Filtraggio degli eventi relativi ai dati utilizzando selettori di eventi avanzati - AWS CloudTrail
How CloudTrail valuta più condizioni per un campoFiltraggio degli eventi relativi ai dati per eventNameFiltraggio degli eventi di dati per resources.ARNFiltraggio degli eventi relativi ai dati per valore readOnly

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Filtraggio degli eventi relativi ai dati utilizzando selettori di eventi avanzati

Questa sezione descrive come utilizzare selettori di eventi avanzati per creare selettori dettagliati, che consentono di controllare i costi registrando solo gli eventi di dati specifici di interesse.

Per esempio:

  • È possibile includere o escludere API chiamate specifiche aggiungendo un filtro sul campo. eventName

  • È possibile includere o escludere la registrazione per risorse specifiche aggiungendo un filtro sul resources.ARN campo. Ad esempio, se stavi registrando gli eventi relativi ai dati S3, potresti escludere la registrazione per il bucket S3 del tuo percorso.

  • Puoi scegliere di registrare solo gli eventi di sola scrittura o gli eventi di sola lettura aggiungendo un filtro sul campo. readOnly

La tabella seguente fornisce informazioni aggiuntive sui campi configurabili per i selettori di eventi avanzati.

Campo Richiesto Operatori validi Descrizione

eventCategory

Equals

Questo campo è impostato per registrare Data gli eventi relativi ai dati.

resources.type

Equals

Questo campo viene utilizzato per selezionare il tipo di risorsa per cui si desidera registrare gli eventi relativi ai dati. La tabella Data events mostra i valori possibili.

readOnly

No

Equals

Questo è un campo opzionale utilizzato per includere o escludere eventi relativi ai dati in base al readOnly valore. Un valore di true log legge solo gli eventi. Un valore di false log scrive solo eventi. Se non si aggiunge questo campo, CloudTrail registra sia gli eventi di lettura che quelli di scrittura.

eventName

No

EndsWith

Equals

NotEndsWith

NotEquals

NotStartsWith

StartsWith

Si tratta di un campo opzionale utilizzato per filtrare o filtrare qualsiasi evento relativo ai dati registrato, ad esempio o. CloudTrail PutBucket GetSnapshotBlock

Se stai usando il AWS CLI, puoi specificare più valori separando ogni valore con una virgola.

Se utilizzi la console, puoi specificare più valori creando una condizione per ognuno dei quali eventName desideri filtrare.

resources.ARN

No

EndsWith

Equals

NotEndsWith

NotEquals

NotStartsWith

StartsWith

Questo è un campo facoltativo utilizzato per escludere o includere eventi di dati per una risorsa specifica fornendo ilresources.ARN. È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza Equals oNotEquals, il valore deve corrispondere esattamente a resoureces.type quello ARN di una risorsa valida per la risorsa specificata. Per registrare tutti gli eventi relativi ai dati per tutti gli oggetti in uno specifico bucket S3, usa l'StartsWithoperatore e includi solo il bucket ARN come valore corrispondente.

Se stai usando il AWS CLI, puoi specificare più valori separando ogni valore con una virgola.

Se utilizzi la console, puoi specificare più valori creando una condizione per ognuno dei quali resources.ARN desideri filtrare.

Per registrare gli eventi relativi ai dati utilizzando la CloudTrail console, scegli l'opzione Data events, quindi seleziona il tipo di evento Data che ti interessa quando crei o aggiorni un trail o un data store di eventi. La tabella Data events mostra i possibili tipi di eventi relativi ai dati che puoi scegliere sulla CloudTrail console.

Selezione del tipo di evento SNSrelativo ai dati dell'argomento sulla console.

Per registrare gli eventi relativi ai dati con il AWS CLI, configura il --advanced-event-selector parametro per impostare un valore eventCategory uguale Data e uguale al resources.type valore del tipo di risorsa per il quale desideri registrare gli eventi relativi ai dati. La tabella Data events elenca i tipi di risorse disponibili.

Ad esempio, se desideri registrare gli eventi relativi ai dati per tutti i pool di identità di Cognito, devi configurare il --advanced-event-selectors parametro in questo modo:

--advanced-event-selectors '[
    {
       "Name": "Log Cognito data events on Identity pools",
       "FieldSelectors": [
         { "Field": "eventCategory", "Equals": ["Data"] },
         { "Field": "resources.type", "Equals": ["AWS::Cognito::IdentityPool"] }
       ]
     }
]'

L'esempio precedente registra tutti gli eventi relativi ai dati di Cognito nei pool di identità. È possibile perfezionare ulteriormente i selettori di eventi avanzati per filtrare in base ai resources.ARN campi eventNamereadOnly, e per registrare eventi specifici di interesse o escludere eventi che non sono di interesse.

Puoi configurare selettori di eventi avanzati per filtrare gli eventi di dati in base a più campi. Ad esempio, puoi configurare selettori di eventi avanzati per registrare tutte le chiamate DeleteObject API e Amazon PutObject S3, ma escludere la registrazione degli eventi per uno specifico bucket S3, come mostrato nell'esempio seguente. Replace (Sostituisci) amzn-s3-demo-bucket con il nome del tuo bucket.

--advanced-event-selectors
'[
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
    ]
  }
]'

Puoi anche includere più condizioni per un campo. Per informazioni su come vengono valutate più condizioni, vedereHow CloudTrail valuta più condizioni per un campo.

È possibile utilizzare selettori di eventi avanzati per registrare sia gli eventi di gestione che quelli relativi ai dati. Per registrare gli eventi relativi ai dati per più tipi di risorse, aggiungi un'istruzione di selezione dei campi per ogni tipo di risorsa per cui desideri registrare gli eventi relativi ai dati.

Nota

I trail possono utilizzare selettori di eventi di base o selettori di eventi avanzati, ma non entrambi. Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti.

How CloudTrail valuta più condizioni per un campo

Per i selettori di eventi avanzati, CloudTrail valuta più condizioni per un campo nel modo seguente:

  • DESELECTgli operatori vengono riuniti AND insieme. Se una qualsiasi delle condizioni DESELECT dell'operatore è soddisfatta, l'evento non viene consegnato. Questi sono gli DESELECT operatori validi per i selettori di eventi avanzati:

    • NotEndsWith

    • NotEquals

    • NotStartsWith

  • SELECTgli operatori vengono eseguiti in OR insieme. Questi sono gli SELECT operatori validi per i selettori di eventi avanzati:

    • EndsWith

    • Equals

    • StartsWith

  • Le combinazioni di DESELECT operatori SELECT e seguono le regole precedenti ed entrambi i gruppi vengono raggruppati AND insieme.

Esempio che mostra più condizioni per il resources.ARN campo

L'istruzione di selezione degli eventi di esempio seguente raccoglie gli eventi di dati per il tipo di AWS::S3::Object risorsa e applica più condizioni sul resources.ARN campo.

{
    "Name": "S3Select",
    "FieldSelectors": [
      {
        "Field": "eventCategory",
        "Equals": [
          "Data"
        ]
      },
      {
        "Field": "resources.type",
        "Equals": [
          "AWS::S3::Object"
        ]
      },
      {
        "Field": "resources.ARN",
        "Equals": [
          "arn:aws:s3:::amzn-s3-demo-bucket/object1"
        ],
        "StartsWith": [
          "arn:aws:s3:::amzn-s3-demo-bucket/"
        ],
        "EndsWith": [
          "object3"
        ],
        "NotStartsWith": [
          "arn:aws:s3:::amzn-s3-demo-bucket/deselect"
        ],
        "NotEndsWith": [
          "object5"
        ],
        "NotEquals": [
          "arn:aws:s3:::amzn-s3-demo-bucket/object6"
        ]
      }
    ]
  }

Nell'esempio precedente, gli eventi relativi ai dati di Amazon S3 per AWS::S3::Object la risorsa verranno consegnati se:

  1. Nessuna di queste condizioni dell'DESELECToperatore è soddisfatta:

    • il resources.ARN campo NotStartsWith il valore arn:aws:s3:::amzn-s3-demo-bucket/deselect

    • il resources.ARN campo NotEndsWith il valore object5

    • il resources.ARN campo NotEquals il valore arn:aws:s3:::amzn-s3-demo-bucket/object6

  2. È soddisfatta almeno una di queste condizioni SELECT dell'operatore:

    • il resources.ARN campo Equals il valore arn:aws:s3:::amzn-s3-demo-bucket/object1

    • il resources.ARN campo StartsWith il valore arn:aws:s3:::amzn-s3-demo-bucket/

    • il resources.ARN campo EndsWith il valore object3

In base alla logica di valutazione:

  1. Gli eventi di dati per amzn-s3-demo-bucket/object1 verranno consegnati perché corrispondono al valore per l'Equalsoperatore e non corrispondono a nessuno dei valori per gli NotEquals operatori NotStartsWithNotEndsWith, e.

  2. L'evento di dati per amzn-s3-demo-bucket/object2 verrà fornito perché corrisponde al valore per l'StartsWithoperatore e non corrisponde a nessuno dei valori per gli NotEquals operatori NotStartsWithNotEndsWith, e.

  3. Gli eventi di dati per amzn-s3-demo-bucket1/object3 verranno consegnati perché corrispondono all'EndsWithoperatore e non corrispondono a nessuno dei valori per gli NotEquals operatori NotStartsWithNotEndsWith, e.

  4. Gli eventi relativi ai dati di non arn:aws:s3:::amzn-s3-demo-bucket/deselectObject4 verranno consegnati perché corrispondono alla condizione di, NotStartsWith anche se corrispondono alla condizione dell'StartsWithoperatore.

  5. Gli eventi relativi ai dati di non arn:aws:s3:::amzn-s3-demo-bucket/object5 verranno consegnati perché corrispondono alla condizione di, NotEndsWith anche se corrispondono alla condizione dell'StartsWithoperatore.

  6. Gli eventi relativi ai dati non arn:aws:s3:::amzn-s3-demo-bucket/object6 verranno consegnati perché corrispondono alla condizione dell'NotEqualsoperatore anche se corrisponde alla condizione dell'StartsWithoperatore.

Filtraggio degli eventi relativi ai dati per eventName

Utilizzando selettori di eventi avanzati, è possibile includere o escludere eventi in base al valore del eventName campo. Il filtraggio eventName può aiutare a controllare i costi, poiché si evitano costi quando Servizio AWS stai registrando gli eventi relativi ai dati per aggiungere il supporto per nuovi dati. APIs

Puoi usare qualsiasi operatore con il eventName campo. È possibile utilizzarlo per filtrare o filtrare qualsiasi evento di dati registrato, ad CloudTrail esempio o. PutBucket GetSnapshotBlock

Filtrare gli eventi relativi ai dati utilizzando il eventNameAWS Management Console

Effettua le seguenti operazioni per filtrare in base al eventName campo utilizzando la CloudTrail console.

  1. Segui i passaggi della procedura di creazione dell'itinerario o segui i passaggi della procedura di creazione del data store di eventi.

  2. Mentre segui i passaggi per creare il trail o l'event data store, effettua le seguenti selezioni:

    1. Scegli Data events.

    2. Scegli il tipo di evento Data per il quale desideri registrare gli eventi di dati.

    3. Per il modello di selettore di registro, scegli Personalizzato.

    4. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è elencato come Name nel selettore di eventi avanzato ed è visualizzabile se si espande la visualizzazione. JSON

    5. Nei selettori di eventi avanzati, effettuate le seguenti operazioni per filtrare in base a: eventName

      1. Per Campo, scegliete eventName.

      2. Per Operatore, scegli l'operatore della condizione. In questo esempio, sceglieremo uguale perché vogliamo registrare una chiamata specificaAPI.

      3. In Value, inserisci il nome dell'evento in base al quale vuoi filtrare.

      4. Per filtrare in base a un altroeventName, scegli + Condizione. Per informazioni su come CloudTrail valuta più condizioni, consultaHow CloudTrail valuta più condizioni per un campo.

      Filtra gli eventi relativi ai dati S3 per eventName

    6. Scegli +Field per aggiungere filtri su altri campi.

Filtrare gli eventi relativi ai dati utilizzando il eventNameAWS CLI

Utilizzo di AWS CLI, puoi filtrare il eventName campo per includere o escludere eventi specifici.

Se stai aggiornando un trail o un event data store esistente per registrare selettori di eventi aggiuntivi, ottieni i selettori di eventi correnti eseguendo il get-event-selectorscomando per un trail o il get-event-data-storecomando per un event data store. Quindi, aggiorna i selettori di eventi per aggiungere un selettore di campo per ogni tipo di risorsa dati che desideri registrare.

L'esempio seguente registra gli eventi relativi ai dati S3 su un percorso. --advanced-event-selectorsSono configurati per registrare solo gli eventi relativi ai dati per le GetObject chiamatePutObject, e DeleteObjectAPI.

aws cloudtrail put-event-selectors \
--trail-name trailName \
--advanced-event-selectors '[
  {
    "Name": "Log GetObject, PutObject and DeleteObject S3 data events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["GetObject","PutObject","DeleteObject"] }
    ]
  }
]'

L'esempio successivo crea un nuovo archivio dati di eventi che registra gli eventi di dati per EBS Direct APIs ma esclude ListChangedBlocks API le chiamate. È possibile utilizzare il update-event-data-storecomando per aggiornare un archivio dati di eventi esistente.

aws cloudtrail create-event-data-store \
--name "eventDataStoreName"
--advanced-event-selectors '[
    {
        "Name": "Log all EBS Direct API data events except ListChangedBlocks",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["Data"] },
            { "Field": "resources.type", "Equals": ["AWS::EC2::Snapshot"] },
            { "Field": "eventName", "NotEquals": ["ListChangedBlocks"] }
         ]
    }
]'

Filtraggio degli eventi di dati per resources.ARN

Utilizzando selettori di eventi avanzati, puoi filtrare in base al valore del resources.ARN campo.

È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza Equals oNotEquals, il valore deve corrispondere esattamente a quello ARN di una risorsa valida per il resources.type valore specificato. Per registrare tutti gli eventi relativi ai dati per tutti gli oggetti in uno specifico bucket S3, usa l'StartsWithoperatore e includi solo il bucket ARN come valore corrispondente.

La tabella seguente mostra il ARN formato valido per ciascuno di essi. resources.type

Nota

Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non sono disponibiliARNs.

resources.type risorse. ARN
AWS::DynamoDB::Table1 
arn:partition:dynamodb:region:account_ID:table/table_name
AWS::Lambda::Function 
arn:partition:lambda:region:account_ID:function:function_name

AWS::S3::Object2

 
arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
AWS::AppConfig::Configuration 
arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
AWS::B2BI::Transformer 
arn:partition:b2bi:region:account_ID:transformer/transformer_ID
AWS::Bedrock::AgentAlias 
arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
AWS::Bedrock::FlowAlias 
arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
AWS::Bedrock::Guardrail 
arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
AWS::Bedrock::KnowledgeBase 
arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table 
arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
AWS::CloudFront::KeyValueStore 
arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
AWS::CloudTrail::Channel 
arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
AWS::CodeWhisperer::Customization 
arn:partition:codewhisperer:region:account_ID:customization/customization_ID
AWS::CodeWhisperer::Profile 
arn:partition:codewhisperer:region:account_ID:profile/profile_ID
AWS::Cognito::IdentityPool 
arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
AWS::DynamoDB::Stream 
arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
AWS::EC2::Snapshot 
arn:partition:ec2:region::snapshot/snapshot_ID
AWS::EMRWAL::Workspace 
arn:partition:emrwal:region:account_ID:workspace/workspace_name
AWS::FinSpace::Environment 
arn:partition:finspace:region:account_ID:environment/environment_ID
AWS::Glue::Table 
arn:partition:glue:region:account_ID:table/database_name/table_name
AWS::GreengrassV2::ComponentVersion 
arn:partition:greengrass:region:account_ID:components/component_name
AWS::GreengrassV2::Deployment 
arn:partition:greengrass:region:account_ID:deployments/deployment_ID
AWS::GuardDuty::Detector 
arn:partition:guardduty:region:account_ID:detector/detector_ID
AWS::IoT::Certificate 
arn:partition:iot:region:account_ID:cert/certificate_ID
AWS::IoT::Thing 
arn:partition:iot:region:account_ID:thing/thing_ID
AWS::IoTSiteWise::Asset 
arn:partition:iotsitewise:region:account_ID:asset/asset_ID
AWS::IoTSiteWise::TimeSeries 
arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity 
arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
AWS::IoTTwinMaker::Workspace 
arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan 
arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream 
arn:partition:kinesis:region:account_ID:stream/stream_name
AWS::Kinesis::StreamConsumer 
arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
AWS::KinesisVideo::Stream 
arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
AWS::MachineLearning::MlModel 
arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
AWS::ManagedBlockchain::Network 
arn:partition:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node 
arn:partition:managedblockchain:region:account_ID:nodes/node_ID
AWS::MedicalImaging::Datastore 
arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
AWS::NeptuneGraph::Graph 
arn:partition:neptune-graph:region:account_ID:graph/graph_ID
AWS::One::UKey 
arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
AWS::One::User 
arn:partition:one:region:account_ID:user/user_ID
AWS::PaymentCryptography::Alias 
arn:partition:payment-cryptography:region:account_ID:alias/alias
AWS::PaymentCryptography::Key 
arn:partition:payment-cryptography:region:account_ID:key/key_ID
AWS::PCAConnectorAD::Connector 
arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
AWS::PCAConnectorSCEP::Connector 
arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
AWS::QApps:QApp 
arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
AWS::QBusiness::Application 
arn:partition:qbusiness:region:account_ID:application/application_ID
AWS::QBusiness::DataSource 
arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
AWS::QBusiness::Index 
arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
AWS::QBusiness::WebExperience 
arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
AWS::RDS::DBCluster 
arn:partition:rds:region:account_ID:cluster/cluster_name
AWS::RUM::AppMonitor 
arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

AWS::S3::AccessPoint3

 
arn:partition:s3:region:account_ID:accesspoint/access_point_name

AWS::S3Express::Object

 
arn:partition:s3express:region:account_ID:bucket/bucket_name
AWS::S3ObjectLambda::AccessPoint 
arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
AWS::S3Outposts::Object 
arn:partition:s3-outposts:region:account_ID:object_path
AWS::SageMaker::Endpoint 
arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent 
arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup 
arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
AWS::SCN::Instance 
arn:partition:scn:region:account_ID:instance/instance_ID
AWS::ServiceDiscovery::Namespace 
arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
AWS::ServiceDiscovery::Service 
arn:partition:servicediscovery:region:account_ID:service/service_ID
AWS::SNS::PlatformEndpoint 
arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
AWS::SNS::Topic 
arn:partition:sns:region:account_ID:topic_name
AWS::SQS::Queue 
arn:partition:sqs:region:account_ID:queue_name
AWS::SSM::ManagedNode

ARNDeve essere in uno dei seguenti formati:

  • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

  • arn:partition:ec2:region:account_ID:instance/instance_ID
AWS::SSMMessages::ControlChannel 
arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine

ARNDeve essere in uno dei seguenti formati:

  • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

  • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
AWS::SWF::Domain 
arn:partition:swf:region:account_ID:/domain/domain_name
AWS::ThinClient::Device 
arn:partition:thinclient:region:account_ID:device/device_ID
AWS::ThinClient::Environment 
arn:partition:thinclient:region:account_ID:environment/environment_ID
AWS::Timestream::Database 
arn:partition:timestream:region:account_ID:database/database_name
AWS::Timestream::Table 
arn:partition:timestream:region:account_ID:database/database_name/table/table_name
AWS::VerifiedPermissions::PolicyStore 
arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

1 Per le tabelle con flussi abilitati, il campo resources nell'evento di dati contiene sia AWS::DynamoDB::Stream che AWS::DynamoDB::Table. Se specifichi AWS::DynamoDB::Table come resources.type, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro sul eventName campo.

2 Per registrare tutti gli eventi relativi ai dati per tutti gli oggetti in uno specifico bucket S3, usa l'StartsWithoperatore e includi solo il bucket ARN come valore corrispondente. La barra finale è intenzionale; non escluderla.

3 Per registrare gli eventi su tutti gli oggetti in un punto di accesso S3, ti consigliamo di utilizzare solo il punto di accessoARN, di non includere il percorso dell'oggetto e di utilizzare gli operatori or. StartsWith NotStartsWith

Filtrare gli eventi relativi ai dati utilizzando il resources.ARNAWS Management Console

Effettua le seguenti operazioni per filtrare in base al resources.ARN campo utilizzando la CloudTrail console.

  1. Segui i passaggi della procedura di creazione dell'itinerario o segui i passaggi della procedura di creazione del data store di eventi.

  2. Mentre segui i passaggi per creare il trail o l'event data store, effettua le seguenti selezioni:

    1. Scegli Data events.

    2. Scegli il tipo di evento Data per il quale desideri registrare gli eventi di dati.

    3. Per il modello di selettore di registro, scegli Personalizzato.

    4. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è elencato come Name nel selettore di eventi avanzato ed è visualizzabile se si espande la visualizzazione. JSON

    5. Nei selettori di eventi avanzati, effettuate le seguenti operazioni per filtrare in base a: resources.ARN

      1. Per Field, scegliete le risorse. ARN.

      2. Per Operatore, scegli l'operatore della condizione. In questo esempio, sceglieremo inizia con perché vogliamo registrare gli eventi relativi ai dati per uno specifico bucket S3.

      3. Per Value, inserisci il valore ARN per il tuo tipo di risorsa (ad esempio, arn:aws:s3:::amzn-s3-demo-bucket).

      4. Per filtrarne un altroresources.ARN, scegli + Condizione. Per informazioni su come CloudTrail valuta più condizioni, consultaHow CloudTrail valuta più condizioni per un campo.

      Filtra gli eventi relativi ai dati S3 per resources.ARN

    6. Scegli +Field per aggiungere filtri su altri campi.

Filtrare gli eventi relativi ai dati utilizzando il resources.ARNAWS CLI

Utilizzo di AWS CLI, è possibile filtrare il resources.ARN campo per registrare gli eventi per uno specifico ARN o escludere la registrazione per uno specifico. ARN

Se stai aggiornando un trail o un event data store esistente per registrare selettori di eventi aggiuntivi, ottieni i selettori di eventi correnti eseguendo il get-event-selectorscomando per un trail o il get-event-data-storecomando per un event data store. Quindi, aggiorna i selettori di eventi per aggiungere un selettore di campo per ogni tipo di risorsa dati che desideri registrare.

L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi di dati per tutti gli oggetti Amazon S3 in un S3 Bucket specifico. Il valore per gli eventi S3 per il campo resources.type è AWS::S3::Object. Poiché i ARN valori degli oggetti S3 e dei bucket S3 sono leggermente diversi, è necessario aggiungere l'StartsWithoperatore per resources.ARN acquisire tutti gli eventi.

aws cloudtrail put-event-selectors \ 
--trail-name TrailName \ 
--region region \
--advanced-event-selectors \
'[
    {
        "Name": "S3EventSelector",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
            ]
    }
]'

Filtraggio degli eventi relativi ai dati per valore readOnly

Utilizzando selettori di eventi avanzati, puoi filtrare in base al valore del readOnly campo.

È possibile utilizzare l'Equalsoperatore solo con il readOnly campo. È possibile impostare il readOnly valore su true ofalse. Se non si aggiunge questo campo, CloudTrail registra sia gli eventi di lettura che quelli di scrittura. Un valore di true log legge solo gli eventi. Un valore di false log scrive solo eventi.

Filtraggio degli eventi di dati per readOnly valore utilizzando il AWS Management Console

Segui i passaggi seguenti per filtrare in base al readOnly campo utilizzando la CloudTrail console.

  1. Segui i passaggi della procedura di creazione dell'itinerario o segui i passaggi della procedura di creazione del data store di eventi.

  2. Mentre segui i passaggi per creare il trail o l'event data store, effettua le seguenti selezioni:

    1. Scegli Data events.

    2. Scegli il tipo di evento Data per il quale desideri registrare gli eventi di dati.

    3. Per il modello di selettore di log, scegli il modello appropriato per il tuo caso d'uso.

      Scegli il modello di selettore di log per gli eventi relativi ai dati
      Se hai intenzione di farlo Scegli questo modello di selettore di log

      Registra solo gli eventi di lettura e non applica altri filtri (ad esempio, sul resources.ARN valore).

      Registra readOnly gli eventi

      Registra solo gli eventi di scrittura e non applica altri filtri (ad esempio, sul resources.ARN valore).

      Registra writeOnly gli eventi

      Filtra in base al readOnly valore e applica filtri aggiuntivi (ad esempio, sul resources.ARN valore).

      Personalizza

      Nei selettori di eventi avanzati, effettuate le seguenti operazioni per filtrare in base al readOnly valore:

      Per registrare gli eventi di scrittura

      1. Per Field, scegli readOnly.

      2. Per Operatore, scegli equals.

      3. In Valore, specifica false.

      4. Scegli +Field per aggiungere filtri su altri campi.

      Per registrare gli eventi di lettura

      1. Per Field, scegli readOnly.

      2. Per Operatore, scegli equals.

      3. In Valore, specifica true.

      4. Scegli +Field per aggiungere filtri su altri campi.

Filtraggio degli eventi relativi ai dati per readOnly valore utilizzando il AWS CLI

Utilizzo di AWS CLI, puoi filtrare in base al readOnly campo.

È possibile utilizzare solo l'Equalsoperatore con il readOnly campo. È possibile impostare il readOnly valore su true ofalse. Se non si aggiunge questo campo, CloudTrail registra sia gli eventi di lettura che quelli di scrittura. Un valore di true log legge solo gli eventi. Un valore di false log scrive solo eventi.

Se stai aggiornando un trail o un event data store esistente per registrare selettori di eventi aggiuntivi, ottieni i selettori di eventi correnti eseguendo il get-event-selectorscomando per un trail o il get-event-data-storecomando per un event data store. Quindi, aggiorna i selettori di eventi per aggiungere un selettore di campo per ogni tipo di risorsa dati che desideri registrare.

L'esempio seguente mostra come configurare il percorso per registrare eventi di dati di sola lettura per tutti gli oggetti Amazon S3.

aws cloudtrail put-event-selectors \
--trail-name TrailName \
--region region \
--advanced-event-selectors '[
    {
            "Name": "Log read-only S3 data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "readOnly", "Equals": ["true"] }
            ]
    }
]'

Il prossimo esempio crea un nuovo archivio dati di eventi che registra solo gli eventi di dati di sola scrittura per Direct. EBS APIs È possibile utilizzare il update-event-data-storecomando per aggiornare un archivio dati di eventi esistente.

aws cloudtrail create-event-data-store \
--name "eventDataStoreName" \
--advanced-event-selectors \
'[
    {
            "Name": "Log write-only EBS Direct API data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::EC2::Snapshot"] },
                { "Field": "readOnly", "Equals": ["false"] }
            ]
     }
]'