Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Creazione di un percorso con la CloudTrail console
Un percorso può essere applicato a tutto ciò Regioni AWS che è [abilitato](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) nella tua Account AWS o può essere applicato a una singola regione. Un percorso che si applica a tutto Regioni AWS ciò che è abilitato nella tua Account AWS viene definito *percorso multiregionale*. Come best practice, consigliamo di creare un percorso multiregionale perché registra l'attività in tutte le regioni abilitate. Tutti i percorsi creati utilizzando la CloudTrail console sono percorsi multiregionali. È possibile creare un percorso a regione singola solo utilizzando l'operazione AWS CLI o [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html)API.
**Nota**
Dopo aver creato un percorso, puoi configurarne un altro Servizi AWS per analizzare ulteriormente e agire in base ai dati degli eventi raccolti nei CloudTrail log. Per ulteriori informazioni, consulta [AWS integrazioni di servizi con registri CloudTrail](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-integrations).
**Topics**
+ [Creazione di un percorso con la console](#creating-a-trail-in-the-console)
+ [Fasi successive](#cloudtrail-create-a-trail-using-the-console-first-time-next-steps)
## Creazione di un percorso con la console
Utilizzare la procedura seguente per creare un percorso multiregionale. Per registrare eventi in una singola Regione (non consigliato), [usa la AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single).
**Per creare un CloudTrail percorso con Console di gestione AWS**
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nella home page del CloudTrail servizio, nella pagina **Percorsi** o nella sezione **Percorsi** della pagina **Dashboard**, scegli **Crea percorso**.
1. Nella pagina **Create Trail** (Crea trail), in **Trail name** (Nome trail) digitare il nome del trail. Per ulteriori informazioni, consulta [Requisiti di denominazione per CloudTrail risorse, bucket S3 e chiavi KMS](cloudtrail-trail-naming-requirements.md).
1. Se si tratta di un percorso AWS Organizations organizzativo, puoi abilitarlo per tutti gli account dell'organizzazione. Puoi visualizzare questa opzione solo se hai effettuato l'accesso alla console con un utente o un ruolo nell'account di gestione o nell'account dell'amministratore delegato. Per creare un trail dell'organizzazione, è necessario assicurarsi che l'utente o il ruolo abbiano le [autorizzazioni sufficienti](creating-an-organizational-trail-prepare.md#org_trail_permissions). Per ulteriori informazioni, consulta [Creazione di un percorso per un'organizzazione](creating-trail-organization.md).
1. Per **Storage location** (Posizione di storage), scegli **Create new S3 bucket** (Crea nuovo bucket S3) per creare un bucket. Quando si crea un bucket, CloudTrail crea e applica le policy bucket obbligatorie. Se scegli di creare un nuovo bucket S3, la tua policy IAM deve includere l'autorizzazione per l'`s3:PutEncryptionConfiguration`azione, perché per impostazione predefinita la crittografia lato server è abilitata per il bucket.
**Nota**
Se scegli **Utilizza bucket S3 esistente**, specifica un bucket in **Nome del bucket del log del percorso** oppure scegli **Sfoglia** per scegliere un bucket. Se desideri utilizzare un bucket in un altro account, devi specificare il nome del bucket. La policy del bucket deve concedere CloudTrail il permesso di scrivere su di esso. Per informazioni sulla modifica manuale della policy bucket, consulta [Policy sui bucket Amazon S3 per CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Per facilitare la ricerca dei log, crea una nuova cartella (nota anche come *prefisso*) in un bucket esistente per archiviare i log. CloudTrail Inserire il prefisso in **Prefix** (Prefisso).
1. Per la **crittografia SSE-KMS dei file di registro**, scegli **Abilitato** se desideri crittografare i file di registro e i file digest utilizzando la crittografia SSE-KMS anziché la crittografia SSE-S3. L'impostazione predefinita è **Enabled** (Abilitata). Se non abiliti la crittografia SSE-KMS, i file di registro e i file digest vengono crittografati utilizzando la crittografia SSE-S3. [Per ulteriori informazioni sulla crittografia SSE-KMS, vedere Utilizzo della crittografia lato server con (SSE-KMS). AWS Key Management Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) Per ulteriori informazioni sulla crittografia SSE-S3, consulta [Utilizzo della crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
****Se abiliti la crittografia SSE-KMS, scegli Nuova o Esistente.**** AWS KMS key In **AWS KMS Alias**, specifica un alias, nel formato. `alias/` {{MyAliasName}} Per ulteriori informazioni, vedere. [Aggiornamento di una risorsa per utilizzare la chiave KMS con la console](create-kms-key-policy-for-cloudtrail-update-trail.md) CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi multi-regione, consulta [Utilizzo delle chiavi multi-regione](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Nota**
Puoi anche digitare l'ARN di una chiave da un altro account. Per ulteriori informazioni, consulta [Aggiornamento di una risorsa per utilizzare la chiave KMS con la console](create-kms-key-policy-for-cloudtrail-update-trail.md). La politica chiave deve consentire di utilizzare la chiave CloudTrail per crittografare i file di registro e i file digest e consentire agli utenti specificati di leggere i file di registro o i file digest in formato non crittografato. Per informazioni sulla modifica manuale della policy della chiave, consulta [Configurare le politiche AWS KMS chiave per CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. In **Additional settings** (Impostazioni aggiuntive) configura quanto segue.
1. In **Enable log file validation** (Abilita la convalida dei file di log), scegli **Enabled** (Abilitata) per attivare la distribuzione dei file digest di log nel bucket S3. È possibile utilizzare i file digest per verificare che i file di registro non siano stati modificati dopo la loro consegna. CloudTrail Per ulteriori informazioni, consulta [Convalida dell'integrità dei file di CloudTrail registro](cloudtrail-log-file-validation-intro.md).
1. Per la **consegna delle notifiche SNS**, scegli **Abilitato** per ricevere una notifica ogni volta che un log viene consegnato al tuo bucket. CloudTrail memorizza più eventi in un file di registro. Le notifiche SNS vengono inviate per ogni file di log, non per ogni evento. Per ulteriori informazioni, consulta [Configurazione delle notifiche Amazon SNS per CloudTrail](configure-sns-notifications-for-cloudtrail.md).
Se abiliti le notifiche SNS, per **Create a new SNS topic** (Crea un nuovo argomento SNS) scegli **New** (Nuovo) per creare un argomento oppure scegli **Existing** (Esistente) per utilizzare un argomento esistente. Se si crea un percorso multiregionale, le notifiche SNS per le consegne di file di registro da tutte le regioni abilitate vengono inviate al singolo argomento SNS creato.
Se scegli **Nuovo**, CloudTrail specifica automaticamente un nome per il nuovo argomento oppure puoi digitare un nome. Se scegli **Existing** (Esistente), seleziona un argomento SNS dall'elenco a discesa. È anche possibile immettere l'ARN di un argomento da un'altra regione o da un account con le autorizzazioni appropriate. Per ulteriori informazioni, consulta [Policy tematica di Amazon SNS per CloudTrail](cloudtrail-permissions-for-sns-notifications.md).
Se si crea un argomento, è necessario sottoscrivere l'argomento per ricevere le notifiche di distribuzione dei file di log. Puoi abilitare la sottoscrizione nella console Amazon SNS. Data la frequenza delle notifiche, ti consigliamo di configurare la sottoscrizione in modo da usare una coda Amazon SQS per gestire le notifiche a livello di programmazione. Per ulteriori informazioni, consulta [Nozioni di base su Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
1. **Facoltativamente, configura CloudTrail l'invio dei file di registro ai CloudWatch registri selezionando **Abilitato** nei registri. CloudWatch ** Per ulteriori informazioni, consulta [Invio di eventi ai CloudWatch registri](send-cloudtrail-events-to-cloudwatch-logs.md).
1. Se abiliti l'integrazione con CloudWatch i registri, scegli **Nuovo** per creare un nuovo gruppo di log o **Esistente per utilizzarne uno esistente**. Se scegli **Nuovo**, CloudTrail specifica automaticamente un nome per il nuovo gruppo di log oppure puoi digitare un nome.
1. Se scegli **Existing** (Esistente), seleziona un gruppo di log dall'elenco a discesa.
1. Scegli **Nuovo** per creare un nuovo ruolo IAM per le autorizzazioni di invio dei log ai Logs. CloudWatch Scegli **Existing** (Esistente) per selezionare un ruolo IAM esistente dall'elenco a discesa. L'istruzione della policy per il ruolo nuovo o esistente viene visualizzata quando espandi **Policy document** (Documento della policy). Per ulteriori informazioni su questo ruolo, consulta [Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio](cloudtrail-required-policy-for-cloudwatch-logs.md).
**Nota**
Durante la configurazione di un percorso, puoi scegliere un bucket S3 e un argomento SNS appartenenti a un altro account. Tuttavia, se desideri inviare eventi CloudTrail a un gruppo di log CloudWatch Logs, devi scegliere un gruppo di log esistente nel tuo account corrente.
Solo l'account di gestione può configurare un gruppo di log CloudWatch Logs per un percorso organizzativo utilizzando la console. L'amministratore delegato può configurare un gruppo di log CloudWatch Logs utilizzando le operazioni AWS CLI or CloudTrail `CreateTrail` o `UpdateTrail` API.
1. Per i **tag**, puoi aggiungere fino a 50 coppie di chiavi di tag per aiutarti a identificare, ordinare e controllare l'accesso al tuo percorso. I tag possono aiutarti a identificare sia i CloudTrail percorsi che i bucket Amazon S3 che contengono CloudTrail i file di registro. Puoi quindi utilizzare i gruppi di risorse per le tue CloudTrail risorse. Per ulteriori informazioni, consultare [AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) e [Tag](cloudtrail-concepts.md#cloudtrail-concepts-tags).
1. Nella pagina **Choose log events** (Seleziona eventi di log) seleziona i tipi di evento che vuoi registrare. Per **Management events (Eventi di gestione)**, procedere nel seguente modo.
1. Per **API activity** (Attività API), scegli se vuoi che il percorso registri eventi **Read** (Lettura), **Write** (Scrittura) o entrambi. Per ulteriori informazioni, consulta [Eventi di gestione](logging-management-events-with-cloudtrail.md#logging-management-events).
1. Scegli **Escludi AWS KMS eventi** per filtrare AWS Key Management Service (AWS KMS) gli eventi dal tuo percorso. L'impostazione predefinita prevede l'inclusione di tutti AWS KMS gli eventi.
L'opzione per registrare o escludere AWS KMS gli eventi è disponibile solo se si registrano gli eventi di gestione sul percorso. Se si sceglie di non registrare gli eventi di gestione, AWS KMS gli eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.
AWS KMS azioni come `Encrypt``Decrypt`, e `GenerateDataKey` in genere generano un volume elevato (oltre il 99%) di eventi. Queste operazioni vengono ora registrate come eventi **Read (Lettura)**. AWS KMS **Le azioni pertinenti a basso volume come `Disable` e `ScheduleKey` (che in genere rappresentano meno dello 0,5% del volume degli AWS KMS eventi) vengono registrate come eventi di scrittura. `Delete`**
**Per escludere eventi ad alto volume come`Encrypt`, e `Decrypt``GenerateDataKey`, ma comunque registrare eventi pertinenti come e `Disable``ScheduleKey`, scegli di registrare gli eventi di gestione di **Write `Delete`** e deseleziona la casella di controllo Escludi eventi. AWS KMS **
1. Scegli **Exclude Amazon RDS Data API events** (Escludi eventi dell'API dati di Amazon RDS) per escludere dal percorso gli eventi dell'API dati di Amazon Relational Database Service. L'impostazione predefinita è includere tutti gli eventi dell'API dati di Amazon RDS. Per ulteriori informazioni sugli eventi dell'API dati di Amazon RDS, consulta [Registrazione delle chiamate dell'API dati con AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) nella *Guida per l'utente di Amazon RDS per Aurora*.
1. Per registrare gli eventi di dati, scegli **Data events** (Eventi di dati). Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consultare [AWS CloudTrail Prezzi](https://aws.amazon.com/cloudtrail/pricing/).
1.
**Importante**
I passaggi 12-16 riguardano la configurazione degli eventi di dati tramite selettori di eventi avanzati, che sono l'impostazione predefinita. I selettori di eventi avanzati consentono di configurare più [tipi di risorse](logging-data-events-with-cloudtrail.md#logging-data-events) e offrono un controllo dettagliato sugli eventi di dati acquisiti dal percorso. Se hai scelto di utilizzare i selettori di eventi di base, completa i passaggi indicati[Configurazione delle impostazioni degli eventi di dati utilizzando i selettori di eventi di base](#trail-data-events-basic-selectors), quindi torna al passaggio 17 di questa procedura.
Per **Tipo di risorsa**, scegli il tipo di risorsa su cui desideri registrare gli eventi relativi ai dati. Per ulteriori informazioni sui tipi di risorse disponibili, consulta[Eventi di dati](logging-data-events-with-cloudtrail.md#logging-data-events).
1. Scegli un modello di selettore di registro. Puoi scegliere un modello predefinito o scegliere **Personalizzato** per definire le condizioni di raccolta degli eventi.
Puoi scegliere tra i seguenti modelli predefiniti:
+ **Registra tutti gli eventi**: scegli questo modello per registrare log di tutti gli eventi.
+ **Registra eventi di sola lettura**: scegli questo modello per registrare solo gli eventi di lettura. Gli eventi di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio gli eventi `Get*` o`Describe*`.
+ **Registra solo gli eventi di scrittura**: scegli questo modello per registrare solo gli eventi di scrittura. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi `Put*`, `Delete*` oppure `Write*`.
+ **Registra solo Console di gestione AWS eventi**: scegli questo modello per registrare solo gli eventi provenienti da. Console di gestione AWS
+ **Escludi eventi Servizio AWS iniziati**: scegli questo modello per escludere Servizio AWS gli eventi con un `eventType` off e gli eventi iniziati con Servizio AWS-linked roles (). `AwsServiceEvent` SLRs
**Nota**
La scelta di un modello predefinito per i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione dell'attività relativa agli eventi relativi ai dati eseguita da qualsiasi identità IAM nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS
Se il percorso è valido solo per una regione, la selezione di un modello predefinito che registra tutti i bucket S3 abilita la registrazione degli eventi di dati per tutti i bucket nella stessa regione del percorso e per qualsiasi bucket creato in seguito in tale regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS
Se stai creando un percorso multiregionale, la scelta di un modello predefinito per le funzioni Lambda abilita la registrazione degli eventi dei dati per tutte le funzioni attualmente presenti nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del percorso. Se stai creando un percorso per una singola regione (eseguita utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.
La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare l'attività degli eventi relativi ai dati eseguita da qualsiasi identità IAM nel tuo AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS
1. (Facoltativo) In **Nome selettore** inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come `Name` nel selettore di eventi avanzato ed è visualizzabile se espandi la **vista JSON**.
1. Se hai selezionato **Personalizzato**, in **Advanced event selectors** crea un'espressione basata sui valori dei campi avanzati del selettore di eventi.
**Nota**
I selettori non supportano l'uso di caratteri jolly come. `*` Per abbinare più valori a una singola condizione, puoi usare`StartsWith`, `EndsWith``NotStartsWith`, o `NotEndsWith` far corrispondere esplicitamente l'inizio o la fine del campo dell'evento.
1. Scegli tra i seguenti campi.
+ **`readOnly`**- `readOnly` può essere impostato su un valore **uguale** a o. `true` `false` Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi `Get*` o `Describe*`. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi `Put*`, `Delete*` oppure `Write*`. Per registrare sia eventi `read` che `write`, non aggiungere un selettore `readOnly`.
+ **`eventName`**: `eventName` può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempio`PutBucket`, `GetItem` o. `GetSnapshotBlock`
+ **`eventSource`**— L'origine dell'evento da includere o escludere. Questo campo può utilizzare qualsiasi operatore.
+ **eventType**: il tipo di evento da includere o escludere. Ad esempio, è possibile impostare questo campo su **non uguale `AwsServiceEvent` a escludere.** [Servizio AWS eventi](non-api-aws-service-events.md) Per un elenco dei tipi di eventi, vedere [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)in. [CloudTrail registrare contenuti per eventi di gestione, dati e attività di rete](cloudtrail-event-reference-record-contents.md)
+ **sessionCredentialFromConsole**: include o esclude eventi provenienti da una Console di gestione AWS sessione. Questo campo può essere impostato su **uguale o non uguale** **con un valore di.** `true`
+ **userIdentity.arn**: includi o escludi eventi per azioni intraprese da identità IAM specifiche. Per ulteriori informazioni, consulta [Elemento userIdentity di CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`resources.ARN`**- È possibile utilizzare qualsiasi operatore con`resources.ARN`, ma se si **utilizza **uguale** o diverso**, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di. `resources.type`
**Nota**
Non è possibile utilizzare il `resources.ARN` campo per filtrare i tipi di risorse che non sono disponibili. ARNs
Per ulteriori informazioni sui formati ARN delle risorse relative agli eventi di dati, vedere [Azioni, risorse e chiavi di condizione Servizi AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) nel *Service Authorization* Reference.
1. Per ogni campo, scegliere **\+ Condizioni** per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi di dati per due bucket S3 dagli eventi di dati registrati nel tuo event data store, puoi impostare il campo su **Resources.arn**, impostare l'operatore for **does not start con** e quindi incollare un bucket S3 ARN per il quale non desideri registrare gli eventi.
Per aggiungere il secondo bucket S3, scegli **\+ Condizioni**, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.
CloudTrail Per [Come CloudTrail valuta più condizioni per un campo](filtering-data-events.md#filtering-data-events-conditions) informazioni su come valuta più condizioni, consulta.
**Nota**
Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come `eventName`. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.
1. Scegli **\+ Field** (\+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.
1. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli **Aggiungi tipo di evento dati**. Ripeti i passaggi 12 di questo passaggio per configurare i selettori di eventi avanzati per il tipo di risorsa.
1. Per abilitare l'aggregazione sugli eventi di dati, scegli uno o più modelli di aggregazione. Questi modelli definiscono come verranno riepilogati gli eventi relativi ai dati. Puoi scegliere tra i seguenti modelli:
1. **API Activity** per ottenere riepiloghi di 5 minuti degli eventi relativi ai dati in base alle chiamate API effettuate. Utilizzalo per comprendere i modelli di utilizzo delle API, tra cui frequenza, chiamanti e origine.
1. **Resource Access** per visualizzare i modelli di attività sulle tue AWS risorse. Utilizzatelo per capire come viene effettuato l'accesso AWS alle risorse, quante volte vi si accede nella finestra di 5 minuti, chi accede alla risorsa e quali azioni vengono eseguite.
1. **Azioni utente** per ottenere modelli di attività basati sui principi IAM che effettuano chiamate API nel tuo account.
**Nota**
Le aggregazioni si applicano a tutti gli eventi di dati raccolti nel tuo percorso.
1. Per registrare gli eventi di attività di rete, scegli Eventi **di attività di rete**. Gli eventi di attività di rete consentono ai proprietari di endpoint VPC di registrare le chiamate AWS API effettuate utilizzando i propri endpoint VPC da un VPC privato a. Servizio AWS Si applicano costi aggiuntivi per la registrazione degli eventi di attività di rete. Per ulteriori informazioni, consultare [AWS CloudTrail Prezzi](https://aws.amazon.com/cloudtrail/pricing/).
Per registrare gli eventi delle attività di rete, effettuate le seguenti operazioni:
1. Da **Origine eventi di attività di rete**, scegli la fonte per gli eventi di attività di rete.
1. In **Modello di selettore di log**, scegliere un modello. Puoi scegliere di registrare tutti gli eventi di attività di rete, registrare tutti gli eventi di accesso negato all'attività di rete o scegliere **Personalizzato** per creare un selettore di registro personalizzato per filtrare più campi, come `eventName` e`vpcEndpointId`.
1. (Facoltativo) Inserisci un nome per identificare il selettore. **Il nome del selettore è elencato come **Nome** nel selettore di eventi avanzato ed è visualizzabile se si espande la vista JSON.**
1. ****In **Advanced, i selettori di eventi** creano espressioni scegliendo i valori per **Field**, Operator e Value.**** Se utilizzi un modello di log predefinito, puoi ignorare questa fase.
1. Per escludere o includere gli eventi di attività di rete, puoi scegliere tra i seguenti campi nella console.
+ **`eventName`**— È possibile utilizzare qualsiasi operatore con`eventName`. Puoi usarlo per includere o escludere qualsiasi evento, ad esempio`CreateKey`.
+ **`errorCode`**— È possibile utilizzarlo per filtrare in base a un codice di errore. Attualmente, l'unico supportato `errorCode` è`VpceAccessDenied`.
+ **`vpcEndpointId`**— Identifica l'endpoint VPC attraversato dall'operazione. È possibile utilizzare qualsiasi operatore con. `vpcEndpointId`
1. Per ogni campo, scegliere **\+ Condizioni** per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni.
1. Scegli **\+ Field** (\+ Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi.
1. Per aggiungere un'altra fonte di eventi per la quale desideri registrare gli eventi di attività di rete, scegli **Aggiungi selettore di eventi di attività di rete**.
1. Come opzione, espandere **JSON view** (Visualizzazione JSON) per vedere i propri selettori di eventi avanzati come un blocco JSON.
1. Scegli **gli eventi di Insights** se desideri che il tuo percorso registri gli eventi di CloudTrail Insights.
In **Event type** (Tipo di evento), seleziona **Insights events** (Eventi Insights). Devi abilitare la registrazione degli eventi di gestione **Write** (scrittura) per registrare gli eventi Insights per la **frequenza di chiamate API**. Devi abilitare la registrazione degli eventi di gestione **Read** o **Write** per registrare gli eventi Insights per la **frequenza di errore API**.
CloudTrail Insights analizza gli eventi di gestione alla ricerca di attività insolite e registra gli eventi quando vengono rilevate anomalie. Per impostazione predefinita, i trail non registrano gli eventi Insights. Per ulteriori informazioni sugli eventi Insights, consulta [Lavorare con CloudTrail Insights](logging-insights-events-with-cloudtrail.md). Per la registrazione degli eventi Insights vengono applicati costi aggiuntivi. [Per i CloudTrail prezzi, consulta la sezione Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/)
Gli eventi Insights vengono inviati a una cartella diversa denominata `/CloudTrail-Insight` con lo stesso bucket S3, specificata nell'area **Storage location** della pagina dei dettagli del percorso. CloudTrailcrea il nuovo prefisso per te. Ad esempio, se il bucket S3 di destinazione corrente è denominato `amzn-s3-demo-bucket/AWSLogs/CloudTrail/`, il nome del bucket S3 con un nuovo prefisso viene denominato `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`.
1. Al termine della scelta dei tipi di evento da registrare, scegli **Next** (Successivo).
1. Nella pagina **Review and create** (Verifica e crea), esamina le opzioni selezionate. Scegli **Edit** (Modifica) in una sezione per modificare le impostazioni del percorso mostrate al suo interno. Quando sei pronto per creare il percorso, scegli **Create trail** (Crea percorso).
1. Il nuovo trail viene visualizzato nella pagina **Trails** (Trail). In circa 5 minuti, CloudTrail pubblica file di registro che mostrano le chiamate AWS API effettuate nel tuo account. È possibile visualizzare i file di log nel bucket S3 specificato.
Se hai abilitato gli eventi Insights per un percorso, CloudTrail potrebbero essere necessarie fino a 36 ore per iniziare a fornire questi eventi, a condizione che venga rilevata un'attività insolita durante quel periodo.
**Nota**
CloudTrail in genere consegna i log entro una media di circa 5 minuti da una chiamata API. Questo tempo non è garantito. Per ulteriori informazioni, consultare l'[Accordo sul Livello di Servizio (SLA) di AWS CloudTrail](https://aws.amazon.com/cloudtrail/sla).
Se configuri male il percorso (ad esempio, il bucket S3 non è raggiungibile), CloudTrail tenterai di recapitare i file di registro al bucket S3 per 30 giorni e questi eventi saranno soggetti ai costi standard. attempted-to-deliver CloudTrail Per evitare addebiti su un percorso configurato erroneamente devi eliminarlo.
### Configurazione delle impostazioni degli eventi di dati utilizzando i selettori di eventi di base
Puoi utilizzare selettori di eventi avanzati per configurare tutti i tipi di eventi relativi ai dati e gli eventi di attività di rete. I selettori di eventi avanzati consentono di creare selettori dettagliati per registrare solo gli eventi di interesse.
Se utilizzi selettori di eventi di base per registrare eventi di dati, sei limitato alla registrazione degli eventi di dati per bucket AWS Lambda , funzioni e tabelle Amazon DynamoDB di Amazon S3. Non puoi filtrare sul campo utilizzando selettori di eventi di base. `eventName` Inoltre, non puoi registrare [gli eventi di attività di rete](logging-network-events-with-cloudtrail.md).
Utilizza la seguente procedura per configurare le impostazioni degli eventi di dati utilizzando i selettori di eventi di base.
**Configurazione delle impostazioni degli eventi di dati utilizzando i selettori di eventi di base**
1. In **Eventi**, scegli **Eventi di dati** per registrare gli eventi di dati. Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consultare [AWS CloudTrail Prezzi](https://aws.amazon.com/cloudtrail/pricing/).
1. Per i bucket Amazon S3:
1. Per **Data event source** (Origine evento di dati), scegli **S3**.
1. Puoi scegliere di registrare **All current and future S3 buckets** (Tutti i bucket S3 attuali e futuri) oppure puoi specificare bucket o funzioni specifici. Per impostazione predefinita, gli eventi di dati vengono registrati per tutti i bucket S3 attuali e futuri.
**Nota**
Mantenendo l'opzione predefinita **Tutti i bucket S3 attuali e futuri**, abilita la registrazione degli eventi di dati per tutti i bucket attualmente presenti nel tuo AWS account e per tutti i bucket che crei dopo aver completato la creazione del trail. Consente inoltre la registrazione dell'attività relativa agli eventi relativi ai dati eseguita da qualsiasi identità IAM nel tuo AWS account, anche se tale attività viene eseguita su un bucket che appartiene a un altro account. AWS
Se stai creando un trail per una singola regione (usando il AWS CLI), selezionando **Tutti i bucket S3 attuali e futuri** abiliti la registrazione degli eventi di dati per tutti i bucket nella stessa regione del tuo trail e per tutti i bucket che creerai successivamente in quella regione. Non registrerà nel tuo account gli eventi relativi ai dati per i bucket Amazon S3 in altre regioni. AWS
1. Se lasci l'impostazione predefinita **All current and future S3 buckets** (Tutti i bucket S3 attuali e futuri), scegli di registrare gli eventi **Read** (Lettura), **Write** (Scrittura) o entrambi.
1. Per selezionare singoli bucket, deseleziona le caselle di controllo **Read** (Lettura) e **Write** (Scrittura) per **All current and future S3 buckets** (Tutti i bucket S3 attuali e futuri). In **Individual bucket selection** (Selezione di singoli bucket), cerca un bucket in cui registrare gli eventi di dati. Puoi trovare bucket specifici digitando un prefisso del bucket per il bucket desiderato. Puoi selezionare più bucket in questa finestra. Scegli **Add bucket** (Aggiungi bucket) per registrare eventi di dati per più bucket. Scegli di registrare gli eventi **Read** (Lettura), ad esempio `GetObject`, gli eventi **Write** (Scrittura), ad esempio `PutObject`, oppure entrambi.
Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascun bucket. Ad esempio, se specifichi la registrazione degli eventi di lettura (**Read**) per tutti i buckets S3 e quindi scegli di aggiungere un bucket specifico per la registrazione degli eventi di dati, l'opzione **Read** (Lettura) è già selezionata per il bucket aggiunto. Non è possibile eliminare la selezione. Puoi solo configurare l'opzione **Write** (Scrittura).
Per rimuovere un bucket dalla registrazione, scegli **X**.
1. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli **Aggiungi tipo di evento dati**.
1. Per le funzioni Lambda:
1. Per **Data event source** (Origine evento di dati), scegli **Lambda**.
1. In **Lambda function** (Funzione Lambda), scegli **All regions** (Tutte le regioni) per registrare tutte le funzioni Lambda o **Input function as ARN** (Inserire la funzione come ARN) per registrare eventi di dati su una funzione specifica.
Per registrare gli eventi relativi ai dati per tutte le funzioni Lambda nel tuo AWS account, seleziona **Registra tutte le funzioni attuali e future**. Questa impostazione ha la priorità sulle singole impostazioni configurate per ciascuna funzione. Tutte le funzioni vengono registrate, anche se tutte le funzioni non vengono visualizzate.
**Nota**
Se stai creando un percorso multiregionale, questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in qualsiasi regione dopo aver completato la creazione del percorso. Se stai creando un percorso per una singola regione (eseguita utilizzando il AWS CLI), questa selezione abilita la registrazione degli eventi di dati per tutte le funzioni attualmente presenti in quella regione nel tuo AWS account e per tutte le funzioni Lambda che potresti creare in quella regione dopo aver terminato la creazione del percorso. Non viene abilitata la registrazione degli eventi di dati per le funzioni Lambda create in altre regioni.
La registrazione degli eventi relativi ai dati per tutte le funzioni consente inoltre di registrare l'attività degli eventi relativi ai dati eseguita da qualsiasi identità IAM nel tuo AWS account, anche se tale attività viene eseguita su una funzione che appartiene a un altro account. AWS
1. Se scegli **Input function as ARN** (Inserire la funzione come ARN), immetti l'ARN di una funzione Lambda.
**Nota**
Se hai più di 15.000 funzioni Lambda nel tuo account, non puoi visualizzare o selezionare tutte le funzioni nella console durante CloudTrail la creazione di un trail. Puoi comunque selezionare l'opzione che consente di registrare tutte le funzioni, anche se non sono visualizzate. Se desideri registrare gli eventi di dati per funzioni specifiche, puoi aggiungere manualmente una funzione di cui conosci l'ARN. Puoi anche completare la creazione del percorso nella console e quindi utilizzare il AWS CLI **put-event-selectors** comando and per configurare la registrazione degli eventi dei dati per funzioni Lambda specifiche. Per ulteriori informazioni, consulta [Gestire i percorsi con AWS CLI](cloudtrail-additional-cli-commands.md).
1. Per le tabelle Dynamo DB:
1. Per **Data event source** (Origine evento di dati), scegli **Dynamo DB**.
1. In **DynamoDB table selection** (Selezione tabella Dynamo DB), scegli **Browse** (Sfoglia) per selezionare una tabella o incolla l'ARN di una tabella Dynamo DB a cui hai accesso. L'ARN di una tabella Dynamo DB ha il seguente formato:
```
arn:{{partition}}:dynamodb:{{region}}:{{account_ID}}:table/{{table_name}}
```
Per aggiungere un'altra tabella, scegli **Add row** (Aggiungi riga) e cerca una tabella o incolla l'ARN di una tabella a cui hai accesso.
1. Per configurare gli eventi Insights e altre impostazioni per il percorso, torna alla procedura precedente in questo argomento, [Creazione di un percorso con la console](#creating-a-trail-in-the-console).
## Fasi successive
Dopo aver creato il trail, è possibile tornare al trail per apportarvi modifiche:
+ Se non l'hai già fatto, puoi configurare l'invio dei file di registro CloudTrail a Logs. CloudWatch Per ulteriori informazioni, consulta [Invio di eventi ai CloudWatch registri](send-cloudtrail-events-to-cloudwatch-logs.md).
+ Crea una tabella e utilizzala per eseguire una query in Amazon Athena per analizzare le attività del servizio AWS . Per ulteriori informazioni, consulta [Creare una tabella per CloudTrail i log nella CloudTrail console nella Guida per l'](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct)utente di [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/).
+ Aggiungere tag (coppie chiave-valore) personalizzati al trail.
+ Per creare un altro percorso, apri la pagina **Percorsi** e scegli **Aggiungi nuovo percorso**.