Visualizzazione degli eventi gestionali recenti con il AWS CLI - AWS CloudTrail
PrerequisitiVisualizzazione delle informazioni di aiuto della riga di comandoRicerca di eventiSpecifica del numero di eventi da restituireRicerca di eventi in base a un intervallo di tempoRicerca di eventi in base a un attributoSpecifica della pagina di risultati successivaOttenere JSON input da un fileCampi di output della ricerca

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizzazione degli eventi gestionali recenti con il AWS CLI

È possibile cercare gli eventi di CloudTrail gestione degli ultimi 90 giorni per quelli correnti Regione AWS utilizzando il aws cloudtrail lookup-events comando. Il aws cloudtrail lookup-events comando mostra gli eventi nel Regione AWS luogo in cui si sono verificati.

La ricerca supporta i seguenti attributi per gli eventi di gestione:

  • AWS chiave di accesso

  • ID evento

  • Nome evento

  • Origine eventi

  • Sola lettura

  • Nome risorsa

  • Tipo di risorsa

  • Nome utente

Tutti gli attributi sono facoltativi.

Il comando lookup-events include le seguenti opzioni:

  • --max-items <integer> — Il numero totale di elementi da restituire nell'output del comando. Se il numero totale di elementi disponibili supera il valore specificato, viene fornito un NextToken nell'output del comando. Per riprendere la paginazione, specifica il valore di NextToken nell'argomento starting-token di un comando successivo. Non utilizzare l'elemento di risposta NextToken direttamente al di fuori della AWS CLI.

  • --start-time <timestamp> — specifica che vengono restituiti solo gli eventi che si verificano dopo o all'ora specificata. Se l'ora di inizio specificata è successiva all'ora di fine specificata, viene restituito un errore.

  • --lookup-attributes <integer> — Contiene un elenco di attributi di ricerca. Al momento, l'elenco può contenere solo un elemento.

  • --generate-cli-skeleton <string> — Stampa uno JSON scheletro sullo standard output senza inviare una API richiesta. Se fornito senza alcun valore o senza il valore immesso, stampa un input di esempio JSON che può essere usato come argomento per--cli-input-json. Allo stesso modo, se fornito yaml-input, stamperà un input di esempio YAML che può essere usato con. --cli-input-yaml Se fornito con il valore output, convalida gli input del comando e restituisce un output di esempio per quel comando. JSON L'JSONossatura generata non è stabile tra le versioni di AWS CLI e non vi sono garanzie di retrocompatibilità nell'ossatura generata. JSON

  • --cli-input-json <string> — Legge gli argomenti dalla stringa fornita. JSON La JSON stringa segue il formato fornito dal --generate-cli-skeleton parametro. Se vengono forniti altri argomenti nella riga di comando, tali valori sostituiranno i valori JSON forniti. Non è possibile passare valori binari arbitrari utilizzando un valore JSON fornito, poiché la stringa verrà presa alla lettera. Questo non può essere specificato insieme al parametro --cli-input-yaml.

Per informazioni generali sull'uso dell'interfaccia a riga di AWS comando, consulta la Guida per l'AWS Command Line Interface utente.

Prerequisiti

  • Per eseguire AWS CLI i comandi, è necessario installare AWS CLI. Per informazioni, consulta la Guida introduttiva a AWS CLI.

  • Assicurati che la tua AWS CLI versione sia successiva alla 1.6.6. Per verificare la CLI versione, esegui aws --version sulla riga di comando.

  • Per impostare l'account e Regione AWS il formato di output predefinito per una AWS CLI sessione, usa il aws configure comando. Per ulteriori informazioni, vedere Configurazione dell'interfaccia a riga di AWS comando.

Nota

I CloudTrail AWS CLI comandi fanno distinzione tra maiuscole e minuscole.

Visualizzazione delle informazioni di aiuto della riga di comando

Per visualizzare le informazioni di aiuto della riga di comando per lookup-events, digita il comando seguente:

aws cloudtrail lookup-events help

Ricerca di eventi

Importante

La frequenza delle richieste di ricerca è limitata a due al secondo, per account, per Regione. Se questo limite viene superato, si verifica un errore di limitazione.

Per visualizzare i dieci eventi più recenti, digita il comando seguente:

aws cloudtrail lookup-events --max-items 10

Un evento restituito è simile al seguente esempio fittizio, che è stato formattato per agevolarne la lettura:

{
    "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=", 
    "Events": [
        {
            "EventId": "0ebbaee4-6e67-431d-8225-ba0d81df5972", 
            "Username": "root", 
            "EventTime": 1424476529.0, 
            "CloudTrailEvent": "{
                  \"eventVersion\":\"1.02\",
                  \"userIdentity\":{
                        \"type\":\"Root\",
                        \"principalId\":\"111122223333\",
                        \"arn\":\"arn:aws:iam::111122223333:root\",
                        \"accountId\":\"111122223333\"},
                  \"eventTime\":\"2015-02-20T23:55:29Z\",
                  \"eventSource\":\"signin.amazonaws.com\",
                  \"eventName\":\"ConsoleLogin\",
                  \"awsRegion\":\"us-east-2\",
                  \"sourceIPAddress\":\"203.0.113.4\",
                  \"userAgent\":\"Mozilla/5.0\",
                  \"requestParameters\":null,
                  \"responseElements\":{\"ConsoleLogin\":\"Success\"},
                  \"additionalEventData\":{
                         \"MobileVersion\":\"No\",
                         \"LoginTo\":\"https://console.aws.amazon.com/console/home",
                         \"MFAUsed\":\"No\"},
                  \"eventID\":\"0ebbaee4-6e67-431d-8225-ba0d81df5972\",
                  \"eventType\":\"AwsApiCall\",
                  \"recipientAccountId\":\"111122223333\"}", 
            "EventName": "ConsoleLogin", 
            "Resources": []
        }
    ]
}

Per una spiegazione dei campi correlati alla ricerca nell'output, vedere la sezione Campi di output della ricerca più avanti in questo documento. Per una spiegazione dei campi dell' CloudTrail evento, vedere. CloudTrail contenuto del record

Specifica del numero di eventi da restituire

Per specificare il numero di eventi da restituire, digita il comando seguente:

aws cloudtrail lookup-events --max-items <integer>

I valori possibili sono da 1 a 50. L'esempio seguente restituisce un evento.

aws cloudtrail lookup-events --max-items 1

Ricerca di eventi in base a un intervallo di tempo

Gli eventi negli ultimi 90 giorni sono disponibili per la ricerca. Per specificare un intervallo di tempo, digita il comando seguente:

aws cloudtrail lookup-events --start-time <timestamp> --end-time <timestamp>

--start-time <timestamp>specifica, inUTC, che vengono restituiti solo gli eventi che si verificano dopo o all'ora specificata. Se l'ora di inizio specificata è successiva all'ora di fine specificata, viene restituito un errore.

--end-time <timestamp>specifica, inUTC, che vengono restituiti solo gli eventi che si verificano prima o nell'ora specificata. Se l'ora di fine specificata è anteriore all'ora di inizio specificata, viene restituito un errore.

L'ora di inizio di default è la prima data in cui i dati sono disponibili negli ultimi 90 giorni. L'ora di fine di default è invece l'ora dell'evento che si è verificato più in vicinanza dell'ora corrente.

Tutti i timestamp sono visualizzati in. UTC

Ricerca di eventi in base a un attributo

Per filtrare in base a un attributo, digita il comando seguente:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>

Puoi specificare solo una coppia chiave/valore attributo per ogni comando lookup-events. Di seguito sono riportati i valori validi per AttributeKey. I nomi dei valori fanno distinzione tra lettere maiuscole e minuscole.

  • AccessKeyId

  • EventId

  • EventName

  • EventSource

  • ReadOnly

  • ResourceName

  • ResourceType

  • Username

La lunghezza massima per AttributeValue è di 2000 caratteri. I seguenti caratteri ('_', ' ', ',', '\\n') contano come due caratteri nel limite di 2000 caratteri.

Esempi di ricerca in base a un attributo

Il comando di esempio seguente restituisce gli eventi in cui il valore di AccessKeyId è AKIAIOSFODNN7EXAMPLE.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=AccessKeyId,AttributeValue=AKIAIOSFODNN7EXAMPLE

Il comando di esempio seguente restituisce l'evento per il valore specificato CloudTrailEventId.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventId,AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002

Il comando di esempio seguente restituisce gli eventi in cui il valore di EventName è RunInstances.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances

Il comando di esempio seguente restituisce gli eventi in cui il valore di EventSource è iam.amazonaws.com.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventSource,AttributeValue=iam.amazonaws.com

Il comando di esempio seguente restituisce gli eventi di scrittura. Esclude gli eventi di lettura, ad esempio GetBucketLocation e DescribeStream.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ReadOnly,AttributeValue=false

Il comando di esempio seguente restituisce gli eventi in cui il valore di ResourceName è CloudTrail_CloudWatchLogs_Role.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=CloudTrail_CloudWatchLogs_Role

Il comando di esempio seguente restituisce gli eventi in cui il valore di ResourceType è AWS::S3::Bucket.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::S3::Bucket

Il comando di esempio seguente restituisce gli eventi in cui il valore di Username è root.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root

Specifica della pagina di risultati successiva

Per visualizzare la pagina di risultati successiva mediante un comando lookup-events, digita il comando seguente:

aws cloudtrail lookup-events <same parameters as previous command> --next-token=<token>

dove il valore per <token> è preso dal primo campo dell'output del comando precedente.

Quando utilizzi --next-token in un comando, devi utilizzare gli stessi parametri usati nel comando precedente. Ad esempio, supponiamo che tu abbia eseguito il seguente configurazione:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root

Per visualizzare la pagina di risultati successiva, il comando successivo avrà il formato seguente:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root --next-token=kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=

Ottenere JSON input da un file

AWS CLI Per alcuni AWS servizi ha due parametri--cli-input-json, --generate-cli-skeleton che è possibile utilizzare per generare un JSON modello che è possibile modificare e utilizzare come input per il --cli-input-json parametro. Questa sezione descrive come utilizzare questi parametri con aws cloudtrail lookup-events. Per informazioni più generali, consultate AWS CLI scheletri e file di input.

Per cercare CloudTrail gli eventi ricevendo JSON input da un file

  1. Crea un modello di input da usare con lookup-events reindirizzando l'output di --generate-cli-skeleton in un file, come nell'esempio seguente.

    aws cloudtrail lookup-events --generate-cli-skeleton > LookupEvents.txt

    Il file modello generato (in questo caso, LookupEvents .txt) ha il seguente aspetto:

    
{
    "LookupAttributes": [
        {
            "AttributeKey": "",
            "AttributeValue": ""
        }
    ],
    "StartTime": null,
    "EndTime": null,
    "MaxResults": 0,
    "NextToken": ""
}

  2. Utilizzate un editor di testo per modificarlo in base alle esigenzeJSON. L'JSONinput deve contenere solo i valori specificati.

    Importante

    Tutti i valori vuoti o null devono essere rimossi dal modello prima di utilizzarlo.

    L'esempio seguente specifica un intervallo di tempo e il numero massimo di risultati da restituire.

    {
    "StartTime": "2023-11-01",
    "EndTime": "2023-12-12",
    "MaxResults": 10
}

  3. Per utilizzare il file modificato come input, utilizzate la sintassi --cli-input-json file://<filename>, come nell'esempio seguente:

    aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt
Nota

Puoi usare altri argomenti sulla stessa riga di comando come --cli-input-json.

Campi di output della ricerca

Eventi

Un elenco di eventi di ricerca in base all'attributo di ricerca e all'intervallo di tempo specificati. L'elenco di eventi è ordinato in base all'ora, con l'ultimo evento elencato per primo. Ogni voce contiene informazioni sulla richiesta di ricerca e include una rappresentazione in formato stringa dell' CloudTrail evento recuperato.

Le voci seguenti descrivono i campi in ogni evento di ricerca.

CloudTrailEvent

Una JSON stringa che contiene una rappresentazione in oggetto dell'evento restituito. Per informazioni su ciascuno degli elementi restituiti, consulta l'argomento relativo al contenuto del corpo dei record.

EventId

Una stringa che contiene GUID l'evento restituito.

EventName

Stringa contenente il nome dell'evento restituito.

EventSource

Il AWS servizio a cui è stata effettuata la richiesta.

EventTime

Data e ora, in formato UNIX orario, dell'evento.

Risorse

Elenco delle risorse a cui fa riferimento l'evento restituito. Ogni voce specifica un tipo e un nome di risorsa.

ResourceName

Stringa contenente il nome della risorsa a cui l'evento fa riferimento.

ResourceType

Stringa contenente il tipo di una risorsa a cui l'evento fa riferimento. Quando risulta impossibile determinare il tipo di risorsa, viene restituito un valore null.

Nome utente

Stringa contenente il nome utente dell'account per l'evento restituito.

NextToken

Stringa per visualizzare la pagina di risultati successiva generata da un precedente comando lookup-events. Per usare il token, i parametri devono essere uguali a quelli specificati nel comando originale. Se nell'output non è presente alcuna voce NextToken, significa che non sono presenti altri risultati da restituire.