

  5. Scegli l'opzione di prezzo che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta Prezzi di AWS CloudTrail e Gestione dei costi CloudTrail del lago.

    Sono disponibili le seguenti opzioni:

    • Prezzo per la conservazione estendibile di un anno: consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l'archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a un pay-as-you-go prezzo. Questa è l'opzione predefinita.

      • Periodo di conservazione predefinito: 366 giorni

      • Periodo di conservazione massimo: 3.653 giorni

    • Prezzo per la conservazione di sette anni: consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.

      • Periodo di conservazione predefinito: 2.557 giorni

      • Periodo di conservazione massimo: 2.557 giorni

  6. Specificare un periodo di conservazione per l'archivio di dati degli eventi espresso in giorni. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione Prezzo per la conservazione estendibile di un anno o tra 7 e 2.557 giorni (circa sette anni) per l'opzione Prezzo per la conservazione di sette anni. L'archivio di dati degli eventi conserva i dati degli eventi per il numero specificato di giorni.

  7. (Facoltativo) Per abilitare l'utilizzo della crittografia AWS Key Management Service, scegli Usa la mia. AWS KMS key Scegli Nuovo per AWS KMS key crearne uno per te, oppure scegli Esistente per utilizzare una chiave KMS esistente. In Inserisci alias KMS, specifica un alias nel formato. alias/ MyAliasName L'utilizzo della propria chiave KMS richiede la modifica della politica delle chiavi KMS per consentire la crittografia e la decrittografia CloudTrail dei log. Per ulteriori informazioni, consulta. Configurare le politiche AWS KMS chiave per CloudTrail CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service .

    L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.

    Nota

    Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una chiave KMS esistente per l'account di gestione.

  8. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli Abilita in Federazione delle query di Data Lake. La federazione ti consente di visualizzare i metadati associati al datastore di eventi nel Catalogo dati AWS Glue ed eseguire query SQL sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta Federare un datastore di eventi.

    Per abilitare la federazione delle query di Lake, scegli Abilita, quindi esegui queste operazioni:

    1. Scegli se creare un nuovo ruolo o utilizzare un ruolo IAM esistente. AWS Lake Formation utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le autorizzazioni minime richieste.

    2. Se crei un nuovo ruolo, inserisci un nome per identificarlo.

    3. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.

  9. (Facoltativo) Nella sezione Tags (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un archivio di dati degli eventi in base ai tag, consultare Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag. Per ulteriori informazioni su come utilizzare i tag in AWS, consulta Tagging your AWS resources nella Tagging AWS Resources User Guide.

  10. Scegli Next (Successivo) per configurare il datastore di eventi.

  11. Nella pagina Scegli eventi, scegli gli AWS eventi, quindi scegli gli eventi di CloudTrailInsights.

  12. Negli eventi CloudTrail Insights, procedi come segue.

    1. Scegli Consenti l'accesso come amministratore delegato se desideri concedere all'amministratore delegato della tua organizzazione l'accesso a questo datastore di eventi. Questa opzione è disponibile solo se hai effettuato l'accesso con l'account di gestione di un' AWS Organizations organizzazione.

    2. (Facoltativo) Scegli un datastore di eventi di origine esistente che registri gli eventi di gestione e specifica i tipi di Insights che desideri ricevere.

      Per aggiungere un datastore di eventi di origine, procedere come segue.

      1. Scegli Aggiungi datastore di eventi di origine.

      2. Scegli il datastore di eventi di origine.

      3. Scegli il tipo di Insights che desideri ricevere.

        • ApiCallRateInsight: il tipo di Insights ApiCallRateInsight analizza le chiamate API di gestione in sola scrittura aggregate al minuto rispetto a un volume di chiamate API di base. Per ricevere Insights su ApiCallRateInsight, il datastore di eventi di origine deve registrare gli eventi di gestione Write.

        • ApiErrorRateInsight: il tipo di Insights ApiErrorRateInsight analizza le chiamate API di gestione che generano codici di errore. L'errore viene visualizzato se la chiamata API non ha esito positivo. Per ricevere Insights su ApiErrorRateInsight, il datastore di eventi di origine deve registrare gli eventi di gestione Write o Read.

      4. Ripeti i due passaggi precedenti (ii e iii) per aggiungere eventuali altri tipi di Insights che desideri ricevere.

  13. Scegli Next (Successivo) per rivedere le scelte effettuate.

  14. Nella pagina Review and create (Rivedi e crea), esaminare le opzioni selezionate. Scegliere Edit (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere Create event data store (Crea archivio di dati degli eventi).

  15. Il nuovo datastore di eventi sarà presente nella tabella Datastore di eventi sulla pagina Datastore di eventi.

  16. Se non hai scelto un datastore di eventi di origine nel passaggio 10, segui la procedura riportata in Creazione di un datastore di eventi di origine che registra gli eventi di Insights per creare un datastore di eventi di origine.

Creazione di un datastore di eventi di origine che registra gli eventi di Insights

Questa procedura mostra come creare un datastore di eventi di origine che abilita gli eventi Insights e registra gli eventi di gestione.

  1. Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Dal pannello di navigazione, apri il sottomenu Lake, quindi scegli Event data stores (Archivi di dati degli eventi).

  3. Scegliere Create event data store (Crea archivio di dati degli eventi).

  4. Nella pagina Configure event data store (Configura archivio di dati degli eventi), in General details (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.

  5. Scegli l'opzione di prezzo che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta Prezzi di AWS CloudTrail e Gestione dei costi CloudTrail del lago.

    Sono disponibili le seguenti opzioni:

    • Prezzo per la conservazione estendibile di un anno: consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l'archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a un pay-as-you-go prezzo. Questa è l'opzione predefinita.

      • Periodo di conservazione predefinito: 366 giorni

      • Periodo di conservazione massimo: 3.653 giorni

    • Prezzo per la conservazione di sette anni: consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.

      • Periodo di conservazione predefinito: 2.557 giorni

      • Periodo di conservazione massimo: 2.557 giorni

  6. Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione Prezzo per la conservazione estendibile di un anno o tra 7 e 2.557 giorni (circa sette anni) per l'opzione Prezzo per la conservazione di sette anni.

    CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo eventTime di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando eventTime sono più vecchi di 90 giorni.

  7. (Facoltativo) Per abilitare l'utilizzo della crittografia AWS Key Management Service, scegli Usa la mia AWS KMS key. Scegli Nuovo per AWS KMS key crearne uno per te, oppure scegli Esistente per utilizzare una chiave KMS esistente. In Inserisci alias KMS, specifica un alias nel formato. alias/ MyAliasName L'utilizzo della propria chiave KMS richiede la modifica della politica delle chiavi KMS per consentire la crittografia e la decrittografia CloudTrail dei log. Per ulteriori informazioni, consulta. Configurare le politiche AWS KMS chiave per CloudTrail CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service .

    L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.

    Nota

    Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una chiave KMS esistente per l'account di gestione.

  8. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli Abilita in Federazione delle query di Data Lake. La federazione ti consente di visualizzare i metadati associati al datastore di eventi nel Catalogo dati AWS Glue ed eseguire query SQL sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta Federare un datastore di eventi.

    Per abilitare la federazione delle query di Lake, scegli Abilita, quindi esegui queste operazioni:

    1. Scegli se creare un nuovo ruolo o utilizzare un ruolo IAM esistente. AWS Lake Formation utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le autorizzazioni minime richieste.

    2. Se crei un nuovo ruolo, inserisci un nome per identificarlo.

    3. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.

  9. (Facoltativo) Nella sezione Tags (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un archivio di dati degli eventi in base ai tag, consultare Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag. Per ulteriori informazioni su come utilizzare i tag in AWS, consulta Tagging your AWS resources nella Tagging AWS Resources User Guide.

  10. Scegli Next (Successivo) per configurare il datastore di eventi.

  11. Nella pagina Scegli eventi, scegli AWS gli eventi, quindi scegli CloudTrail gli eventi.

  12. Negli CloudTrail eventi, lascia selezionata l'opzione Eventi di gestione.

  13. Per fare in modo che il proprio archivio di dati degli eventi raccolga eventi da tutti gli account in un'organizzazione AWS Organizations , selezionare Enable for all accounts in my organization (Abilita per tutti gli account nella mia organizzazione). Per creare un datastore di eventi che abiliti Insights, è necessario effettuare l'accesso all'account di gestione dell'organizzazione.

  14. Espandi Impostazioni aggiuntive per scegliere se desideri che il tuo Event Data Store raccolga gli eventi per tutti Regioni AWS o solo per quelli correnti Regione AWS e scegli se il Data Store degli eventi inserisce gli eventi. Per impostazione predefinita, un datastore di eventi raccoglie eventi da tutte le Regioni e inizia a importarli al momento della creazione.

    1. Se desideri includere solo gli eventi che sono registrati nella Regione corrente, seleziona Includi solo la Regione corrente nel mio datastore di eventi. Se non si sceglie questa opzione, l'archivio di dati degli eventi include gli eventi provenienti da tutte le regioni.

    2. Lascia selezionata l'opzione Eventi di importazione.

  15. Seleziona il tipo di eventi di gestione che desideri includere in tale datastore. Puoi scegliere Read, Write o entrambi. È necessario specificare almeno un valore.

    Nota

    Per registrare gli eventi di Insights sul volume delle chiamate API, il datastore di eventi deve registrare gli eventi di gestione write. Per registrare gli eventi di Insights sulla frequenza di errore delle API, il datastore di eventi deve registrare gli eventi di gestione read o write.

  16. Puoi scegliere di escludere AWS Key Management Service gli eventi Amazon RDS Data API dal tuo event data store. Per ulteriori informazioni su queste opzioni, consulta Registrazione degli eventi di gestione.

  17. Scegli Abilita Insights.

  18. In Abilita Insights, scegli il datastore di eventi di destinazione che registrerà gli eventi di Insights. Il datastore di eventi di destinazione raccoglierà gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi. Per informazioni su come creare il datastore di eventi di destinazione, consulta Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights.

  19. Scegli i tipi di Insights. Puoi scegliere la frequenza delle chiamate API, la frequenza di errore API o entrambi. Devi abilitare la registrazione degli eventi di gestione Write (scrittura) per registrare gli eventi Insights per la frequenza di chiamate API. Devi abilitare la registrazione degli eventi di gestione Read o Write per registrare gli eventi Insights per la frequenza di errore API.

  20. Scegli Next (Successivo) per rivedere le scelte effettuate.

  21. Nella pagina Review and create (Rivedi e crea), esaminare le opzioni selezionate. Scegliere Edit (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere Create event data store (Crea archivio di dati degli eventi).

  22. Il nuovo datastore di eventi sarà presente nella tabella Datastore di eventi sulla pagina Datastore di eventi.

    Da questo momento in poi, l'archivio di dati degli eventi cattura gli eventi che corrispondono ai suoi selettori di eventi avanzati. Dopo aver abilitato CloudTrail Insights per la prima volta nel tuo archivio dati di eventi di origine, possono essere necessari fino a 7 giorni prima che il primo evento Insights venga inviato al data store degli eventi di destinazione, se viene rilevata un'attività insolita. CloudTrail

    Puoi visualizzare la dashboard di CloudTrail Lake per visualizzare gli eventi Insights nel data store degli eventi di destinazione. Per ulteriori informazioni sui pannelli di controllo di Lake, consulta Visualizza i dashboard di CloudTrail Lake con la console CloudTrail .

Si applicano costi aggiuntivi per l'acquisizione di eventi Insights in Lake. CloudTrail Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.