Membuat CloudWatch log panggilan API Amazon LogsAWS CloudTrail

Amazon CloudWatch Logs terintegrasi denganAWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atauAWS layanan di CloudWatch Log. CloudTrail merekam panggilan API yang dibuat oleh atau atas namaAWS akun Anda. Panggilan yang direkam mencakup panggilan dari CloudWatch konsol tersebut dan panggilan kode ke operasi API CloudWatch Logs. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman berkelanjutan CloudTrail kejadian ke bucket Amazon S3, termasuk kejadian untuk CloudWatch Log. Jika Anda tidak dapat mengonfigurasi jejak, Anda masih dapat melihat tindakan terbaru di CloudTrail konsol di Riwayat tindakan. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke CloudWatch Logs, alamat IP asal permintaan tersebut dibuat, siapa yang membuat permintaan, kapan permintaan dibuat, dan detail lainnya.

Untuk mempelajari selengkapnya CloudTrail, termasuk cara mengonfigurasi dan mengaktifkannya, lihat PanduanAWS CloudTrail Pengguna.

CloudWatch Log informasi di CloudTrail

CloudTrail diaktifkan diAWS akun Anda saat Anda membuat akun. Saat aktivitas peristiwa yang didukung terjadi di CloudWatch Log, aktivitas tersebut dicatat di CloudTrail peristiwa bersama peristiwaAWS layanan lainnya di Riwayat peristiwa. Anda dapat melihat, mencari, dan mengunduh peristiwa terbaru di akun AWS Anda. Untuk informasi selengkapnya, lihat Melihat Kejadian dengan Riwayat CloudTrail Kejadian.

Untuk pencatatan berkelanjutan tentang peristiwa diAWS akun Anda, termasuk kejadian untuk CloudWatch Log, buatlah jejak. Jejak memungkinkan CloudTrail untuk mengirim berkas log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di dalam konsol tersebut, jejak diterapkan ke semua Wilayah AWS. Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasiAWS layanan lainnya untuk dianalisis lebih lanjut dan bertindak berdasarkan data kejadian yang dikumpulkan di CloudTrail log. Untuk informasi selengkapnya, lihat yang berikut:

• Ikhtisar untuk Membuat Jejak

• CloudTrail Layanan dan Integrasi yang Didukung

• Mengonfigurasi NoS untuk Notifikasi Amazon SNS untuk CloudTrail

• Menerima Berkas CloudTrail Log dari Beberapa Wilayah dan Menerima Berkas CloudTrail Log dari Beberapa Akun

CloudWatch Log mendukung pencatatan tindakan berikut sebagai peristiwa dalam berkas CloudTrail log:

• CancelExportTask

• CreateExportTask

• CreateLogGroup

• CreateLogStream

• DeleteDestination

• DeleteLogGroup

• DeleteLogStream

• DeleteMetricFilter

• DeleteRetentionPolicy

• DeleteSubscriptionFilter

• PutDestination

• PutDestinationPolicy

• PutMetricFilter

• PutResourcePolicy

• PutRetentionPolicy

• PutSubscriptionFilter

• StartQuery

• StopQuery

• TestMetricFilter

Hanya elemen permintaan yang dicatat CloudTrail untuk tindakan API CloudWatch Log berikut:

• DescribeDestinations

• DescribeExportTasks

• DescribeLogGroups

• DescribeLogStreams

• DescribeMetricFilters

• DescribeQueries

• DescribeResourcePolicies

• DescribeSubscriptionFilters

• FilterLogEvents

• GetLogEvents

• GetLogGroupFields

• GetLogRecord

• GetQueryResults

Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut:

• Jika permintaan tersebut dibuat dengan kredensial pengguna root atau IAM.

• Jika permintaan tersebut dibuat dengan kredensial keamanan sementara untuk peran atau pengguna federasi.

• Bahwa permintaan dibuat oleh layanan AWS lain.

Untuk informasi lain, lihat Elemen userIdentity CloudTrail .

Memahami entri file log

Jejak adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai berkas log ke bucket Amazon S3 yang Anda tentukan. CloudTrail berkas log berisi satu atau beberapa entri log. Sebuah peristiwa mewakili permintaan tunggal dari sumber apa pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail berkas log bukan merupakan jejak tumpukan terurut dari panggilan API publik, sehingga berkas tersebut tidak muncul dalam urutan tertentu.

Entri berkas log berikut menunjukkan bahwa pengguna memanggil tindakan log berikut menunjukkan bahwa pengguna memanggil CreateExportTasktindakan CloudWatch log berikut.

{
        "eventVersion": "1.03",
        "userIdentity": {
            "type": "IAMUser",
            "principalId": "EX_PRINCIPAL_ID",
            "arn": "arn:aws:iam::123456789012:user/someuser",
            "accountId": "123456789012",
            "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
            "userName": "someuser"
        },
        "eventTime": "2016-02-08T06:35:14Z",
        "eventSource": "logs.amazonaws.com",
        "eventName": "CreateExportTask",
        "awsRegion": "us-east-1",
        "sourceIPAddress": "127.0.0.1",
        "userAgent": "aws-sdk-ruby2/2.0.0.rc4 ruby/1.9.3 x86_64-linux Seahorse/0.1.0",
        "requestParameters": {
            "destination": "yourdestination",
            "logGroupName": "yourloggroup",
            "to": 123456789012,
            "from": 0,
            "taskName": "yourtask"
        },
        "responseElements": {
            "taskId": "15e5e534-9548-44ab-a221-64d9d2b27b9b"
        },
        "requestID": "1cd74c1c-ce2e-12e6-99a9-8dbb26bd06c9",
        "eventID": "fd072859-bd7c-4865-9e76-8e364e89307c",
        "eventType": "AwsApiCall",
        "apiVersion": "20140328",
        "recipientAccountId": "123456789012"
}