Eventi di gestione Lettura e scrittura di eventi Registrazione degli eventi di gestione con AWS Management Console Registrazione degli eventi di gestione con la AWS CLI Registrazione degli eventi di gestione con la AWS SDKs

Registrazione degli eventi di gestione

Per impostazione predefinita, i percorsi e i datastore di eventi registrano gli eventi di gestione e non includono gli eventi di dati o gli eventi Insights.

Per gli eventi di dati o Insights vengono applicati costi aggiuntivi. Per ulteriori informazioni, consulta AWS CloudTrail Prezzi.

Indice

Eventi di gestione

Gli eventi di gestione forniscono visibilità sulle operazioni di gestione eseguite sulle risorse AWS dell'account. Queste operazioni sono definite anche operazioni del piano di controllo (control-plane). Gli eventi di gestione di esempio includono:

Configurazione della sicurezza (ad esempio, operazioni API IAM AttachRolePolicy)
Registrazione di dispositivi (ad esempio, operazioni Amazon EC2 CreateDefaultVpc API)
Configurazione delle regole per il routing dei dati (ad esempio, le operazioni delle EC2 CreateSubnet API Amazon)
Configurazione della registrazione (ad esempio, AWS CloudTrail CreateTrail operazioni API)

Gli eventi di gestione possono includere anche eventi non API che si verificano nel tuo account. Ad esempio, quando un utente accede al tuo account, CloudTrail registra l'evento. ConsoleLogin Per ulteriori informazioni, consulta APIEventi non acquisiti da CloudTrail.

Per impostazione predefinita, i percorsi e i datastore di eventi vengono configurati per registrare gli eventi di gestione.

Nota

La funzionalità di cronologia degli CloudTrail eventi supporta solo gli eventi di gestione. Non puoi escludere AWS KMS o escludere eventi Amazon RDS Data API dalla cronologia degli eventi; le impostazioni che applichi a un trail o a un event data store non si applicano alla cronologia degli eventi. Per ulteriori informazioni, consulta Lavorare con la cronologia CloudTrail degli eventi.

Lettura e scrittura di eventi

Quando configuri il percorso o il datastore di eventi per la registrazione degli eventi di gestione, puoi specificare se desideri registrare gli eventi di sola lettura, gli eventi di sola scrittura o entrambi.

Lettura

Gli eventi di sola lettura includono le operazioni API che leggono le risorse, ma non le modificano. Ad esempio, gli eventi di sola lettura includono le operazioni Amazon EC2 DescribeSecurityGroups e DescribeSubnets API. Queste operazioni restituiscono solo informazioni sulle tue EC2 risorse Amazon e non modificano le tue configurazioni.
Scrittura

Gli eventi di tipo Write-only (sola scrittura) includono le operazioni API che modificano o possono modificare le risorse. Ad esempio, le operazioni Amazon EC2 RunInstances e TerminateInstances API modificano le tue istanze.

Esempio: registrazione degli eventi di lettura e scrittura per percorsi separati

L'esempio seguente mostra come è possibile configurare i trail in modo che le attività di log per un account vengano suddivise in bucket S3 separati: un bucket riceve gli eventi di sola lettura e un secondo bucket riceve eventi di sola scrittura.

Puoi creare un trail e scegliere un bucket S3 denominato amzn-s3-demo-bucket1 per ricevere i file di log. Puoi quindi aggiornare il percorso e specificare che desideri registrare gli eventi Read (Lettura).
Puoi creare un secondo trail e scegliere un bucket S3 denominato amzn-s3-demo-bucket2 per ricevere i file di log. Puoi quindi aggiornare il percorso per specificare che desideri registrare gli eventi Write (Scrittura).
Le operazioni Amazon EC2 DescribeInstances e TerminateInstances API avvengono nel tuo account.
L'operazione API DescribeInstances è un evento di sola lettura e corrisponde alle impostazioni del primo trail. Il percorso registra e consegna l'evento aamzn-s3-demo-bucket1.
L'operazione API TerminateInstances è un evento di sola scrittura e corrisponde alle impostazioni del secondo trail. Il percorso registra e consegna l'evento a. amzn-s3-demo-bucket2

Registrazione degli eventi di gestione con AWS Management Console

Questa sezione descrive come aggiornare le impostazioni degli eventi di gestione per un trail o un data store di eventi esistente.

Argomenti

Aggiornamento delle impostazioni degli eventi di gestione per un trail esistente
Aggiornamento delle impostazioni degli eventi di gestione per un archivio dati di eventi esistente

Aggiornamento delle impostazioni degli eventi di gestione per un trail esistente

Utilizzare la procedura seguente per aggiornare le impostazioni degli eventi di gestione per un trail esistente.

Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.
Apri la pagina Percorsi della CloudTrail console e scegli il nome del percorso.
Per Management events (Eventi di gestione), scegli Edit (Modifica).
- Scegli se vuoi registrare gli eventi Read, Write o entrambi.
- Scegli Escludi AWS KMS eventi per filtrare AWS Key Management Service (AWS KMS) gli eventi dal tuo Trail. L'impostazione predefinita prevede l'inclusione di tutti AWS KMS gli eventi.
  
  L'opzione per registrare o escludere AWS KMS gli eventi è disponibile solo se si registrano gli eventi di gestione sul percorso. Se si sceglie di non registrare gli eventi di gestione, AWS KMS gli eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.
  
  AWS KMS azioni come EncryptDecrypt, e GenerateDataKey in genere generano un volume elevato (oltre il 99%) di eventi. Queste operazioni vengono ora registrate come eventi Read (Lettura). AWS KMS Le azioni pertinenti a basso volume come Disable e ScheduleKey (che in genere rappresentano meno dello 0,5% del volume degli AWS KMS eventi) vengono registrate come eventi di scrittura. Delete
  
  Per escludere eventi ad alto volume comeEncrypt, e DecryptGenerateDataKey, ma comunque registrare eventi pertinenti come e DisableScheduleKey, scegli di registrare gli eventi di gestione di Write Delete e deseleziona la casella di controllo Escludi eventi. AWS KMS
- Scegli Exclude Amazon RDS Data API events (Escludi eventi dell'API dati di Amazon RDS) per escludere dal percorso gli eventi dell'API dati di Amazon Relational Database Service. L'impostazione predefinita è includere tutti gli eventi dell'API dati di Amazon RDS. Per ulteriori informazioni sugli eventi dell'API dati di Amazon RDS, consulta Registrazione delle chiamate dell'API dati con AWS CloudTrail nella Guida per l'utente di Amazon RDS per Aurora.
Al termine, scegli Salva modifiche.

Aggiornamento delle impostazioni degli eventi di gestione per un archivio dati di eventi esistente

Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.
Apri la pagina Event data store della CloudTrail console e scegli il nome del data store degli eventi.
Per gli eventi di gestione, scegli Modifica, quindi configura le seguenti impostazioni:
1. Scegli tra Raccolta eventi semplice o Raccolta eventi avanzata:
  - Scegli Simple event collection se desideri registrare tutti gli eventi, registrare solo gli eventi di lettura o registrare solo gli eventi di scrittura. Puoi anche scegliere di escludere gli eventi AWS Key Management Service di gestione delle API di Amazon RDS Data.
  - Scegli Advanced event collection se desideri includere o escludere eventi di gestione in base ai valori dei campi avanzati di selezione degli eventi, inclusi i campieventName, eventTypeeventSource, euserIdentity.arn.
2. Se hai selezionato Raccolta di eventi semplice, scegli se registrare tutti gli eventi, registrare solo gli eventi di lettura o registrare solo gli eventi di scrittura. Puoi anche scegliere di escludere gli eventi AWS KMS di gestione di Amazon RDS.
3. Se hai selezionato Raccolta eventi avanzata, effettua le seguenti selezioni:
  1. In Log selector template, scegli un modello o Personalizzato per creare una configurazione personalizzata basata sui valori avanzati dei campi del selettore di eventi.
  2. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio «Registra gli eventi di gestione delle sessioni». AWS Management Console Il nome del selettore è riportato come Name nel selettore di eventi avanzato ed è visualizzabile se espandi la vista JSON.
  3. Se hai scelto Personalizzato, in Advanced event selectors crea un'espressione basata sui valori avanzati dei campi del selettore di eventi.
    
    Nota
    I selettori non supportano l'uso di caratteri jolly come. * Per abbinare più valori a una singola condizione, puoi usareStartsWith, EndsWithNotStartsWith, o NotEndsWith far corrispondere esplicitamente l'inizio o la fine del campo dell'evento.
    1. Scegli tra i seguenti campi.
      readOnly— readOnly può essere impostato su un valore uguale a o. true false Quando è impostato sufalse, l'Event Data Store registra gli eventi di gestione di sola scrittura. Gli eventi di gestione di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio gli eventi or. Get* Describe* Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia gli eventi di lettura che quelli di scrittura, non aggiungete un readOnly selettore.
      
      eventName— eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento di gestione, ad esempio CreateAccessPoint oGetAccessPoint.
      
      userIdentity.arn— Includi o escludi eventi per le azioni intraprese da identità IAM specifiche. Per ulteriori informazioni, consulta Elemento userIdentity di CloudTrail .
      
      sessionCredentialFromConsole— Includi o escludi eventi provenienti da una AWS Management Console sessione. Questo campo può essere impostato su uguale o non uguale con un valore di. true
      
      eventSource— È possibile utilizzarlo per includere o escludere fonti di eventi specifiche. In genere eventSource è una forma abbreviata del nome del servizio senza spazi plus.amazonaws.com. Ad esempio, puoi impostare eventSource equals to per registrare solo gli ec2.amazonaws.com eventi di EC2 gestione di Amazon.
      
      eventType— L'EventType da includere o escludere. Ad esempio, è possibile impostare questo campo su non uguale per escludere AwsServiceEvent gli eventi.Servizio AWS
    2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni.
      
      Per informazioni su come CloudTrail valuta più condizioni, consulta. Come CloudTrail valuta più condizioni per un campo
      
      Nota
      Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.
    3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi.
  4. Come opzione, espandere JSON view (Visualizzazione JSON) per vedere i propri selettori di eventi avanzati come un blocco JSON.
4. Scegli Abilita l'acquisizione degli eventi di Insights per abilitare Insights. Per abilitare Insights, è necessario configurare un datastore di eventi di destinazione per raccogliere gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi.
  
  Se scegli di abilitare Insights, procedi come segue.
  1. Scegli l'archivio eventi di destinazione che registrerà gli eventi di Insights. Il datastore di eventi di destinazione raccoglierà gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi. Per informazioni su come creare il datastore di eventi di destinazione, consulta Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights.
  2. Scegli i tipi di Insights. Puoi scegliere la frequenza delle chiamate API, la frequenza di errore API o entrambi. Devi abilitare la registrazione degli eventi di gestione Write (scrittura) per registrare gli eventi Insights per la frequenza di chiamate API. Devi abilitare la registrazione degli eventi di gestione Read o Write per registrare gli eventi Insights per la frequenza di errore API.
Al termine, scegli Salva modifiche.

Registrazione degli eventi di gestione con la AWS CLI

È possibile configurare i percorsi o i datastore di eventi per registrare gli eventi di gestione utilizzando la AWS CLI.

Argomenti

Esempi: Registrazione di eventi di gestione per i percorsi
Esempi: Registrazione degli eventi di gestione per i datastore di eventi

Esempi: Registrazione di eventi di gestione per i percorsi

Per verificare se il tuo trail sta registrando gli eventi di gestione, esegui il comando get-event-selectors.


aws cloudtrail get-event-selectors --trail-name TrailName

L'esempio seguente restituisce le impostazioni di default per un trail. Per impostazione predefinita, i trail registrano tutti gli eventi di gestione, gli eventi di log da tutte le origini eventi e non registrano gli eventi di dati.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ]
}

È possibile utilizzare selettori di eventi di base o avanzati per registrare gli eventi di gestione. Non è possibile applicare sia selettori di eventi che selettori di eventi avanzati a un trail. Se si applicano selettori di eventi avanzati a un percorso, tutti i selettori di eventi di base esistenti vengono sovrascritti. Le sezioni seguenti forniscono esempi di come registrare gli eventi di gestione utilizzando selettori di eventi avanzati e selettori di eventi di base.

Argomenti

Esempi: registrazione degli eventi di gestione dei sentieri utilizzando selettori di eventi avanzati
Esempi: registrazione degli eventi di gestione dei trail utilizzando selettori di eventi di base

Esempi: registrazione degli eventi di gestione dei sentieri utilizzando selettori di eventi avanzati

L'esempio seguente crea un selettore di eventi avanzato per un percorso denominato TrailName per includere eventi di gestione di sola lettura e sola scrittura (omettendo il readOnly selettore), ma per escludere gli eventi (). AWS Key Management Service AWS KMS Poiché AWS KMS gli eventi vengono trattati come eventi gestionali e il loro volume può essere elevato, possono avere un impatto sostanziale sulla CloudTrail fattura se si dispone di più di un percorso che raccoglie gli eventi di gestione.

Se si sceglie di non registrare gli eventi di gestione, gli AWS KMS eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.

Per ricominciare a registrare AWS KMS gli eventi in un percorso, rimuovete il eventSource selettore ed eseguite nuovamente il comando.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except KMS events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
    ]
  }
]'

L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except KMS events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "kms.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Per avviare nuovamente la registrazione di eventi su un percorso, rimuovi il selettore eventSource, come mostrato nel comando seguente.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

L'esempio successivo crea un selettore di eventi avanzato per un percorso denominato TrailName per includere eventi di gestione di sola lettura e sola scrittura (omettendo il readOnly selettore), ma per escludere gli eventi di gestione delle API di Amazon RDS Data. Per escludere gli eventi di gestione di Amazon RDS Data API, specifica l'origine dell'evento Amazon RDS Data API nel valore della stringa per il eventSource campo:. rdsdata.amazonaws.com

Se scegli di non registrare gli eventi di gestione, gli eventi di gestione di Amazon RDS Data API non vengono registrati e non puoi modificare le impostazioni di registrazione degli eventi di Amazon RDS Data API.

Per ricominciare a registrare gli eventi di gestione delle API di Amazon RDS Data su un trail, rimuovi il eventSource selettore ed esegui nuovamente il comando.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except Amazon RDS Data API management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
    ]
  }
]'

L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except Amazon RDS Data API management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource", 
          "NotEquals": [ "rdsdata.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Per avviare nuovamente la registrazione di eventi su un percorso, rimuovi il selettore eventSource, come mostrato nel comando seguente.


aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'

Esempi: registrazione degli eventi di gestione dei trail utilizzando selettori di eventi di base

Per configurare il trail per la registrazione di eventi di gestione, esegui il comando put-event-selectors. L'esempio seguente mostra come configurare il tuo trail per includere tutti gli eventi di gestione per due oggetti S3. Puoi specificare da 1 a 5 selettori di eventi per un trail. Puoi specificare da 1 a 250 risorse di dati per un trail.

Nota

Il numero massimo di risorse di dati S3 è 250, indipendentemente dal numero di selettori di eventi.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'

L'esempio seguente restituisce il selettore di eventi configurato per il trail.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Type": "AWS::S3::Object",
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ]  
                }
            ],
            "ExcludeManagementEventSources": []
        }
    ]
}

Per escludere gli eventi AWS Key Management Service (AWS KMS) dai log di un percorso, esegui il put-event-selectors comando e aggiungi l'attributo ExcludeManagementEventSources con un valore di. kms.amazonaws.com L'esempio seguente crea un selettore di eventi per un percorso denominato in TrailName modo da includere eventi di gestione di sola lettura e sola scrittura, ma escludendo gli eventi. AWS KMS Poiché AWS KMS può generare un volume elevato di eventi, l'utente in questo esempio potrebbe voler limitare gli eventi per gestire il costo di un trail.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'

L'esempio restituisce il selettore di eventi configurato per il trail.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "kms.amazonaws.com"
            ]
        }
    ]
}

Per escludere gli eventi di gestione dell'API di Amazon RDS Data dai log di un percorso, esegui il put-event-selectors comando e aggiungi l'attributo ExcludeManagementEventSources con un valore di. rdsdata.amazonaws.com L'esempio seguente crea un selettore di eventi per un percorso denominato TrailName per includere eventi di gestione di sola lettura e sola scrittura, ma esclude gli eventi di gestione delle API di Amazon RDS Data. Poiché Amazon RDS Data API può generare un volume elevato di eventi di gestione, l'utente in questo esempio potrebbe voler limitare gli eventi per gestire il costo di un trail.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
    "EventSelectors": [
        {
            "ReadWriteType": "All",
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ExcludeManagementEventSources": [
                "rdsdata.amazonaws.com"
            ]
        }
    ]
}

Per avviare nuovamente la registrazione AWS KMS o gli eventi di gestione delle API di Amazon RDS Data su un trail, passa una stringa vuota come valore diExcludeManagementEventSources, come illustrato nel comando seguente.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Per registrare AWS KMS gli eventi rilevanti in un percorso, ad esempioDisable, Delete conScheduleKey, ma escludendo AWS KMS gli eventi ad alto volume come EncryptDecrypt, eGenerateDataKey, registra gli eventi di gestione di sola scrittura e mantieni l'impostazione predefinita per registrare AWS KMS gli eventi, come mostrato nell'esempio seguente.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'

Esempi: Registrazione degli eventi di gestione per i datastore di eventi

È possibile registrare gli eventi di gestione per gli archivi di dati di eventi configurando selettori di eventi avanzati.

I seguenti campi avanzati di selezione degli eventi sono supportati per la registrazione degli eventi di gestione negli archivi dati di eventi:

eventCategory— È necessario impostare un eventCategory valore uguale Management agli eventi di gestione dei log. Questo è un campo obbligatorio.
readOnly— readOnly può essere impostato su Equals un valore di true ofalse. Quando è impostato sufalse, l'Event Data Store registra gli eventi di gestione di sola scrittura. Gli eventi di gestione di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio gli eventi or. Get* Describe* Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia gli eventi di lettura che quelli di scrittura, non aggiungete un readOnly selettore.
eventName— eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento di gestione, ad esempio CreateAccessPoint oGetAccessPoint. È possibile utilizzare qualsiasi operatore con questo campo.
userIdentity.arn— Includi o escludi eventi per le azioni intraprese da identità IAM specifiche. Per ulteriori informazioni, consulta Elemento userIdentity di CloudTrail .
sessionCredentialFromConsole— Includi o escludi eventi provenienti da una AWS Management Console sessione. Questo campo può essere impostato su Uguale o NotEquals con un valore di. true
eventSource— È possibile utilizzarlo per includere o escludere fonti di eventi specifiche. In genere eventSource è una forma abbreviata del nome del servizio senza spazi plus.amazonaws.com. Ad esempio, puoi eventSource Equals impostare ec2.amazonaws.com la registrazione solo degli eventi di EC2 gestione di Amazon.
eventType— L'EventType da includere o escludere. Ad esempio, è possibile impostare questo campo per NotEquals AwsServiceEvent escludere Servizio AWS gli eventi. È possibile utilizzare qualsiasi operatore con questo campo.

Per vedere se il datastore di eventi include eventi di gestione, esegui il comando get-event-data-store.


aws cloudtrail get-event-data-store
--event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Di seguito è riportata una risposta di esempio. L'ora di creazione e dell'ultimo aggiornamento sono espressi nel formato timestamp.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "myManagementEvents",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00",
    "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00"
}

Per creare un datastore di eventi che includa tutti gli eventi di gestione, esegui il comando create-event-data-store. Non è necessario specificare i selettori di eventi avanzati per includere tutti gli eventi di gestione.


aws cloudtrail create-event-data-store
--name my-event-data-store
--retention-period 90\

Di seguito è riportata una risposta di esempio.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00",
    "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00"
}

Esempi:

Esempio: escludi gli eventi AWS KMS di gestione
Esempio: escludi gli eventi di gestione di Amazon RDS
Esempio: escludi Servizio AWS eventi ed eventi dalle sessioni AWS Management Console
Esempio: escludi gli eventi di gestione per un'identità IAM specifica

Esempio: escludi gli eventi AWS KMS di gestione

Per creare un archivio dati di eventi che escluda gli eventi AWS Key Management Service (AWS KMS), esegui il create-event-data-store comando e specifica che eventSource non è ugualekms.amazonaws.com. L'esempio seguente crea un Event Data Store che include eventi di gestione di sola lettura e di sola scrittura, ma esclude gli eventi. AWS KMS


aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]}
        ]
    }
]'

Di seguito è riportata una risposta di esempio.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "kms.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

Esempio: escludi gli eventi di gestione di Amazon RDS

Per creare un event data store che escluda gli eventi di gestione di Amazon RDS Data API, esegui il create-event-data-store comando e specifica che eventSource non è uguale. rdsdata.amazonaws.com Nell'esempio seguente viene creato un datastore di eventi che include eventi di gestione di sola lettura e di sola scrittura, ma esclude gli eventi dell'API dati di Amazon RDS.


aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
    {
        "Name": "Management events selector",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]}
        ]
    }
]'

Di seguito è riportata una risposta di esempio.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventSource",
                    "NotEquals": [
                        "rdsdata.amazonaws.com"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}

Esempio: escludi Servizio AWS eventi ed eventi dalle sessioni AWS Management Console

L'esempio seguente crea un archivio dati di eventi che registra gli eventi di gestione ma esclude gli Servizio AWS eventi e gli eventi provenienti dalle sessioni. AWS Management Console


aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
    {
        "Name": "Exclude Servizio AWS and console events",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "eventType","NotEquals": ["AwsServiceEvent"]},
            {"Field": "sessionCredentialFromConsole","NotEquals": ["true"]}
        ]
    }
]'

Di seguito è riportata una risposta di esempio.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Exclude Servizio AWS and console events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "eventType",
                    "NotEquals": [
                        "AwsServiceEvent"
                    ]
                },
                {
                    "Field": "sessionCredentialFromConsole",
                    "NotEquals": [
                        "true"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}

Esempio: escludi gli eventi di gestione per un'identità IAM specifica

L'esempio seguente crea un archivio dati di eventi che registra gli eventi di gestione ma esclude gli eventi generati da. bucket-scanner-role userIdentity


aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
    {
        "Name": "Exclude events generated by bucket-scanner-role userIdentity",
        "FieldSelectors": [
            {"Field": "eventCategory","Equals": ["Management"]},
            {"Field": "userIdentity.arn","NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]}
        ]
    }
]'

Di seguito è riportata una risposta di esempio.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "event-data-store-name",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Exclude events generated by bucket-scanner-role userIdentity",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                },
                {
                    "Field": "userIdentity.arn",
                    "NotStartsWith": [
                        "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
    "UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}

Registrazione degli eventi di gestione con la AWS SDKs

Usa l'GetEventSelectorsoperazione per vedere se il tuo trail sta registrando gli eventi di gestione per un trail. È possibile configurare i percorsi per registrare gli eventi di gestione con l'PutEventSelectorsoperazione. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS CloudTrail.

Esegui l'GetEventDataStoreoperazione per vedere se il tuo archivio dati degli eventi include eventi di gestione. È possibile configurare i data store degli eventi in modo da includere gli eventi di gestione eseguendo UpdateEventDataStorele operazioni CreateEventDataStoreor. Per ulteriori informazioni, consulta Crea, aggiorna e gestisci archivi di dati di eventi con AWS CLI e il Riferimento API di AWS CloudTrail.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Comprendere CloudTrail gli eventi

Eventi di dati