Mengagregasikan peristiwa data

Peristiwa data memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya. Ini juga dikenal sebagai operasi bidang data. Peristiwa data sering kali merupakan aktivitas bervolume tinggi.

Dengan mengaktifkan agregasi pada peristiwa data Anda, Anda dapat secara efisien memantau pola akses data volume tinggi tanpa memproses sejumlah besar peristiwa individual. Fitur ini secara otomatis mengkonsolidasikan peristiwa data ke dalam ringkasan 5 menit, menunjukkan tren utama seperti frekuensi akses, tingkat kesalahan, dan tindakan yang paling sering digunakan. Misalnya, alih-alih memproses ribuan peristiwa akses bucket S3 individual untuk memahami pola penggunaan, Anda menerima ringkasan gabungan yang menunjukkan pengguna dan tindakan teratas.

Anda dapat mengaktifkan agregasi pada peristiwa data saat membuat jejak baru atau memperbarui jejak yang ada yang mengumpulkan peristiwa data. Anda dapat memilih salah satu atau semua dari tiga out-of-the-box template untuk menggabungkan peristiwa data Anda pada:

• Aktivitas API untuk mendapatkan ringkasan 5 menit dari peristiwa data Anda berdasarkan panggilan API yang dilakukan. Gunakan ini untuk memahami pola penggunaan API Anda, termasuk frekuensi, penelepon, dan sumber.

• Akses Sumber Daya untuk mendapatkan pola aktivitas pada AWS sumber daya Anda. Gunakan ini untuk memahami bagaimana AWS sumber daya Anda diakses, berapa kali mereka diakses di jendela 5 menit, siapa yang mengakses sumber daya, dan tindakan apa yang sedang dilakukan.

• Tindakan Pengguna untuk mendapatkan pola aktivitas berdasarkan prinsip IAM yang melakukan panggilan API di akun Anda.

Mengaktifkan agregasi untuk peristiwa data menggunakan konsol

Untuk mengaktifkan agregasi pada jejak, pertama-tama Anda memilih pencatatan peristiwa data saat membuat atau memperbarui jejak dan mengonfigurasi peristiwa data untuk mencatat peristiwa di jejak. Kemudian, pada langkah konfigurasikan agregasi acara, Anda dapat memilih template seperti Aktivitas API dan Akses Sumber Daya dari dropdown template agregasi seperti yang ditunjukkan pada gambar di bawah ini.

Mengaktifkan agregasi untuk peristiwa data menggunakan AWS CLI

Anda dapat mengonfigurasi jejak Anda untuk menggabungkan peristiwa menggunakan. AWS CLI

Untuk melihat apakah jejak Anda menggabungkan peristiwa data, jalankan perintah. get-event-configurations

aws cloudtrail get-event-configuration --region us-east-1 --trail-name TrailName

Perintah mengembalikan konfigurasi agregasi untuk jejak.

Sebelum mengaktifkan agregasi acara, Anda harus membuat jejak dan mengonfigurasi peristiwa data di dalamnya.

Untuk mengaktifkan agregasi acara di jalur, ikuti langkah di bawah ini. Jejak akan menggabungkan peristiwa berdasarkan templat API_ACTIVITY dan RESOURCE_ACCESS agregasi.

aws cloudtrail put-event-configuration --region us-east-1 --trail TrailName \
--aggregation-configurations \
'[
    {
        "EventCategory": "Data",
        "Templates":
        [
            "API_ACTIVITY",
            "RESOURCE_ACCESS"
        ]
    }
]'

Contoh: acara API_ACTIVITY agregat

Berikut ini menunjukkan contoh peristiwa agregat untuk API_ACTIVITY template:

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "62759c1a-6248-48e1-a6b3-d5fb7e6c4bc0",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "eventName",
            "statistics":
            [
                {
                    "name": "PutObject",
                    "value": 1000
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "resourceARN",
                "statistics":
                [
                    {
                        "name": "arn:aws:s3:::bucket-1",
                        "value": 800
                    },
                    {
                        "name": "arn:aws:s3:::bucket-2",
                        "value": 150
                    },
                    {
                        "name": "arn:aws:s3:::bucket-3",
                        "value": 50
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}

Contoh: RESOURCE_ACCESS peristiwa agregat

Berikut ini menunjukkan contoh peristiwa agregat untuk RESOURCE_ACCESS template:

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "2ed87efa-45c1-412d-bc38-7e0879faa6df",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "resourceARN",
            "statistics":
            [
                {
                    "name": "arn:aws:s3:::bucket-1",
                    "value": 800
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "eventName",
                "statistics":
                [
                    {
                        "name": "PutObject",
                        "value": 800
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}