For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
Come posso utilizzare CloudTrail per verificare quali chiamate e azioni API sono state eseguite nel mio account AWS?
Come posso esaminare le azioni che si sono verificate nel mio account AWS, come gli accessi alla console o la chiusura di un'istanza?
Breve descrizione
Puoi utilizzare i dati di AWS CloudTrail per visualizzare e tenere traccia delle chiamate API effettuate a un account utilizzando quanto segue:
- Cronologia degli eventi di CloudTrail
- CloudTrail Lake
- Amazon CloudWatch Logs
- Query di Amazon Athena
- File di log archiviati in Amazon Simple Storage Service (Amazon S3)
Nota: non tutti i servizi AWS hanno log registrati e disponibili in CloudTrail. Per un elenco dei servizi AWS integrati con CloudTrail, consulta i topic dei servizi AWS per CloudTrail.
Risoluzione
Nota: se ricevi errori durante l'esecuzione dei comandi dell'Interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.
Cronologia degli eventi di CloudTrail
Revisione della cronologia degli eventi di CloudTrail utilizzando la console CloudTrail
Puoi visualizzare tutti i servizi e le integrazioni supportati, nonché i tipi di eventi (creazione, modifica, eliminazione e attività non modificabili) degli ultimi 90 giorni. Non serve configurare un trail per utilizzare la cronologia degli eventi di CloudTrail.
Per istruzioni, consulta Visualizzazione degli eventi di gestione recenti con la console.
Verifica della cronologia degli eventi di CloudTrail utilizzando AWS CLI
Nota: per cercare eventi utilizzando AWS CLI, devi creare e configurare un trail per accedere a CloudWatch Logs. Per ulteriori informazioni, consulta Creazione di un trail con la console CloudTrail. Inoltre, consulta Invio di eventi a CloudWatch Logs.
Utilizza il comando filter-log-events per cercare termini, frasi e valori specifici negli eventi dei log applicando filtri metrici. Dopodiché, puoi trasformarli in metriche e allarmi di CloudWatch.
Per ulteriori informazioni, consulta Sintassi del modello di filtro.
Nota: per utilizzare il comando filter-log-events su larga scala (ad esempio, automazione o script), è consigliabile utilizzare i filtri di sottoscrizione di CloudWatch Logs. Questo perché l'azione API filter-log-events prevede limiti per l'API. I filtri di sottoscrizione non hanno tali limiti. I filtri di sottoscrizione offrono anche la possibilità di elaborare grandi quantità di dati di log in tempo reale. Per ulteriori informazioni, consulta Quote di CloudWatch Logs.
CloudTrail Lake
CloudTrail Lake consente di aggregare, archiviare in modo immutabile ed eseguire query basate su SQL sugli eventi. In CloudTrail Lake puoi anche archiviare dati per un massimo di sette anni o 2.555 giorni.
Per ulteriori informazioni, consulta Lavorare con AWS CloudTrail Lake.
Amazon CloudWatch Logs
Nota: per utilizzare CloudWatch Logs, devi creare e configurare un trail per accedere a CloudWatch Logs. Per ulteriori informazioni, consulta Creazione di un trail con la console CloudTrail. Inoltre, consulta Invio di eventi a CloudWatch Logs.
Puoi utilizzare CloudWatch Logs per cercare operazioni che modificano lo stato di una risorsa (ad esempio, StopInstances). Puoi anche utilizzare CloudWatch Logs per cercare operazioni che non modificano lo stato di una risorsa (ad esempio, DescribeInstances). Per istruzioni, consulta Visualizza i dati di registro inviati ai registri CloudWatch.
Ricorda quanto segue:
- Devi configurare esplicitamente CloudTrail per inviare eventi a CloudWatch Logs, anche se hai già creato un trail.
- Non puoi rivedere attività precedenti alla configurazione dei log.
- Possono esserci più flussi di log, a seconda della dimensione e del volume degli eventi. Per effettuare ricerche in tutti i flussi, scegli Cerca gruppo di log prima di selezionare un singolo flusso.
- Poiché CloudWatch Logs ha una limitazione della dimensione degli eventi di 256 KB, CloudTrail non invia a CloudWatch Logs eventi che hanno una dimensione superiore a 256 KB.
Query di Amazon Athena
Puoi utilizzare Amazon Athena per visualizzare eventi di dati ed eventi di gestione di CloudTrail archiviati in un bucket Amazon S3.
Per ulteriori informazioni, consulta Come posso creare automaticamente tabelle in Amazon Athena per effettuare ricerche nei log di AWS CloudTrail? Inoltre, consulta Crea una tabella per i log di CloudTrail in Athena utilizzando il partizionamento manuale.
File di log archiviati in Amazon S3
Nota: per visualizzare i file di log archiviati in Amazon S3, devi avere creato e configurato un trail per accedere a un bucket S3. Per ulteriori informazioni, consulta Creazione di un trail con la console CloudTrail.
Puoi vedere tutti gli eventi acquisiti da CloudTrail nei file di log in Amazon S3. Puoi anche analizzare manualmente i file di log dal bucket S3 utilizzando la libreria di elaborazione di CloudTrail o AWS CLI, oppure inviare log ai partner di AWS CloudTrail.
Per istruzioni, consulta Eventi di Amazon S3 CloudTrail.
Nota: devi avere un trail attivato per accedere a un bucket S3.
Informazioni correlate
Che cos'è Amazon CloudWatch Logs?
Creazione di metriche da eventi dei log mediante filtri
AWS Config console now displays API events associated with configuration changes (Ora la console AWS Config mostra gli eventi API associati alle modifiche apportate alla configurazione)
Creazione di allarmi in CloudWatch per eventi di CloudTrail: esempi
- Argomenti
- Management & Governance
- Lingua
- Italiano
