Invio di eventi ai CloudWatch registri

Quando configuri il percorso per inviare eventi ai CloudWatch registri, CloudTrail invia solo gli eventi che corrispondono alle impostazioni del percorso. Ad esempio, se configuri il percorso per registrare solo gli eventi relativi ai dati, il percorso invia gli eventi relativi ai dati solo al gruppo di log CloudWatch Logs. CloudTrail supporta l'invio di dati, Insights ed eventi di gestione a CloudWatch Logs. Per ulteriori informazioni, consulta Lavorare con i file di CloudTrail registro.

Nota

Solo l'account di gestione può configurare un gruppo di log CloudWatch Logs per un percorso organizzativo utilizzando la console. L'amministratore delegato può configurare un gruppo di log CloudWatch Logs utilizzando le operazioni AWS CLI or o CloudTrail CreateTrail. UpdateTrail API

Per inviare eventi a un gruppo di CloudWatch log Logs:

• Assicurati di disporre di autorizzazioni sufficienti per creare o specificare un IAM ruolo. Per ulteriori informazioni, consulta Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail .

• Se stai configurando il gruppo di log CloudWatch Logs utilizzando il AWS CLI, assicurati di disporre delle autorizzazioni sufficienti per creare un flusso di log CloudWatch Logs nel gruppo di log specificato e per inviare CloudTrail eventi a quel flusso di log. Per ulteriori informazioni, consulta Creazione di un documento di policy.

• Creare un nuovo trail oppure specificarne uno esistente. Per ulteriori informazioni, consulta Creazione e aggiornamento di un percorso con la console.

• Crea un gruppo di log oppure specificane uno esistente.

• Specificare un ruolo IAM. Se si modifica un IAM ruolo esistente per un percorso organizzativo, è necessario aggiornare manualmente la politica per consentire la registrazione per l'organigramma. Per ulteriori informazioni, consulta questo esempio di policy e Creazione di un percorso per un'organizzazione.

• Collegare una policy di ruolo oppure usare una policy di default.

Indice

• Configurazione del monitoraggio dei CloudWatch log con la console
  • Creazione di un gruppo di log o indicazione di un gruppo di log esistente
  • Specifica di un ruolo IAM
  • Visualizzazione degli eventi nella console CloudWatch
• Configurazione del monitoraggio CloudWatch dei registri con AWS CLI
  • Creazione di un gruppo di log
  • Creazione di un ruolo
  • Creazione di un documento di policy
  • Aggiornamento del percorso
• Limitazione

Configurazione del monitoraggio dei CloudWatch log con la console

Puoi usare il AWS Management Console per configurare il tuo percorso per inviare eventi a CloudWatch Logs per il monitoraggio.

Creazione di un gruppo di log o indicazione di un gruppo di log esistente

CloudTrail utilizza un gruppo di log CloudWatch Logs come endpoint di consegna per gli eventi di registro. Puoi creare un gruppo di log oppure specificarne uno esistente.

Creazione o specifica di un gruppo di log per un percorso esistente

1. Assicurati di accedere con un utente o un ruolo amministrativo con autorizzazioni sufficienti per configurare CloudWatch l'integrazione di Logs. Per ulteriori informazioni, consulta Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail .

   Nota

   Solo l'account di gestione può configurare un gruppo di log CloudWatch Logs per un percorso organizzativo utilizzando la console. L'amministratore delegato può configurare un gruppo di log CloudWatch Logs utilizzando le operazioni AWS CLI or o CloudTrail CreateTrail. UpdateTrail API

2. Apri la CloudTrail console all'indirizzo. https://console.aws.amazon.com/cloudtrail/

3. Scegliere il nome del trail. Se scegli un percorso che si applica a tutte le Regioni, verrai reindirizzato alla Regione in cui è stato creato il percorso. Puoi creare un gruppo di log o sceglierne uno esistente nella stessa Regione del percorso.

   Nota

   Un percorso che si applica a tutte le regioni invia i file di registro da tutte le regioni al gruppo di log CloudWatch Logs specificato.

4. In CloudWatch Log, scegli Modifica.

5. Per CloudWatch Registri, scegli Abilitato.

6. Per Nome del gruppo di log, scegli Nuovo per creare un nuovo gruppo di log o Esistente per utilizzarne uno esistente. Se scegli Nuovo, CloudTrail specifica automaticamente un nome per il nuovo gruppo di log oppure puoi digitare un nome. Per ulteriori informazioni sulla denominazione, consulta CloudWatch denominazione dei gruppi di log e dei flussi di log per CloudTrail.

7. Se scegli Existing (Esistente), seleziona un gruppo di log dall'elenco a discesa.

8. Per Nome ruolo, scegli Nuovo per creare un nuovo IAM ruolo per le autorizzazioni di invio dei log ai registri. CloudWatch Scegli Esistente per scegliere un IAM ruolo esistente dall'elenco a discesa. L'istruzione della policy per il ruolo nuovo o esistente viene visualizzata quando espandi Policy document (Documento della policy). Per ulteriori informazioni su questo ruolo, consulta Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio.

   Nota

   Quando configuri un percorso, puoi scegliere un bucket S3 e un SNS argomento che appartengono a un altro account. Tuttavia, se desideri inviare eventi CloudTrail a un gruppo di log di CloudWatch Logs, devi scegliere un gruppo di log esistente nel tuo account corrente.

9. Seleziona Salvataggio delle modifiche.

Specifica di un ruolo IAM

È possibile specificare un ruolo CloudTrail da assumere per fornire eventi al flusso di log.

Per specificare un ruolo

1. Per impostazione di default, il ruolo CloudTrail_CloudWatchLogs_Role viene specificato automaticamente. La politica di ruolo predefinita dispone delle autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs in un gruppo di log specificato dall'utente e per inviare CloudTrail eventi a quel flusso di log.

   Nota

   Se vuoi utilizzare questo ruolo per un gruppo di log per un trail dell'organizzazione, devi modificare manualmente la policy dopo aver creato il ruolo. Per ulteriori informazioni, consulta questo esempio di policy e Creazione di un percorso per un'organizzazione.

   1. Per verificare il ruolo, accedi alla AWS Identity and Access Management console all'indirizzo. https://console.aws.amazon.com/iam/

   2. Scegli Ruoli, quindi scegli CloudTrail_ CloudWatchLogs _Ruolo.

   3. Dalla scheda Autorizzazioni, espandi la policy per visualizzarne il contenuto.

2. È possibile specificare un altro ruolo, ma è necessario allegare la politica del ruolo richiesta al ruolo esistente se si desidera utilizzarla per inviare eventi ai CloudWatch registri. Per ulteriori informazioni, consulta Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio.

Visualizzazione degli eventi nella console CloudWatch

Dopo aver configurato il percorso per inviare eventi al gruppo di log CloudWatch Logs, puoi visualizzare gli eventi nella CloudWatch console. CloudTrail in genere invia gli eventi al gruppo di registro entro una media di circa 5 minuti da una API chiamata. Questo tempo non è garantito. Per ulteriori informazioni, consultare l'Accordo sul Livello di Servizio (SLA) di AWS CloudTrail.

Per visualizzare gli eventi nella CloudWatch console

1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

2. Nel pannello di navigazione sulla sinistra, in Log, scegli Gruppi di log.

3. Scegliere il gruppo di log specificato per il trail.

4. Scegli il flusso di log da visualizzare.

5. Per visualizzare i dettagli dell'evento registrato dal trail, scegliere un evento.

Nota

La colonna Time (UTC) nella CloudWatch console mostra quando l'evento è stato consegnato al tuo gruppo di log. Per vedere l'ora effettiva in cui l'evento è stato registrato CloudTrail, consulta il eventTime campo.

Configurazione del monitoraggio CloudWatch dei registri con AWS CLI

È possibile utilizzare AWS CLI to configure per inviare eventi CloudTrail a CloudWatch Logs per il monitoraggio.

Creazione di un gruppo di log

1. Se non disponi di un gruppo di log esistente, crea un gruppo di log CloudWatch Logs come endpoint di consegna per gli eventi di registro utilizzando il comando CloudWatch create-log-group Logs.

   aws logs create-log-group --log-group-name name

   Nell'esempio seguente viene creato un gruppo di log denominato CloudTrail/logs:

   aws logs create-log-group --log-group-name CloudTrail/logs

2. Recupera il gruppo di log Amazon Resource Name (ARN).

   aws logs describe-log-groups

Creazione di un ruolo

Crea un ruolo CloudTrail che gli consenta di inviare eventi al gruppo di log CloudWatch Logs. Il IAM create-role comando accetta due parametri: un nome di ruolo e un percorso di file per un documento relativo alla politica di assunzione del ruolo in JSON formato. Il documento di policy utilizzato fornisce AssumeRole le autorizzazioni a CloudTrail. Il comando create-role crea il ruolo con le autorizzazioni richieste.

Per creare il JSON file che conterrà il documento di policy, aprite un editor di testo e salvate il seguente contenuto della policy in un file chiamatoassume_role_policy_document.json.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Eseguite il comando seguente per creare il ruolo con AssumeRole le autorizzazioni per CloudTrail.

aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json

Al termine del comando, prendi nota del ruolo ARN nell'output.

Creazione di un documento di policy

Crea il seguente documento sulla politica dei ruoli per CloudTrail. Questo documento concede CloudTrail le autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs nel gruppo di log specificato e per inviare CloudTrail eventi a tale flusso di log.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*"
      ]
    }
  ]
}

Salva il documento di policy in un file denominato role-policy-document.json.

Se stai creando una policy che potrebbe essere utilizzata anche per il trail dell'organizzazione, dovrai configurarlo in modo leggermente diverso. Ad esempio, la seguente politica concede CloudTrail le autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs nel gruppo di log specificato e per inviare CloudTrail eventi a tale flusso di log per entrambi i percorsi nell' AWS account 1111 e per gli itinerari organizzativi creati nell'account 1111 che vengono applicati all'organizzazione con l'ID di AWS Organizations o-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Per ulteriori informazioni sui trail dell'organizzazione, consulta Creazione di un percorso per un'organizzazione.

Esegui il seguente comando per applicare la policy al ruolo.

aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json

Aggiornamento del percorso

Aggiorna il percorso con il gruppo di log e le informazioni sul ruolo utilizzando il comando. CloudTrail update-trail

aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn

Per ulteriori informazioni sui AWS CLI comandi, consulta il AWS CloudTrail Command Line Reference.

Limitazione

CloudWatch EventBridge Ciascuno dei log consente una dimensione massima degli eventi di 256 KB. Sebbene la maggior parte degli eventi di servizio abbia una dimensione massima di 256 KB, alcuni servizi presentano ancora eventi più grandi. CloudTrail non invia questi eventi a CloudWatch Logs o EventBridge.

A partire CloudTrail dalla versione 1.05, gli eventi hanno una dimensione massima di 256 KB. Questo serve a prevenire lo sfruttamento da parte di malintenzionati e a consentire la fruizione degli eventi da parte di altri AWS servizi, come CloudWatch Logs e. EventBridge