Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Filtraggio degli eventi relativi ai dati utilizzando selettori di eventi avanzati
Questa sezione descrive come utilizzare selettori di eventi avanzati per creare selettori dettagliati, che consentono di controllare i costi registrando solo gli eventi di dati specifici di interesse.
Per esempio:
-
È possibile includere o escludere API chiamate specifiche aggiungendo un filtro sul campo.
eventName
-
È possibile includere o escludere la registrazione per risorse specifiche aggiungendo un filtro sul
resources.ARN
campo. Ad esempio, se stavi registrando gli eventi relativi ai dati S3, potresti escludere la registrazione per il bucket S3 del tuo percorso. -
Puoi scegliere di registrare solo gli eventi di sola scrittura o gli eventi di sola lettura aggiungendo un filtro sul campo.
readOnly
La tabella seguente fornisce informazioni aggiuntive sui campi configurabili per i selettori di eventi avanzati.
Campo | Richiesto | Operatori validi | Descrizione |
---|---|---|---|
|
Sì |
|
Questo campo è impostato per registrare |
|
Sì |
|
Questo campo viene utilizzato per selezionare il tipo di risorsa per cui si desidera registrare gli eventi relativi ai dati. La tabella Data events mostra i valori possibili. |
|
No |
|
Questo è un campo opzionale utilizzato per includere o escludere eventi relativi ai dati in base al |
|
No |
|
Si tratta di un campo opzionale utilizzato per filtrare o filtrare qualsiasi evento relativo ai dati registrato, ad esempio o. CloudTrail Se stai usando il AWS CLI, puoi specificare più valori separando ogni valore con una virgola. Se utilizzi la console, puoi specificare più valori creando una condizione per ognuno dei quali |
|
No |
|
Questo è un campo facoltativo utilizzato per escludere o includere eventi di dati per una risorsa specifica fornendo il Se stai usando il AWS CLI, puoi specificare più valori separando ogni valore con una virgola. Se utilizzi la console, puoi specificare più valori creando una condizione per ognuno dei quali |
Per registrare gli eventi relativi ai dati utilizzando la CloudTrail console, scegli l'opzione Data events, quindi seleziona il tipo di evento Data che ti interessa quando crei o aggiorni un trail o un data store di eventi. La tabella Data events mostra i possibili tipi di eventi relativi ai dati che puoi scegliere sulla CloudTrail console.
Per registrare gli eventi relativi ai dati con il AWS CLI, configura il --advanced-event-selector
parametro per impostare un valore eventCategory
uguale Data
e uguale al resources.type
valore del tipo di risorsa per il quale desideri registrare gli eventi relativi ai dati. La tabella Data events elenca i tipi di risorse disponibili.
Ad esempio, se desideri registrare gli eventi relativi ai dati per tutti i pool di identità di Cognito, devi configurare il --advanced-event-selectors
parametro in questo modo:
--advanced-event-selectors '[ { "Name": "Log Cognito data events on Identity pools", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Cognito::IdentityPool"] } ] } ]'
L'esempio precedente registra tutti gli eventi relativi ai dati di Cognito nei pool di identità. È possibile perfezionare ulteriormente i selettori di eventi avanzati per filtrare in base ai resources.ARN
campi eventName
readOnly
, e per registrare eventi specifici di interesse o escludere eventi che non sono di interesse.
Puoi configurare selettori di eventi avanzati per filtrare gli eventi di dati in base a più campi. Ad esempio, puoi configurare selettori di eventi avanzati per registrare tutte le chiamate DeleteObject
API e Amazon PutObject
S3, ma escludere la registrazione degli eventi per uno specifico bucket S3, come mostrato nell'esempio seguente. Replace (Sostituisci) amzn-s3-demo-bucket
con il nome del tuo bucket.
--advanced-event-selectors '[ { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::
amzn-s3-demo-bucket
/"] } ] } ]'
Puoi anche includere più condizioni per un campo. Per informazioni su come vengono valutate più condizioni, vedereHow CloudTrail valuta più condizioni per un campo.
È possibile utilizzare selettori di eventi avanzati per registrare sia gli eventi di gestione che quelli relativi ai dati. Per registrare gli eventi relativi ai dati per più tipi di risorse, aggiungi un'istruzione di selezione dei campi per ogni tipo di risorsa per cui desideri registrare gli eventi relativi ai dati.
Nota
I trail possono utilizzare selettori di eventi di base o selettori di eventi avanzati, ma non entrambi. Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.
Argomenti
How CloudTrail valuta più condizioni per un campo
Per i selettori di eventi avanzati, CloudTrail valuta più condizioni per un campo nel modo seguente:
-
DESELECTgli operatori vengono riuniti AND insieme. Se una qualsiasi delle condizioni DESELECT dell'operatore è soddisfatta, l'evento non viene consegnato. Questi sono gli DESELECT operatori validi per i selettori di eventi avanzati:
-
NotEndsWith
-
NotEquals
-
NotStartsWith
-
-
SELECTgli operatori vengono eseguiti in OR insieme. Questi sono gli SELECT operatori validi per i selettori di eventi avanzati:
-
EndsWith
-
Equals
-
StartsWith
-
-
Le combinazioni di DESELECT operatori SELECT e seguono le regole precedenti ed entrambi i gruppi vengono raggruppati AND insieme.
Esempio che mostra più condizioni per il resources.ARN
campo
L'istruzione di selezione degli eventi di esempio seguente raccoglie gli eventi di dati per il tipo di AWS::S3::Object
risorsa e applica più condizioni sul resources.ARN
campo.
{ "Name": "S3Select", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:s3:::amzn-s3-demo-bucket/object1" ], "StartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ], "EndsWith": [ "object3" ], "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/deselect" ], "NotEndsWith": [ "object5" ], "NotEquals": [ "arn:aws:s3:::amzn-s3-demo-bucket/object6" ] } ] }
Nell'esempio precedente, gli eventi relativi ai dati di Amazon S3 per AWS::S3::Object
la risorsa verranno consegnati se:
-
Nessuna di queste condizioni dell'DESELECToperatore è soddisfatta:
-
il
resources.ARN
campoNotStartsWith
il valorearn:aws:s3:::amzn-s3-demo-bucket/deselect
-
il
resources.ARN
campoNotEndsWith
il valoreobject5
-
il
resources.ARN
campoNotEquals
il valorearn:aws:s3:::amzn-s3-demo-bucket/object6
-
-
È soddisfatta almeno una di queste condizioni SELECT dell'operatore:
-
il
resources.ARN
campoEquals
il valorearn:aws:s3:::amzn-s3-demo-bucket/object1
-
il
resources.ARN
campoStartsWith
il valorearn:aws:s3:::amzn-s3-demo-bucket/
-
il
resources.ARN
campoEndsWith
il valoreobject3
-
In base alla logica di valutazione:
-
Gli eventi di dati per
amzn-s3-demo-bucket/object1
verranno consegnati perché corrispondono al valore per l'Equals
operatore e non corrispondono a nessuno dei valori per gliNotEquals
operatoriNotStartsWith
NotEndsWith
, e. -
L'evento di dati per
amzn-s3-demo-bucket/object2
verrà fornito perché corrisponde al valore per l'StartsWith
operatore e non corrisponde a nessuno dei valori per gliNotEquals
operatoriNotStartsWith
NotEndsWith
, e. -
Gli eventi di dati per
amzn-s3-demo-bucket1/object3
verranno consegnati perché corrispondono all'EndsWith
operatore e non corrispondono a nessuno dei valori per gliNotEquals
operatoriNotStartsWith
NotEndsWith
, e. -
Gli eventi relativi ai dati di non
arn:aws:s3:::amzn-s3-demo-bucket/deselectObject4
verranno consegnati perché corrispondono alla condizione di,NotStartsWith
anche se corrispondono alla condizione dell'StartsWith
operatore. -
Gli eventi relativi ai dati di non
arn:aws:s3:::amzn-s3-demo-bucket/object5
verranno consegnati perché corrispondono alla condizione di,NotEndsWith
anche se corrispondono alla condizione dell'StartsWith
operatore. -
Gli eventi relativi ai dati non
arn:aws:s3:::amzn-s3-demo-bucket/object6
verranno consegnati perché corrispondono alla condizione dell'NotEquals
operatore anche se corrisponde alla condizione dell'StartsWith
operatore.
Filtraggio degli eventi relativi ai dati per eventName
Utilizzando selettori di eventi avanzati, è possibile includere o escludere eventi in base al valore del eventName
campo. Il filtraggio eventName
può aiutare a controllare i costi, poiché si evitano costi quando Servizio AWS
stai registrando gli eventi relativi ai dati per aggiungere il supporto per nuovi dati. APIs
Puoi usare qualsiasi operatore con il eventName
campo. È possibile utilizzarlo per filtrare o filtrare qualsiasi evento di dati registrato, ad CloudTrail esempio o. PutBucket
GetSnapshotBlock
Argomenti
Filtrare gli eventi relativi ai dati utilizzando il eventName
AWS Management Console
Effettua le seguenti operazioni per filtrare in base al eventName
campo utilizzando la CloudTrail console.
-
Segui i passaggi della procedura di creazione dell'itinerario o segui i passaggi della procedura di creazione del data store di eventi.
-
Mentre segui i passaggi per creare il trail o l'event data store, effettua le seguenti selezioni:
-
Scegli Data events.
-
Scegli il tipo di evento Data per il quale desideri registrare gli eventi di dati.
-
Per il modello di selettore di registro, scegli Personalizzato.
-
(Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è elencato come
Name
nel selettore di eventi avanzato ed è visualizzabile se si espande la visualizzazione. JSON -
Nei selettori di eventi avanzati, effettuate le seguenti operazioni per filtrare in base a:
eventName
-
Per Campo, scegliete eventName.
-
Per Operatore, scegli l'operatore della condizione. In questo esempio, sceglieremo uguale perché vogliamo registrare una chiamata specificaAPI.
-
In Value, inserisci il nome dell'evento in base al quale vuoi filtrare.
-
Per filtrare in base a un altro
eventName
, scegli + Condizione. Per informazioni su come CloudTrail valuta più condizioni, consultaHow CloudTrail valuta più condizioni per un campo.
-
-
Scegli +Field per aggiungere filtri su altri campi.
-
Filtrare gli eventi relativi ai dati utilizzando il eventName
AWS CLI
Utilizzo di AWS CLI, puoi filtrare il eventName
campo per includere o escludere eventi specifici.
Se stai aggiornando un trail o un event data store esistente per registrare selettori di eventi aggiuntivi, ottieni i selettori di eventi correnti eseguendo il get-event-selectors
comando per un trail o il get-event-data-store
comando per un event data store. Quindi, aggiorna i selettori di eventi per aggiungere un selettore di campo per ogni tipo di risorsa dati che desideri registrare.
L'esempio seguente registra gli eventi relativi ai dati S3 su un percorso. --advanced-event-selectors
Sono configurati per registrare solo gli eventi relativi ai dati per le GetObject
chiamatePutObject
, e DeleteObject
API.
aws cloudtrail put-event-selectors \ --trail-name
trailName
\ --advanced-event-selectors '[ { "Name": "Log GetObject, PutObject and DeleteObject S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["GetObject","PutObject","DeleteObject"] } ] } ]'
L'esempio successivo crea un nuovo archivio dati di eventi che registra gli eventi di dati per EBS Direct APIs ma esclude ListChangedBlocks
API le chiamate. È possibile utilizzare il update-event-data-storecomando per aggiornare un archivio dati di eventi esistente.
aws cloudtrail create-event-data-store \ --name "
eventDataStoreName
" --advanced-event-selectors '[ { "Name": "Log all EBS Direct API data events except ListChangedBlocks", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::EC2::Snapshot"] }, { "Field": "eventName", "NotEquals": ["ListChangedBlocks"] } ] } ]'
Filtraggio degli eventi di dati per resources.ARN
Utilizzando selettori di eventi avanzati, puoi filtrare in base al valore del resources.ARN
campo.
È possibile utilizzare qualsiasi operatore conresources.ARN
, ma se si utilizza Equals
oNotEquals
, il valore deve corrispondere esattamente a quello ARN di una risorsa valida per il resources.type
valore specificato. Per registrare tutti gli eventi relativi ai dati per tutti gli oggetti in uno specifico bucket S3, usa l'StartsWith
operatore e includi solo il bucket ARN come valore corrispondente.
La tabella seguente mostra il ARN formato valido per ciascuno di essi. resources.type
Nota
Non è possibile utilizzare il resources.ARN
campo per filtrare i tipi di risorse che non sono disponibiliARNs.
resources.type | risorse. ARN |
---|---|
AWS::DynamoDB::Table1 |
|
AWS::Lambda::Function |
|
|
|
AWS::AppConfig::Configuration |
|
AWS::B2BI::Transformer |
|
AWS::Bedrock::AgentAlias |
|
AWS::Bedrock::FlowAlias |
|
AWS::Bedrock::Guardrail |
|
AWS::Bedrock::KnowledgeBase |
|
AWS::Cassandra::Table |
|
AWS::CloudFront::KeyValueStore |
|
AWS::CloudTrail::Channel |
|
AWS::CodeWhisperer::Customization |
|
AWS::CodeWhisperer::Profile |
|
AWS::Cognito::IdentityPool |
|
AWS::DynamoDB::Stream |
|
AWS::EC2::Snapshot |
|
AWS::EMRWAL::Workspace |
|
AWS::FinSpace::Environment |
|
AWS::Glue::Table |
|
AWS::GreengrassV2::ComponentVersion |
|
AWS::GreengrassV2::Deployment |
|
AWS::GuardDuty::Detector |
|
AWS::IoT::Certificate |
|
AWS::IoT::Thing |
|
AWS::IoTSiteWise::Asset |
|
AWS::IoTSiteWise::TimeSeries |
|
AWS::IoTTwinMaker::Entity |
|
AWS::IoTTwinMaker::Workspace |
|
AWS::KendraRanking::ExecutionPlan |
|
AWS::Kinesis::Stream |
|
AWS::Kinesis::StreamConsumer |
|
AWS::KinesisVideo::Stream |
|
AWS::MachineLearning::MlModel |
|
AWS::ManagedBlockchain::Network |
|
AWS::ManagedBlockchain::Node |
|
AWS::MedicalImaging::Datastore |
|
AWS::NeptuneGraph::Graph |
|
AWS::One::UKey |
|
AWS::One::User |
|
AWS::PaymentCryptography::Alias |
|
AWS::PaymentCryptography::Key |
|
AWS::PCAConnectorAD::Connector |
|
AWS::PCAConnectorSCEP::Connector |
|
AWS::QApps:QApp |
|
AWS::QBusiness::Application |
|
AWS::QBusiness::DataSource |
|
AWS::QBusiness::Index |
|
AWS::QBusiness::WebExperience |
|
AWS::RDS::DBCluster |
|
AWS::RUM::AppMonitor |
|
|
|
|
|
AWS::S3ObjectLambda::AccessPoint |
|
AWS::S3Outposts::Object |
|
AWS::SageMaker::Endpoint |
|
AWS::SageMaker::ExperimentTrialComponent |
|
AWS::SageMaker::FeatureGroup |
|
AWS::SCN::Instance |
|
AWS::ServiceDiscovery::Namespace |
|
AWS::ServiceDiscovery::Service |
|
AWS::SNS::PlatformEndpoint |
|
AWS::SNS::Topic |
|
AWS::SQS::Queue |
|
AWS::SSM::ManagedNode |
ARNDeve essere in uno dei seguenti formati:
|
AWS::SSMMessages::ControlChannel |
|
AWS::StepFunctions::StateMachine |
ARNDeve essere in uno dei seguenti formati:
|
AWS::SWF::Domain |
|
AWS::ThinClient::Device |
|
AWS::ThinClient::Environment |
|
AWS::Timestream::Database |
|
AWS::Timestream::Table |
|
AWS::VerifiedPermissions::PolicyStore |
|
1 Per le tabelle con flussi abilitati, il campo resources
nell'evento di dati contiene sia AWS::DynamoDB::Stream
che AWS::DynamoDB::Table
. Se specifichi AWS::DynamoDB::Table
come resources.type
, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro sul eventName
campo.
2 Per registrare tutti gli eventi relativi ai dati per tutti gli oggetti in uno specifico bucket S3, usa l'StartsWith
operatore e includi solo il bucket ARN come valore corrispondente. La barra finale è intenzionale; non escluderla.
3 Per registrare gli eventi su tutti gli oggetti in un punto di accesso S3, ti consigliamo di utilizzare solo il punto di accessoARN, di non includere il percorso dell'oggetto e di utilizzare gli operatori or. StartsWith
NotStartsWith
Argomenti
Filtrare gli eventi relativi ai dati utilizzando il resources.ARN
AWS Management Console
Effettua le seguenti operazioni per filtrare in base al resources.ARN
campo utilizzando la CloudTrail console.
-
Segui i passaggi della procedura di creazione dell'itinerario o segui i passaggi della procedura di creazione del data store di eventi.
-
Mentre segui i passaggi per creare il trail o l'event data store, effettua le seguenti selezioni:
-
Scegli Data events.
-
Scegli il tipo di evento Data per il quale desideri registrare gli eventi di dati.
-
Per il modello di selettore di registro, scegli Personalizzato.
-
(Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è elencato come
Name
nel selettore di eventi avanzato ed è visualizzabile se si espande la visualizzazione. JSON -
Nei selettori di eventi avanzati, effettuate le seguenti operazioni per filtrare in base a:
resources.ARN
-
Per Field, scegliete le risorse. ARN.
-
Per Operatore, scegli l'operatore della condizione. In questo esempio, sceglieremo inizia con perché vogliamo registrare gli eventi relativi ai dati per uno specifico bucket S3.
-
Per Value, inserisci il valore ARN per il tuo tipo di risorsa (ad esempio,
arn:aws:s3:::amzn-s3-demo-bucket
). -
Per filtrarne un altro
resources.ARN
, scegli + Condizione. Per informazioni su come CloudTrail valuta più condizioni, consultaHow CloudTrail valuta più condizioni per un campo.
-
-
Scegli +Field per aggiungere filtri su altri campi.
-
Filtrare gli eventi relativi ai dati utilizzando il resources.ARN
AWS CLI
Utilizzo di AWS CLI, è possibile filtrare il resources.ARN
campo per registrare gli eventi per uno specifico ARN o escludere la registrazione per uno specifico. ARN
Se stai aggiornando un trail o un event data store esistente per registrare selettori di eventi aggiuntivi, ottieni i selettori di eventi correnti eseguendo il get-event-selectors
comando per un trail o il get-event-data-store
comando per un event data store. Quindi, aggiorna i selettori di eventi per aggiungere un selettore di campo per ogni tipo di risorsa dati che desideri registrare.
L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 in un S3 Bucket specifico. Il valore per gli eventi S3 per il campo resources.type
è AWS::S3::Object
. Poiché i ARN valori degli oggetti S3 e dei bucket S3 sono leggermente diversi, è necessario aggiungere l'StartsWith
operatore per resources.ARN
acquisire tutti gli eventi.
aws cloudtrail put-event-selectors \ --trail-name
TrailName
\ --regionregion
\ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket
/"] } ] } ]'
Filtraggio degli eventi relativi ai dati per valore readOnly
Utilizzando selettori di eventi avanzati, puoi filtrare in base al valore del readOnly
campo.
È possibile utilizzare l'Equals
operatore solo con il readOnly
campo. È possibile impostare il readOnly
valore su true
ofalse
. Se non si aggiunge questo campo, CloudTrail registra sia gli eventi di lettura che quelli di scrittura. Un valore di true
log legge solo gli eventi. Un valore di false
log scrive solo eventi.
Argomenti
Filtraggio degli eventi di dati per readOnly
valore utilizzando il AWS Management Console
Segui i passaggi seguenti per filtrare in base al readOnly
campo utilizzando la CloudTrail console.
-
Segui i passaggi della procedura di creazione dell'itinerario o segui i passaggi della procedura di creazione del data store di eventi.
-
Mentre segui i passaggi per creare il trail o l'event data store, effettua le seguenti selezioni:
-
Scegli Data events.
-
Scegli il tipo di evento Data per il quale desideri registrare gli eventi di dati.
-
Per il modello di selettore di log, scegli il modello appropriato per il tuo caso d'uso.
Se hai intenzione di farlo Scegli questo modello di selettore di log Registra solo gli eventi di lettura e non applica altri filtri (ad esempio, sul
resources.ARN
valore).Registra readOnly gli eventi
Registra solo gli eventi di scrittura e non applica altri filtri (ad esempio, sul
resources.ARN
valore).Registra writeOnly gli eventi
Filtra in base al
readOnly
valore e applica filtri aggiuntivi (ad esempio, sulresources.ARN
valore).Personalizza
Nei selettori di eventi avanzati, effettuate le seguenti operazioni per filtrare in base al
readOnly
valore:Per registrare gli eventi di scrittura
-
Per Field, scegli readOnly.
-
Per Operatore, scegli equals.
-
In Valore, specifica
false
. -
Scegli +Field per aggiungere filtri su altri campi.
Per registrare gli eventi di lettura
-
Per Field, scegli readOnly.
-
Per Operatore, scegli equals.
-
In Valore, specifica
true
. -
Scegli +Field per aggiungere filtri su altri campi.
-
-
Filtraggio degli eventi relativi ai dati per readOnly
valore utilizzando il AWS CLI
Utilizzo di AWS CLI, puoi filtrare in base al readOnly
campo.
È possibile utilizzare solo l'Equals
operatore con il readOnly
campo. È possibile impostare il readOnly
valore su true
ofalse
. Se non si aggiunge questo campo, CloudTrail registra sia gli eventi di lettura che quelli di scrittura. Un valore di true
log legge solo gli eventi. Un valore di false
log scrive solo eventi.
Se stai aggiornando un trail o un event data store esistente per registrare selettori di eventi aggiuntivi, ottieni i selettori di eventi correnti eseguendo il get-event-selectors
comando per un trail o il get-event-data-store
comando per un event data store. Quindi, aggiorna i selettori di eventi per aggiungere un selettore di campo per ogni tipo di risorsa dati che desideri registrare.
L'esempio seguente mostra come configurare il percorso per registrare eventi di dati di sola lettura per tutti gli oggetti Amazon S3.
aws cloudtrail put-event-selectors \ --trail-name
TrailName
\ --regionregion
\ --advanced-event-selectors '[ { "Name": "Log read-only S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "readOnly", "Equals": ["true"] } ] } ]'
Il prossimo esempio crea un nuovo archivio dati di eventi che registra solo gli eventi di dati di sola scrittura per Direct. EBS APIs È possibile utilizzare il update-event-data-storecomando per aggiornare un archivio dati di eventi esistente.
aws cloudtrail create-event-data-store \ --name "
eventDataStoreName
" \ --advanced-event-selectors \ '[ { "Name": "Log write-only EBS Direct API data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::EC2::Snapshot"] }, { "Field": "readOnly", "Equals": ["false"] } ] } ]'