Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crea un'integrazione con una fonte di eventi esterna a AWS
**Nota**
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [CloudTrail Modifica della disponibilità del lago](cloudtrail-lake-service-availability-change.md).
Puoi utilizzarli CloudTrail per registrare e archiviare i dati sulle attività degli utenti da qualsiasi fonte nei tuoi ambienti ibridi, come applicazioni interne o SaaS ospitate in locale o nel cloud, macchine virtuali o contenitori. Puoi archiviare e analizzare questi dati, accedervi, risolverne i problemi e intervenire su di essi senza dover gestire diversi aggregatori di log e strumenti di reportistica.
Gli eventi di attività provenienti da AWS fonti diverse funzionano utilizzando *i canali* per portare eventi in CloudTrail Lake da partner esterni che collaborano con CloudTrail o provenienti da fonti proprie. Quando crei un canale, scegli uno o più archivi di dati degli eventi per archiviare gli eventi che provengono dall'origine del canale. È possibile modificare gli archivi di dati degli eventi di destinazione per un canale in base alle esigenze, a condizione che tali archivi siano impostati per registrare gli eventi `eventCategory="ActivityAuditLog"`. Quando crei un canale per gli eventi provenienti da un partner esterno, fornisci un ARN di canale al partner o all'applicazione di origine. La policy delle risorse collegata al canale consente all'origine di trasmettere eventi attraverso il canale. Se un canale non dispone di una policy delle risorse, solo il proprietario del canale può chiamare l'API `PutAuditEvents` sul canale.
CloudTrail ha collaborato con molti fornitori di fonti di eventi, come Okta e. LaunchDarkly Quando crei un'integrazione con una fonte di eventi esterna AWS, puoi scegliere uno di questi partner come fonte di eventi o scegliere **La mia integrazione personalizzata** in cui integrare gli eventi provenienti dalle tue fonti. CloudTrail È consentito un massimo di un canale per origine.
Esistono due tipi di integrazione: diretta e soluzione. Con le integrazioni dirette, il partner chiama l'`PutAuditEvents`API per inviare eventi all'archivio dati degli eventi relativo al tuo AWS account. Con le integrazioni di soluzioni, l'applicazione viene eseguita nell' AWS account dell'utente e richiama l'`PutAuditEvents`API per inviare gli eventi all'archivio dati degli eventi relativo all'account AWS .
Dalla pagina **Integrations** (Integrazioni), puoi scegliere la scheda **Available sources** (Origini disponibili) per visualizzare l'**Integration type** (Tipo di integrazione) dei partner.
![\[Tipo di integrazione dei partner\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/partner-integration-type.png)
Per iniziare, crea un'integrazione per registrare gli eventi dai partner o da altre fonti applicative utilizzando la CloudTrail console.
**Topics**
+ [Crea un'integrazione con un CloudTrail partner tramite la console](query-event-data-store-integration-partner.md)
+ [Crea un'integrazione personalizzata con la console](query-event-data-store-integration-custom.md)
+ [Crea, aggiorna e gestisci le integrazioni di CloudTrail Lake con AWS CLI](lake-integrations-cli.md)
+ [Ulteriori informazioni sui partner di integrazione](#cloudtrail-lake-partner-information)
+ [CloudTrail Schema degli eventi di Lake Integrations](query-integration-event-schema.md)
# Crea un'integrazione con un CloudTrail partner tramite la console
Quando crei un'integrazione con una fonte di eventi esterna AWS, puoi scegliere uno di questi partner come fonte di eventi. Quando crei un'integrazione CloudTrail con un'applicazione partner, il partner ha bisogno dell'Amazon Resource Name (ARN) del canale che crei in questo flusso di lavoro a cui inviare eventi. CloudTrail Dopo aver creato l'integrazione, completa la configurazione dell'integrazione seguendo le istruzioni del partner per fornire l'ARN di canale richiesto al partner. L'integrazione inizia a importare gli eventi dei partner CloudTrail dopo che il partner ha effettuato le chiamate `PutAuditEvents` sul canale di integrazione.
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Dal pannello di navigazione, in **Lake**, scegli **Integrazioni**.
1. Nella pagina **Add integration** (Aggiungi integrazione), inserisci un nome per il tuo canale. Il nome può contenere da 3 a 128 caratteri. Sono consentiti soltanto lettere, numeri, punti, e caratteri di sottolineatura e trattini.
1. Scegli l'origine dell'applicazione del partner dalla quale desideri ottenere gli eventi. Se stai eseguendo l'integrazione con gli eventi delle tue applicazioni ospitate on-premise o nel cloud, scegli **My custom integration** (La mia integrazione personalizzata).
1. In **Event delivery location** (Luogo di distribuzione dell'evento), puoi scegliere se registrare gli stessi eventi delle attività negli archivi di dati degli eventi esistenti oppure creare un nuovo archivio di dati degli eventi.
Se scegli di creare un nuovo datastore di eventi, inserisci un nome per tale datastore, scegli l'opzione di prezzo e specifica il periodo di conservazione in giorni. L'archivio di dati degli eventi conserva i dati degli eventi per il numero specificato di giorni.
Se scegli di registrare gli eventi delle attività in uno o più archivi di dati degli eventi esistenti, scegli tali archivi dall'elenco. Gli archivi di dati degli eventi possono includere solo eventi delle attività. Il tipo di evento nella console deve essere **Events from integrations** (Eventi dalle integrazioni). Nell'API, il valore `eventCategory` deve essere `ActivityAuditLog`.
1. In **Resource policy** (Policy delle risorse), configura la policy delle risorse per il canale dell'integrazione. Le policy delle risorse sono documenti di policy JSON che specificano le operazioni che possono essere eseguite da un principale specificato sulla risorsa e in base a quali condizioni. Gli account definiti come principali nella policy delle risorse possono chiamare l'API `PutAuditEvents` per distribuire gli eventi al tuo canale. Il proprietario della risorsa ha accesso implicito alla risorsa se la sua policy IAM consente l'operazione `cloudtrail-data:PutAuditEvents`.
Le informazioni richieste per la policy dipendono dal tipo di integrazione. Per un'integrazione diretta, aggiunge CloudTrail automaticamente l' AWS account IDs del partner e richiede l'immissione dell'ID esterno univoco fornito dal partner. Per l'integrazione di una soluzione, è necessario specificare almeno un ID AWS account come principale e, facoltativamente, inserire un ID esterno per evitare confusioni.
**Nota**
Se non crei una policy delle risorse per il canale, solo il proprietario del canale può chiamare l'API `PutAuditEvents` sul canale.
1. Per un'integrazione diretta, inserisci l'ID esterno fornito dal partner. Il partner di integrazione fornisce un ID esterno univoco, come un ID account o una stringa generata casualmente, da utilizzare per evitare che l'integrazione incorra nel problema "confused deputy". Il partner ha la responsabilità di creare e fornire un ID esterno univoco.
Per consultare la documentazione del partner che descrive come trovare l'ID esterno, scegli **How to find this?** (Come trovarlo?).
![\[Documentazione del partner per l'ID esterno\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/images/integration-external-id.png)
**Nota**
Se la policy delle risorse include un ID esterno, tutte le chiamate all'API `PutAuditEvents` devono includere tale ID. Tuttavia, se la policy non definisce un ID esterno, il partner può comunque chiamare l'API `PutAuditEvents` e specificare un parametro `externalId`.
1. Per l'integrazione di una soluzione, scegli **Aggiungi AWS account** per specificare un ID AWS account da aggiungere come principale nella politica.
1. (Opzionale) Nella sezione **Tags** (Tag), è possibile aggiungere fino a 50 coppie di chiavi e valori di tag per aiutare a identificare, ordinare e controllare l'accesso al canale e all'archivio di dati degli eventi. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un archivio di dati degli eventi in base ai tag, consultare [Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Per ulteriori informazioni su come utilizzare i tag in AWS, consulta [Taggare AWS le risorse](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) in. *Riferimenti generali di AWS*
1. Quando è tutto pronto per creare la nuova integrazione, scegli **Add integration** (Aggiungi integrazione). Non esiste una pagina di recensione. CloudTrail crea l'integrazione, ma devi fornire il canale Amazon Resource Name (ARN) all'applicazione partner. Le istruzioni per fornire l'ARN del canale all'applicazione del partner sono disponibili sul sito Web della documentazione dei partner. Per ulteriori informazioni, seleziona il link **Learn more** (Ulteriori informazioni) relativo al partner nella scheda **Available sources** (Origini disponibili) della pagina **Integrations** (Integrazioni) per aprire la pagina del partner in Marketplace AWS.
Per completare la configurazione dell'integrazione, fornisci l'ARN del canale al partner o all'applicazione di origine. A seconda del tipo di integrazione, tu, il partner o l'applicazione eseguite l'API `PutAuditEvents` per distribuire gli eventi dell'attività all'archivio di dati degli eventi del tuo account AWS . Dopo la pubblicazione degli eventi relativi alle attività, puoi utilizzare CloudTrail Lake per cercare, interrogare e analizzare i dati registrati dalle tue applicazioni. I dati degli eventi includono campi che corrispondono al payload CloudTrail degli eventi, ad esempio `eventVersion``eventSource`, e. `userIdentity`
# Crea un'integrazione personalizzata con la console
Puoi utilizzarli CloudTrail per registrare e archiviare i dati sulle attività degli utenti da qualsiasi fonte nei tuoi ambienti ibridi, come applicazioni interne o SaaS ospitate in locale o nel cloud, macchine virtuali o contenitori. Esegui la prima metà di questa procedura nella console CloudTrail Lake, quindi chiama l'[https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API per importare gli eventi, fornendo l'ARN del canale e il payload degli eventi. Dopo aver utilizzato l'`PutAuditEvents`API per importare l'attività dell'applicazione CloudTrail, puoi utilizzare CloudTrail Lake per cercare, interrogare e analizzare i dati registrati dalle tue applicazioni.
1. Accedi Console di gestione AWS e apri la CloudTrail console all'indirizzo. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Dal pannello di navigazione, in **Lake**, scegli **Integrazioni**.
1. Nella pagina **Add integration** (Aggiungi integrazione), inserisci un nome per il tuo canale. Il nome può contenere da 3 a 128 caratteri. Sono consentiti soltanto lettere, numeri, punti, e caratteri di sottolineatura e trattini.
1. Scegli **My custom integration** (La mia integrazione personalizzata).
1. In **Event delivery location** (Luogo di distribuzione dell'evento), puoi scegliere se registrare gli stessi eventi delle attività negli archivi di dati degli eventi esistenti oppure creare un nuovo archivio di dati degli eventi.
Se scegli di creare un nuovo archivio di dati degli eventi, inserisci un nome per tale archivio e specifica il periodo di conservazione in giorni. Puoi conservare i dati degli eventi in un datastore di eventi per un massimo di 3.653 giorni (circa 10 anni) se scegli l'opzione **Prezzo per la conservazione estendibile di un anno** o di 2.557 giorni (circa 7 anni) se scegli l'opzione **Prezzo per la conservazione di sette anni**.
Se scegli di registrare gli eventi delle attività in uno o più archivi di dati degli eventi esistenti, scegli tali archivi dall'elenco. Gli archivi di dati degli eventi possono includere solo eventi delle attività. Il tipo di evento nella console deve essere **Events from integrations** (Eventi dalle integrazioni). Nell'API, il valore `eventCategory` deve essere `ActivityAuditLog`.
1. In **Resource policy** (Policy delle risorse), configura la policy delle risorse per il canale dell'integrazione. Le policy delle risorse sono documenti di policy JSON che specificano le operazioni che possono essere eseguite da un principale specificato sulla risorsa e in base a quali condizioni. Gli account definiti come principali nella policy delle risorse possono chiamare l'API `PutAuditEvents` per distribuire gli eventi al tuo canale.
**Nota**
Se non crei una policy delle risorse per il canale, solo il proprietario del canale può chiamare l'API `PutAuditEvents` sul canale.
1. (Facoltativo) Inserisci un ID esterno univoco per aggiungere un ulteriore livello di protezione. L'ID esterno univoco è una stringa univoca, come un ID account o una stringa generata casualmente, che evita il problema "confused deputy".
**Nota**
Se la policy delle risorse include un ID esterno, tutte le chiamate all'API `PutAuditEvents` devono includere tale ID. Tuttavia, se la policy non definisce un ID esterno, puoi comunque chiamare l'API `PutAuditEvents` e specificare un parametro `externalId`.
1. Scegli **Aggiungi AWS account** per specificare l'ID di ogni AWS account da aggiungere come principale nella politica delle risorse del canale.
1. (Opzionale) Nella sezione **Tags** (Tag), è possibile aggiungere fino a 50 coppie di chiavi e valori di tag per aiutare a identificare, ordinare e controllare l'accesso al canale e all'archivio di dati degli eventi. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un archivio di dati degli eventi in base ai tag, consultare [Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Per ulteriori informazioni su come utilizzare i tag in AWS, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) in. *Riferimenti generali di AWS*
1. Quando è tutto pronto per creare la nuova integrazione, scegli **Add integration** (Aggiungi integrazione). Non esiste una pagina di recensione. CloudTrail crea l'integrazione, ma per integrare i tuoi eventi personalizzati, devi specificare l'ARN del canale in una [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)richiesta.
1. Chiama l'`PutAuditEvents`API per inserire i tuoi eventi di attività. CloudTrail Puoi aggiungere fino a 100 eventi delle attività (o fino a 1 MB) per ciascuna richiesta `PutAuditEvents`. Avrai bisogno dell'ARN del canale che hai creato nei passaggi precedenti, del payload di eventi che desideri CloudTrail aggiungere e dell'ID esterno (se specificato per la tua politica delle risorse). Assicurati che nel payload dell'evento non siano presenti informazioni sensibili o che consentano l'identificazione personale prima di inserirle. CloudTrail Gli eventi in cui immetti devono seguire il. CloudTrail [CloudTrail Schema degli eventi di Lake Integrations](query-integration-event-schema.md)
**Suggerimento**
[AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html)Utilizzatelo per assicurarvi di utilizzare la versione più aggiornata AWS APIs.
Negli esempi seguenti viene illustrato come utilizzare il comando CLI **put-audit-events**. I parametri **--audit-events** e **--channel-arn** sono obbligatori. È necessario fornire l'ARN del canale creato nei passaggi precedenti, che puoi copiare dalla pagina dei dettagli dell'integrazione. Il valore di **--audit-events** è una matrice JSON di oggetti evento. `--audit-events`include un ID richiesto dall'evento, il payload richiesto dell'evento come valore di `EventData` e un [checksum opzionale](#event-data-store-integration-custom-checksum) per convalidare l'integrità dell'evento dopo l'ingestione in. CloudTrail
```
aws cloudtrail-data put-audit-events \
--region region \
--channel-arn $ChannelArn \
--audit-events \
id="event_ID",eventData='"{event_payload}"' \
id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"
```
Di seguito è riportato un comando di esempio con due esempi di eventi.
```
aws cloudtrail-data put-audit-events \
--region us-east-1 \
--channel-arn arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--audit-events \
id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
\}"' \
id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
\}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"
```
Il seguente comando di esempio aggiunge il parametro `--cli-input-json` per specificare un file JSON (`custom-events.json`) del payload dell'evento.
```
aws cloudtrail-data put-audit-events \
--channel-arn $channelArn \
--cli-input-json file://custom-events.json \
--region us-east-1
```
I seguenti sono i contenuti di esempio del file JSON di esempio, `custom-events.json`.
```
{
"auditEvents": [
{
"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"source_IP_address\",\"recipientAccountId\":\"recipient_account_ID\"}",
"id": "1"
}
]
}
```
## (Facoltativo) Calcolo di un valore di checksum
Il checksum specificato come valore di una `PutAuditEvents` richiesta consente di `EventDataChecksum` verificare la CloudTrail ricezione dell'evento corrispondente al checksum; aiuta a verificare l'integrità degli eventi. Il valore di checksum è un SHA256 algoritmo base64 che si calcola eseguendo il comando seguente.
```
printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"source_IP_address\",
\"recipientAccountId\":\"recipient_account_ID\"}",
"id": "1"}" \
| openssl dgst -binary -sha256 | base64
```
Il comando restituisce il checksum. Di seguito è riportato un esempio di :
```
EXAMPLEHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=
```
Il valore del checksum diventa il valore di `EventDataChecksum` nella richiesta `PutAuditEvents`. Se il checksum non corrisponde a quello dell'evento fornito, CloudTrail rifiuta l'evento con un errore. `InvalidChecksum`
# Crea, aggiorna e gestisci le integrazioni di CloudTrail Lake con AWS CLI
Questa sezione descrive i comandi che puoi utilizzare per creare, aggiornare e gestire le tue integrazioni CloudTrail Lake utilizzando. AWS CLI
Quando usi il AWS CLI, ricorda che i tuoi comandi vengono eseguiti nella Regione AWS configurazione per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro **--region** con il comando.
## Comandi disponibili per le integrazioni con CloudTrail Lake
I comandi per creare, aggiornare e gestire le integrazioni in CloudTrail Lake includono:
+ `create-event-data-store`per creare un archivio dati di eventi per eventi esterni a. AWS
+ `delete-channel`per eliminare un canale utilizzato per un'integrazione.
+ `[delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/delete-resource-policy.html)`per eliminare la politica delle risorse allegata a un canale per un'integrazione con CloudTrail Lake.
+ `[get-channel](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-channel.html)`per restituire informazioni su un CloudTrail canale.
+ `[get-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-resource-policy.html)`per recuperare il testo JSON del documento di policy basato sulle risorse allegato al canale. CloudTrail
+ `[list-channels](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-channels.html)`per elencare i canali nell'account corrente e i relativi nomi di origine.
+ `[put-audit-events](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail-data/put-audit-events.html)`per importare gli eventi della tua applicazione in CloudTrail Lake. Un parametro obbligatorio`auditEvents`, accetta i record JSON (chiamati anche payload) degli eventi che si desidera CloudTrail importare. Puoi aggiungere fino a 100 di questi eventi (o fino a 1 MB) per richiesta. `PutAuditEvents`
+ `[put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html)`per allegare una politica di autorizzazione basata sulle risorse a un CloudTrail canale utilizzato per l'integrazione con una fonte di eventi esterna a. AWS[Per ulteriori informazioni sulle politiche basate sulle risorse, consulta esempi di policy basate sulle risorse.AWS CloudTrail](security_iam_resource-based-policy-examples.md)
+ `update-channel`per aggiornare un canale specificato da un ARN o UUID del canale richiesto.
Per un elenco dei comandi disponibili per gli archivi di dati di eventi CloudTrail Lake, vedi. [Comandi disponibili per gli archivi dati degli eventi](lake-eds-cli.md#lake-eds-cli-commands)
Per un elenco dei comandi disponibili per le query CloudTrail Lake, consulta[Comandi disponibili per le query su CloudTrail Lake](lake-queries-cli.md#lake-queries-cli-commands).
Per un elenco dei comandi disponibili per le dashboard di CloudTrail Lake, consulta. [Comandi disponibili per i dashboard](lake-dashboard-cli.md#lake-dashboard-cli-commands)
# Crea un'integrazione per registrare gli eventi dall'esterno AWS con AWS CLI
Questa sezione descrive come utilizzare AWS CLI per creare un'integrazione CloudTrail Lake per registrare eventi dall'esterno di AWS.
In AWS CLI, crei un'integrazione in quattro comandi (tre se disponi già di un archivio dati di eventi che soddisfa i criteri). I data store di eventi utilizzati come destinazioni per un'integrazione devono essere per una singola regione e un singolo account; non possono essere multiregionali, non possono registrare eventi per le organizzazioni e possono includere solo eventi di attività. AWS Organizations Il tipo di evento nella console deve essere **Events from integrations** (Eventi dalle integrazioni). Nell'API, il valore `eventCategory` deve essere `ActivityAuditLog`. Per ulteriori informazioni sulle integrazioni, consulta la pagina [Crea un'integrazione con una fonte di eventi esterna a AWS](query-event-data-store-integration.md).
1. Esegui [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/index.html) per creare un archivio di dati degli eventi, se non disponi già di uno o più archivi di dati degli eventi da utilizzare per l'integrazione.
Il AWS CLI comando di esempio seguente crea un archivio dati di eventi che registra gli eventi dall'esterno. AWS Per gli eventi delle attività, il valore del selettore del campo `eventCategory` è `ActivityAuditLog`. L'archivio di dati degli eventi ha un periodo di conservazione di 90 giorni. Per impostazione predefinita, l'event data store raccoglie eventi da tutte le regioni, ma poiché raccoglie AWS eventi diversi, impostalo su una singola regione aggiungendo l'`--no-multi-region-enabled`opzione. La protezione dalla terminazione è abilitata per impostazione predefinita e l'archivio di dati degli eventi non raccoglie eventi per gli account di un'organizzazione.
```
aws cloudtrail create-event-data-store \
--name my-event-data-store \
--no-multi-region-enabled \
--retention-period 90 \
--advanced-event-selectors '[
{
"Name": "Select all external events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ActivityAuditLog"] }
]
}
]'
```
Di seguito è riportata una risposta di esempio.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "my-event-data-store",
"AdvancedEventSelectors": [
{
"Name": "Select all external events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"ActivityAuditLog"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
Avrai bisogno dell'ID dell'archivio di dati degli eventi (il suffisso dell'ARN o `EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE` nell'esempio di risposta precedente) per andare al passaggio successivo e creare il tuo canale.
1. Esegui il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-channel.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-channel.html)comando per creare un canale che consenta a un'applicazione partner o sorgente di inviare eventi a un archivio dati di eventi in CloudTrail.
Un canale include i seguenti componenti:
**Origine**
CloudTrail utilizza queste informazioni per determinare i partner a cui inviano i dati degli eventi per CloudTrail conto dell'utente. È necessaria un'origine, che può essere `Custom` per tutti gli eventi esterni ad AWS validi o il nome di un'origine di eventi del partner. È consentito un massimo di un canale per origine.
Per informazioni sui valori di `Source` dei partner disponibili, consulta la pagina [Ulteriori informazioni sui partner di integrazione](query-event-data-store-integration.md#cloudtrail-lake-partner-information).
**Stato di importazione**
Lo stato del canale mostra quando sono stati ricevuti gli ultimi eventi da un'origine del canale.
**Destinazioni**
Le destinazioni sono gli archivi di dati degli eventi CloudTrail Lake che ricevono eventi dal canale. È possibile modificare gli archivi di dati degli eventi di destinazione per un canale.
Per interrompere la ricezione di eventi da un'origine, elimina il rispettivo canale.
È necessario specificare l'ID di almeno un archivio di dati degli eventi di destinazione per eseguire questo comando. Il tipo di destinazione valido è `EVENT_DATA_STORE`. È possibile inviare gli eventi importati a più di un archivio di dati degli eventi. Il comando di esempio seguente crea un canale che invia eventi a due archivi di dati di eventi, rappresentati da essi IDs nell'`Location`attributo del `--destinations` parametro. I parametri `--destinations`, `--name` e `--source` sono obbligatori. Per importare eventi da un CloudTrail partner, specificate il nome del partner come valore di`--source`. Per importare eventi dalle vostre applicazioni all'esterno AWS, specificate `Custom` come valore di. `--source`
```
aws cloudtrail create-channel \
--region us-east-1 \
--destinations '[{"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE"}, {"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEg922-5n2l-3vz1- apqw8EXAMPLE"}]'
--name my-partner-channel \
--source $partnerSourceName \
```
Nella risposta al comando **create-channel**, copia l'ARN del nuovo canale. Per eseguire i comandi `put-resource-policy` e `put-audit-events` nei passaggi successivi è necessario l'ARN.
1. Eseguite il **put-resource-policy**comando per allegare una politica delle risorse al canale. Le policy delle risorse sono documenti di policy JSON che specificano le operazioni che possono essere eseguite da un principale specificato sulla risorsa e in base a quali condizioni. Gli account definiti come principali nella policy delle risorse del canale possono chiamare l'API `PutAuditEvents` per distribuire gli eventi.
**Nota**
Se non crei una policy delle risorse per il canale, solo il proprietario del canale può chiamare l'API `PutAuditEvents` sul canale.
Le informazioni richieste per la policy dipendono dal tipo di integrazione.
+ Per un'integrazione direzionale, CloudTrail richiede che la policy contenga l' AWS account IDs del partner e richiede l'immissione dell'ID esterno univoco fornito dal partner. CloudTrail aggiunge automaticamente l' AWS account del partner IDs alla politica delle risorse quando si crea un'integrazione utilizzando la CloudTrail console. Consulta la [documentazione del partner](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html#cloudtrail-lake-partner-information#lake-integration-partner-documentation) per scoprire come ottenere i numeri di AWS account necessari per la policy.
+ Per l'integrazione di una soluzione, è necessario specificare almeno un ID AWS account come principale e, facoltativamente, inserire un ID esterno per evitare di creare confusione tra deputati.
Di seguito sono riportati i requisiti per la policy delle risorse:
+ L'ARN della risorsa definito nella policy deve corrispondere all'ARN del canale al quale è collegata la policy.
+ La policy contiene una sola azione: cloudtrail-data: PutAuditEvents
+ La policy deve includere almeno un'istruzione. La policy può avere un massimo di 20 istruzioni.
+ Ogni istruzione contiene almeno un principale. Un'istruzione può avere un massimo di 50 principali.
```
aws cloudtrail put-resource-policy \
--resource-arn "channelARN" \
--policy "{
"Version": "2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b",
"Condition":
{
"StringEquals":
{
"cloudtrail:ExternalId": "UniqueExternalIDFromPartner"
}
}
}
]
}"
```
Per ulteriori informazioni sulle policy delle risorse, consulta [AWS CloudTrail esempi di policy basate sulle risorse](security_iam_resource-based-policy-examples.md).
1. Esegui l'[https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API in cui inserire gli eventi delle tue attività. CloudTrail Avrai bisogno del payload di eventi che desideri CloudTrail aggiungere. Assicurati che non vi siano informazioni sensibili o che consentano l'identificazione personale nell'evento payload prima di inserirle. CloudTrail Nota che l'API `PutAuditEvents` utilizza l'endpoint della CLI `cloudtrail-data` anziché l'endpoint `cloudtrail`.
Negli esempi seguenti viene illustrato come utilizzare il comando CLI **put-audit-events**. I parametri **--audit-events** e **--channel-arn** sono obbligatori. Il parametro **--external-id** è obbligatorio se nella policy delle risorse è definito un ID esterno. È necessario specificare l'ARN del canale creato nella fase precedente. Il valore di **--audit-events** è una matrice JSON di oggetti evento. `--audit-events`include un ID richiesto dall'evento, il payload richiesto dell'evento come valore di `EventData` e un [checksum opzionale](#lake-cli-integration-checksum.title) per convalidare l'integrità dell'evento dopo l'ingestione in. CloudTrail
```
aws cloudtrail-data put-audit-events \
--channel-arn $ChannelArn \
--external-id $UniqueExternalIDFromPartner \
--audit-events \
id="event_ID",eventData='"{event_payload}"' \
id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"
```
Di seguito è riportato un comando di esempio con due esempi di eventi.
```
aws cloudtrail-data put-audit-events \
--channel-arn arn:aws:cloudtrail:us-east-1:123456789012:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--external-id UniqueExternalIDFromPartner \
--audit-events \
id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
\}"' \
id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
\}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"
```
Il seguente comando di esempio aggiunge il parametro `--cli-input-json` per specificare un file JSON (`custom-events.json`) del payload dell'evento.
```
aws cloudtrail-data put-audit-events --channel-arn $channelArn --external-id $UniqueExternalIDFromPartner --cli-input-json file://custom-events.json --region us-east-1
```
I seguenti sono i contenuti di esempio del file JSON di esempio, `custom-events.json`.
```
{
"auditEvents": [
{
"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"12.34.56.78\",\"recipientAccountId\":\"152089810396\"}",
"id": "1"
}
]
}
```
È possibile verificare che l'integrazione funzioni e che gli eventi vengano CloudTrail importati correttamente dall'origine eseguendo il comando. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-channel.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-channel.html) L'output di **get-channel** mostra il timestamp più recente con cui sono stati ricevuti gli CloudTrail eventi.
```
aws cloudtrail get-channel --channel arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE
```
## (Facoltativo) Calcolo di un valore di checksum
Il checksum specificato come valore di una `PutAuditEvents` richiesta consente di `EventDataChecksum` verificare che CloudTrail riceva l'evento corrispondente al checksum e di verificare l'integrità degli eventi. Il valore di checksum è un SHA256 algoritmo base64 che si calcola eseguendo il comando seguente.
```
printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"source_IP_address\",
\"recipientAccountId\":\"recipient_account_ID\"}",
"id": "1"}" \
| openssl dgst -binary -sha256 | base64
```
Il comando restituisce il checksum. Di seguito è riportato un esempio di :
```
EXAMPLEDHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=
```
Il valore del checksum diventa il valore di `EventDataChecksum` nella richiesta `PutAuditEvents`. Se il checksum non corrisponde a quello dell'evento fornito, CloudTrail rifiuta l'evento con un errore. `InvalidChecksum`
# Aggiorna un canale con AWS CLI
Questa sezione descrive come utilizzare il AWS CLI per aggiornare un canale per un'integrazione CloudTrail Lake. È possibile eseguire il `update-channel` comando per aggiornare il nome del canale o per specificare un data store di eventi di destinazione diverso. Non è possibile modificare l'origine di un canale.
Quando si esegue il comando, il `--channel` parametro è obbligatorio.
Di seguito è riportato un esempio che dimostra come aggiornare il nome e la destinazione del canale.
```
aws cloudtrail update-channel \
--channel aws:cloudtrail:us-east-1:123456789012:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--name "new-channel-name" \
--destinations '[{"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE"}, {"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEg922-5n2l-3vz1- apqw8EXAMPLE"}]'
```
# Eliminare un canale per eliminare un'integrazione con AWS CLI
Questa sezione descrive come eseguire il `delete-channel` comando per eliminare il canale per un'integrazione CloudTrail Lake. Dovresti eliminare un canale se desideri interrompere l'acquisizione di partner o altre attività al di fuori di. AWSÈ necessario specificare l'ARN o l'ID del canale (il suffisso ARN) del canale che desideri eliminare.
L'esempio seguente mostra come eliminare il canale.
```
aws cloudtrail delete-channel \
--channel EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE
```
## Ulteriori informazioni sui partner di integrazione
La tabella in questa sezione fornisce il nome di origine per ogni partner di integrazione e identifica il tipo di integrazione (diretta o di soluzione).
Le informazioni nella colonna **Source name** (Nome dell'origine) sono necessarie quando si chiama l'API `CreateChannel`. Specifica il nome dell'origine come valore del parametro `Source`.
****
| Nome del partner (console) | Nome dell'origine (API) | Tipo di integrazione |
| --- | --- | --- |
| La mia integrazione personalizzata | Custom | soluzione |
| Sicurezza dell'archiviazione nel cloud | CloudStorageSecurityConsole | soluzione |
| Clumio | Clumio | diretta |
| CrowdStrike | CrowdStrike | soluzione |
| CyberArk | CyberArk | soluzione |
| GitHub | GitHub | soluzione |
| Kong Inc | KongGatewayEnterprise | soluzione |
| LaunchDarkly | LaunchDarkly | diretta |
| Netskope | NetskopeCloudExchange | soluzione |
| Nordcloud, una società IBM | IBMMulticloud | diretta |
| MontyCloud | MontyCloud | diretta |
| Okta | OktaSystemLogEvents | soluzione |
| One Identity | OneLogin | soluzione |
| Shoreline.io | Shoreline | soluzione |
| Snyk.io | Snyk | diretta |
| Wiz | WizAuditLogs | soluzione |
### Visualizzazione della documentazione dei partner
Puoi saperne di più sull'integrazione di un partner con CloudTrail Lake consultando la relativa documentazione.
**Visualizzazione della documentazione dei partner**
1. Accedi a Console di gestione AWS e apri la CloudTrail console all'indirizzo [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dal pannello di navigazione, in **Lake**, scegli **Integrazioni**.
1. Nella pagina **Integrations** (Integrazioni), scegli **Available sources** (Origini disponibili), quindi scegli **Learn more** (Ulteriori informazioni) relativamente al partner di cui desideri visualizzare la documentazione.
# CloudTrail Schema degli eventi di Lake Integrations
La tabella seguente descrive gli elementi dello schema obbligatori e facoltativi che corrispondono a quelli presenti nei record CloudTrail degli eventi. I contenuti di `eventData` sono forniti dai tuoi eventi; gli altri campi sono forniti da CloudTrail after ingestion.
CloudTrail i contenuti dei record degli eventi sono descritti più dettagliatamente in. [CloudTrail registrare contenuti per eventi di gestione, dati e attività di rete](cloudtrail-event-reference-record-contents.md)
+ [Campi forniti da CloudTrail dopo l'ingestione](#fields-cloudtrail)
+ [Campi forniti dai tuoi eventi](#fields-event)
I seguenti campi sono forniti da CloudTrail after ingestion:
| Nome del campo | Tipo di input | Requisito | Description |
| --- | --- | --- | --- |
| eventVersion | stringa | Richiesto | La versione dell'evento. |
| eventCategory | stringa | Richiesto | La categoria dell'evento. Per i non AWS eventi, il valore è. `ActivityAuditLog` |
| eventType | stringa | Richiesto | Il tipo di evento, Per i non AWS eventi, il valore valido è`ActivityLog`. |
| eventID | stringa | Richiesto | Un ID univoco per un evento. |
| eventTime | stringa | Richiesto | Il timestamp dell'evento, in formato `yyyy-MM-DDTHH:mm:ss`, espresso in tempo coordinato universale (UTC). |
| awsRegion | stringa | Richiesto | Il Regione AWS luogo in cui è stata effettuata la `PutAuditEvents` chiamata. |
| recipientAccountId | stringa | Richiesto | Rappresenta l'ID dell'account che ha ricevuto questo evento. CloudTrail compila questo campo calcolandolo dal payload dell'evento. |
| addendum | - | Facoltativo | Mostra informazioni sul motivo per cui l'elaborazione di un evento è stata ritardata. Se mancavano informazioni da un evento esistente, il blocco aggiuntivo includerà le informazioni mancanti e un motivo per cui mancavano. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Facoltativo | Il motivo per cui l'evento o alcuni dei suoi contenuti mancavano. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Facoltativo | I campi record di evento aggiornati dall'addendum. Questo è fornito solo se il motivo è `UPDATED_DATA`. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Facoltativo | L'UID dell'evento originale dall'origine. Questo è fornito solo se il motivo è `UPDATED_DATA`. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Facoltativo | L'ID evento originale. Questo è fornito solo se il motivo è `UPDATED_DATA`. |
| metadati | - | Richiesto | Informazioni sul canale utilizzato dall'evento. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Richiesto | Il timestamp dell'elaborazione dell'evento, in formato `yyyy-MM-DDTHH:mm:ss`, espresso in tempo coordinato universale (UTC). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Richiesto | L'ARN del canale utilizzato dall'evento. |
I seguenti campi sono forniti dagli eventi dei clienti:
| Nome del campo | Tipo di input | Requisito | Description |
| --- | --- | --- | --- |
| eventData | - | Richiesto | I dati di controllo inviati CloudTrail durante una PutAuditEvents chiamata. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Richiesto | La versione dell'evento dalla sua origine. Limitazioni di lunghezza: massimo 256 caratteri. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | - | Richiesto | Informazioni sull'utente che ha effettuato una richiesta. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Richiesto | Il tipo di identità utente. Limitazioni di lunghezza: lunghezza massima di 128. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Richiesto | Un identificatore univoco per l'attore di un evento. Limitazioni di lunghezza: massimo 1.024 caratteri. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Oggetto JSON | Facoltativo | Ulteriori informazioni sull'identità. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Facoltativo | L'agente tramite il quale è stata effettuata la richiesta. Limitazioni di lunghezza: massimo 1.024 caratteri. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Richiesto | Questa è l'origine dell'evento del partner o l'applicazione personalizzata per la quale vengono registrati gli eventi. Limitazioni di lunghezza: massimo 1.024 caratteri. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Richiesto | L'operazione richiesta, una delle operazioni nell'API per il servizio o l'applicazione di origine. Limitazioni di lunghezza: massimo 1.024 caratteri. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Richiesto | Il timestamp dell'evento, in formato `yyyy-MM-DDTHH:mm:ss`, espresso in tempo coordinato universale (UTC). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Richiesto | Il valore UID che identifica la richiesta. Questo valore è generato dal servizio o dall'applicazione chiamati. Limitazioni di lunghezza: massimo 1.024 caratteri. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Oggetto JSON | Facoltativo | Eventuali parametri stati inviati assieme alla richiesta. Questo campo ha una dimensione massima di 100 kB e il contenuto che supera tale limite viene respinto. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Oggetto JSON | Facoltativo | Elemento di risposta per le operazioni che comportano modifiche (operazioni di creazione, aggiornamento o eliminazione). Questo campo ha una dimensione massima di 100 kB e il contenuto che supera tale limite viene respinto. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Facoltativo | Una stringa che rappresenta un errore per l'evento. Limitazioni di lunghezza: massimo 256 caratteri. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Facoltativo | La descrizione dell'errore. Limitazioni di lunghezza: massimo 256 caratteri. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Facoltativo | Indirizzo IP dal quale è stata effettuata la richiesta. Entrambi IPv4 gli IPv6 indirizzi sono accettati. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | stringa | Richiesto | Rappresenta l'ID dell'account che ha ricevuto questo evento. L'ID dell'account deve essere lo stesso dell'ID AWS dell'account proprietario del canale. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Oggetto JSON | Facoltativo | Dati aggiuntivi sull'evento non facenti parte della richiesta o della risposta. Questo campo ha una dimensione massima di 28 kB e il contenuto che supera tale limite viene respinto. |
L'esempio seguente mostra la gerarchia degli elementi dello schema che corrispondono a quelli presenti nei record CloudTrail degli eventi.
```
{
"eventVersion": String,
"eventCategory": String,
"eventType": String,
"eventID": String,
"eventTime": String,
"awsRegion": String,
"recipientAccountId": String,
"addendum": {
"reason": String,
"updatedFields": String,
"originalUID": String,
"originalEventID": String
},
"metadata" : {
"ingestionTime": String,
"channelARN": String
},
"eventData": {
"version": String,
"userIdentity": {
"type": String,
"principalId": String,
"details": {
JSON
}
},
"userAgent": String,
"eventSource": String,
"eventName": String,
"eventTime": String,
"UID": String,
"requestParameters": {
JSON
},
"responseElements": {
JSON
},
"errorCode": String,
"errorMessage": String,
"sourceIPAddress": String,
"recipientAccountId": String,
"additionalEventData": {
JSON
}
}
}
```