Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Creazione CloudWatch di allarmi per CloudTrail eventi: esempi
<a name="cloudwatch-alarms-for-cloudtrail"></a>

Questo argomento descrive come configurare gli allarmi per CloudTrail gli eventi e include esempi.

**Topics**
+ [Prerequisiti](#cloudwatch-alarms-prerequisites)
+ [Creazione di un filtro parametri e creazione di un allarme](#cloudwatch-alarms-metric-filter-alarm)
+ [Esempio di modifiche della configurazione del gruppo di sicurezza](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [Esempi di errori di Console di gestione AWS accesso](#cloudwatch-alarms-for-cloudtrail-signin)
+ [Esempio: modifiche delle policy IAM](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [Configurazione delle notifiche per CloudWatch Logs (allarmi)](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)

## Prerequisiti
<a name="cloudwatch-alarms-prerequisites"></a>

Prima di utilizzare gli esempi di questo argomento, è necessario:
+ Creare un trail con la console o l'interfaccia a riga di comando (CLI).
+ Crea un gruppo di log, operazione che puoi eseguire durante la creazione di un percorso. Per ulteriori informazioni sulla creazione di un trail, consulta [Creazione di un percorso con la CloudTrail console](cloudtrail-create-a-trail-using-the-console-first-time.md).
+ Specificate o create un ruolo IAM che conceda CloudTrail le autorizzazioni per creare un flusso di log CloudWatch Logs nel gruppo di log specificato e per inviare CloudTrail eventi a quel flusso di log. L'impostazione di default `CloudTrail_CloudWatchLogs_Role` è valida per questo esempio.

Per ulteriori informazioni, consulta [Invio di eventi ai CloudWatch registri](send-cloudtrail-events-to-cloudwatch-logs.md). Gli esempi in questa sezione vengono eseguiti nella console Amazon CloudWatch Logs. *Per ulteriori informazioni su come creare filtri metrici e allarmi, consulta [Creazione di metriche da eventi di registro utilizzando filtri](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) e Uso degli [ CloudWatch allarmi Amazon nella Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) User Guide. CloudWatch *

## Creazione di un filtro parametri e creazione di un allarme
<a name="cloudwatch-alarms-metric-filter-alarm"></a>

Per creare un allarme, devi prima creare un filtro dei parametri e quindi configurare un allarme in base a tale filtro. Le procedure vengono riportate per tutti gli esempi. *Per ulteriori informazioni sulla sintassi dei filtri metrici e dei modelli per gli eventi di CloudTrail log, consulta le sezioni relative a JSON della [sintassi dei filtri e dei pattern nella](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) Amazon Logs User Guide. CloudWatch *

## Esempio di modifiche della configurazione del gruppo di sicurezza
<a name="cloudwatch-alarms-for-cloudtrail-security-group"></a>

Segui questa procedura per creare un CloudWatch allarme Amazon che viene attivato quando si verificano modifiche alla configurazione nei gruppi di sicurezza.

### Creazione di un filtro parametri
<a name="cloudwatch-alarms-for-cloudtrail-security-group-metric-filter"></a>

1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Nel pannello di navigazione, in **Log**, scegli **Gruppi di log**.

1. Nell'elenco dei gruppi di log, scegli il gruppo di log creato per il percorso.

1. Dal menu **Filtri parametri** o **Operazioni**, scegli **Crea filtro parametri**.

1. Nella pagina **Define pattern** (Definisci il modello), in **Create filter pattern** (Crea un modello di filtro), inserisci i seguenti dati per **Filter pattern** (Modello di filtro).

   ```
   { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
   ```

1. In **Test pattern** (Modello di test), lascia le impostazioni predefinite. Scegli **Next (Successivo)**.

1. Nella pagina **Assegna parametro**, per **Nome filtro** inserisci **SecurityGroupEvents**.

1. In **Dettagli parametro** attiva **Crea nuovo** e quindi inserisci **CloudTrailMetrics** per **Spazio nomi parametro**.

1. Per **Nome parametro** digita **SecurityGroupEventCount**.

1. Per **Valore parametro**, digita **1**.

1. Lascia vuoto il campo **Default value** (Valore predefinito).

1. Scegli **Next (Successivo)**.

1. Nella pagina **Review and create** (Rivedi e crea), esamina le opzioni selezionate. Scegli **Create metric filter** (Crea filtro parametri) per creare il filtro, oppure scegli **Edit** (Modifica) per tornare indietro e modificare i valori.

### Creazione di un allarme
<a name="cloudwatch-alarms-for-cloudtrail-security-group-create-alarm"></a>

Dopo aver creato il filtro metrico, si apre la pagina dei dettagli del gruppo di CloudWatch log dei log dei log dei CloudTrail percorsi. Segui questa procedura per creare un allarme.

1. Nella scheda **Metric filters** (Filtri parametri), trovare il filtro del parametro creato in [Creazione di un filtro parametri](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter). Compila la casella di controllo del filtro del parametro. Nella barra **Metric filters** (Filtri parametri), scegli **Create alarm** (Crea allarme).

1. Per **Specifica parametri e condizioni**, inserisci quanto segue.

   1. Per **Graph** (Grafico), la riga è impostata su **1** in base alle altre impostazioni che selezioni quando crei l'allarme.

   1. Per**Metric name** (Nome parametro), mantieni il nome del parametro corrente, **SecurityGroupEventCount**.

   1. Per **Statistic** (Statistica), mantieni l'impostazione predefinita, **Sum**.

   1. Per **Period** (Periodo), mantieni l'impostazione predefinita, **5 minutes**.

   1. In **Conditions** (Condizioni), per **Threshold type** (Tipo di soglia) scegli **Static** (Statica).

   1. **Per **Whenever {{metric\_name}} is**, scegli Greater/Equal.**

   1. Per il valore di soglia, immetti **1**.

   1. In **Additional configuration** (Configurazione aggiuntiva), lascia le impostazioni predefinite. Scegli **Next (Successivo)**.

1. Nella pagina **Configura azioni**, scegli **Notifica**, quindi scegli **In allarme**, il che indica che l'azione viene intrapresa quando viene superata la soglia di 1 evento di modifica in 5 minuti e si **SecurityGroupEventCount**trova in uno stato di allarme.

   1. Nella sezione **Invia una notifica al seguente argomento SNS**, scegli **Crea un nuovo argomento**.

   1. Immetti **SecurityGroupChanges\_CloudWatch\_Alarms\_Topic** come nome per il nuovo argomento Amazon SNS.

   1. In **Endpoint delle e-mail che riceveranno la notifica** inserisci gli indirizzi e-mail degli utenti che vuoi che ricevano notifiche se viene generato questo allarme. Separa gli indirizzi e-mail con virgole.

      Ogni destinatario e-mail riceverà un'e-mail che chiede di confermare che vogliono effettuare la sottoscrizione all'argomento Amazon SNS.

   1. Scegli **Create topic** (Crea argomento).

1. Per questo esempio, ignora gli altri tipi di azione. Scegli **Next (Successivo)**.

1. Nella pagina **Add name and description** (Aggiungi nome e descrizione) inserisci un nome descrittivo per l'allarme e una descrizione. In questo esempio, inserisci **Security group configuration changes** per il nome e **Raises alarms if security group configuration changes occur** per la descrizione. Scegli **Next (Successivo)**.

1. Nella pagina **Review and create** (Anteprima e creazione), esamina le opzioni selezionate. Scegli **Edit** (Modifica) per apportare modifiche o scegli **Create alarm** (Crea allarme) per creare l'allarme.

   Dopo aver creato l'allarme, CloudWatch apre la pagina **Allarmi**. La colonna **Actions** (Operazioni) dell'allarme mostra **Pending confirmation** (In attesa di conferma) fino a quando tutti i destinatari dell'e-mail sull'argomento SNS hanno confermato di voler effettuare la sottoscrizione alle notifiche SNS.

## Esempi di errori di Console di gestione AWS accesso
<a name="cloudwatch-alarms-for-cloudtrail-signin"></a>

Segui questa procedura per creare un CloudWatch allarme Amazon che si attiva quando si verificano tre o più errori di Console di gestione AWS accesso in un periodo di cinque minuti.

### Creazione di un filtro parametri
<a name="cloudwatch-alarms-for-cloudtrail-signin-metric-filter"></a>

1. Apri la console all' CloudWatch indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. Nel pannello di navigazione, in **Log**, scegli **Gruppi di log**.

1. Nell'elenco dei gruppi di log, scegli il gruppo di log creato per il percorso.

1. Dal menu **Filtri parametri** o **Operazioni**, scegli **Crea filtro parametri**.

1. Nella pagina **Define pattern** (Definisci il modello), in **Create filter pattern** (Crea un modello di filtro), inserisci i seguenti dati per **Filter pattern** (Modello di filtro).

   ```
   { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
   ```

1. In **Test pattern** (Modello di test), lascia le impostazioni predefinite. Scegli **Next (Successivo)**.

1. Nella pagina **Assegna parametro**, per **Nome filtro** inserisci **ConsoleSignInFailures**.

1. In **Dettagli parametro** attiva **Crea nuovo** e quindi inserisci **CloudTrailMetrics** per **Spazio nomi parametro**.

1. Per **Nome parametro** digita **ConsoleSigninFailureCount**.

1. Per **Valore parametro**, digita **1**.

1. Lascia vuoto il campo **Default value** (Valore predefinito).

1. Scegli **Next (Successivo)**.

1. Nella pagina **Review and create** (Rivedi e crea), esamina le opzioni selezionate. Scegli **Create metric filter** (Crea filtro parametri) per creare il filtro, oppure scegli **Edit** (Modifica) per tornare indietro e modificare i valori.

### Creazione di un allarme
<a name="cloudwatch-alarms-for-cloudtrail-signin-create-alarm"></a>

Dopo aver creato il filtro metrico, si apre la pagina dei dettagli del gruppo di CloudWatch log dei log dei log dei CloudTrail percorsi. Segui questa procedura per creare un allarme.

1. Nella scheda **Metric filters** (Filtri parametri), trovare il filtro del parametro creato in [Creazione di un filtro parametri](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter). Compila la casella di controllo del filtro del parametro. Nella barra **Metric filters** (Filtri parametri), scegli **Create alarm** (Crea allarme).

1. Nella pagina **Create alarm** (Crea allarme), in **Specify metric and conditions** (Specifica parametri e condizioni), inserisci i seguenti dati.

   1. Per **Graph** (Grafico), la riga è impostata su **3** in base alle altre impostazioni che selezioni quando crei l'allarme.

   1. Per**Metric name** (Nome parametro), mantieni il nome del parametro corrente, **ConsoleSigninFailureCount**.

   1. Per **Statistic** (Statistica), mantieni l'impostazione predefinita, **Sum**.

   1. Per **Period** (Periodo), mantieni l'impostazione predefinita, **5 minutes**.

   1. In **Conditions** (Condizioni), per **Threshold type** (Tipo di soglia) scegli **Static** (Statica).

   1. **Per **Whenever {{metric\_name}} is**, scegli Greater/Equal.**

   1. Per il valore di soglia, immetti **3**.

   1. In **Additional configuration** (Configurazione aggiuntiva), lascia le impostazioni predefinite. Scegli **Next (Successivo)**.

1. Nella pagina **Configura azioni**, per **Notifica**, scegli **In allarme**, che indica che l'azione viene intrapresa quando viene superata la soglia di 3 eventi di modifica in 5 minuti e si **ConsoleSigninFailureCount**trova in uno stato di allarme.

   1. Nella sezione **Invia una notifica al seguente argomento SNS**, scegli **Crea un nuovo argomento**.

   1. Immetti **ConsoleSignInFailures\_CloudWatch\_Alarms\_Topic** come nome per il nuovo argomento Amazon SNS.

   1. In **Endpoint delle e-mail che riceveranno la notifica** inserisci gli indirizzi e-mail degli utenti che vuoi che ricevano notifiche se viene generato questo allarme. Separa gli indirizzi e-mail con virgole.

      Ogni destinatario e-mail riceverà un'e-mail che chiede di confermare che vogliono effettuare la sottoscrizione all'argomento Amazon SNS.

   1. Scegli **Create topic** (Crea argomento).

1. Per questo esempio, ignora gli altri tipi di azione. Scegli **Next (Successivo)**.

1. Nella pagina **Add name and description** (Aggiungi nome e descrizione) inserisci un nome descrittivo per l'allarme e una descrizione. In questo esempio, inserisci **Console sign-in failures** per il nome e **Raises alarms if more than 3 console sign-in failures occur in 5 minutes** per la descrizione. Scegli **Next (Successivo)**.

1. Nella pagina **Review and create** (Anteprima e creazione), esamina le opzioni selezionate. Scegli **Edit** (Modifica) per apportare modifiche o scegli **Create alarm** (Crea allarme) per creare l'allarme.

   Dopo aver creato l'allarme, CloudWatch apre la pagina **Allarmi**. La colonna **Actions** (Operazioni) dell'allarme mostra **Pending confirmation** (In attesa di conferma) fino a quando tutti i destinatari dell'e-mail sull'argomento SNS hanno confermato di voler effettuare la sottoscrizione alle notifiche SNS.

## Esempio: modifiche delle policy IAM
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes"></a>

Segui questa procedura per creare un CloudWatch allarme Amazon che viene attivato quando viene effettuata una chiamata API per modificare una policy IAM.

### Creazione di un filtro parametri
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter"></a>

1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Nel riquadro di navigazione scegli **Logs (Log)**.

1. Nell'elenco dei gruppi di log, scegli il gruppo di log creato per il percorso.

1. Scegli **Actions** (Operazioni) e quindi **Create metric filter** (Crea filtro parametri).

1. Nella pagina **Define pattern** (Definisci il modello), in **Create filter pattern** (Crea un modello di filtro), inserisci i seguenti dati per **Filter pattern** (Modello di filtro).

   ```
   {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
   ```

1. In **Test pattern** (Modello di test), lascia le impostazioni predefinite. Scegli **Next (Successivo)**.

1. Nella pagina **Assegna parametro**, per **Nome filtro** inserisci **IAMPolicyChanges**.

1. In **Dettagli parametro** attiva **Crea nuovo** e quindi inserisci **CloudTrailMetrics** per **Spazio nomi parametro**.

1. Per **Nome parametro** digita **IAMPolicyEventCount**.

1. Per **Valore parametro**, digita **1**.

1. Lascia vuoto il campo **Default value** (Valore predefinito).

1. Scegli **Next (Successivo)**.

1. Nella pagina **Review and create** (Rivedi e crea), esamina le opzioni selezionate. Scegli **Create metric filter** (Crea filtro parametri) per creare il filtro, oppure scegli **Edit** (Modifica) per tornare indietro e modificare i valori.

### Creazione di un allarme
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-create-alarm"></a>

Dopo aver creato il filtro metrico, si apre la pagina dei dettagli del gruppo di CloudWatch log dei log dei log dei CloudTrail percorsi. Segui questa procedura per creare un allarme.

1. Nella scheda **Metric filters** (Filtri parametri), trovare il filtro del parametro creato in [Creazione di un filtro parametri](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter). Compila la casella di controllo del filtro del parametro. Nella barra **Metric filters** (Filtri parametri), scegli **Create alarm** (Crea allarme).

1. Nella pagina **Create alarm** (Crea allarme), in **Specify metric and conditions** (Specifica parametri e condizioni), inserisci i seguenti dati.

   1. Per **Graph** (Grafico), la riga è impostata su **1** in base alle altre impostazioni che selezioni quando crei l'allarme.

   1. Per**Metric name** (Nome parametro), mantieni il nome del parametro corrente, **IAMPolicyEventCount**.

   1. Per **Statistic** (Statistica), mantieni l'impostazione predefinita, **Sum**.

   1. Per **Period** (Periodo), mantieni l'impostazione predefinita, **5 minutes**.

   1. In **Conditions** (Condizioni), per **Threshold type** (Tipo di soglia) scegli **Static** (Statica).

   1. **Per **Whenever {{metric\_name}} is**, scegli Greater/Equal.**

   1. Per il valore di soglia, immetti **1**.

   1. In **Additional configuration** (Configurazione aggiuntiva), lascia le impostazioni predefinite. Scegli **Next (Successivo)**.

1. Nella pagina **Configura azioni**, per **Notifica**, scegli **In allarme**, che indica che l'azione viene intrapresa quando viene superata la soglia di 1 evento di modifica in 5 minuti e si **IAMPolicyEventCount**trova in uno stato di allarme.

   1. Nella sezione **Invia una notifica al seguente argomento SNS**, scegli **Crea un nuovo argomento**.

   1. Immetti **IAM\_Policy\_Changes\_CloudWatch\_Alarms\_Topic** come nome per il nuovo argomento Amazon SNS.

   1. In **Endpoint delle e-mail che riceveranno la notifica** inserisci gli indirizzi e-mail degli utenti che vuoi che ricevano notifiche se viene generato questo allarme. Separa gli indirizzi e-mail con virgole.

      Ogni destinatario e-mail riceverà un'e-mail che chiede di confermare che vogliono effettuare la sottoscrizione all'argomento Amazon SNS.

   1. Scegli **Create topic** (Crea argomento).

1. Per questo esempio, ignora gli altri tipi di azione. Scegli **Next (Successivo)**.

1. Nella pagina **Add name and description** (Aggiungi nome e descrizione) inserisci un nome descrittivo per l'allarme e una descrizione. In questo esempio, inserisci **IAM Policy Changes** per il nome e **Raises alarms if IAM policy changes occur** per la descrizione. Scegli **Next (Successivo)**.

1. Nella pagina **Review and create** (Anteprima e creazione), esamina le opzioni selezionate. Scegli **Edit** (Modifica) per apportare modifiche o scegli **Create alarm** (Crea allarme) per creare l'allarme.

   Dopo aver creato l'allarme, CloudWatch apre la pagina **Allarmi**. La colonna **Actions** (Operazioni) dell'allarme mostra **Pending confirmation** (In attesa di conferma) fino a quando tutti i destinatari dell'e-mail sull'argomento SNS hanno confermato di voler effettuare la sottoscrizione alle notifiche SNS.

## Configurazione delle notifiche per CloudWatch Logs (allarmi)
<a name="cloudtrail-configure-notifications-for-cloudwatch-logs-alarms"></a>

È possibile configurare CloudWatch Logs per inviare una notifica ogni volta che viene attivato un allarme. CloudTrail In questo modo è possibile rispondere rapidamente agli eventi operativi critici acquisiti negli CloudTrail eventi e rilevati da CloudWatch Logs. CloudWatch utilizza Amazon Simple Notification Service (SNS) per inviare e-mail. Per ulteriori informazioni, consulta [Configurazione delle notifiche di Amazon SNS nella Guida](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS) per l'*CloudWatch utente*.