Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana cara CloudTrail kerja
Anda secara otomatis memiliki akses ke riwayat CloudTrail Acara saat Anda membuat Akun AWS. Riwayat Acara menyediakan catatan yang dapat dilihat, dapat dicari, dapat diunduh, dan tidak dapat diubah dari 90 hari terakhir dari peristiwa manajemen yang direkam dalam file. Wilayah AWS
Untuk catatan acara yang sedang berlangsung dalam 90 hari Akun AWS terakhir Anda, buat jejak atau penyimpanan data acara CloudTrail Danau.
Topik
CloudTrail Riwayat acara
Anda dapat dengan mudah melihat 90 hari terakhir acara manajemen di CloudTrail konsol dengan membuka halaman Riwayat acara. Anda juga dapat melihat riwayat acara dengan menjalankan aws cloudtrail
lookup-eventsperintah, atau LookupEventsAPIoperasi. Anda dapat mencari peristiwa dalam riwayat Acara dengan memfilter acara pada satu atribut. Untuk informasi selengkapnya, lihat Bekerja dengan riwayat CloudTrail acara.
Riwayat acara tidak terhubung ke jejak atau penyimpanan data peristiwa apa pun yang ada di akun Anda dan tidak terpengaruh oleh perubahan konfigurasi yang Anda buat pada jejak dan penyimpanan data acara Anda.
Tidak ada CloudTrail biaya untuk melihat halaman riwayat acara atau menjalankan lookup-events perintah.
CloudTrail Penyimpanan data danau dan acara
Anda dapat membuat penyimpanan data peristiwa untuk mencatat CloudTrail peristiwa (peristiwa manajemen, peristiwa data, peristiwa aktivitas jaringan), peristiwa CloudTrailWawasan, AWS Audit Manager bukti, item AWS Config konfigurasi, atau peristiwa di luar. AWS
catatan
Acara aktivitas jaringan dalam rilis pratinjau untuk CloudTrail dan dapat berubah sewaktu-waktu.
Penyimpanan data acara dapat mencatat peristiwa dari saat ini Wilayah AWS, atau dari semua yang Wilayah AWS ada di AWS akun Anda. Penyimpanan data peristiwa yang Anda gunakan untuk mencatat peristiwa Integrasi dari luar AWS harus hanya untuk satu Wilayah saja; mereka tidak dapat berupa penyimpanan data acara Multi-wilayah.
Jika Anda telah membuat organisasi AWS Organizations, Anda dapat membuat penyimpanan data acara organisasi yang mencatat semua peristiwa untuk semua AWS akun di organisasi tersebut. Penyimpanan data acara organisasi dapat berlaku untuk semua AWS Wilayah, atau Wilayah saat ini. Penyimpanan data acara organisasi harus dibuat menggunakan akun manajemen atau akun administrator yang didelegasikan, dan ketika ditentukan sebagai aplikasi ke organisasi, secara otomatis diterapkan ke semua akun anggota dalam organisasi. Akun anggota tidak dapat melihat penyimpanan data acara organisasi, juga tidak dapat memodifikasi atau menghapusnya. Penyimpanan data acara organisasi tidak dapat digunakan untuk mengumpulkan acara dari luar AWS. Untuk informasi selengkapnya, lihat Memahami penyimpanan data acara organisasi.
Secara default, semua peristiwa di penyimpanan data acara dienkripsi oleh. CloudTrail Ketika Anda mengkonfigurasi penyimpanan data acara, Anda dapat memilih untuk menggunakan milik Anda sendiri AWS KMS key. Menggunakan KMS kunci Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Setelah Anda mengaitkan penyimpanan data peristiwa dengan KMS kunci, KMS kunci tidak dapat dihapus atau diubah. Untuk informasi selengkapnya, lihat Mengenkripsi file CloudTrail log dengan AWS KMS kunci (SSE-) KMS.
Tabel berikut memberikan informasi tentang tugas yang dapat Anda lakukan pada penyimpanan data acara.
| Tugas | Deskripsi |
|---|---|
|
Anda dapat menggunakan dasbor CloudTrail Danau untuk memvisualisasikan peristiwa di penyimpanan data acara yang mengumpulkan peristiwa manajemen, peristiwa data S3, atau peristiwa Wawasan. |
|
|
Konfigurasikan penyimpanan data acara Anda untuk mencatat read-only, write-only, atau semua peristiwa manajemen. Secara default, data acara menyimpan peristiwa manajemen log. |
|
|
Konfigurasikan penyimpanan data acara Anda untuk mencatat peristiwa data. Anda dapat menggunakan pemilih acara lanjutan untuk memfilter pada |
|
|
Konfigurasikan penyimpanan data acara Anda untuk mencatat peristiwa aktivitas jaringan. Anda dapat menggunakan pemilih acara lanjutan untuk memfilter pada catatanAcara aktivitas jaringan dalam rilis pratinjau untuk CloudTrail dan dapat berubah sewaktu-waktu. |
|
Konfigurasikan penyimpanan data acara Anda untuk mencatat peristiwa Wawasan untuk membantu Anda mengidentifikasi dan menanggapi aktivitas tidak biasa yang terkait dengan API panggilan manajemen. Untuk informasi selengkapnya, lihat Acara Logging Insights. Biaya tambahan berlaku untuk acara Insights. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail |
|
Anda dapat menyalin peristiwa jejak ke penyimpanan data peristiwa baru atau yang sudah ada untuk membuat point-in-time snapshot peristiwa yang dicatat ke jejak. |
|
Anda dapat menggabungkan penyimpanan data peristiwa untuk melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog AWS Glue Data dan menjalankan SQL kueri pada data peristiwa menggunakan Amazon Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri. |
|
Menghentikan atau memulai konsumsi acara di penyimpanan data acara |
Anda dapat menghentikan dan memulai konsumsi acara pada penyimpanan data acara yang mengumpulkan peristiwa CloudTrail manajemen dan data, atau item AWS Config konfigurasi. |
Anda dapat menggunakan integrasi CloudTrail Lake untuk mencatat dan menyimpan data aktivitas pengguna dari luar AWS; dari sumber apa pun di lingkungan hybrid Anda, seperti aplikasi internal atau SaaS yang dihosting di tempat atau di cloud, mesin virtual, atau wadah. Untuk informasi tentang mitra integrasi yang tersedia, lihat Integrasi AWS CloudTrail Danau |
|
CloudTrail Konsol menyediakan sejumlah contoh kueri yang dapat membantu Anda mulai menulis kueri Anda sendiri. |
|
Pertanyaan di CloudTrail ditulis dalam. SQL Anda dapat membuat kueri di tab CloudTrail Lake Editor dengan menulis kueri SQL dari awal, atau dengan membuka kueri yang disimpan atau sampel dan mengeditnya. |
|
|
Saat menjalankan kueri, Anda dapat menyimpan hasil kueri ke bucket S3. |
|
Anda dapat mengunduh CSV file yang berisi hasil kueri CloudTrail Lake yang disimpan. |
|
Anda dapat menggunakan validasi integritas hasil CloudTrail kueri untuk menentukan apakah hasil kueri diubah, dihapus, atau tidak diubah setelah CloudTrail mengirimkan hasil kueri ke bucket S3. |
Untuk informasi lebih lanjut tentang CloudTrail Danau, lihatBekerja dengan AWS CloudTrail Danau.
CloudTrail Penyimpanan data acara danau dan kueri dikenakan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Ketika Anda menjalankan kueri di Lake, Anda membayar berdasarkan jumlah data yang dipindai. Untuk informasi tentang CloudTrail penetapan harga dan pengelolaan biaya Danau, lihat AWS CloudTrail Harga
CloudTrail jalan setapak
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa ke bucket Amazon S3 yang Anda tentukan. Anda juga dapat mengirimkan dan menganalisis peristiwa dalam jejak dengan Amazon CloudWatch Logs dan Amazon EventBridge.
Trails dapat mencatat peristiwa CloudTrail manajemen, peristiwa data, peristiwa aktivitas jaringan, dan peristiwa Wawasan.
catatan
Acara aktivitas jaringan dalam rilis pratinjau untuk CloudTrail dan dapat berubah sewaktu-waktu.
Anda dapat membuat jalur Multi-wilayah dan Single-region untuk Anda. Akun AWS
- Jalur Multi-Wilayah
-
Saat Anda membuat jejak Multi-wilayah, CloudTrail merekam peristiwa Wilayah AWS di semua AWS partisi tempat Anda bekerja dan mengirimkan file log CloudTrail peristiwa ke bucket S3 yang Anda tentukan. Jika Wilayah AWS ditambahkan setelah Anda membuat jejak Multi-wilayah, Wilayah baru tersebut secara otomatis disertakan, dan peristiwa di Wilayah tersebut dicatat. Membuat jejak Multi-wilayah adalah praktik terbaik yang disarankan karena Anda menangkap aktivitas di semua Wilayah di akun Anda. Semua jalur yang Anda buat menggunakan CloudTrail konsol adalah Multi-wilayah. Anda dapat mengonversi jejak wilayah Tunggal menjadi jejak Multi-wilayah dengan menggunakan. AWS CLI Untuk informasi selengkapnya, silakan lihat Membuat jejak di konsol dan Mengonversi jejak yang berlaku untuk satu Wilayah untuk diterapkan ke semua Wilayah.
- Jalur Wilayah Tunggal
-
Saat Anda membuat jejak wilayah Tunggal, hanya CloudTrail mencatat peristiwa di Wilayah tersebut. Kemudian mengirimkan file log CloudTrail peristiwa ke bucket Amazon S3 yang Anda tentukan. Anda hanya dapat membuat jejak wilayah Tunggal dengan menggunakan. AWS CLI Jika Anda membuat jalur tunggal tambahan, Anda dapat meminta jejak tersebut mengirimkan file log CloudTrail peristiwa ke bucket S3 yang sama atau ke bucket terpisah. Ini adalah opsi default saat Anda membuat jejak menggunakan AWS CLI atau CloudTrail API. Untuk informasi selengkapnya, lihat Membuat, memperbarui, dan mengelola jalur dengan AWS CLI.
catatan
Untuk kedua jenis jalur, Anda dapat menentukan bucket Amazon S3 dari Wilayah mana pun.
Jika Anda telah membuat organisasi AWS Organizations, Anda dapat membuat jejak organisasi yang mencatat semua peristiwa untuk semua AWS akun di organisasi tersebut. Jalur organisasi dapat berlaku untuk semua AWS Wilayah, atau Wilayah saat ini. Jejak organisasi harus dibuat menggunakan akun manajemen atau akun administrator yang didelegasikan, dan ketika ditentukan sebagai berlaku untuk organisasi, secara otomatis diterapkan ke semua akun anggota dalam organisasi. Akun anggota dapat melihat jejak organisasi, tetapi tidak dapat memodifikasi atau menghapusnya. Secara default, akun anggota tidak memiliki akses ke file log untuk jejak organisasi di bucket Amazon S3.
Secara default, saat Anda membuat jejak di CloudTrail konsol, file log peristiwa Anda dienkripsi dengan KMS kunci. Jika Anda memilih untuk tidak mengaktifkan SSE- KMS enkripsi, log peristiwa Anda dienkripsi menggunakan enkripsi sisi server Amazon S3 (). SSE Anda dapat menyimpan file log Anda di ember Anda selama yang Anda inginkan. Anda juga dapat mendefinisikan aturan siklus hidup Amazon S3 untuk mengarsipkan atau menghapus berkas log secara otomatis. Jika Anda ingin pemberitahuan tentang pengiriman dan validasi file log, Anda dapat mengatur SNS notifikasi Amazon.
CloudTrail menerbitkan file log beberapa kali dalam satu jam, sekitar setiap 5 menit. File log ini berisi API panggilan dari layanan di akun yang mendukung CloudTrail. Untuk informasi selengkapnya, lihat CloudTrail layanan dan integrasi yang didukung.
catatan
CloudTrail biasanya mengirimkan log dalam waktu rata-rata sekitar 5 menit dari API panggilan. Kali ini tidak dijamin. Tinjau Perjanjian Tingkat AWS CloudTrail Layanan
Jika Anda salah mengonfigurasi jejak Anda (misalnya, bucket S3 tidak dapat dijangkau), CloudTrail akan mencoba mengirimkan ulang file log ke bucket S3 Anda selama 30 hari, dan attempted-to-deliver peristiwa ini akan dikenakan biaya standar. CloudTrail Untuk menghindari tagihan pada jejak yang salah konfigurasi, Anda perlu menghapus jejak.
CloudTrail menangkap tindakan yang dilakukan langsung oleh pengguna atau atas nama pengguna oleh suatu AWS layanan. Misalnya, AWS CloudFormation CreateStack panggilan dapat menghasilkan API panggilan tambahan ke AmazonEC2, Amazon, Amazon RDSEBS, atau layanan lain seperti yang dipersyaratkan oleh AWS CloudFormation templat. Perilaku ini normal dan diharapkan. Anda dapat mengidentifikasi apakah tindakan itu diambil oleh AWS layanan dengan invokedby bidang dalam CloudTrail acara tersebut.
Tabel berikut memberikan informasi tentang tugas yang dapat Anda lakukan di jalur.
| Tugas | Deskripsi |
|---|---|
|
Konfigurasikan jejak Anda untuk mencatat read-only, write-only, atau semua peristiwa manajemen. |
|
|
Anda dapat menggunakan penyeleksi acara lanjutan untuk membuat penyeleksi berbutir halus untuk mencatat hanya peristiwa data yang menarik. Saat Anda menggunakan penyeleksi peristiwa lanjutan, Anda dapat memfilter di |
|
|
Konfigurasikan jejak Anda untuk mencatat peristiwa aktivitas jaringan. Anda dapat mengonfigurasi penyeleksi acara lanjutan untuk memfilter pada catatanAcara aktivitas jaringan dalam rilis pratinjau untuk CloudTrail dan dapat berubah sewaktu-waktu. |
|
|
Konfigurasikan jejak Anda untuk mencatat peristiwa Wawasan untuk membantu Anda mengidentifikasi dan menanggapi aktivitas tidak biasa yang terkait dengan panggilan manajemenAPI. Biaya tambahan berlaku untuk acara Insights. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail |
|
|
Setelah mengaktifkan CloudTrail Insights on a trail, Anda dapat melihat hingga 90 hari peristiwa Insights menggunakan CloudTrail konsol atau. AWS CLI |
|
|
Setelah mengaktifkan CloudTrail Insights on a trail, Anda dapat mengunduh CSV atau JSON file yang berisi acara Insights hingga 90 hari terakhir untuk jejak Anda. |
|
|
Anda dapat menyalin peristiwa jejak yang ada ke penyimpanan data acara CloudTrail Lake untuk membuat point-in-time snapshot peristiwa yang dicatat ke jejak. |
|
|
Berlangganan topik untuk menerima pemberitahuan tentang pengiriman file log ke bucket Anda. Amazon SNS dapat memberi tahu Anda dengan berbagai cara, termasuk secara terprogram dengan Amazon Simple Queue Service. catatanJika Anda ingin menerima SNS pemberitahuan tentang pengiriman file log dari semua Wilayah, tentukan hanya satu SNS topik untuk jejak Anda. Jika Anda ingin memproses semua acara secara terprogram, lihat. Menggunakan Pustaka CloudTrail Pemrosesan |
|
|
Temukan dan unduh file log Anda dari bucket S3. |
|
|
Anda dapat mengonfigurasi jejak Anda untuk mengirim acara ke CloudWatch Log. Anda kemudian dapat menggunakan CloudWatch Log untuk memantau akun Anda untuk API panggilan dan acara tertentu. catatanJika Anda mengonfigurasi jejak yang berlaku untuk semua Wilayah untuk mengirim peristiwa ke grup CloudWatch log Log, CloudTrail mengirimkan peristiwa dari semua Wilayah ke grup log tunggal. |
|
|
Enkripsi file log memberikan lapisan keamanan ekstra untuk file log Anda. |
|
|
Validasi integritas file log membantu Anda memverifikasi bahwa file log tetap tidak berubah sejak CloudTrail dikirimkan. |
|
|
Anda dapat berbagi file log antar akun. |
|
|
Anda dapat menggabungkan file log dari beberapa akun ke satu bucket. |
|
|
Analisis CloudTrail output Anda dengan solusi mitra yang terintegrasi dengan CloudTrail. Solusi mitra menawarkan serangkaian kemampuan yang luas, seperti pelacakan perubahan, pemecahan masalah, dan analisis keamanan. |
Anda dapat mengirimkan satu salinan acara manajemen yang sedang berlangsung ke bucket S3 Anda tanpa biaya CloudTrail dengan membuat jejak, namun, ada biaya penyimpanan Amazon S3. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga
CloudTrail Insights acara
AWS CloudTrail Wawasan membantu AWS pengguna mengidentifikasi dan menanggapi aktivitas tidak biasa yang terkait dengan API panggilan dan tingkat API kesalahan dengan terus menganalisis peristiwa CloudTrail manajemen. CloudTrail Wawasan menganalisis pola normal volume API panggilan dan tingkat API kesalahan, juga disebut baseline, dan menghasilkan peristiwa Insights ketika volume panggilan atau tingkat kesalahan berada di luar pola normal. Peristiwa wawasan tentang volume API panggilan dihasilkan untuk write manajemenAPIs, dan peristiwa Wawasan tentang tingkat API kesalahan dihasilkan untuk keduanya read dan write manajemen. APIs
Secara default, CloudTrail jejak dan penyimpanan data acara tidak mencatat peristiwa Wawasan. Anda harus mengonfigurasi penyimpanan data jejak atau peristiwa untuk mencatat peristiwa Wawasan. Untuk informasi selengkapnya, silakan lihat Acara Logging Insights dengan AWS Management Console dan Acara Logging Insights dengan AWS Command Line Interface.
Biaya tambahan berlaku untuk acara Insights. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail
Melihat peristiwa Wawasan untuk jejak dan penyimpanan data acara
CloudTrail mendukung peristiwa Wawasan untuk penyimpanan data jejak dan acara, namun, ada beberapa perbedaan dalam cara Anda melihat dan mengakses peristiwa Wawasan.
Melihat acara Wawasan untuk jalur
Jika peristiwa Insights diaktifkan di jejak, dan CloudTrail mendeteksi aktivitas yang tidak biasa, peristiwa Insights dicatat ke folder atau awalan lain di bucket S3 tujuan untuk jejak Anda. Anda juga dapat melihat jenis wawasan dan periode waktu kejadian saat melihat peristiwa Wawasan di CloudTrail konsol. Untuk informasi selengkapnya, lihat Melihat peristiwa CloudTrail Insights untuk jejak dengan konsol.
Setelah Anda mengaktifkan CloudTrail Insights untuk pertama kalinya di jalur, diperlukan waktu hingga 36 jam CloudTrail untuk menyampaikan acara Insights pertama, jika aktivitas yang tidak biasa terdeteksi.
Melihat peristiwa Wawasan untuk penyimpanan data acara
Untuk mencatat peristiwa Insights di CloudTrail Lake, Anda memerlukan penyimpanan data acara tujuan yang mencatat peristiwa Insights dan penyimpanan data peristiwa sumber yang memungkinkan Insights dan peristiwa manajemen log. Untuk informasi selengkapnya, lihat Membuat penyimpanan data acara untuk acara Insights dengan konsol.
Setelah Anda mengaktifkan CloudTrail Insights untuk pertama kalinya di penyimpanan data peristiwa sumber, diperlukan waktu hingga 7 hari CloudTrail untuk mengirimkan acara Insights pertama ke penyimpanan data acara tujuan, jika aktivitas yang tidak biasa terdeteksi.
Jika Anda mengaktifkan CloudTrail Insights di penyimpanan data peristiwa sumber dan CloudTrail mendeteksi aktivitas yang tidak biasa, kirimkan peristiwa CloudTrail Insights ke penyimpanan data acara tujuan Anda. Anda kemudian dapat menanyakan penyimpanan data acara tujuan untuk mendapatkan informasi tentang peristiwa Insights dan secara opsional dapat menyimpan hasil kueri ke bucket S3. Untuk informasi selengkapnya, silakan lihat Membuat atau mengedit kueri dengan CloudTrail konsol dan Lihat contoh kueri dengan konsol CloudTrail .
Anda dapat melihat dasbor Insights Events untuk memvisualisasikan peristiwa Wawasan di penyimpanan data acara tujuan Anda. Untuk informasi lebih lanjut tentang dasbor Danau, lihatLihat dasbor CloudTrail Danau dengan konsol CloudTrail .
CloudTrail saluran
CloudTrail mendukung dua jenis saluran:
- Saluran untuk integrasi CloudTrail Danau dengan sumber acara di luar AWS
-
CloudTrail Lake menggunakan saluran untuk membawa acara dari luar AWS ke CloudTrail Danau dari mitra eksternal yang bekerja dengan CloudTrail, atau dari sumber Anda sendiri. Saat membuat saluran, Anda memilih satu atau beberapa penyimpanan data acara untuk menyimpan peristiwa yang datang dari sumber saluran. Anda dapat mengubah penyimpanan data peristiwa tujuan untuk saluran sesuai kebutuhan, selama penyimpanan data peristiwa tujuan diatur untuk mencatat peristiwa aktivitas. Saat Anda membuat saluran untuk acara dari mitra eksternal, Anda menyediakan saluran ARN ke mitra atau aplikasi sumber. Kebijakan sumber daya yang dilampirkan ke saluran memungkinkan sumber untuk mengirimkan peristiwa melalui saluran. Untuk informasi lebih lanjut, lihat Buat integrasi dengan sumber acara di luar AWS dan
CreateChanneldi AWS CloudTrail APIReferensi. - Saluran terkait layanan
-
AWS layanan dapat membuat saluran terkait layanan untuk menerima CloudTrail acara atas nama Anda. AWS Layanan yang membuat saluran terkait layanan mengonfigurasi pemilih peristiwa lanjutan untuk saluran dan menentukan apakah saluran tersebut berlaku untuk semua Wilayah, atau Wilayah saat ini.
Anda dapat menggunakan CloudTrail konsol atau AWS CLIuntuk melihat informasi tentang saluran CloudTrail terkait layanan apa pun yang dibuat oleh. Layanan AWS
