Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crea, aggiorna e gestisci archivi di dati di eventi con AWS CLI
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Questa sezione descrive i AWS CLI comandi che puoi usare per creare, aggiornare e gestire i tuoi archivi di dati di eventi CloudTrail Lake.
Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella Regione AWS configurazione per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro **--region** con il comando.
## Comandi disponibili per gli archivi dati degli eventi
I comandi per la creazione e l'aggiornamento degli archivi di dati di eventi in CloudTrail Lake includono:
+ `create-event-data-store`per creare un archivio dati di eventi.
+ `get-event-data-store`per restituire informazioni sull'archivio dati degli eventi, inclusi i selettori di eventi avanzati configurati per l'archivio dati degli eventi.
+ `update-event-data-store`per modificare la configurazione di un archivio dati di eventi esistente.
+ `list-event-data-stores`per elencare gli archivi di dati degli eventi.
+ `delete-event-data-store`per eliminare un archivio dati di eventi.
+ `restore-event-data-store`per ripristinare un archivio dati di eventi in attesa di eliminazione.
+ `start-import`per avviare un'importazione di eventi trail in un Event Data Store o riprovare un'importazione non riuscita.
+ `[get-import](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html)`per restituire informazioni su un'importazione specifica.
+ `[stop-import](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/stop-import.html)`per interrompere l'importazione di eventi di trail in un data store di eventi.
+ `[list-imports](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-imports.html)`per restituire informazioni su tutte le importazioni o su un insieme selezionato di importazioni da `ImportStatus` o`Destination`.
+ `[list-import-failures](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html)`per elencare gli errori di importazione per l'importazione specificata.
+ `stop-event-data-store-ingestion`per interrompere l'inserimento degli eventi in un archivio dati di eventi.
+ `start-event-data-store-ingestion`per riavviare l'inserimento di eventi in un data store di eventi.
+ `enable-federation`per abilitare la federazione su un data store di eventi per interrogare il data store di eventi in Amazon Athena.
+ `disable-federation`per disabilitare la federazione su un data store di eventi. Dopo aver disabilitato la federazione, non puoi più eseguire query sui dati dell'Event Data Store in Amazon Athena. Puoi continuare a eseguire query in CloudTrail Lake.
+ `[put-insight-selectors](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-insight-selectors.html)`per aggiungere o modificare i selettori di eventi Insights per un data store di eventi esistente e abilitare o disabilitare gli eventi Insights.
+ `[get-insight-selectors](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-insight-selectors.html)`per restituire informazioni sui selettori di eventi Insights configurati per un archivio dati di eventi.
+ `[add-tags](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/add-tags.html)`per aggiungere uno o più tag (coppie chiave-valore) a un archivio dati di eventi esistente.
+ `[remove-tags](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/remove-tags.html)`per rimuovere uno o più tag da un archivio dati di eventi.
+ `[list-tags](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-tags.html)`per restituire un elenco di tag associati a un archivio dati di eventi.
+ [`get-event-configuration`](lake-cli-manage-eds.md#lake-cli-get-event-configuration)per restituire tutte le chiavi dei tag di risorsa e le chiavi delle condizioni globali IAM configurate per l'event data store. Il comando restituisce anche se l'archivio dati degli eventi è configurato per raccogliere eventi relativi alle `Standard` dimensioni o agli eventi relativi `Large` alle dimensioni.
+ [`put-event-configuration`](lake-cli-manage-eds.md#lake-cli-put-event-configuration)per espandere la dimensione dell'evento e aggiungere o rimuovere le chiavi dei tag di risorsa e le chiavi delle condizioni globali IAM. Per ulteriori informazioni, consulta [Arricchisci CloudTrail gli eventi aggiungendo chiavi di tag di risorsa e chiavi di condizione globali IAM](cloudtrail-context-events.md).
+ `[put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html)`per allegare una policy basata sulle risorse a un archivio dati di eventi. Le policy basate sulle risorse consentono di controllare quali soggetti possono eseguire azioni sul data store degli eventi. Per esempi di policy, consulta [Esempi di policy basate su risorse per archivi di dati di eventi](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
+ `[get-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-resource-policy.html)`per allegare la policy basata sulle risorse a un archivio dati di eventi.
+ `[delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/delete-resource-policy.html)`per eliminare la politica basata sulle risorse allegata a un data store di eventi.
Per un elenco dei comandi disponibili per le query su CloudTrail Lake, consulta. [Comandi disponibili per le query su CloudTrail Lake](lake-queries-cli.md#lake-queries-cli-commands)
Per un elenco dei comandi disponibili per le dashboard di CloudTrail Lake, consulta. [Comandi disponibili per i dashboard](lake-dashboard-cli.md#lake-dashboard-cli-commands)
Per un elenco dei comandi disponibili per le integrazioni di CloudTrail Lake, consulta. [Comandi disponibili per le integrazioni con CloudTrail Lake](lake-integrations-cli.md#lake-integrations-cli-commands)
# Crea un data store di eventi con AWS CLI
Questa sezione descrive come utilizzare il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html)comando per creare un archivio dati di eventi e fornisce esempi di diversi tipi di archivi di dati di eventi che è possibile creare.
Quando crei un datastore di eventi, l'unico parametro richiesto è `--name`, che viene utilizzato per identificare tale datastore. È possibile configurare parametri opzionali aggiuntivi, tra cui:
+ `--advanced-event-selectors`: specifica il tipo di eventi da includere nel datastore di eventi. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione. Per ulteriori informazioni sui selettori di eventi avanzati, consulta [AdvancedEventSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html)l' CloudTrail API Reference.
+ `--kms-key-id`- Speciifica l'ID della chiave KMS da utilizzare per crittografare gli eventi forniti da. CloudTrail Questo valore può essere un nome alias con il prefisso `alias/`, un ARN completo per un alias, un ARN completo per una chiave o un identificatore univoco globale.
+ `--multi-region-enabled`- Crea un archivio dati di eventi multiregionale che registra gli eventi per tutti gli utenti del tuo account. Regioni AWS `--multi-region-enabled` è impostato per impostazione predefinita, anche se il parametro non viene aggiunto.
+ `--organization-enabled`: consente a un datastore di eventi di raccogliere eventi per tutti gli account di un'organizzazione. Per impostazione predefinita, il datastore di eventi non è abilitato per tutti gli account di un'organizzazione.
+ `--billing-mode`: determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi.
Di seguito sono riportati i valori possibili:
+ `EXTENDABLE_RETENTION_PRICING`: questa modalità di fatturazione in genere è consigliata se importi meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 3.653 giorni (circa 10 anni). Il periodo di conservazione predefinito per questa modalità di fatturazione è 366 giorni.
+ `FIXED_RETENTION_PRICING`: questa modalità di fatturazione è consigliata se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 2.557 giorni (circa 7 anni). Il periodo di conservazione predefinito per questa modalità di fatturazione è 2.557 giorni.
Il valore predefinito è `EXTENDABLE_RETENTION_PRICING`.
+ `--retention-period`: il numero di giorni di conservazione degli eventi nel datastore di eventi. I valori validi sono numeri interi compresi tra 7 e 3.653 se la `--billing-mode` è `EXTENDABLE_RETENTION_PRICING` o tra 7 e 2.557 se la `--billing-mode` è impostata su `FIXED_RETENTION_PRICING`. Se non si specifica`--retention-period`, CloudTrail utilizza il periodo di conservazione predefinito per. `--billing-mode`
+ `--start-ingestion`: il parametro `--start-ingestion` avvia l'importazione degli eventi nel datastore di eventi al momento della sua creazione. Questo parametro è impostato anche se non viene aggiunto.
Specifica `--no-start-ingestion` se desideri che il datastore di eventi non importi gli eventi live. Ad esempio, potresti voler impostare questo parametro se copi eventi nel datastore e prevedi di utilizzare i dati degli eventi solo per analizzare gli eventi passati. Il parametro `--no-start-ingestion` è valido solo se la `eventCategory` è `Management`, `Data` o `ConfigurationItem`.
Negli esempi seguenti viene illustrato come creare diversi tipi di datastore di eventi.
**Topics**
+ [Crea un archivio dati di eventi per gli eventi di dati S3 con il AWS CLI](#lake-cli-create-eds-data)
+ [Crea un archivio dati di eventi per gli eventi di attività di rete KMS con AWS CLI](#lake-cli-create-eds-network)
+ [Creare un archivio dati di eventi per gli elementi di AWS Config configurazione con AWS CLI](#lake-cli-create-eds-config)
+ [Crea un data store di eventi organizzativi per gli eventi di gestione con AWS CLI](#lake-cli-create-eds-org)
+ [Crea archivi dati di eventi per gli eventi Insights con AWS CLI](#lake-cli-insights)
## Crea un archivio dati di eventi per gli eventi di dati S3 con il AWS CLI
Il seguente **create-event-data-store** comando di esempio AWS Command Line Interface (AWS CLI) crea un event data store denominato `my-event-data-store` che seleziona tutti gli eventi di dati di Amazon S3 e viene crittografato utilizzando una chiave KMS.
```
aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
]
}
]'
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "my-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
"UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}
```
## Crea un archivio dati di eventi per gli eventi di attività di rete KMS con AWS CLI
L'esempio seguente mostra come creare un archivio dati di eventi per cui includere eventi di attività `VpceAccessDenied` di rete per AWS KMS. Questo esempio imposta il `errorCode` campo uguale agli `VpceAccessDenied` eventi e il `eventSource` campo uguale a`kms.amazonaws.com`.
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
Questo comando restituisce il seguente output di esempio.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
Per ulteriori informazioni sugli eventi di attività di rete, vedere[Registrazione degli eventi delle attività di rete](logging-network-events-with-cloudtrail.md).
## Creare un archivio dati di eventi per gli elementi di AWS Config configurazione con AWS CLI
Il AWS CLI **create-event-data-store** comando di esempio seguente crea un archivio dati di eventi denominato `config-items-eds` che seleziona gli elementi AWS Config di configurazione. Per raccogliere elementi di configurazione, specifica che il campo `eventCategory` è uguale a `ConfigurationItem` nei selettori di eventi avanzati.
```
aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
]
}
]'
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "config-items-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"ConfigurationItem"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
"UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}
```
## Crea un data store di eventi organizzativi per gli eventi di gestione con AWS CLI
Il AWS CLI **create-event-data-store** comando di esempio seguente crea un archivio dati degli eventi organizzativi che raccoglie tutti gli eventi di gestione e imposta il `--billing-mode` parametro su`FIXED_RETENTION_PRICING`.
```
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
"Name": "org-management-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": true,
"BillingMode": "FIXED_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
"UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}
```
## Crea archivi dati di eventi per gli eventi Insights con AWS CLI
Per registrare gli eventi di Insights in CloudTrail Lake, è necessario un data store di eventi di destinazione che raccolga gli eventi Insights e un data store di eventi di origine che abiliti Insights e registri gli eventi di gestione.
Questa procedura mostra come creare i datastore di eventi di destinazione e di origine e come abilitare gli eventi Insights.
1. Esegui il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) per creare un datastore di eventi di destinazione che raccolga gli eventi di Insights. Il valore di `eventCategory` deve essere `Insight`. Sostituiscilo *retention-period-days* con il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi. I valori validi sono numeri interi compresi tra 7 e 3.653 se la `--billing-mode` è `EXTENDABLE_RETENTION_PRICING` o tra 7 e 2.557 se la `--billing-mode` è impostata su `FIXED_RETENTION_PRICING`. Se non si specifica`--retention-period`, CloudTrail utilizza il periodo di conservazione predefinito per`--billing-mode`.
Se hai effettuato l'accesso con l'account di gestione di un' AWS Organizations organizzazione, includi il `--organization-enabled` parametro se desideri concedere all'[amministratore delegato](cloudtrail-delegated-administrator.md) l'accesso all'archivio dati degli eventi.
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
Di seguito è riportata una risposta di esempio.
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}
```
Come valore per il parametro `--insights-destination` nel passaggio 3 utilizzerai l'`ARN` (o il suffisso ID dell'ARN) dalla risposta.
1. Esegui il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) per creare un datastore di eventi di origine che registri gli eventi di gestione. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione. Non è necessario specificare i selettori di eventi avanzati se si desidera registrare tutti gli eventi di gestione. Sostituiscilo *retention-period-days* con il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi. I valori validi sono numeri interi compresi tra 7 e 3.653 se la `--billing-mode` è `EXTENDABLE_RETENTION_PRICING` o tra 7 e 2.557 se la `--billing-mode` è impostata su `FIXED_RETENTION_PRICING`. Se non si specifica`--retention-period`, CloudTrail utilizza il periodo di conservazione predefinito per`--billing-mode`. Se stai creando un datastore di eventi dell'organizzazione, includi il parametro `--organization-enabled`.
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}
```
Come valore per il parametro `--event-data-store` nel passaggio 3 utilizzerai l'`ARN` (o il suffisso ID dell'ARN) dalla risposta.
1. Esegui il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) per abilitare gli eventi Insights. I valori del selettore Insights possono essere`ApiCallRateInsight`, `ApiErrorRateInsight` o entrambi. Per il parametro `--event-data-store`, specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi di origine che registra gli eventi di gestione e abiliterà Insights. Per il parametro `--insights-destination`, specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi di destinazione che registrerà gli eventi di Insights.
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
Il risultato seguente mostra il selettore di eventi Insights configurato per il datastore di eventi.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
Dopo aver abilitato CloudTrail Insights per la prima volta su un archivio dati di eventi, CloudTrail potrebbero essere necessari fino a 7 giorni per iniziare a fornire gli eventi di Insights, a condizione che durante tale periodo venga rilevata un'attività insolita.
CloudTrail Insights analizza gli eventi di gestione che si verificano in una singola regione, non a livello globale. Un evento CloudTrail Insights viene generato nella stessa regione in cui vengono generati gli eventi di gestione di supporto.
Per un archivio dati di eventi organizzativi, CloudTrail analizza gli eventi di gestione dell'account di ciascun membro anziché analizzare l'aggregazione di tutti gli eventi di gestione dell'organizzazione.
Si applicano costi aggiuntivi per l'importazione di eventi Insights in Lake. CloudTrail Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. [Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.](https://aws.amazon.com/cloudtrail/pricing/)
# Importa gli eventi del trail in un data store di eventi con AWS CLI
Questa sezione mostra come creare e configurare un Event Data Store eseguendo il [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html)comando e quindi come importare gli eventi in tale Event Data Store utilizzando il [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html)comando. Per ulteriori informazioni sull'importazione di eventi trail, vedere[Copia di eventi traccia in un archivio dati degli eventi](cloudtrail-copy-trail-to-lake-eds.md).
## Preparazione all'importazione degli eventi del percorso
Prima di importare gli eventi del percorso, effettua le seguenti operazioni preliminari.
+ Assicurati di avere un ruolo con le [autorizzazioni necessarie](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam) per importare gli eventi del percorso in un datastore di eventi.
+ Determina il valore [--billing-mode](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) che desideri specificare per il datastore di eventi. La `--billing-mode` determina il costo dell'importazione e dell'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi.
Quando importi gli eventi del trail su CloudTrail Lake, CloudTrail decomprime i log archiviati in formato gzip (compresso). Quindi CloudTrail copia gli eventi contenuti nei log nel tuo archivio dati degli eventi. La dimensione dei dati non compressi potrebbe essere maggiore della dimensione di archiviazione effettiva di Amazon S3. Per avere una stima generale della dimensione dei dati non compressi, moltiplica la dimensione dei log nel bucket S3 per 10. Puoi utilizzare questa stima per scegliere il valore `--billing-mode` per il tuo caso d'uso.
+ Determinate il valore che desiderate specificare per. `--retention-period` CloudTrail non copierà un evento se `eventTime` è più vecchio del periodo di conservazione specificato.
Per determinare il periodo di conservazione corretto, calcola la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni per cui desideri conservare gli eventi nel datastore eventi, come dimostrato nell'equazione seguente:
**Periodo di conservazione** = *oldest-event-in-days* \$1 *number-days-to-retain*
Ad esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.
+ Decidi se utilizzare il datastore di eventi per analizzare eventuali eventi futuri. Se non desideri importare eventi futuri, includi il parametro `--no-start-ingestion` durante la creazione del datastore di eventi. Per impostazione predefinita, i datastore di eventi iniziano a importare eventi quando vengono creati.
## Per creare un datastore di eventi e importarvi gli eventi del percorso
1. Esegui il comando **create-event-data-store** per creare il nuovo datastore di eventi. In questo esempio, il `--retention-period` è impostato su `120` perché l'evento più vecchio copiato risale a 90 giorni fa e vogliamo conservare gli eventi per 30 giorni. Il parametro `--no-start-ingestion` è impostato perché non vogliamo importare eventi futuri. In questo esempio, `--billing-mode` non è stato impostato, perché utilizziamo il valore predefinito `EXTENDABLE_RETENTION_PRICING` dal momento che prevediamo di importare meno di 25 TB di dati di eventi.
**Nota**
Se stai creando il datastore di eventi per sostituire il percorso, ti consigliamo di configurarlo in modo che `--advanced-event-selectors` corrisponda ai selettori di eventi del percorso per assicurarti la stessa copertura degli eventi. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione.
```
aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestion
```
Di seguito è riportata la risposta di esempio:
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
Lo `Status` iniziale è `CREATED` quindi eseguiremo il comando **get-event-data-store** per verificare che l'importazione sia interrotta.
```
aws cloudtrail get-event-data-store --event-data-store eds-id
```
La risposta indica che ora lo `Status` è `STOPPED_INGESTION`, quindi al momento il datastore di eventi non importa gli eventi live.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "STOPPED_INGESTION",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
1. Usa il comando **start-import** per importare gli eventi del percorso nel datastore di eventi creato nella fase 1. Specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi come valore per il parametro `--destinations`. Per `--start-event-time` specifica l'`eventTime` dell'evento più vecchio da copiare e per `--end-event-time` l'`eventTime` dell'evento più recente da copiare. Per `--import-source` specificare l'URI S3 per il bucket S3 contenente i log dei trail, il Regione AWS per il bucket S3 e l'ARN del ruolo utilizzato per importare gli eventi del trail.
```
aws cloudtrail start-import \
--destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \
--start-event-time 2023-08-11T16:08:12.934000+00:00 \
--end-event-time 2023-11-09T17:08:20.705000+00:00 \
--import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}
```
Di seguito è riportata una risposta di esempio.
```
{
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1",
"ImportSource": {
"S3": {
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds",
"S3BucketRegion":"us-east-1",
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/"
}
},
"ImportStatus": "INITIALIZING",
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00"
}
```
1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html) per ottenere informazioni sull'importazione.
```
aws cloudtrail get-import --import-id import-id
```
Di seguito è riportata una risposta di esempio.
```
{
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"ImportSource": {
"S3": {
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/",
"S3BucketRegion":"us-east-1",
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"
}
},
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportStatus": "COMPLETED",
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"ImportStatistics": {
"PrefixesFound": 1548,
"PrefixesCompleted": 1548,
"FilesCompleted": 92845,
"EventsCompleted": 577249,
"FailedEntries": 0
}
}
```
L'importazione termina con `ImportStatus` su `COMPLETED` se non si sono verificati errori o su `FAILED` se si sono verificati errori.
Se l'importazione ha registrato `FailedEntries`, puoi eseguire il comando [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html) per restituire un elenco di errori.
```
aws cloudtrail list-import-failures --import-id import-id
```
Per riprovare un'importazione che ha registrato errori, esegui il comando **start-import** solo con il parametro `--import-id`. Quando si riprova un'importazione, CloudTrail riprende l'importazione nella posizione in cui si è verificato l'errore.
```
aws cloudtrail start-import --import-id import-id
```
# Aggiornate un archivio dati di eventi con AWS CLI
Questa sezione fornisce esempi che mostrano come aggiornare le impostazioni di un event data store eseguendo il AWS CLI `update-event-data-store` comando.
**Topics**
+ [Aggiorna la modalità di fatturazione con AWS CLI](#lake-cli-update-billing-mode)
+ [Aggiornate la modalità di conservazione, attivate la protezione dalla terminazione e specificate a AWS KMS key con AWS CLI](#lake-cli-update-retention)
+ [Disabilita la protezione dalla terminazione con AWS CLI](#lake-cli-update-disable-termination)
## Aggiorna la modalità di fatturazione con AWS CLI
La `--billing-mode` per il datastore di eventi determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Se la `--billing-mode` di un datastore di eventi è impostata su `FIXED_RETENTION_PRICING`, puoi modificare il valore in `EXTENDABLE_RETENTION_PRICING`. In genere, `EXTENDABLE_RETENTION_PRICING` è consigliato se il datastore di eventi importa meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 3.653 giorni. Per informazioni sui prezzi, consulta [Prezzo AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Gestione dei costi CloudTrail del lago](cloudtrail-lake-manage-costs.md).
**Nota**
Non puoi modificare il valore della `--billing-mode` da `EXTENDABLE_RETENTION_PRICING` a `FIXED_RETENTION_PRICING`. Se la modalità di fatturazione del datastore di eventi è impostata su `EXTENDABLE_RETENTION_PRICING`, ma desideri utilizzare `FIXED_RETENTION_PRICING` al suo posto, puoi [interrompere l'importazione](lake-cli-manage-eds.md#lake-cli-stop-ingestion-eds) nel datastore di eventi e crearne uno nuovo che utilizzi `FIXED_RETENTION_PRICING`.
Il AWS CLI **update-event-data-store** comando di esempio seguente modifica l'`--billing-mode`archivio dati degli eventi da `FIXED_RETENTION_PRICING` a`EXTENDABLE_RETENTION_PRICING`. Il valore del parametro `--event-data-store` richiesto è un ARN (o il suffisso ID dell'ARN) ed è obbligatorio; altri parametri sono facoltativi.
```
aws cloudtrail update-event-data-store \
--region us-east-1 \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--billing-mode EXTENDABLE_RETENTION_PRICING
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "management-events-eds",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
## Aggiornate la modalità di conservazione, attivate la protezione dalla terminazione e specificate a AWS KMS key con AWS CLI
Il AWS CLI **update-event-data-store** comando di esempio seguente aggiorna un Event Data Store per modificarne il periodo di conservazione a 100 giorni e abilitare la protezione dalla terminazione. Il valore del parametro `--event-data-store` richiesto è un ARN (o il suffisso ID dell'ARN) ed è obbligatorio; altri parametri sono facoltativi. In questo esempio, viene aggiunto il parametro `--retention-period` per portare il periodo di conservazione a 100 giorni. Facoltativamente, puoi scegliere di abilitare AWS Key Management Service la crittografia e specificare an AWS KMS key aggiungendo `--kms-key-id` al comando e specificando una chiave KMS ARN come valore. `--termination-protection-enabled`viene aggiunto per abilitare la protezione dalla terminazione su un archivio dati di eventi in cui non era abilitata la protezione dalla terminazione.
Un archivio dati di eventi che registra gli eventi dall'esterno AWS non può essere aggiornato per registrare gli eventi. AWS Analogamente, un Event Data Store che registra gli AWS eventi non può essere aggiornato per registrare gli eventi dall'esterno. AWS
**Nota**
Se si riduce il periodo di conservazione di un Event Data Store, CloudTrail rimuoverà tutti gli eventi con un periodo di conservazione `eventTime` precedente al nuovo. Ad esempio, se il periodo di conservazione precedente era di 365 giorni e lo riduci a 100 giorni, CloudTrail rimuoverà gli eventi con una data `eventTime` più vecchia di 100 giorni.
```
aws cloudtrail update-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--retention-period 100 \
--kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \
--termination-protection-enabled
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "my-event-data-store",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 100,
"KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
## Disabilita la protezione dalla terminazione con AWS CLI
Per impostazione predefinita, la protezione della terminazione è abilitata in un datastore di eventi per proteggerlo dall'eliminazione accidentale. Non è possibile eliminare un datastore di eventi con la protezione della terminazione abilitata. Se desideri eliminare il datastore di eventi, devi prima disabilitare la protezione della terminazione.
Il AWS CLI **update-event-data-store** comando di esempio seguente disattiva la protezione dalla terminazione passando il parametro. `--no-termination-protection-enabled`
```
aws cloudtrail update-event-data-store \
--region us-east-1 \
--no-termination-protection-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "management-events-eds",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": false,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
# Gestione degli archivi dati degli eventi con AWS CLI
Questa sezione descrive diversi altri comandi che è possibile eseguire per ottenere informazioni sui data store degli eventi, avviare e interrompere l'ingestione su un data store di eventi e abilitare e disabilitare la [federazione](query-federation.md) su un data store di eventi.
**Topics**
+ [Ottieni un archivio dati di eventi con AWS CLI](#lake-cli-get-eds)
+ [Elenca tutti gli archivi dati degli eventi in un account con AWS CLI](#lake-cli-list-eds)
+ [Aggiungi le chiavi dei tag di risorsa e le chiavi delle condizioni globali IAM ed espandi le dimensioni dell'evento](#lake-cli-put-event-configuration)
+ [Ottieni la configurazione degli eventi per un data store di eventi](#lake-cli-get-event-configuration)
+ [Ottieni la politica basata sulle risorse per un data store di eventi con AWS CLI](#lake-cli-get-resource-policy)
+ [Associa una policy basata sulle risorse a un data store di eventi con AWS CLI](#lake-cli-put-resource-policy)
+ [Eliminare la politica basata sulle risorse allegata a un data store di eventi con AWS CLI](#lake-cli-delete-resource-policy)
+ [Interrompi l'acquisizione su un data store di eventi con AWS CLI](#lake-cli-stop-ingestion-eds)
+ [Avvia l'importazione su un data store di eventi con AWS CLI](#lake-cli-start-ingestion-eds)
+ [Abilitare la federazione in un datastore di eventi](#lake-cli-enable-federation-eds)
+ [Disabilitare la federazione in un datastore di eventi](#lake-cli-disable-federation-eds)
+ [Ripristina un archivio dati di eventi con AWS CLI](#lake-cli-restore-eds)
## Ottieni un archivio dati di eventi con AWS CLI
Il AWS CLI **get-event-data-store** comando di esempio seguente restituisce informazioni sull'archivio dati degli eventi specificato dal `--event-data-store` parametro richiesto, che accetta un ARN o il suffisso ID dell'ARN.
```
aws cloudtrail get-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Di seguito è riportata una risposta di esempio. L'ora di creazione e dell'ultimo aggiornamento sono espressi nel formato `timestamp`.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "s3-data-events-eds",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Log DeleteObject API calls for a specific S3 bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "eventName",
"Equals": [
"DeleteObject"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Field": "readOnly",
"Equals": [
"false"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "FIXED_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00",
"UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00"
}
```
## Elenca tutti gli archivi dati degli eventi in un account con AWS CLI
Il AWS CLI **list-event-data-stores** comando di esempio seguente restituisce informazioni su tutti gli archivi di dati di eventi in un account, nella regione corrente. I parametri opzionali includono `--max-results`, che consente di specificare il numero massimo di risultati che desideri che il comando restituisca su una singola pagina. Se ci sono più risultati di quanto specificato dal valore `--max-results`, esegui nuovamente il comando aggiungendo il valore `NextToken` restituito per visualizzare la pagina dei risultati successiva.
```
aws cloudtrail list-event-data-stores
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStores": [
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969",
"Name": "management-events-eds"
},
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a",
"Name": "config-items-eds"
},
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4",
"Name": "s3-data-events"
}
]
}
```
## Aggiungi le chiavi dei tag di risorsa e le chiavi delle condizioni globali IAM ed espandi le dimensioni dell'evento
Esegui il AWS CLI `put-event-configuration` comando per espandere la dimensione massima dell'evento e aggiungi fino a 50 chiavi di tag di risorsa e 50 chiavi di condizione globali IAM per fornire metadati aggiuntivi sui tuoi eventi.
Il comando `put-event-configuration` accetta gli argomenti seguenti:
+ `--event-data-store`— Specificare l'ARN dell'archivio dati dell'evento o il suffisso ID dell'ARN. Questo parametro è obbligatorio.
+ `--max-event-size`— Impostare su per `Large` impostare la dimensione massima dell'evento su 1 MB. Per impostazione predefinita, il valore è`Standard`, che specifica una dimensione massima dell'evento di 256 KB.
**Nota**
Per aggiungere le chiavi dei tag di risorsa o le chiavi delle condizioni globali IAM, è necessario impostare la dimensione dell'evento in modo `Large` da garantire che tutte le chiavi aggiunte siano incluse nell'evento.
+ `--context-key-selectors`— Specificate il tipo di chiavi che desiderate includere negli eventi raccolti dal vostro event data store. Puoi includere chiavi di tag di risorsa e chiavi di condizione globali IAM. Le informazioni sui tag di risorsa aggiunti e sulle chiavi di condizione globali IAM sono mostrate nel `eventContext` campo dell'evento. Per ulteriori informazioni, consulta [Arricchisci CloudTrail gli eventi aggiungendo chiavi di tag di risorsa e chiavi di condizione globali IAM](cloudtrail-context-events.md).
+ Imposta `Type` to `TagContext` per passare un array di un massimo di 50 chiavi di tag di risorsa. Se aggiungi tag di risorsa, CloudTrail gli eventi includeranno le chiavi dei tag selezionate associate alle risorse coinvolte nella chiamata API. Gli eventi API relativi alle risorse eliminate non avranno tag di risorsa.
+ Imposta `Type` to `RequestContext` per passare un array di un massimo di 50 chiavi di condizione globali IAM. Se aggiungi chiavi di condizione globali IAM, CloudTrail gli eventi includeranno informazioni sulle chiavi di condizione selezionate che sono state valutate durante il processo di autorizzazione, inclusi dettagli aggiuntivi sul principale, sulla sessione, sulla rete e sulla richiesta stessa.
L'esempio seguente imposta la dimensione massima dell'evento `Large` e aggiunge due chiavi di tag di risorsa `myTagKey1` e`myTagKey2`.
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"TagContext", "Equals":["myTagKey1","myTagKey2"]}]'
```
L'esempio successivo imposta la dimensione massima dell'evento `Large` e aggiunge un IAM; global condition key (`aws:MultiFactorAuthAge`).
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"RequestContext", "Equals":["aws:MultiFactorAuthAge"]}]'
```
L'ultimo esempio rimuove tutte le chiavi dei tag di risorsa e le chiavi delle condizioni globali IAM e imposta la dimensione massima dell'evento su`Standard`.
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Standard \
--context-key-selectors
```
## Ottieni la configurazione degli eventi per un data store di eventi
Esegui il AWS CLI `get-event-configuration` comando per restituire la configurazione degli eventi per un data store di eventi che raccoglie CloudTrail eventi. Questo comando restituisce la dimensione massima dell'evento ed elenca le chiavi dei tag di risorsa e le chiavi delle condizioni globali IAM (se presenti) incluse negli CloudTrail eventi.
```
aws cloudtrail get-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
## Ottieni la politica basata sulle risorse per un data store di eventi con AWS CLI
L'esempio seguente esegue il `get-resource-policy` comando su un archivio dati di eventi organizzativi.
```
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
```
Poiché il comando è stato eseguito su un data store di eventi organizzativi, l'output mostrerà sia la politica basata sulle risorse fornita sia quella [`DelegatedAdminResourcePolicy`](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)generata per gli account degli amministratori delegati.
## Associa una policy basata sulle risorse a un data store di eventi con AWS CLI
Per eseguire query su una dashboard durante un aggiornamento manuale o pianificato, è necessario allegare una policy basata sulle risorse a ogni archivio di dati di eventi associato a un widget sulla dashboard. Ciò consente a CloudTrail Lake di eseguire le query per tuo conto. Per ulteriori informazioni sulla politica basata sulle risorse, consulta. [Esempio: consenti CloudTrail di eseguire query per aggiornare un pannello di controllo](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)
L'esempio seguente allega una policy basata sulle risorse a un archivio dati di eventi che consente di CloudTrail eseguire query su un dashboard quando il dashboard viene aggiornato. La policy viene creata in un file separato, con la seguente dichiarazione politica di *policy.json* esempio:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [{ "Sid": "EDSPolicy", "Effect":
"Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Resource":
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/event_data_store_ID",
"Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn":
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"AWS:SourceAccount": "123456789012" } } } ] }
```
------
Sostituiscilo *123456789012* con l'ID del tuo account, *arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/event\$1data\$1store\$1ID* con l'ARN dell'archivio dati degli eventi per il quale CloudTrail verranno eseguite le query e con *arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE* l'ARN della dashboard.
```
aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy file://policy.json
```
Di seguito è riportato un esempio di risposta.
```
{ "ResourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "ResourcePolicy": "policy-statement" }
```
Per ulteriori esempi di policy, vedere[Esempi di policy basate su risorse per archivi di dati di eventi](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
## Eliminare la politica basata sulle risorse allegata a un data store di eventi con AWS CLI
Gli esempi seguenti eliminano la politica basata sulle risorse allegata a un archivio dati di eventi. Sostituisci *eds-arn* con l'ARN dell'archivio dati degli eventi.
```
aws cloudtrail delete-resource-policy --resource-arn eds-arn
```
Se ha esito positivo, questo comando non produrrà alcun output.
## Interrompi l'acquisizione su un data store di eventi con AWS CLI
Il AWS CLI **stop-event-data-store-ingestion** comando di esempio seguente impedisce a un Event Data Store di importare eventi. Per interrompere l'importazione, il datastore di eventi `Status` deve essere `ENABLED` e `eventCategory` deve essere `Management`, `Data` o `ConfigurationItem`. Il datastore di eventi è specificato da `--event-data-store`, che accetta un ARN del datastore di eventi o il suffisso ID dell'ARN. Dopo l'esecuzione di **stop-event-data-store-ingestion**, lo stato del datastore di eventi diventerà `STOPPED_INGESTION`.
Il datastore di eventi conta per il tuo account un massimo di dieci datastore di eventi quando il suo stato è `STOPPED_INGESTION`.
```
aws cloudtrail stop-event-data-store-ingestion \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Se l'operazione riesce, non verrà generata alcuna risposta.
## Avvia l'importazione su un data store di eventi con AWS CLI
Il AWS CLI **start-event-data-store-ingestion** comando di esempio seguente avvia l'inserimento di eventi in un data store di eventi. Per avviare l'importazione, il datastore di eventi `Status` deve essere `STOPPED_INGESTION` e `eventCategory` deve essere `Management`, `Data` o `ConfigurationItem`. Il datastore di eventi è specificato da `--event-data-store`, che accetta un ARN del datastore di eventi o il suffisso ID dell'ARN. Dopo l'esecuzione di **start-event-data-store-ingestion**, lo stato del datastore di eventi diventerà `ENABLED`.
```
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Se l'operazione riesce, non verrà generata alcuna risposta.
## Abilitare la federazione in un datastore di eventi
Per abilitare la federazione, esegui il comando **aws cloudtrail enable-federation** fornendo i parametri `--event-data-store` e `--role` richiesti. Per `--event-data-store`, fornisci l'ARN del datastore di eventi (o il suffisso ID dell'ARN). Per `--role`, fornisci l'ARN per il tuo ruolo di federazione. Il ruolo deve esistere nel tuo account e fornire le [autorizzazioni minime richieste](query-federation.md#query-federation-permissions-role).
```
aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name
```
Questo esempio mostra come un amministratore delegato può abilitare la federazione in un datastore di eventi dell'organizzazione specificando l'ARN del datastore di eventi nell'account di gestione e l'ARN del ruolo di federazione nell'account amministratore delegato.
```
aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
```
## Disabilitare la federazione in un datastore di eventi
Per disabilitare la federazione nel datastore di eventi, esegui il comando **aws cloudtrail disable-federation**. L'archivio di dati degli eventi è specificato da `--event-data-store`, che accetta un ARN dell'archivio di dati degli eventi o il suffisso ID dell'ARN.
```
aws cloudtrail disable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
```
**Nota**
Se si tratta di un datastore di eventi dell'organizzazione, utilizza l'ID account dell'account di gestione.
## Ripristina un archivio dati di eventi con AWS CLI
Il comando di esempio della AWS CLI **restore-event-data-store** seguente ripristina un archivio di dati degli eventi in attesa di eliminazione. L'archivio di dati degli eventi è specificato da `--event-data-store`, che accetta un ARN dell'archivio di dati degli eventi o il suffisso ID dell'ARN. È possibile ripristinare un archivio di dati degli eventi eliminato solo entro il periodo di attesa di sette giorni dopo l'eliminazione.
```
aws cloudtrail restore-event-data-store \
--event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
La risposta include informazioni sull'archivio di dati degli eventi, inclusi il relativo ARN, i selettori di eventi avanzati e lo stato del ripristino.
# Eliminare un archivio dati di eventi con AWS CLI
Questa sezione mostra come eliminare un archivio dati di eventi eseguendo il comando AWS CLI `delete-event-data-store`
Per eliminare un Event Data Store, specificare l'`--event-data-store`ARN dell'Event Data Store o il suffisso ID dell'ARN. Dopo l'esecuzione di **delete-event-data-store**, lo stato finale del datastore di eventi è `PENDING_DELETION` e il datastore di eventi viene eliminato automaticamente dopo un periodo di attesa di 7 giorni.
Dopo l'esecuzione di **delete-event-data-store** su un archivio di dati degli eventi, non è possibile eseguire **list-queries**, **describe-query** oppure **get-query-results** sulle query che utilizzano l'archivio di dati disabilitato. L'Event Data Store conta ai fini dell'account un massimo di dieci archivi dati di eventi in un periodo in Regione AWS cui è in attesa di eliminazione.
**Nota**
Non è possibile eliminare un datastore di eventi se `--termination-protection-enabled` è impostato o se il suo `FederationStatus` è `ENABLED`.
Per eliminare un event data store con un `eventCategory` of`ActivityAuditLog`, devi prima eliminare il canale dell'integrazione. È possibile eliminare il canale utilizzando il `aws cloudtrail delete-channel` comando. Per ulteriori informazioni, consulta [Eliminare un canale per eliminare un'integrazione con AWS CLI](lake-cli-delete-integration.md).
```
aws cloudtrail delete-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Se l'operazione riesce, non verrà generata alcuna risposta.