Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crea, aggiorna e gestisci gli archivi di dati degli eventi con la console
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Puoi utilizzare la CloudTrail console per creare, aggiornare, eliminare e ripristinare archivi di dati sugli eventi.
È possibile aggiornare le seguenti impostazioni utilizzando la CloudTrail console:
+ Puoi modificare l'[opzione di prezzo da un prezzo](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) di fidelizzazione di **sette anni a un prezzo di fidelizzazione estendibile** per **un anno**.
+ È possibile aggiornare il periodo di conservazione per l'archivio dati degli eventi. Il periodo di conservazione determina la durata di conservazione dei dati degli eventi presenti nel datastore di eventi.
+ È possibile convertire un Data Store di eventi con più aree geografiche in un Data Store di eventi con un'unica area oppure convertire un Data Store di eventi con una singola area in un Data Store di eventi con più aree geografiche.
+ L'account di gestione di un' AWS Organizations organizzazione può convertire un data store di eventi a livello di account in un data store di eventi organizzativi oppure può convertire un data store di eventi dell'organizzazione in un data store di eventi a livello di account. Questa impostazione non è disponibile negli archivi dati di eventi che raccolgono eventi esterni a. AWS
+ È possibile abilitare o disabilitare la [federazione delle query di Lake](query-federation.md). La federazione di un data store di eventi ti consente di interrogare i dati degli eventi da Amazon Athena.
+ Puoi aggiungere o modificare la politica basata sulle risorse per un data store di eventi per fornire l'accesso a più account al tuo data store di eventi. Per ulteriori informazioni, consulta [Esempi di policy basate su risorse per archivi di dati di eventi](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
+ È possibile [interrompere l'acquisizione di eventi e riavviare l'acquisizione](query-eds-stop-ingestion.md) di eventi negli archivi di dati di eventi che raccolgono eventi di gestione, eventi di dati o elementi di configurazione. AWS Config
+ [È possibile abilitare o disabilitare la protezione dalla terminazione.](query-eds-termination-protection.md) L'attivazione della protezione dalla terminazione protegge un Event Data Store dall'eliminazione accidentale. La protezione dalla terminazione è abilitata per impostazione predefinita.
+ È possibile [ripristinare](query-eds-restore.md) un archivio dati di eventi in attesa di eliminazione.
+ È possibile aggiungere o rimuovere tag. Puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso al datastore di eventi.
+ Puoi aggiungere una chiave KMS per crittografare l'archivio dati degli eventi. Non puoi rimuovere una chiave KMS da un archivio dati di eventi.
L'utilizzo della CloudTrail console per creare o aggiornare un archivio dati di eventi offre i seguenti vantaggi:
+ Se stai configurando un data store di eventi per raccogliere eventi di dati, l'utilizzo della CloudTrail console ti consente di visualizzare i tipi di risorse di eventi di dati disponibili. Per ulteriori informazioni, consulta [Registrazione degli eventi di dati](logging-data-events-with-cloudtrail.md).
+ Se stai configurando un Event Data Store per raccogliere eventi di attività di rete, l'utilizzo della CloudTrail console ti consente di visualizzare le fonti di eventi per le quali puoi registrare gli eventi di attività di rete. Per ulteriori informazioni, consulta [Registrazione degli eventi delle attività di rete](logging-network-events-with-cloudtrail.md).
+ Se stai configurando un Event Data Store per raccogliere eventi all'esterno AWS, l'utilizzo della CloudTrail console ti consente di visualizzare informazioni sui partner disponibili. Per ulteriori informazioni, consulta [Crea un archivio dati di eventi per eventi esterni AWS alla console](event-data-store-integration-events.md).
**Topics**
+ [Crea un archivio dati di CloudTrail eventi per gli eventi con la console](query-event-data-store-cloudtrail.md)
+ [Crea un archivio dati sugli eventi per gli eventi Insights con la console](query-event-data-store-insights.md)
+ [Crea un archivio dati di eventi per gli elementi di configurazione con la console](query-event-data-store-config.md)
+ [Crea un archivio dati di eventi per eventi esterni AWS alla console](event-data-store-integration-events.md)
+ [Aggiorna un data store di eventi con la console](query-event-data-store-update.md)
+ [Interrompi e avvia l'acquisizione di eventi con la console](query-eds-stop-ingestion.md)
+ [Modificare la protezione dalla terminazione con la console](query-eds-termination-protection.md)
+ [Eliminare un archivio dati di eventi con la console](query-event-data-store-delete.md)
+ [Ripristina un archivio dati di eventi con la console](query-eds-restore.md)
+ [Esportazione di dati da CloudTrail Lake Event Data Store a CloudWatch](cloudtrail-lake-export-cloudwatch.md)
# Crea un archivio dati di CloudTrail eventi per gli eventi con la console
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Gli archivi dati CloudTrail sugli eventi possono includere eventi di CloudTrail gestione, eventi di dati ed eventi di attività di rete. Puoi conservare i dati degli eventi in un datastore di eventi per un massimo di 3.653 giorni (circa 10 anni) se scegli l'opzione **Prezzo per la conservazione estendibile di un anno** o di 2.557 giorni (circa 7 anni) se scegli l'opzione **Prezzo per la conservazione di sette anni**.
CloudTrail I data store di eventi Lake sono a pagamento. Quando crei un datastore di eventi, scegli l'[opzione di prezzo](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi [AWS CloudTrail Prezzi](https://aws.amazon.com/cloudtrail/pricing/) e. [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md)
## Per creare un archivio dati di CloudTrail eventi per gli eventi
Utilizzare questa procedura per creare un archivio dati di eventi che registri gli eventi di CloudTrail gestione, gli eventi relativi ai dati o gli eventi di attività di rete.
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione, in **Lake** seleziona **Datastore di eventi**.
1. Scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Nella pagina **Configure event data store** (Configura archivio di dati degli eventi), in **General details** (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.
1. Scegli l'**opzione di prezzo** che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md).
Sono disponibili le seguenti opzioni:
+ **Prezzo per la conservazione estendibile di un anno:** consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l’archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a un pay-as-you-go prezzo. Questa è l’opzione predefinita.
+ **Periodo di conservazione predefinito:** 366 giorni
+ **Periodo di conservazione massimo:** 3.653 giorni
+ **Prezzo per la conservazione di sette anni:** consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.
+ **Periodo di conservazione predefinito:** 2.557 giorni
+ **Periodo di conservazione massimo:** 2.557 giorni
1. Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione **Prezzo per la conservazione estendibile di un anno** o tra 7 e 2.557 giorni (circa sette anni) per l'opzione **Prezzo per la conservazione di sette anni**.
CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo `eventTime` di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando `eventTime` sono più vecchi di 90 giorni.
**Nota**
Se stai copiando eventi di trail in questo event data store, non CloudTrail copierà un evento se `eventTime` è più vecchio del periodo di conservazione specificato. Per determinare il periodo di conservazione appropriato, prendi la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni in cui desideri conservare gli eventi nell'archivio dati degli eventi (**periodo di conservazione** = *oldest-event-in-days* \$1*number-days-to-retain*). Ad esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.
1. (Facoltativo) Per abilitare l'utilizzo della crittografia AWS Key Management Service, scegli **Usa la mia AWS KMS key**. Scegli **Nuovo** per AWS KMS key crearne uno per te, oppure scegli **Esistente** per utilizzare una chiave KMS esistente. In **Inserisci alias KMS**, specifica un alias nel formato. `alias/` *MyAliasName* L'utilizzo della propria chiave KMS richiede la modifica della politica delle chiavi KMS per consentire la crittografia e la decrittografia dell'archivio dati degli eventi. Per ulteriori informazioni, consulta. [Configurare le politiche AWS KMS chiave per CloudTrail](create-kms-key-policy-for-cloudtrail.md) CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta [Using multi-Region keys](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.
**Nota**
Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una chiave KMS esistente per l'account di gestione.
1. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli **Abilita** in **Federazione delle query di Data Lake**. La federazione ti consente di visualizzare i metadati associati al datastore di eventi nel [Catalogo dati](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) AWS Glue ed eseguire query SQL sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta [Federare un datastore di eventi](query-federation.md).
Per abilitare la federazione delle query di Lake, scegli **Abilita**, quindi esegui queste operazioni:
1. Scegli se creare un nuovo ruolo o utilizzare un ruolo IAM esistente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le [autorizzazioni minime richieste](query-federation.md#query-federation-permissions-role).
1. Se crei un nuovo ruolo, inserisci un nome per identificarlo.
1. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.
1. (Facoltativo) Scegli **Abilita politica delle risorse** per aggiungere una politica basata sulle risorse all'archivio dati degli eventi. Le policy basate sulle risorse ti consentono di controllare quali principali possono eseguire azioni sul tuo archivio dati degli eventi. Ad esempio, puoi aggiungere una politica basata sulle risorse che consenta agli utenti root di altri account di interrogare questo archivio dati di eventi e visualizzare i risultati della query. Per esempi di policy, consulta [Esempi di policy basate su risorse per archivi di dati di eventi](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una politica basata sulle risorse include una o più istruzioni. Ogni dichiarazione della policy definisce [i principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a cui è consentito o negato l'accesso all'Event Data Store e le azioni che i principali possono eseguire sulla risorsa Event Data Store.
Le seguenti azioni sono supportate nelle politiche basate sulle risorse per gli archivi di dati di eventi:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Per gli [archivi dati degli eventi organizzativi](cloudtrail-lake-organizations.md), CloudTrail crea una [politica predefinita basata sulle risorse](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) che elenca le azioni che gli account amministratore delegato sono autorizzati a eseguire sugli archivi dati degli eventi organizzativi. Le autorizzazioni contenute in questa politica derivano dalle autorizzazioni di amministratore delegato in. AWS Organizations Questa politica viene aggiornata automaticamente in seguito alle modifiche all'archivio dati degli eventi dell'organizzazione o all'organizzazione (ad esempio, un account amministratore CloudTrail delegato viene registrato o rimosso).
1. (Facoltativo) Nella sezione **Tags** (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un archivio di dati degli eventi in base ai tag, consultare [Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Per ulteriori informazioni su come utilizzare i tag in AWS, consulta [Tagging AWS resources nella Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User AWS Guide*.
1. Scegli **Next** (Successivo) per configurare il datastore di eventi.
1. **Nella pagina **Scegli eventi**, scegli **AWS gli eventi**, quindi scegli CloudTrail gli eventi.**
1. Per **CloudTrail gli eventi**, scegli almeno un tipo di evento. Per impostazione predefinita è selezionato il tipo **Management events** (Eventi di gestione). Puoi aggiungere eventi di [gestione, eventi](logging-management-events-with-cloudtrail.md) [relativi ai dati ed eventi](logging-data-events-with-cloudtrail.md) [di attività di rete al tuo archivio dati di eventi](logging-network-events-with-cloudtrail.md).
1. (Opzionale) Scegli **Copia eventi di percorso** se si desidera copiare gli eventi da un percorso esistente per eseguire query su eventi passati. Per copiare gli eventi del trail in un datastore di eventi dell'organizzazione, devi utilizzare l'account di gestione dell'organizzazione. L'account dell'amministratore delegato non può copiare gli eventi di trail in un datastore di eventi di un'organizzazione. Per ulteriori informazioni sulle considerazioni per la copia di eventi di percorso, consulta [Considerazioni sulla copia di eventi di percorso](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake).
1. Per fare in modo che il proprio archivio di dati degli eventi raccolga eventi da tutti gli account in un'organizzazione AWS Organizations , selezionare **Enable for all accounts in my organization** (Abilita per tutti gli account nella mia organizzazione). Per creare un datastore di eventi che raccolga gli eventi per un'organizzazione, è necessario effettuare l'accesso all'account di gestione o all'account dell'amministratore delegato di un'organizzazione.
**Nota**
Per copiare gli eventi di percorso o abilitare gli eventi Insights, è necessario accedere all'account di gestione dell'organizzazione.
1. Espandi **Impostazioni aggiuntive** per scegliere se desideri che il tuo Event Data Store raccolga gli eventi per tutti Regioni AWS o solo per quelli correnti Regione AWS e scegli se l'Event Data Store inserisce gli eventi. Per impostazione predefinita, un datastore di eventi raccoglie eventi da tutte le Regioni e inizia a importarli al momento della creazione.
1. Seleziona **Includi solo la Regione corrente nel mio datastore di eventi** per includere solo gli eventi registrati nella Regione corrente. Se non si sceglie questa opzione, l'archivio di dati degli eventi include gli eventi provenienti da tutte le regioni.
1. Deseleziona l'opzione **Eventi di importazione** se non desideri che il datastore di eventi inizi a importare gli eventi. Ad esempio, potresti voler deselezionare **Eventi di importazione**, se stai copiando gli eventi di percorso e non desideri che il datastore di eventi includa eventi futuri. Per impostazione predefinita, il datastore di eventi inizia l'importazione degli eventi al momento della creazione.
1. Se il tuo datastore di eventi include eventi di gestione, puoi scegliere tra le seguenti opzioni. Per ulteriori informazioni sugli eventi di gestione, consulta [Registrazione degli eventi di gestione](logging-management-events-with-cloudtrail.md).
1. Scegli tra Raccolta di **eventi semplice o Raccolta** di **eventi avanzata**:
+ Scegli **Simple event collection** se desideri registrare tutti gli eventi, registrare solo gli eventi di lettura o registrare solo gli eventi di scrittura. Puoi anche scegliere di escludere AWS Key Management Service eventi Amazon RDS Data API.
+ Scegli **Raccolta avanzata di eventi** se desideri includere o escludere gli eventi di gestione in base ai valori dei campi avanzati di selezione degli eventi, inclusi i campi`eventName`,`eventType`, `eventSource``sessionCredentialFromConsole`, e`userIdentity.arn`.
1. Se hai selezionato **Raccolta di eventi semplice**, scegli se registrare tutti gli eventi, registrare solo gli eventi di lettura o registrare solo gli eventi di scrittura. Puoi anche scegliere di escludere AWS KMS eventi Amazon RDS Data API.
1. Se hai selezionato **Raccolta eventi avanzata**, effettua le seguenti selezioni:
1. In **Log selector template**, scegli un modello predefinito o **Personalizzato per creare una configurazione personalizzata** basata sui valori avanzati dei campi del selettore di eventi.
Puoi scegliere tra i seguenti modelli predefiniti:
+ **Registra tutti gli eventi**: scegli questo modello per registrare log di tutti gli eventi.
+ **Registra eventi di sola lettura**: scegli questo modello per registrare solo gli eventi di lettura. Gli eventi di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio gli eventi `Get*` o`Describe*`.
+ **Registra solo gli eventi di scrittura**: scegli questo modello per registrare solo gli eventi di scrittura. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi `Put*`, `Delete*` oppure `Write*`.
+ **Registra solo Console di gestione AWS eventi**: scegli questo modello per registrare solo gli eventi provenienti da. Console di gestione AWS
+ **Escludi eventi Servizio AWS iniziati**: scegli questo modello per escludere Servizio AWS gli eventi con un `eventType` off e gli eventi iniziati con Servizio AWS-linked roles (). `AwsServiceEvent` SLRs
1. (Facoltativo) In **Nome selettore** inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio «Registra gli eventi di gestione delle sessioni». Console di gestione AWS Il nome del selettore è riportato come `Name` nel selettore di eventi avanzato ed è visualizzabile se espandi la **vista JSON**.
1. Se hai scelto **Personalizzato**, in **Advanced event selectors** crea un'espressione basata sui valori avanzati dei campi del selettore di eventi.
**Nota**
I selettori non supportano l'uso di caratteri jolly come. `*` Per abbinare più valori a una singola condizione, puoi usare`StartsWith`, `EndsWith``NotStartsWith`, o `NotEndsWith` far corrispondere esplicitamente l'inizio o la fine del campo dell'evento.
1. Scegli tra i seguenti campi.
+ **`readOnly`**— `readOnly` può essere impostato in modo che sia **uguale a un valore di o**. `true` `false` Quando è impostato su`false`, l'Event Data Store registra gli eventi di gestione di sola scrittura. Gli eventi di gestione di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio gli eventi or. `Get*` `Describe*` Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi `Put*`, `Delete*` oppure `Write*`. Per registrare sia gli eventi di **lettura** che quelli di **scrittura**, non aggiungete un `readOnly` selettore.
+ **`eventName`**— `eventName` può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento di gestione, ad esempio `CreateAccessPoint` o`GetAccessPoint`.
+ **`userIdentity.arn`**— Includi o escludi eventi per le azioni intraprese da identità IAM specifiche. Per ulteriori informazioni, consulta [Elemento userIdentity di CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Includi o escludi eventi provenienti da una Console di gestione AWS sessione. Questo campo può essere impostato su **uguale o non uguale** **con un valore di.** `true`
+ **`eventSource`**— È possibile utilizzarlo per includere o escludere fonti di eventi specifiche. In genere `eventSource` è una forma abbreviata del nome del servizio senza spazi plus`.amazonaws.com`. Ad esempio, puoi impostare `eventSource` **equals** to per registrare solo gli `ec2.amazonaws.com` eventi di gestione di Amazon EC2.
+ **`eventType`**— L'[EventType](cloudtrail-event-reference-record-contents.md#ct-event-type) da includere o escludere. [Ad esempio, è possibile impostare questo campo su **non uguale per escludere `AwsServiceEvent` gli eventi.**Servizio AWS](non-api-aws-service-events.md)
1. Per ogni campo, scegliere **\$1 Condizioni** per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni.
Per informazioni su come CloudTrail valuta più condizioni, vedere. [Come CloudTrail valuta più condizioni per un campo](filtering-data-events.md#filtering-data-events-conditions)
**Nota**
Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come `eventName`. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.
1. Scegli **\$1 Field** (\$1 Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi.
1. Come opzione, espandere **JSON view** (Visualizzazione JSON) per vedere i propri selettori di eventi avanzati come un blocco JSON.
1. Scegli **Abilita l'acquisizione degli eventi di Insights** per abilitare Insights. Per abilitare Insights, è necessario configurare un [datastore di eventi di destinazione](query-event-data-store-insights.md#query-event-data-store-insights-procedure) per raccogliere gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi.
Se scegli di abilitare Insights, procedi come segue.
1. Scegli l'archivio eventi di destinazione che registrerà gli eventi di Insights. Il datastore di eventi di destinazione raccoglierà gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi. Per informazioni su come creare il datastore di eventi di destinazione, consulta [Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Scegli i tipi di Insights. Puoi scegliere la **frequenza delle chiamate API**, la **frequenza di errore API** o entrambi. Devi abilitare la registrazione degli eventi di gestione **Write** (scrittura) per registrare gli eventi Insights per la **frequenza di chiamate API**. Devi abilitare la registrazione degli eventi di gestione **Read** o **Write** per registrare gli eventi Insights per la **frequenza di errore API**.
1. Per includere gli eventi di dati nell'archivio di dati degli eventi, procedere come segue.
1. Scegli un tipo di risorsa. Questa è la risorsa Servizio AWS e su cui vengono registrati gli eventi relativi ai dati.
1. Nel **modello di selettore di registro**, scegli un modello predefinito o scegli **Personalizzato** per definire le tue condizioni di raccolta degli eventi in base ai valori dei campi avanzati del selettore di eventi.
Puoi scegliere tra i seguenti modelli predefiniti:
+ **Registra tutti gli eventi**: scegli questo modello per registrare log di tutti gli eventi.
+ **Registra eventi di sola lettura**: scegli questo modello per registrare solo gli eventi di lettura. Gli eventi di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio gli eventi `Get*` o`Describe*`.
+ **Registra solo gli eventi di scrittura**: scegli questo modello per registrare solo gli eventi di scrittura. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi `Put*`, `Delete*` oppure `Write*`.
+ **Registra solo Console di gestione AWS eventi**: scegli questo modello per registrare solo gli eventi provenienti da. Console di gestione AWS
+ **Escludi eventi Servizio AWS iniziati**: scegli questo modello per escludere Servizio AWS gli eventi con un `eventType` off e gli eventi iniziati con Servizio AWS-linked roles (). `AwsServiceEvent` SLRs
1. (Facoltativo) In **Nome selettore** inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio "Registra eventi di dati solo per due bucket S3". Il nome del selettore è riportato come `Name` nel selettore di eventi avanzato ed è visualizzabile se espandi la **vista JSON**.
1. Se hai selezionato **Personalizzato**, in **Advanced event selector** crea un'espressione basata sui valori dei campi avanzati del selettore di eventi.
**Nota**
I selettori non supportano l'uso di caratteri jolly come. `*` Per abbinare più valori a una singola condizione, puoi usare`StartsWith`, `EndsWith``NotStartsWith`, o `NotEndsWith` far corrispondere esplicitamente l'inizio o la fine del campo dell'evento.
1. Scegli tra i seguenti campi.
+ **`readOnly`**- `readOnly` può essere impostato su un valore **uguale** a o. `true` `false` Gli eventi di dati di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio eventi `Get*` o `Describe*`. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi `Put*`, `Delete*` oppure `Write*`. Per registrare sia eventi `read` che `write`, non aggiungere un selettore `readOnly`.
+ **`eventName`**: `eventName` può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento relativo ai dati registrato CloudTrail, ad esempio`PutBucket`, `GetItem` o. `GetSnapshotBlock`
+ **`eventSource`**— L'origine dell'evento da includere o escludere. Questo campo può utilizzare qualsiasi operatore.
+ **eventType**: il tipo di evento da includere o escludere. Ad esempio, è possibile impostare questo campo su **non uguale `AwsServiceEvent` a escludere.** [Servizio AWS eventi](non-api-aws-service-events.md) Per un elenco dei tipi di eventi, vedere [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)in. [CloudTrail registrare contenuti per eventi di gestione, dati e attività di rete](cloudtrail-event-reference-record-contents.md)
+ **sessionCredentialFromConsole**: include o esclude eventi provenienti da una Console di gestione AWS sessione. Questo campo può essere impostato su **uguale o non uguale** **con un valore di.** `true`
+ **userIdentity.arn**: includi o escludi eventi per azioni intraprese da identità IAM specifiche. Per ulteriori informazioni, consulta [Elemento userIdentity di CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`resources.ARN`**- È possibile utilizzare qualsiasi operatore con`resources.ARN`, ma se si **utilizza **uguale** o diverso**, il valore deve corrispondere esattamente all'ARN di una risorsa valida del tipo specificato nel modello come valore di. `resources.type`
**Nota**
Non è possibile utilizzare il `resources.ARN` campo per filtrare i tipi di risorse che non sono disponibili. ARNs
Per ulteriori informazioni sui formati ARN delle risorse relative agli eventi di dati, vedere [Azioni, risorse e chiavi di condizione Servizi AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) nel *Service Authorization* Reference.
1. Per ogni campo, scegliere **\$1 Condizioni** per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni. Ad esempio, per escludere gli eventi di dati per due bucket S3 dagli eventi di dati registrati nel tuo event data store, puoi impostare il campo su **Resources.arn**, impostare l'operatore for **doesnot start con e quindi incollare un bucket S3 ARN per il quale non** desideri registrare gli eventi.
Per aggiungere il secondo bucket S3, scegli **\$1 Condizioni**, quindi ripeti l'istruzione precedente, cercando un bucket diverso o incollandone l'ARN.
CloudTrail Per [Come CloudTrail valuta più condizioni per un campo](filtering-data-events.md#filtering-data-events-conditions) informazioni su come valuta più condizioni, consulta.
**Nota**
Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come `eventName`. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.
1. Scegli **\$1 Field** (\$1 Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi. Ad esempio, non specificare l'ARN di un selettore come uguale a un valore, quindi specifica che l'ARN non è uguale allo stesso valore in un altro selettore.
1. Come opzione, espandere **JSON view** (Visualizzazione JSON) per vedere i propri selettori di eventi avanzati come un blocco JSON.
1. Per aggiungere un altro tipo di risorsa su cui registrare gli eventi relativi ai dati, scegli **Aggiungi tipo di evento dati**. Ripeti i passaggi da 1 a questo passaggio per configurare i selettori di eventi avanzati per il tipo di risorsa.
1. Per includere gli eventi relativi alle attività di rete nel tuo archivio dati degli eventi, procedi come segue.
1. Da **Origine eventi di attività di rete**, scegli la fonte per gli eventi di attività di rete.
1. In **Modello di selettore di log**, scegliere un modello. Puoi scegliere di registrare tutti gli eventi di attività di rete, registrare tutti gli eventi di accesso negato all'attività di rete o scegliere **Personalizzato** per creare un selettore di registro personalizzato per filtrare più campi, come `eventName` e`vpcEndpointId`.
1. (Facoltativo) Inserisci un nome per identificare il selettore. **Il nome del selettore è elencato come **Nome** nel selettore di eventi avanzato ed è visualizzabile se si espande la vista JSON.**
1. ****In **Advanced, i selettori di eventi** creano espressioni scegliendo i valori per **Field**, Operator e Value.**** Se utilizzi un modello di log predefinito, puoi ignorare questa fase.
1. Per escludere o includere gli eventi di attività di rete, puoi scegliere tra i seguenti campi nella console.
+ **`eventName`**— È possibile utilizzare qualsiasi operatore con`eventName`. Puoi usarlo per includere o escludere qualsiasi evento, ad esempio`CreateKey`.
+ **`errorCode`**— È possibile utilizzarlo per filtrare in base a un codice di errore. Attualmente, l'unico supportato `errorCode` è`VpceAccessDenied`.
+ **`vpcEndpointId`**— Identifica l'endpoint VPC attraversato dall'operazione. È possibile utilizzare qualsiasi operatore con. `vpcEndpointId`
1. Per ogni campo, scegliere **\$1 Condizioni** per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni.
1. Scegli **\$1 Field** (\$1 Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi.
1. Per aggiungere un'altra fonte di eventi per la quale desideri registrare gli eventi di attività di rete, scegli **Aggiungi selettore di eventi di attività di rete**.
1. Come opzione, espandere **JSON view** (Visualizzazione JSON) per vedere i propri selettori di eventi avanzati come un blocco JSON.
1. Per copiare gli eventi di trail nel datastore di eventi, esegui la seguente procedura.
1. Scegliere il percorso che si vuole copiare. Per impostazione predefinita, copia CloudTrail solo CloudTrail gli eventi contenuti nel prefisso del bucket S3 e i `CloudTrail` prefissi all'interno del prefisso e non controlla i `CloudTrail` prefissi per altri servizi. AWS **Se desideri copiare gli CloudTrail eventi contenuti in un altro prefisso, scegli **Inserisci URI S3, quindi scegli Browse S3** per cercare il prefisso.** Se il bucket S3 di origine per il percorso utilizza una chiave KMS per la crittografia dei dati, assicurati che la politica della chiave KMS consenta di decrittografare i dati. CloudTrail Se il tuo bucket S3 di origine utilizza più chiavi KMS, devi aggiornare la policy di ciascuna chiave per consentire la decrittografia dei dati nel bucket. CloudTrail Per ulteriori informazioni sull'aggiornamento della policy delle chiavi KMS, consulta [Policy delle chiavi KMS per la decrittografia dei dati nel bucket S3 di origine](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms).
1. Scegli l'intervallo di tempo per copiare gli eventi. CloudTrail controlla il prefisso e il nome del file di registro per verificare che il nome contenga una data compresa tra la data di inizio e di fine scelte prima di tentare di copiare gli eventi del trail. Puoi scegliere un **Intervallo relativo** o un **Intervallo assoluto**. Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, scegliere un intervallo di tempo antecedente alla creazione dell'archivio dati degli eventi.
**Nota**
CloudTrail copia solo gli eventi di trail che `eventTime` rientrano nel periodo di conservazione dell'Event Data Store. Ad esempio, se il periodo di conservazione di un Event Data Store è di 90 giorni, non CloudTrail copierà alcun evento di trail con una data `eventTime` più vecchia di 90 giorni.
+ Se scegli **Intervallo relativo**, puoi scegliere di copiare gli eventi registrati negli ultimi 6 mesi, 1 anno, 2 anni, 7 anni o un intervallo personalizzato. CloudTrail copia gli eventi registrati nel periodo di tempo scelto.
+ Se scegli l'**intervallo assoluto**, puoi scegliere una data di inizio e di fine specifica. CloudTrail copia gli eventi che si sono verificati tra le date di inizio e di fine scelte.
1. Per **Autorizzazioni**, scegli una delle opzioni seguenti del ruolo IAM. Se scegli un ruolo IAM esistente, accertati che la policy dei ruoli IAM fornisca le autorizzazioni necessarie. Per ulteriori informazioni sull'aggiornamento delle autorizzazioni del ruolo IAM, consultare [Autorizzazioni IAM per la copia di eventi traccia](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam)
+ Scegli **Creare un nuovo ruolo (consigliato)** per creare un nuovo ruolo IAM. Per **Inserisci il nome del ruolo IAM**, inserisci un nome per il ruolo. CloudTrail crea automaticamente le autorizzazioni necessarie per questo nuovo ruolo.
+ Scegli **Usa un ruolo IAM personalizzato ARN** per utilizzare un ruolo IAM personalizzato non elencato. Per **Inserisci ARN ruolo IAM**, inserisci l'ARN IAM.
+ Scegli un ruolo IAM esistente dall'elenco a discesa.
1. Scegli **Avanti** per arricchire i tuoi eventi aggiungendo chiavi di tag di risorsa e chiavi di condizione globali IAM.
1. In **Enrich events**, aggiungi fino a 50 chiavi di tag di risorsa e 50 chiavi di condizione globali IAM per fornire metadati aggiuntivi sui tuoi eventi. Questo ti aiuta a classificare e raggruppare gli eventi correlati.
Se aggiungi chiavi di tag di risorsa, CloudTrail includerà le chiavi di tag selezionate associate alle risorse coinvolte nella chiamata API. Gli eventi API relativi alle risorse eliminate non avranno tag di risorsa.
Se aggiungi chiavi di condizione globali IAM, CloudTrail includerà informazioni sulle chiavi di condizione selezionate che sono state valutate durante il processo di autorizzazione, inclusi dettagli aggiuntivi sul principale, sulla sessione, sulla rete e sulla richiesta stessa.
Le informazioni sulle chiavi dei tag di risorsa e sulle chiavi di condizione globali IAM sono mostrate nel `eventContext` campo dell'evento. Per ulteriori informazioni, consulta [Arricchisci CloudTrail gli eventi aggiungendo chiavi di tag di risorsa e chiavi di condizione globali IAM](cloudtrail-context-events.md).
**Nota**
Se un evento contiene una risorsa che non appartiene alla regione dell'evento, non CloudTrail compilerà i tag per questa risorsa perché il recupero dei tag è limitato alla regione dell'evento.
1. Scegliete **Espandi la dimensione dell'evento** per espandere il payload dell'evento fino a 1 MB da 256 KB. Questa opzione viene abilitata automaticamente quando aggiungi chiavi di tag di risorsa o chiavi di condizione globale IAM per garantire che tutte le chiavi aggiunte siano incluse nell'evento.
L'espansione della dimensione dell'evento è utile per l'analisi e la risoluzione dei problemi degli eventi, poiché consente di visualizzare l'intero contenuto dei seguenti campi, purché il payload dell'evento sia inferiore a 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Per ulteriori informazioni su questi campi, consulta il contenuto dei [CloudTrail record](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
1. Scegli **Next** (Successivo) per rivedere le scelte effettuate.
1. Nella pagina **Review and create** (Rivedi e crea), esaminare le opzioni selezionate. Scegliere **Edit** (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Il nuovo datastore di eventi sarà presente nella tabella **Datastore di eventi** sulla pagina **Datastore di eventi**.
Da questo momento in poi, il datastore di eventi catturerà gli eventi che corrispondono ai suoi selettori di eventi avanzati (se mantieni l'opzione **Eventi di importazione** selezionata). Gli eventi che si sono verificati prima della creazione dell'archivio di dati degli eventi non si trovano all'interno dell'archivio, a meno che tu non si abbia scelto di copiare gli eventi di trail esistenti.
Ora è possibile eseguire query sul nuovo datastore di eventi. La scheda **Sample queries** (Query di esempio) fornisce query di esempio per iniziare. Per ulteriori informazioni sulla creazione e la modifica di query, consulta [Crea o modifica un'interrogazione con la console CloudTrail](query-create-edit-query.md).
Puoi anche visualizzare le [dashboard gestite](lake-dashboard-managed.md) o [creare dashboard personalizzate per](lake-dashboard-custom.md) visualizzare le tendenze degli eventi. Per ulteriori informazioni sui pannelli di controllo di Lake, consulta [CloudTrail Cruscotti Lake](lake-dashboard.md).
# Crea un archivio dati sugli eventi per gli eventi Insights con la console
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
AWS CloudTrail Insights aiuta AWS gli utenti a identificare e rispondere alle attività insolite associate ai tassi di chiamata e ai tassi di errore delle API analizzando continuamente gli eventi di CloudTrail gestione. CloudTrail Insights analizza i normali modelli di frequenza delle chiamate e dei tassi di errore delle API, detti anche *baseline*, e genera eventi Insights quando il volume delle chiamate o i tassi di errore non rientrano negli schemi normali. Gli eventi Insights sulla frequenza delle chiamate API vengono generati per la `write` gestione APIs, mentre gli eventi Insights sul tasso di errore delle API vengono generati sia per la gestione che per `read` la `write` gestione APIs.
Per registrare gli eventi di Insights in CloudTrail Lake, è necessario un data store di eventi di destinazione che registri gli eventi di Insights e un data store di eventi di origine che abiliti Insights e registri gli eventi di gestione.
**Nota**
Per registrare gli eventi di Insights sulla frequenza delle chiamate API, il data store degli eventi di origine deve registrare gli eventi di `write` gestione. Per registrare gli eventi di Insights sul tasso di errore dell'API, l'archivio dati degli eventi di origine deve registrare `read` o `write` gestire gli eventi.
Se hai abilitato CloudTrail Insights su un data store di eventi di origine e CloudTrail rileva attività insolite, CloudTrail invia gli eventi Insights al data store degli eventi di destinazione. A differenza di altri tipi di eventi acquisiti in un archivio dati di CloudTrail eventi, gli eventi di Insights vengono registrati solo quando CloudTrail rileva cambiamenti nell'utilizzo dell'API dell'account che differiscono in modo significativo dai modelli di utilizzo tipici dell'account.
Dopo aver abilitato CloudTrail Insights per la prima volta su un Event Data Store, CloudTrail potrebbero essere necessari fino a 7 giorni per iniziare a fornire gli eventi di Insights, a condizione che durante quel periodo venga rilevata un'attività insolita.
CloudTrail Insights analizza gli eventi di gestione che si verificano in ciascuna regione per il data store degli eventi e genera un evento Insights quando viene rilevata un'attività insolita che si discosta dalla linea di base. Un evento CloudTrail Insights viene generato nella stessa regione in cui viene generato l'evento di gestione di supporto.
Per un archivio dati di eventi organizzativi, CloudTrail Insights analizza gli eventi di gestione di ogni account membro dell'organizzazione per ogni regione e genera un evento Insights quando viene rilevata un'attività insolita che si discosta dalla linea di base per l'account e la regione.
Si applicano costi aggiuntivi per l'acquisizione di eventi Insights in Lake. CloudTrail L'addebito verrà effettuato separatamente se attivi Insights sia per i trail che per i data store di eventi CloudTrail Lake. Per informazioni sui CloudTrail prezzi, consulta la sezione [AWS CloudTrail Prezzi](https://aws.amazon.com/cloudtrail/pricing/).
**Topics**
+ [Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights](#query-event-data-store-insights-procedure)
+ [Creazione di un datastore di eventi di origine che registra gli eventi di Insights](#query-event-data-store-cloudtrail-insights)
## Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights
Quando si crea un datastore di eventi Insights, è possibile scegliere un datastore di eventi di origine esistente che registri gli eventi di gestione e quindi specificare i tipi di Insights che si desidera ricevere. In alternativa, puoi abilitare Insights su un datastore di eventi nuovo o esistente dopo aver creato il tuo datastore di eventi di Insights e quindi scegliere questo datastore come datastore di eventi di destinazione.
Questa procedura mostra come creare un datastore di eventi di destinazione che registra gli eventi di Insights.
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dal pannello di navigazione, apri il sottomenu **Lake**, quindi scegli **Event data stores** (Archivi di dati degli eventi).
1. Scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Nella pagina **Configure event data store** (Configura archivio di dati degli eventi), in **General details** (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.
1. Scegli l'**opzione di prezzo** che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md).
Sono disponibili le seguenti opzioni:
+ **Prezzo per la conservazione estendibile di un anno:** consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l’archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a un pay-as-you-go prezzo. Questa è l’opzione predefinita.
+ **Periodo di conservazione predefinito:** 366 giorni
+ **Periodo di conservazione massimo:** 3.653 giorni
+ **Prezzo per la conservazione di sette anni:** consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.
+ **Periodo di conservazione predefinito:** 2.557 giorni
+ **Periodo di conservazione massimo:** 2.557 giorni
1. Specificare un periodo di conservazione per l'archivio di dati degli eventi espresso in giorni. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione **Prezzo per la conservazione estendibile di un anno** o tra 7 e 2.557 giorni (circa sette anni) per l'opzione **Prezzo per la conservazione di sette anni**. L'archivio di dati degli eventi conserva i dati degli eventi per il numero specificato di giorni.
1. (Facoltativo) Per abilitare l'utilizzo della crittografia AWS Key Management Service, scegli **Usa la mia. AWS KMS key** Scegli **Nuovo** per AWS KMS key crearne uno per te, oppure scegli **Esistente** per utilizzare una chiave KMS esistente. In **Inserisci alias KMS**, specifica un alias nel formato. `alias/` *MyAliasName* L'utilizzo della propria chiave KMS richiede la modifica della politica delle chiavi KMS per consentire la crittografia e la decrittografia dell'archivio dati degli eventi. Per ulteriori informazioni, consulta. [Configurare le politiche AWS KMS chiave per CloudTrail](create-kms-key-policy-for-cloudtrail.md) CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta [Using multi-Region keys](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.
**Nota**
Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una chiave KMS esistente per l'account di gestione.
1. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli **Abilita** in **Federazione delle query di Data Lake**. La federazione ti consente di visualizzare i metadati associati al datastore di eventi nel [Catalogo dati](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) AWS Glue ed eseguire query SQL sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta [Federare un datastore di eventi](query-federation.md).
Per abilitare la federazione delle query di Lake, scegli **Abilita**, quindi esegui queste operazioni:
1. Scegli se creare un nuovo ruolo o utilizzare un ruolo IAM esistente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le [autorizzazioni minime richieste](query-federation.md#query-federation-permissions-role).
1. Se crei un nuovo ruolo, inserisci un nome per identificarlo.
1. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.
1. (Facoltativo) Scegli **Abilita politica delle risorse** per aggiungere una politica basata sulle risorse all'archivio dati degli eventi. Le policy basate sulle risorse ti consentono di controllare quali principali possono eseguire azioni sul tuo archivio dati degli eventi. Ad esempio, puoi aggiungere una politica basata sulle risorse che consenta agli utenti root di altri account di interrogare questo archivio dati di eventi e visualizzare i risultati della query. Per esempi di policy, consulta [Esempi di policy basate su risorse per archivi di dati di eventi](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una politica basata sulle risorse include una o più istruzioni. Ogni dichiarazione della policy definisce [i principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a cui è consentito o negato l'accesso all'Event Data Store e le azioni che i principali possono eseguire sulla risorsa Event Data Store.
Le seguenti azioni sono supportate nelle politiche basate sulle risorse per gli archivi di dati di eventi:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Per gli [archivi dati degli eventi organizzativi](cloudtrail-lake-organizations.md), CloudTrail crea una [politica predefinita basata sulle risorse](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) che elenca le azioni che gli account amministratore delegato sono autorizzati a eseguire sugli archivi dati degli eventi organizzativi. Le autorizzazioni contenute in questa politica derivano dalle autorizzazioni di amministratore delegato in. AWS Organizations Questa politica viene aggiornata automaticamente in seguito alle modifiche all'archivio dati degli eventi dell'organizzazione o all'organizzazione (ad esempio, un account amministratore CloudTrail delegato viene registrato o rimosso).
1. (Facoltativo) Nella sezione **Tags** (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un archivio di dati degli eventi in base ai tag, consultare [Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Per ulteriori informazioni su come utilizzare i tag in AWS, consulta [Tagging AWS resources nella Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User AWS Guide*.
1. Scegli **Next** (Successivo) per configurare il datastore di eventi.
1. Nella pagina **Scegli eventi**, scegli gli **AWS eventi, quindi scegli gli eventi** di **CloudTrailInsights**.
1. Negli **eventi CloudTrail Insights**, procedi come segue.
1. Scegli **Consenti l'accesso come amministratore delegato** se desideri concedere all'amministratore delegato della tua organizzazione l'accesso a questo datastore di eventi. Questa opzione è disponibile solo se hai effettuato l'accesso con l'account di gestione di un' AWS Organizations organizzazione.
1. (Facoltativo) Scegli un datastore di eventi di origine esistente che registri gli eventi di gestione e specifica i tipi di Insights che desideri ricevere.
Per aggiungere un datastore di eventi di origine, procedere come segue.
1. Scegli **Aggiungi datastore di eventi di origine**.
1. Scegli il datastore di eventi di origine.
1. Scegli il **tipo di Insights** che desideri ricevere.
+ `ApiCallRateInsight`: il tipo di Insights `ApiCallRateInsight` analizza le chiamate API di gestione in sola scrittura aggregate al minuto rispetto a un volume di chiamate API di base. Per ricevere Insights su `ApiCallRateInsight`, il datastore di eventi di origine deve registrare gli eventi di gestione **Write**.
+ `ApiErrorRateInsight`: il tipo di Insights `ApiErrorRateInsight` analizza le chiamate API di gestione che generano codici di errore. L'errore viene visualizzato se la chiamata API non ha esito positivo. Per ricevere Insights su `ApiErrorRateInsight`, il datastore di eventi di origine deve registrare gli eventi di gestione **Write** o **Read**.
1. Ripeti i due passaggi precedenti (ii e iii) per aggiungere eventuali altri tipi di Insights che desideri ricevere.
1. Scegli **Next** (Successivo) per rivedere le scelte effettuate.
1. Nella pagina **Review and create** (Rivedi e crea), esaminare le opzioni selezionate. Scegliere **Edit** (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Il nuovo datastore di eventi sarà presente nella tabella **Datastore di eventi** sulla pagina **Datastore di eventi**.
1. Se non hai scelto un datastore di eventi di origine nel passaggio 10, segui la procedura riportata in [Creazione di un datastore di eventi di origine che registra gli eventi di Insights](#query-event-data-store-cloudtrail-insights) per creare un datastore di eventi di origine.
## Creazione di un datastore di eventi di origine che registra gli eventi di Insights
Questa procedura mostra come creare un datastore di eventi di origine che abilita gli eventi Insights e registra gli eventi di gestione.
1. Accedi Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dal pannello di navigazione, apri il sottomenu **Lake**, quindi scegli **Event data stores** (Archivi di dati degli eventi).
1. Scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Nella pagina **Configure event data store** (Configura archivio di dati degli eventi), in **General details** (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.
1. Scegli l'**opzione di prezzo** che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md).
Sono disponibili le seguenti opzioni:
+ **Prezzo per la conservazione estendibile di un anno:** consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l’archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a un pay-as-you-go prezzo. Questa è l’opzione predefinita.
+ **Periodo di conservazione predefinito:** 366 giorni
+ **Periodo di conservazione massimo:** 3.653 giorni
+ **Prezzo per la conservazione di sette anni:** consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.
+ **Periodo di conservazione predefinito:** 2.557 giorni
+ **Periodo di conservazione massimo:** 2.557 giorni
1. Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione **Prezzo per la conservazione estendibile di un anno** o tra 7 e 2.557 giorni (circa sette anni) per l'opzione **Prezzo per la conservazione di sette anni**.
CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo `eventTime` di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando `eventTime` sono più vecchi di 90 giorni.
1. (Facoltativo) Per abilitare l'utilizzo della crittografia AWS Key Management Service, scegli **Usa la mia AWS KMS key**. Scegli **Nuovo** per AWS KMS key crearne uno per te, oppure scegli **Esistente** per utilizzare una chiave KMS esistente. In **Inserisci alias KMS**, specifica un alias nel formato. `alias/` *MyAliasName* L'utilizzo della propria chiave KMS richiede la modifica della politica delle chiavi KMS per consentire la crittografia e la decrittografia dell'archivio dati degli eventi. Per ulteriori informazioni, consulta. [Configurare le politiche AWS KMS chiave per CloudTrail](create-kms-key-policy-for-cloudtrail.md) CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta [Using multi-Region keys](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.
**Nota**
Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una chiave KMS esistente per l'account di gestione.
1. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli **Abilita** in **Federazione delle query di Data Lake**. La federazione ti consente di visualizzare i metadati associati al datastore di eventi nel [Catalogo dati](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) AWS Glue ed eseguire query SQL sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta [Federare un datastore di eventi](query-federation.md).
Per abilitare la federazione delle query di Lake, scegli **Abilita**, quindi esegui queste operazioni:
1. Scegli se creare un nuovo ruolo o utilizzare un ruolo IAM esistente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le [autorizzazioni minime richieste](query-federation.md#query-federation-permissions-role).
1. Se crei un nuovo ruolo, inserisci un nome per identificarlo.
1. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.
1. (Facoltativo) Scegli **Abilita politica delle risorse** per aggiungere una politica basata sulle risorse all'archivio dati degli eventi. Le policy basate sulle risorse ti consentono di controllare quali principali possono eseguire azioni sul tuo archivio dati degli eventi. Ad esempio, puoi aggiungere una politica basata sulle risorse che consenta agli utenti root di altri account di interrogare questo archivio dati di eventi e visualizzare i risultati della query. Per esempi di policy, consulta [Esempi di policy basate su risorse per archivi di dati di eventi](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una politica basata sulle risorse include una o più istruzioni. Ogni dichiarazione della policy definisce [i principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a cui è consentito o negato l'accesso all'Event Data Store e le azioni che i principali possono eseguire sulla risorsa Event Data Store.
Le seguenti azioni sono supportate nelle politiche basate sulle risorse per gli archivi di dati di eventi:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Per gli [archivi dati degli eventi organizzativi](cloudtrail-lake-organizations.md), CloudTrail crea una [politica predefinita basata sulle risorse](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) che elenca le azioni che gli account amministratore delegato sono autorizzati a eseguire sugli archivi dati degli eventi organizzativi. Le autorizzazioni contenute in questa politica derivano dalle autorizzazioni di amministratore delegato in. AWS Organizations Questa politica viene aggiornata automaticamente in seguito alle modifiche all'archivio dati degli eventi dell'organizzazione o all'organizzazione (ad esempio, un account amministratore CloudTrail delegato viene registrato o rimosso).
1. (Facoltativo) Nella sezione **Tags** (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un archivio di dati degli eventi in base ai tag, consultare [Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Per ulteriori informazioni su come utilizzare i tag in AWS, consulta [Tagging AWS resources nella Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User AWS Guide*.
1. Scegli **Next** (Successivo) per configurare il datastore di eventi.
1. **Nella pagina **Scegli eventi**, scegli **AWS gli eventi**, quindi scegli CloudTrail gli eventi.**
1. Negli **CloudTrail eventi**, lascia selezionata l'opzione **Eventi di gestione**.
1. Per fare in modo che il proprio archivio di dati degli eventi raccolga eventi da tutti gli account in un'organizzazione AWS Organizations , selezionare **Enable for all accounts in my organization** (Abilita per tutti gli account nella mia organizzazione). Per creare un datastore di eventi che abiliti Insights, è necessario effettuare l'accesso all'account di gestione dell'organizzazione.
1. Espandi **Impostazioni aggiuntive** per scegliere se desideri che il tuo Event Data Store raccolga gli eventi per tutti Regioni AWS o solo per quelli correnti Regione AWS, e scegli se il Data Store degli eventi inserisce gli eventi. Per impostazione predefinita, un datastore di eventi raccoglie eventi da tutte le Regioni e inizia a importarli al momento della creazione.
1. Se desideri includere solo gli eventi che sono registrati nella Regione corrente, seleziona **Includi solo la Regione corrente nel mio datastore di eventi**. Se non si sceglie questa opzione, l'archivio di dati degli eventi include gli eventi provenienti da tutte le regioni.
1. Lascia selezionata l'opzione **Eventi di importazione**.
1. Scegli tra Raccolta di **eventi semplice o Raccolta** di **eventi avanzata**:
+ Scegli **Simple event collection** se desideri registrare tutti gli eventi, registrare solo gli eventi di lettura o registrare solo gli eventi di scrittura. Puoi anche scegliere di escludere AWS Key Management Service eventi Amazon RDS Data API.
+ Scegli **Raccolta avanzata di eventi** se desideri includere o escludere gli eventi di gestione in base ai valori dei campi avanzati di selezione degli eventi, inclusi i campi`eventName`,`eventType`, `eventSource``sessionCredentialFromConsole`, e`userIdentity.arn`.
1. Se hai selezionato **Raccolta di eventi semplice**, scegli se registrare tutti gli eventi, registrare solo gli eventi di lettura o registrare solo gli eventi di scrittura. Puoi anche scegliere di escludere AWS KMS eventi Amazon RDS Data API.
1. Se hai selezionato **Raccolta eventi avanzata**, effettua le seguenti selezioni:
1. Nel **modello di selettore di registro**, scegli un modello predefinito o scegli **Personalizzato** per scrivere le tue condizioni di raccolta degli eventi in base ai valori dei campi avanzati del selettore di eventi.
Puoi scegliere tra i seguenti modelli predefiniti:
+ **Registra tutti gli eventi**: scegli questo modello per registrare log di tutti gli eventi.
+ **Registra eventi di sola lettura**: scegli questo modello per registrare solo gli eventi di lettura. Gli eventi di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio gli eventi `Get*` o`Describe*`.
+ **Registra solo gli eventi di scrittura**: scegli questo modello per registrare solo gli eventi di scrittura. Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi `Put*`, `Delete*` oppure `Write*`.
+ **Registra solo Console di gestione AWS eventi**: scegli questo modello per registrare solo gli eventi provenienti da. Console di gestione AWS
+ **Escludi eventi Servizio AWS iniziati**: scegli questo modello per escludere Servizio AWS gli eventi con un `eventType` off e gli eventi iniziati con Servizio AWS-linked roles (). `AwsServiceEvent` SLRs
1. (Facoltativo) In **Nome selettore** inserisci un nome per identificare il selettore. Il nome del selettore è un nome descrittivo per un selettore di eventi avanzato, ad esempio «Registra gli eventi di gestione delle sessioni». Console di gestione AWS Il nome del selettore è riportato come `Name` nel selettore di eventi avanzato ed è visualizzabile se espandi la **vista JSON**.
1. Se hai scelto **Personalizzato**, in **Advanced event selectors** crea un'espressione basata sui valori avanzati dei campi del selettore di eventi.
**Nota**
I selettori non supportano l'uso di caratteri jolly come. `*` Per abbinare più valori a una singola condizione, puoi usare`StartsWith`, `EndsWith``NotStartsWith`, o `NotEndsWith` far corrispondere esplicitamente l'inizio o la fine del campo dell'evento.
1. Scegli tra i seguenti campi.
+ **`readOnly`**— `readOnly` può essere impostato in modo che sia **uguale a un valore di o**. `true` `false` Quando è impostato su`false`, l'Event Data Store registra gli eventi di gestione di sola scrittura. Gli eventi di gestione di sola lettura sono eventi che non modificano lo stato di una risorsa, ad esempio gli eventi or. `Get*` `Describe*` Gli eventi di scrittura aggiungono, modificano o eliminano risorse, attributi o artefatti, ad esempio eventi `Put*`, `Delete*` oppure `Write*`. Per registrare sia gli eventi di **lettura** che quelli di **scrittura**, non aggiungete un `readOnly` selettore.
+ **`eventName`**— `eventName` può utilizzare qualsiasi operatore. È possibile utilizzarlo per includere o escludere qualsiasi evento di gestione, ad esempio `CreateAccessPoint` o`GetAccessPoint`.
+ **`userIdentity.arn`**— Includi o escludi eventi per le azioni intraprese da identità IAM specifiche. Per ulteriori informazioni, consulta [Elemento userIdentity di CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Includi o escludi eventi provenienti da una Console di gestione AWS sessione. Questo campo può essere impostato su **uguale o non uguale** **con un valore di.** `true`
+ **`eventSource`**— È possibile utilizzarlo per includere o escludere fonti di eventi specifiche. In genere `eventSource` è una forma abbreviata del nome del servizio senza spazi plus`.amazonaws.com`. Ad esempio, puoi impostare `eventSource` **equals** to per registrare solo gli `ec2.amazonaws.com` eventi di gestione di Amazon EC2.
+ **`eventType`**— L'[EventType](cloudtrail-event-reference-record-contents.md#ct-event-type) da includere o escludere. [Ad esempio, è possibile impostare questo campo su **non uguale per escludere `AwsServiceEvent` gli eventi.**Servizio AWS](non-api-aws-service-events.md)
1. Per ogni campo, scegliere **\$1 Condizioni** per aggiungere tutte le condizioni necessarie, fino a un massimo di 500 valori specificati per tutte le condizioni.
Per informazioni su come CloudTrail valuta più condizioni, vedere. [Come CloudTrail valuta più condizioni per un campo](filtering-data-events.md#filtering-data-events-conditions)
**Nota**
Puoi avere un massimo di 500 valori per tutti i selettori su un datastore di eventi. Questo include array di più valori per un selettore come `eventName`. Se disponi di valori singoli per tutti i selettori, puoi avere un massimo di 500 condizioni aggiunte a un selettore.
1. Scegli **\$1 Field** (\$1 Campo) per aggiungere campi aggiuntivi in base alle necessità. Per evitare errori, non impostare valori in conflitto o duplicati per i campi.
1. Come opzione, espandere **JSON view** (Visualizzazione JSON) per vedere i propri selettori di eventi avanzati come un blocco JSON.
1. Scegli **Abilita l'acquisizione degli eventi di Insights**.
1. Scegli l'archivio eventi di destinazione che registrerà gli eventi di Insights. Il datastore di eventi di destinazione raccoglierà gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi. Per informazioni su come creare il datastore di eventi di destinazione, consulta [Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights](#query-event-data-store-insights-procedure).
1. Scegli i tipi di Insights. Puoi scegliere la **frequenza delle chiamate API**, la **frequenza di errore API** o entrambi. Devi abilitare la registrazione degli eventi di gestione **Write** (scrittura) per registrare gli eventi Insights per la **frequenza di chiamate API**. Devi abilitare la registrazione degli eventi di gestione **Read** o **Write** per registrare gli eventi Insights per la **frequenza di errore API**.
1. Scegli **Avanti** per arricchire i tuoi eventi aggiungendo chiavi di tag di risorsa e chiavi di condizione globali IAM.
1. In **Enrich events**, aggiungi fino a 50 chiavi di tag di risorsa e 50 chiavi di condizione globali IAM per fornire metadati aggiuntivi sui tuoi eventi. Questo ti aiuta a classificare e raggruppare gli eventi correlati.
Se aggiungi chiavi di tag di risorsa, CloudTrail includerà le chiavi di tag selezionate associate alle risorse coinvolte nella chiamata API. Gli eventi API relativi alle risorse eliminate non avranno tag di risorsa.
Se aggiungi chiavi di condizione globali IAM, CloudTrail includerà informazioni sulle chiavi di condizione selezionate che sono state valutate durante il processo di autorizzazione, inclusi dettagli aggiuntivi sul principale, sulla sessione, sulla rete e sulla richiesta stessa.
Le informazioni sulle chiavi dei tag di risorsa e sulle chiavi di condizione globali IAM sono mostrate nel `eventContext` campo dell'evento. Per ulteriori informazioni, consulta [Arricchisci CloudTrail gli eventi aggiungendo chiavi di tag di risorsa e chiavi di condizione globali IAM](cloudtrail-context-events.md).
**Nota**
Se un evento contiene una risorsa che non appartiene alla regione dell'evento, non CloudTrail compilerà i tag per questa risorsa perché il recupero dei tag è limitato alla regione dell'evento.
1. Scegliete **Espandi la dimensione dell'evento** per espandere il payload dell'evento fino a 1 MB da 256 KB. Questa opzione viene abilitata automaticamente quando aggiungi chiavi di tag di risorsa o chiavi di condizione globale IAM per garantire che tutte le chiavi aggiunte siano incluse nell'evento.
L'espansione della dimensione dell'evento è utile per l'analisi e la risoluzione dei problemi degli eventi, poiché consente di visualizzare l'intero contenuto dei seguenti campi, purché il payload dell'evento sia inferiore a 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Per ulteriori informazioni su questi campi, consulta il contenuto dei [CloudTrail record](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
1. Scegli **Next** (Successivo) per rivedere le scelte effettuate.
1. Nella pagina **Review and create** (Rivedi e crea), esaminare le opzioni selezionate. Scegliere **Edit** (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Il nuovo datastore di eventi sarà presente nella tabella **Datastore di eventi** sulla pagina **Datastore di eventi**.
Da questo momento in poi, l'archivio di dati degli eventi cattura gli eventi che corrispondono ai suoi selettori di eventi avanzati. Dopo aver abilitato CloudTrail Insights per la prima volta nel tuo archivio dati di origine degli eventi, CloudTrail potrebbero essere necessari fino a 7 giorni per iniziare a fornire gli eventi di Insights, a condizione che venga rilevata un'attività insolita durante quel periodo.
Puoi visualizzare la dashboard di CloudTrail Lake per visualizzare gli eventi Insights nel data store degli eventi di destinazione. Per ulteriori informazioni sui pannelli di controllo di Lake, consulta [CloudTrail Cruscotti Lake](lake-dashboard.md).
Si applicano costi aggiuntivi per l'acquisizione di eventi Insights in Lake. CloudTrail Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. [Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.](https://aws.amazon.com/cloudtrail/pricing/)
# Crea un archivio dati di eventi per gli elementi di configurazione con la console
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Puoi creare un datastore di eventi per includere gli [elementi di configurazione AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-items) e utilizzarlo per esaminare le modifiche non conformi agli ambienti di produzione. Con un datastore di eventi, puoi mettere in relazione le regole non conformi con gli utenti e le risorse associati alle modifiche. Un elemento di configurazione rappresenta una point-in-time visualizzazione degli attributi di una AWS risorsa supportata presente nel tuo account. AWS Config crea un elemento di configurazione ogni volta che rileva una modifica a un tipo di risorsa che sta registrando. AWS Config crea inoltre elementi di configurazione quando viene acquisita un'istantanea di configurazione.
Puoi usare entrambi AWS Config e CloudTrail Lake per eseguire query sugli elementi di configurazione. È possibile utilizzare AWS Config per interrogare lo stato di configurazione corrente delle AWS risorse in base alle proprietà di configurazione per un singolo account Account AWS e Regione AWS regioni o per più account e regioni. Al contrario, puoi usare CloudTrail Lake per eseguire query su diverse fonti di dati come CloudTrail eventi, elementi di configurazione e valutazioni delle regole. CloudTrail Le query di Lake coprono tutti gli elementi AWS Config di configurazione, inclusa la configurazione delle risorse e la cronologia della conformità.
La creazione di un archivio dati di eventi per gli elementi di configurazione non ha alcun impatto sulle query AWS Config avanzate esistenti o sugli aggregatori configurati AWS Config . Puoi continuare a eseguire query avanzate utilizzando AWS Config e AWS Config continuare a fornire file di cronologia ai tuoi bucket S3.
CloudTrail I data store di eventi Lake sono a pagamento. Quando crei un datastore di eventi, scegli l'[opzione di prezzo](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi [AWS CloudTrail Prezzi](https://aws.amazon.com/cloudtrail/pricing/) e. [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md)
## Limitazioni
Le seguenti limitazioni si applicano ai datastore di eventiper gli elementi di configurazione.
+ Nessun supporto per elementi di configurazione personalizzati
+ Nessun supporto per il filtro degli eventi tramite selettori di eventi avanzati
## Prerequisiti
Prima di creare il tuo archivio dati sugli eventi, configura AWS Config la registrazione per tutti i tuoi account e le tue regioni. Puoi utilizzare [Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html), una funzionalità di AWS Systems Manager, per creare rapidamente un registratore di AWS Config configurazione basato su.
**Nota**
All' AWS Config avvio della registrazione delle configurazioni vengono addebitati i costi di utilizzo del servizio. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS Config](https://aws.amazon.com/config/pricing/). Per ulteriori informazioni sulla gestione del registratore di configurazione, consulta [Gestione del registratore della configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella *Guida per gli sviluppatori di AWS Config *.
Inoltre, le seguenti azioni sono consigliate, ma non obbligatorie per creare un datastore di eventi.
+ Configura un bucket Amazon S3 per ricevere uno snapshot di configurazione su richiesta e la cronologia di configurazione. Per ulteriori informazioni sugli snapshot, consulta [Managing the Delivery Channel](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html) (Gestione del canale di distribuzione) e [Delivering Configuration Snapshot to an Amazon S3 Bucket](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html) (Distribuzione dello snapshot di configurazione in un bucket Amazon S3) nella *Guida per gli sviluppatori di AWS Config *.
+ Specificate le regole che desiderate utilizzare AWS Config per valutare le informazioni di conformità per i tipi di risorse registrati. Alcune delle query di esempio di CloudTrail Lake AWS Config richiedono Regole di AWS Config la valutazione dello stato di conformità delle AWS risorse. Per ulteriori informazioni in merito Regole di AWS Config, consulta [Evaluating Resources with Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) nella *AWS Config Developer* Guide.
## Creazione di un datastore di eventi per gli elementi di configurazione
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione, in **Lake** seleziona **Datastore di eventi**.
1. Scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Nella pagina **Configure event data store** (Configura archivio di dati degli eventi), in **General details** (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.
1. Scegli l'**opzione di prezzo** che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md).
Sono disponibili le seguenti opzioni:
+ **Prezzo per la conservazione estendibile di un anno:** consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l’archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a un pay-as-you-go prezzo. Questa è l’opzione predefinita.
+ **Periodo di conservazione predefinito:** 366 giorni
+ **Periodo di conservazione massimo:** 3.653 giorni
+ **Prezzo per la conservazione di sette anni:** consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.
+ **Periodo di conservazione predefinito:** 2.557 giorni
+ **Periodo di conservazione massimo:** 2.557 giorni
1. Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione **Prezzo per la conservazione estendibile di un anno** o tra 7 e 2.557 giorni (circa sette anni) per l'opzione **Prezzo per la conservazione di sette anni**.
CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo `eventTime` di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando `eventTime` sono più vecchi di 90 giorni.
1. (Facoltativo) Per abilitare l'utilizzo della crittografia AWS Key Management Service, scegli **Usa la mia AWS KMS key**. Scegli **Nuovo** per AWS KMS key crearne uno per te, oppure scegli **Esistente** per utilizzare una chiave KMS esistente. In **Inserisci alias KMS**, specifica un alias nel formato. `alias/` *MyAliasName* L'utilizzo della propria chiave KMS richiede la modifica della politica delle chiavi KMS per consentire la crittografia e la decrittografia dell'archivio dati degli eventi. Per ulteriori informazioni, consulta. [Configurare le politiche AWS KMS chiave per CloudTrail](create-kms-key-policy-for-cloudtrail.md) CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta [Using multi-Region keys](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.
**Nota**
Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una chiave KMS esistente per l'account di gestione.
1. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli **Abilita** in **Federazione delle query di Data Lake**. La federazione ti consente di visualizzare i metadati associati al datastore di eventi nel [Catalogo dati](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) AWS Glue ed eseguire query SQL sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta [Federare un datastore di eventi](query-federation.md).
Per abilitare la federazione delle query di Lake, scegli **Abilita**, quindi esegui queste operazioni:
1. Scegli se creare un nuovo ruolo o utilizzare un ruolo IAM esistente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le [autorizzazioni minime richieste](query-federation.md#query-federation-permissions-role).
1. Se crei un nuovo ruolo, inserisci un nome per identificarlo.
1. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.
1. (Facoltativo) Scegli **Abilita politica delle risorse** per aggiungere una politica basata sulle risorse all'archivio dati degli eventi. Le policy basate sulle risorse ti consentono di controllare quali principali possono eseguire azioni sul tuo archivio dati degli eventi. Ad esempio, puoi aggiungere una politica basata sulle risorse che consenta agli utenti root di altri account di interrogare questo archivio dati di eventi e visualizzare i risultati della query. Per esempi di policy, consulta [Esempi di policy basate su risorse per archivi di dati di eventi](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una politica basata sulle risorse include una o più istruzioni. Ogni dichiarazione della policy definisce [i principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a cui è consentito o negato l'accesso all'Event Data Store e le azioni che i principali possono eseguire sulla risorsa Event Data Store.
Le seguenti azioni sono supportate nelle politiche basate sulle risorse per gli archivi di dati di eventi:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Per gli [archivi dati degli eventi organizzativi](cloudtrail-lake-organizations.md), CloudTrail crea una [politica predefinita basata sulle risorse](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) che elenca le azioni che gli account amministratore delegato possono eseguire sugli archivi dati degli eventi organizzativi. Le autorizzazioni contenute in questa politica derivano dalle autorizzazioni di amministratore delegato in. AWS Organizations Questa politica viene aggiornata automaticamente in seguito alle modifiche all'archivio dati degli eventi dell'organizzazione o all'organizzazione (ad esempio, un account amministratore CloudTrail delegato viene registrato o rimosso).
1. (Facoltativo) Nella sezione **Tags** (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un archivio di dati degli eventi in base ai tag, consultare [Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Per ulteriori informazioni su come utilizzare i tag in AWS, consulta [Tagging AWS resources nella Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User AWS Guide*.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Scegli eventi**, scegli **Eventi AWS **, quindi seleziona **Elementi di configurazione**.
1. CloudTrail archivia la risorsa Event Data Store nella regione in cui è stata creata, ma per impostazione predefinita, gli elementi di configurazione raccolti nel data store provengono da tutte le regioni dell'account in cui è abilitata la registrazione. Se lo desideri, puoi selezionare **Include only the current region in my event data store** (Includi solo la regione corrente nel datastore di eventi) per includere solo gli eventi acquisiti nella regione corrente. Se non scegli questa opzione, il datastore di eventi include gli elementi di configurazione provenienti da tutte le regioni in cui è abilitata la registrazione.
1. Per fare in modo che il tuo Event Data Store raccolga gli elementi di configurazione da tutti gli account di un' AWS Organizations organizzazione, seleziona **Abilita per tutti gli account della mia organizzazione**. Per creare un datastore di eventi che raccolga gli elementi di configurazione per un'organizzazione, è necessario effettuare l'accesso all'account di gestione o all'account dell'amministratore delegato dell'organizzazione stessa.
1. Scegli **Next** (Successivo) per rivedere le scelte effettuate.
1. Nella pagina **Review and create** (Rivedi e crea), esaminare le opzioni selezionate. Scegliere **Edit** (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Il nuovo datastore di eventi sarà presente nella tabella **Datastore di eventi** sulla pagina **Datastore di eventi**.
Da questo momento in poi, il datastore di eventi registra gli elementi di configurazione. Gli elementi di configurazione che si sono verificati prima della creazione delil datastore di eventi non si trovano al suo interno.
## Schema dell'elemento di configurazione
La tabella seguente descrive gli elementi dello schema obbligatori e facoltativi che corrispondono a quelli nei record degli elementi di configurazione. Il contenuto di `eventData` è fornito dagli elementi di configurazione; gli altri campi sono forniti da CloudTrail after ingestion.
CloudTrail i contenuti dei record di eventi sono descritti più dettagliatamente in. [CloudTrail registrare contenuti per eventi di gestione, dati e attività di rete](cloudtrail-event-reference-record-contents.md)
+ [Campi forniti da CloudTrail dopo l'ingestione](#fields-cloudtrail-event)
+ [Campi forniti dai tuoi eventi](#fields-config)
**Campi forniti da dopo l'ingestione CloudTrail**
| Nome del campo | Tipo di input | Requisito | Description |
| --- | --- | --- | --- |
| eventVersion | stringa | Richiesto | La versione del formato dell' AWS evento. |
| eventCategory | stringa | Richiesto | La categoria dell'evento. Per gli elementi di configurazione, il valore valido è `ConfigurationItem`. |
| eventType | stringa | Richiesto | Il tipo di evento, Per gli elementi di configurazione, il valore valido è `AwsConfigurationItem`. |
| eventID | stringa | Richiesto | Un ID univoco per un evento. |
| eventTime | stringa | Richiesto | Il timestamp dell'evento, in formato `yyyy-MM-DDTHH:mm:ss` Universal Coordinated Time (UTC). |
| awsRegion | stringa | Richiesto | Regione AWS A cui assegnare un evento. |
| recipientAccountId | stringa | Richiesto | Rappresenta l' Account AWS ID che ha ricevuto questo evento. |
| addendum | addendum | Facoltativo | Mostra informazioni sul motivo per cui un evento è stato ritardato. Se mancavano informazioni da un evento esistente, il blocco aggiuntivo includerà le informazioni mancanti e un motivo per cui mancavano. |
**I campi in `eventData` sono forniti dagli elementi di configurazione**
| Nome del campo | Tipo di input | Requisito | Description |
| --- | --- | --- | --- |
| eventData | - | Richiesto | I campi in eventData sono forniti dagli elementi di configurazione |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | La versione dell'elemento di configurazione dalla sua origine. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | L'ora in cui è stata avviata la registrazione della configurazione. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | Lo stato dell'elemento di configurazione. I valori validi sono `OK`, `ResourceDiscovered`, `ResourceNotRecorded`, ` ResourceDeleted` e `ResourceDeletedNotRecorded`. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | L' Account AWS ID a 12 cifre associato alla risorsa. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | Il tipo di risorsa. AWS Per ulteriori informazioni sui tipi di risorse validi, [ConfigurationItem](https://docs.aws.amazon.com/config/latest/APIReference/API_ConfigurationItem.html)consulta l'*AWS Config API Reference*. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | L'ID della risorsa (ad esempio, sg-*xxxxxx*). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | Il nome personalizzato della risorsa, se disponibile. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | Il nome della risorsa Amazon (ARN) associato alla risorsa. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | Il Regione AWS luogo in cui risiede la risorsa. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | La zona di disponibilità della risorsa associata alla risorsa. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | Il timestamp di quando è stata creata la risorsa. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Facoltativo | La descrizione della configurazione della risorsa. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Facoltativo | Attributi di configurazione AWS Config restituiti per determinati tipi di risorse per integrare le informazioni restituite per il parametro di configurazione. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | Un elenco di CloudTrail eventi IDs. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | - | Facoltativo | Un elenco di AWS risorse correlate. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | Il tipo di relazione con la risorsa correlata. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | Il tipo di risorsa della risorsa correlata. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | L'ID della risorsa correlata (ad esempio, sg-*xxxxxx*). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | stringa | Facoltativo | Il nome personalizzato della risorsa correlata, se disponibile. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Facoltativo | Una mappatura dei tag con i valori della chiave associati alla risorsa. |
L'esempio seguente mostra la gerarchia di elementi dello schema che corrispondono a quelli nei record degli elementi di configurazione.
```
{
"eventVersion": String,
"eventCategory: String,
"eventType": String,
"eventID": String,
"eventTime": String,
"awsRegion": String,
"recipientAccountId": String,
"addendum": Addendum,
"eventData": {
"configurationItemVersion": String,
"configurationItemCaptureTime": String,
"configurationItemStatus": String,
"configurationStateId": String,
"accountId": String,
"resourceType": String,
"resourceId": String,
"resourceName": String,
"arn": String,
"awsRegion": String,
"availabilityZone": String,
"resourceCreationTime": String,
"configuration": {
JSON,
},
"supplementaryConfiguration": {
JSON,
},
"relatedEvents": [
String
],
"relationships": [
struct{
"name" : String,
"resourceType": String,
"resourceId": String,
"resourceName": String
}
],
"tags": {
JSON
}
}
}
}
```
# Crea un archivio dati di eventi per eventi esterni AWS alla console
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Puoi creare un archivio dati di AWS eventi per includere eventi esterni a e quindi utilizzare CloudTrail Lake per cercare, interrogare e analizzare i dati registrati dalle tue applicazioni.
Puoi utilizzare *le integrazioni* di CloudTrail Lake per registrare e archiviare i dati sulle attività degli utenti dall'esterno AWS; da qualsiasi fonte nei tuoi ambienti ibridi, come applicazioni interne o SaaS ospitate in locale o nel cloud, macchine virtuali o contenitori.
Quando crei un archivio di dati degli eventi per un'integrazione, crei anche un canale e vi colleghi una policy delle risorse.
CloudTrail I data store di eventi Lake sono a pagamento. Quando crei un datastore di eventi, scegli l'[opzione di prezzo](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi [AWS CloudTrail Prezzi](https://aws.amazon.com/cloudtrail/pricing/) e. [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md)
## Per creare un archivio dati di eventi per eventi esterni a AWS
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione, in **Lake** seleziona **Datastore di eventi**.
1. Scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Nella pagina **Configure event data store** (Configura archivio di dati degli eventi), in **General details** (Dettagli generali), inserire un nome per l'archivio di dati degli eventi. Il nome è obbligatorio.
1. Scegli l'**opzione di prezzo** che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md).
Sono disponibili le seguenti opzioni:
+ **Prezzo per la conservazione estendibile di un anno:** consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l’archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a un pay-as-you-go prezzo. Questa è l’opzione predefinita.
+ **Periodo di conservazione predefinito:** 366 giorni
+ **Periodo di conservazione massimo:** 3.653 giorni
+ **Prezzo per la conservazione di sette anni:** consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.
+ **Periodo di conservazione predefinito:** 2.557 giorni
+ **Periodo di conservazione massimo:** 2.557 giorni
1. Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione **Prezzo per la conservazione estendibile di un anno** o tra 7 e 2.557 giorni (circa sette anni) per l'opzione **Prezzo per la conservazione di sette anni**.
CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo `eventTime` di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando `eventTime` sono più vecchi di 90 giorni.
1. (Facoltativo) Per abilitare l'utilizzo della crittografia AWS Key Management Service, scegli **Usa la mia AWS KMS key**. Scegli **Nuovo** per AWS KMS key crearne uno per te, oppure scegli **Esistente** per utilizzare una chiave KMS esistente. In **Inserisci alias KMS**, specifica un alias nel formato. `alias/` *MyAliasName* L'utilizzo della propria chiave KMS richiede la modifica della politica delle chiavi KMS per consentire la crittografia e la decrittografia dell'archivio dati degli eventi. Per ulteriori informazioni, consulta. [Configurare le politiche AWS KMS chiave per CloudTrail](create-kms-key-policy-for-cloudtrail.md) CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta [Using multi-Region keys](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.
**Nota**
Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una chiave KMS esistente per l'account di gestione.
1. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli **Abilita** in **Federazione delle query di Data Lake**. La federazione ti consente di visualizzare i metadati associati al datastore di eventi nel [Catalogo dati](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) AWS Glue ed eseguire query SQL sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta [Federare un datastore di eventi](query-federation.md).
Per abilitare la federazione delle query di Lake, scegli **Abilita**, quindi esegui queste operazioni:
1. Scegli se creare un nuovo ruolo o utilizzare un ruolo IAM esistente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le [autorizzazioni minime richieste](query-federation.md#query-federation-permissions-role).
1. Se crei un nuovo ruolo, inserisci un nome per identificarlo.
1. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.
1. (Facoltativo) Scegli **Abilita politica delle risorse** per aggiungere una politica basata sulle risorse all'archivio dati degli eventi. Le policy basate sulle risorse ti consentono di controllare quali principali possono eseguire azioni sul tuo archivio dati degli eventi. Ad esempio, puoi aggiungere una politica basata sulle risorse che consenta agli utenti root di altri account di interrogare questo archivio dati di eventi e visualizzare i risultati della query. Per esempi di policy, consulta [Esempi di policy basate su risorse per archivi di dati di eventi](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una politica basata sulle risorse include una o più istruzioni. Ogni dichiarazione della policy definisce [i principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a cui è consentito o negato l'accesso all'Event Data Store e le azioni che i principali possono eseguire sulla risorsa Event Data Store.
Le seguenti azioni sono supportate nelle politiche basate sulle risorse per gli archivi di dati di eventi:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Per gli [archivi dati degli eventi organizzativi](cloudtrail-lake-organizations.md), CloudTrail crea una [politica predefinita basata sulle risorse](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) che elenca le azioni che gli account amministratore delegato possono eseguire sugli archivi dati degli eventi organizzativi. Le autorizzazioni contenute in questa politica derivano dalle autorizzazioni di amministratore delegato in. AWS Organizations Questa politica viene aggiornata automaticamente in seguito alle modifiche all'archivio dati degli eventi dell'organizzazione o all'organizzazione (ad esempio, un account amministratore CloudTrail delegato viene registrato o rimosso).
1. (Facoltativo) Nella sezione **Tags** (Tag), puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso alil datastore di eventi. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un archivio di dati degli eventi in base ai tag, consultare [Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Per ulteriori informazioni su come utilizzare i tag in AWS, consulta [Tagging AWS resources nella Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User AWS Guide*.
1. Scegli **Next** (Successivo) per configurare il datastore di eventi.
1. Nella pagina **Choose events** (Scegli eventi), scegli **Events from integrations** (Eventi dalle integrazioni).
1. Da **Events from integration** (Eventi dall'integrazione), scegli l'origine dalla quale distribuire gli eventi all'archivio di dati degli eventi.
1. Fornisci un nome per identificare il canale dell'integrazione. Il nome può contenere da 3 a 128 caratteri. Sono consentiti soltanto lettere, numeri, punti, e caratteri di sottolineatura e trattini.
1. In **Resource policy** (Policy delle risorse), configura la policy delle risorse per il canale dell'integrazione. Le policy delle risorse sono documenti di policy JSON che specificano le operazioni che possono essere eseguite da un principale specificato sulla risorsa e in base a quali condizioni. Gli account definiti come principali nella policy delle risorse possono chiamare l'API `PutAuditEvents` per distribuire gli eventi al tuo canale. Il proprietario della risorsa ha accesso implicito alla risorsa se la sua policy IAM consente l'operazione `cloudtrail-data:PutAuditEvents`.
Le informazioni richieste per la policy dipendono dal tipo di integrazione. Per un'integrazione direzionale, aggiunge CloudTrail automaticamente l' AWS account IDs del partner e richiede l'immissione dell'ID esterno univoco fornito dal partner. Per l'integrazione di una soluzione, è necessario specificare almeno un ID AWS account come principale e, facoltativamente, inserire un ID esterno per evitare confusioni.
**Nota**
Se non crei una policy delle risorse per il canale, solo il proprietario del canale può chiamare l'API `PutAuditEvents` sul canale.
1. Per un'integrazione diretta, inserisci l'ID esterno fornito dal partner. Il partner di integrazione fornisce un ID esterno univoco, come un ID account o una stringa generata casualmente, da utilizzare per evitare che l'integrazione incorra nel problema "confused deputy". Il partner ha la responsabilità di creare e fornire un ID esterno univoco.
Per consultare la documentazione del partner che descrive come trovare l'ID esterno, scegli **How to find this?** (Come trovarlo?).
![\[Documentazione del partner per l'ID esterno\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/integration-external-id.png)
**Nota**
Se la policy delle risorse include un ID esterno, tutte le chiamate all'API `PutAuditEvents` devono includere tale ID. Tuttavia, se la policy non definisce un ID esterno, il partner può comunque chiamare l'API `PutAuditEvents` e specificare un parametro `externalId`.
1. Per un'integrazione con una soluzione, scegli **Aggiungi AWS account** per specificare ogni ID AWS account da aggiungere come principale nella politica.
1. Scegli **Next** (Successivo) per rivedere le scelte effettuate.
1. Nella pagina **Review and create** (Rivedi e crea), esaminare le opzioni selezionate. Scegliere **Edit** (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere **Create event data store** (Crea archivio di dati degli eventi).
1. Il nuovo datastore di eventi sarà presente nella tabella **Datastore di eventi** sulla pagina **Datastore di eventi**.
1. Fornisci il nome della risorsa Amazon (ARN) del canale all'applicazione del partner. Le istruzioni per fornire l'ARN del canale all'applicazione del partner sono disponibili sul sito Web della documentazione dei partner. Per ulteriori informazioni, seleziona il link **Learn more** (Ulteriori informazioni) relativo al partner nella scheda **Available sources** (Origini disponibili) della pagina **Integrations** (Integrazioni) per aprire la pagina del partner in Marketplace AWS.
L'event data store inizia a importare gli eventi dei partner CloudTrail attraverso il canale di integrazione quando tu, il partner o le applicazioni partner chiamate l'`PutAuditEvents`API sul canale.
# Aggiorna un data store di eventi con la console
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
In questa sezione viene descritto come aggiornare le impostazioni di un datastore di eventi utilizzando la Console di gestione AWS. Per informazioni su come aggiornare un Event Data Store utilizzando il AWS CLI, vedere[Aggiornate un archivio dati di eventi con AWS CLI](lake-cli-update-eds.md).
**Per aggiornare un datastore di eventi**
1. Accedere a Console di gestione AWS e aprire la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.
1. Scegli il datastore di eventi da aggiornare. Questa operazione apre la pagina dei dettagli del datastore di eventi.
1. In **Dettagli generali**, scegli **Modifica** per modificare le impostazioni seguenti:
+ **Nome dell'archivio di dati eventi**: modifica il nome che identifica il tuo datastore di eventi.
+ **[Opzione di prezzo](cloudtrail-lake-concepts.md#eds-pricing-tier)**: per i datastore di eventi che utilizzano l'opzione **Prezzo per la conservazione di sette anni**, puoi scegliere di sostituire questa opzione con **Prezzo per la conservazione estendibile di un anno**. Consigliamo l'opzione Prezzo per la conservazione estendibile di un anno per i datastore di eventi che importano meno di 25 TB di dati di eventi al mese. Consigliamo l'opzione Prezzo per la conservazione estendibile di un anno anche se sei alla ricerca di un periodo di conservazione flessibile fino a 10 anni. Per ulteriori informazioni, consulta [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md).
**Nota**
Non puoi modificare l'opzione di prezzo per i datastore di eventi che utilizzano l'opzione **Prezzo per la conservazione estendibile di un anno**. Se desideri utilizzare l'opzione **Prezzo per la conservazione di sette anni**, [interrompi l'importazione](query-eds-stop-ingestion.md) nel datastore di eventi corrente. Quindi crea un nuovo datastore di eventi con l'opzione **Prezzo per la conservazione di sette anni**.
+ **Periodo di conservazione:** modifica il periodo di conservazione per il datastore di eventi. Il periodo di conservazione determina la durata di conservazione dei dati degli eventi presenti nel datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione **Prezzo per la conservazione estendibile di un anno** o tra 7 e 2.557 giorni (circa sette anni) per l'opzione **Prezzo per la conservazione di sette anni**.
**Nota**
Se riduci il periodo di conservazione di un Event Data Store, CloudTrail rimuoverà tutti gli eventi con un periodo di conservazione `eventTime` precedente al nuovo. Ad esempio, se il periodo di conservazione precedente era di 365 giorni e lo riduci a 100 giorni, CloudTrail rimuoverà gli eventi con una data `eventTime` più vecchia di 100 giorni.
+ **Crittografia:** per crittografare il datastore di eventi utilizzando la tua chiave KMS, scegli **Usa la mia AWS KMS key**. Per impostazione predefinita, tutti gli eventi in un archivio dati degli eventi sono crittografati da CloudTrail. L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia.
**Nota**
Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.
+ Per includere solo gli eventi registrati nella Regione AWS corrente, scegli **Includi solo la regione corrente nel mio datastore di eventi**. Se non scegli questa opzione, il datastore di eventi include gli eventi provenienti da tutte le regioni.
+ Per fare in modo che il tuo archivio dati degli eventi raccolga gli eventi da tutti gli account di un' AWS Organizations organizzazione, scegli **Abilita per tutti gli account** della mia organizzazione. Questa opzione è disponibile solo se hai effettuato l'accesso con l'account di gestione dell'organizzazione e il **tipo di evento** per il data store **CloudTraildegli eventi è Eventi** o **Elementi di configurazione**.
Al termine, scegli **Salva le modifiche**.
1. Nella **federazione delle query di Lake**, scegli **Modifica** per abilitare o disabilitare la federazione delle query di Lake. L'[attivazione della federazione delle query di Lake](query-enable-federation.md) ti consente di visualizzare i metadati per il tuo archivio dati di eventi nel AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) ed eseguire query SQL sui dati dell'evento utilizzando Amazon Athena. [La disabilitazione della federazione delle query di Lake](query-disable-federation.md) disabilita l'integrazione con AWS Glue AWS Lake Formation, e Amazon Athena. Dopo aver disabilitato la federazione delle query di Lake, non puoi più eseguire query sui dati in Athena. Nessun dato di CloudTrail Lake viene eliminato quando disabiliti la federazione e puoi continuare a eseguire query in Lake. CloudTrail
Per abilitare la federazione, procedi come segue:
1. Scegli **Abilita **.
1. Scegli se creare un nuovo ruolo IAM o se utilizzarne uno esistente. Quando crei un nuovo ruolo, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se utilizzi un ruolo esistente, assicurati che la policy del ruolo fornisca le [autorizzazioni minime richieste](query-federation.md#query-federation-permissions-role).
1. Se crei un nuovo ruolo IAM, inserisci un nome per il ruolo.
1. Se scegli un ruolo IAM esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.
Al termine, scegli **Salva modifiche**.
1. In **Politica delle risorse**, scegli **Modifica** per aggiungere o modificare la politica basata sulle risorse per l'archivio dati degli eventi.
Le policy basate sulle risorse ti consentono di controllare quali principali possono eseguire azioni sul tuo archivio dati degli eventi. Ad esempio, puoi aggiungere una politica basata sulle risorse che consenta agli utenti root di altri account di interrogare questo archivio dati di eventi e visualizzare i risultati delle query. Per esempi di policy, consulta [Esempi di policy basate su risorse per archivi di dati di eventi](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una politica basata sulle risorse include una o più istruzioni. Ogni dichiarazione della policy definisce [i principali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a cui è consentito o negato l'accesso all'Event Data Store e le azioni che i principali possono eseguire sulla risorsa Event Data Store.
Le seguenti azioni sono supportate nelle politiche basate sulle risorse per gli archivi di dati di eventi:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Per gli [archivi dati degli eventi organizzativi](cloudtrail-lake-organizations.md), CloudTrail crea una [politica predefinita basata sulle risorse](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) che elenca le azioni che gli account amministratore delegato possono eseguire sugli archivi dati degli eventi organizzativi. Le autorizzazioni contenute in questa politica derivano dalle autorizzazioni di amministratore delegato in. AWS Organizations Questa politica viene aggiornata automaticamente in seguito alle modifiche all'archivio dati degli eventi dell'organizzazione o all'organizzazione (ad esempio, un account amministratore CloudTrail delegato viene registrato o rimosso).
1. Modifica eventuali impostazioni aggiuntive specifiche per il **tipo di evento** del tuo Event Data Store.
**Impostazioni per CloudTrail gli eventi**
+ Per modificare gli eventi che l'archivio dati degli eventi registra, scegli **Modifica** negli **CloudTrail eventi**.
+ In **Eventi di gestione**, scegli **Modifica** per modificare le impostazioni degli eventi di gestione. Per ulteriori informazioni, consulta [Aggiornamento delle impostazioni degli eventi di gestione per un archivio dati di eventi esistente](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds).
+ In **Eventi di dati**, scegli **Modifica** per modificare le impostazioni degli eventi di dati. Puoi scegliere quali tipi di risorse vuoi registrare e scegliere il modello di selettore di log che desideri utilizzare. Per ulteriori informazioni, consulta [Aggiornamento di un data store di eventi esistente per registrare gli eventi di dati utilizzando la console](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds).
+ In **Eventi di attività di rete**, scegli **Modifica per modificare** le impostazioni relative agli eventi di attività di rete. Puoi scegliere il tipo di evento di attività di rete che desideri registrare e scegliere il modello di selettore di registro che desideri utilizzare. Per ulteriori informazioni, consulta [Aggiorna un archivio dati di eventi esistente per registrare gli eventi di attività di rete](logging-network-events-with-cloudtrail.md#log-network-events-lake-console).
+ In **Arricchisci eventi, espandi la dimensione dell'evento**, scegli **Modifica** per aggiungere o rimuovere tag di risorsa e chiavi di condizione globali IAM ed espandi la dimensione dell'evento.
In **Enrich events**, aggiungi fino a 50 chiavi di tag di risorsa e 50 chiavi di condizione globali IAM per fornire metadati aggiuntivi sui tuoi eventi. Questo ti aiuta a classificare e raggruppare gli eventi correlati.
Se aggiungi chiavi di tag di risorsa, CloudTrail includerà le chiavi di tag selezionate associate alle risorse coinvolte nella chiamata API. Gli eventi API relativi alle risorse eliminate non avranno tag di risorsa.
Se aggiungi chiavi di condizione globali IAM, CloudTrail includerà informazioni sulle chiavi di condizione selezionate che sono state valutate durante il processo di autorizzazione, inclusi dettagli aggiuntivi sul principale, sulla sessione, sulla rete e sulla richiesta stessa.
Le informazioni sulle chiavi dei tag di risorsa e sulle chiavi di condizione globali IAM sono mostrate nel `eventContext` campo dell'evento. Per ulteriori informazioni, consulta [Arricchisci CloudTrail gli eventi aggiungendo chiavi di tag di risorsa e chiavi di condizione globali IAM](cloudtrail-context-events.md).
**Nota**
Se un evento contiene una risorsa che non appartiene alla regione dell'evento, non CloudTrail compilerà i tag per questa risorsa perché il recupero dei tag è limitato alla regione dell'evento.
Scegliete **Espandi la dimensione dell'evento** per espandere il payload dell'evento fino a 1 MB da 256 KB. Questa opzione viene abilitata automaticamente quando aggiungi chiavi di tag di risorsa o chiavi di condizione globale IAM per garantire che tutte le chiavi aggiunte siano incluse nell'evento.
L'espansione della dimensione dell'evento è utile per l'analisi e la risoluzione dei problemi degli eventi, poiché consente di visualizzare l'intero contenuto dei seguenti campi, purché il payload dell'evento sia inferiore a 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Per ulteriori informazioni su questi campi, consulta il contenuto dei [CloudTrail record](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
Al termine, scegli **Salva le modifiche**.
**Impostazioni per Events from integration**
In **Integrazioni**, scegli la tua integrazione. Quindi scegli **Modifica** per modificare le seguenti impostazioni:
+ In **Dettagli sull'integrazione**, modifica il nome che identifica il canale dell'integrazione.
+ In **Luogo di consegna dell'evento**, scegli la destinazione degli eventi.
+ In **Resource policy** (Policy delle risorse), configura la policy delle risorse per il canale dell'integrazione.
Al termine, scegli **Salva le modifiche**.
Per ulteriori informazioni su queste impostazioni, consultare [Crea un'integrazione con un CloudTrail partner tramite la console](query-event-data-store-integration-partner.md).
1. Per aggiungere, modificare o rimuovere i tag, scegli **Modifica** in **Tag**. Puoi aggiungere fino a 50 coppie di chiavi di tag per identificare, ordinare e controllare l'accesso al datastore di eventi. Al termine, scegli **Salva le modifiche**.
# Interrompi e avvia l'acquisizione di eventi con la console
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Per impostazione predefinita, i datastore di eventi sono configurati per importare eventi. Puoi impedire a un Event Data Store di importare eventi utilizzando la console AWS CLI, o. APIs
Le opzioni **Avvia importazione e **Interrompi ingestione**** sono disponibili solo negli archivi dati di eventi contenenti CloudTrail eventi (eventi di gestione, eventi di dati ed eventi di attività di rete) o elementi di configurazione. AWS Config
Quando si interrompe l'importazione su un datastore di eventi, lo stato datastore di eventi cambia in. `STOPPED_INGESTION` È comunque possibile eseguire query su qualsiasi evento già presente nel datastore di eventi. È inoltre possibile copiare gli eventi di trail nell'event data store (se contiene solo eventi). CloudTrail
**Interruzione dell'importazione di eventi da parte di un datastore di eventi**
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.
1. Scegliere l'evento dall'archivio di dati degli eventi.
1. Da **Operazioni**, scegli **Interrompi importazione**.
1. Quando viene chiesto di confermare l'operazione, seleziona **Interrompi la registrazione**. Il datastore di eventi smetterà di importare gli eventi live.
1. Per riprendere l'importazione, scegli **Avvia importazione**.
**Per riavviare l'importazione degli eventi**
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.
1. Scegliere l'evento dall'archivio di dati degli eventi.
1. Da **Operazioni**, scegli **Avvia importazione**.
# Modificare la protezione dalla terminazione con la console
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Per impostazione predefinita, i data store di eventi in AWS CloudTrail Lake sono configurati con la protezione dalla terminazione abilitata. La protezione della terminazione impedisce l'eliminazione accidentale dei datastore di eventi. Se desideri eliminare il datastore di eventi, devi disabilitare la protezione della terminazione. È possibile disabilitare la protezione dalla terminazione utilizzando le Console di gestione AWS operazioni AWS CLI, o API.
**Per disattivare la protezione della terminazione**
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.
1. Scegliere l'evento dall'archivio di dati degli eventi.
1. Da **Operazioni**, scegli **Modifica protezione della terminazione**.
1. Scegli **Disabilita**.
1. Scegli **Save** (Salva). Ora puoi [eliminare il data store degli eventi](query-event-data-store-delete.md).
**Per attivare la protezione della terminazione**
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.
1. Scegliere l'evento dall'archivio di dati degli eventi.
1. Da **Operazioni**, scegli **Modifica protezione della terminazione**.
1. Per attivare la protezione della terminazione, scegli **Abilitata**.
1. Scegli **Save** (Salva).
# Eliminare un archivio dati di eventi con la console
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
In questa sezione viene descritto come eliminare un datastore di eventi utilizzando la console CloudTrail. Per informazioni su come eliminare un Event Data Store utilizzando il AWS CLI, vedere[Eliminare un archivio dati di eventi con AWS CLI](lake-cli-delete-eds.md).
**Nota**
Non è possibile eliminare un datastore di eventi se è abilitata la [protezione della terminazione](query-eds-termination-protection.md) o la [federazione delle query di Lake](query-enable-federation.md). Per impostazione predefinita, CloudTrail abilita la protezione dalla terminazione per proteggere un Event Data Store dall'eliminazione accidentale.
Per eliminare un datastore di eventi con un tipo di evento di **Eventi dall'integrazione**, devi prima eliminare il canale dell'integrazione. È possibile eliminare il canale dalla pagina dei dettagli dell'integrazione o utilizzando il comando **aws cloudtrail delete-channel**. Per ulteriori informazioni, consulta [Eliminare un canale per eliminare un'integrazione con AWS CLI](lake-cli-delete-integration.md)
**Per eliminare un datastore di eventi**
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.
1. Scegliere l'evento dall'archivio di dati degli eventi.
1. In **Operazioni**, seleziona **Elimina**.
1. Digita il nome del datastore di eventi per confermare che desideri eliminarlo.
1. Scegli **Elimina**.
Dopo l'eliminazione di un datastore di eventi, lo stato del datastore cambia in `PENDING_DELETION` e rimane tale per 7 giorni. È possibile [ripristinare](query-eds-restore.md) un datastore di eventi durante il periodo di 7 giorni. Mentre si trova nello stato `PENDING_DELETION`, il datastore di eventi non è disponibile per le query né consente di eseguire altre operazioni, tranne quelle di ripristino. Un datastore di eventi in attesa di eliminazione non acquisisce eventi e non comporta costi. I data store di eventi in attesa di eliminazione vengono conteggiati ai fini della quota di archivi dati di eventi che possono esistere in uno Regione AWS.
# Ripristina un archivio dati di eventi con la console
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Dopo aver eliminato un Event Data Store in AWS CloudTrail Lake, il relativo stato cambia `PENDING_DELETION` e rimane in tale stato per 7 giorni. Durante questo periodo, puoi ripristinare l'archivio dati degli eventi utilizzando l'operazione Console di gestione AWS AWS CLI, o l'[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html)API.
In questa sezione viene descritto come ripristinare un datastore di eventi utilizzando la console. Per informazioni su come ripristinare un Event Data Store utilizzando il AWS CLI, vedere[Ripristina un archivio dati di eventi con AWS CLI](lake-cli-manage-eds.md#lake-cli-restore-eds).
**Per ripristinare un datastore di eventi**
1. Accedere a Console di gestione AWS e aprire la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.
1. Scegliere l'evento dall'archivio di dati degli eventi.
1. Da **Operazioni**, scegli **Ripristina**.
# Esportazione di dati da CloudTrail Lake Event Data Store a CloudWatch
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Rendere disponibili i dati di CloudTrail Lake CloudWatch offre diversi vantaggi:
+ **Gestione centralizzata dei log**: combina CloudTrail gli eventi con i log delle applicazioni, i log dell'infrastruttura e altre fonti di dati. CloudWatch
+ **Integrazione semplificata**: CloudWatch gestisce il processo di importazione con pochi passaggi, specifica l'archivio dati degli eventi e l'intervallo di dati.
+ **Accesso ai dati storici**: importa i dati storici di CloudTrail Lake per analizzare gli eventi passati insieme ai dati operativi attuali.
+ **Nessun CloudTrail costo aggiuntivo**: l'importazione semplificata dei dati dei CloudTrail laghi è disponibile senza CloudTrail costi aggiuntivi. Tuttavia, l'applicazione dei prezzi dei registri personalizzati di Infrequent Access comporterà dei CloudWatch costi.
Questa sezione descrive come esportare i dati da un Event Data Store utilizzando la console. CloudTrail [Per informazioni su come eseguire questa operazione tramite SDK o AWS CLI, CloudWatch consultate la documentazione](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
**Per esportare dati da un archivio dati di eventi**
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel riquadro di navigazione, seleziona **Datastore di eventi** in **Lake**.
1. Scegliere l'evento dall'archivio di dati degli eventi.
1. Da **Azioni**, scegli **Esporta in CloudWatch**.
1. Scegli l'intervallo di tempo in cui esportare i dati per l'EDS.
1. Utilizza le istruzioni per creare o fornire un ruolo IAM da utilizzare per accedere ai dati per l'esportazione. CloudTrail
1. Scegli **Export** (Esporta).
Quando rendi disponibili i dati di CloudTrail Lake per l'esportazione in CloudWatch, considera quanto segue:
+ **Prezzi**: sebbene l'esportazione semplificata dei dati di CloudTrail Lake sia disponibile senza CloudTrail costi aggiuntivi, sono CloudWatch previste commissioni basate sui prezzi dei log personalizzati
+ **Conservazione dei dati**: assicurati che il periodo di conservazione CloudTrail del tuo Lake Event Data Store copra i dati storici che desideri esportare
+ **Disponibilità regionale**: consulta la CloudWatch documentazione AWS delle regioni supportate per questa funzionalità
+ **Accesso all'Event Data Store**: è necessario avere accesso all'Event Data Store da cui verranno esportati i dati.