Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Invio di eventi ai CloudWatch registri
Quando configuri il percorso per inviare eventi ai CloudWatch registri, CloudTrail invia solo gli eventi che corrispondono alle impostazioni del percorso. Ad esempio, se configuri il percorso per registrare solo gli eventi relativi ai dati, il percorso invia gli eventi relativi ai dati solo al gruppo di log CloudWatch Logs. CloudTrail supporta l'invio di dati, Insights ed eventi di gestione a CloudWatch Logs. Per ulteriori informazioni, consulta [Lavorare con i file di CloudTrail registro](cloudtrail-working-with-log-files.md).
**Nota**
Solo l'account di gestione può configurare un gruppo di log CloudWatch Logs per un percorso organizzativo utilizzando la console. L'amministratore delegato può configurare un gruppo di log CloudWatch Logs utilizzando le operazioni AWS CLI or CloudTrail `CreateTrail` o `UpdateTrail` API.
Per inviare eventi a un gruppo di CloudWatch log Logs:
+ Verifica di disporre di autorizzazioni sufficienti per creare o specificare un ruolo IAM. Per ulteriori informazioni, consulta [Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
+ Se stai configurando il gruppo di log CloudWatch Logs utilizzando il AWS CLI, assicurati di disporre delle autorizzazioni sufficienti per creare un flusso di log CloudWatch Logs nel gruppo di log specificato e per inviare CloudTrail eventi a quel flusso di log. Per ulteriori informazioni, consulta [Creazione di un documento di policy](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document).
+ Creare un nuovo trail oppure specificarne uno esistente. Per ulteriori informazioni, consulta [Creazione e aggiornamento di un percorso con la console](cloudtrail-create-and-update-a-trail-by-using-the-console.md).
+ Crea un gruppo di log oppure specificane uno esistente.
+ Specifica un ruolo IAM. Se modifichi un ruolo IAM esistente per un percorso dell'organizzazione, devi aggiornare manualmente la policy per permettere la registrazione per il percorso dell'organizzazione. Per ulteriori informazioni, consulta [questo esempio di policy](#policy-cwl-org) e [Creazione di un percorso per un'organizzazione](creating-trail-organization.md).
+ Collegare una policy di ruolo oppure usare una policy di default.
**Contents**
+ [Configurazione del monitoraggio dei log con la console CloudWatch](#send-cloudtrail-events-to-cloudwatch-logs-console)
+ [Creazione di un gruppo di log o indicazione di un gruppo di log esistente](#send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group)
+ [Specificare un ruolo IAM](#send-cloudtrail-events-to-cloudwatch-logs-console-create-role)
+ [Visualizzazione degli eventi nella console CloudWatch](#viewing-events-in-cloudwatch)
+ [Configurazione del monitoraggio CloudWatch dei registri con AWS CLI](#send-cloudtrail-events-to-cloudwatch-logs-cli)
+ [Creazione di un gruppo di log](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group)
+ [Creazione di un ruolo](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-role)
+ [Creazione di un documento di policy](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document)
+ [Aggiornamento del percorso](#send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail)
+ [Limitazione](#send-cloudtrail-events-to-cloudwatch-logs-limitations)
## Configurazione del monitoraggio dei log con la console CloudWatch
Puoi usare il Console di gestione AWS per configurare il tuo percorso per inviare eventi a CloudWatch Logs per il monitoraggio.
### Creazione di un gruppo di log o indicazione di un gruppo di log esistente
CloudTrail utilizza un gruppo di log CloudWatch Logs come endpoint di consegna per gli eventi di registro. Puoi creare un gruppo di log oppure specificarne uno esistente.
**Creazione o specifica di un gruppo di log per un percorso esistente**
1. Assicurati di accedere con un utente o un ruolo amministrativo con autorizzazioni sufficienti per configurare CloudWatch l'integrazione di Logs. Per ulteriori informazioni, consulta [Concessione dell'autorizzazione a visualizzare e configurare le informazioni di Amazon CloudWatch Logs sulla console CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
**Nota**
Solo l'account di gestione può configurare un gruppo di log CloudWatch Logs per un percorso organizzativo utilizzando la console. L'amministratore delegato può configurare un gruppo di log CloudWatch Logs utilizzando le operazioni AWS CLI or CloudTrail `CreateTrail` o `UpdateTrail` API.
1. Apri la CloudTrail console all'indirizzo. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Scegliere il nome del trail. Se scegli un percorso multiregionale, verrai reindirizzato alla regione in cui è stato creato il percorso. Puoi creare un gruppo di log o sceglierne uno esistente nella stessa Regione del percorso.
**Nota**
Un percorso multiregionale invia i file di registro da tutte le regioni abilitate dell'utente Account AWS al gruppo di log CloudWatch Logs specificato.
1. **In **CloudWatch Registri, scegli Modifica**.**
1. **Per **CloudWatch Registri**, scegli Abilitato.**
1. Per **Nome del gruppo di log**, scegli **Nuovo** per creare un nuovo gruppo di log o **Esistente** per utilizzarne uno esistente. Se scegli **Nuovo**, CloudTrail specifica automaticamente un nome per il nuovo gruppo di log oppure puoi digitare un nome. Per ulteriori informazioni sulla denominazione, consulta [CloudWatch denominazione dei gruppi di log e dei flussi di log per CloudTrail](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md).
1. Se scegli **Existing** (Esistente), seleziona un gruppo di log dall'elenco a discesa.
1. Per **Nome del ruolo**, scegli **Nuovo** per creare un nuovo ruolo IAM per le autorizzazioni all'invio dei log ai registri. CloudWatch Scegli **Existing** (Esistente) per selezionare un ruolo IAM esistente dall'elenco a discesa. L'istruzione della policy per il ruolo nuovo o esistente viene visualizzata quando espandi **Policy document** (Documento della policy). Per ulteriori informazioni su questo ruolo, consulta [Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio](cloudtrail-required-policy-for-cloudwatch-logs.md).
**Nota**
Durante la configurazione di un percorso, puoi scegliere un bucket S3 e un argomento SNS appartenenti a un altro account. Tuttavia, se desideri inviare eventi CloudTrail a un gruppo di log CloudWatch Logs, devi scegliere un gruppo di log esistente nel tuo account corrente.
1. Scegli **Save changes** (Salva modifiche).
### Specificare un ruolo IAM
È possibile specificare un ruolo CloudTrail da assumere per fornire eventi al flusso di log.
**Per specificare un ruolo**
1. Per impostazione di default, il ruolo `CloudTrail_CloudWatchLogs_Role` viene specificato automaticamente. La politica di ruolo predefinita dispone delle autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs in un gruppo di log specificato dall'utente e per inviare CloudTrail eventi a quel flusso di log.
**Nota**
Se vuoi utilizzare questo ruolo per un gruppo di log per un trail dell'organizzazione, devi modificare manualmente la policy dopo aver creato il ruolo. Per ulteriori informazioni, consulta [questo esempio di policy](#policy-cwl-org) e [Creazione di un percorso per un'organizzazione](creating-trail-organization.md).
1. Per verificare il ruolo, accedi alla AWS Identity and Access Management console all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Scegli **Ruoli**, quindi scegli **CloudTrail\$1 CloudWatchLogs \$1Ruolo**.
1. Dalla scheda **Autorizzazioni**, espandi la policy per visualizzarne il contenuto.
1. È possibile specificare un altro ruolo, ma è necessario allegare la politica del ruolo richiesta al ruolo esistente se si desidera utilizzarla per inviare eventi ai CloudWatch registri. Per ulteriori informazioni, consulta [Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio](cloudtrail-required-policy-for-cloudwatch-logs.md).
### Visualizzazione degli eventi nella console CloudWatch
Dopo aver configurato il percorso per inviare eventi al gruppo di log CloudWatch Logs, puoi visualizzare gli eventi nella CloudWatch console. CloudTrail in genere invia gli eventi al gruppo di log entro una media di circa 5 minuti da una chiamata API. Questo tempo non è garantito. Per ulteriori informazioni, consultare l'[Accordo sul Livello di Servizio (SLA) di AWS CloudTrail](https://aws.amazon.com/cloudtrail/sla).
**Per visualizzare gli eventi nella CloudWatch console**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione sulla sinistra, in **Log**, scegli **Gruppi di log**.
1. Scegliere il gruppo di log specificato per il trail.
1. Scegli il flusso di log da visualizzare.
1. Per visualizzare i dettagli dell'evento registrato dal trail, scegliere un evento.
**Nota**
La colonna **Time (UTC)** nella CloudWatch console mostra quando l'evento è stato consegnato al tuo gruppo di log. Per vedere l'ora effettiva in cui l'evento è stato registrato CloudTrail, consulta il `eventTime` campo.
## Configurazione del monitoraggio CloudWatch dei registri con AWS CLI
È possibile utilizzare AWS CLI to configure per inviare eventi CloudTrail a CloudWatch Logs per il monitoraggio.
### Creazione di un gruppo di log
1. Se non disponi di un gruppo di log esistente, crea un gruppo di log CloudWatch Logs come endpoint di consegna per gli eventi di registro utilizzando il comando CloudWatch `create-log-group` Logs.
```
aws logs create-log-group --log-group-name name
```
Nell'esempio seguente viene creato un gruppo di log denominato `CloudTrail/logs`:
```
aws logs create-log-group --log-group-name CloudTrail/logs
```
1. Recuperare l'ARN (Amazon Resource Name) del gruppo di log.
```
aws logs describe-log-groups
```
### Creazione di un ruolo
Crea un ruolo CloudTrail che gli consenta di inviare eventi al gruppo di CloudWatch log Logs. Il comando IAM `create-role` accetta due parametri: un nome di ruolo e un percorso di file di un documento di policy di ruolo in formato JSON. Il documento di policy che utilizzi fornisce `AssumeRole` le autorizzazioni a. CloudTrail Il comando `create-role` crea il ruolo con le autorizzazioni richieste.
Per creare il file JSON che conterrà il documento di policy, apri un editor di testo e salva i seguenti contenuti delle policy in un file denominato `assume_role_policy_document.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Esegui il comando seguente per creare il ruolo con le `AssumeRole` autorizzazioni per. CloudTrail
```
aws iam create-role --role-name role_name --assume-role-policy-document file://.json
```
Quando il comando viene completato, annota l'ARN del ruolo nell'output.
### Creazione di un documento di policy
Crea il seguente documento sulla politica dei ruoli per CloudTrail. Questo documento concede CloudTrail le autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs nel gruppo di log specificato e per inviare CloudTrail eventi a tale flusso di log.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream2014110",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
]
}
]
}
```
------
Salva il documento di policy in un file denominato `role-policy-document.json`.
Se stai creando una policy che potrebbe essere utilizzata anche per il trail dell'organizzazione, dovrai configurarlo in modo leggermente diverso. Ad esempio, la seguente politica concede CloudTrail le autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs nel gruppo di log specificato e per inviare CloudTrail eventi a quel flusso di log per entrambi i percorsi nell' AWS account 1111 e per gli itinerari organizzativi creati nell'account 1111 che vengono applicati all'organizzazione con l'ID di: AWS Organizations *o-exampleorgid*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream20141101",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
]
}
]
}
```
------
Per ulteriori informazioni sui trail dell'organizzazione, consulta [Creazione di un percorso per un'organizzazione](creating-trail-organization.md).
Esegui il seguente comando per applicare la policy al ruolo.
```
aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://.json
```
### Aggiornamento del percorso
Aggiorna il percorso con il gruppo di log e le informazioni sul ruolo utilizzando il comando. CloudTrail `update-trail`
```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn
```
Per ulteriori informazioni sui AWS CLI comandi, consulta il [AWS CloudTrail Command Line Reference](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/).
## Limitazione
CloudWatch EventBridge Ciascuno di questi registri [consente una dimensione massima degli eventi di 256 KB](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html). Sebbene la maggior parte degli eventi di servizio abbia una dimensione massima di 256 KB, alcuni servizi presentano ancora eventi più grandi. CloudTrail non invia questi eventi a CloudWatch Logs o EventBridge.
A partire CloudTrail dalla versione 1.05, gli eventi hanno una dimensione massima di 256 KB. Questo serve a prevenire lo sfruttamento da parte di malintenzionati e a consentire la fruizione degli eventi da parte di altri AWS servizi, come CloudWatch Logs e. EventBridge