Mengekspor data log ke Amazon S3 menggunakan konsol - CloudWatch Log Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengekspor data log ke Amazon S3 menggunakan konsol

Dalam contoh berikut, Anda akan menggunakan CloudWatch konsol Amazon untuk mengekspor semua data dari grup CloudWatch log Amazon Logs bernamamy-log-group ke bucket Amazon S3 bernamamy-exported-logs.

Mengekspor data log ke bucket S3 yang dienkripsi olehAWS KMS didukung.

Langkah 1: Buat bucket Amazon S3

Sebaiknya gunakan bucket yang dibuat khusus untuk CloudWatch Logs. Namun, jika Anda ingin menggunakan bucket yang sudah ada, Anda dapat melompat ke langkah 2.

catatan

Bucket S3 harus berada di Wilayah yang sama dengan data log yang akan diekspor. CloudWatch Logs tidak mendukung ekspor data ke bucket S3 di Wilayah yang berbeda.

Untuk membuat bucket S3
  1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.

  2. Jika perlu, ubah Wilayah . Dari bilah navigasi, pilih Wilayah tempat CloudWatch Logs Anda berada.

  3. Pilih Create Bucket (Buat Bucket).

  4. Untuk Bucket Name (Nama Bucket), masukkan nama untuk bucket.

  5. Untuk Region (Wilayah), pilih Wilayah tempat data CloudWatch Logs Anda berada.

  6. Pilih Create (Buat).

Langkah 2: Buat pengguna IAM dengan akses penuh ke Amazon S3 dan CloudWatch Logs

Dalam langkah-langkah berikut, Anda akan membuat pengguna IAM dengan izin yang diperlukan.

Untuk membuat pengguna IAM yang diperlukan
  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pilih Users (Pengguna), Add user (Tambah pengguna).

  3. Masukkan nama pengguna, seperti CWLExportUser.

  4. Pilih Programmatic access (Akses terprogram) dan AWS Management Console access (Akses konsol).

  5. Pilih Autogenerated password (kata sandi yang dihasilkan otomatis) atau Custom password (Kata sandi khusus).

  6. Pilih Next: Permissions (Selanjutnya: Izin).

  7. Pilih Attach existing policies directly (Lampirkan kebijakan yang sudah ada secara langsung), dan lampirkan kebijakan AmazonS3FullAccess dan CloudWatchLogsFullAccess ke pengguna. Anda dapat menggunakan kotak pencarian untuk menemukan kebijakan.

  8. Pilih Next: Tags (Selanjutnya: Tanda), Next: Review (Selanjutnya: Tinjauan), lalu Create user (Buat pengguna).

Langkah 3: Tetapkan izin bucket S3

Semua objek dan bucket S3 secara default bersifat privat. Hanya pemilik sumber daya,Akun AWS yang membuat bucket, yang dapat mengakses bucket dan objek yang ada di dalamnya. Namun, pemilik sumber daya dapat memilih untuk memberikan izin akses kepada sumber daya dan pengguna lain dengan menulis kebijakan akses.

Ketika Anda menetapkan kebijakan, sebaiknya Anda menyertakan string yang dihasilkan secara acak sebagai prefiks untuk bucket sehingga hanya pengaliran log yang dimaksud yang diekspor ke bucket tersebut.

penting

Untuk membuat ekspor ke bucket S3 lebih aman, kami sekarang meminta Anda untuk menentukan daftar akun sumber yang diizinkan untuk mengekspor data log ke bucket S3 Anda. Pada contoh di bawah ini, daftar ID akun ini ditentukan dalamaws:SourceAccount kunci.

Kami menyarankan Anda juga menyertakan ID akun akun tempat bucket S3 dibuat, untuk mengizinkan ekspor dalam akun yang sama.

Untuk mengatur izin bucket Amazon S3
  1. Di konsol Amazon S3, pilih bucket yang Anda buat di langkah 1.

  2. Pilih Permissions (Izin), Bucket policy (Kebijakan bucket).

  3. Di Editor Kebijakan Bucket, tambahkan kebijakan berikut. Ubah my-exported-logs menjadi nama bucket S3 Anda dan random-string menjadi string karakter yang dihasilkan secara acak. Pastikan untuk menentukan titik akhir Wilayah yang benar untuk Principal (Utama).

    • { "Version": "2012-10-17", "Statement": [ { "Action": "s3:GetBucketAcl", "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs", "Principal": { "Service": "logs.us-west-2.amazonaws.com" } }, { "Action": "s3:PutObject" , "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs/random-string/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] } }, "Principal": { "Service": "logs.us-west-2.amazonaws.com" } } ] }
  4. Pilih Save (Simpan) untuk menetapkan kebijakan yang baru saja ditambahkan sebagai kebijakan akses di bucket Anda. Kebijakan ini memungkinkan CloudWatch Logs untuk mengekspor data log ke bucket S3 Anda. Pemilik bucket memiliki izin penuh atas semua objek yang diekspor.

    Awas

    Jika bucket yang ada telah memiliki satu atau beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa CloudWatch beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa beberapa satu Sebaiknya Anda mengevaluasi hasil rangkaian izin untuk memastikan bahwa itu sesuai untuk pengguna yang akan mengakses bucket.

(Opsional) Langkah 4: Mengekspor ke bucket yang dienkripsi dengan SSE-KMS

Langkah ini diperlukan hanya jika Anda mengekspor ke bucket S3 yang menggunakan enkripsi sisi server denganAWS KMS keys. Enkripsi ini dikenal sebagai SSE-KMS.

Untuk mengekspor ke bucket yang dienkripsi dengan SSE-KMS
  1. Buka konsol AWS KMS di https://console.aws.amazon.com/kms.

  2. Untuk mengubahWilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di bilah navigasi sebelah kiri, pilih Kunci yang dikelola pelanggan.

    Pilih Buat Kunci.

  4. Untuk Tipe Kunci, pilih Simetris.

  5. Untuk penggunaan Kunci, pilih Enkripsi dan dekripsi, lalu pilih Berikutnya.

  6. Di bawah Tambahkan label, masukkan alias untuk kunci dan tambahkan deskripsi atau tag secara opsional. Kemudian pilih Selanjutnya.

  7. Di bawah Administrator utama, pilih siapa yang dapat mengelola kunci ini, lalu pilih Berikutnya.

  8. Di bawah Tentukan izin penggunaan kunci, jangan buat perubahan dan pilih Berikutnya.

  9. Tinjau pengaturan dan pilih Selesai.

  10. Kembali ke halaman Customer managed keys, pilih nama kunci yang baru saja Anda buat.

  11. Pilih tab Kebijakan utama dan pilih Beralih ke tampilan kebijakan.

  12. Di bagian Kebijakan utama, pilih Edit.

  13. Tambahkan pernyataan berikut ke daftar pernyataan kebijakan kunci. Ketika Anda melakukannya, ganti Wilayah dengan Wilayah log Anda dan ganti Akun-ARN dengan ARN akun yang memiliki kunci KMS.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow CWL Service Principal usage", "Effect": "Allow", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "account-ARN" }, "Action": [ "kms:GetKeyPolicy*", "kms:PutKeyPolicy*", "kms:DescribeKey*", "kms:CreateAlias*", "kms:ScheduleKeyDeletion*", "kms:Decrypt" ], "Resource": "*" } ] }
  14. Pilih Save changes (Simpan perubahan).

  15. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.

  16. Temukan bucket tempat Anda buatLangkah 1: Buat bucket S3 dan pilih nama bucket.

  17. Pilih tab Properti. Kemudian, di bawah Enkripsi Default, pilih Edit.

  18. Di bawah Enkripsi Sisi Server, pilih Aktifkan.

  19. Di bawah Tipe enkripsi memilih Kunci (SSE-KMS) AWS Key Management Service.

  20. Pilih Pilih dariAWS KMS kunci Anda dan temukan kunci yang Anda buat.

  21. Untuk kunci Bucket, pilih Aktifkan.

  22. Pilih Save changes (Simpan perubahan).

Langkah 5: Buat tugas ekspor

Di langkah ini, Anda membuat tugas ekspor untuk mengekspor log dari grup log.

Untuk mengekspor data ke Amazon S3 menggunakan CloudWatch konsol
  1. Masuk sebagai pengguna IAM yang Anda buat di Langkah 2: Buat pengguna IAM dengan akses penuh ke Amazon S3 dan CloudWatch Log.

  2. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  3. Di panel navigasi, pilih Grup log.

  4. Di layar Log Groups (Grup Log), pilih nama grup log.

  5. Pilih Actions (Tindakan), Export data to Amazon S3 (Ekspor data ke Amazon S3).

  6. Di layar Export data to Amazon S3 (Ekspor data ke Amazon S3), di Define data export (Tentukan ekspor data), atur rentang waktu untuk data yang akan diekspor menggunakan From (Dari) dan To (Sampai).

  7. Jika grup log Anda memiliki beberapa pengaliran log, Anda dapat memberikan prefiks pengaliran log untuk membatasi data grup log ke pengaliran tertentu. Pilih Advanced (Lanjutan), lalu untuk Stream prefix (Prefiks pengaliran), masukkan prefiks pengaliran log.

  8. Di Choose S3 bucket (Pilih bucket S3), pilih akun yang terkait dengan bucket S3.

  9. Untuk S3 bucket name (Nama bucket S3), pilih bucket S3.

  10. Untuk S3 Bucket prefix (Prefiks bucket S3), masukkan string yang dihasilkan secara acak yang Anda tentukan dalam kebijakan bucket.

  11. Pilih Export (Ekspor) untuk mengekspor data log ke Amazon S3.

  12. Untuk melihat status data log yang diekspor ke Amazon S3, pilih Actions (Tindakan), lalu View all exports to Amazon S3 (Lihat semua ekspor ke Amazon S3).