So funktioniert die CloudWatch Protokollierung bei Aufträgen zur Erkennung sensibler Daten

Wenn Sie beginnen, Aufträge zur Erkennung sensibler Daten auszuführen, erstellt und konfiguriert Amazon Macie automatisch die entsprechenden Ressourcen in Amazon CloudWatch Logs, um Ereignisse für all Ihre Jobs zu protokollieren. Macie veröffentlicht dann automatisch Ereignisdaten auf diesen Ressourcen, wenn Ihre Jobs ausgeführt werden. Die Berechtigungsrichtlinie für die dienstbezogene Macie-Rolle für Ihr Konto ermöglicht es Macie, diese Aufgaben in Ihrem Namen auszuführen. Sie müssen keine Schritte unternehmen, um Ressourcen in CloudWatch Logs zu erstellen oder zu konfigurieren oder Ereignisdaten für Ihre Jobs zu protokollieren.

In CloudWatch Logs sind Logs in Protokollgruppen organisiert. Jede Protokollgruppe enthält Protokollstreams. Jeder Protokollstream enthält Protokollereignisse. Der allgemeine Zweck jeder dieser Ressourcen ist wie folgt:

• Eine Protokollgruppe ist eine Sammlung von Protokollströmen, die dieselben Einstellungen für Aufbewahrung, Überwachung und Zugriffskontrolle verwenden, z. B. die Sammlung von Protokollen für all Ihre Aufgaben zur Erkennung vertraulicher Daten.

• Ein Protokollstream ist eine Abfolge von Protokollereignissen, die dieselbe Quelle verwenden, z. B. eine einzelne Aufgabe zur Erkennung vertraulicher Daten.

• Ein Protokollereignis ist eine Aufzeichnung einer Aktivität, die von einer Anwendung oder Ressource aufgezeichnet wurde, z. B. ein einzelnes Ereignis, das Macie für einen bestimmten Discovery-Job für sensible Daten aufgezeichnet und veröffentlicht hat.

Macie veröffentlicht Ereignisse für alle Ihre Aufgaben zur Erkennung sensibler Daten in einer Protokollgruppe. Jeder Job hat einen eigenen Protokollstream in dieser Protokollgruppe. Die Protokollgruppe hat das folgende Präfix und den folgenden Namen:

/aws/macie/classificationjobs

Wenn diese Protokollgruppe bereits existiert, verwendet Macie sie, um Protokollereignisse für Ihre Jobs zu speichern. Dies kann hilfreich sein, wenn Ihre Organisation automatisierte Konfigurationen verwendet, z. B. AWS CloudFormation, um Protokollgruppen mit vordefinierten Aufbewahrungszeiträumen, Verschlüsselungseinstellungen, Tags, Metrikfiltern usw. für Auftragsereignisse zu erstellen.

Wenn diese Protokollgruppe nicht existiert, erstellt Macie sie mit den Standardeinstellungen, die CloudWatch Logs für neue Protokollgruppen verwendet. Die Einstellungen beinhalten eine Aufbewahrungsfrist von Never Expire, was bedeutet, dass CloudWatch Logs die Protokolle auf unbestimmte Zeit speichert. Sie können den Aufbewahrungszeitraum für die Protokollgruppe ändern. Wie das geht, erfahren Sie unter Arbeiten mit Protokollgruppen und Log-Streams im Amazon CloudWatch Logs-Benutzerhandbuch.

Innerhalb dieser Protokollgruppe erstellt Macie einen eindeutigen Protokollstream für jeden Job, den Sie ausführen, wenn der Job zum ersten Mal ausgeführt wird. Der Name des Protokollstreams ist die eindeutige Kennung für den Job, z. B. 85a55dc0fa6ed0be5939d0408example im folgenden Format:

/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example

Jeder Protokollstream enthält alle Protokollereignisse, die Macie für den entsprechenden Job aufgezeichnet und veröffentlicht hat. Bei periodischen Jobs umfasst dies Ereignisse für alle Jobausführungen. Wenn Sie den Protokollstream für einen periodischen Job löschen, erstellt Macie den Stream erneut, wenn der Job das nächste Mal ausgeführt wird. Wenn Sie den Protokollstream für einen einmaligen Job löschen, können Sie ihn nicht wiederherstellen.

Beachten Sie, dass die Protokollierung standardmäßig für alle Ihre Jobs aktiviert ist. Sie können es nicht deaktivieren oder Macie auf andere Weise daran hindern, Job-Ereignisse in CloudWatch Logs zu veröffentlichen. Wenn Sie die Protokolle nicht speichern möchten, können Sie die Aufbewahrungsfrist für die Protokollgruppe auf nur einen Tag reduzieren. Am Ende des Aufbewahrungszeitraums löscht CloudWatch Logs automatisch abgelaufene Ereignisdaten aus der Protokollgruppe.