Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Lavorare con CloudTrail Insights
AWS CloudTrail Insights aiuta AWS gli utenti a identificare e rispondere alle attività insolite associate alle frequenze di chiamata e ai tassi di errore delle API analizzando continuamente gli eventi di CloudTrail gestione e relativi ai dati. CloudTrail *Insights analizza gli eventi passati relativi alla gestione e ai dati per stabilire i modelli normali di frequenza delle chiamate e dei tassi di errore delle API, noti anche come baseline.* CloudTrail genera quindi eventi Insights quando i tassi di chiamata API o i tassi di errore correnti si discostano dalla linea di base.
Puoi raccogliere due tipi di Insights, ciascuno per eventi di gestione e dati.
**Eventi di gestione: approfondimenti**
+ **Frequenza di chiamata API**: misurazione delle chiamate API di gestione in sola scrittura che si verificano al minuto rispetto a un volume di chiamate API di base. Per registrare gli eventi di Insights sulla frequenza delle chiamate API per gli eventi di gestione, il trail o event data store deve abilitare Insights e registrare `write` gli eventi di gestione.
+ **Tasso di errore delle API**: una misurazione delle chiamate API di gestione che generano codici di errore. L'errore viene visualizzato se la chiamata API non ha esito positivo. Per registrare gli eventi di Insights sul tasso di errore dell'API, il trail o event data store deve abilitare Insights e gli eventi di log `read` o di `write` gestione oppure entrambi `read` gli eventi di `write` gestione.
**Eventi relativi ai dati: Insights**
+ **Frequenza di chiamata API**: una misurazione delle chiamate API di dati che si verificano al minuto rispetto a un volume di chiamate API di base. Per registrare gli eventi di Insights sulla frequenza delle chiamate API, il trail deve abilitare Insights e registrare gli eventi relativi ai dati.
+ **Tasso di errore dell'API**: una misurazione delle chiamate API di dati che generano codici di errore. L'errore viene visualizzato se la chiamata API non ha esito positivo. Per registrare gli eventi di Insights sul tasso di errore dell'API, il percorso deve abilitare Insights e gli eventi di log `read` o `write` relativi ai dati, oppure entrambi gli eventi `read` e gli eventi `write` relativi ai dati.
**Nota**
Gli eventi Insights sugli eventi relativi ai dati sono supportati solo sui percorsi e non sugli archivi di dati degli eventi.
CloudTrail Insights analizza gli eventi di gestione e di dati che si verificano in ciascuna regione e genera un evento Insights quando viene rilevata un'attività insolita che si discosta dalla linea di base. Un evento CloudTrail Insights viene generato nella stessa regione in cui viene generato l'evento di gestione o di dati di supporto.
Per gli eventi Insights vengono applicati costi aggiuntivi. Ti verrà addebitato separatamente se abiliti gli eventi di gestione Insights per i percorsi e gli archivi di dati degli eventi e gli eventi di dati Insights. Per ulteriori informazioni, consultare [AWS CloudTrail Prezzi](https://aws.amazon.com/cloudtrail/pricing/).
**Topics**
+ [Costi per gli eventi Insights](insights-events-costs.md)
+ [Erogazione di eventi Insights](insights-events-understanding.md)
+ [Registrazione degli eventi di Insights con la console CloudTrail](insights-events-enable.md)
+ [Registrazione degli eventi di Insights con AWS CLI](insights-events-CLI-enable.md)
+ [Visualizzazione di eventi Insights per i percorsi](view-insights-events.md)
+ [Visualizzazione degli eventi Insights per i datastore di eventi](insights-events-view-lake.md)
# Costi per gli eventi Insights
**Nota**
Gli eventi di approfondimento sugli eventi relativi ai dati sono supportati solo sui percorsi.
Quando abiliti gli eventi Insights su un percorso o un data store di eventi esistente, CloudTrail analizza gli ultimi 28 giorni di gestione e gli eventi relativi ai dati raccolti dal trail o dall'event data store per stabilire una linea di base della normale attività. Dopo la creazione della baseline iniziale, la baseline viene ricalcolata ogni giorno sugli ultimi 28 giorni di dati. Non sono CloudTrail previsti costi per l'analisi di base.
Dopo l'analisi di base, ti verranno CloudTrail addebitati costi per eventuali eventi futuri di gestione e dati analizzati da. CloudTrail Vengono addebitati addebiti in base al numero di eventi di gestione e dati analizzati per i tipi di Insights abilitati.
Se scegli di registrare sia la frequenza delle chiamate API che il tasso di errore delle API di tipo Insights per gli eventi di gestione di un trail o di un data store di eventi che registra `read` ed eventi di `write` gestione, il numero totale di eventi analizzati sarà maggiore del numero totale di eventi di gestione registrati. Questo perché CloudTrail analizzerà gli eventi di gestione in sola scrittura due volte, una volta per calcolare la frequenza delle chiamate API e un'altra per determinare il tasso di errore dell'API. Gli eventi di gestione in sola lettura verranno analizzati una volta per calcolare il tasso di errore dell'API.
Analogamente, se si sceglie di registrare sia la frequenza delle chiamate API che il tasso di errore delle API di tipo Insights per gli eventi relativi ai dati di un percorso che registra `read` e gli eventi `write` relativi ai dati, il numero totale di eventi analizzati sarà maggiore del numero totale di eventi relativi ai dati registrati. Questo perché CloudTrail analizzerà tutti gli eventi relativi ai dati due volte, una volta per calcolare la frequenza delle chiamate API e un'altra per determinare il tasso di errore dell'API.
Puoi identificare gli addebiti per Insights per la gestione e gli eventi relativi ai dati sulla tua fattura cercando rispettivamente il tipo di `DataInsightsEvents` utilizzo `InsightsEvents` e il tipo di utilizzo. Per ulteriori informazioni, consulta [Visualizzazione dei CloudTrail costi e dell'utilizzo con AWS Cost Explorer](cloudtrail-costs.md).
Saranno addebitati costi Insights separati per i percorsi e gli archivi di dati degli eventi e per gli eventi di dati separati Insights for trails. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
**Esempio 1: abilitare Insights sugli eventi di gestione per la frequenza delle chiamate API e il tasso di errore delle API su un percorso**
In questo primo esempio, abiliti Insights su un trail che registra gli eventi di gestione e scegli di raccogliere entrambi i tipi di Insights. Il percorso in questo esempio registra sia gli eventi di gestione che quelli `read` di `write` gestione.
+ CloudTrail analizza gli eventi di gestione registrati negli ultimi 28 giorni per formare una linea di base. Non sono CloudTrail previsti costi per l'analisi.
+ Dopo la creazione della baseline, il trail registra 300.000 eventi di gestione, di cui 270.000 eventi di gestione e 30.000 eventi di `read` gestione. `write`
+ Gli eventi di `write` gestione vengono analizzati due volte, una volta per la frequenza delle chiamate API e una volta per il tasso di errore dell'API (30.000\$1 2=60.000).
+ Gli eventi di `read` gestione vengono analizzati una volta per determinare il tasso di errore dell'API (270.000\$11=270.000).
+ Gli eventi di gestione totali analizzati sono 330.000 (60.000 \$1 270.000). Dovrai sostenere i costi per l'analisi di 330.000 eventi di gestione per questo percorso. Ti verrà addebitato separatamente se abiliti Insights per un altro percorso o un data store di eventi.
**Esempio 2: abilitare Insights sulla gestione degli eventi per due percorsi**
Nel prossimo esempio, si abilita Insights su due eventi di gestione della registrazione dei trail, trail A e trail B. Si sceglie di abilitare API Call rate Insights solo sul trail A e API error rate Insights solo sul trail B. Entrambi i trail registrano `read` e `write` gestiscono gli eventi.
+ CloudTrail analizza gli eventi `write` di gestione registrati negli ultimi 28 giorni per formare una linea di base. Non sono CloudTrail previsti costi per l'analisi.
+ Dopo la creazione della baseline, i trail registrano 800.000 eventi di gestione, di cui 710.000 `read` eventi e 90.000 eventi. `write`
Per il percorso A, viene eseguita la seguente analisi:
+ Gli eventi `write` di gestione vengono analizzati una sola volta per determinare la frequenza delle chiamate API (90.000 \$1 1=90.000).
+ Gli eventi `read` di gestione non vengono analizzati, poiché analizza CloudTrail solo gli eventi di `write` gestione per API Call rate Insights.
+ Il totale degli eventi di gestione analizzati è di 90.000. Saranno sostenuti i costi per l'analisi di 90.000 eventi di gestione per il percorso A.
Per la traccia B, viene eseguita la seguente analisi:
+ Gli eventi `write` di gestione vengono analizzati una sola volta per determinare il tasso di errore dell'API (90.000 \$1 1=90.000).
+ Gli eventi di `read` gestione vengono analizzati una sola volta per determinare il tasso di errore dell'API (710.000 \$11=710.000).
+ Gli eventi di gestione totali analizzati sono 800.000 (90.000 \$1 710.000). Saranno sostenuti i costi per l'analisi di 800.000 eventi di gestione per il trail B.
**Esempio 3: abilitare Insights sugli eventi di gestione per la frequenza delle chiamate API e il tasso di errore delle API su un trail e un data store di eventi**
In questo esempio, abiliti Insights for API call rate e API error rate sia per gli eventi di gestione della registrazione di un trail che di un event data store. Sia il trail che l'event data store sono eventi di registrazione `read` e `write` gestione. Se hai abilitato CloudTrail Insights su entrambi, ti verranno addebitati separatamente i costi per Insights per il trail e l'event data store.
+ CloudTrail analizza gli eventi di gestione registrati negli ultimi 28 giorni per formare una linea di base. Non sono CloudTrail previsti costi per l'analisi.
+ Dopo la creazione della baseline, il trail and event data store registra 500.000 eventi di gestione, di cui 380.000 sono eventi di `read` gestione e 120.000 sono eventi di gestione. `write`
Per il trail, viene eseguita la seguente analisi:
+ Gli eventi di `write` gestione vengono analizzati due volte per il percorso, una volta per la frequenza delle chiamate API e una volta per il tasso di errore dell'API (120.000\$1 2=240.000).
+ Gli eventi `read` di gestione vengono analizzati una sola volta per determinare il tasso di errore dell'API (380.000 \$11=380.000).
+ Il totale degli eventi di gestione analizzati per il percorso è di 620.000 (240.000 \$1 380.000). Saranno sostenuti i costi per l'analisi di 620.000 eventi di gestione del percorso.
Per l'archivio dati degli eventi, viene eseguita la seguente analisi:
+ Gli eventi di `write` gestione vengono analizzati due volte per l'Event Data Store, una volta per la frequenza delle chiamate API e una volta per il tasso di errore dell'API (120.000\$1 2=240.000).
+ Gli eventi di `read` gestione vengono analizzati una volta per l'Event Data Store per il tasso di errore dell'API (380.000 \$11=380.000).
+ Il totale degli eventi di gestione analizzati per l'Event Data Store è di 620.000 (240.000 \$1 380.000). Saranno sostenuti i costi per l'analisi di 620.000 eventi di gestione per l'Event Data Store.
**Esempio 4: abilitare gli eventi di gestione Insights e gli eventi di dati Insights for API, la frequenza delle chiamate e il tasso di errore delle API su un percorso.**
In questo ultimo esempio, abiliti Insights sulla gestione e sugli eventi relativi ai dati. La traccia in questo esempio è la registrazione, la `write` gestione `read` e gli eventi relativi ai dati.
+ CloudTrail analizza gli eventi di gestione e dati registrati negli ultimi 28 giorni per formare una linea di base. Non sono CloudTrail previsti costi per l'analisi.
+ Dopo la creazione della baseline, il trail registra 300.000 eventi di gestione, di cui 270.000 sono eventi di gestione in lettura e 30.000 sono eventi di gestione in scrittura. Il percorso registra anche 400.000 eventi relativi ai dati, di cui 340.000 sono eventi di lettura dei dati e 60.000 sono eventi di scrittura dei dati.
+ Gli eventi di `write` gestione vengono analizzati due volte, una volta per la frequenza delle chiamate API e una volta per il tasso di errore dell'API (30.000 \$1 2 = 60.000). Gli eventi di `read` gestione vengono analizzati una volta per determinare il tasso di errore dell'API (270.000\$11=270.000). Gli eventi di gestione totali analizzati sono 330.000 (60.000 \$1 270.000).
+ Gli eventi `read` e `write` i dati vengono analizzati due volte, una volta per la frequenza delle chiamate API e una volta per il tasso di errore dell'API (400.000\$1 2). Il totale degli eventi relativi ai dati analizzati è di 800.000.
+ Saranno sostenuti i costi per l'analisi di 1.130.000 eventi di gestione e dati relativi a questo percorso.
# Erogazione di eventi Insights
A differenza di altri tipi di eventi CloudTrail acquisiti, gli eventi di Insights vengono registrati solo quando CloudTrail rilevano cambiamenti nell'utilizzo dell'API dell'account che differiscono significativamente dai modelli di utilizzo tipici dell'account.
CloudTrail Il luogo in cui vengono distribuiti gli eventi e il tempo necessario per riceverli variano a seconda dei percorsi e degli archivi di dati sugli eventi.
**Nota**
Gli eventi Insights sugli eventi basati sui dati sono supportati solo sui trail.
**Distribuzione di eventi Insights per i percorsi**
Se hai abilitato gli eventi Insights su un percorso e CloudTrail rilevi attività insolite, CloudTrail invia gli eventi di Insights alla `/CloudTrail-Insight` cartella nel bucket S3 di destinazione scelto per il percorso. Dopo aver abilitato CloudTrail Insights per la prima volta su un percorso, CloudTrail potrebbero essere necessarie fino a 36 ore per iniziare a fornire gli eventi Insights, a condizione che venga rilevata un'attività insolita durante quel periodo.
Se disattivi la registrazione degli eventi di Insights su un percorso e poi riattivi gli eventi di Insights oppure interrompi e riavvii la registrazione su un percorso, possono essere necessarie fino a 36 ore per riavviare la consegna degli eventi di Insights, CloudTrail a condizione che durante quel periodo venga rilevata un'attività insolita.
**Distribuzione di eventi Insights per i datastore di eventi**
Se hai abilitato gli eventi Insights su un data store di eventi di origine, CloudTrail invia gli eventi di Insights al data store degli eventi di destinazione. Dopo aver abilitato CloudTrail Insights per la prima volta nell'archivio dati degli eventi di origine, CloudTrail potrebbero essere necessari fino a 7 giorni per iniziare a distribuire gli eventi di Insights al data store degli eventi di destinazione, a condizione che venga rilevata un'attività insolita durante quel periodo.
Se disattivi la registrazione degli eventi di Insights su un data store di eventi di origine e quindi riattivi gli eventi di Insights o interrompi e riavvii l'inserimento degli eventi su un data store di eventi di origine, possono essere necessari fino a 7 giorni per riavviare la consegna degli eventi di Insights, CloudTrail a condizione che durante quel periodo venga rilevata un'attività insolita. Si applicano costi aggiuntivi per l'acquisizione di eventi Insights in Lake. CloudTrail Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. [Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.](https://aws.amazon.com/cloudtrail/pricing/)
# Registrazione degli eventi di Insights con la console CloudTrail
Questa sezione descrive come abilitare gli eventi Insights su un trail o un data store di eventi esistente utilizzando la CloudTrail console.
Per ulteriori informazioni su come creare un nuovo percorso per registrare gli eventi di Insights, consulta[Creazione di un percorso con la console](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).
Per ulteriori informazioni su come creare un nuovo archivio dati di eventi per raccogliere gli eventi di Insights, consulta[Crea un archivio dati sugli eventi per gli eventi Insights con la console](query-event-data-store-insights.md).
**Topics**
+ [Abilitare CloudTrail Insights su un percorso esistente con la console](#insights-events-enable-trail)
+ [Abilitazione di CloudTrail Insights su un data store di eventi esistente con la console](#insights-events-enable-lake)
## Abilitare CloudTrail Insights su un percorso esistente con la console
Utilizzare la procedura seguente per abilitare CloudTrail Insights su un percorso esistente.
1. Nel riquadro di navigazione a sinistra della CloudTrail console, apri la pagina **Trails** e scegli il nome di un percorso.
1. Negli **eventi Insights**, scegli **Modifica**.
**Nota**
Per la registrazione degli eventi Insights vengono applicati costi aggiuntivi. Per CloudTrail i prezzi, consulta [AWS CloudTrail Prezzi](https://aws.amazon.com/cloudtrail/pricing/).
1. In **Event type** (Tipo di evento), scegli **Insights events** (Eventi Insights).
1. Negli **eventi Insights, scegli eventi** **di gestione o eventi** **relativi ai dati**
1. In **Tipi di Insights**, scegli **Frequenza di chiamata API, tasso di errore API** o entrambi. Il percorso deve registrare gli eventi di gestione della **scrittura** o dei dati per registrare gli eventi di Insights per la **frequenza delle chiamate API**. Il percorso deve registrare la gestione o i dati di **lettura** o **scrittura** per registrare gli eventi di Insights per il tasso di **errore dell'API**.
1. Per salvare le modifiche, scegliere **Salva modifiche**.
CloudTrail potrebbero essere necessarie fino a 36 ore per iniziare a fornire gli eventi di Insights dopo aver abilitato gli eventi di Insights su un percorso, a condizione che venga rilevata un'attività insolita durante quel periodo.
## Abilitazione di CloudTrail Insights su un data store di eventi esistente con la console
Utilizzare la procedura seguente per abilitare CloudTrail Insights su un data store di eventi esistente.
Si applicano costi aggiuntivi per l'acquisizione di eventi Insights in CloudTrail Lake. Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. [Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.](https://aws.amazon.com/cloudtrail/pricing/)
**Nota**
È possibile abilitare CloudTrail Insights solo negli archivi di dati di eventi contenenti eventi di CloudTrail gestione. Non è possibile abilitare CloudTrail Insights su altri tipi di data store di eventi.
1. Nel riquadro di navigazione a sinistra della CloudTrail console, sotto **Lake**, scegli **Event data store**.
1. Scegli l'evento dal datastore di eventi.
1. Per **Eventi di gestione**, scegli **Modifica**.
1. Scegli **Abilita l'acquisizione degli eventi di Insights**.
1. Scegli l'event store di destinazione che raccoglierà gli eventi Insights. Il datastore di eventi di destinazione raccoglierà gli eventi Insights in base all'attività degli eventi di gestione in questo datastore di eventi. Per informazioni su come creare il datastore di eventi di destinazione, consulta [Creazione di un datastore di eventi di destinazione che registra gli eventi di Insights](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Scegli i tipi di Insights. Puoi scegliere la **frequenza delle chiamate API**, la **frequenza di errore API** o entrambi. Devi abilitare la registrazione degli eventi di gestione **Write** (scrittura) per registrare gli eventi Insights per la **frequenza di chiamate API**. Devi abilitare la registrazione degli eventi di gestione **Read** o **Write** per registrare gli eventi Insights per la **frequenza di errore API**.
1. Per salvare le modifiche, scegliere **Salva modifiche**.
CloudTrail potrebbero essere necessari fino a 7 giorni per iniziare a fornire gli eventi Insights, a condizione che vengano rilevate attività insolite durante quel periodo.
# Registrazione degli eventi di Insights con AWS CLI
Puoi configurare i percorsi o i datastore di eventi per registrare gli eventi Insights utilizzando la AWS CLI.
**Nota**
Per Management events Insights: per registrare gli eventi di Insights sulla frequenza delle chiamate API, il trail o event data store deve registrare gli eventi di `write` gestione. Per registrare gli eventi di Insights sul tasso di errore dell'API, il trail o event data store deve essere `read` registrato o `write` gestito.
Per Data events Insights: per registrare gli eventi di Insights sulla frequenza delle chiamate API o sul tasso di errore dell'API, il percorso deve registrare gli eventi `read` o `write` i dati.
**Topics**
+ [Registrazione degli eventi di Insights per un percorso utilizzando il AWS CLI](#insights-events-CLI-enable-trails)
+ [Registrazione degli eventi di Insights per un data store di eventi utilizzando il AWS CLI](#insights-events-CLI-enable-lake)
## Registrazione degli eventi di Insights per un percorso utilizzando il AWS CLI
Per restituire i selettori attuali di Insights per un trail, esegui il `get-insight-selectors` comando.
```
aws cloudtrail get-insight-selectors --trail-name TrailName
```
Il seguente esempio di risposta mostra i selettori Insights per un percorso denominato. `insights-trail`
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"InsightSelectors": [
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Management",
"Data"
]
},
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Management",
"Data"
]
}
]
}
```
Se il percorso non ha Insights abilitato, il **get-insight-selectors** comando restituisce il seguente messaggio di errore: «Si è verificato un errore (InsightNotEnabledException) durante la chiamata dell' GetInsightSelectors operazione: Trail arn:aws:cloudtrail:us-east- 1:123456789012:trail/trailName does not have Insights abilitato. Modificare le impostazioni del percorso per abilitare Insights, quindi riprovare l'operazione.»
Per configurare il percorso per la registrazione di eventi Insights, esegui il comando `put-insight-selectors`. Nell'esempio seguente viene illustrato come configurare il percorso per includere eventi Insights. I valori del selettore Insights possono essere`ApiCallRateInsight`, `ApiErrorRateInsight` o entrambi. Ciascuno può essere abilitato EventCategory per la gestione dei dati o per entrambi. InsightType EventCategory
```
aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight", "EventCategories": ["Data"]},{"InsightType": "ApiErrorRateInsight", "EventCategories": ["Data", "Management"]}]'
```
Il risultato seguente mostra il selettore di eventi Insights configurato per il trail.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Data"
]
},
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Data",
"Management"
]
}
]
}
```
## Registrazione degli eventi di Insights per un data store di eventi utilizzando il AWS CLI
Per registrare gli eventi di Insights in un datastore di eventi, è necessario un datastore di eventi di origine che registri gli eventi di gestione e un datastore di eventi di destinazione che registri gli eventi Insights.
Per vedere se gli eventi Insights sono abilitati su un datastore di eventi, esegui il comando **get-insight-selectors**.
```
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Per vedere se un datastore di eventi è configurato per ricevere gli eventi Insights o gli eventi di gestione, esegui il comando **get-event-data-store**.
```
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
```
Se un Event Data Store è configurato per ricevere eventi Insights, `eventCategory` verrà impostato `Insight` su.
Questa procedura mostra come creare i datastore di eventi di destinazione e di origine e come abilitare gli eventi Insights.
1. Esegui il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) per creare un datastore di eventi di destinazione che raccolga gli eventi di Insights. Il valore di `eventCategory` deve essere `Insight`. Sostituiscilo *retention-period-days* con il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi.
Se hai effettuato l'accesso con l'account di gestione di un'organizzazione AWS Organizations , includi il parametro `--organization-enabled` se desideri consentire all'[amministratore delegato](cloudtrail-delegated-administrator.md) l'accesso al datastore di eventi.
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
Di seguito è riportata una risposta di esempio.
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}
```
Come valore per il parametro `--insights-destination` nel passaggio 3 utilizzerai l'`ARN` (o il suffisso ID dell'ARN) dalla risposta.
1. Esegui il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) per creare un datastore di eventi di origine che registri gli eventi di gestione. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione. Non è necessario specificare i selettori di eventi avanzati se si desidera registrare tutti gli eventi di gestione. Sostituiscilo *retention-period-days* con il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi. Se stai creando un datastore di eventi dell'organizzazione, includi il parametro `--organization-enabled`.
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}
```
Come valore per il parametro `--event-data-store` nel passaggio 3 utilizzerai l'`ARN` (o il suffisso ID dell'ARN) dalla risposta.
1. Esegui il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) per abilitare gli eventi Insights. I valori del selettore Insights possono essere`ApiCallRateInsight`, `ApiErrorRateInsight` o entrambi. Per il parametro `--event-data-store`, specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi di origine che registra gli eventi di gestione e abiliterà Insights. Per il parametro `--insights-destination`, specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi di destinazione che registrerà gli eventi di Insights.
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
Il risultato seguente mostra il selettore di eventi Insights configurato per il datastore di eventi.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
Dopo aver abilitato CloudTrail Insights per la prima volta su un Event Data Store, CloudTrail potrebbero essere necessari fino a 7 giorni per iniziare a fornire gli eventi di Insights, a condizione che durante tale periodo venga rilevata un'attività insolita.
# Visualizzazione di eventi Insights per i percorsi
Questa sezione descrive come cercare negli ultimi 90 giorni di eventi Insights un percorso con CloudTrail Insights abilitato. Per informazioni su come visualizzare CloudTrail Insights per un data store di eventi, consulta[Visualizzazione del dashboard di Insights per un data store di eventi](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Puoi visualizzare, filtrare e scaricare gli ultimi 90 giorni di eventi di Insights come percorso dalla pagina **Insights** sulla console.
Puoi recuperare gli ultimi 90 giorni degli eventi di Insights in modo programmatico:
+ Per Trails, registra gli eventi di gestione eseguendo il AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)comando o l'operazione API. [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)
+ Per Trails, registra gli eventi relativi ai dati eseguendo il AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)comando o l'operazione [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html)API.
Per le descrizioni dei campi di registrazione degli eventi di Insights per i percorsi, vedere[CloudTrail registra i contenuti degli eventi Insights per i sentieri](cloudtrail-insights-fields-trails.md).
**Nota**
La pagina AWS CLI `lookup-events` e/o il `list-insights-data` comando **Insights** elencano gli eventi Insights solo se hai abilitato Insights su un percorso che registra eventi di gestione o relativi ai dati. Per informazioni sull'attivazione di Insights su un percorso, consulta [Abilitare CloudTrail Insights su un percorso esistente con la console](insights-events-enable.md#insights-events-enable-trail) e[Registrazione degli eventi di Insights per un percorso utilizzando il AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
Per registrare gli eventi di Insights sulla frequenza delle chiamate API, il percorso deve registrare gli eventi di `write` gestione o relativi ai dati. Per registrare gli eventi di Insights sul tasso di errore dell'API, il percorso deve registrare gli eventi di `write` gestione `read` o relativi ai dati.
**Topics**
+ [Visualizzazione degli eventi Insights per i percorsi con la console](view-insights-events-console.md)
+ [Visualizzazione degli eventi Insights per i sentieri con AWS CLI](view-insights-events-cli.md)
# Visualizzazione degli eventi Insights per i percorsi con la console
Questa sezione descrive come visualizzare, cercare e scaricare gli ultimi 90 giorni di eventi Insights per un percorso dalla pagina **Insights** sulla CloudTrail console. Per informazioni su come visualizzare CloudTrail Insights per un archivio dati di eventi, consulta[Visualizzazione del dashboard di Insights per un data store di eventi](insights-events-view-lake.md#insights-events-view-lake-dashboard).
Dopo aver registrato gli eventi di Insights per un percorso, gli eventi vengono visualizzati nella pagina **Insights** per 90 giorni. Non è possibile eliminare manualmente gli eventi dalla pagina **Insights**. Poiché gli eventi Insights abilitati per un trail sono archiviati nel bucket Amazon S3 configurato per quel trail, la rimozione degli eventi Insights dal bucket eliminerà tali eventi.
Puoi monitorare i log dei trail e ricevere notifiche quando si verificano eventi specifici di Insights abilitando i log. CloudWatch Per ulteriori informazioni, consulta [Monitoraggio dei file di CloudTrail registro con Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).
**Nota**
CloudTrail Gli eventi Insights devono essere abilitati sul percorso per visualizzare gli eventi Insights nella console. Attendi fino a 36 ore CloudTrail per la distribuzione dei primi eventi Insights, a condizione che venga rilevata un'attività insolita durante quel periodo.
Per gli eventi di gestione Insights: per registrare gli eventi di Insights sulla frequenza delle chiamate API, il percorso deve registrare gli eventi di `write` gestione. Per registrare gli eventi di Insights sul tasso di errore dell'API, il trail deve registrare gli eventi di `write` gestione `read` o quelli di gestione.
Per Data events Insights: per registrare gli eventi di Insights sulla frequenza delle chiamate API o sul tasso di errore dell'API, il percorso deve registrare gli eventi `read` o `write` i dati.
**Per visualizzare gli eventi Insights**
1. Accedi a Console di gestione AWS e apri la CloudTrail console a [https://console.aws.amazon.com/cloudtrail/casa/](https://console.aws.amazon.com/cloudtrail/home/).
1. Nel riquadro di navigazione, scegli **Insights** per visualizzare tutti gli eventi Insights registrati nel tuo account negli ultimi 90 giorni. Puoi anche visualizzare i cinque eventi Insights più recenti dalla pagina **Dashboards**.
1. Nella pagina **Insights**, puoi selezionare la scheda Insights degli eventi di gestione Insights o degli eventi di dati Insights
1. È possibile filtrare gli eventi di Insights in base all'origine dell'evento, al nome dell'evento o all'ID dell'evento. Per ulteriori informazioni sul filtro degli eventi Insights, consulta [Filtro degli eventi Insights](#filtering-insights-events).
1. È possibile limitare ulteriormente l'elenco a un **intervallo relativo** o un **intervallo assoluto**.
**Contents**
+ [Filtro degli eventi Insights](#filtering-insights-events)
+ [Visualizzazione dei dettagli degli eventi Insights](#viewing-details-for-an-event)
+ [Zoom, panoramica e download del grafico](#viewing-insight-details-zoom)
+ [Modifica delle impostazioni dell'intervallo temporale del grafico](#viewing-insight-details-timespan)
+ [Download di eventi Insights](#downloading-insights-events)
## Filtro degli eventi Insights
Per impostazione predefinita, gli eventi nella pagina **Insights** vengono visualizzati in ordine cronologico inverso in base all'ora di inizio dell'evento.
È possibile filtrare l'elenco scegliendo uno dei tre attributi seguenti:
**Nome evento**
Il nome dell'evento, in genere l' AWS API su cui sono stati registrati livelli di attività insoliti.
**Origine eventi**
Il AWS servizio a cui è stata effettuata la richiesta, ad esempio `iam.amazonaws.com` o`s3.amazonaws.com`. Se scegli di filtrare per origine degli eventi, puoi scorrere un elenco di fonti di eventi.
**ID evento**
L'ID dell'evento Insights. IDs Gli eventi non vengono visualizzati nella tabella delle pagine di **Insights**, ma sono un attributo in base al quale è possibile filtrare gli eventi di Insights. L'evento IDs di gestione o gli eventi relativi ai dati che vengono analizzati per generare eventi Insights sono diversi dall'evento IDs degli eventi Insights.
![\[Il filtro dell'elenco degli eventi di CloudTrail Insights.\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/insights_events_filter.png)
L'elenco seguente descrive gli attributi di un evento, che non sono filtrabili:
**Tipo di informazioni**
Il tipo di evento CloudTrail Insights, che corrisponde alla frequenza delle **chiamate API o al tasso di** **errore dell'API**. Il tipo di analisi della **frequenza delle chiamate API** analizza la gestione in sola scrittura o le chiamate API di dati aggregate al minuto rispetto a un volume di chiamate API di base. Il tipo di analisi del **tasso di errore dell'API** analizza le chiamate API di gestione o di dati che generano codici di errore. L'errore viene visualizzato se la chiamata API non ha esito positivo.
**Ora di inizio dell'evento**
L'ora di inizio dell'evento Insights, misurata come il primo minuto in cui è stata registrata un'attività insolita. Questo attributo è mostrato nella tabella **Insights**, ma non puoi filtrare l'ora di inizio dell'evento nella console.
**Media di base**
La linea di base rappresenta il normale modello di attività della frequenza delle chiamate API o del tasso di errore, calcolato giornalmente. La media di base è la media di queste linee di base giornaliere nei sette giorni precedenti l'inizio di un evento Insights. Sebbene questo periodo sia generalmente di sette giorni, CloudTrail arrotonda il periodo di calcolo a un numero intero di giorni, in modo che la durata di base esatta possa variare leggermente.
**Media di informazioni**
Il numero medio di chiamate a un'API o il numero medio di un errore specifico restituito nelle chiamate a un'API, che ha attivato l'evento Insights. La media di CloudTrail Insights per l'evento iniziale è la frequenza di occorrenze che hanno attivato l'evento Insights. In genere si tratta del primo minuto di attività insolita. La media di informazione per l'evento finale è la frequenza di chiamate API al minuto per la durata dell'attività insolita, tra l'evento Insights di inizio e di fine.
**Cambio del tasso**
La differenza tra il valore di **Media di base** e **Media dell'informazione** misurato come percentuale. Ad esempio, se la media di base di un errore `AccessDenied` che si verifica è 1,0 e la media di informazione è 3,0, la variazione del tasso è del 300%. Una variazione del tasso per una media di informazione che supera la media di base mostra una freccia superiore accanto al valore. Se l'evento Insights è stato registrato perché l'attività è inferiore alla media di base, **Cambio di tasso** mostra una freccia verso il basso accanto alla percentuale.
Se non sono presenti eventi registrati per l'attributo o l'intervallo di tempo scelto, l'elenco dei risultati è vuoto. È possibile applicare solo un filtro attributo oltre all'intervallo di tempo. Se si scegli un filtro attributo diverso, l'intervallo di tempo specificato viene conservato.
La procedura riportata di seguito illustra come filtrare i dati in base a un attributo.
**Per filtrare in base un attributo**
1. Per filtrare i risultati in base a un attributo, scegliete un attributo di ricerca dal menu a discesa, quindi digitate o scegliete un valore nella casella **Inserisci un** valore di ricerca.
1. Per rimuovere un filtro attributo, scegliere **X** a destra della casella del filtro attributo.
La procedura riportata di seguito illustra come filtrare in base alla data e all'ora di inizio e fine.
**Per filtrare in base a una data e ora di inizio e fine**
1. Da **Filtra per data e ora**, scegli una delle seguenti opzioni:
+ **Intervallo assoluto**: consente di scegliere un orario specifico. Passa alla fase successiva.
+ **Intervallo relativo**: selezionato per impostazione predefinita. Consente di scegliere un periodo di tempo relativo all'ora di inizio di un evento Insights. Vai al passaggio 3.
1. Per impostare un **intervallo assoluto**, procedi come segue.
1. Scegli il giorno in cui desideri che inizi l'intervallo di tempo. Inserisci un'ora di inizio nel giorno selezionato. Per inserire manualmente una data, digita la data nel formato `yyyy/mm/dd`. L'ora di inizio e di fine utilizzano un orologio di 24 ore e i valori devono essere nel formato `hh:mm:ss`. Ad esempio, per indicare un'ora di inizio alle 18:30, inserisci **18:30:00**.
1. Scegli una data di fine per l'intervallo nel calendario oppure specifica una data e un'ora di fine al di sotto del calendario. Scegli **Applica**.
1. Per impostare un **intervallo relativo**, procedi come segue.
1. Scegli un periodo di tempo preimpostato relativo all'ora di inizio di eventi Insights. Gli intervalli di tempo preimpostati includono 30 minuti, 1 ora, 12 ore o 1 giorno. Per specificare un intervallo di tempo personalizzato, scegli **Custom** (Personalizzato).
1. Dopo aver impostato l'ora relativa che desideri, scegli **Apply** (Applica).
1. Per rimuovere un filtro per intervallo di tempo, scegli l'icona del calendario a destra della casella **Filtra per data e ora**, quindi scegli **Cancella e ignora**.
## Visualizzazione dei dettagli degli eventi Insights
1. Scegliere un evento Insights nell'elenco dei risultati per visualizzare i relativi dettagli. La pagina dei dettagli di un evento Insights mostra un grafico della sequenza temporale dell'attività insolita.
![\[Una pagina di dettaglio di CloudTrail Insights che mostra attività insolite delle API.\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/insights_event_view.png)
1. Passa il puntatore del mouse sulle bande evidenziate per visualizzare l'ora di inizio e la durata di ogni evento Insights nel grafico.
![\[Statistiche di un evento Insights che compaiono dopo aver passato il mouse su un evento Insights.\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/insights_event_statistics.png)
La seguente informazione è mostrata nell'area del grafico **Informazioni aggiuntive**:
+ **Insight type** (Tipo di informazioni). Può trattarsi di una frequenza di chiamata API o di un tasso di errore API.
+ **Trigger**. Questo è un collegamento alla scheda **degli eventi di Cloudtrail, che elenca gli eventi** di gestione dei dati che sono stati analizzati per determinare che si è verificata un'attività insolita.
+ **Chiamate API al minuto** o **errori** al minuto
+ **Baseline average** (Media di base) - La frequenza tipica di occorrenze al minuto su questa API, in cui l'evento Insight è stato registrato, misurata nei sette giorni precedenti circa, in una regione specifica dell'account.
+ **Media Insights** - La frequenza di occorrenze al minuto su questa API che hanno attivato l'evento Insights. La media CloudTrail Insights per l'evento di avvio è la frequenza di chiamate o errori al minuto sull'API che ha attivato l'evento Insights. In genere si tratta del primo minuto di attività insolita. La media Insights per l'evento di fine è la frequenza di chiamate API o errori al minuto per tutta la durata dell'attività insolita, tra l'evento Insights di inizio e l'evento Insights di fine.
+ **Event source** (Origine eventi). L'endpoint del AWS servizio su cui è stato registrato il numero insolito di chiamate o errori dell'API. Nell'immagine precedente, l'origine è`ec2.amazonaws.com`, che è l'endpoint del servizio per Amazon. EC2
+ **ID evento di inizio** - L'ID dell'evento Insights registrato all'inizio di attività insolita.
+ **ID evento di fine** - L'ID dell'evento Insights registrato al termine di attività insolita.
+ **ID evento condiviso**: negli eventi Insights, l'**ID evento condiviso è un GUID** generato da CloudTrail Insights per identificare in modo univoco una coppia di eventi Insights di inizio e fine. **ID evento condiviso** è comune tra gli eventi Insights di inizio e di fine e consente di creare una correlazione tra entrambi gli eventi per identificare in modo univoco l'attività insolita.
1. Seleziona la scheda **Attributions** (Attribuzioni) per visualizzare informazioni sulle identità utente, sugli agenti dell'utente, sugli eventi Insight del tasso di chiamate API e sui codici di errore correlati all'attività insolita e di riferimento. Sono visualizzati un massimo di cinque identità utente, cinque agenti dell'utente e cinque codici di errore nelle tabelle nella scheda **Attributions** (Attribuzioni), ordinati in base alla media del conteggio delle attività, in ordine decrescente dalla più alta alla più bassa.
1. Nella scheda **CloudTrail eventi**, visualizza gli eventi correlati CloudTrail analizzati per determinare che si è verificata un'attività insolita. Per impostazione predefinita, un filtro è già applicato per il nome dell'evento Insights, che è anche il nome dell'API correlata. La scheda **CloudTrail eventi** mostra gli eventi di CloudTrail gestione o relativi ai dati relativi all'API dell'oggetto che si sono verificati tra l'ora di inizio (meno un minuto) e l'ora di fine (più un minuto) dell'evento Insights.
Quando si selezionano altri eventi di Insights nel grafico, gli eventi mostrati nella tabella degli **CloudTrail eventi** cambiano. Questi eventi ti permettono di eseguire analisi più approfondite per determinare la probabile causa di un evento Insights e i motivi di un'attività API insolita.
Per mostrare tutti CloudTrail gli eventi che sono stati registrati durante la durata dell'evento Insights, e non solo quelli per l'API correlata, disattiva il filtro.
1. Seleziona la scheda **Insights event record** (Record di eventi Insights) per visualizzare gli eventi di inizio e di fine Insights in formato JSON.
1. Selezionando l'**Event source** (Origine eventi) collegata, puoi tornare alla pagina **Insights**, filtrata in base all'origine eventi.
## Zoom, panoramica e download del grafico
È possibile eseguire lo zoom, la panoramica e il ripristino degli assi del grafico nella pagina dei dettagli dell'evento Insights utilizzando una barra degli strumenti nell'angolo in alto a destra.
![\[Barra degli strumenti di comando per scaricare come PNG, eseguire lo zoom e la panoramica, ingrandire e ridurre.\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)
Da sinistra a destra, i pulsanti di comando sulla barra degli strumenti del grafico effettuano le seguenti operazioni:
+ **Download plot as a PNG (Scarica grafico come PNG)** – Carica l'immagine del grafico mostrata nella pagina dei dettagli e salvala in formato PNG.
+ **Zoom** – Trascina per selezionare un'area del grafico da ingrandire e visualizzare nei minimi dettagli.
+ **Pan (Panoramica)** – Sposta il grafico per visualizzare le date o le ore adiacenti.
+ **Reset axes (Ripristina assi)** – Modifica gli assi del grafico ai valori originari, eliminando le impostazioni dello zoom e della panoramica.
## Modifica delle impostazioni dell'intervallo temporale del grafico
Puoi modificare l'intervallo di tempo, ovvero la durata selezionata degli eventi visualizzati sull'asse *x*, mostrato nel grafico scegliendo un'impostazione nell'angolo superiore destro del grafico.
![\[Controllo dell'intervallo di tempo per un evento Insights.\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/insights_details_timespan.png)
## Download di eventi Insights
È possibile eseguire il download della cronologia degli eventi registrati come file in formato CSV o JSON. Utilizzare i filtri e gli intervalli di tempo per ridurre le dimensioni del file scaricato.
**Nota**
CloudTrail i file di cronologia degli eventi sono file di dati che contengono informazioni (come i nomi delle risorse) che possono essere configurate dai singoli utenti. Alcuni dati potrebbero essere interpretati come comandi nei programmi utilizzati per leggere e analizzare questo tipo di informazioni (rischio di attacco di tipo CSV Injection o Formula Injection). Ad esempio, quando CloudTrail gli eventi vengono esportati in formato CSV e importati in un programma per fogli di calcolo, tale programma potrebbe avvisare l'utente in merito a problemi di sicurezza. Come best practice di sicurezza, è consigliabile disabilitare i collegamenti o le macro dai file scaricati della cronologia degli eventi.
1. Specificare il filtro e l'intervallo di tempo per gli eventi che si desidera scaricare. Ad esempio, è possibile specificare il nome dell'evento e specificare un intervallo di tempo per le ultime 12 ore di attività. `StartInstances`
1. Seleziona **Download events** (Download di eventi), quindi **Download as CSV** (Scarica in formato CSV) o **Download as JSON** (Scarica in formato JSON). Viene richiesto di scegliere una posizione in cui salvare il file.
**Nota**
Il download potrebbe richiedere alcuni minuti per essere completato. Per ottenere più rapidamente i risultati, prima di avviare il processo di download, utilizzare un filtro più specifico o un intervallo di tempo più breve per limitare i risultati.
1. Al termine del download, aprire il file per visualizzare gli eventi specificati.
1. Per annullare il download, scegli **Annulla**. Se annulli un download prima che sia terminato, un file CSV o JSON nel computer locale potrebbe contenere solo una parte degli eventi.
# Visualizzazione degli eventi Insights per i sentieri con AWS CLI
Questa sezione descrive come utilizzare il `list-insights-data` comando AWS CLI `lookup-events` and per cercare gli ultimi 90 giorni di eventi Insights per un percorso con gli eventi Insights abilitati. Per informazioni su come abilitare CloudTrail Insights su un percorso, consulta[Registrazione degli eventi di Insights per un percorso utilizzando il AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).
**Nota**
Non è possibile utilizzare il `list-insights-data` comando `lookup-events` o per cercare gli eventi di Insights per un data store di eventi, tuttavia CloudTrail Lake offre una serie di query di esempio per gli archivi di dati di eventi Insights. Per ulteriori informazioni, consulta [Visualizzazione di query di esempio per gli eventi Insights](insights-events-view-lake.md#insights-events-lake-queries).
Il comando `lookup-events` ha le seguenti opzioni:
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
Il comando `list-insights-data` ha le seguenti opzioni:
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`
Per informazioni generali sull'utilizzo di AWS Command Line Interface, consulta la Guida per l'[AWS Command Line Interface utente](https://docs.aws.amazon.com/cli/latest/userguide/).
**Contents**
+ [Prerequisiti](#aws-cli-prerequisites-for-insights)
+ [Visualizzazione delle informazioni di aiuto della riga di comando](#getting-command-line-help-insights)
+ [Ricerca degli eventi di Insights per gli eventi di gestione](#looking-up-management-insights-with-the-aws-cli)
+ [Ricerca degli eventi di Insights per gli eventi relativi ai dati](#looking-up-data-insights-with-the-aws-cli)
+ [Specificazione del numero di eventi Insights da restituire agli eventi di gestione](#specify-the-number-of-management-insights-to-return)
+ [Specificazione del numero di eventi Insights che gli eventi di dati devono restituire](#specify-the-number-of-data-insights-to-return)
+ [Ricerca degli eventi di Insights per gli eventi di gestione per intervallo di tempo](#look-up-management-insights-by-time-range)
+ [Ricerca degli eventi di Insights per gli eventi relativi ai dati per intervallo di tempo](#look-up-data-insights-by-time-range)
+ [Ricerca degli eventi di Insights per gli eventi di gestione per attributo](#look-up-management-insights-by-attributes)
+ [Esempi di ricerca in base a un attributo](#attribute-lookup-example-insights)
+ [Ricerca degli eventi di Insights per gli eventi relativi ai dati per dimensione](#look-up-data-insights-by-attributes)
+ [Esempi di ricerca dimensionale](#dimension-lookup-example-insights)
+ [Specificazione della pagina successiva dei risultati per gli eventi Insights per gli eventi di gestione](#specify-next-page-of-management-results)
+ [Specificazione della pagina successiva dei risultati per gli eventi di Insights per gli eventi di gestione](#specify-next-page-of-data-results)
+ [Ottenere input JSON da un file per gli eventi di Insights per gli eventi di gestione](#json-input-from-file-managemenet-insights)
+ [Ottenere input JSON da un file per gli eventi Insights per gli eventi relativi ai dati](#json-input-from-file-data-insights)
+ [Campi di output della ricerca](#view-insights-events-cli-output-fields)
## Prerequisiti
+ Per eseguire AWS CLI i comandi, è necessario installare AWS CLI. Per ulteriori informazioni, consulta [Nozioni di base su AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Assicurati che la tua AWS CLI versione sia successiva alla 1.6.6. Per verificare la versione della CLI, esegui **aws --version** nella riga di comando.
+ Per impostare l'account, la regione e il formato di output predefinito per una AWS CLI sessione, usa il **aws configure** comando. Per ulteriori informazioni, consulta [Configurazione di AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Per registrare gli eventi di Insights sulla frequenza delle chiamate API, il trail deve registrare gli eventi di `write` gestione. Per registrare gli eventi di Insights in base al tasso di errore dell'API, il percorso deve registrare gli eventi `read` o gli eventi di `write` gestione.
**Nota**
I CloudTrail AWS CLI comandi fanno distinzione tra maiuscole e minuscole.
## Visualizzazione delle informazioni di aiuto della riga di comando
Per visualizzare le informazioni di aiuto della riga di comando per `lookup-events`, digita il comando seguente.
```
aws cloudtrail lookup-events help
```
## Ricerca degli eventi di Insights per gli eventi di gestione
Per visualizzare gli ultimi 50 eventi di Insights, digita il comando seguente.
```
aws cloudtrail lookup-events --event-category insight
```
Un evento restituito è simile all'esempio che segue,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"sourceEventCategory": "Management",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
}
```
Per una spiegazione dei campi correlati alla ricerca nell'output, vedere la sezione [Campi di output della ricerca](#view-insights-events-cli-output-fields). Per una spiegazione di campi nell'evento Insights, consulta [CloudTrail registra i contenuti degli eventi Insights per i sentieri](cloudtrail-insights-fields-trails.md).
## Ricerca degli eventi di Insights per gli eventi relativi ai dati
Per visualizzare gli ultimi 50 eventi di Insights, digita il comando seguente.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```
Un evento restituito è simile all'esempio che segue,
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-2",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "s3.amazonaws.com",
"eventName": "PutObject",
"insightType": "ApiErrorRateInsight",
"errorCode": "InvalidRequest",
"sourceEventCategory": "Data",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::123456789012:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
},
"insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
},
"eventCategory": "Insight"
}
]
}
```
## Specificazione del numero di eventi Insights da restituire agli eventi di gestione
Per specificare il numero di eventi Insights che gli eventi di gestione devono restituire, digitare il comando seguente.
```
aws cloudtrail lookup-events --event-category insight --max-results
```
Il valore predefinito per**, se non è specificato, è 50. I valori possibili sono da 1 a 50. L'esempio seguente restituisce un risultato.
```
aws cloudtrail lookup-events --event-category insight --max-results 1
```
## Specificazione del numero di eventi Insights che gli eventi di dati devono restituire
Per specificare il numero di eventi Insights che gli eventi di dati devono restituire, digita il comando seguente.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results
```
Il valore predefinito per**, se non è specificato, è 50. I valori possibili sono da 1 a 50. L'esempio seguente restituisce un risultato.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```
## Ricerca degli eventi di Insights per gli eventi di gestione per intervallo di tempo
Gli eventi di Insights per gli eventi di gestione degli ultimi 90 giorni sono disponibili per la ricerca. Per specificare un intervallo di tempo, digita il comando seguente.
```
aws cloudtrail lookup-events --event-category insight --start-time --end-time
```
`--start-time ` specifica, in UTC, che vengono restituiti solo gli eventi Insights che si sono verificati in corrispondenza o dopo l'intervallo di tempo specificato. Se l'ora di inizio specificata è successiva all'ora di fine specificata, viene restituito un errore.
`--end-time ` specifica, in UTC, che vengono restituiti solo gli eventi Insights che si sono verificati in corrispondenza o prima dell'intervallo di tempo specificato. Se l'ora di fine specificata è anteriore all'ora di inizio specificata, viene restituito un errore.
L'ora di inizio di default è la prima data in cui i dati sono disponibili negli ultimi 90 giorni. L'ora di fine di default è invece l'ora dell'evento che si è verificato più in vicinanza dell'ora corrente.
Tutti i timestamp sono mostrati in UTC.
## Ricerca degli eventi di Insights per gli eventi relativi ai dati per intervallo di tempo
Gli eventi di Insights relativi ai dati degli ultimi 90 giorni sono disponibili per la ricerca. Per specificare un intervallo di tempo, digita il comando seguente.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time --end-time
```
`--start-time ` specifica, in UTC, che vengono restituiti solo gli eventi Insights che si sono verificati in corrispondenza o dopo l'intervallo di tempo specificato. Se l'ora di inizio specificata è successiva all'ora di fine specificata, viene restituito un errore.
`--end-time ` specifica, in UTC, che vengono restituiti solo gli eventi Insights che si sono verificati in corrispondenza o prima dell'intervallo di tempo specificato. Se l'ora di fine specificata è anteriore all'ora di inizio specificata, viene restituito un errore.
L'ora di inizio di default è la prima data in cui i dati sono disponibili negli ultimi 90 giorni. L'ora di fine di default è invece l'ora dell'evento che si è verificato più in vicinanza dell'ora corrente.
Tutti i timestamp sono mostrati in UTC.
## Ricerca degli eventi di Insights per gli eventi di gestione per attributo
Per filtrare in base a un attributo, digita il comando seguente.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=,AttributeValue=
```
Puoi specificare solo una coppia chiave/valore attributo per ogni comando **lookup-events**. Di seguito sono riportati i valori degli eventi Insights validi per `AttributeKey`. I nomi dei valori fanno distinzione tra lettere maiuscole e minuscole.
+ `EventId`
+ `EventName`
+ `EventSource`
La lunghezza massima per `AttributeValue` è di 2000 caratteri. I seguenti caratteri ('`_`', '` `', '`,`', '`\\n`') contano come due caratteri nel limite di 2000 caratteri.
### Esempi di ricerca in base a un attributo
Il comando di esempio seguente restituisce gli eventi Insights in cui il valore di `EventName` è `PutRule`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
Il comando di esempio seguente restituisce gli eventi Insights in cui il valore di `EventId` è `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
Il comando di esempio seguente restituisce gli eventi Insights in cui il valore di `EventSource` è `iam.amazonaws.com`.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```
## Ricerca degli eventi di Insights per gli eventi relativi ai dati per dimensione
Per filtrare in base a una dimensione, digitare il comando seguente.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
--dimensions =
```
È possibile specificare solo una coppia chiave-valore di dimensione per ogni **list-insights-events** comando. Di seguito sono riportati i valori degli eventi Insights validi per `DimensionKey`. I nomi dei valori fanno distinzione tra lettere maiuscole e minuscole.
+ `EventId`
+ `EventName`
+ `EventSource`
La lunghezza massima per `DimensionValue` è di 2000 caratteri. I seguenti caratteri ('`_`', '` `', '`,`', '`\\n`') contano come due caratteri nel limite di 2000 caratteri.
### Esempi di ricerca dimensionale
Il comando di esempio seguente restituisce gli eventi Insights in cui il valore di `EventName` è `PutObject`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
Il comando di esempio seguente restituisce gli eventi Insights in cui il valore di `EventId` è `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
Il comando di esempio seguente restituisce gli eventi Insights in cui il valore di `EventSource` è `s3.amazonaws.com`.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```
## Specificazione della pagina successiva dei risultati per gli eventi Insights per gli eventi di gestione
Per visualizzare la pagina di risultati successiva mediante un comando `lookup-events`, digita il comando seguente,
```
aws cloudtrail lookup-events --event-category insight --next-token=
```
In questo comando, il valore di ** viene preso dal primo campo dell'output del comando precedente.
Quando utilizzi `--next-token` in un comando, devi utilizzare gli stessi parametri usati nel comando precedente. Ad esempio, supponiamo che tu abbia eseguito il seguente comando.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```
Per visualizzare la pagina di risultati successiva, il comando successivo avrà l'aspetto seguente.
```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Specificazione della pagina successiva dei risultati per gli eventi di Insights per gli eventi di gestione
Per visualizzare la pagina di risultati successiva mediante un comando `list-insights-data`, digita il comando seguente,
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --next-token=
```
In questo comando, il valore di ** viene preso dal primo campo dell'output del comando precedente.
Quando utilizzi `--next-token` in un comando, devi utilizzare gli stessi parametri usati nel comando precedente. Ad esempio, supponiamo che tu abbia eseguito il seguente comando.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```
Per visualizzare la pagina di risultati successiva, il comando successivo avrà l'aspetto seguente.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```
## Ottenere input JSON da un file per gli eventi di Insights per gli eventi di gestione
AWS CLI Per alcuni AWS servizi ha due parametri`--cli-input-json`, `--generate-cli-skeleton` che è possibile utilizzare per generare un modello JSON, che è possibile modificare e utilizzare come input per il `--cli-input-json` parametro. Questa sezione descrive come utilizzare questi parametri con `aws cloudtrail lookup-events`. Per ulteriori informazioni, consultate [AWS CLI scheletri e file di input](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Per cercare eventi Insights recuperando l'input JSON da un file**
1. Crea un modello di input da usare con `lookup-events` reindirizzando l'output di `--generate-cli-skeleton` in un file, come nell'esempio seguente.
```
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
```
Il file modello generato (in questo caso, LookupEvents .txt) ha l'aspetto seguente.
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Utilizza un editor di testo per modificare l'input JSON in base alle esigenze. L'input JSON deve contenere solo i valori specificati.
**Importante**
Tutti i valori vuoti o null devono essere rimossi dal modello prima di utilizzarlo.
L'esempio seguente specifica un intervallo di tempo e il numero massimo di risultati da restituire.
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. Per utilizzare il file modificato come input, utilizzate la sintassi `--cli-input-json file://`**, come nell'esempio seguente.
```
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
```
**Nota**
Puoi utilizzare altri argomenti sulla stessa riga di comando come `--cli-input-json`.
## Ottenere input JSON da un file per gli eventi Insights per gli eventi relativi ai dati
AWS CLI Per alcuni AWS servizi ha due parametri`--cli-input-json`, `--generate-cli-skeleton` che è possibile utilizzare per generare un modello JSON, che è possibile modificare e utilizzare come input per il `--cli-input-json` parametro. Questa sezione descrive come utilizzare questi parametri con `aws cloudtrail list-insights-data`. Per ulteriori informazioni, consultate [AWS CLI scheletri e file di input](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**Per cercare eventi Insights recuperando l'input JSON da un file**
1. Crea un modello di input da usare con `list-insights-data` reindirizzando l'output di `--generate-cli-skeleton` in un file, come nell'esempio seguente.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
```
Il file modello generato (in questo caso, ListInsightsData .txt) ha l'aspetto seguente.
```
{
"InsightSource": "",
"DataType": "InsightsEvents",
"Dimensions":
{
"KeyName": ""
},
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Utilizza un editor di testo per modificare l'input JSON in base alle esigenze. L'input JSON deve contenere solo i valori specificati.
**Importante**
Tutti i valori vuoti o null devono essere rimossi dal modello prima di utilizzarlo.
L'esempio seguente specifica un intervallo di tempo e il numero massimo di risultati da restituire.
```
{
"InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"DataType": "InsightsEvents",
"Dimensions":
{
"EventName": "PutObject"
},
"StartTime": "2025-11-01",
"EndTime": "2025-11-05",
"MaxResults": 1
}
```
1. Per utilizzare il file modificato come input, utilizzate la sintassi `--cli-input-json file://`**, come nell'esempio seguente.
```
aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
```
**Nota**
Puoi utilizzare altri argomenti sulla stessa riga di comando come `--cli-input-json`.
## Campi di output della ricerca
**Eventi**
Un elenco di eventi di ricerca in base all'attributo di ricerca e all'intervallo di tempo specificati. L'elenco di eventi è ordinato in base all'ora, con l'ultimo evento elencato per primo. Ogni voce contiene informazioni sulla richiesta di ricerca e include una rappresentazione in formato stringa dell' CloudTrail evento recuperato.
Le voci seguenti descrivono i campi in ogni evento di ricerca.
**CloudTrailEvent**
Stringa JSON contenente una rappresentazione oggetto dell'evento restituito. Per informazioni su ciascuno degli elementi restituiti, consulta l'argomento relativo al [contenuto del corpo dei record](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
**EventId**
Stringa contenente il GUID dell'evento restituito.
**EventName**
Stringa contenente il nome dell'evento restituito.
**EventSource**
Il AWS servizio a cui è stata effettuata la richiesta.
**EventTime**
Data e ora, in formato UNIX, dell'evento.
**Risorse**
Elenco delle risorse a cui fa riferimento l'evento restituito. Ogni voce specifica un tipo e un nome di risorsa.
**ResourceName**
Stringa contenente il nome della risorsa a cui l'evento fa riferimento.
**ResourceType**
Stringa contenente il tipo di una risorsa a cui l'evento fa riferimento. Quando risulta impossibile determinare il tipo di risorsa, viene restituito un valore null.
**Nome utente**
Stringa contenente il nome utente dell'account per l'evento restituito.
**NextToken**
Stringa per visualizzare la pagina di risultati successiva generata da un precedente comando `lookup-events`. Per usare il token, i parametri devono essere uguali a quelli specificati nel comando originale. Se nell'output non è presente alcuna voce `NextToken`, significa che non sono presenti altri risultati da restituire.
Per ulteriori informazioni sugli eventi CloudTrail Insights, [Lavorare con CloudTrail Insights](logging-insights-events-with-cloudtrail.md) consulta questa guida.
# Visualizzazione degli eventi Insights per i datastore di eventi
Questa sezione descrive come visualizzare gli eventi di Insights per un data store di eventi Insights visualizzando il **dashboard degli eventi di Insights** ed eseguendo query di esempio. Per informazioni su come abilitare CloudTrail Insights su un data store di eventi, consulta[Abilitazione di CloudTrail Insights su un data store di eventi esistente con la console](insights-events-enable.md#insights-events-enable-lake).
CloudTrail le query comportano addebiti in base alla quantità di dati scansionati. Per semplificare il controllo dei costi, consigliamo di vincolare le query aggiungendovi marche temporali `eventTime` di inizio e di fine. Per ulteriori informazioni sui prezzi di CloudTrail, consulta [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
Per le descrizioni dei campi di registrazione degli eventi di Insights per gli archivi dati degli eventi, vedere. [CloudTrail registra i contenuti per gli eventi Insights per gli archivi di dati degli eventi](cloudtrail-insights-fields-lake.md)
**Topics**
+ [Visualizzazione del dashboard di Insights per un data store di eventi](#insights-events-view-lake-dashboard)
+ [Visualizzazione di query di esempio per gli eventi Insights](#insights-events-lake-queries)
## Visualizzazione del dashboard di Insights per un data store di eventi
La **dashboard degli eventi di Insights** mostra la proporzione complessiva di eventi Insights per tipo di Insights, la proporzione di eventi Insights per tipo di Insights per gli utenti e i servizi principali e il numero di eventi Insights al giorno. Il pannello di controllo include anche un widget che riporta fino a 30 giorni di eventi Insights.
**Nota**
Dopo aver abilitato CloudTrail Insights per la prima volta nell'archivio dati degli eventi di origine, CloudTrail potrebbero essere necessari fino a 7 giorni per iniziare a fornire gli eventi di Insights, a condizione che venga rilevata un'attività insolita durante quel periodo. Per ulteriori informazioni, consulta [Erogazione di eventi Insights](insights-events-understanding.md).
Il **dashboard degli eventi di Insights** mostra solo le informazioni sugli eventi di Insights raccolti dal data store degli eventi selezionato, che è determinato dalla configurazione del data store degli eventi di origine. Ad esempio, se configuri il datastore di eventi di origine per abilitare gli eventi Insights su `ApiCallRateInsight` ma non su `ApiErrorRateInsight`, non vedrai le informazioni sugli eventi Insights su `ApiErrorRateInsight`.
**Per visualizzare il pannello di controllo degli eventi di Insights**
1. Accedi Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Nel pannello di navigazione a sinistra, in **Lake**, seleziona **Pannello di controllo**.
1. Scegli la scheda **Dashboard gestite e personalizzate**.
1. Dalle **dashboard AWS gestite, scegli la dashboard** **degli eventi di Insights**.
1. Scegli il tuo data store di eventi Insights.
1. Puoi decidere di filtrare i dati del pannello di controllo in base a un **Intervallo assoluto** o un **Intervallo relativo**. Scegli **Intervallo assoluto** per selezionare un intervallo di data e ora specifico. Scegli **Intervallo relativo** per selezionare un intervallo di tempo predefinito o un intervallo personalizzato. Per impostazione predefinita, il pannello di controllo mostra i dati di eventi delle ultime 24 ore.
**Nota**
CloudTrail Le query sul lago comportano costi in base alla quantità di dati scansionati. Per controllare i costi, puoi filtrare in base a un intervallo di tempo più ristretto. [Per ulteriori informazioni sui CloudTrail prezzi, consulta la sezione Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/)
1. Scegli l'icona di aggiornamento per popolare la grafica dei widget della dashboard. Ogni widget indica lo stato dell'aggiornamento.
Per ulteriori informazioni sui pannelli di controllo di Lake, consulta [CloudTrail Cruscotti Lake](lake-dashboard.md).
## Visualizzazione di query di esempio per gli eventi Insights
La CloudTrail console fornisce una serie di query di esempio per gli eventi di Insights che possono aiutarti a iniziare a scrivere le tue query.
**Per visualizzare query di esempio per gli eventi Insights**
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dal pannello di navigazione, in **Lake**, scegli **Query**.
1. Nella pagina **Query**, scegli la scheda **Sample queries** (Query di esempio).
1. Cerca le query relative agli eventi Insights. Scegliete il **nome** della query per aprirla nella scheda **Editor**.
![\[L'esempio mostra query di esempio per gli eventi Insights\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/ct-insights-sample-queries.png)
1. Nella scheda **Editor**, scegli l'archivio dati degli eventi Insights. Quando scegli il data store degli eventi dall'elenco, compila CloudTrail automaticamente l'ID del data store degli eventi nella `FROM` riga dell'editor di query.
1. Per eseguire la query, scegli **Esegui**. Una volta completata la query, è possibile visualizzare l'output del comando e i risultati della query.
La scheda **Output del comando** mostra i metadati relativi alla query, ad esempio se la query ha avuto esito positivo, il numero di record corrispondenti e la durata di esecuzione della query.
La scheda **Risultati della query** mostra i dati degli eventi nel datastore di eventi selezionato che corrispondono alla query.
Per ulteriori informazioni sulla modifica di una query, consulta [Crea o modifica un'interrogazione con la console CloudTrail](query-create-edit-query.md). Per ulteriori informazioni sull'esecuzione di una query e sul salvataggio dei relativi risultati, consulta [Esegui una query e salva i risultati della query con la console](query-run-query.md).