Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Creazione, aggiornamento e gestione di percorsi con AWS CLI
Puoi usare il AWS CLI per creare, aggiornare e gestire i tuoi percorsi. Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella AWS regione configurata per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro **--region** con il comando.
**Nota**
Sono necessari gli strumenti della riga di AWS comando per eseguire i comandi AWS Command Line Interface (AWS CLI) descritti in questo argomento. Assicurati di avere AWS CLI installato una versione recente del file. Per ulteriori informazioni, consulta la [Guida per l'utente AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/). Per informazioni sui CloudTrail comandi nella AWS CLI riga di comando, digitate`aws cloudtrail help`.
## I comandi comunemente utilizzati per creazione, la gestione e lo stato
Alcuni dei comandi più comunemente usati per creare e aggiornare i percorsi CloudTrail includono:
+ **[create-trail](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md)** per creare un trail.
+ **[update-trail](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md)** per modificare la configurazione di un trail esistente.
+ **[add-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-add-tag)** per aggiungere uno o più tag (coppie chiave-valore) a un trail esistente.
+ **[remove-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-remove-tag)** per rimuovere uno o più tag da un trail.
+ **[list-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-list-tags)** per ottenere un elenco di tag associati a un trail.
+ **[put-event-selectors](cloudtrail-additional-cli-commands.md#configuring-adv-event-selector-examples)** per aggiungere o modificare selettori per un evento per un trail.
+ **[put-insight-selectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html)** per aggiungere o modificare i selettori di eventi Insights per un trail esistente e abilitare o disabilitare gli eventi Insights.
+ **[start-logging](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single-start-logging)** per avviare la registrazione degli eventi con il trail.
+ **[stop-logging](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands)** per interrompere la registrazione degli eventi con il trail.
+ **[delete-trail](cloudtrail-additional-cli-commands.md#cloudtrail-delete-trail-cli)** per eliminare un trail. Questo comando non elimina il bucket Amazon S3 che contiene i file di log per il percorso, se presenti.
+ **[describe-trails](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)**per restituire informazioni sui sentieri in una AWS regione.
+ **[get-trail](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)** per restituire informazioni sulle impostazioni per un trail.
+ **[get-trail-status](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)** per restituire informazioni sullo stato corrente di un trail.
+ **[get-event-selectors](cloudtrail-additional-cli-commands.md#configuring-adv-event-selector-examples)** per raccogliere le informazioni sui selettori evento configurati per un trail.
+ **[get-insight-selectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetInsightSelectors.html)** per raccogliere le informazioni sui selettori dell'evento Insights configurati per un trail.
### I comandi supportati per la creazione e l'aggiornamento dei trail: create-trail e aggiornare-trail
I comandi `update-trail` e `create-trail` offrono un'ampia gamma di funzionalità per la creazione e la gestione di trail, tra cui:
+ Creazione di un trail che riceve i log da tutte le regioni o aggiornamento di un trail mediante l'opzione `--is-multi-region-trail`. Nella maggior parte dei casi, è necessario creare percorsi che registrino gli eventi in tutte le AWS regioni.
+ Creazione di un percorso che riceva i log di tutti AWS gli account di un'organizzazione con l'**--is-organization-trail**opzione.
+ Conversione di un percorso multi-regione in un percorso basato su una regione singola mediante l'opzione `--no-is-multi-region-trail`.
+ L'abilitazione o la disabilitazione della crittografia dei file di log con l'opzione`--kms-key-id`. L'opzione specifica una AWS KMS chiave già creata e alla quale è stata allegata una politica che consente di CloudTrail crittografare i log. Per ulteriori informazioni, consulta [Abilitazione e disabilitazione della crittografia per file di CloudTrail registro, file digest e archivi di dati di eventi con AWS CLI](cloudtrail-log-file-encryption-cli.md).
+ L'abilitazione o la disabilitazione della convalida dei file di log con le opzioni `--enable-log-file-validation` e `--no-enable-log-file-validation`. Per ulteriori informazioni, consulta [Convalida dell'integrità dei file di CloudTrail registro](cloudtrail-log-file-validation-intro.md).
+ Specificare un gruppo e un ruolo di log CloudWatch Logs in modo da CloudTrail poter fornire eventi a un gruppo di log Logs. CloudWatch Per ulteriori informazioni, consulta [Monitoraggio dei file di CloudTrail registro con Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).
### Comandi obsoleti: create-subscription e update-subscription
**Importante**
I comandi `update-subscription` e `create-subscription` sono stati usati per creare e aggiornare trail, ma sono obsoleti. Non utilizzare questi comandi. Essi non offrono funzionalità complete per la creazione e la gestione di trail.
Se hai configurato l'automazione che utilizza uno di questi comandi o entrambi, ti consigliamo di aggiornare il codice o gli script per l'utilizzo di comandi supportati, ad esempio **create-trail**.
# Utilizzo del `create-trail` comando per creare una traccia
Puoi eseguire il comando `create-trail` per creare percorsi configurati appositamente per soddisfare le esigenze aziendali. Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella AWS regione configurata per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro **--region** con il comando.
## Creazione di un percorso multiregionale
Un percorso può essere applicato a tutto ciò Regioni AWS che è [abilitato](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) nella tua Account AWS o può essere applicato a una singola regione. Un percorso che si applica a tutto Regioni AWS ciò che è abilitato nella tua Account AWS viene definito *percorso multiregionale*. Come best practice, consigliamo di creare un percorso multiregionale perché registra l'attività in tutte le regioni abilitate.
Per creare un percorso multiregionale, utilizza l'opzione. `--is-multi-region-trail` Per impostazione predefinita, il comando `create-trail` crea un trail che registra solo gli eventi all'interno della regione AWS in cui il trail è stato creato. Per assicurarti di registrare gli eventi di servizio globali e acquisire tutte le attività relative agli eventi di gestione nel tuo AWS account, devi creare percorsi che registrino gli eventi in tutte le AWS regioni.
**Nota**
Quando crei un trail, se specifichi un bucket Amazon S3 che non è stato creato con CloudTrail, devi allegare la policy appropriata. Per informazioni, consulta [Policy sui bucket Amazon S3 per CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
L'esempio seguente crea un percorso multiregionale con il nome *my-trail* e un tag con una chiave denominata *Group* con un valore di *Marketing* che invia i log di tutte le regioni abilitate del tuo account a un bucket esistente denominato. *amzn-s3-demo-bucket*
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]
```
Per confermare che il percorso è un percorso multiregionale, verifica che l'`IsMultiRegionTrail`elemento nell'output sia visualizzato. `true`
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
**Nota**
Usa il comando `start-logging` per avviare la registrazione per il trail.
## Avvio della registrazione per il trail
Dopo il completamento dell'esecuzione del comando `create-trail`, eseguir il comando `start-logging` per avviare la registrazione per il trail.
**Nota**
Quando crei un percorso con la CloudTrail console, la registrazione viene attivata automaticamente.
L'esempio seguente avvia la registrazione per un trail.
```
aws cloudtrail start-logging --name my-trail
```
Questo comando non restituisce un output, ma puoi utilizzare il comando `get-trail-status` per verificare se la registrazione è stata avviata.
```
aws cloudtrail get-trail-status --name my-trail
```
A conferma che il trail sta eseguendo la registrazione, l'elemento `IsLogging` nell'output indica `true`.
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
## Creazione di percorso basato su una singola Regione
Il comando seguente crea un percorso basato su una singola Regione. Il bucket Amazon S3 specificato deve già esistere e avere le autorizzazioni appropriate CloudTrail applicate. Per ulteriori informazioni, consulta [Policy sui bucket Amazon S3 per CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket
```
Di seguito è riportato un output di esempio.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## Creazione di un percorso multiregionale con la convalida dei file di registro abilitata
Per abilitare la convalida dei file di log quando usi `create-trail`, usa l'opzione `--enable-log-file-validation`.
Per informazioni sulla convalida dei file di log, consulta [Convalida dell'integrità dei file di CloudTrail registro](cloudtrail-log-file-validation-intro.md).
L'esempio seguente crea un percorso multiregionale che consegna i log al bucket specificato. Il comando utilizza l'opzione `--enable-log-file-validation`.
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation
```
A conferma che la convalida dei file di log è abilitata, l'elemento `LogFileValidationEnabled` nell'output indica `true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": true,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
# Utilizzo del `update-trail` comando per aggiornare un trail
**Importante**
A partire dal 22 novembre 2021, è AWS CloudTrail cambiato il modo in cui i trail registrano gli eventi di servizio globale. Ora, gli eventi creati da Amazon CloudFront AWS STS vengono registrati nella regione in cui sono stati creati, la regione Stati Uniti orientali (Virginia settentrionale), us-east-1. AWS Identity and Access Management In questo modo il modo in cui vengono CloudTrail trattati questi servizi è coerente con quello di altri servizi globali. AWS Per continuare a ricevere eventi di assistenza globale al di fuori della regione Stati Uniti orientali (Virginia settentrionale), assicurati di convertire i *percorsi a Regione singola* che utilizzano eventi di assistenza globale al di fuori di Stati Uniti orientali (Virginia settentrionale) in *percorsi multi-regione*. Per ulteriori informazioni sull'acquisizione di eventi di assistenza globale, consulta [Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses) più avanti in questa sezione.
Al contrario, la **cronologia degli eventi** nella CloudTrail console e il **aws cloudtrail lookup-events** comando mostreranno questi eventi nel luogo in Regione AWS cui si sono verificati.
Puoi utilizzare il comando `update-trail` per modificare le impostazioni di configurazione per un trail. È inoltre possibile utilizzare i comandi **remove-tags** e **add-tags** per aggiungere e rimuovere i tag per un trail. Puoi aggiornare solo i percorsi della AWS regione in cui è stato creato il percorso (la sua regione d'origine). Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella AWS regione configurata per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro **--region** con il comando.
Se hai abilitato gli eventi di CloudTrail gestione in Amazon Security Lake, devi mantenere almeno un percorso organizzativo multiregionale e registrare sia `read` gli eventi che gli eventi di `write` gestione. Non puoi aggiornare un percorso qualificante in modo che non soddisfi i requisiti di Security Lake. Ad esempio, modificando il percorso in Regione singola o disattivando la registrazione degli eventi di gestione `read` o `write`.
**Nota**
Se usi il AWS CLI o uno dei due AWS SDKs per modificare un percorso, assicurati che la policy del bucket del percorso sia quella corretta. up-to-date Affinché il tuo bucket riceva automaticamente eventi da un nuovo utente Regione AWS, la policy deve contenere il nome completo del servizio,. `cloudtrail.amazonaws.com` Per ulteriori informazioni, consulta [Policy sui bucket Amazon S3 per CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
**Topics**
+ [
## Conversione di un percorso a regione singola in un percorso multiregionale
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)
+ [
## Conversione di un percorso multi-regione in un percorso basato su una Regione singola
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)
+ [
## Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)
+ [
## Abilitazione della convalida dei file di log
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi)
+ [
## Disabilitazione della convalida dei file di log
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi-disable)
## Conversione di un percorso a regione singola in un percorso multiregionale
Per modificare un itinerario a regione singola esistente in un percorso multiregionale, usa l'opzione. `--is-multi-region-trail`
```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```
Per confermare che il percorso è ora un percorso multiregionale, verificate che l'`IsMultiRegionTrail`elemento nell'output sia visualizzato. `true`
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## Conversione di un percorso multi-regione in un percorso basato su una Regione singola
Per modificare un percorso multi-regione esistente in modo che si applichi solo alla Regione in cui è stato creato, utilizza l'opzione `--no-is-multi-region-trail`.
```
aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail
```
A conferma che il trail è valido per una singola regione, l'elemento `IsMultiRegionTrail` nell'output indica `false`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale
Per modificare un trail in modo che non registri gli eventi di servizio globali, utilizza l'opzione `--no-include-global-service-events`.
```
aws cloudtrail update-trail --name my-trail --no-include-global-service-events
```
A conferma che il trail non registra più gli eventi di servizio globali, l'elemento `IncludeGlobalServiceEvents` nell'output indica `false`.
```
{
"IncludeGlobalServiceEvents": false,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Per modificare un trail in modo che registri gli eventi di servizio globali, utilizza l'opzione `--include-global-service-events`.
I percorsi a Regione singola non riceveranno più eventi di assistenza globale a partire dal 22 novembre 2021, a meno che il percorso non compaia già nella Regione Stati Uniti orientali (Virginia settentrionale), us-east-1. Per continuare ad acquisire eventi di servizio globale, aggiorna la configurazione del percorso in un percorso multi-regione. Ad esempio, questo comando aggiorna un percorso basato su una singola Regione negli Stati Uniti orientali (Ohio) us-east-2, in un percorso multi-regione. *myExistingSingleRegionTrailWithGSE*Sostituiscilo con il nome del percorso appropriato per la tua configurazione.
```
aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail
```
Poiché gli eventi di assistenza globale sono disponibili solo negli Stati Uniti orientali (Virginia settentrionale) dal 22 novembre 2021, puoi anche creare un percorso a una sola Regione per iscriverti agli eventi di assistenza globali nella Regione Stati Uniti orientali (Virginia settentrionale), us-east-1. Il comando seguente crea un percorso a regione singola in us-east-1 per CloudFront ricevere, IAM ed eventi: AWS STS
```
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name amzn-s3-demo-bucket
```
## Abilitazione della convalida dei file di log
Per abilitare la convalida dei file di log per un trail, usa l'opzione `--enable-log-file-validation`. I file digest vengono distribuiti nel bucket Amazon S3 per il percorso specificato.
```
aws cloudtrail update-trail --name my-trail --enable-log-file-validation
```
A conferma che la convalida dei file di log è abilitata, l'elemento `LogFileValidationEnabled` nell'output indica `true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": true,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## Disabilitazione della convalida dei file di log
Per disabilitare la convalida dei file di log per un trail, usa l'opzione `--no-enable-log-file-validation`.
```
aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation
```
A conferma che la convalida dei file di log è disabilitata, l'elemento `LogFileValidationEnabled` nell'output indica `false`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Per convalidare i file di registro con, vedere. AWS CLI[Convalida dell'integrità dei file di CloudTrail registro con AWS CLI](cloudtrail-log-file-validation-cli.md)
# Gestire i percorsi con AWS CLI
AWS CLI Include diversi altri comandi che ti aiutano a gestire i tuoi percorsi. Questi comandi aggiungere i tag ai trail, ne ottengono lo stato, ne avviano e ne arrestano la registrazione e li eliminano. È necessario eseguire questi comandi dalla stessa AWS regione in cui è stato creato il percorso (la sua regione di origine). Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella AWS regione configurata per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro **--region** con il comando.
**Topics**
+ [
## Aggiungere uno o più tag a un trail
](#cloudtrail-additional-cli-commands-add-tag)
+ [
## Elencare i tag per uno o più trail
](#cloudtrail-additional-cli-commands-list-tags)
+ [
## Rimuovere uno o più tag da un trail
](#cloudtrail-additional-cli-commands-remove-tag)
+ [
## Recupero delle impostazioni e dello stato di un trail
](#cloudtrail-additional-cli-commands-retrieve)
+ [
## Configurazione dei selettori CloudTrail di eventi di Insights
](#configuring-insights-selector)
+ [
## Configurazione di selettori di eventi avanzati
](#configuring-adv-event-selector-examples)
+ [
## Configurazione dei selettori di eventi di base
](#configuring-event-selector-examples)
+ [
## Arresto e avvio della registrazione di log per un trail
](#cloudtrail-start-stop-logging-cli-commands)
+ [
## Eliminazione di un trail
](#cloudtrail-delete-trail-cli)
## Aggiungere uno o più tag a un trail
Per aggiungere uno o più tag a un percorso esistente, esegui il comando **add-tags**.
L'esempio seguente aggiunge un tag con il nome *Owner* e il valore di *Mary* a un percorso con l'ARN di *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*my-trail** nella regione Stati Uniti orientali (Ohio).
```
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2
```
In caso di successo, questo comando non restituisce alcun risultato.
## Elencare i tag per uno o più trail
Per visualizzare i tag associati a uno o più trail esistenti, utilizzare il comando **list-tags**.
L'esempio seguente elenca i tag per *Trail1* e. *Trail2*
```
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
```
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente.
```
{
"ResourceTagList": [
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1",
"TagsList": [
{
"Value": "Alice",
"Key": "Name"
},
{
"Value": "Ohio",
"Key": "Location"
}
]
},
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2",
"TagsList": [
{
"Value": "Bob",
"Key": "Name"
}
]
}
]
}
```
## Rimuovere uno o più tag da un trail
Per rimuovere uno o più tag da un percorso esistente, esegui il comando **remove-tags**.
L'esempio seguente rimuove i tag con i nomi *Location* e *Name* da un percorso con l'ARN della *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*Trail1** regione Stati Uniti orientali (Ohio).
```
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2
```
In caso di successo, questo comando non restituisce alcun risultato.
## Recupero delle impostazioni e dello stato di un trail
Esegui il `describe-trails` comando per recuperare informazioni sui percorsi in una regione. AWS L'esempio seguente restituisce informazioni sui percorsi configurati nella regione Stati Uniti orientali (Ohio).
```
aws cloudtrail describe-trails --region us-east-2
```
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente.
```
{
"trailList": [
{
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket1",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
},
{
"Name": "my-special-trail",
"S3BucketName": "amzn-s3-demo-bucket2",
"S3KeyPrefix": "example-prefix",
"IncludeGlobalServiceEvents": false,
"IsMultiRegionTrail": false,
"HomeRegion": "us-east-2",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": true,
"IsOrganizationTrail": false
},
{
"Name": "my-org-trail",
"S3BucketName": "amzn-s3-demo-bucket3",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-1"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": true
}
]
}
```
Esegui il comando `get-trail` per recuperare le informazioni sulle impostazioni relative a un percorso specifico. L'esempio seguente restituisce le informazioni sulle impostazioni per un percorso denominato*my-trail*.
```
aws cloudtrail get-trail - -name my-trail
```
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente.
```
{
"Trail": {
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
}
}
```
Esegui il comando `get-trail-status` per recuperare lo stato di un trail. È necessario eseguire questo comando dalla AWS regione in cui è stato creato (Home Region) oppure è necessario specificare tale regione aggiungendo il **--region** parametro.
**Nota**
Se il percorso è un percorso organizzativo e tu sei un account membro dell'organizzazione in AWS Organizations, devi fornire l'ARN completo di quel percorso e non solo il nome.
```
aws cloudtrail get-trail-status --name my-trail
```
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente.
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
Oltre ai campi visualizzati nel precedente codice JSON, lo stato contiene i seguenti campi se sono presenti errori di Amazon SNS o Amazon S3:
+ `LatestNotificationError`. Contiene l'errore generato da Amazon SNS se una sottoscrizione a un argomento ha esito negativo.
+ `LatestDeliveryError`. Contiene l'errore emesso da Amazon S3 CloudTrail se non è possibile inviare un file di registro a un bucket.
## Configurazione dei selettori CloudTrail di eventi di Insights
Abilita gli eventi Insights su un trail eseguendo il comando **put-insight-selectors** e specificando `ApiCallRateInsight`, `ApiErrorRateInsight` o entrambi come valore dell'attributo `InsightType`. Per visualizzare le impostazioni dei selettori di eventi Insights per un trail, esegui il comando `get-insight-selectors`. È necessario eseguire questo comando dalla AWS regione in cui è stato creato il percorso (la Home Region) oppure è necessario specificare tale regione aggiungendo il **--region** parametro al comando.
**Nota**
Per registrare gli eventi di Insights per `ApiCallRateInsight`, il percorso deve registrare gli eventi di gestione `write`. Per registrare gli eventi di Insights per `ApiErrorRateInsight`, il percorso deve registrare gli eventi di gestione `read` o `write`.
### Percorso di esempio che registra gli eventi Insights
L'esempio seguente utilizza **put-insight-selectors** per creare un selettore di eventi Insights per un percorso denominato*TrailName3*. Ciò abilita la raccolta di eventi Insights per il *TrailName3* percorso. Il selettore eventi Insights registra entrambi i tipi di eventi Insights `ApiErrorRateInsight` e `ApiCallRateInsight`.
```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
L'esempio restituisce il selettore di eventi Insights configurato per il trail.
```
{
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```
### Esempio: disattivazione della raccolta di eventi Insights
L'esempio seguente utilizza **put-insight-selectors** per rimuovere il selettore di eventi Insights per un percorso denominato*TrailName3*. La cancellazione della stringa JSON dei selettori di Insights disattiva la raccolta di eventi Insights per il percorso. *TrailName3*
```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'
```
Nell'esempio viene restituito il selettore, ora vuoto, di eventi Insights configurato per il trail.
```
{
"InsightSelectors": [ ],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```
## Configurazione di selettori di eventi avanzati
[È possibile utilizzare selettori di eventi avanzati per registrare gli eventi di [gestione, gli eventi](logging-management-events-with-cloudtrail.md) relativi ai [dati per tutti i tipi di risorse e gli eventi](logging-data-events-with-cloudtrail.md) di attività di rete.](logging-network-events-with-cloudtrail.md) Al contrario, è possibile utilizzare selettori di eventi di base per registrare gli eventi di gestione e gli eventi relativi ai dati per i `AWS::DynamoDB::Table` tipi `AWS::Lambda::Function` di `AWS::S3::Object` risorse e. È possibile utilizzare selettori di eventi di base o selettori di eventi avanzati, ma non entrambi. Se si applicano selettori di eventi avanzati a un percorso che utilizza selettori di eventi di base, i selettori di eventi di base vengono sovrascritti.
Per convertire un itinerario in selettori di eventi avanzati, esegui il **get-event-selectors** comando per confermare i selettori di eventi correnti, quindi configura i selettori di eventi avanzati in modo che corrispondano alla copertura dei selettori di eventi precedenti, quindi aggiungi eventuali selettori aggiuntivi.
È necessario eseguire il `get-event-selectors` comando dal Regione AWS punto in cui è stato creato il percorso (la Home Region) oppure specificare tale regione aggiungendo il parametro. **--region**
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
**Nota**
Se il percorso è un percorso organizzativo e hai effettuato l'accesso con un account membro dell'organizzazione in AWS Organizations, devi fornire l'ARN completo del percorso e non solo il nome.
L'esempio seguente mostra le impostazioni di un percorso che utilizza selettori di eventi avanzati per registrare gli eventi di gestione. Per impostazione predefinita, un trail è configurato per registrare tutti gli eventi di gestione e nessun evento relativo ai dati o alle attività di rete.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
]
}
```
Per creare un selettore di eventi avanzato, esegui il comando `put-event-selectors`. Quando si verifica un evento nel tuo account, CloudTrail valuta la configurazione dei tuoi percorsi. Se l'evento corrisponde a un qualsiasi selettore di eventi avanzato di un percorso, il percorso elabora e registra l'evento. Puoi configurare fino a 500 condizioni su un percorso, inclusi tutti i valori specificati per tutti i selettori di eventi avanzati sul percorso. Per ulteriori informazioni, consultare [Registrazione degli eventi di dati](logging-data-events-with-cloudtrail.md) e [Registrazione degli eventi delle attività di rete](logging-network-events-with-cloudtrail.md).
**Topics**
+ [
### Percorso di esempio con selettori di eventi avanzati specifici
](#configuring-adv-event-selector-specific)
+ [
### Esempio di percorso che utilizza selettori di eventi avanzati personalizzati per registrare Amazon S3 AWS Outposts su eventi relativi ai dati
](#configuring-adv-event-selector-outposts)
+ [
### Esempio di percorso che utilizza selettori di eventi avanzati per escludere gli eventi AWS Key Management Service
](#configuring-adv-event-selector-exclude)
+ [
### Esempio di percorso che utilizza selettori di eventi avanzati per escludere gli eventi di gestione di Amazon RDS Data API
](#configuring-adv-event-selector-exclude-rds)
### Percorso di esempio con selettori di eventi avanzati specifici
L'esempio seguente crea selettori di eventi avanzati personalizzati per un percorso denominato in *TrailName* modo da includere eventi di gestione di lettura e scrittura (omettendo il `readOnly` selettore) `PutObject` ed eventi di `DeleteObject` dati per tutte le combinazioni di bucket/prefisso Amazon S3 ad eccezione di un bucket denominato`amzn-s3-demo-bucket`, eventi di dati per una AWS Lambda funzione `MyLambdaFunction` denominata ed eventi di attività di rete per eventi ad accesso negato su un endpoint VPC. AWS KMS Poiché si tratta di selettori di eventi avanzati personalizzati, ogni set di selettori ha un nome descrittivo. Nota che una barra finale fa parte del valore ARN per i bucket S3.
```
aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
{ "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
{ "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["NetworkActivity"]},
{ "Field": "eventSource", "Equals": ["kms.amazonaws.com"]},
{ "Field": "errorCode", "Equals": ["VpceAccessDenied"]}
]
}
]'
```
L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
}
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::S3::Object" ]
},
{
"Field": "resources.ARN",
"NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
},
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::Lambda::Function" ]
},
{
"Field": "eventName",
"Equals": [ "Invoke" ]
},
{
"Field": "resources.ARN",
"Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ]
}
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Esempio di percorso che utilizza selettori di eventi avanzati personalizzati per registrare Amazon S3 AWS Outposts su eventi relativi ai dati
L'esempio seguente mostra come configurare il percorso per includere tutti gli eventi relativi ai dati per tutti gli Amazon S3 sugli AWS Outposts oggetti del tuo avamposto. In questa versione, il valore supportato per S3 sugli AWS Outposts eventi per il `resources.type` campo è. `AWS::S3Outposts::Object`
```
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
]
}
]'
```
Questo comando restituisce il seguente output di esempio.
```
{
"AdvancedEventSelectors": [
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3Outposts::Object"
]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName"
}
```
### Esempio di percorso che utilizza selettori di eventi avanzati per escludere gli eventi AWS Key Management Service
L'esempio seguente crea un selettore di eventi avanzato per un percorso denominato *TrailName* per includere eventi di gestione di sola lettura e sola scrittura (omettendo il `readOnly` selettore), ma per escludere eventi (). AWS Key Management Service AWS KMS Poiché AWS KMS gli eventi vengono trattati come eventi gestionali e il loro volume può essere elevato, possono avere un impatto sostanziale sulla CloudTrail fattura se si dispone di più di un percorso che raccoglie gli eventi di gestione.
Se si sceglie di non registrare gli eventi di gestione, gli AWS KMS eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.
Per ricominciare a registrare AWS KMS gli eventi in un percorso, rimuovete il `eventSource` selettore ed eseguite nuovamente il comando.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
]
}
]'
```
L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "kms.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Per avviare nuovamente la registrazione di eventi su un percorso, rimuovi il selettore `eventSource`, come mostrato nel comando seguente.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
### Esempio di percorso che utilizza selettori di eventi avanzati per escludere gli eventi di gestione di Amazon RDS Data API
L'esempio seguente crea un selettore di eventi avanzato per un percorso denominato *TrailName* per includere eventi di gestione di sola lettura e sola scrittura (omettendo il `readOnly` selettore), ma per escludere gli eventi di gestione delle API di Amazon RDS Data. Per escludere gli eventi di gestione di Amazon RDS Data API, specifica l'origine dell'evento Amazon RDS Data API nel valore della stringa per il `eventSource` campo:. `rdsdata.amazonaws.com`
Se scegli di non registrare gli eventi di gestione, gli eventi di gestione di Amazon RDS Data API non vengono registrati e non puoi modificare le impostazioni di registrazione degli eventi di Amazon RDS Data API.
Per ricominciare a registrare gli eventi di gestione delle API di Amazon RDS Data su un trail, rimuovi il `eventSource` selettore ed esegui nuovamente il comando.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
]
}
]'
```
L'esempio restituisce i selettori di eventi avanzati configurati per il percorso.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "rdsdata.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Per avviare nuovamente la registrazione di eventi su un percorso, rimuovi il selettore `eventSource`, come mostrato nel comando seguente.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
## Configurazione dei selettori di eventi di base
È possibile utilizzare solo i selettori di eventi di base per registrare gli eventi di gestione e gli eventi relativi ai dati per i tipi `AWS::DynamoDB::Table` di risorse e`AWS::S3::Object`. `AWS::Lambda::Function` È possibile registrare gli eventi di gestione, tutti i tipi di risorse dati e gli eventi di attività di rete utilizzando selettori di eventi avanzati.
È possibile utilizzare selettori di eventi di base o selettori di eventi avanzati, ma non entrambi. Se si applicano selettori di eventi di base a un percorso che utilizza selettori di eventi avanzati, i selettori di eventi avanzati vengono sovrascritti.
Per visualizzare le impostazioni dei selettori di eventi per un trail, esegui il comando `get-event-selectors`. È necessario eseguire questo comando dal Regione AWS punto in cui è stato creato (la Home Region) oppure è necessario specificare tale regione utilizzando il parametro. **--region**
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
**Nota**
Se il percorso è un percorso organizzativo e tu sei un account membro dell'organizzazione in AWS Organizations, devi fornire l'ARN completo di quel percorso e non solo il nome.
L'esempio seguente mostra le impostazioni di un percorso che utilizza selettori di eventi di base per registrare gli eventi di gestione.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Per creare un selettore di eventi, esegui il comando `put-event-selectors`. Se desideri registrare gli eventi di Insights sul percorso, assicurati che il selettore di eventi consenta la registrazione dei tipi di Insights per i quali desideri configurare il percorso. Per ulteriori informazioni sulla registrazione di eventi Insights, consulta [Lavorare con CloudTrail Insights](logging-insights-events-with-cloudtrail.md).
Quando si verifica un evento nel tuo account, CloudTrail valuta la configurazione del trail. Se l'evento corrisponde a un qualsiasi selettore di eventi di un trail, il trail elabora e registra l'evento. Per un trail puoi configurare fino a 5 selettori di eventi e un massimo di 250 risorse di dati. Per ulteriori informazioni, consulta [Registrazione degli eventi di dati](logging-data-events-with-cloudtrail.md).
**Topics**
+ [
### Percorso di esempio con selettori di eventi specifici
](#configuring-event-selector-example1)
+ [
### Percorso di esempio che registra tutti gli eventi di gestione e di dati
](#configuring-event-selector-example2)
+ [
### Esempio di percorso che non registra AWS Key Management Service gli eventi
](#configuring-event-selector-example-kms)
+ [
### Esempio di percorso che registra gli eventi rilevanti a basso volume AWS Key Management Service
](#configuring-event-selector-log-kms)
+ [
### Percorso di esempio che non registra gli eventi dell'API dati di Amazon RDS
](#configuring-event-selector-example-rds)
### Percorso di esempio con selettori di eventi specifici
L'esempio seguente crea un selettore di eventi per un percorso denominato *TrailName* per includere eventi di gestione di sola lettura e sola scrittura, eventi di dati per due bucket/prefix combinazioni di Amazon S3 ed eventi di dati per una singola funzione denominata. AWS Lambda *hello-world-python-function*
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
```
L'esempio restituisce il selettore di eventi configurato per il trail.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::amzn-s3-demo-bucket/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function"
],
"Type": "AWS::Lambda::Function"
},
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Percorso di esempio che registra tutti gli eventi di gestione e di dati
L'esempio seguente crea un selettore di eventi per un percorso denominato *TrailName2* che include tutti gli eventi di gestione, inclusi gli eventi di gestione di sola lettura e scrittura, e gli eventi di dati per tutti i bucket, le funzioni AWS Lambda e le tabelle Amazon DynamoDB di Amazon S3 in. Account AWS Poiché questo esempio utilizza selettori di eventi di base, non può configurare la registrazione per gli eventi S3 AWS Outposts, le chiamate JSON-RPC di Amazon Managed Blockchain sui nodi Ethereum o altri tipi di risorse di selezione di eventi avanzati. Inoltre, non puoi registrare gli eventi di attività di rete utilizzando selettori di eventi di base. È necessario utilizzare selettori di eventi avanzati per registrare gli eventi di attività di rete e gli eventi relativi ai dati per tutti gli altri tipi di risorse. Per ulteriori informazioni, consulta [Configurazione di selettori di eventi avanzati](#configuring-adv-event-selector-examples).
**Nota**
Se il percorso è valido solo per una regione, vengono registrati solo gli eventi in tale regione, anche se i parametri del selettore di eventi specificano tutti i bucket Amazon S3 e le funzioni Lambda. I selettori di eventi sono validi per le regioni in cui il trail è stato creato.
```
aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
```
L'esempio restituisce i selettori di eventi configurati per il trail.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda"
],
"Type": "AWS::Lambda::Function"
},
{
"Values": [
"arn:aws:dynamodb"
],
"Type": "AWS::DynamoDB::Table"
}
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"
}
```
### Esempio di percorso che non registra AWS Key Management Service gli eventi
L'esempio seguente crea un selettore di eventi per un trail denominato in *TrailName* modo da includere eventi di gestione di sola lettura e sola scrittura, ma per escludere gli eventi (). AWS Key Management Service AWS KMS Poiché AWS KMS gli eventi vengono trattati come eventi di gestione e il loro volume può essere elevato, possono avere un impatto sostanziale sulla CloudTrail fattura se si dispone di più di un percorso che raccoglie gli eventi di gestione. L'utente in questo esempio ha scelto di escludere gli eventi AWS KMS da tutti i trail tranne uno. Per escludere un'origine evento, aggiungere `ExcludeManagementEventSources` ai selettori di eventi e specificare un'origine evento nel valore stringa.
Se si sceglie di non registrare gli eventi di gestione, gli AWS KMS eventi non vengono registrati e non è possibile modificare le impostazioni di registrazione AWS KMS degli eventi.
Per ricominciare a registrare AWS KMS gli eventi su un percorso, passate un array vuoto come valore di. `ExcludeManagementEventSources`
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
```
Nell'esempio viene restituito il selettore di eventi configurato per il trail.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "kms.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Per ricominciare a registrare AWS KMS gli eventi su un percorso, passate un array vuoto come valore di`ExcludeManagementEventSources`, come illustrato nel comando seguente.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
### Esempio di percorso che registra gli eventi rilevanti a basso volume AWS Key Management Service
L'esempio seguente crea un selettore di eventi per un percorso denominato in *TrailName* modo da includere eventi ed eventi di gestione di sola scrittura. AWS KMS Poiché AWS KMS gli eventi vengono trattati come eventi gestionali e il loro volume può essere elevato, possono avere un impatto sostanziale sulla CloudTrail fattura se si dispone di più di un percorso che raccoglie gli eventi di gestione. L'utente in questo esempio ha scelto di includere gli eventi AWS KMS **Write**, che includeranno `Delete` e `Disable``ScheduleKey`, ma non includeranno più azioni ad alto volume come `Encrypt``Decrypt`, e `GenerateDataKey` (questi ora vengono considerati come eventi di **lettura**).
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
Nell'esempio viene restituito il selettore di eventi configurato per il trail. In questo modo vengono registrati gli eventi di gestione di sola scrittura, inclusi gli eventi. AWS KMS
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "WriteOnly"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Percorso di esempio che non registra gli eventi dell'API dati di Amazon RDS
L'esempio seguente crea un selettore di eventi per un percorso denominato *TrailName* per includere eventi di gestione di sola lettura e sola scrittura, ma per escludere gli eventi Amazon RDS Data API. Poiché gli eventi di Amazon RDS Data API vengono trattati come eventi di gestione e possono essercene un volume elevato, possono avere un impatto sostanziale sulla CloudTrail bolletta se disponi di più di un percorso che registra gli eventi di gestione. L'utente in questo esempio ha scelto di escludere gli eventi dell'API dati di Amazon RDS da tutti i percorsi, tranne uno. Per escludere un'origine eventi, aggiungi `ExcludeManagementEventSources` ai selettori di eventi e specifica l'origine eventi dell'API dati di Amazon RDS nel valore della stringa: `rdsdata.amazonaws.com`.
Se scegli di non registrare gli eventi di gestione, gli eventi dell'API dati di Amazon RDS non vengono registrati e non puoi modificare le impostazioni di registrazione degli eventi.
Per ricominciare a registrare gli eventi di gestione delle API di Amazon RDS Data su un trail, passa un array vuoto come valore di. `ExcludeManagementEventSources`
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
```
Nell'esempio viene restituito il selettore di eventi configurato per il trail.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Per ricominciare a registrare gli eventi di gestione delle API di Amazon RDS Data su un trail, passa un array vuoto come valore di`ExcludeManagementEventSources`, come mostrato nel comando seguente.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
## Arresto e avvio della registrazione di log per un trail
I seguenti comandi avviano e CloudTrail interrompono la registrazione.
```
aws cloudtrail start-logging --name awscloudtrail-example
```
```
aws cloudtrail stop-logging --name awscloudtrail-example
```
**Nota**
Prima di eliminare un bucket, esegui il comando `stop-logging` per interrompere la distribuzione degli eventi nel bucket. Se non interrompi la registrazione, CloudTrail tenta di inviare i file di registro a un bucket con lo stesso nome per un periodo di tempo limitato.
Se interrompi la registrazione o elimini un percorso, CloudTrail Insights viene disabilitato su quel percorso.
**La consegna dell'evento dopo l'interruzione della registrazione**
Dopo aver interrotto la registrazione di un percorso, il percorso può ancora ricevere eventi che si sono verificati prima dell'interruzione della registrazione. Gli eventi possono essere ritardati per diversi motivi, tra cui traffico di rete elevato, problemi di connettività, interruzione del servizio o aggiornamenti di eventi esistenti. CloudTrail utilizza l'ora più recente in cui la registrazione è stata interrotta per determinare se fornire eventi ritardati, anziché lo stato di registrazione del percorso nel momento in cui si è verificato l'evento. Di conseguenza, gli eventi ritardati che si sono verificati prima dell'ultima interruzione della registrazione possono ancora essere trasmessi al trail. Per ulteriori informazioni sulla consegna ritardata degli eventi, consulta il `addendum` campo in. [CloudTrail registrare contenuti per eventi di gestione, dati e attività di rete](cloudtrail-event-reference-record-contents.md)
Inoltre, i selettori di eventi e i selettori di eventi avanzati non vengono valutati per gli eventi ritardati inviati a un percorso dopo l'interruzione della registrazione. Ciò significa che un trail può ricevere qualsiasi tipo di evento che si è verificato prima dell'interruzione della registrazione, indipendentemente dalla configurazione del selettore di eventi del percorso.
## Eliminazione di un trail
Se hai abilitato gli eventi di CloudTrail gestione in Amazon Security Lake, devi mantenere almeno un percorso organizzativo multiregionale e registrare sia `read` gli eventi che gli eventi di `write` gestione. Non puoi eliminare un trail se è l'unico a tua disposizione che soddisfa questo requisito, a meno che non disattivi gli eventi di CloudTrail gestione in Security Lake.
Puoi eliminare un trail con il comando seguente. Puoi eliminare un trail solo nella regione in cui è stato creato (la regione principale).
**Importante**
Sebbene l'eliminazione di un CloudTrail trail sia un'azione irreversibile, CloudTrail non elimina i file di log nel bucket Amazon S3 per quel percorso, nel bucket Amazon S3 stesso o nel gruppo di log a cui il trail invia CloudWatch gli eventi. L'eliminazione di un percorso multiregionale interromperà la registrazione degli eventi in tutte le regioni abilitate nel tuo. AWS Account AWS L'eliminazione di un percorso a regione singola interromperà la registrazione degli eventi solo in quella regione. Non interromperà la registrazione degli eventi in altre regioni anche se i percorsi in quelle altre regioni hanno nomi identici a quelli del percorso eliminato.
Per informazioni sulla chiusura dell'account e l'eliminazione dei CloudTrail percorsi, consulta[Account AWS chiusura e percorsi](cloudtrail-account-closure.md).
```
aws cloudtrail delete-trail --name awscloudtrail-example
```
Quando elimini un percorso, non elimini il bucket Amazon S3 o l'argomento Amazon SNS associato ad esso. Utilizza l'API Console di gestione AWS AWS CLI, o service per eliminare queste risorse separatamente.