Visualizzazione degli eventi CloudTrail di gestione recenti nella CloudTrail console - AWS CloudTrail
Navigazione tra le paginePersonalizzazione dello schermoFiltraggio degli eventi CloudTrail Visualizzazione dei dettagli per un eventoDownload di eventiVisualizzazione delle risorse a cui si fa riferimento con AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizzazione degli eventi CloudTrail di gestione recenti nella CloudTrail console

Puoi utilizzare la pagina Cronologia degli eventi nella CloudTrail console per visualizzare gli ultimi 90 giorni di eventi di gestione in un file Regione AWS. Puoi anche scaricare un file contenente queste informazioni o a un sottoinsieme di informazioni in base al filtro e all'intervallo di tempo scelti. È possibile personalizzare la visualizzazione della cronologia degli eventi selezionando il numero di eventi da visualizzare su ogni pagina e scegliendo quali colonne visualizzare nella console. È inoltre possibile cercare e filtrare eventi in base ai tipi di risorse disponibili per un determinato servizio. Puoi selezionare fino a cinque eventi nella cronologia degli eventi e confrontarne i dettagli side-by-side.

Event history (Cronologia eventi) non visualizza gli eventi di dati. Per visualizzare gli eventi di dati, crea un datastore di eventi o un percorso.

Dopo 90 giorni, gli eventi non vengono più visualizzati in Event history (Cronologia eventi). Non è possibile eliminare manualmente gli eventi da Event history (Cronologia eventi).

Puoi saperne di più sulle specifiche di registrazione degli eventi CloudTrail per un servizio specifico consultando la documentazione relativa a quel servizio. Per ulteriori informazioni, consulta AWS argomenti di servizio per CloudTrail.

Nota

Per un registro continuo delle attività e degli eventi, crea un datastore di eventi oppure un percorso.

La creazione di un datastore di eventi consente di sfruttare le seguenti funzionalità:

  • È possibile creare un archivio dati di eventi per raccogliere eventi di CloudTrail gestione e dati, elementi di AWS Config configurazione, AWS Audit Manager prove o non AWS eventi non derivanti dalle integrazioni. Per ulteriori informazioni, consultare Lavorare con AWS CloudTrail Lake e Creazione di un archivio di dati degli eventi.

  • Analizza la tua attività AWS di assistenza con CloudTrail Lake Queries. CloudTrail Le query su Lake offrono una visione più approfondita e personalizzabile degli eventi rispetto alle semplici ricerche di chiavi e valori nella cronologia degli eventi o in corso. LookupEvents Una ricerca nella cronologia degli eventi è limitata a una sola Account AWS, restituisce solo gli eventi di un singolo Regione AWS evento e non può interrogare più attributi. Al contrario, gli utenti di CloudTrail Lake possono eseguire query SQL complesse su più campi di eventi. Per ulteriori informazioni, consultare Creazione o modifica di una query e Visualizzazione delle query di esempio nella console CloudTrail.

  • Visualizza le dashboard di CloudTrail Lake per visualizzare i dati nei tuoi archivi di dati di eventi. Per ulteriori informazioni, consulta Visualizzazione dei pannelli di controllo di Lake.

  • Un event data store consente di escludere AWS Key Management Service (AWS KMS) o eventi Amazon Relational Database Service Data API. AWS KMS azioni come EncryptDecrypt, e GenerateDataKey in genere generano un volume elevato (oltre il 99%) di eventi. Gli eventi non possono essere esclusi dalla cronologia degli eventi.

La creazione di un percorso consente inoltre di avvalersi delle seguenti integrazioni:

  • Un trail consente di registrare gli eventi di CloudTrail Insights, che possono aiutarti a identificare e rispondere ad attività insolite associate alle chiamate API di write gestione. Per ulteriori informazioni, consulta Registrazione degli eventi Insights.

  • Analizza la tua attività AWS di assistenza con le query in Amazon Athena. Per ulteriori informazioni, consulta Creazione di una tabella per CloudTrail i registri nella CloudTrail console nella Guida per l'utente di Amazon Athena oppure scegli l'opzione per creare una tabella direttamente dalla cronologia degli eventi nella CloudTrail console.

  • Monitora i tuoi trail log e ricevi notifiche quando si verificano attività specifiche con Amazon CloudWatch Logs. Per ulteriori informazioni, consulta Monitoraggio dei file di log CloudTrail con Amazon CloudWatch Logs.

  • Un trail ti consente di escludere AWS Key Management Service (AWS KMS) o gli eventi dell'Amazon Relational Database Service Data API. AWS KMS azioni come EncryptDecrypt, e GenerateDataKey in genere generano un volume elevato (oltre il 99%) di eventi. Gli eventi non possono essere esclusi dalla cronologia degli eventi.

Per visualizzare CloudTrail gli eventi recenti nella console

  1. Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/home/.

  2. Nel riquadro di navigazione scegliere Event history (Cronologia eventi).

    Nel riquadro dei contenuti viene visualizzato un elenco di eventi filtrato con l'evento più recente in cima. Scorrere verso il basso per visualizzare ulteriori eventi.

  3. Per confrontare gli eventi, seleziona fino a cinque eventi compilando le relative caselle di controllo sul margine sinistro della tabella Event history (Cronologia eventi). Visualizza i dettagli degli eventi selezionati side-by-side nella tabella Confronta i dettagli degli eventi.

La visualizzazione predefinita degli eventi nella cronologia di eventi utilizza un attributo filtro per escludere gli eventi di sola lettura dall'elenco di eventi visualizzati. Per rimuovere questo filtro o applicare altri filtri, modifica le impostazioni del filtro. Per ulteriori informazioni, consulta Filtraggio degli eventi CloudTrail .

Puoi navigare tra le pagine della Cronologia degli eventi scegliendo la pagina che desideri visualizzare. Puoi anche visualizzare la pagina successiva e precedente nella Cronologia degli eventi.

Scegli < per visualizzare la pagina precedente della Cronologia degli eventi.

Scegli > per visualizzare la pagina successiva della Cronologia degli eventi.

Personalizzazione dello schermo

È possibile personalizzare la visualizzazione della cronologia degli eventi nella CloudTrail console selezionando una delle seguenti preferenze.

  • Dimensioni della pagina: scegli se visualizzare 10, 25 o 50 eventi su ogni pagina.

  • Righe a capo: avvolgi il testo in modo da poter vedere tutto il testo per ogni evento.

  • Righe a strisce: ombreggia ogni altra riga nella tabella.

  • Visualizzazione dell'ora dell'evento: scegli se visualizzare l'ora dell'evento in UTC o nel fuso orario locale.

  • Seleziona colonne visibili: seleziona le colonne che desideri visualizzare. Per impostazione di default, vengono visualizzate le seguenti colonne:

    • Nome evento

    • Event time (Ora evento)

    • Nome utente

    • Origine eventi

    • Tipo di risorsa

    • Nome risorsa

    Nota

    Non puoi modificare l'ordine delle colonne o eliminare manualmente gli eventi da Event history (Cronologia eventi).

Personalizzazione dello schermo

  1. Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione scegliere Event history (Cronologia eventi).

  3. Scegliere l'icona a forma di ingranaggio.

  4. Per Dimensioni della pagina, scegli il numero di eventi da visualizzare su una pagina.

  5. Scegli Righe a capo per vedere tutto il testo di ogni evento.

  6. Scegli Righe a strisce per ombreggiare ogni altra riga nella tabella.

  7. Per Visualizzazione dell'ora dell'evento scegli se visualizzare l'ora dell'evento in UTC o nel fuso orario locale. Per impostazione predefinita, è selezionato UTC.

  8. In Select visible columns (Seleziona colonne visibili), seleziona le colonne che desideri visualizzare. Disattiva le colonne che non desideri visualizzare.

  9. Una volta apportate le modifiche, scegli Conferma.

Filtraggio degli eventi CloudTrail

La visualizzazione predefinita degli eventi nella cronologia di eventi utilizza un attributo filtro per escludere gli eventi di sola lettura dall'elenco di eventi visualizzati. Questo filtro attributo è denominato Read-only (Sola lettura) ed è impostato su false. Puoi rimuovere questo filtro per visualizzare gli eventi in lettura e in scrittura. Per visualizzare solo gli eventi Read (Lettura), puoi modificare il valore del filtro impostandolo su true. Puoi filtrare gli eventi anche in base ad altri attributi. Puoi inoltre filtrare in base all'intervallo di tempo.

Nota

Puoi applicare un solo filtro attributo e un filtro intervallo di tempo. Non è possibile applicare più filtri attributo.

AWS chiave di accesso

L'ID della chiave di AWS accesso utilizzata per firmare la richiesta. Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee, corrisponde all'ID della chiave di accesso delle credenziali temporanee.

ID evento

L' CloudTrail ID dell'evento. Ogni evento ha un ID univoco.

Nome evento

Nome dell'evento. Ad esempio, puoi filtrare gli eventi IAM, ad esempio CreatePolicy, oppure gli eventi Amazon EC2, ad esempio RunInstances.

Origine eventi

Il AWS servizio a cui è stata effettuata la richiesta, ad esempio iam.amazonaws.com os3.amazonaws.com. È possibile scorrere un elenco di origini degli eventi dopo aver scelto il filtro Event source (Origine eventi).

Sola lettura

Tipo di evento di lettura. Gli eventi sono classificati come eventi di lettura o scrittura. Se è impostato su false, gli eventi di lettura non sono inclusi nell'elenco degli eventi visualizzati. Per impostazione predefinita, questo filtro attributo viene applicato con il valore false.

Nome risorsa

Nome o ID della risorsa a cui l'evento fa riferimento. Ad esempio, il nome della risorsa potrebbe essere "auto-scaling-test-group" per un gruppo Auto Scaling o «i-12345678910" per un'istanza EC2.

Tipo di risorsa

Tipo della risorsa a cui l'evento fa riferimento. Ad esempio, un tipo di risorsa può essere Instance per EC2 o DBInstance per RDS. I AWS tipi di risorse variano per ogni servizio.

Intervallo temporale

Intervallo di tempo in cui si desidera filtrare gli eventi. Puoi scegliere un Intervallo relativo o un Intervallo assoluto. È possibile filtrare gli eventi per gli ultimi 90 giorni.

Nome utente

L'identità a cui l'evento fa riferimento. Ad esempio, può essere un utente, il nome di un ruolo o un ruolo del servizio.

Se non sono presenti eventi registrati per l'attributo o l'intervallo di tempo scelto, l'elenco dei risultati è vuoto. È possibile applicare solo un filtro attributo oltre all'intervallo di tempo. Se si scegli un filtro attributo diverso, l'intervallo di tempo specificato viene conservato.

La procedura riportata di seguito illustra come filtrare i dati in base a un attributo.

Per filtrare in base un attributo

  1. Per filtrare i risultati in base a un attributo, scegli un attributo dall'elenco a discesa Lookup attributes (Attributi di ricerca) e quindi digita o scegli un valore per l'attributo nella casella di testo.

  2. Per rimuovere un filtro attributo, scegli X a destra della casella del filtro attributo.

La procedura riportata di seguito illustra come filtrare in base alla data e all'ora di inizio e fine.

Per filtrare in base a una data e ora di inizio e fine

  1. Per restringere l'intervallo di tempo relativo agli eventi che desideri visualizzare, scegli un intervallo di tempo nella barra dell'intervallo di tempo. Puoi scegliere un Intervallo relativo o un Intervallo assoluto.

    Scegli Intervallo relativo per selezionare un intervallo di tempo predefinito o un intervallo personalizzato. I valori preimpostati sono 30 minuti, 1 ora, 12 ore o 1 giorno. Per specificare un intervallo di tempo personalizzato, scegli Custom (Personalizzato).

    Scegli Intervallo assoluto per specificare un'ora di inizio e di fine specifica. Inoltre, è possibile scegliere tra UTC e fuso orario locale.

  2. Per rimuovere un filtro dell'intervallo di tempo, scegli Cancella sulla barra dell'intervallo di tempo.

Visualizzazione dei dettagli per un evento

  1. Scegliere un evento nell'elenco dei risultati per visualizzare i relativi dettagli.

  2. Le risorse a cui si fa riferimento nell'evento sono mostrate nella tabella Resources referenced (Risorse di riferimento) nella pagina dei dettagli dell'evento.

  3. Alcune risorse di riferimento sono associate a collegamenti. Scegliere il collegamento per aprire la console per la risorsa corrispondente.

  4. Scorri fino a Event record (Record di eventi) nella pagina dei dettagli per visualizzare il record degli eventi JSON, chiamato anche payload dell'evento.

  5. Scegli Event history (Cronologia eventi) nel percorso di navigazione della pagina per chiudere la pagina dei dettagli dell'evento e tornare a Event history (Cronologia eventi).

Download di eventi

È possibile scaricare la cronologia degli eventi registrati come file in formato JSON o CSV. Puoi scaricare fino a 200.000 eventi in un unico file. Se raggiungi il limite di 200.000 eventi, la CloudTrail console offrirà la possibilità di scaricare file aggiuntivi. Utilizzare i filtri e gli intervalli di tempo per ridurre le dimensioni del file scaricato.

Nota

CloudTrail i file di cronologia degli eventi sono file di dati che contengono informazioni (come i nomi delle risorse) che possono essere configurate dai singoli utenti. Alcuni dati potrebbero essere interpretati come comandi nei programmi utilizzati per leggere e analizzare questo tipo di informazioni (rischio di attacco di tipo CSV Injection o Formula Injection). Ad esempio, quando CloudTrail gli eventi vengono esportati in formato CSV e importati in un programma per fogli di calcolo, tale programma potrebbe avvisare l'utente in merito a problemi di sicurezza. È consigliabile scegliere di disabilitare questi contenuti per proteggere il sistema. Disabilitare sempre i collegamenti o le macro nei file della cronologia degli eventi scaricati.

  1. Aggiungi un filtro e un intervallo di tempo per gli eventi in Event history (Cronologia eventi) che desideri scaricare. Ad esempio, è possibile specificare il nome dell'evento, StartInstances, e specificare un intervallo di tempo per gli ultimi tre giorni di attività.

  2. Seleziona Download events (Download di eventi), quindi Download as CSV (Scarica in formato CSV) o Download as JSON (Scarica in formato JSON). Il download inizierà immediatamente.

    Nota

    Il download potrebbe richiedere alcuni minuti per il completamento. Per ottenere più rapidamente i risultati, prima di avviare il processo di download, utilizzare un filtro più specifico o un intervallo di tempo più breve per limitare i risultati. Puoi annullare un download. Se annulli un download, è possibile che nel computer locale sia presente un download parziale che include solo alcuni dati relativi agli eventi. Per scaricare la cronologia completa degli eventi, riavvia il download.

  3. Al termine del download, aprire il file per visualizzare gli eventi specificati.

  4. Per annullare il download, scegli Cancel (Annulla) e quindi conferma scegliendo Cancel download (Annulla download). Se devi riavviare un download, attendi che l'annullamento del download precedente sia terminato.

Visualizzazione delle risorse a cui si fa riferimento con AWS Config

AWS Config registra i dettagli di configurazione, le relazioni e le modifiche alle AWS risorse.

Nel riquadro Risorse a cui si fa riferimento, scegli AWS Config timeline icon nella colonna della cronologia AWS Config delle risorse per visualizzare la risorsa nella console. AWS Config

Se l' AWS Config timeline icona è grigia, AWS Config non è attivata o non registra il tipo di risorsa. Scegli l'icona per accedere alla AWS Config console e attivare il servizio o iniziare a registrare quel tipo di risorsa. Per ulteriori informazioni, consulta Configurazione AWS Config tramite la console nella Guida per gli AWS Config sviluppatori.

Se nella colonna viene visualizzato il messaggio Link not available (Collegamento non disponibile), la risorsa non può essere visualizzata per uno dei seguenti motivi:

  • AWS Config non supporta il tipo di risorsa. Per ulteriori informazioni, consulta Risorse supportate, elementi di configurazione e relazioni nella Guida per gli sviluppatori di AWS Config .

  • AWS Config recentemente ha aggiunto il supporto per il tipo di risorsa, ma non è ancora disponibile nella CloudTrail console. Puoi cercare la risorsa nella AWS Config console per vedere la cronologia della risorsa.

  • La risorsa è di proprietà di un altro Account AWS.

  • La risorsa è di proprietà di un altro Servizio AWS, ad esempio una policy IAM gestita.

  • La risorsa è stata creata e quindi eliminata immediatamente.

  • La risorsa è stata creata o aggiornata di recente.

Per concedere agli utenti l'autorizzazione di sola lettura per visualizzare le risorse nella AWS Config console, consulta. Concessione dell'autorizzazione alla visualizzazione delle informazioni sulla console AWS Config CloudTrail

Per ulteriori informazioni in merito AWS Config, consulta la Guida per gli AWS Config sviluppatori.