Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola jalur dengan AWS CLI
AWS CLI Termasuk beberapa perintah lain yang membantu Anda mengelola jejak Anda. Perintah ini menambahkan tag ke jalur, mendapatkan status jejak, memulai dan menghentikan pencatatan untuk jalur, dan menghapus jejak. Anda harus menjalankan perintah ini dari AWS Wilayah yang sama tempat jejak dibuat (Wilayah Asalnya). Saat menggunakan AWS CLI, ingatlah bahwa perintah Anda berjalan di AWS Wilayah yang dikonfigurasi untuk profil Anda. Jika Anda ingin menjalankan perintah di Wilayah yang berbeda, ubah Wilayah default untuk profil Anda, atau gunakan parameter --region bersama perintah tersebut.
Topik
- Tambahkan satu atau beberapa tag ke jejak
- Daftar tag untuk satu atau lebih jalur
- Hapus satu atau beberapa tag dari jejak
- Mengambil pengaturan jejak dan status jejak
- Mengonfigurasi pemilih CloudTrail acara Wawasan
- Mengkonfigurasi penyeleksi acara
- Mengkonfigurasi pemilih acara tingkat lanjut
- Menghentikan dan memulai pencatatan untuk jalan setapak
- Menghapus jejak
Tambahkan satu atau beberapa tag ke jejak
Untuk menambahkan satu atau beberapa tag ke jejak yang ada, jalankan add-tags perintah.
Contoh berikut menambahkan tag dengan nama Pemilik dan nilai Mary ke jejak dengan ARN of arn:aws:cloudtrail: ).us-east-2:123456789012: trail/my-trail di Wilayah AS Timur (Ohio
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail--tags-list Key=Owner,Value=Mary--region us-east-2
Jika berhasil, perintah ini tidak mengembalikan apa pun.
Daftar tag untuk satu atau lebih jalur
Untuk melihat tag yang terkait dengan satu atau lebih jejak yang ada, gunakan list-tags perintah.
Contoh berikut mencantumkan tag untuk Trail1 dan Trail2.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
Jika berhasil, perintah ini mengembalikan output yang serupa dengan yang berikut.
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ] }
Hapus satu atau beberapa tag dari jejak
Untuk menghapus satu atau beberapa tag dari jejak yang ada, jalankan remove-tags perintah.
Contoh berikut menghapus tag dengan nama Lokasi dan Nama dari jejak dengan ARN arn:aws:cloudtrail: ).us-east-2:123456789012: trail/ Trail1 di Wilayah AS Timur (Ohio
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1--tags-list Key=Name Key=Location --region us-east-2
Jika berhasil, perintah ini tidak mengembalikan apa pun.
Mengambil pengaturan jejak dan status jejak
Jalankan describe-trails perintah untuk mengambil informasi tentang jejak di Wilayah. AWS Contoh berikut mengembalikan informasi tentang jalur yang dikonfigurasi di Wilayah Timur AS (Ohio).
aws cloudtrail describe-trails --region us-east-2
Jika perintah berhasil, Anda melihat output yang serupa dengan berikut ini.
{ "trailList": [ { "Name": "my-trail", "S3BucketName": "DOC-EXAMPLE-BUCKET1", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "DOC-EXAMPLE-BUCKET2", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "DOC-EXAMPLE-BUCKET3", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ] }
Jalankan get-trail perintah untuk mengambil informasi pengaturan tentang jejak tertentu. Contoh berikut mengembalikan informasi pengaturan untuk jejak bernama my-trail.
aws cloudtrail get-trail - -namemy-trail
Jika berhasil, perintah ini mengembalikan output yang serupa dengan yang berikut.
{ "Trail": { "Name": "my-trail", "S3BucketName": "DOC-EXAMPLE-BUCKET", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, } }
Jalankan get-trail-status perintah untuk mengambil status jejak. Anda harus menjalankan perintah ini dari AWS Wilayah tempat ia dibuat (Wilayah Beranda), atau Anda harus menentukan Wilayah itu dengan menambahkan --region parameter.
catatan
Jika jejak adalah jejak organisasi dan Anda adalah akun anggota dalam organisasi di AWS Organizations, Anda harus memberikan ARN lengkap dari jejak itu, dan bukan hanya namanya.
aws cloudtrail get-trail-status --namemy-trail
Jika perintah berhasil, Anda melihat output yang serupa dengan berikut ini.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Selain bidang yang ditampilkan dalam kode JSON sebelumnya, status berisi bidang berikut jika ada kesalahan Amazon SNS atau Amazon S3:
-
LatestNotificationError. Berisi kesalahan yang dipancarkan oleh Amazon SNS jika langganan topik gagal. -
LatestDeliveryError. Berisi kesalahan yang dipancarkan oleh Amazon S3 CloudTrail jika tidak dapat mengirimkan file log ke ember.
Mengonfigurasi pemilih CloudTrail acara Wawasan
Aktifkan peristiwa Insights pada jejak dengan menjalankanput-insight-selectors, dan menentukan ApiCallRateInsightApiErrorRateInsight,, atau keduanya sebagai nilai atribut. InsightType Untuk melihat setelan pemilih Insights untuk jejak, jalankan perintah. get-insight-selectors Anda harus menjalankan perintah ini dari AWS Wilayah tempat jejak dibuat (Wilayah Rumah), atau Anda harus menentukan Wilayah itu dengan menambahkan --region parameter ke perintah.
catatan
Untuk mencatat peristiwa InsightsApiCallRateInsight, jejak harus mencatat peristiwa write manajemen. Untuk mencatat peristiwa InsightsApiErrorRateInsight, jejak harus mencatat read atau write mengelola peristiwa.
Contoh jejak yang mencatat peristiwa Insights
Contoh berikut digunakan put-insight-selectors untuk membuat pemilih acara Insights untuk jejak bernama TrailName 3. Ini memungkinkan pengumpulan acara Insights untuk TrailName3 jejak. Pemilih peristiwa Insights mencatat keduanya ApiErrorRateInsight dan jenis peristiwa ApiCallRateInsight Insights.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
Contoh mengembalikan pemilih peristiwa Insights yang dikonfigurasi untuk jejak.
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Contoh: Matikan koleksi acara Insights
Contoh berikut digunakan put-insight-selectors untuk menghapus pemilih peristiwa Insights untuk jejak bernama TrailName 3. Menghapus string JSON dari pemilih Insights menonaktifkan koleksi acara Insights untuk 3 jejak. TrailName
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[]'
Contoh mengembalikan pemilih peristiwa Insights yang sekarang kosong yang dikonfigurasi untuk jejak.
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Mengkonfigurasi penyeleksi acara
Untuk melihat pengaturan pemilih acara untuk jejak, jalankan get-event-selectors perintah. Anda harus menjalankan perintah ini dari AWS Wilayah tempat ia dibuat (Wilayah Rumah), atau Anda harus menentukan Wilayah itu dengan menggunakan --region parameter.
aws cloudtrail get-event-selectors --trail-nameTrailName
catatan
Jika jejak adalah jejak organisasi dan Anda adalah akun anggota dalam organisasi di AWS Organizations, Anda harus memberikan ARN lengkap dari jejak itu, dan bukan hanya namanya.
Contoh berikut mengembalikan pengaturan default untuk pemilih acara untuk jejak.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Untuk membuat pemilih acara, jalankan put-event-selectors perintah. Jika Anda ingin mencatat peristiwa Insights di jejak, pastikan pemilih acara mengaktifkan pencatatan jenis Wawasan yang ingin Anda konfigurasi jejak Anda. Untuk informasi selengkapnya tentang mencatat peristiwa Wawasan, lihatAcara Logging Insights.
Ketika suatu peristiwa terjadi di akun Anda, CloudTrail evaluasi konfigurasi untuk jejak Anda. Jika acara cocok dengan pemilih acara apa pun untuk jejak, jejak akan memproses dan mencatat peristiwa tersebut. Anda dapat mengonfigurasi hingga 5 penyeleksi acara untuk jejak dan hingga 250 sumber daya data untuk jejak. Untuk informasi selengkapnya, lihat Pencatatan peristiwa data.
Topik
- Contoh jejak dengan pemilih acara tertentu
- Contoh jejak yang mencatat semua peristiwa manajemen dan data
- Contoh jejak yang tidak mencatat AWS Key Management Service peristiwa
- Contoh jejak yang mencatat peristiwa volume rendah AWS Key Management Service yang relevan
- Contoh jejak yang tidak mencatat peristiwa API data Amazon RDS
Contoh jejak dengan pemilih acara tertentu
Contoh berikut membuat pemilih peristiwa untuk jejak bernama TrailNameuntuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis, peristiwa data untuk dua kombinasi bucket/awalan Amazon S3, dan peristiwa data untuk satu fungsi bernama. AWS Lambda hello-world-python-function
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET1/prefix","arn:aws:s3:::DOC-EXAMPLE-BUCKET2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/prefix", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Contoh jejak yang mencatat semua peristiwa manajemen dan data
Contoh berikut membuat pemilih peristiwa untuk jejak bernama TrailName2 yang mencakup semua peristiwa, termasuk peristiwa manajemen hanya-baca dan hanya tulis, dan semua peristiwa data untuk semua bucket Amazon S3, fungsi AWS Lambda , dan tabel Amazon DynamoDB di akun. AWS Karena contoh ini menggunakan pemilih peristiwa dasar, contoh ini tidak dapat mengonfigurasi pencatatan untuk peristiwa S3 AWS Outposts, panggilan Amazon Managed Blockchain JSON-RPC pada node Ethereum, atau jenis sumber daya pemilih acara lanjutan lainnya. Anda harus menggunakan pemilih acara lanjutan untuk mencatat peristiwa data untuk sumber daya tersebut. Untuk informasi selengkapnya, lihat Mengkonfigurasi pemilih acara tingkat lanjut.
catatan
Jika jejak hanya berlaku untuk satu Wilayah, hanya peristiwa di Wilayah tersebut yang dicatat, meskipun parameter pemilih peristiwa menentukan semua bucket Amazon S3 dan fungsi Lambda. Penyeleksi acara hanya berlaku untuk Wilayah tempat jejak dibuat.
aws cloudtrail put-event-selectors --trail-nameTrailName2--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
Contoh mengembalikan penyeleksi acara yang dikonfigurasi untuk jejak.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }
Contoh jejak yang tidak mencatat AWS Key Management Service peristiwa
Contoh berikut membuat pemilih acara untuk jejak bernama TrailNameuntuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis, tetapi untuk mengecualikan () peristiwa. AWS Key Management Service AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen. Pengguna dalam contoh ini telah memilih untuk mengecualikan AWS KMS peristiwa dari setiap jejak kecuali satu. Untuk mengecualikan sumber peristiwa, tambahkan ExcludeManagementEventSources ke pemilih acara Anda, dan tentukan sumber peristiwa dalam nilai string.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
Untuk mulai mencatat AWS KMS peristiwa ke jejak lagi, berikan array kosong sebagai nilaiExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Untuk memulai logging AWS KMS peristiwa ke jejak lagi, berikan array kosong sebagai nilaiExcludeManagementEventSources, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Contoh jejak yang mencatat peristiwa volume rendah AWS Key Management Service yang relevan
Contoh berikut membuat pemilih acara untuk jejak bernama TrailNameuntuk menyertakan acara dan acara manajemen khusus tulis. AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen. Pengguna dalam contoh ini telah memilih untuk menyertakan peristiwa AWS KMS Tulis, yang akan mencakupDisable, Delete danScheduleKey, tetapi tidak lagi menyertakan tindakan volume tinggi sepertiEncrypt,Decrypt, dan GenerateDataKey (ini sekarang diperlakukan sebagai peristiwa Baca).
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak. Ini mencatat peristiwa manajemen khusus tulis, termasuk AWS KMS peristiwa.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Contoh jejak yang tidak mencatat peristiwa API data Amazon RDS
Contoh berikut membuat pemilih peristiwa untuk jejak bernama TrailNameuntuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis, tetapi untuk mengecualikan peristiwa Amazon RDS Data API. Karena peristiwa Amazon RDS Data API diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, peristiwa tersebut dapat berdampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen. Pengguna dalam contoh ini telah memilih untuk mengecualikan peristiwa Amazon RDS Data API dari setiap jejak kecuali satu. Untuk mengecualikan sumber peristiwa, tambahkan ExcludeManagementEventSources ke pemilih acara Anda, dan tentukan sumber peristiwa Amazon RDS Data API dalam nilai string:. rdsdata.amazonaws.com
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, peristiwa Amazon RDS Data API tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan peristiwa.
Untuk mulai mencatat peristiwa pengelolaan Amazon RDS Data API ke jejak lagi, teruskan array kosong sebagai nilai. ExcludeManagementEventSources
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Untuk mulai mencatat peristiwa pengelolaan Amazon RDS Data API ke jejak lagi, teruskan array kosong sebagai nilaiExcludeManagementEventSources, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Mengkonfigurasi pemilih acara tingkat lanjut
Untuk menggunakan pemilih acara lanjutan untuk menyertakan atau mengecualikan peristiwa data alih-alih pemilih acara dasar, gunakan pemilih acara lanjutan di halaman detail jejak. Penyeleksi acara tingkat lanjut memungkinkan Anda mencatat peristiwa data pada lebih banyak jenis sumber daya daripada pemilih acara dasar. Selektor dasar mencatat aktivitas objek S3, aktivitas eksekusi AWS Lambda fungsi, dan tabel DynamoDB.
Di pemilih peristiwa lanjutan, buat ekspresi untuk mengumpulkan peristiwa data pada jenis sumber daya tertentu seperti bucket S3, fungsi, tabel DynamoDB AWS Lambda , titik akses Lambda Objek S3, API langsung Amazon EBS pada snapshot EBS, titik akses S3, aliran DynamoDB, tabel yang dibuat oleh Lake Formation, dan banyak lagi. AWS Glue
Untuk informasi selengkapnya pemilih acara lanjutan, lihatMengkonfigurasi pemilih acara tingkat lanjut.
Untuk melihat pengaturan pemilih acara lanjutan untuk jejak, jalankan get-event-selectors perintah berikut. Anda harus menjalankan perintah ini dari AWS Wilayah tempat jejak dibuat (Wilayah Rumah), atau Anda harus menentukan Wilayah itu dengan menambahkan --region parameter.
aws cloudtrail get-event-selectors --trail-nameTrailName
catatan
Jika jejak adalah jejak organisasi, dan Anda masuk dengan akun anggota di organisasi AWS Organizations, Anda harus memberikan ARN lengkap jejak, dan bukan hanya namanya.
Contoh berikut mengembalikan pengaturan default untuk pemilih acara lanjutan untuk jejak. Secara default, tidak ada pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Untuk membuat pemilih acara lanjutan, jalankan put-event-selectors perintah. Ketika peristiwa data terjadi di akun Anda, CloudTrail evaluasi konfigurasi untuk jejak Anda. Jika acara cocok dengan pemilih acara lanjutan mana pun untuk jejak, jejak akan memproses dan mencatat peristiwa tersebut. Anda dapat mengonfigurasi hingga 500 kondisi pada jejak, termasuk semua nilai yang ditentukan untuk semua penyeleksi acara lanjutan di jejak Anda. Untuk informasi selengkapnya, lihat Pencatatan peristiwa data.
Topik
- Contoh jejak dengan pemilih acara lanjutan tertentu
- Contoh jejak yang menggunakan pemilih peristiwa lanjutan khusus untuk mencatat Amazon S3 AWS Outposts pada peristiwa data
- Contoh jejak yang menggunakan penyeleksi acara lanjutan untuk mengecualikan AWS Key Management Service acara
- Contoh jejak yang menggunakan penyeleksi peristiwa lanjutan untuk mengecualikan peristiwa manajemen Amazon RDS Data API
Contoh jejak dengan pemilih acara lanjutan tertentu
Contoh berikut membuat pemilih peristiwa lanjutan khusus untuk jejak bernama TrailNameuntuk menyertakan peristiwa manajemen baca dan tulis (dengan menghilangkan readOnly pemilih), PutObject dan peristiwa DeleteObject data untuk semua kombinasi bucket/awalan Amazon S3 kecuali untuk bucket bernama dan peristiwa data untuk fungsi bernama. DOC-EXAMPLE-BUCKET AWS Lambda MyLambdaFunction Karena ini adalah penyeleksi acara lanjutan khusus, setiap set penyeleksi memiliki nama deskriptif. Perhatikan bahwa garis miring adalah bagian dari nilai ARN untuk bucket S3.
aws cloudtrail put-event-selectors --trail-nameTrailName--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Contoh jejak yang menggunakan pemilih peristiwa lanjutan khusus untuk mencatat Amazon S3 AWS Outposts pada peristiwa data
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa data untuk semua Amazon S3 pada AWS Outposts objek di pos terdepan Anda. Dalam rilis ini, nilai yang didukung untuk S3 pada AWS Outposts peristiwa untuk resources.type bidang tersebut adalahAWS::S3Outposts::Object.
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName" }
Contoh jejak yang menggunakan penyeleksi acara lanjutan untuk mengecualikan AWS Key Management Service acara
Contoh berikut membuat pemilih peristiwa lanjutan untuk jejak bernama TrailNameuntuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis (dengan menghilangkan readOnly pemilih), tetapi untuk mengecualikan () peristiwa. AWS Key Management Service AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
Untuk mulai mencatat AWS KMS peristiwa ke jejak lagi, hapus eventSource pemilih, dan jalankan perintah lagi.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus eventSource pemilih, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Contoh jejak yang menggunakan penyeleksi peristiwa lanjutan untuk mengecualikan peristiwa manajemen Amazon RDS Data API
Contoh berikut membuat pemilih peristiwa lanjutan untuk jejak bernama TrailNameuntuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis (dengan menghilangkan readOnly pemilih), tetapi untuk mengecualikan peristiwa manajemen Amazon RDS Data API. Untuk mengecualikan peristiwa pengelolaan Amazon RDS Data API, tentukan sumber peristiwa Amazon RDS Data API dalam nilai string untuk eventSource bidang:. rdsdata.amazonaws.com
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, peristiwa manajemen Amazon RDS Data API tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan peristiwa Amazon RDS Data API.
Untuk mulai mencatat peristiwa pengelolaan Amazon RDS Data API ke jejak lagi, hapus eventSource pemilih, dan jalankan perintah lagi.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus eventSource pemilih, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Menghentikan dan memulai pencatatan untuk jalan setapak
Perintah berikut memulai dan menghentikan CloudTrail logging.
aws cloudtrail start-logging --nameawscloudtrail-example
aws cloudtrail stop-logging --nameawscloudtrail-example
catatan
Sebelum menghapus bucket, jalankan stop-logging perintah untuk berhenti mengirimkan peristiwa ke bucket. Jika Anda tidak berhenti masuk, CloudTrail coba kirimkan file log ke bucket dengan nama yang sama untuk jangka waktu terbatas.
Jika Anda berhenti mencatat atau menghapus jejak, CloudTrail Wawasan akan dinonaktifkan pada jejak tersebut.
Menghapus jejak
Jika Anda telah mengaktifkan peristiwa CloudTrail manajemen di Amazon Security Lake, Anda diharuskan untuk mempertahankan setidaknya satu jejak organisasi yaitu Multi-wilayah dan mencatat keduanya read dan peristiwa write manajemen. Anda tidak dapat menghapus jejak jika itu adalah satu-satunya jejak yang Anda miliki yang memenuhi persyaratan ini, kecuali jika Anda mematikan acara CloudTrail manajemen di Security Lake.
Anda dapat menghapus jejak dengan perintah berikut. Anda dapat menghapus jejak hanya di Wilayah itu dibuat (Wilayah Rumah).
aws cloudtrail delete-trail --nameawscloudtrail-example
Saat menghapus jejak, Anda tidak menghapus bucket Amazon S3 atau topik Amazon SNS yang terkait dengannya. Gunakan AWS Management Console, AWS CLI, atau API layanan untuk menghapus sumber daya ini secara terpisah.
