Invio di eventi ai CloudWatch registri - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Invio di eventi ai CloudWatch registri

Quando configuri il percorso per inviare eventi ai CloudWatch registri, CloudTrail invia solo gli eventi che corrispondono alle impostazioni del percorso. Ad esempio, se configuri il percorso per registrare solo gli eventi relativi ai dati, il percorso invia gli eventi relativi ai dati solo al gruppo di log CloudWatch Logs. CloudTrail supporta l'invio di dati, Insights ed eventi di gestione a CloudWatch Logs. Per ulteriori informazioni, consulta Lavorare con i file di CloudTrail registro.

Nota

Solo l'account di gestione può configurare un gruppo di log CloudWatch Logs per un percorso organizzativo utilizzando la console. L'amministratore delegato può configurare un gruppo di log CloudWatch Logs utilizzando le operazioni AWS CLI or CloudTrail CreateTrail o UpdateTrail API.

Per inviare eventi a un gruppo di CloudWatch log Logs:

Configurazione del monitoraggio dei log con la console CloudWatch

Puoi usare il AWS Management Console per configurare il tuo percorso per inviare eventi a CloudWatch Logs per il monitoraggio.

Creazione di un gruppo di log o indicazione di un gruppo di log esistente

CloudTrail utilizza un gruppo di log CloudWatch Logs come endpoint di consegna per gli eventi di registro. Puoi creare un gruppo di log oppure specificarne uno esistente.

Creazione o specifica di un gruppo di log per un percorso esistente
  1. Assicurati di accedere con un utente o un ruolo amministrativo con autorizzazioni sufficienti per configurare CloudWatch l'integrazione di Logs. Per ulteriori informazioni, consulta Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail .

    Nota

    Solo l'account di gestione può configurare un gruppo di log CloudWatch Logs per un percorso organizzativo utilizzando la console. L'amministratore delegato può configurare un gruppo di log CloudWatch Logs utilizzando le operazioni AWS CLI or CloudTrail CreateTrail o UpdateTrail API.

  2. Apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  3. Scegliere il nome del trail. Se scegli un percorso che si applica a tutte le Regioni, verrai reindirizzato alla Regione in cui è stato creato il percorso. Puoi creare un gruppo di log o sceglierne uno esistente nella stessa Regione del percorso.

    Nota

    Un percorso che si applica a tutte le regioni invia i file di registro da tutte le regioni al gruppo di log CloudWatch Logs specificato.

  4. In CloudWatch Log, scegli Modifica.

  5. Per CloudWatch Registri, scegli Abilitato.

  6. Per Nome del gruppo di log, scegli Nuovo per creare un nuovo gruppo di log o Esistente per utilizzarne uno esistente. Se scegli Nuovo, CloudTrail specifica automaticamente un nome per il nuovo gruppo di log oppure puoi digitare un nome. Per ulteriori informazioni sulla denominazione, consulta CloudWatch denominazione dei gruppi di log e dei flussi di log per CloudTrail.

  7. Se scegli Existing (Esistente), seleziona un gruppo di log dall'elenco a discesa.

  8. Per Nome del ruolo, scegli Nuovo per creare un nuovo ruolo IAM per le autorizzazioni all'invio dei log ai registri. CloudWatch Scegli Existing (Esistente) per selezionare un ruolo IAM esistente dall'elenco a discesa. L'istruzione della policy per il ruolo nuovo o esistente viene visualizzata quando espandi Policy document (Documento della policy). Per ulteriori informazioni su questo ruolo, consulta Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio.

    Nota

    Durante la configurazione di un percorso, puoi scegliere un bucket S3 e un argomento SNS appartenenti a un altro account. Tuttavia, se desideri inviare eventi CloudTrail a un gruppo di log CloudWatch Logs, devi scegliere un gruppo di log esistente nel tuo account corrente.

  9. Seleziona Salvataggio delle modifiche.

Specificare un ruolo IAM

È possibile specificare un ruolo CloudTrail da assumere per fornire eventi al flusso di log.

Per specificare un ruolo
  1. Per impostazione di default, il ruolo CloudTrail_CloudWatchLogs_Role viene specificato automaticamente. La politica di ruolo predefinita dispone delle autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs in un gruppo di log specificato dall'utente e per inviare CloudTrail eventi a quel flusso di log.

    Nota

    Se vuoi utilizzare questo ruolo per un gruppo di log per un trail dell'organizzazione, devi modificare manualmente la policy dopo aver creato il ruolo. Per ulteriori informazioni, consulta questo esempio di policy e Creazione di un percorso per un'organizzazione.

    1. Per verificare il ruolo, accedi alla AWS Identity and Access Management console all'indirizzo https://console.aws.amazon.com/iam/.

    2. Scegli Ruoli, quindi scegli CloudTrail_ CloudWatchLogs _Ruolo.

    3. Dalla scheda Autorizzazioni, espandi la policy per visualizzarne il contenuto.

  2. È possibile specificare un altro ruolo, ma è necessario allegare la politica del ruolo richiesta al ruolo esistente se si desidera utilizzarla per inviare eventi ai CloudWatch registri. Per ulteriori informazioni, consulta Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio.

Visualizzazione degli eventi nella console CloudWatch

Dopo aver configurato il percorso per inviare eventi al gruppo di log CloudWatch Logs, puoi visualizzare gli eventi nella CloudWatch console. CloudTrail in genere invia gli eventi al gruppo di log entro una media di circa 5 minuti da una chiamata API. Questo tempo non è garantito. Per ulteriori informazioni, consultare l'Accordo sul Livello di Servizio (SLA) di AWS CloudTrail.

Per visualizzare gli eventi nella CloudWatch console
  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione sulla sinistra, in Log, scegli Gruppi di log.

  3. Scegliere il gruppo di log specificato per il trail.

  4. Scegli il flusso di log da visualizzare.

  5. Per visualizzare i dettagli dell'evento registrato dal trail, scegliere un evento.

Nota

La colonna Time (UTC) nella CloudWatch console mostra quando l'evento è stato consegnato al tuo gruppo di log. Per vedere l'ora effettiva in cui l'evento è stato registrato CloudTrail, consulta il eventTime campo.

Configurazione del monitoraggio CloudWatch dei registri con AWS CLI

È possibile utilizzare AWS CLI to configure per inviare eventi CloudTrail a CloudWatch Logs per il monitoraggio.

Creazione di un gruppo di log

  1. Se non disponi di un gruppo di log esistente, crea un gruppo di log CloudWatch Logs come endpoint di consegna per gli eventi di registro utilizzando il comando CloudWatch create-log-group Logs.

    aws logs create-log-group --log-group-name name

    Nell'esempio seguente viene creato un gruppo di log denominato CloudTrail/logs:

    aws logs create-log-group --log-group-name CloudTrail/logs
  2. Recuperare l'ARN (Amazon Resource Name) del gruppo di log.

    aws logs describe-log-groups

Creazione di un ruolo

Crea un ruolo CloudTrail che gli consenta di inviare eventi al gruppo di CloudWatch log Logs. Il comando IAM create-role accetta due parametri: un nome di ruolo e un percorso di file di un documento di policy di ruolo in formato JSON. Il documento di policy che utilizzi fornisce AssumeRole le autorizzazioni a. CloudTrail Il comando create-role crea il ruolo con le autorizzazioni richieste.

Per creare il file JSON che conterrà il documento di policy, apri un editor di testo e salva i seguenti contenuti delle policy in un file denominato assume_role_policy_document.json.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Esegui il comando seguente per creare il ruolo con le AssumeRole autorizzazioni per. CloudTrail

aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json

Quando il comando viene completato, annota l'ARN del ruolo nell'output.

Creazione di un documento di policy

Crea il seguente documento sulla politica dei ruoli per CloudTrail. Questo documento concede CloudTrail le autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs nel gruppo di log specificato e per inviare CloudTrail eventi a tale flusso di log.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] } ] }

Salva il documento di policy in un file denominato role-policy-document.json.

Se stai creando una policy che potrebbe essere utilizzata anche per il trail dell'organizzazione, dovrai configurarlo in modo leggermente diverso. Ad esempio, la seguente politica concede CloudTrail le autorizzazioni necessarie per creare un flusso di CloudWatch log dei registri nel gruppo di registri specificato e per inviare CloudTrail eventi a quel flusso di log per entrambi i percorsi nell' AWS account 1111 e per gli itinerari organizzativi creati nell'account 1111 che vengono applicati all' AWS Organizations organizzazione con l'ID di o-exampleorgid:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }

Per ulteriori informazioni sui trail dell'organizzazione, consulta Creazione di un percorso per un'organizzazione.

Esegui il seguente comando per applicare la policy al ruolo.

aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json

Aggiornamento del percorso

Aggiorna il percorso con il gruppo di log e le informazioni sul ruolo utilizzando il comando. CloudTrail update-trail

aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn

Per ulteriori informazioni sui AWS CLI comandi, consulta il AWS CloudTrail Command Line Reference.

Limitazione

CloudWatch EventBridge Ciascuno dei log consente una dimensione massima degli eventi di 256 KB. Sebbene la maggior parte degli eventi di servizio abbia una dimensione massima di 256 KB, alcuni servizi presentano ancora eventi più grandi. CloudTrail non invia questi eventi a CloudWatch Logs o EventBridge.

A partire CloudTrail dalla versione 1.05, gli eventi hanno una dimensione massima di 256 KB. Questo serve a prevenire lo sfruttamento da parte di malintenzionati e a consentire la fruizione degli eventi da parte di altri AWS servizi, come CloudWatch Logs e. EventBridge