Registrazione degli eventi Insights - AWS CloudTrail
Comprensione della distribuzione di eventi InsightsRegistrazione degli eventi di Insights con AWS Management ConsoleRegistrazione degli eventi di Insights con AWS Command Line InterfaceRegistrazione degli eventi di Insights con gli SDK AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione degli eventi Insights

AWS CloudTrail Insights aiuta AWS gli utenti a identificare e rispondere alle attività insolite associate alle chiamate API e ai tassi di errore delle API analizzando continuamente gli eventi di CloudTrail gestione. CloudTrail Insights analizza i normali modelli di volume delle chiamate e tassi di errore delle API, detti anche baseline, e genera eventi Insights quando il volume delle chiamate o i tassi di errore non rientrano negli schemi normali. Gli eventi di Insights sul volume delle chiamate API vengono generati per API di gestione write e gli eventi Insights sulla frequenza di errore API vengono generati per API di gestione read e write.

Nota

Per registrare gli eventi di Insights sul volume delle chiamate API, il percorso o il datastore di eventi deve registrare gli eventi di gestione write. Per registrare gli eventi di Insights sulla frequenza di errore delle API, il percorso o il datastore di eventi deve registrare gli eventi di gestione read o write.

CloudTrail Insights analizza gli eventi di gestione che si verificano in una singola regione, non a livello globale. Un evento CloudTrail Insights viene generato nella stessa regione in cui vengono generati gli eventi di gestione di supporto.

Per gli eventi Insights vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per ulteriori informazioni, consulta la sezione Prezzi di AWS CloudTrail.

Comprensione della distribuzione di eventi Insights

A differenza di altri tipi di eventi CloudTrail acquisiti, gli eventi Insights vengono registrati solo quando CloudTrail rilevano cambiamenti nell'utilizzo dell'API dell'account che differiscono significativamente dai modelli di utilizzo tipici dell'account.

CloudTrail Il luogo in cui vengono distribuiti gli eventi e il tempo necessario per riceverli variano a seconda dei percorsi e degli archivi di dati sugli eventi.

Distribuzione di eventi Insights per i percorsi

Se hai abilitato gli eventi di Insights su un percorso e CloudTrail rilevi attività insolite, CloudTrail invia gli eventi di Insights nella /CloudTrail-Insight cartella nel bucket S3 di destinazione scelto per il percorso. Dopo aver abilitato CloudTrail Insights per la prima volta su un percorso, possono essere necessarie fino a 36 ore CloudTrail per generare il primo evento Insights, se viene rilevata un'attività insolita.

Se disattivi la registrazione degli eventi di Insights su un percorso e poi riattivi gli eventi di Insights oppure interrompi e riavvii la registrazione su un percorso, possono essere necessarie fino a 36 ore per CloudTrail riavviare la consegna degli eventi Insights, se viene rilevata un'attività insolita.

Distribuzione di eventi Insights per i datastore di eventi

Se hai abilitato gli eventi Insights su un data store di eventi di origine, CloudTrail invia gli eventi di Insights al data store degli eventi di destinazione. Dopo aver abilitato CloudTrail Insights per la prima volta nell'archivio dati degli eventi di origine, possono essere necessari fino a 7 giorni prima che il primo evento Insights venga inviato al data store degli eventi di destinazione, se viene rilevata un'attività insolita. CloudTrail

Se disattivi la registrazione degli eventi di Insights su un data store di eventi di origine e quindi riattivi gli eventi di Insights o interrompi e riavvii l'inserimento degli eventi su un data store di eventi di origine, possono essere necessari fino a 7 giorni per CloudTrail riavviare la consegna degli eventi di Insights, se viene rilevata un'attività insolita. Si applicano costi aggiuntivi per l'importazione di eventi Insights in Lake. CloudTrail Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.

Registrazione degli eventi di Insights con AWS Management Console

Puoi abilitare gli eventi Insights su un percorso o in un datastore di eventi utilizzando la console.

Abilitazione degli eventi CloudTrail Insights su un percorso esistente

Utilizzare la procedura seguente per abilitare gli eventi CloudTrail Insights su un percorso esistente. Per impostazione predefinita, gli eventi Insights non sono abilitati.

  1. Nel riquadro di navigazione a sinistra della CloudTrail console, apri la pagina Trails e scegli il nome di un percorso.

  2. In Insights events (Eventi Insights) scegli Edit (Modifica).

    Nota

    Per la registrazione degli eventi Insights vengono applicati costi aggiuntivi. Per CloudTrail i prezzi, consulta la sezione AWS CloudTrail Prezzi.

  3. In Event type (Tipo di evento), scegli Insights events (Eventi Insights).

  4. In Insights events (Informazioni dettagliate eventi), in Choose Insights types (Scegli i tipi di informazioni dettagliate), scegli API call rate (Tasso di chiamata API), Tasso di errore API o entrambi. Il percorso deve registrare gli eventi di gestione Write (scrittura) per registrare gli eventi Insights per la frequenza di chiamate API. Il percorso deve registrare gli eventi di gestione Read o Write per registrare gli eventi Insights per la frequenza di errore API.

  5. Per salvare le modifiche, scegliere Salva modifiche.

La distribuzione dei primi eventi Insights può richiedere fino CloudTrail a 36 ore, se viene rilevata un'attività insolita.

Abilitazione degli eventi CloudTrail Insights su un archivio dati di eventi esistente

Utilizzare la procedura seguente per abilitare gli eventi CloudTrail Insights su un data store di eventi esistente. Per impostazione predefinita, gli eventi Insights non sono abilitati.

Si applicano costi aggiuntivi per l'importazione di eventi Insights in CloudTrail Lake. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.

Nota

È possibile abilitare gli eventi CloudTrail Insights solo negli archivi di dati di eventi contenenti eventi di CloudTrail gestione. Non è possibile abilitare gli eventi CloudTrail Insights su altri tipi di data store di eventi.

  1. Nel riquadro di navigazione a sinistra della CloudTrail console, sotto Lake, scegli Event data store.

  2. Scegli l'evento dal datastore di eventi.

  3. Per Eventi di gestione, scegli Modifica.

  4. Scegli Abilita Insights.

  5. Scegli l'archivio dati degli eventi di destinazione in cui CloudTrail verranno distribuiti gli eventi Insights. Il datastore di eventi di destinazione raccoglierà gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi. Per informazioni su come creare il datastore di eventi di destinazione, consulta Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights.

  6. In Scegli i tipi di Insights, scegli Frequenza di chiamata API, Frequenza di errore API o entrambi. Il datastore di eventi deve registrare gli eventi di gestione Write (scrittura) per registrare gli eventi Insights per la frequenza di chiamate API. Il datastore di eventi deve registrare gli eventi di gestione Read o Write per registrare gli eventi Insights per la frequenza di errore API.

  7. Per salvare le modifiche, scegliere Salva modifiche.

La distribuzione dei primi eventi Insights può richiedere fino CloudTrail a 7 giorni, se viene rilevata un'attività insolita.

Registrazione degli eventi di Insights con AWS Command Line Interface

Puoi configurare i percorsi o i datastore di eventi per registrare gli eventi Insights utilizzando la AWS CLI.

Nota

Per registrare gli eventi di Insights sul volume delle chiamate API, il percorso o il datastore di eventi deve registrare gli eventi di gestione write. Per registrare gli eventi di Insights sulla frequenza di errore delle API, il percorso o il datastore di eventi deve registrare gli eventi di gestione read o write.

Registrazione degli eventi di Insights per un percorso utilizzando il AWS CLI

Per verificare se il percorso sta registrando eventi Insights, esegui il comando get-insight-selectors.

aws cloudtrail get-insight-selectors --trail-name TrailName

Il risultato seguente mostra le impostazioni predefinite per un trail. Per impostazione predefinita, i trail non registrano gli eventi Insights. Il valore dell'attributo InsightType è vuoto e non vengono specificati selettori di eventi Insight, poiché la raccolta di eventi Insights non è abilitata.

Se non aggiungete i selettori di Insights, il get-insight-selectors comando restituisce il seguente messaggio di errore: «Si è verificato un errore (InsightNotEnabledException) durante la chiamata dell' GetInsightSelectors operazione: Trail name does not have Insights enabled. Modificare le impostazioni del percorso per abilitare Insights, quindi riprovare l'operazione.»

{
  "InsightSelectors": [ ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Per configurare il percorso per la registrazione di eventi Insights, esegui il comando put-insight-selectors. Nell'esempio seguente viene illustrato come configurare il percorso per includere eventi Insights. I valori del selettore Insights possono essereApiCallRateInsight, ApiErrorRateInsight o entrambi.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

Il risultato seguente mostra il selettore di eventi Insights configurato per il trail.

{
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Registrazione degli eventi di Insights per un data store di eventi utilizzando AWS CLI

Per registrare gli eventi di Insights in un datastore di eventi, è necessario un datastore di eventi di origine che registri gli eventi di gestione e un datastore di eventi di destinazione che registri gli eventi Insights.

Per vedere se gli eventi Insights sono abilitati su un datastore di eventi, esegui il comando get-insight-selectors.

aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Per vedere se un datastore di eventi è configurato per ricevere gli eventi Insights o gli eventi di gestione, esegui il comando get-event-data-store.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

Questa procedura mostra come creare i datastore di eventi di destinazione e di origine e come abilitare gli eventi Insights.

  1. Esegui il comando aws cloudtrail create-event-data-store per creare un datastore di eventi di destinazione che raccolga gli eventi di Insights. Il valore di eventCategory deve essere Insight. Sostituisci retention-period-dayscon il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi.

    Se hai effettuato l'accesso con l'account di gestione di un' AWS Organizations organizzazione, includi il --organization-enabled parametro se desideri concedere all'amministratore delegato l'accesso all'archivio dati degli eventi.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    Di seguito è riportata una risposta di esempio.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}

    Come valore per il parametro --insights-destination nel passaggio 3 utilizzerai l'ARN (o il suffisso ID dell'ARN) dalla risposta.

  2. Esegui il comando aws cloudtrail create-event-data-store per creare un datastore di eventi di origine che registri gli eventi di gestione. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione. Non è necessario specificare i selettori di eventi avanzati se si desidera registrare tutti gli eventi di gestione. Sostituiscilo retention-period-dayscon il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi. Se stai creando un datastore di eventi dell'organizzazione, includi il parametro --organization-enabled.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    Di seguito è riportata una risposta di esempio.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}

    Come valore per il parametro --event-data-store nel passaggio 3 utilizzerai l'ARN (o il suffisso ID dell'ARN) dalla risposta.

  3. Esegui il comando put-insight-selectors per abilitare gli eventi Insights. I valori del selettore Insights possono essereApiCallRateInsight, ApiErrorRateInsight o entrambi. Per il parametro --event-data-store, specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi di origine che registra gli eventi di gestione e abiliterà Insights. Per il parametro --insights-destination, specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi di destinazione che registrerà gli eventi di Insights.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    Il risultato seguente mostra il selettore di eventi Insights configurato per il datastore di eventi.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    Dopo aver abilitato CloudTrail Insights per la prima volta su un Event Data Store, possono essere necessari fino a 7 giorni prima che venga CloudTrail generato il primo evento Insights, se viene rilevata un'attività insolita.

    CloudTrail Insights analizza gli eventi di gestione che si verificano in una singola regione, non a livello globale. Un evento CloudTrail Insights viene generato nella stessa regione in cui vengono generati gli eventi di gestione di supporto.

    Per un archivio dati di eventi organizzativi, CloudTrail analizza gli eventi di gestione dell'account di ciascun membro anziché analizzare l'aggregazione di tutti gli eventi di gestione dell'organizzazione.

Si applicano costi aggiuntivi per l'importazione di eventi Insights in Lake. CloudTrail Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.

Registrazione degli eventi di Insights con gli SDK AWS

Esegui l'GetInsightSelectorsoperazione per vedere se il tuo trail o event data store abilita gli eventi Insights. È possibile configurare i percorsi o gli archivi di dati degli eventi per abilitare gli eventi Insights con l'PutInsightSelectorsoperazione. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS CloudTrail.