Crea un archivio dati di CloudTrail eventi per gli eventi con la console - AWS CloudTrail
Per creare un archivio dati di CloudTrail eventi per gli eventi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un archivio dati di CloudTrail eventi per gli eventi con la console

Gli archivi dati CloudTrail sugli eventi possono includere eventi di CloudTrail gestione, eventi di dati ed eventi di attività di rete. Puoi conservare i dati degli eventi in un datastore di eventi per un massimo di 3.653 giorni (circa 10 anni) se scegli l'opzione Prezzo per la conservazione estendibile di un anno o di 2.557 giorni (circa 7 anni) se scegli l'opzione Prezzo per la conservazione di sette anni.

Nota

Gli eventi relativi alle attività di rete sono disponibili in anteprima CloudTrail e sono soggetti a modifiche.

CloudTrail I Lake Event Data Store sono a pagamento. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi AWS CloudTrail Prezzi e. Gestione dei costi CloudTrail del lago

Per creare un archivio dati di CloudTrail eventi per gli eventi

Utilizzare questa procedura per creare un archivio dati di eventi che registri gli eventi di CloudTrail gestione, gli eventi relativi ai dati o gli eventi di attività di rete.

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.

  3. Scegliere Create event data store (Crea archivio di dati degli eventi).

  4. Nella pagina Configure event data store (Configura archivio di dati degli eventi), in General details (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.

  5. Scegli l'opzione di prezzo che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta Prezzi di AWS CloudTrail e Gestione dei costi CloudTrail del lago.

    Sono disponibili le seguenti opzioni:

    • Prezzo per la conservazione estendibile di un anno: consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l'archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a un pay-as-you-go prezzo. Questa è l'opzione predefinita.

      • Periodo di conservazione predefinito: 366 giorni

      • Periodo di conservazione massimo: 3.653 giorni

    • Prezzo per la conservazione di sette anni: consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.

      • Periodo di conservazione predefinito: 2.557 giorni

      • Periodo di conservazione massimo: 2.557 giorni

  6. Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione Prezzo per la conservazione estendibile di un anno o tra 7 e 2.557 giorni (circa sette anni) per l'opzione Prezzo per la conservazione di sette anni.

    CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo eventTime di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando eventTime sono più vecchi di 90 giorni.

    Nota

    Se stai copiando eventi di trail in questo event data store, non CloudTrail copierà un evento se eventTime è più vecchio del periodo di conservazione specificato. Per determinare il periodo di conservazione appropriato, prendi la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni in cui desideri conservare gli eventi nell'archivio dati degli eventi (periodo di conservazione = oldest-event-in-days +number-days-to-retain). Ad esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.

  7. (Facoltativo) Per abilitare l'utilizzo della crittografia AWS Key Management Service, scegli Usa la mia AWS KMS key. Scegli Nuovo per AWS KMS key crearne uno per te, oppure scegli Esistente per usare una KMS chiave esistente. In Inserisci KMS alias, specifica un alias nel formato. alias/ MyAliasName L'utilizzo della propria KMS chiave richiede la modifica della politica relativa alle KMS chiavi per consentire la crittografia e la decrittografia dell'archivio dati degli eventi. Per ulteriori informazioni, vedere. Configurare le politiche AWS KMS chiave per CloudTrail CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service .

    L'utilizzo di una KMS chiave propria comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un Event Data Store a una KMS chiave, la KMS chiave non può essere rimossa o modificata.

    Nota

    Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una KMS chiave esistente per l'account di gestione.

  8. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli Abilita in Federazione delle query di Data Lake. La federazione consente di visualizzare i metadati associati all'archivio dati degli eventi nel Catalogo AWS Glue dati ed eseguire SQL query sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta Federare un datastore di eventi.

    Per abilitare la federazione delle query di Lake, scegli Abilita, quindi esegui queste operazioni:

    1. Scegli se vuoi creare un nuovo ruolo o utilizzare un ruolo esistenteIAM. AWS Lake Formationutilizza questo ruolo per gestire le autorizzazioni per l'archivio dati degli eventi federati. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le autorizzazioni minime richieste.

    2. Se crei un nuovo ruolo, inserisci un nome per identificarlo.

    3. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.

  9. (Facoltativo) Scegli Abilita politica delle risorse per aggiungere una politica basata sulle risorse all'archivio dati degli eventi. Le politiche basate sulle risorse consentono di controllare quali responsabili possono eseguire azioni sul data store degli eventi. Ad esempio, è possibile aggiungere una politica basata sulle risorse che consenta agli utenti root di altri account di interrogare questo archivio dati di eventi e visualizzare i risultati delle query. Per esempi di policy, consulta Esempi di policy basate su risorse per archivi di dati di eventi.

    Una politica basata sulle risorse include una o più istruzioni. Ogni dichiarazione della policy definisce i principali a cui è consentito o negato l'accesso all'Event Data Store e le azioni che i principali possono eseguire sulla risorsa Event Data Store.

    Le seguenti azioni sono supportate nelle politiche basate sulle risorse per gli archivi di dati di eventi:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    Per gli archivi dati degli eventi organizzativi, CloudTrail crea una politica predefinita basata sulle risorse che elenca le azioni che gli account amministratore delegato sono autorizzati a eseguire sugli archivi dati degli eventi organizzativi. Le autorizzazioni contenute in questa politica derivano dalle autorizzazioni di amministratore delegato in. AWS Organizations Questa politica viene aggiornata automaticamente in seguito alle modifiche all'archivio dati degli eventi dell'organizzazione o all'organizzazione (ad esempio, un account amministratore CloudTrail delegato viene registrato o rimosso).

  10. (Facoltativo) Nella sezione Tags (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare IAM le politiche per autorizzare l'accesso a un archivio dati di eventi in base ai tag, consulta. Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag Per ulteriori informazioni su come utilizzare i tag in AWS, consulta Tagging AWS resources nella Tagging Resources User AWS Guide.

  11. Scegli Next (Successivo) per configurare il datastore di eventi.

  12. Nella pagina Scegli eventi, scegli AWS gli eventi, quindi scegli CloudTrail gli eventi.

  13. Per CloudTrail gli eventi, scegli almeno un tipo di evento. Per impostazione predefinita è selezionato il tipo Management events (Eventi di gestione). Puoi aggiungere eventi di gestione, eventi relativi ai dati ed eventi di attività di rete al tuo archivio dati di eventi.

  14. (Opzionale) Scegli Copia eventi di percorso se si desidera copiare gli eventi da un percorso esistente per eseguire query su eventi passati. Per copiare gli eventi del trail in un datastore di eventi dell'organizzazione, devi utilizzare l'account di gestione dell'organizzazione. L'account dell'amministratore delegato non può copiare gli eventi di trail in un datastore di eventi di un'organizzazione. Per ulteriori informazioni sulle considerazioni per la copia di eventi di percorso, consulta Considerazioni sulla copia di eventi di percorso.

  15. Per fare in modo che il proprio archivio di dati degli eventi raccolga eventi da tutti gli account in un'organizzazione AWS Organizations , selezionare Enable for all accounts in my organization (Abilita per tutti gli account nella mia organizzazione). Per creare un datastore di eventi che raccolga gli eventi per un'organizzazione, è necessario effettuare l'accesso all'account di gestione o all'account dell'amministratore delegato di un'organizzazione.

    Nota

    Per copiare gli eventi di percorso o abilitare gli eventi Insights, è necessario accedere all'account di gestione dell'organizzazione.

  16. Espandi Impostazioni aggiuntive per scegliere se desideri che il tuo Event Data Store raccolga gli eventi per tutti Regioni AWS o solo per quelli correnti Regione AWS e scegli se l'Event Data Store inserisce gli eventi. Per impostazione predefinita, un datastore di eventi raccoglie eventi da tutte le Regioni e inizia a importarli al momento della creazione.

    1. Seleziona Includi solo la Regione corrente nel mio datastore di eventi per includere solo gli eventi registrati nella Regione corrente. Se non si sceglie questa opzione, l'archivio di dati degli eventi include gli eventi provenienti da tutte le regioni.

    2. Deseleziona l'opzione Eventi di importazione se non desideri che il datastore di eventi inizi a importare gli eventi. Ad esempio, potresti voler deselezionare Eventi di importazione, se stai copiando gli eventi di percorso e non desideri che il datastore di eventi includa eventi futuri. Per impostazione predefinita, il datastore di eventi inizia l'importazione degli eventi al momento della creazione.

  17. Se il tuo datastore di eventi include eventi di gestione, puoi scegliere tra le seguenti opzioni. Per ulteriori informazioni sugli eventi di gestione, consulta Registrazione degli eventi di gestione.

    1. Scegli tra Raccolta di eventi semplice o Raccolta di eventi avanzata:

      • Scegli Simple event collection se desideri registrare tutti gli eventi, registrare solo gli eventi di lettura o registrare solo gli eventi di scrittura. Puoi anche scegliere di escludere AWS Key Management Service gli API eventi Amazon RDS Data.

      • Scegli Advanced event collection se desideri includere o escludere gli eventi di gestione in base ai valori dei campi avanzati di selezione degli eventi, inclusi i userIdentity.arn campi eventNameeventType,eventSource,sessionCredentialFromConsole, e.

    2. Se hai selezionato Raccolta di eventi semplice, scegli se registrare tutti gli eventi, registrare solo gli eventi di lettura o registrare solo gli eventi di scrittura. Puoi anche scegliere di escludere AWS KMS gli API eventi Amazon RDS Data.

    3. Se hai selezionato Raccolta avanzata di eventi, effettua le seguenti selezioni:

      1. In Log selector template, scegli un modello o Personalizzato per creare una configurazione personalizzata basata sui valori avanzati dei campi del selettore di eventi.

      2. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio «Registra gli eventi di gestione delle sessioni». AWS Management Console Il nome del selettore è elencato come Name nel selettore di eventi avanzato ed è visualizzabile se si espande la visualizzazione. JSON

      3. Se avete scelto Personalizzato, in Selettori di eventi avanzati create un'espressione basata sui valori dei campi del selettore di eventi avanzato.

        1. Scegli tra i seguenti campi.

          • readOnlyreadOnly può essere impostato su un valore uguale a o. true false Quando è impostato sufalse, l'Event Data Store registra gli eventi di gestione di sola scrittura. Gli eventi di gestione di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio gli eventi or. Get* Describe* Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia gli eventi di lettura che quelli di scrittura, non aggiungete un readOnly selettore.

          • eventNameeventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento di gestione, ad esempio CreateAccessPoint oGetAccessPoint.

          • userIdentity.arn— Includi o escludi eventi per azioni intraprese da IAM identità specifiche. Per ulteriori informazioni, vedere CloudTrail userIdentity element.

          • sessionCredentialFromConsole— Include o esclude eventi provenienti da una AWS Management Console sessione. Questo campo può essere impostato su uguale o non uguale con un valore di. true

          • eventSource— È possibile utilizzarlo per includere o escludere fonti di eventi specifiche. In genere eventSource è una forma abbreviata del nome del servizio senza spazi plus.amazonaws.com. Ad esempio, puoi impostare eventSource equals to per registrare solo gli ec2.amazonaws.com eventi di EC2 gestione di Amazon.

          • eventTypeeventTypeDa includere o escludere. Ad esempio, è possibile impostare questo campo su non uguale per escludere AwsServiceEventServizio AWS gli eventi.

        2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni.

          Per informazioni su come CloudTrail valuta più condizioni, vedere. How CloudTrail valuta più condizioni per un campo

          Nota

          Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.

        3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi.

      4. Facoltativamente, espandi la JSONvisualizzazione per visualizzare i selettori di eventi avanzati come un blocco. JSON

    4. Scegli Abilita l'acquisizione degli eventi di Insights per abilitare Insights. Per abilitare Insights, è necessario configurare un datastore di eventi di destinazione per raccogliere gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi.

      Se scegli di abilitare Insights, procedi come segue.

      1. Scegli l'archivio eventi di destinazione che registrerà gli eventi di Insights. Il datastore di eventi di destinazione raccoglierà gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi. Per informazioni su come creare il datastore di eventi di destinazione, consulta Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights.

      2. Scegli i tipi di Insights. Puoi scegliere la frequenza delle API chiamate, la frequenza di API errore o entrambe. È necessario registrare gli eventi di gestione della scrittura per registrare gli eventi di Insights per la frequenza delle API chiamate. È necessario registrare gli eventi di gestione di lettura o scrittura per registrare gli eventi di Insights per il tasso APIdi errore.

  18. Per includere gli eventi di dati nell'archivio di dati degli eventi, procedere come segue.

    1. Scegli un tipo di risorsa. Questa è la risorsa Servizio AWS e su cui vengono registrati gli eventi relativi ai dati.

    2. In Modello di selettore di log, scegliere un modello. È possibile scegliere di registrare tutti gli eventi di dati, gli eventi readOnly, gli eventi writeOnly oppure Personalizzato (Personalizzato) per creare un selettore di log personalizzato.

    3. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è elencato come Name nel selettore di eventi avanzato ed è visualizzabile se si espande la vista. JSON

    4. Se hai selezionato Personalizzato, in Selettori di eventi avanzati crea un'espressione basata sui valori dei campi avanzati del selettore di eventi.

      1. Scegli tra i seguenti campi.

        • readOnly- readOnly può essere impostato su un valore uguale a o. true false Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia eventi read che write, non aggiungere un selettore readOnly.

        • eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket, GetItem o. GetSnapshotBlock

        • eventSource— L'origine dell'evento da includere o escludere. Questo campo può utilizzare qualsiasi operatore.

        • eventType— Il tipo di evento da includere o escludere. Ad esempio, è possibile impostare questo campo su non uguale AwsServiceEvent a escludere. Servizio AWS eventi Per un elenco dei tipi di eventi, vedere eventTypein. CloudTrail contenuto del record

        • sessionCredentialFromConsole: include o esclude eventi provenienti da una AWS Management Console sessione. Questo campo può essere impostato su uguale o non uguale con un valore di. true

        • userIdentity.arn: include o esclude eventi per le azioni intraprese da identità specifiche. IAM Per ulteriori informazioni, vedete element. CloudTrail userIdentity

        • resources.ARN- È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente a quello ARN di una risorsa valida del tipo specificato nel modello come valore di. resources.type Per ulteriori informazioni, consulta Filtraggio degli eventi di dati per resources.ARN.

          Nota

          Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non sono disponibili. ARNs

        Per ulteriori informazioni sui ARN formati delle risorse relative agli eventi di dati, consulta Azioni, risorse e chiavi di condizione nella Guida per l'AWS Identity and Access Management utente.

      2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi relativi ai dati per due bucket S3 dagli eventi di dati registrati nel tuo archivio dati degli eventi, puoi impostare il campo su resources. ARN, imposta l'operatore for does not start con, quindi incolla un bucket S3 ARN per il quale non desideri registrare gli eventi.

        Per aggiungere il secondo bucket S3, scegli + Condizione, quindi ripeti l'istruzione precedente, incollando il modulo o ARN cercando un altro bucket.

        Per informazioni su come CloudTrail valuta più condizioni, consulta. How CloudTrail valuta più condizioni per un campo

        Nota

        Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.

      3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificate che un valore ARN in un selettore sia uguale a un valore, quindi specificate che il valore diverso ARN è uguale in un altro selettore.

    5. Facoltativamente, espandi la JSONvisualizzazione per visualizzare i selettori di eventi avanzati come un blocco. JSON

    6. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli Aggiungi tipo di evento dati. Ripeti i passaggi da 1 a questo passaggio per configurare i selettori di eventi avanzati per il tipo di risorsa.

  19. Per includere gli eventi relativi alle attività di rete nel tuo archivio dati degli eventi, procedi come segue.

    1. Da Origine eventi di attività di rete, scegli la fonte per gli eventi di attività di rete.

    2. In Modello di selettore di log, scegliere un modello. Puoi scegliere di registrare tutti gli eventi di attività di rete, registrare tutti gli eventi di accesso negato all'attività di rete o scegliere Personalizzato per creare un selettore di registro personalizzato per filtrare più campi, come eventName evpcEndpointId.

    3. (Facoltativo) Inserisci un nome per identificare il selettore. Il nome del selettore è elencato come Nome nel selettore di eventi avanzato ed è visualizzabile se si espande la vista. JSON

    4. In Advanced, i selettori di eventi creano espressioni scegliendo i valori per Field, Operator e Value. Se utilizzi un modello di log predefinito, puoi ignorare questa fase.

      1. Per escludere o includere gli eventi di attività di rete, puoi scegliere tra i seguenti campi nella console.

        • eventName— È possibile utilizzare qualsiasi operatore coneventName. Puoi usarlo per includere o escludere qualsiasi evento, ad esempioCreateKey.

        • errorCode— È possibile utilizzarlo per filtrare in base a un codice di errore. Attualmente, l'unico supportato errorCode èVpceAccessDenied.

        • vpcEndpointId— Identifica l'VPCendpoint attraversato dall'operazione. È possibile utilizzare qualsiasi operatore con. vpcEndpointId

      2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni.

      3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi.

    5. Per aggiungere un'altra fonte di eventi per la quale desideri registrare gli eventi di attività di rete, scegli Aggiungi selettore di eventi di attività di rete.

    6. Facoltativamente, espandi la JSONvisualizzazione per visualizzare i selettori di eventi avanzati come un blocco. JSON

  20. Per copiare gli eventi di trail nel datastore di eventi, esegui la seguente procedura.

    1. Scegliere il percorso che si vuole copiare. Per impostazione predefinita, copia CloudTrail solo CloudTrail gli eventi contenuti nel prefisso del bucket S3 e i CloudTrail prefissi all'interno del prefisso e non controlla i CloudTrail prefissi per altri servizi. AWS Se desideri copiare gli CloudTrail eventi contenuti in un altro prefisso, scegli Inserisci S3, quindi scegli Sfoglia S3 URI per cercare il prefisso. Se il bucket S3 di origine per il trail utilizza una KMS chiave per la crittografia dei dati, assicurati che la policy della chiave consenta di decrittografare i KMS dati. CloudTrail Se il bucket S3 di origine utilizza più KMS chiavi, devi aggiornare la policy di ciascuna chiave per consentire CloudTrail la decrittografia dei dati nel bucket. Per ulteriori informazioni sull'aggiornamento della policy chiave, consultaKMS. KMSpolitica chiave per la decrittografia dei dati nel bucket S3 di origine

    2. Scegli l'intervallo di tempo per copiare gli eventi. CloudTrail controlla il prefisso e il nome del file di registro per verificare che il nome contenga una data compresa tra la data di inizio e di fine scelte prima di tentare di copiare gli eventi del trail. Puoi scegliere un Intervallo relativo o un Intervallo assoluto. Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, scegliere un intervallo di tempo antecedente alla creazione dell'archivio dati degli eventi.

      Nota

      CloudTrail copia solo gli eventi di trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Ad esempio, se il periodo di conservazione di un Event Data Store è di 90 giorni, non CloudTrail copierà alcun evento di trail con una data eventTime più vecchia di 90 giorni.

      • Se scegli Intervallo relativo, puoi scegliere di copiare gli eventi registrati negli ultimi 6 mesi, 1 anno, 2 anni, 7 anni o un intervallo personalizzato. CloudTrail copia gli eventi registrati nel periodo di tempo scelto.

      • Se scegli l'intervallo assoluto, puoi scegliere una data di inizio e di fine specifica. CloudTrail copia gli eventi che si sono verificati tra le date di inizio e di fine scelte.

    3. Per Autorizzazioni, scegli tra le seguenti opzioni di IAM ruolo. Se scegli un IAM ruolo esistente, verifica che la politica del IAM ruolo fornisca le autorizzazioni necessarie. Per ulteriori informazioni sull'aggiornamento delle autorizzazioni dei IAM ruoli, consulta. IAMautorizzazioni per copiare gli eventi del trail

      • Scegli Crea un nuovo ruolo (consigliato) per creare un nuovo IAM ruolo. In Inserisci il nome del IAM ruolo, inserisci un nome per il ruolo. CloudTrail crea automaticamente le autorizzazioni necessarie per questo nuovo ruolo.

      • Scegli Usa un IAM ruolo personalizzato ARN per utilizzare un IAM ruolo personalizzato non elencato. Per Inserisci IAM ruolo ARN, inserisci il IAMARN.

      • Scegli un IAM ruolo esistente dall'elenco a discesa.

  21. Scegli Next (Successivo) per rivedere le scelte effettuate.

  22. Nella pagina Review and create (Rivedi e crea), esaminare le opzioni selezionate. Scegliere Edit (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere Create event data store (Crea archivio di dati degli eventi).

  23. Il nuovo datastore di eventi sarà presente nella tabella Datastore di eventi sulla pagina Datastore di eventi.

    Da questo momento in poi, il datastore di eventi catturerà gli eventi che corrispondono ai suoi selettori di eventi avanzati (se mantieni l'opzione Eventi di importazione selezionata). Gli eventi che si sono verificati prima della creazione dell'archivio di dati degli eventi non si trovano all'interno dell'archivio, a meno che tu non si abbia scelto di copiare gli eventi di trail esistenti.

Ora è possibile eseguire query sul nuovo datastore di eventi. La scheda Sample queries (Query di esempio) fornisce query di esempio per iniziare. Per ulteriori informazioni sulla creazione e la modifica di query, consulta Crea o modifica un'interrogazione con la console CloudTrail .

Puoi anche visualizzare le dashboard gestite o creare dashboard personalizzate per visualizzare le tendenze degli eventi. Per ulteriori informazioni sui pannelli di controllo di Lake, consulta CloudTrail Cruscotti Lake.