Crea un archivio dati di CloudTrail eventi per gli eventi con la console - AWS CloudTrail
Per creare un archivio dati di CloudTrail eventi per gli eventi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un archivio dati di CloudTrail eventi per gli eventi con la console

Gli archivi dati CloudTrail sugli eventi possono includere eventi di CloudTrail gestione, eventi di dati ed eventi di attività di rete. Puoi conservare i dati degli eventi in un datastore di eventi per un massimo di 3.653 giorni (circa 10 anni) se scegli l'opzione Prezzo per la conservazione estendibile di un anno o di 2.557 giorni (circa 7 anni) se scegli l'opzione Prezzo per la conservazione di sette anni.

Nota

Gli eventi relativi alle attività di rete sono disponibili in anteprima CloudTrail e sono soggetti a modifiche.

CloudTrail I Lake Event Data Store sono a pagamento. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi AWS CloudTrail Prezzi e. Gestione dei costi CloudTrail del lago

Per creare un archivio dati di CloudTrail eventi per gli eventi

Utilizzare questa procedura per creare un archivio dati di eventi che registri gli eventi di CloudTrail gestione, gli eventi relativi ai dati o gli eventi di attività di rete.

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.

  3. Scegliere Create event data store (Crea archivio di dati degli eventi).

  4. Nella pagina Configure event data store (Configura archivio di dati degli eventi), in General details (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.

  5. Scegli l'opzione di prezzo che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta Prezzi di AWS CloudTrail e Gestione dei costi CloudTrail del lago.

    Sono disponibili le seguenti opzioni:

    • Prezzo per la conservazione estendibile di un anno: consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l'archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a un pay-as-you-go prezzo. Questa è l'opzione predefinita.

      • Periodo di conservazione predefinito: 366 giorni

      • Periodo di conservazione massimo: 3.653 giorni

    • Prezzo per la conservazione di sette anni: consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.

      • Periodo di conservazione predefinito: 2.557 giorni

      • Periodo di conservazione massimo: 2.557 giorni

  6. Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione Prezzo per la conservazione estendibile di un anno o tra 7 e 2.557 giorni (circa sette anni) per l'opzione Prezzo per la conservazione di sette anni.

    CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo eventTime di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando eventTime sono più vecchi di 90 giorni.

    Nota

    Se stai copiando eventi di trail in questo event data store, non CloudTrail copierà un evento se eventTime è più vecchio del periodo di conservazione specificato. Per determinare il periodo di conservazione appropriato, prendi la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni in cui desideri conservare gli eventi nell'archivio dati degli eventi (periodo di conservazione = oldest-event-in-days + number-days-to-retain). Ad esempio, se l'evento più vecchio che stai copiando risale a 45 giorni fa e desideri conservare gli eventi nell'archivio dati degli eventi per altri 45 giorni, imposterai il periodo di conservazione su 90 giorni.

  7. (Facoltativo) Per abilitare l'utilizzo della crittografia AWS Key Management Service, scegli Usa la mia. AWS KMS key Scegli Nuovo per AWS KMS key crearne uno per te, oppure scegli Esistente per usare una KMS chiave esistente. In Inserisci KMS alias, specifica un alias, nel formato alias/MyAliasName. L'utilizzo della propria KMS chiave richiede la modifica della politica KMS delle chiavi per consentire la crittografia e la decrittografia dei CloudTrail log. Per ulteriori informazioni, vedere. Configurare le politiche AWS KMS chiave per CloudTrail CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service .

    L'utilizzo di una KMS chiave propria comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un Event Data Store a una KMS chiave, la KMS chiave non può essere rimossa o modificata.

    Nota

    Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una KMS chiave esistente per l'account di gestione.

  8. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli Abilita in Federazione delle query di Data Lake. La federazione consente di visualizzare i metadati associati all'archivio dati degli eventi nel Catalogo AWS Glue dati ed eseguire SQL query sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta Federare un datastore di eventi.

    Per abilitare la federazione delle query di Lake, scegli Abilita, quindi esegui queste operazioni:

    1. Scegli se vuoi creare un nuovo ruolo o utilizzare un ruolo esistenteIAM. AWS Lake Formationutilizza questo ruolo per gestire le autorizzazioni per l'archivio dati degli eventi federati. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le autorizzazioni minime richieste.

    2. Se crei un nuovo ruolo, inserisci un nome per identificarlo.

    3. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.

  9. (Facoltativo) Nella sezione Tags (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare IAM le policy per autorizzare l'accesso a un archivio dati di eventi basato sui tag, consulta. Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag Per ulteriori informazioni su come utilizzare i tag in AWS, consulta Tagging AWS resources nella Tagging Resources User AWS Guide.

  10. Scegli Next (Successivo) per configurare il datastore di eventi.

  11. Nella pagina Scegli eventi, scegli AWS gli eventi, quindi scegli CloudTrail gli eventi.

  12. Per CloudTrail gli eventi, scegli almeno un tipo di evento. Per impostazione predefinita è selezionato il tipo Management events (Eventi di gestione). Puoi aggiungere eventi di gestione, eventi relativi ai dati ed eventi di attività di rete al tuo archivio dati di eventi.

  13. (Opzionale) Scegli Copia eventi di percorso se si desidera copiare gli eventi da un percorso esistente per eseguire query su eventi passati. Per copiare gli eventi del trail in un datastore di eventi dell'organizzazione, devi utilizzare l'account di gestione dell'organizzazione. L'account dell'amministratore delegato non può copiare gli eventi di trail in un datastore di eventi di un'organizzazione. Per ulteriori informazioni sulle considerazioni per la copia di eventi di percorso, consulta Considerazioni sulla copia di eventi di percorso.

  14. Per fare in modo che il proprio archivio di dati degli eventi raccolga eventi da tutti gli account in un'organizzazione AWS Organizations , selezionare Enable for all accounts in my organization (Abilita per tutti gli account nella mia organizzazione). Per creare un datastore di eventi che raccolga gli eventi per un'organizzazione, è necessario effettuare l'accesso all'account di gestione o all'account dell'amministratore delegato di un'organizzazione.

    Nota

    Per copiare gli eventi di percorso o abilitare gli eventi Insights, è necessario accedere all'account di gestione dell'organizzazione.

  15. Espandi Impostazioni aggiuntive per scegliere se desideri che il tuo Event Data Store raccolga gli eventi per tutti Regioni AWS o solo per quelli correnti Regione AWS e scegli se l'Event Data Store inserisce gli eventi. Per impostazione predefinita, un datastore di eventi raccoglie eventi da tutte le Regioni e inizia a importarli al momento della creazione.

    1. Seleziona Includi solo la Regione corrente nel mio datastore di eventi per includere solo gli eventi registrati nella Regione corrente. Se non si sceglie questa opzione, l'archivio di dati degli eventi include gli eventi provenienti da tutte le regioni.

    2. Deseleziona l'opzione Eventi di importazione se non desideri che il datastore di eventi inizi a importare gli eventi. Ad esempio, potresti voler deselezionare Eventi di importazione, se stai copiando gli eventi di percorso e non desideri che il datastore di eventi includa eventi futuri. Per impostazione predefinita, il datastore di eventi inizia l'importazione degli eventi al momento della creazione.

  16. Se il tuo datastore di eventi include eventi di gestione, puoi scegliere tra le seguenti opzioni. Per ulteriori informazioni sugli eventi di gestione, consulta Registrazione degli eventi di gestione.

    1. Scegli se includere gli eventi Read, gli eventi Write o entrambi. È necessario specificare almeno un valore.

    2. Scegli se escludere AWS Key Management Service o meno API gli eventi Amazon RDS Data dal tuo event data store.

    3. Scegli se abilitare Insights. Per abilitare Insights, è necessario configurare un datastore di eventi di destinazione per raccogliere gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi.

      Se scegli di abilitare Insights, procedi come segue.

      1. In Abilita Insights, scegli il datastore di eventi di destinazione che registrerà gli eventi di Insights. Il datastore di eventi di destinazione raccoglierà gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi. Per informazioni su come creare il datastore di eventi di destinazione, consulta Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights.

      2. Scegli i tipi di Insights. Puoi scegliere la frequenza delle API chiamate, la frequenza di API errore o entrambe. È necessario registrare gli eventi di gestione della scrittura per registrare gli eventi di Insights per la frequenza delle API chiamate. È necessario registrare gli eventi di gestione di lettura o scrittura per registrare gli eventi di Insights per il tasso APIdi errore.

  17. Per includere gli eventi di dati nell'archivio di dati degli eventi, procedere come segue.

    1. Scegliere un tipo di evento di dati. Questa è la risorsa Servizio AWS e su cui vengono registrati gli eventi relativi ai dati. Per registrare gli eventi relativi ai dati per AWS Glue le tabelle create da Lake Formation, scegli Lake Formation per il tipo di dati.

    2. In Modello di selettore di log, scegliere un modello. È possibile scegliere di registrare tutti gli eventi di dati, gli eventi readOnly, gli eventi writeOnly oppure Personalizzato (Personalizzato) per creare un selettore di log personalizzato.

    3. (Facoltativo) In Nome selettore inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è elencato come Name nel selettore di eventi avanzato ed è visualizzabile se espandi la vista. JSON

    4. In Advanced event selectors (Selettori di eventi avanzati), crea un'espressione per le risorse specifiche sulle quali desideri registrare gli eventi di dati. Se utilizzi un modello di log predefinito, puoi ignorare questa fase.

      1. Scegli tra i seguenti campi.

        • readOnly- readOnly può essere impostato su un valore uguale a o. true false Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi Get* o Describe*. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi Put*, Delete* oppure Write*. Per registrare sia eventi read che write, non aggiungere un selettore readOnly.

        • eventName: eventName può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempioPutBucket, GetItem o. GetSnapshotBlock

        • resources.ARN- È possibile utilizzare qualsiasi operatore conresources.ARN, ma se si utilizza uguale o diverso, il valore deve corrispondere esattamente a quello ARN di una risorsa valida del tipo specificato nel modello come valore. resources.type

          La tabella seguente mostra il ARN formato valido per ciascuno di essi. resources.type

          Nota

          Non è possibile utilizzare il resources.ARN campo per filtrare i tipi di risorse che non sono disponibiliARNs.

          resources.type risorse. ARN
          AWS::DynamoDB::Table1 
          arn:partition:dynamodb:region:account_ID:table/table_name
          AWS::Lambda::Function 
          arn:partition:lambda:region:account_ID:function:function_name

          AWS::S3::Object2

          		 
          arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
          AWS::AppConfig::Configuration 
          arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
          AWS::B2BI::Transformer 
          arn:partition:b2bi:region:account_ID:transformer/transformer_ID
          AWS::Bedrock::AgentAlias 
          arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
          AWS::Bedrock::FlowAlias 
          arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
          AWS::Bedrock::Guardrail 
          arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
          AWS::Bedrock::KnowledgeBase 
          arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
          AWS::Bedrock::Model

          ARNDeve essere in uno dei seguenti formati:

          • arn:partition:bedrock:region::foundation-model/resource_ID

          • arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID

          • arn:partition:bedrock:region:account_ID:custom-model/resource_ID
          AWS::Cassandra::Table 
          arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
          AWS::CloudFront::KeyValueStore 
          arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
          AWS::CloudTrail::Channel 
          arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
          AWS::CodeWhisperer::Customization 
          arn:partition:codewhisperer:region:account_ID:customization/customization_ID
          AWS::CodeWhisperer::Profile 
          arn:partition:codewhisperer:region:account_ID:profile/profile_ID
          AWS::Cognito::IdentityPool 
          arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
          AWS::DataExchange::Asset 
          arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
          AWS::Deadline::Fleet 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
          AWS::Deadline::Job 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
          AWS::Deadline::Queue 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
          AWS::Deadline::Worker 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
          AWS::DynamoDB::Stream 
          arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
          AWS::EC2::Snapshot 
          arn:partition:ec2:region::snapshot/snapshot_ID
          AWS::EMRWAL::Workspace 
          arn:partition:emrwal:region:account_ID:workspace/workspace_name
          AWS::FinSpace::Environment 
          arn:partition:finspace:region:account_ID:environment/environment_ID
          AWS::Glue::Table 
          arn:partition:glue:region:account_ID:table/database_name/table_name
          AWS::GreengrassV2::ComponentVersion 
          arn:partition:greengrass:region:account_ID:components/component_name
          AWS::GreengrassV2::Deployment 
          arn:partition:greengrass:region:account_ID:deployments/deployment_ID
          AWS::GuardDuty::Detector 
          arn:partition:guardduty:region:account_ID:detector/detector_ID
          AWS::IoT::Certificate 
          arn:partition:iot:region:account_ID:cert/certificate_ID
          AWS::IoT::Thing 
          arn:partition:iot:region:account_ID:thing/thing_ID
          AWS::IoTSiteWise::Asset 
          arn:partition:iotsitewise:region:account_ID:asset/asset_ID
          AWS::IoTSiteWise::TimeSeries 
          arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
          AWS::IoTTwinMaker::Entity 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
          AWS::IoTTwinMaker::Workspace 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
          AWS::KendraRanking::ExecutionPlan 
          arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
          AWS::Kinesis::Stream 
          arn:partition:kinesis:region:account_ID:stream/stream_name
          AWS::Kinesis::StreamConsumer 
          arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
          AWS::KinesisVideo::Stream 
          arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
          AWS::MachineLearning::MlModel 
          arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
          AWS::ManagedBlockchain::Network 
          arn:partition:managedblockchain:::networks/network_name
          AWS::ManagedBlockchain::Node 
          arn:partition:managedblockchain:region:account_ID:nodes/node_ID
          AWS::MedicalImaging::Datastore 
          arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
          AWS::NeptuneGraph::Graph 
          arn:partition:neptune-graph:region:account_ID:graph/graph_ID
          AWS::One::UKey 
          arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
          AWS::One::User 
          arn:partition:one:region:account_ID:user/user_ID
          AWS::PaymentCryptography::Alias 
          arn:partition:payment-cryptography:region:account_ID:alias/alias
          AWS::PaymentCryptography::Key 
          arn:partition:payment-cryptography:region:account_ID:key/key_ID
          AWS::PCAConnectorAD::Connector 
          arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
          AWS::PCAConnectorSCEP::Connector 
          arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
          AWS::QApps:QApp 
          arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
          AWS::QBusiness::Application 
          arn:partition:qbusiness:region:account_ID:application/application_ID
          AWS::QBusiness::DataSource 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
          AWS::QBusiness::Index 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
          AWS::QBusiness::WebExperience 
          arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
          AWS::RDS::DBCluster 
          arn:partition:rds:region:account_ID:cluster/cluster_name
          AWS::RUM::AppMonitor 
          arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

          AWS::S3::AccessPoint3

          		 
          arn:partition:s3:region:account_ID:accesspoint/access_point_name

          AWS::S3Express::Object

          		 
          arn:partition:s3express:region:account_ID:bucket/bucket_name
          AWS::S3ObjectLambda::AccessPoint 
          arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
          AWS::S3Outposts::Object 
          arn:partition:s3-outposts:region:account_ID:object_path
          AWS::SageMaker::Endpoint 
          arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
          AWS::SageMaker::ExperimentTrialComponent 
          arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
          AWS::SageMaker::FeatureGroup 
          arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
          AWS::SCN::Instance 
          arn:partition:scn:region:account_ID:instance/instance_ID
          AWS::ServiceDiscovery::Namespace 
          arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
          AWS::ServiceDiscovery::Service 
          arn:partition:servicediscovery:region:account_ID:service/service_ID
          AWS::SNS::PlatformEndpoint 
          arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
          AWS::SNS::Topic 
          arn:partition:sns:region:account_ID:topic_name
          AWS::SocialMessaging::PhoneNumberId

          arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
          AWS::SQS::Queue 
          arn:partition:sqs:region:account_ID:queue_name
          AWS::SSM::ManagedNode

          ARNDeve essere in uno dei seguenti formati:

          • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

          • arn:partition:ec2:region:account_ID:instance/instance_ID
          AWS::SSMMessages::ControlChannel 
          arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
          AWS::StepFunctions::StateMachine

          ARNDeve essere in uno dei seguenti formati:

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
          AWS::SWF::Domain 
          arn:partition:swf:region:account_ID:/domain/domain_name
          AWS::ThinClient::Device 
          arn:partition:thinclient:region:account_ID:device/device_ID
          AWS::ThinClient::Environment 
          arn:partition:thinclient:region:account_ID:environment/environment_ID
          AWS::Timestream::Database 
          arn:partition:timestream:region:account_ID:database/database_name
          AWS::Timestream::Table 
          arn:partition:timestream:region:account_ID:database/database_name/table/table_name
          AWS::VerifiedPermissions::PolicyStore 
          arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

          1 Per le tabelle con flussi abilitati, il campo resources nell'evento di dati contiene sia AWS::DynamoDB::Stream che AWS::DynamoDB::Table. Se specifichi AWS::DynamoDB::Table come resources.type, per impostazione predefinita verranno registrati sia gli eventi della tabella DynamoDB che quelli dei flussi DynamoDB. Per escludere gli eventi di streaming, aggiungi un filtro sul eventName campo.

          2 Per registrare tutti gli eventi relativi ai dati per tutti gli oggetti in uno specifico bucket S3, usa l'StartsWithoperatore e includi solo il bucket ARN come valore corrispondente. La barra finale è intenzionale; non escluderla.

          3 Per registrare gli eventi su tutti gli oggetti in un punto di accesso S3, ti consigliamo di utilizzare solo il punto di accessoARN, di non includere il percorso dell'oggetto e di utilizzare gli operatori or. StartsWith NotStartsWith

        Per ulteriori informazioni sui ARN formati delle risorse relative agli eventi di dati, consulta Azioni, risorse e chiavi di condizione nella Guida per l'AWS Identity and Access Management utente.

      2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi relativi ai dati per due bucket S3 dagli eventi di dati registrati nel tuo archivio dati degli eventi, puoi impostare il campo su resources. ARN, imposta l'operatore for does not start con, quindi incolla in un bucket S3 oppure cerca i bucket ARN S3 per i quali non desideri registrare gli eventi.

        Per aggiungere il secondo bucket S3, scegli + Condizione, quindi ripeti l'istruzione precedente, incollando il modulo o cercando un altro bucket. ARN

        Per informazioni su come CloudTrail valuta più condizioni, consulta. How CloudTrail valuta più condizioni per un campo

        Nota

        Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come eventName. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.

      3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificate che un valore ARN in un selettore sia uguale a un valore, quindi specificate che ARN non è uguale allo stesso valore in un altro selettore.

    5. Facoltativamente, espandi la JSONvisualizzazione per visualizzare i selettori di eventi avanzati come un blocco. JSON

    6. Per aggiungere un altro tipo di dati su cui registrare gli eventi di dati, scegli Add data event type (Aggiungi tipo di evento di dati). Ripeti i passaggi da 1 a questo passaggio per configurare i selettori di eventi avanzati per il tipo di evento di dati.

  18. Per includere gli eventi di attività di rete nel tuo archivio dati degli eventi, procedi come segue.

    1. Da Origine eventi di attività di rete, scegli la fonte per gli eventi di attività di rete.

    2. In Modello di selettore di log, scegliere un modello. Puoi scegliere di registrare tutti gli eventi di attività di rete, registrare tutti gli eventi di accesso negato all'attività di rete o scegliere Personalizzato per creare un selettore di registro personalizzato per filtrare più campi, come eventName evpcEndpointId.

    3. (Facoltativo) Inserisci un nome per identificare il selettore. Il nome del selettore è elencato come Nome nel selettore di eventi avanzato ed è visualizzabile se si espande la vista. JSON

    4. In Advanced, i selettori di eventi creano espressioni scegliendo i valori per Field, Operator e Value. Se utilizzi un modello di log predefinito, puoi ignorare questa fase.

      1. Per escludere o includere gli eventi di attività di rete, puoi scegliere tra i seguenti campi nella console.

        • eventName— È possibile utilizzare qualsiasi operatore coneventName. Puoi usarlo per includere o escludere qualsiasi evento, ad esempioCreateKey.

        • errorCode— È possibile utilizzarlo per filtrare in base a un codice di errore. Attualmente, l'unico supportato errorCode èVpceAccessDenied.

        • vpcEndpointId— Identifica l'VPCendpoint attraversato dall'operazione. È possibile utilizzare qualsiasi operatore con. vpcEndpointId

      2. Per ogni campo, scegliere + Condizioni per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni.

      3. Scegli + Field (+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi.

    5. Per aggiungere un'altra fonte di eventi per la quale desideri registrare gli eventi di attività di rete, scegli Aggiungi selettore di eventi di attività di rete.

    6. Facoltativamente, espandi la JSONvisualizzazione per visualizzare i selettori di eventi avanzati come un blocco. JSON

  19. Per copiare gli eventi di trail nel datastore di eventi, esegui la seguente procedura.

    1. Scegliere il percorso che si vuole copiare. Per impostazione predefinita, copia CloudTrail solo CloudTrail gli eventi contenuti nel prefisso del bucket S3 e i CloudTrail prefissi all'interno del prefisso e non controlla i CloudTrail prefissi per altri servizi. AWS Se desideri copiare gli CloudTrail eventi contenuti in un altro prefisso, scegli Inserisci S3, quindi scegli Sfoglia S3 URI per cercare il prefisso. Se il bucket S3 di origine per il percorso utilizza una KMS chiave per la crittografia dei dati, assicurati che la politica della chiave consenta di decrittografare i KMS dati. CloudTrail Se il bucket S3 di origine utilizza più KMS chiavi, devi aggiornare la policy di ciascuna chiave per consentire CloudTrail la decrittografia dei dati nel bucket. Per ulteriori informazioni sull'aggiornamento della policy chiave, consultaKMS. KMSpolitica chiave per la decrittografia dei dati nel bucket S3 di origine

    2. Scegliete l'intervallo di tempo per copiare gli eventi. CloudTrail controlla il prefisso e il nome del file di registro per verificare che il nome contenga una data compresa tra la data di inizio e di fine scelte prima di tentare di copiare gli eventi del trail. Puoi scegliere un Intervallo relativo o un Intervallo assoluto. Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, scegliere un intervallo di tempo antecedente alla creazione dell'archivio dati degli eventi.

      Nota

      CloudTrail copia solo gli eventi di trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Ad esempio, se il periodo di conservazione di un Event Data Store è di 90 giorni, non CloudTrail copierà alcun evento di trail con una data eventTime più vecchia di 90 giorni.

      • Se scegli Intervallo relativo, puoi scegliere di copiare gli eventi registrati negli ultimi 6 mesi, 1 anno, 2 anni, 7 anni o un intervallo personalizzato. CloudTrail copia gli eventi registrati nel periodo di tempo scelto.

      • Se scegli l'intervallo assoluto, puoi scegliere una data di inizio e di fine specifica. CloudTrail copia gli eventi che si sono verificati tra le date di inizio e di fine scelte.

    3. Per Autorizzazioni, scegli tra le seguenti opzioni di IAM ruolo. Se scegli un IAM ruolo esistente, verifica che la politica del IAM ruolo fornisca le autorizzazioni necessarie. Per ulteriori informazioni sull'aggiornamento delle autorizzazioni dei IAM ruoli, consulta. IAMautorizzazioni per copiare gli eventi del trail

      • Scegli Crea un nuovo ruolo (consigliato) per creare un nuovo IAM ruolo. In Inserisci il nome del IAM ruolo, inserisci un nome per il ruolo. CloudTrail crea automaticamente le autorizzazioni necessarie per questo nuovo ruolo.

      • Scegli Usa un IAM ruolo personalizzato ARN per utilizzare un IAM ruolo personalizzato non elencato. Per Inserisci IAM ruolo ARN, inserisci il IAMARN.

      • Scegli un IAM ruolo esistente dall'elenco a discesa.

  20. Scegli Next (Successivo) per rivedere le scelte effettuate.

  21. Nella pagina Review and create (Rivedi e crea), esaminare le opzioni selezionate. Scegliere Edit (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere Create event data store (Crea archivio di dati degli eventi).

  22. Il nuovo datastore di eventi sarà presente nella tabella Datastore di eventi sulla pagina Datastore di eventi.

    Da questo momento in poi, il datastore di eventi catturerà gli eventi che corrispondono ai suoi selettori di eventi avanzati (se mantieni l'opzione Eventi di importazione selezionata). Gli eventi che si sono verificati prima della creazione dell'archivio di dati degli eventi non si trovano all'interno dell'archivio, a meno che tu non si abbia scelto di copiare gli eventi di trail esistenti.

Ora è possibile eseguire query sul nuovo datastore di eventi. La scheda Sample queries (Query di esempio) fornisce query di esempio per iniziare. Per ulteriori informazioni sulla creazione e la modifica di query, consulta Crea o modifica un'interrogazione con la console CloudTrail .

Puoi anche visualizzare la dashboard di CloudTrail Lake per visualizzare la gestione e gli eventi relativi ai dati S3 nel tuo event data store. Per ulteriori informazioni sui pannelli di controllo di Lake, consulta Visualizza i dashboard di CloudTrail Lake con la console CloudTrail .