Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione dei registri
CloudWatch Logs offre funzionalità avanzate di gestione dei log che consentono di organizzare, trasformare e analizzare i dati di registro in modo più efficace. Queste funzionalità includono la [centralizzazione dei dati tra account e regioni diverse, il [rilevamento automatico dei dati e la gestione degli schemi, la trasformazione dei log durante le acquisizioni](data-source-discovery-management.md)[e l'[analisi avanzata con](CloudWatchLogs-Facets.md) sfaccettature](CloudWatch-Logs-Transformation.md) per l'esplorazione interattiva](CloudWatchLogs_Centralization.md) dei log.
**Topics**
+ [Individuazione e gestione delle fonti di dati](data-source-discovery-management.md)
+ [Funzionalità abilitate dalle fonti di dati](features-enabled-by-data-sources.md)
+ [Supportato Servizi AWS per le fonti di dati](supported-aws-services-data-sources.md)
+ [Fonti di terze parti supportate per le fonti di dati](supported-third-party-sources-data-sources.md)
# Individuazione e gestione delle fonti di dati
CloudWatch Logs rileva e classifica automaticamente i dati di registro in base alla fonte e al tipo di dati, semplificando la comprensione e la gestione dei log su larga scala. Questa funzionalità consente l'individuazione dello schema per sorgenti AWS vendute come Amazon VPC Flow Logs e Route 53 CloudTrail, oltre a strumenti di sicurezza di terze parti.
La console di gestione dei log offre una visualizzazione di alto livello dei log organizzati per origine e tipo di dati, anziché solo per gruppi di log. Questa organizzazione ti aiuta a:
+ Visualizza i log classificati per AWS servizi, fonti di terze parti (come Okta o CrowdStrike) e fonti personalizzate
+ Comprendi automaticamente lo schema e la struttura dei tuoi dati di registro
+ Crea politiche di indicizzazione dei campi basate sui campi dello schema rilevati
+ Gestisci i log in modo più efficiente su diverse fonti di dati
+ Interroga i log con diverse fonti di dati
Quando [abiliti la registrazione CloudWatch dei log per i AWS servizi supportati](AWS-logs-and-resource-policy.md), CloudWatch Logs applica automaticamente lo schema appropriato ai tuoi log. Questa applicazione automatica dello schema aiuta a mantenere la coerenza e fornisce informazioni immediate sulla struttura dei log.
## Che cos'è CloudWatch Logs Data Sources?
CloudWatch Logs Data Sources è una funzionalità che offre un nuovo modo di organizzare e classificare i dati dei log in base alla fonte che li genera. Sebbene CloudWatch Logs utilizzi tradizionalmente gruppi di log per organizzare i log, Data Sources offre un ulteriore livello di organizzazione che raggruppa i log in base al servizio e al tipo di registro di origine.
### Come funzionano le fonti di dati
Le fonti di dati forniscono un'organizzazione dei log basata sui servizi e un'individuazione semplificata in tutta l'infrastruttura. AWS È possibile individuare facilmente i log di servizi specifici e filtrarli per tipo di registro senza dover conoscere i nomi o le strutture dei singoli gruppi di log.
Per le fonti di terze parti e, facoltativamente, per le fonti dei log delle applicazioni, Data Sources utilizza le CloudWatch pipeline per classificare i log. Quando configuri una pipeline per importare e trasformare i log, specifichi il nome e il tipo dell'origine dati. CloudWatch Logs classifica quindi automaticamente tutti i log elaborati dalla pipeline. Per ulteriori informazioni, consulta le [CloudWatch pipeline](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-pipelines.html) nella *Amazon CloudWatch User Guide*.
Le fonti di dati classificano i log utilizzando due identificatori chiave:
+ **Nome origine dati**: il AWS servizio, l'origine di terze parti o l'applicazione che genera i log (ad esempio, Route 53, Amazon VPC CloudTrail, Okta SSO o Falcon). CrowdStrike
+ **Tipo di origine dati: il tipo** specifico di log generato da quel servizio.
Uno schema definisce la struttura dei dati di registro, inclusi i campi presenti e l'organizzazione delle informazioni. Un'unica fonte di dati può produrre più tipi di log con schemi e scopi diversi. Ad esempio, l'origine AWS CloudTrail dati ha due tipi: eventi di gestione (che tengono traccia delle operazioni del piano di controllo come la creazione o l'eliminazione di risorse) ed eventi di dati (che tengono traccia delle operazioni del piano dati come l'accesso agli oggetti S3). Ogni tipo ha uno schema diverso perché acquisiscono diversi tipi di informazioni.
## Come iniziare
CloudWatch Logs classifica i log in fonti di dati in base alla loro origine. Il metodo dipende dal tipo di log con cui stai lavorando:
### Servizio AWS registri
I log di [Supported Servizi AWS](supported-aws-services-data-sources.md) vengono raggruppati automaticamente per origine dati senza che sia richiesta alcuna configurazione. CloudWatch Logs riconosce questi registri e applica il nome e il tipo di origine dati appropriati in base al servizio di origine.
### Log di terze parti
I log di terze parti richiedono pipeline per la categorizzazione delle fonti di dati. Quando configuri una pipeline per importare log da fonti di terze parti supportate come Microsoft Office 365, Okta o Palo Alto Networks CrowdStrike, specifichi il [nome e il tipo dell'origine dati](supported-third-party-sources-data-sources.md) nella configurazione della pipeline. CloudWatch Logs classifica automaticamente tutti i log che la pipeline elabora utilizzando tali identificatori.
Le pipeline possono facoltativamente trasformare i log di terze parti in formato Open Cybersecurity Schema Framework (OCSF) per l'analisi standardizzata degli eventi di sicurezza. Quando la trasformazione OCSF è abilitata, il nome e il tipo dell'origine dati vengono determinati automaticamente in base alla mappatura dello schema OCSF. Senza la trasformazione OCSF, è possibile specificare il nome e il tipo dell'origine dati nella configurazione della pipeline.
### Log di applicazioni
Per i registri delle applicazioni personalizzati, è possibile classificarli in base all'origine dati utilizzando uno di questi metodi:
+ **Tag del gruppo di log**: aggiungi tag ai tuoi gruppi di log utilizzando le chiavi `cw:datasource:name` e `cw:datasource:type` specificando rispettivamente il nome e il tipo dell'origine dati per tutti i log inseriti nel gruppo di log. I valori dei tag possono contenere fino a 64 caratteri e contenere solo lettere minuscole, numeri e caratteri di sottolineatura. Devono iniziare con una lettera o un numero e non possono contenere caratteri di sottolineatura doppi (\$1\$1).
+ **Configurazione della pipeline**: configura le informazioni sull'origine dei dati tramite pipeline di elaborazione dei log durante l'acquisizione dei log delle applicazioni.
**Nota**
I nomi delle fonti di dati non possono iniziare con «aws» o «amazon» per evitare conflitti con i log di servizio. AWS
## Campi di sistema
CloudWatch I registri aggiungono automaticamente tre campi di sistema ai registri classificati in base all'origine dati. Questi campi fungono da sfaccettature predefinite:
+ `@data_source_name`- Contiene il nome della fonte di dati o «Sconosciuto» se non è specificato
+ `@data_source_type`- Contiene il tipo di fonte dei dati o «Sconosciuto» se non è specificato
+ `@data_format`- Indica il formato dei dati di registro
Quando non è possibile determinare il nome o il tipo dell'origine dati, questi campi sono impostati su «Sconosciuto». Le fonti di dati con valori «Sconosciuti» sono ancora visibili nei facet e nella tabella delle fonti di dati in «Gestione dei log» in Console, e consentono di identificare i log non categorizzati e da quale gruppo di log provengono.
Il `@data_format` campo può contenere uno dei seguenti valori:
+ `Default`- Registri ingeriti senza modifiche.
+ `Custom`- Registri elaborati tramite processori di pipeline o registri inseriti in gruppi di log con tag di origine dati. name/type
+ `OCSF-`- Registri elaborati con processori OCSF (Open Cybersecurity Schema Framework) nelle pipeline.
+ `AWS-OTEL-LOG-V`- OpenTelemetry registri importati tramite l'endpoint OTLP. CloudWatch
+ `AWS-OTEL-TRACE-V`- OpenTelemetry tracce ingerite tramite l'endpoint OTLP. CloudWatch
Questi campi di sistema consentono di filtrare e interrogare i log in base alla fonte e al formato, semplificando l'utilizzo di log di origini e pipeline di elaborazione diverse.
## Accesso alle origini dati
### Console
Nella console CloudWatch Logs, utilizzi la scheda **Log Management per accedere** alle tue fonti di dati. CloudWatch Logs consolida automaticamente i dati di registro in base alle fonti e ai tipi di dati, scoprendo continuamente i nuovi dati acquisiti. Dall'elenco delle fonti di dati, puoi creare pipeline, definire indici e sfaccettature di campo.
### AWS CLI
Usa il seguente comando per elencare fonti di dati e tipi di log distinti nel tuo account:
```
aws logs list-aggregate-log-group-summaries --group-by DATA_SOURCE_NAME_AND_TYPE
```
## Relazione con i gruppi di log
Le fonti di dati integrano anziché sostituire i gruppi di log. I log continuano a essere archiviati in gruppi di log come in precedenza, ma ora vengono anche contrassegnati automaticamente con le informazioni sulla fonte dei dati. Questa doppia organizzazione ti consente di:
+ Utilizza i gruppi di log per politiche granulari di controllo e conservazione degli accessi
+ Utilizza fonti di dati per l'individuazione e l'analisi dei log basate sui servizi
+ Interroga i log utilizzando entrambi i metodi organizzativi, a seconda delle esigenze
Le fonti di dati semplificano l'utilizzo dei log su larga scala fornendo una visualizzazione incentrata sui servizi dei dati di registro in tutta l'infrastruttura. AWS
# Funzionalità abilitate dalle fonti di dati
Le fonti di dati consentono funzionalità avanzate di elaborazione e analisi dei log attraverso la scoperta sul campo e strutture di dati coerenti.
+ **Facet: i** facet sono campi di log indicizzati che forniscono filtri e analisi interattivi senza scrivere query. CloudWatch I log creano automaticamente i facet per il nome e il tipo di origine dati ed è possibile creare policy di facet sui campi rilevati per accelerare la risoluzione dei problemi. I facet mostrano le distribuzioni e i conteggi dei valori in CloudWatch Logs Insights, semplificando l'identificazione dei modelli attraverso l'esplorazione. point-and-click
+ Pipeline: crea **pipeline** di trasformazione che si applicano a tutti i log in base al nome e al tipo di origine dati specifici. Ciò consente di definire regole di elaborazione coerenti per i log provenienti dalla stessa fonte.
+ **Scoperta dei campi**: CloudWatch Logs rileva automaticamente i campi e i relativi tipi di dati per ogni combinazione di nomi e tipi di origine dati in base ai processori di pipeline. Per i log AWS gestiti, le strutture dei campi sono predefinite. Per i log delle applicazioni, consigliamo di mantenere formati di log coerenti per massimizzare la compatibilità con strumenti di analisi come le tabelle Amazon S3 che richiedono strutture di campo ben definite.
Puoi visualizzare l'elenco completo dei campi e dei relativi tipi per qualsiasi fonte di dati utilizzando l'API: `GetLogFields`
```
aws logs get-log-fields --data-source-name --data-source-type
```
L'individuazione e la coerenza dei campi consentono analisi e integrazioni avanzate, poiché gli strumenti esterni possono funzionare con strutture di campo prevedibili durante l'elaborazione dei dati di registro.
# Supportato Servizi AWS per le fonti di dati
La tabella seguente elenca quelle Servizi AWS che vengono automaticamente classificate dai CloudWatch registri come fonti di dati:
| Nome dell'origine dati (campo @data\$1source\$1name) | Tipo di origine dati (campo @data\$1source\$1type) |
| --- | --- |
| amazon\$1api\$1gateway | access |
| amazon\$1bedrock\$1agentcore | browser\$1usage |
| amazon\$1bedrock\$1agentcore | code\$1interpreter\$1application |
| amazon\$1bedrock\$1agentcore | code\$1interpreter\$1usage |
| amazon\$1bedrock\$1agentcore | gateway\$1application |
| amazon\$1bedrock\$1agentcore | identity\$1workload\$1application |
| amazon\$1bedrock\$1agentcore | memory\$1application |
| amazon\$1bedrock\$1agentcore | online\$1evaluation\$1config |
| amazon\$1bedrock\$1agentcore | runtime\$1application |
| amazon\$1bedrock\$1agentcore | runtime\$1usage |
| amazon\$1bedrock\$1agents | application |
| amazon\$1bedrock\$1agents | event |
| amazon\$1bedrock\$1knowledge\$1bases | application |
| amazon\$1cloudfront | access |
| amazon\$1cloudfront | connection |
| amazon\$1cloudwatch | rum\$1app\$1monitor |
| amazon\$1cognito | user\$1pool |
| amazon\$1ec2 | verified\$1access |
| amazon\$1eks | api\$1server |
| amazon\$1eks | audit |
| amazon\$1eks | authenticator |
| amazon\$1eks | controller\$1manager |
| amazon\$1eks | scheduler |
| amazon\$1elasticache | cluster |
| amazon\$1eventbridge | eventbus\$1error |
| amazon\$1eventbridge | eventbus\$1info |
| amazon\$1eventbridge | pipes\$1execution |
| amazon\$1interactive\$1video\$1service | chat |
| amazon\$1managed\$1prometheus | scraper |
| amazon\$1managed\$1prometheus | workspace |
| amazon\$1msk | broker |
| amazon\$1msk | connect |
| amazon\$1opensearch\$1service | pipeline |
| amazon\$1q\$1business | events |
| amazon\$1q\$1business | sync\$1job |
| amazon\$1q\$1connect | events |
| amazon\$1route53 | global\$1resolver\$1query |
| amazon\$1route53 | hosted\$1zones |
| amazon\$1route53 | profiles\$1resolver\$1query |
| amazon\$1route53 | resolver\$1query |
| amazon\$1sagemaker | workteam\$1activity |
| amazon\$1ses | ingress\$1endpoints |
| amazon\$1ses | rule\$1sets |
| amazon\$1ses | traffic\$1policy |
| amazon\$1vpc | flow |
| amazon\$1vpc | route\$1server\$1peer |
| amazon\$1vpc\$1lattice | access |
| amazon\$1vpc\$1lattice | resource\$1access |
| amazon\$1workmail | access\$1control |
| amazon\$1workmail | authentication |
| amazon\$1workmail | personal\$1access |
| amazon\$1workmail | workmail\$1access |
| amazon\$1workmail | workmail\$1availability |
| aws\$1b2b\$1data\$1interchange | execution |
| aws\$1backup | data\$1access |
| aws\$1backup | hypervisor |
| aws\$1clean\$1rooms | analysis |
| aws\$1client\$1vpn | connection |
| aws\$1client\$1vpn | event |
| aws\$1cloudtrail | data |
| aws\$1cloudtrail | management |
| aws\$1elemental\$1mediapackage | egress\$1access |
| aws\$1elemental\$1mediapackage | ingress\$1access |
| aws\$1elemental\$1mediatailor | ad\$1decision |
| aws\$1elemental\$1mediatailor | manifest |
| aws\$1elemental\$1mediatailor | transcode |
| aws\$1entity\$1resolution | id\$1mapping\$1workflow |
| aws\$1entity\$1resolution | matching\$1workflow |
| aws\$1iot\$1fleetwise | error |
| aws\$1mainframe\$1modernization | batch\$1job |
| aws\$1mainframe\$1modernization | config |
| aws\$1mainframe\$1modernization | console |
| aws\$1mainframe\$1modernization | dataset\$1import |
| aws\$1network\$1firewall | alert |
| aws\$1network\$1firewall | flow |
| aws\$1network\$1firewall | tls |
| aws\$1nlb | access |
| aws\$1pcs | job\$1completion |
| aws\$1pcs | scheduler |
| aws\$1security\$1hub\$1cspm | asff\$1finding |
| aws\$1shield | protection\$1flow |
| aws\$1step\$1functions | express |
| aws\$1step\$1functions | standard |
| aws\$1transfer\$1family | server |
| aws\$1waf | access |
# Fonti di terze parti supportate per le fonti di dati
La tabella seguente elenca le fonti di terze parti che vengono automaticamente classificate da CloudWatch Logs come fonti di dati quando vengono importate tramite pipeline:
| Nome dell'origine dati (campo @data\$1source\$1name) | Tipo di origine dati (campo @data\$1source\$1type) |
| --- | --- |
| crowdstrike\$1falcon | detection\$1finding |
| crowdstrike\$1falcon | process\$1activity |
| github\$1auditlogs | account\$1change |
| github\$1auditlogs | api\$1activity |
| github\$1auditlogs | entity\$1management |
| microsoft\$1entraid | account\$1change |
| microsoft\$1entraid | authentication |
| microsoft\$1entraid | entity\$1management |
| microsoft\$1entraid | user\$1access\$1management |
| microsoft\$1office365 | account\$1change |
| microsoft\$1office365 | application\$1lifecycle |
| microsoft\$1office365 | authentication |
| microsoft\$1office365 | compliance\$1finding |
| microsoft\$1office365 | detection\$1finding |
| microsoft\$1office365 | email\$1activity |
| microsoft\$1office365 | file\$1hosting\$1activity |
| microsoft\$1office365 | group\$1management |
| microsoft\$1office365 | incident\$1finding |
| microsoft\$1office365 | user\$1access\$1management |
| microsoft\$1office365 | vulnerability\$1finding |
| microsoft\$1office365 | web\$1resources\$1activity |
| microsoft\$1windows | account\$1change |
| microsoft\$1windows | authentication |
| microsoft\$1windows | entity\$1management |
| microsoft\$1windows | event\$1log\$1activity |
| microsoft\$1windows | file\$1system\$1activity |
| microsoft\$1windows | group\$1management |
| microsoft\$1windows | kernel\$1activity |
| okta\$1auth0 | api\$1activity |
| okta\$1auth0 | authentication |
| okta\$1sso | api\$1activity |
| okta\$1sso | authentication |
| okta\$1sso | detection\$1finding |
| okta\$1sso | entity\$1management |
| paloaltonetworks\$1nextgenerationfirewall | authentication |
| paloaltonetworks\$1nextgenerationfirewall | detection\$1finding |
| paloaltonetworks\$1nextgenerationfirewall | network\$1activity |
| paloaltonetworks\$1nextgenerationfirewall | process\$1activity |
| sentinelone\$1endpointsecurity | dns\$1activity |
| sentinelone\$1endpointsecurity | file\$1system\$1activity |
| sentinelone\$1endpointsecurity | http\$1activity |
| sentinelone\$1endpointsecurity | process\$1activity |
| servicenow\$1cmdb | api\$1activity |
| servicenow\$1cmdb | datastore\$1activity |
| servicenow\$1cmdb | entity\$1management |
| wiz\$1cnapp | api\$1activity |
| wiz\$1cnapp | authentication |
| wiz\$1cnapp | compliance\$1finding |
| wiz\$1cnapp | detection\$1finding |
| wiz\$1cnapp | vulnerability\$1finding |
| zscaler\$1internetaccess | authentication |
| zscaler\$1internetaccess | dns\$1activity |
| zscaler\$1internetaccess | http\$1activity |
| zscaler\$1internetaccess | network\$1activity |