Crea un data store di eventi con AWS CLI - AWS CloudTrail
Crea un archivio dati di eventi per gli eventi di dati S3 con AWS CLICrea un archivio dati di eventi per gli eventi KMS di attività di rete con AWS CLICreare un archivio dati di eventi per gli elementi di AWS Config configurazione con AWS CLICrea un data store di eventi organizzativi per gli eventi di gestione con AWS CLICrea archivi dati di eventi per gli eventi Insights con AWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un data store di eventi con AWS CLI

Questa sezione descrive come utilizzare il create-event-data-storecomando per creare un archivio dati di eventi e fornisce esempi di diversi tipi di archivi di dati di eventi che è possibile creare.

Quando crei un datastore di eventi, l'unico parametro richiesto è --name, che viene utilizzato per identificare tale datastore. È possibile configurare parametri opzionali aggiuntivi, tra cui:

  • --advanced-event-selectors: specifica il tipo di eventi da includere nel datastore di eventi. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione. Per ulteriori informazioni sui selettori di eventi avanzati, vedere AdvancedEventSelectornella Guida di CloudTrail API riferimento.

  • --kms-key-id- Speciifica l'ID della KMS chiave da utilizzare per crittografare gli eventi forniti da. CloudTrail Il valore può essere un nome alias con il prefisso daalias/, un alias completamente specificatoARN, uno completamente specificato in una chiave o un ARN identificatore univoco globale.

  • --multi-region-enabled- Crea un archivio dati di eventi multiregionale che registra gli eventi per tutti gli utenti del tuo account. Regioni AWS --multi-region-enabled è impostato per impostazione predefinita, anche se il parametro non viene aggiunto.

  • --organization-enabled: consente a un datastore di eventi di raccogliere eventi per tutti gli account di un'organizzazione. Per impostazione predefinita, il datastore di eventi non è abilitato per tutti gli account di un'organizzazione.

  • --billing-mode: determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi.

    Di seguito sono riportati i valori possibili:

    • EXTENDABLE_RETENTION_PRICING: questa modalità di fatturazione in genere è consigliata se importi meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 3.653 giorni (circa 10 anni). Il periodo di conservazione predefinito per questa modalità di fatturazione è 366 giorni.

    • FIXED_RETENTION_PRICING: questa modalità di fatturazione è consigliata se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 2.557 giorni (circa 7 anni). Il periodo di conservazione predefinito per questa modalità di fatturazione è 2.557 giorni.

    Il valore predefinito è EXTENDABLE_RETENTION_PRICING.

  • --retention-period: il numero di giorni di conservazione degli eventi nel datastore di eventi. I valori validi sono numeri interi compresi tra 7 e 3.653 se la --billing-mode è EXTENDABLE_RETENTION_PRICING o tra 7 e 2.557 se la --billing-mode è impostata su FIXED_RETENTION_PRICING. Se non si specifica--retention-period, CloudTrail utilizza il periodo di conservazione predefinito per. --billing-mode

  • --start-ingestion: il parametro --start-ingestion avvia l'importazione degli eventi nel datastore di eventi al momento della sua creazione. Questo parametro è impostato anche se non viene aggiunto.

    Specifica --no-start-ingestion se desideri che il datastore di eventi non importi gli eventi live. Ad esempio, potresti voler impostare questo parametro se copi eventi nel datastore e prevedi di utilizzare i dati degli eventi solo per analizzare gli eventi passati. Il parametro --no-start-ingestion è valido solo se la eventCategory è Management, Data o ConfigurationItem.

Negli esempi seguenti viene illustrato come creare diversi tipi di datastore di eventi.

Crea un archivio dati di eventi per gli eventi di dati S3 con AWS CLI

Il seguente create-event-data-store comando di esempio AWS Command Line Interface (AWS CLI) crea un event data store denominato my-event-data-store che seleziona tutti gli eventi di dati di Amazon S3 e viene crittografato utilizzando KMS una chiave.

aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
            ]
        }
    ]'

Di seguito è riportata una risposta di esempio.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
    "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}

Crea un archivio dati di eventi per gli eventi KMS di attività di rete con AWS CLI

Nota

Gli eventi relativi alle attività di rete sono disponibili in anteprima CloudTrail e sono soggetti a modifiche.

L'esempio seguente mostra come creare un archivio dati di eventi per cui includere eventi VpceAccessDenied di attività di rete AWS KMS. Questo esempio imposta il errorCode campo uguale agli VpceAccessDenied eventi e il eventSource campo uguale akms.amazonaws.com.

aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
     {
        "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
        "FieldSelectors": [
            {
                "Field": "eventCategory",
                "Equals": ["NetworkActivity"]
            },
            {
                "Field": "eventSource",
                "Equals": ["kms.amazonaws.com"]
            },
            {
                "Field": "errorCode",
                "Equals": ["VpceAccessDenied"]
            }
        ]
    }
]'

Questo comando restituisce il seguente output di esempio.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "NetworkActivity"
                    ]
                },
                {
                    "Field": "eventSource",
                    "Equals": [
                        "kms.amazonaws.com"
                    ]
                },
                {
                    "Field": "errorCode",
                    "Equals": [
                        "VpceAccessDenied"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}

Per ulteriori informazioni sugli eventi di attività di rete, vedereRegistrazione degli eventi delle attività di rete.

Creare un archivio dati di eventi per gli elementi di AWS Config configurazione con AWS CLI

Il AWS CLI create-event-data-store comando di esempio seguente crea un archivio dati di eventi denominato config-items-eds che seleziona gli elementi AWS Config di configurazione. Per raccogliere elementi di configurazione, specifica che il campo eventCategory è uguale a ConfigurationItem nei selettori di eventi avanzati.

aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Di seguito è riportata una risposta di esempio.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "config-items-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select AWS Config configuration items",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "ConfigurationItem"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
    "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}

Crea un data store di eventi organizzativi per gli eventi di gestione con AWS CLI

Il AWS CLI create-event-data-store comando di esempio seguente crea un archivio dati degli eventi organizzativi che raccoglie tutti gli eventi di gestione e imposta il --billing-mode parametro suFIXED_RETENTION_PRICING.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING

Di seguito è riportata una risposta di esempio.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

Crea archivi dati di eventi per gli eventi Insights con AWS CLI

Per registrare gli eventi di Insights in CloudTrail Lake, è necessario un data store di eventi di destinazione che raccolga gli eventi Insights e un data store di eventi di origine che abiliti Insights e registri gli eventi di gestione.

Questa procedura mostra come creare i datastore di eventi di destinazione e di origine e come abilitare gli eventi Insights.

  1. Esegui il comando aws cloudtrail create-event-data-store per creare un datastore di eventi di destinazione che raccolga gli eventi di Insights. Il valore di eventCategory deve essere Insight. Replace (Sostituisci) retention-period-days con il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi. I valori validi sono numeri interi compresi tra 7 e 3.653 se la --billing-mode è EXTENDABLE_RETENTION_PRICING o tra 7 e 2.557 se la --billing-mode è impostata su FIXED_RETENTION_PRICING. Se non si specifica--retention-period, CloudTrail utilizza il periodo di conservazione predefinito per--billing-mode.

    Se hai effettuato l'accesso con l'account di gestione di un' AWS Organizations organizzazione, includi il --organization-enabled parametro se desideri concedere all'amministratore delegato l'accesso all'archivio dati degli eventi.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    Di seguito è riportata una risposta di esempio.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}

    Utilizzerai il ARN (o il suffisso ID diARN) contenuto nella risposta come valore per il --insights-destination parametro nel passaggio 3.

  2. Esegui il comando aws cloudtrail create-event-data-store per creare un datastore di eventi di origine che registri gli eventi di gestione. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione. Non è necessario specificare i selettori di eventi avanzati se si desidera registrare tutti gli eventi di gestione. Replace (Sostituisci) retention-period-days con il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi. I valori validi sono numeri interi compresi tra 7 e 3.653 se la --billing-mode è EXTENDABLE_RETENTION_PRICING o tra 7 e 2.557 se la --billing-mode è impostata su FIXED_RETENTION_PRICING. Se non si specifica--retention-period, CloudTrail utilizza il periodo di conservazione predefinito per--billing-mode. Se stai creando un datastore di eventi dell'organizzazione, includi il parametro --organization-enabled.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    Di seguito è riportata una risposta di esempio.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}

    Utilizzerai il ARN (o il suffisso ID diARN) contenuto nella risposta come valore per il --event-data-store parametro nel passaggio 3.

  3. Esegui il comando put-insight-selectors per abilitare gli eventi Insights. I valori del selettore Insights possono essereApiCallRateInsight, ApiErrorRateInsight o entrambi. Per il --event-data-store parametro, specificate il ARN (o il suffisso ID delARN) dell'archivio dati degli eventi di origine che registra gli eventi di gestione e abiliterà Insights. Per il --insights-destination parametro, specificate il ARN (o il suffisso ID delARN) del data store degli eventi di destinazione che registrerà gli eventi di Insights.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    Il risultato seguente mostra il selettore di eventi Insights configurato per il datastore di eventi.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    Dopo aver abilitato CloudTrail Insights per la prima volta su un Event Data Store, possono essere necessari fino a 7 giorni per CloudTrail la consegna del primo evento Insights, se viene rilevata un'attività insolita.

    CloudTrail Insights analizza gli eventi di gestione che si verificano in una singola regione, non a livello globale. Un evento CloudTrail Insights viene generato nella stessa regione in cui vengono generati gli eventi di gestione di supporto.

    Per un archivio dati di eventi organizzativi, CloudTrail analizza gli eventi di gestione dell'account di ciascun membro anziché analizzare l'aggregazione di tutti gli eventi di gestione dell'organizzazione.

Si applicano costi aggiuntivi per l'importazione di eventi Insights in Lake. CloudTrail Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.