Peristiwa data Acara hanya-baca dan hanya tulis Mencatat peristiwa data dengan AWS Management Console Mencatat peristiwa data dengan AWS Command Line Interface Peristiwa data pencatatan untuk AWS Config kepatuhan Mencatat peristiwa data dengan AWS SDKs

Pencatatan peristiwa data

Bagian ini menjelaskan cara mencatat peristiwa data menggunakan CloudTrail konsol dan AWS CLI.

Secara default, jejak dan penyimpanan data peristiwa tidak mencatat peristiwa data. Biaya tambahan berlaku untuk peristiwa data. Untuk informasi selengkapnya, silakan lihat AWS CloudTrail Harga.

Peristiwa data memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya. Ini juga dikenal sebagai operasi pesawat data. Peristiwa data seringkali merupakan aktivitas volume tinggi.

Contoh peristiwa data meliputi:

APIAktivitas tingkat objek Amazon S3 (misalnya,, GetObjectDeleteObject, dan PutObject API operasi) pada objek di bucket S3.
AWS Lambda aktivitas eksekusi fungsi (the InvokeAPI).
CloudTrail PutAuditEventsaktivitas di saluran CloudTrail Danau yang digunakan untuk mencatat peristiwa dari luar AWS.
Amazon SNS Publishdan PublishBatchAPIoperasi pada topik.

Anda dapat menggunakan penyeleksi acara lanjutan untuk membuat penyeleksi berbutir halus, yang membantu Anda mengontrol biaya dengan hanya mencatat peristiwa tertentu yang menarik untuk kasus penggunaan Anda. Misalnya, Anda dapat menggunakan pemilih acara lanjutan untuk mencatat API panggilan tertentu dengan menambahkan filter di eventName bidang. Untuk informasi selengkapnya, lihat Memfilter peristiwa data dengan menggunakan pemilih acara lanjutan.

catatan

Peristiwa yang dicatat oleh jejak Anda tersedia di Amazon EventBridge. Misalnya, jika Anda memilih untuk mencatat peristiwa data untuk objek S3 tetapi tidak mengelola peristiwa, jejak Anda memproses dan mencatat peristiwa data hanya untuk objek S3 yang ditentukan. Peristiwa data untuk objek S3 ini tersedia di Amazon EventBridge. Untuk informasi selengkapnya, lihat Acara dari AWS layanan di Panduan EventBridge Pengguna Amazon.

Daftar Isi

Peristiwa data

Tabel berikut menunjukkan jenis peristiwa data yang tersedia untuk jejak dan penyimpanan data peristiwa. Kolom tipe peristiwa data (konsol) menunjukkan pilihan yang sesuai di konsol. Kolom nilai resources.type menunjukkan resources.type nilai yang akan Anda tentukan untuk menyertakan peristiwa data dari jenis tersebut di penyimpanan data jejak atau peristiwa Anda menggunakan AWS CLI atau CloudTrail APIs.

Untuk jejak, Anda dapat menggunakan pemilih peristiwa dasar atau lanjutan untuk mencatat peristiwa data untuk objek Amazon S3 di bucket tujuan umum, fungsi Lambda, dan tabel DynamoDB (ditampilkan dalam tiga baris pertama tabel). Anda hanya dapat menggunakan pemilih acara lanjutan untuk mencatat jenis peristiwa data yang ditampilkan di baris yang tersisa.

Untuk penyimpanan data acara, Anda hanya dapat menggunakan pemilih acara lanjutan untuk menyertakan peristiwa data.

Layanan AWS	Deskripsi	Jenis peristiwa data (konsol)	nilai resources.type
Amazon DynamoDB	Aktivitas APItingkat item Amazon DynamoDB pada tabel (misalnya`PutItem`,,, dan operasi). `DeleteItem` `UpdateItem` API catatan Untuk tabel dengan aliran diaktifkan, `resources` bidang dalam peristiwa data berisi keduanya `AWS::DynamoDB::Stream` dan`AWS::DynamoDB::Table`. Jika Anda menentukan `AWS::DynamoDB::Table` untuk`resources.type`, itu akan mencatat kedua tabel DynamoDB dan DynamoDB stream peristiwa secara default. Untuk mengecualikan peristiwa aliran, tambahkan filter di `eventName` bidang.	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda aktivitas eksekusi fungsi (the `Invoke`API).	Lambda	`AWS::Lambda::Function`
Amazon S3	APIAktivitas tingkat objek Amazon S3 (misalnya,, `GetObjectDeleteObject`, dan `PutObject` API operasi) pada objek dalam bucket tujuan umum.	S3	`AWS::S3::Object`
AWS AppConfig	AWS AppConfig APIaktivitas untuk operasi konfigurasi seperti panggilan ke `StartConfigurationSession` dan`GetLatestConfiguration`.	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS Pertukaran Data B2B	APIAktivitas Pertukaran Data B2B untuk operasi Transformer seperti panggilan ke dan. `GetTransformerJob` `StartTransformerJob`	Pertukaran Data B2B	`AWS::B2BI::Transformer`
Amazon Bedrock	APIAktivitas Amazon Bedrock pada alias agen.	Alias agen batuan dasar	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	APIAktivitas Amazon Bedrock pada alias aliran.	Alias aliran batuan dasar	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	APIAktivitas Amazon Bedrock di pagar pembatas.	Pagar pembatas batuan dasar	`AWS::Bedrock::Guardrail`
Amazon Bedrock	APIAktivitas Amazon Bedrock pada basis pengetahuan.	Basis pengetahuan batuan dasar	`AWS::Bedrock::KnowledgeBase`
Amazon CloudFront	CloudFront APIAktivitas di KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	AWS Cloud Map APIaktivitas pada namespace.	AWS Cloud Map namespace	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	AWS Cloud Map APIAktivitas pada suatu layanan.	AWS Cloud Map layanan	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents`aktivitas di saluran CloudTrail Danau yang digunakan untuk mencatat peristiwa dari luar AWS.	CloudTrail kanal	`AWS::CloudTrail::Channel`
Amazon CloudWatch	CloudWatch APIAktivitas Amazon pada metrik.	CloudWatch metrik	`AWS::CloudWatch::Metric`
Amazon CloudWatch RUM	CloudWatch RUMAPIAktivitas Amazon di monitor aplikasi.	RUMMonitor aplikasi	`AWS::RUM::AppMonitor`
Amazon CodeWhisperer	CodeWhisperer APIAktivitas Amazon pada kustomisasi.	CodeWhisperer kustomisasi	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	CodeWhisperer APIAktivitas Amazon di profil.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	APIAktivitas Amazon Cognito di kumpulan identitas Amazon Cognito.	Kolam Identitas Cognito	`AWS::Cognito::IdentityPool`
Amazon DynamoDB	Aktivitas Amazon API DynamoDB di stream.	DynamoDB Streams	`AWS::DynamoDB::Stream`
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS) langsungAPIs, seperti`PutSnapshotBlock`,`GetSnapshotBlock`, dan `ListChangedBlocks` di EBS snapshot Amazon.	Amazon EBS langsung APIs	`AWS::EC2::Snapshot`
Amazon EMR	EMRAPIAktivitas Amazon di ruang kerja log tulis di depan.	EMRruang kerja log tulis di depan	`AWS::EMRWAL::Workspace`
Amazon FinSpace	Amazon FinSpaceAPIaktivitas di lingkungan.	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue APIaktivitas di atas meja yang dibuat oleh Lake Formation.	Formasi Danau	`AWS::Glue::Table`
Amazon GuardDuty	GuardDuty APIAktivitas Amazon untuk detektor.	GuardDuty detektor	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging APIaktivitas pada penyimpanan data.	MedicalImaging penyimpanan data	`AWS::MedicalImaging::Datastore`
AWS IoT	AWS IoT APIaktivitas pada sertifikat.	Sertifikat IoT	`AWS::IoT::Certificate`
AWS IoT	AWS IoT APIAktivitas pada berbagai hal.	Hal IoT	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	Aktivitas APIGreengrass dari perangkat inti Greengrass pada versi komponen. catatan Greengrass tidak mencatat peristiwa yang ditolak akses.	Versi komponen Greengrass IoT	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	Aktivitas APIGreengrass dari perangkat inti Greengrass pada penerapan. catatan Greengrass tidak mencatat peristiwa yang ditolak akses.	Penyebaran Greengrass IoT	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	SiteWise APIAktivitas IoT pada aset .	Aset IoT SiteWise	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	SiteWise APIAktivitas IoT pada deret waktu.	Deret waktu IoT SiteWise	`AWS::IoTSiteWise::TimeSeries`
AWS IoT TwinMaker	TwinMaker APIAktivitas IoT pada suatu entitas.	Entitas IoT TwinMaker	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	TwinMaker APIAktivitas IoT di ruang kerja.	Ruang kerja IoT TwinMaker	`AWS::IoTTwinMaker::Workspace`
Peringkat Cerdas Amazon Kendra	APIAktivitas Amazon Kendra Intelligent Ranking pada rencana eksekusi skor ulang.	Peringkat Kendra	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (untuk Apache Cassandra)	APIAktivitas Amazon Keyspaces di atas meja.	Meja Cassandra	`AWS::Cassandra::Table`
Amazon Kinesis Data Streams	Aktivitas Kinesis API Data Streams pada stream.	Aliran kinesis	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	Aktivitas Kinesis API Data Streams pada konsumen streaming.	Konsumen aliran kinesis	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Aktivitas Kinesis API Video Streams pada aliran video, seperti panggilan ke dan. `GetMedia` `PutMedia`	Aliran video Kinesis	`AWS::KinesisVideo::Stream`
Amazon Machine Learning	APIAktivitas Machine Learning pada model ML.	Pembelajaran Maching MlModel	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	APIAktivitas Amazon Managed Blockchain di jaringan.	Jaringan Blockchain yang dikelola	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Amazon Managed Blockchain JSON - RPC panggilan pada node Ethereum, seperti `eth_getBalance` atau`eth_getBlockByNumber`.	Blockchain yang Dikelola	`AWS::ManagedBlockchain::Node`
Grafik Amazon Neptunus	APIAktivitas data, misalnya kueri, algoritme, atau pencarian vektor, pada Grafik Neptunus.	Grafik Neptunus	`AWS::NeptuneGraph::Graph`
Amazon Satu Perusahaan	APIAktivitas Amazon One Enterprise di fileUKey.	Amazon Satu UKey	`AWS::One::UKey`
Amazon Satu Perusahaan	APIAktivitas Amazon One Enterprise pada pengguna.	Amazon Satu Pengguna	`AWS::One::User`
AWS Payment Cryptography	AWS Payment Cryptography APIaktivitas pada alias.	Alias Kriptografi Pembayaran	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	AWS Payment Cryptography APIaktivitas pada kunci.	Kunci Kriptografi Pembayaran	`AWS::PaymentCryptography::Key`
AWS Private CA	AWS Private CA Konektor untuk API aktivitas Active Directory.	AWS Private CA Konektor untuk Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA Konektor untuk SCEP API aktivitas.	AWS Private CA Konektor untuk SCEP	`AWS::PCAConnectorSCEP::Connector`
Aplikasi Amazon Q	APIAktivitas data di Amazon Q Apps.	Aplikasi Amazon Q	`AWS::QApps:QApp`
Amazon Q Bisnis	APIAktivitas Amazon Q Business pada aplikasi.	Aplikasi Amazon Q Business	`AWS::QBusiness::Application`
Amazon Q Bisnis	APIAktivitas Amazon Q Business pada sumber data.	Sumber data Amazon Q Business	`AWS::QBusiness::DataSource`
Amazon Q Bisnis	APIAktivitas Amazon Q Bisnis pada indeks.	Amazon Q Indeks Bisnis	`AWS::QBusiness::Index`
Amazon Q Bisnis	APIAktivitas Amazon Q Bisnis pada pengalaman web.	Pengalaman web Amazon Q Bisnis	`AWS::QBusiness::WebExperience`
Amazon RDS	RDSAPIAktivitas Amazon di Cluster DB.	RDSData API - DB Cluster	`AWS::RDS::DBCluster`
Amazon S3	APIAktivitas Amazon S3 pada titik akses.	Titik Akses S3	`AWS::S3::AccessPoint`
Amazon S3	APIAktivitas tingkat objek Amazon S3 (misalnya,, `GetObjectDeleteObject`, dan `PutObject` API operasi) pada objek dalam bucket direktori.	S3 Ekspres	`AWS::S3Express::Object`
Amazon S3	APIAktivitas titik akses Lambda Objek Amazon S3, seperti panggilan ke dan. `CompleteMultipartUpload` `GetObject`	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 di Outposts	Amazon S3 pada aktivitas tingkat objek Outposts. API	Outposts S3	`AWS::S3Outposts::Object`
Amazon SageMaker	SageMaker `InvokeEndpointWithResponseStream`Aktivitas Amazon di titik akhir.	SageMaker titik akhir	`AWS::SageMaker::Endpoint`
Amazon SageMaker	SageMaker APIAktivitas Amazon di toko fitur.	SageMaker feature store	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker	SageMaker APIAktivitas Amazon pada komponen percobaan percobaan.	SageMaker komponen percobaan percobaan metrik	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SNS	SNS`Publish`APIOperasi Amazon pada titik akhir platform.	SNStitik akhir platform	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Amazon SNS `Publish`dan `PublishBatch`APIoperasi pada topik.	SNStopik	`AWS::SNS::Topic`
Amazon SQS	SQSAPIAktivitas Amazon pada pesan.	SQS	`AWS::SQS::Queue`
AWS Step Functions	APIAktivitas Step Functions pada mesin state.	Mesin status Step Functions	`AWS::StepFunctions::StateMachine`
Rantai Pasokan AWS	Rantai Pasokan AWS APIaktivitas pada sebuah instance.	Rantai Pasokan	`AWS::SCN::Instance`
Amazon SWF	SWFAPIAktivitas Amazon di domain.	SWFdomain	`AWS::SWF::Domain`
AWS Systems Manager	APIAktivitas Systems Manager pada saluran kontrol.	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	APIAktivitas Systems Manager pada node terkelola.	Node terkelola Systems Manager	`AWS::SSM::ManagedNode`
Amazon Timestream	`Query`APIAktivitas Amazon Timestream pada database.	Database Timestream	`AWS::Timestream::Database`
Amazon Timestream	`Query`APIAktivitas Amazon Timestream pada tabel.	Tabel Timestream	`AWS::Timestream::Table`
Izin Terverifikasi Amazon	APIAktivitas Izin Terverifikasi Amazon di toko kebijakan.	Izin Terverifikasi Amazon	`AWS::VerifiedPermissions::PolicyStore`
Klien WorkSpaces Tipis Amazon	WorkSpaces APIAktivitas Klien Tipis di Perangkat.	Perangkat Klien Tipis	`AWS::ThinClient::Device`
Klien WorkSpaces Tipis Amazon	WorkSpaces APIAktivitas Klien Tipis di Lingkungan.	Lingkungan Klien Tipis	`AWS::ThinClient::Environment`
AWS X-Ray	APIAktivitas X-Ray pada jejak.	Jejak X-Ray	`AWS::XRay::Trace`

Untuk merekam peristiwa CloudTrail data, Anda harus secara eksplisit menambahkan setiap jenis sumber daya yang ingin Anda kumpulkan aktivitasnya. Untuk informasi selengkapnya, silakan lihat Membuat jejak dengan CloudTrail konsol dan Buat penyimpanan data acara untuk CloudTrail acara dengan konsol.

Pada jejak wilayah tunggal atau penyimpanan data peristiwa, Anda dapat mencatat peristiwa data hanya untuk sumber daya yang dapat Anda akses di Wilayah tersebut. Meskipun ember S3 bersifat global, AWS Lambda fungsi dan tabel DynamoDB bersifat regional.

Biaya tambahan berlaku untuk peristiwa data pencatatan. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

Contoh: Mencatat peristiwa data untuk objek Amazon S3

Mencatat peristiwa data untuk semua objek S3 dalam bucket S3

Contoh berikut menunjukkan cara kerja logging saat Anda mengonfigurasi logging semua kejadian data untuk bucket S3 bernama amzn-s3-demo-bucket. Dalam contoh ini, CloudTrail pengguna menentukan awalan kosong, dan opsi untuk mencatat peristiwa data Baca dan Tulis.

Seorang pengguna mengunggah objek keamzn-s3-demo-bucket.
PutObjectAPIOperasi ini adalah tingkat objek Amazon S3. API Ini dicatat sebagai peristiwa data di CloudTrail. Karena CloudTrail pengguna menetapkan bucket S3 dengan awalan kosong, peristiwa yang terjadi pada objek apa pun di bucket tersebut dicatat. Data jejak atau peristiwa menyimpan proses dan mencatat acara.
Pengguna lain mengunggah objek keamzn-s3-demo-bucket2.
PutObjectAPIOperasi terjadi pada objek dalam bucket S3 yang tidak ditentukan untuk penyimpanan data jejak atau peristiwa. Penyimpanan data jejak atau peristiwa tidak mencatat acara.

Mencatat peristiwa data untuk objek S3 tertentu

Contoh berikut menunjukkan cara kerja logging saat Anda mengonfigurasi penyimpanan data jejak atau peristiwa untuk mencatat peristiwa untuk objek S3 tertentu. Dalam contoh ini, CloudTrail pengguna menentukan bucket S3 bernamaamzn-s3-demo-bucket3, dengan awalan my-images, dan opsi untuk log hanya Menulis peristiwa data.

Pengguna menghapus objek yang dimulai dengan my-images awalan di bucket, seperti. arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg
DeleteObjectAPIOperasi ini adalah tingkat objek Amazon S3. API Ini dicatat sebagai peristiwa data Tulis di CloudTrail. Peristiwa terjadi pada objek yang cocok dengan bucket S3 dan awalan yang ditentukan dalam penyimpanan data jejak atau peristiwa. Data jejak atau peristiwa menyimpan proses dan mencatat acara.
Pengguna lain menghapus objek dengan awalan berbeda di bucket S3, seperti. arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi
Peristiwa terjadi pada objek yang tidak cocok dengan awalan yang ditentukan dalam penyimpanan data jejak atau peristiwa Anda. Penyimpanan data jejak atau peristiwa tidak mencatat acara.
Seorang pengguna memanggil GetObject API operasi untuk objek,arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.
Peristiwa terjadi pada bucket dan awalan yang ditentukan dalam penyimpanan data jejak atau peristiwa, tetapi GetObject merupakan tingkat objek Amazon S3 tipe baca. API Ini direkam sebagai peristiwa Data Baca di CloudTrail, dan penyimpanan data jejak atau peristiwa tidak dikonfigurasi untuk mencatat peristiwa Baca. Penyimpanan data jejak atau peristiwa tidak mencatat acara.

catatan

Untuk jejak, jika Anda mencatat peristiwa data untuk bucket Amazon S3 tertentu, kami sarankan Anda tidak menggunakan bucket Amazon S3 tempat Anda mencatat peristiwa data untuk menerima file log yang telah Anda tentukan di bagian peristiwa data untuk jejak Anda. Menggunakan bucket Amazon S3 yang sama menyebabkan jejak Anda mencatat peristiwa data setiap kali file log dikirim ke bucket Amazon S3 Anda. File log adalah peristiwa agregat yang dikirimkan pada interval, jadi ini bukan rasio peristiwa 1:1 untuk file log; acara dicatat di file log berikutnya. Misalnya, saat CloudTrail mengirimkan log, PutObject peristiwa terjadi pada bucket S3. Jika bucket S3 juga ditentukan di bagian peristiwa data, jejak akan memproses dan mencatat PutObject peristiwa sebagai peristiwa data. Tindakan itu adalah PutObject peristiwa lain, dan jejak memproses dan mencatat peristiwa itu lagi.

Untuk menghindari peristiwa data pencatatan untuk bucket Amazon S3 tempat Anda menerima file log jika Anda mengonfigurasi jejak untuk mencatat semua peristiwa data Amazon S3 di AWS akun, pertimbangkan untuk mengonfigurasi pengiriman file log ke bucket Amazon S3 milik orang lain AWS akun. Untuk informasi selengkapnya, lihat Menerima file CloudTrail log dari beberapa akun.

Mencatat peristiwa data untuk objek S3 di objek lain AWS rekening

Saat mengonfigurasi jejak Anda untuk mencatat peristiwa data, Anda juga dapat menentukan objek S3 milik orang lain AWS akun. Ketika suatu peristiwa terjadi pada objek tertentu, CloudTrail mengevaluasi apakah acara tersebut cocok dengan jejak apa pun di setiap akun. Jika acara cocok dengan pengaturan untuk jejak, jejak akan memproses dan mencatat peristiwa untuk akun tersebut. Umumnya, API penelepon dan pemilik sumber daya dapat menerima acara.

Jika Anda memiliki objek S3 dan Anda menentukannya di jejak Anda, jejak Anda mencatat peristiwa yang terjadi pada objek di akun Anda. Karena Anda memiliki objek, jejak Anda juga mencatat peristiwa ketika akun lain memanggil objek.

Jika Anda menentukan objek S3 di jejak Anda, dan akun lain memiliki objek tersebut, jejak Anda hanya mencatat peristiwa yang terjadi pada objek tersebut di akun Anda. Jejak Anda tidak mencatat peristiwa yang terjadi di akun lain.

Contoh: Mencatat peristiwa data untuk objek Amazon S3 untuk dua AWS rekening

Contoh berikut menunjukkan bagaimana dua AWS akun dikonfigurasi CloudTrail untuk mencatat peristiwa untuk objek S3 yang sama.

Di akun Anda, Anda ingin jejak Anda mencatat peristiwa data untuk semua objek di bucket S3 yang diberi namaamzn-s3-demo-bucket. Anda mengonfigurasi jejak dengan menentukan bucket S3 dengan awalan objek kosong.
Bob memiliki akun terpisah yang telah diberikan akses ke bucket S3. Bob juga ingin mencatat peristiwa data untuk semua objek di bucket S3 yang sama. Untuk jejaknya, ia mengkonfigurasi jejaknya dan menentukan ember S3 yang sama dengan awalan objek kosong.
Bob mengunggah objek ke bucket S3 dengan operasi. PutObject API
Peristiwa ini terjadi di akunnya dan cocok dengan pengaturan jejaknya. Jejak Bob memproses dan mencatat acara tersebut.
Karena Anda memiliki bucket S3 dan acara cocok dengan pengaturan untuk jejak Anda, jejak Anda juga memproses dan mencatat peristiwa yang sama. Karena sekarang ada dua salinan acara (satu masuk di jejak Bob, dan satu masuk ke milik Anda), CloudTrail dikenakan biaya untuk dua salinan peristiwa data.
Anda mengunggah objek ke bucket S3.
Acara ini terjadi di akun Anda dan cocok dengan pengaturan untuk jejak Anda. Jejak Anda memproses dan mencatat acara.
Karena peristiwa itu tidak terjadi di akun Bob, dan dia tidak memiliki ember S3, jejak Bob tidak mencatat acara tersebut. CloudTrail biaya hanya untuk satu salinan peristiwa data ini.

Contoh: Mencatat peristiwa data untuk semua bucket, termasuk bucket S3 yang digunakan oleh dua AWS rekening

Contoh berikut menunjukkan perilaku pencatatan saat Pilih semua bucket S3 di akun Anda diaktifkan untuk jejak yang mengumpulkan peristiwa data dalam AWS akun.

Di akun Anda, Anda ingin jejak Anda mencatat peristiwa data untuk semua bucket S3. Anda mengonfigurasi jejak dengan memilih acara Baca, Menulis peristiwa, atau keduanya untuk Semua bucket S3 saat ini dan masa depan dalam peristiwa Data.
Bob memiliki akun terpisah yang telah diberikan akses ke bucket S3 di akun Anda. Dia ingin mencatat peristiwa data untuk ember yang dia akses. Dia mengonfigurasi jejaknya untuk mendapatkan peristiwa data untuk semua bucket S3.
Bob mengunggah objek ke bucket S3 dengan operasi. PutObject API
Peristiwa ini terjadi di akunnya dan cocok dengan pengaturan jejaknya. Jejak Bob memproses dan mencatat acara tersebut.
Karena Anda memiliki bucket S3 dan acara cocok dengan pengaturan untuk jejak Anda, jejak Anda juga memproses dan mencatat acara. Karena sekarang ada dua salinan acara (satu masuk di jejak Bob, dan satu masuk ke milik Anda), CloudTrail menagih setiap akun untuk salinan peristiwa data.
Anda mengunggah objek ke bucket S3.
Acara ini terjadi di akun Anda dan cocok dengan pengaturan untuk jejak Anda. Jejak Anda memproses dan mencatat acara.
Karena peristiwa itu tidak terjadi di akun Bob, dan dia tidak memiliki ember S3, jejak Bob tidak mencatat acara tersebut. CloudTrail mengenakan biaya hanya untuk satu salinan peristiwa data ini di akun Anda.
Pengguna ketiga, Mary, memiliki akses ke bucket S3, dan menjalankan GetObject operasi di ember. Dia memiliki jejak yang dikonfigurasi untuk mencatat peristiwa data di semua bucket S3 di akunnya. Karena dia adalah API penelepon, CloudTrail mencatat peristiwa data di jejaknya. Meskipun Bob memiliki akses ke ember, dia bukan pemilik sumber daya, jadi tidak ada acara yang dicatat di jejaknya kali ini. Sebagai pemilik sumber daya, Anda menerima acara di jalan Anda tentang GetObject operasi yang dipanggil Mary. CloudTrailmenagih akun Anda dan akun Mary untuk setiap salinan peristiwa data: satu di jejak Mary, dan satu di milik Anda.

Acara hanya-baca dan hanya tulis

Saat mengonfigurasi penyimpanan data jejak atau peristiwa untuk mencatat data dan peristiwa manajemen, Anda dapat menentukan apakah Anda menginginkan peristiwa hanya-baca, peristiwa hanya-tulis, atau keduanya.

Baca

Acara baca mencakup API operasi yang membaca sumber daya Anda, tetapi tidak membuat perubahan. Misalnya, peristiwa hanya-baca termasuk Amazon EC2 DescribeSecurityGroups dan DescribeSubnets API operasi. Operasi ini hanya mengembalikan informasi tentang EC2 sumber daya Amazon Anda dan tidak mengubah konfigurasi Anda.
Menulis

Acara tulis mencakup API operasi yang memodifikasi (atau mungkin memodifikasi) sumber daya Anda. Misalnya, Amazon EC2 RunInstances dan TerminateInstances API operasi memodifikasi instans Anda.

Contoh: Mencatat peristiwa baca dan tulis untuk jalur terpisah

Contoh berikut menunjukkan bagaimana Anda dapat mengonfigurasi jejak untuk membagi aktivitas log untuk akun menjadi bucket S3 terpisah: satu bucket bernama amzn-s3-demo-bucket1 menerima peristiwa hanya-baca dan amzn-s3-demo-bucket2 kedua menerima peristiwa hanya-tulis.

Anda membuat jejak dan memilih bucket S3 bernama amzn-s3-demo-bucket1 untuk menerima file log. Anda kemudian memperbarui jejak untuk menentukan bahwa Anda ingin Membaca peristiwa manajemen dan peristiwa data.
Anda membuat jejak kedua dan memilih bucket S3 amzn-s3-demo-bucket2 untuk menerima file log. Anda kemudian memperbarui jejak untuk menentukan bahwa Anda ingin Menulis peristiwa manajemen dan peristiwa data.
Amazon EC2 DescribeInstances dan TerminateInstances API operasi terjadi di akun Anda.
DescribeInstancesAPIOperasi ini adalah acara hanya-baca dan cocok dengan pengaturan untuk jejak pertama. Jejak mencatat dan mengirimkan acara ke. amzn-s3-demo-bucket1
TerminateInstancesAPIOperasi ini adalah acara khusus tulis dan cocok dengan pengaturan untuk jejak kedua. Jejak mencatat dan mengirimkan acara ke. amzn-s3-demo-bucket2

Mencatat peristiwa data dengan AWS Management Console

Prosedur berikut menjelaskan cara memperbarui penyimpanan data peristiwa yang ada atau jejak untuk mencatat peristiwa data dengan menggunakan AWS Management Console. Untuk informasi tentang cara membuat penyimpanan data peristiwa untuk mencatat peristiwa data, lihatBuat penyimpanan data acara untuk CloudTrail acara dengan konsol. Untuk informasi tentang cara membuat jejak untuk mencatat peristiwa data, lihatMembuat jejak di konsol.

Untuk jejak, langkah-langkah untuk mencatat peristiwa data berbeda berdasarkan apakah Anda menggunakan penyeleksi peristiwa lanjutan atau pemilih acara dasar. Anda dapat mencatat peristiwa data untuk semua jenis peristiwa data menggunakan pemilih peristiwa lanjutan, tetapi jika Anda menggunakan pemilih peristiwa dasar, Anda dibatasi untuk mencatat peristiwa data untuk bucket Amazon S3 dan objek bucket, AWS Lambda fungsi, dan tabel Amazon DynamoDB.

Gunakan prosedur berikut untuk memperbarui penyimpanan data peristiwa yang ada untuk mencatat peristiwa data. Untuk informasi selengkapnya tentang penggunaan pemilih acara tingkat lanjut, lihat Memfilter peristiwa data dengan menggunakan pemilih acara lanjutan di topik ini.

Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.
Dari panel navigasi, di bawah Danau, pilih Penyimpanan data acara.
Pada halaman Penyimpanan data acara, pilih penyimpanan data acara yang ingin Anda perbarui.

catatan
Anda hanya dapat mengaktifkan peristiwa data pada penyimpanan data acara yang berisi CloudTrail peristiwa. Anda tidak dapat mengaktifkan peristiwa data pada penyimpanan data CloudTrail acara untuk AWS Config item konfigurasi, peristiwa CloudTrail Wawasan, atau non-AWS peristiwa.
Pada halaman detail, dalam peristiwa Data, pilih Edit.
Jika Anda belum mencatat peristiwa data, pilih kotak centang Peristiwa data.
Untuk tipe peristiwa Data, pilih jenis sumber daya tempat Anda ingin mencatat peristiwa data.
Pilih templat pemilih log. CloudTrail termasuk template yang telah ditetapkan yang mencatat semua peristiwa data untuk jenis sumber daya. Untuk membuat template pemilih log kustom, pilih Kustom.
(Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih peristiwa lanjutan, seperti “Log peristiwa data hanya untuk dua bucket S3”. Nama pemilih terdaftar seperti Name pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON

Di Advanced event selectors, buat ekspresi untuk sumber daya spesifik tempat Anda ingin mencatat peristiwa data. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.

Pilih dari bidang berikut.

readOnly- readOnly dapat diatur untuk sama dengan nilai true ataufalse. Peristiwa data hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti Get* atau Describe* peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*,Delete*, atau Write* peristiwa. Untuk mencatat keduanya read dan write peristiwa, jangan tambahkan readOnly pemilih.
eventName- eventName dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa data apa pun yang dicatat CloudTrail, sepertiPutBucket,GetItem, atauGetSnapshotBlock.

resources.ARN- Anda dapat menggunakan operator apa pun denganresources.ARN, tetapi jika Anda menggunakan sama atau tidak sama, nilainya harus sama persis dengan sumber daya yang valid dari jenis yang telah Anda tentukan dalam templat sebagai nilairesources.type. ARN

Tabel berikut menunjukkan ARN format yang valid untuk masing-masingresources.type.

catatan

Anda tidak dapat menggunakan resources.ARN bidang untuk memfilter jenis sumber daya yang tidak dimilikiARNs.

resources.type	sumber daya. ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::FlowAlias`	`arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID`
`AWS::Bedrock::Guardrail`	`arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::Kinesis::Stream`	`arn:partition:kinesis:region:account_ID:stream/stream_name`
`AWS::Kinesis::StreamConsumer`	`arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::MachineLearning::MlModel`	`arn:partition:machinelearning:region:account_ID:mlmodel/model_ID`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::One::UKey`	`arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID`
`AWS::One::User`	`arn:partition:one:region:account_ID:user/user_ID`
`AWS::PaymentCryptography::Alias`	`arn:partition:payment-cryptography:region:account_ID:alias/alias`
`AWS::PaymentCryptography::Key`	`arn:partition:payment-cryptography:region:account_ID:key/key_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::PCAConnectorSCEP::Connector`	`arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID`
`AWS::QApps:QApp`	`arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::RUM::AppMonitor`	`arn:partition:rum:region:account_ID:appmonitor/app_monitor_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3Express::Object`	`arn:partition:s3express:region:account_ID:bucket/bucket_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	ARNHarus dalam salah satu format berikut: `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::StepFunctions::StateMachine`	ARNHarus dalam salah satu format berikut: `arn:partition:states:region:account_ID:stateMachine:stateMachine_name` `arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

¹ Untuk tabel dengan aliran diaktifkan, resources bidang dalam peristiwa data berisi keduanya AWS::DynamoDB::Stream danAWS::DynamoDB::Table. Jika Anda menentukan AWS::DynamoDB::Table untukresources.type, itu akan mencatat kedua tabel DynamoDB dan DynamoDB stream peristiwa secara default. Untuk mengecualikan peristiwa aliran, tambahkan filter di eventName bidang.

² Untuk mencatat semua peristiwa data untuk semua objek dalam bucket S3 tertentu, gunakan StartsWith operator, dan sertakan hanya bucket ARN sebagai nilai yang cocok. Garis miring disengaja; jangan mengecualikannya.

³ Untuk mencatat peristiwa pada semua objek di titik akses S3, sebaiknya Anda hanya menggunakan titik aksesARN, jangan sertakan jalur objek, dan gunakan NotStartsWith operator StartsWith atau.

Untuk informasi selengkapnya tentang ARN format sumber daya peristiwa data, lihat Kunci tindakan, sumber daya, dan kondisi di AWS Identity and Access Management Panduan Pengguna.

Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi. Misalnya, untuk mengecualikan peristiwa data untuk dua bucket S3 dari peristiwa data yang dicatat di penyimpanan data peristiwa, Anda dapat mengatur bidang ke sumber daya. ARN, setel operator untuk tidak memulai, lalu tempel di ember S3ARN, atau telusuri ember S3 yang tidak ingin Anda catat peristiwa.

Untuk menambahkan bucket S3 kedua, pilih + Condition, lalu ulangi instruksi sebelumnya, tempelkan ARN for atau browsing untuk bucket yang berbeda.

Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.

catatan
Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti. eventName Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.
Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang. Misalnya, jangan tentukan pemilih ARN dalam satu agar sama dengan nilai, lalu tentukan bahwa ARN tidak sama dengan nilai yang sama di pemilih lain.

Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data. Ulangi langkah 6 melalui langkah ini untuk mengonfigurasi pemilih acara lanjutan untuk tipe peristiwa data.
Setelah Anda meninjau dan memverifikasi pilihan Anda, pilih Simpan perubahan.

Dalam AWS Management Console, jika jejak Anda menggunakan pemilih acara lanjutan, Anda dapat memilih dari templat yang telah ditentukan sebelumnya yang mencatat semua peristiwa data pada sumber daya yang dipilih. Setelah Anda memilih template pemilih log, Anda dapat menyesuaikan template untuk menyertakan hanya peristiwa data yang paling ingin Anda lihat. Untuk informasi selengkapnya tentang penggunaan pemilih acara tingkat lanjut, lihat Memfilter peristiwa data dengan menggunakan pemilih acara lanjutan di topik ini.

Pada halaman Dashboard atau Trails CloudTrail konsol, pilih jejak yang ingin Anda perbarui.
Pada halaman detail, dalam peristiwa Data, pilih Edit.
Jika Anda belum mencatat peristiwa data, pilih kotak centang Peristiwa data.
Untuk tipe peristiwa Data, pilih jenis sumber daya tempat Anda ingin mencatat peristiwa data.
Pilih templat pemilih log. CloudTrail termasuk template yang telah ditetapkan yang mencatat semua peristiwa data untuk jenis sumber daya. Untuk membuat template pemilih log kustom, pilih Kustom.

catatan
Memilih template yang telah ditentukan untuk bucket S3 memungkinkan pencatatan peristiwa data untuk semua bucket yang saat ini ada di AWS akun dan ember apa pun yang Anda buat setelah Anda selesai membuat jejak. Ini juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun, bahkan jika aktivitas itu dilakukan pada ember milik orang lain AWS akun.
Jika jejak hanya berlaku untuk satu Wilayah, memilih templat yang telah ditentukan sebelumnya yang mencatat semua bucket S3 memungkinkan pencatatan peristiwa data untuk semua bucket di Wilayah yang sama dengan jejak Anda dan bucket apa pun yang Anda buat nanti di Wilayah tersebut. Ini tidak akan mencatat peristiwa data untuk bucket Amazon S3 di Wilayah lain di AWS akun.
Jika Anda membuat jejak untuk semua Wilayah, memilih templat yang telah ditentukan untuk fungsi Lambda memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada AWS akun, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah mana pun setelah Anda selesai membuat jejak. Jika Anda membuat jejak untuk satu Wilayah (untuk jalur, ini hanya dapat dilakukan dengan menggunakan AWS CLI), pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di Wilayah itu di AWS akun, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah itu setelah Anda selesai membuat jejak. Itu tidak mengaktifkan pencatatan peristiwa data untuk fungsi Lambda yang dibuat di Wilayah lain.
Pencatatan peristiwa data untuk semua fungsi juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun, bahkan jika aktivitas itu dilakukan pada fungsi milik orang lain AWS akun.
(Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih peristiwa lanjutan, seperti “Log peristiwa data hanya untuk dua bucket S3”. Nama pemilih terdaftar seperti Name pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON

Pilih dari bidang berikut.

readOnly- readOnly dapat diatur untuk sama dengan nilai true ataufalse. Peristiwa data hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti Get* atau Describe* peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*,Delete*, atau Write* peristiwa. Untuk mencatat keduanya read dan write peristiwa, jangan tambahkan readOnly pemilih.
eventName- eventName dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa data apa pun yang dicatat CloudTrail, sepertiPutBucket,GetItem, atauGetSnapshotBlock.

Tabel berikut menunjukkan ARN format yang valid untuk masing-masingresources.type.

catatan

Anda tidak dapat menggunakan resources.ARN bidang untuk memfilter jenis sumber daya yang tidak dimilikiARNs.

resources.type	sumber daya. ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::FlowAlias`	`arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID`
`AWS::Bedrock::Guardrail`	`arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::Kinesis::Stream`	`arn:partition:kinesis:region:account_ID:stream/stream_name`
`AWS::Kinesis::StreamConsumer`	`arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::MachineLearning::MlModel`	`arn:partition:machinelearning:region:account_ID:mlmodel/model_ID`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::One::UKey`	`arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID`
`AWS::One::User`	`arn:partition:one:region:account_ID:user/user_ID`
`AWS::PaymentCryptography::Alias`	`arn:partition:payment-cryptography:region:account_ID:alias/alias`
`AWS::PaymentCryptography::Key`	`arn:partition:payment-cryptography:region:account_ID:key/key_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::PCAConnectorSCEP::Connector`	`arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID`
`AWS::QApps:QApp`	`arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::RUM::AppMonitor`	`arn:partition:rum:region:account_ID:appmonitor/app_monitor_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3Express::Object`	`arn:partition:s3express:region:account_ID:bucket/bucket_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	ARNHarus dalam salah satu format berikut: `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::StepFunctions::StateMachine`	ARNHarus dalam salah satu format berikut: `arn:partition:states:region:account_ID:stateMachine:stateMachine_name` `arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

³ Untuk mencatat peristiwa pada semua objek di titik akses S3, sebaiknya Anda hanya menggunakan titik aksesARN, jangan sertakan jalur objek, dan gunakan NotStartsWith operator StartsWith atau.

Untuk informasi selengkapnya tentang ARN format sumber daya peristiwa data, lihat Kunci tindakan, sumber daya, dan kondisi di AWS Identity and Access Management Panduan Pengguna.

Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi. Misalnya, untuk mengecualikan peristiwa data untuk dua bucket S3 dari peristiwa data yang dicatat di penyimpanan data peristiwa, Anda dapat mengatur bidang ke sumber daya. ARN, setel operator untuk tidak memulai, lalu tempel di ember S3ARN, atau telusuri ember S3 yang tidak ingin Anda catat peristiwa.

Untuk menambahkan bucket S3 kedua, pilih + Condition, lalu ulangi instruksi sebelumnya, tempelkan ARN for atau browsing untuk bucket yang berbeda.

Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.

catatan
Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti. eventName Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.
Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang. Misalnya, jangan tentukan pemilih ARN dalam satu agar sama dengan nilai, lalu tentukan bahwa ARN tidak sama dengan nilai yang sama di pemilih lain.

Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data. Ulangi langkah 4 melalui langkah ini untuk mengonfigurasi pemilih acara lanjutan untuk tipe peristiwa data.
Setelah Anda meninjau dan memverifikasi pilihan Anda, pilih Simpan perubahan.

Gunakan prosedur berikut untuk memperbarui jejak yang ada untuk mencatat peristiwa data menggunakan pemilih acara dasar.

Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.
Buka halaman Trails CloudTrail konsol dan pilih nama jejak.

catatan
Meskipun Anda dapat mengedit jejak yang ada untuk mencatat peristiwa data, sebagai praktik terbaik, pertimbangkan untuk membuat jejak terpisah khusus untuk mencatat peristiwa data.
Untuk peristiwa Data, pilih Edit.
Untuk ember Amazon S3:
1. Untuk sumber peristiwa Data, pilih S3.
2. Anda dapat memilih untuk mencatat Semua bucket S3 saat ini dan masa depan, atau Anda dapat menentukan masing-masing bucket atau fungsi. Secara default, peristiwa data dicatat untuk semua bucket S3 saat ini dan masa depan.
  
  catatan
  Menjaga opsi All current dan future bucket S3 default memungkinkan pencatatan peristiwa data untuk semua bucket yang saat ini ada di AWS akun dan ember apa pun yang Anda buat setelah Anda selesai membuat jejak. Ini juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun, bahkan jika aktivitas itu dilakukan pada ember milik orang lain AWS akun.
  Jika Anda membuat jejak untuk satu Wilayah (dilakukan dengan menggunakan AWS CLI), memilih opsi Pilih semua bucket S3 di akun Anda memungkinkan pencatatan peristiwa data untuk semua bucket di Wilayah yang sama dengan jejak Anda dan bucket apa pun yang Anda buat nanti di Wilayah tersebut. Ini tidak akan mencatat peristiwa data untuk bucket Amazon S3 di Wilayah lain di AWS akun.
3. Jika Anda meninggalkan default, Semua bucket S3 saat ini dan masa depan, pilih untuk mencatat peristiwa Baca, Menulis peristiwa, atau keduanya.
4. Untuk memilih bucket individual, kosongkan kotak centang Baca dan Tulis untuk Semua bucket S3 saat ini dan masa depan. Dalam pemilihan bucket Individual, telusuri bucket untuk mencatat peristiwa data. Untuk menemukan bucket tertentu, ketikkan awalan bucket untuk bucket yang Anda inginkan. Anda dapat memilih beberapa ember di jendela ini. Pilih Tambahkan bucket untuk mencatat peristiwa data untuk bucket lainnya. Pilih untuk mencatat peristiwa Baca, sepertiGetObject, Menulis peristiwa, sepertiPutObject, atau keduanya.
  
  Pengaturan ini lebih diutamakan daripada setelan individual yang Anda konfigurasikan untuk masing-masing bucket. Misalnya, jika Anda menentukan peristiwa Pencatatan Baca untuk semua bucket S3, lalu memilih untuk menambahkan bucket tertentu untuk pencatatan peristiwa data, Baca sudah dipilih untuk bucket yang Anda tambahkan. Anda tidak dapat menghapus pilihan. Anda hanya dapat mengonfigurasi opsi untuk Menulis.
  
  Untuk menghapus ember dari logging, pilih X.
Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data.
Untuk fungsi Lambda:
1. Untuk sumber peristiwa Data, pilih Lambda.
2. Dalam fungsi Lambda, pilih Semua wilayah untuk mencatat semua fungsi Lambda, atau fungsi Input ARN untuk mencatat peristiwa data pada fungsi tertentu.
  
  Untuk mencatat peristiwa data untuk semua fungsi Lambda di AWS akun, pilih Log semua fungsi saat ini dan masa depan. Pengaturan ini lebih diutamakan daripada pengaturan individual yang Anda konfigurasikan untuk fungsi individual. Semua fungsi dicatat, bahkan jika semua fungsi tidak ditampilkan.
  
  catatan
  Jika Anda membuat jejak untuk semua Wilayah, pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada AWS akun, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah mana pun setelah Anda selesai membuat jejak. Jika Anda membuat jejak untuk satu Wilayah (dilakukan dengan menggunakan AWS CLI), pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di Wilayah itu di AWS akun, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah itu setelah Anda selesai membuat jejak. Itu tidak mengaktifkan pencatatan peristiwa data untuk fungsi Lambda yang dibuat di Wilayah lain.
  Pencatatan peristiwa data untuk semua fungsi juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun, bahkan jika aktivitas itu dilakukan pada fungsi milik orang lain AWS akun.
3. Jika Anda memilih fungsi Input as ARN, masukkan ARN fungsi Lambda.
  
  catatan
  Jika Anda memiliki lebih dari 15.000 fungsi Lambda di akun Anda, Anda tidak dapat melihat atau memilih semua fungsi di CloudTrail konsol saat membuat jejak. Anda masih dapat memilih opsi untuk mencatat semua fungsi, meskipun tidak ditampilkan. Jika Anda ingin mencatat peristiwa data untuk fungsi tertentu, Anda dapat menambahkan fungsi secara manual jika Anda mengetahuinyaARN. Anda juga dapat menyelesaikan pembuatan jejak di konsol, dan kemudian menggunakan AWS CLI dan put-event-selectors perintah untuk mengonfigurasi pencatatan peristiwa data untuk fungsi Lambda tertentu. Untuk informasi selengkapnya, lihat Mengelola jalur dengan AWS CLI.
Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data.
Untuk tabel DynamoDB:
1. Untuk sumber peristiwa Data, pilih DynamoDB.
2. Dalam pemilihan tabel DynamoDB, pilih Browse untuk memilih tabel, atau tempel tabel DynamoDB yang dapat Anda akses. ARN Sebuah ARN tabel DynamoDB menggunakan format berikut:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
  Untuk menambahkan tabel lain, pilih Tambah baris, dan telusuri tabel atau tempel di tabel yang dapat Anda akses. ARN
Pilih Simpan perubahan.

Mencatat peristiwa data dengan AWS Command Line Interface

Anda dapat mengonfigurasi jejak atau penyimpanan data peristiwa untuk mencatat peristiwa data menggunakan AWS CLI.

Topik

Mencatat peristiwa data untuk jejak dengan AWS CLI
Pencatatan peristiwa data untuk menyimpan data acara dengan AWS CLI

Mencatat peristiwa data untuk jejak dengan AWS CLI

Anda dapat mengonfigurasi jejak Anda untuk mencatat manajemen dan peristiwa data menggunakan AWS CLI.

catatan

Ketahuilah bahwa jika akun Anda mencatat lebih dari satu salinan acara manajemen, Anda dikenakan biaya. Selalu ada biaya untuk mencatat peristiwa data. Untuk informasi selengkapnya, silakan lihat AWS CloudTrail Harga.
Anda dapat menggunakan penyeleksi acara lanjutan atau pemilih acara dasar, tetapi tidak keduanya. Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa.
Jika jejak Anda menggunakan pemilih acara dasar, Anda hanya dapat mencatat jenis sumber daya berikut:
- AWS::DynamoDB::Table
- AWS::Lambda::Function
- AWS::S3::Object
Untuk mencatat jenis sumber daya tambahan, Anda harus menggunakan pemilih acara lanjutan. Untuk mengonversi jejak menjadi penyeleksi peristiwa lanjutan, jalankan get-event-selectors perintah untuk mengonfirmasi penyeleksi peristiwa saat ini, lalu konfigurasikan pemilih acara lanjutan agar sesuai dengan cakupan pemilih peristiwa sebelumnya, lalu tambahkan pemilih untuk jenis sumber daya apa pun yang ingin Anda catat peristiwa data log.
Anda dapat menggunakan pemilih acara lanjutan untuk memfilter berdasarkan nilaieventName,resources.ARN, dan readOnly bidang, sehingga Anda dapat mencatat hanya peristiwa data yang menarik. Untuk informasi selengkapnya tentang mengonfigurasi bidang ini, lihat AdvancedFieldSelectordi AWS CloudTrail APIReferensi dan Memfilter peristiwa data dengan menggunakan pemilih acara lanjutan dalam topik ini.

Untuk melihat apakah jejak Anda mencatat manajemen dan peristiwa data, jalankan get-event-selectorsperintah.


aws cloudtrail get-event-selectors --trail-name TrailName

Perintah mengembalikan pemilih acara untuk jejak.

Topik

Log peristiwa dengan menggunakan pemilih acara tingkat lanjut
Catat semua peristiwa Amazon S3 untuk bucket Amazon S3 dengan menggunakan pemilih acara lanjutan
Masuk Amazon S3 aktif AWS Outposts acara dengan menggunakan penyeleksi acara tingkat lanjut
Log peristiwa dengan menggunakan pemilih acara dasar

Log peristiwa dengan menggunakan pemilih acara tingkat lanjut

catatan

Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa. Sebelum mengonfigurasi penyeleksi acara lanjutan, jalankan get-event-selectors perintah untuk mengonfirmasi pemilih peristiwa saat ini, lalu konfigurasikan pemilih acara lanjutan agar sesuai dengan cakupan pemilih acara sebelumnya, lalu tambahkan penyeleksi untuk peristiwa data tambahan yang ingin Anda log.

Contoh berikut membuat penyeleksi acara lanjutan kustom untuk jejak bernama TrailName untuk menyertakan peristiwa manajemen baca dan tulis (dengan menghilangkan readOnly pemilih), PutObject dan peristiwa DeleteObject data untuk semua kombinasi bucket/awalan Amazon S3 kecuali untuk bucket bernama dan peristiwa data untuk amzn-s3-demo-bucket AWS Lambda fungsi bernamaMyLambdaFunction. Karena ini adalah penyeleksi acara lanjutan khusus, setiap set penyeleksi memiliki nama deskriptif. Perhatikan bahwa garis miring adalah bagian dari ARN nilai untuk bucket S3.


aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
  {
    "Name": "Log readOnly and writeOnly management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  },
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
    ]
  },
  {
    "Name": "Log data plane actions on MyLambdaFunction",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
      { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
    ]
  }
]'

Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log readOnly and writeOnly management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        }
      ]
    },
    {
      "Name": "Log PutObject and DeleteObject events for all but one bucket",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::S3::Object" ]
        },
        {
          "Field": "resources.ARN", 
          "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
        },
      ]
    },
{
      "Name": "Log data plane actions on MyLambdaFunction",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::Lambda::Function" ]
        },
        {
          "Field": "eventName", 
          "Equals": [ "Invoke" ]
        },
        {
          "Field": "resources.ARN", 
          "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Catat semua peristiwa Amazon S3 untuk bucket Amazon S3 dengan menggunakan pemilih acara lanjutan

catatan

Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa.

Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa data untuk semua objek Amazon S3 dalam bucket S3 tertentu. Nilai untuk acara S3 untuk resources.type bidang tersebut adalahAWS::S3::Object. Karena ARN nilai untuk objek S3 dan bucket S3 sedikit berbeda, Anda harus menambahkan StartsWith operator resources.ARN untuk menangkap semua peristiwa.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
            ]
        }
]'

Perintah mengembalikan contoh output berikut.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                }
            ]
        }
    ]
}

Masuk Amazon S3 aktif AWS Outposts acara dengan menggunakan penyeleksi acara tingkat lanjut

catatan

Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa.

Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa data untuk semua objek Amazon S3 di Outposts di pos terdepan Anda.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
    }
]'

Perintah mengembalikan contoh output berikut.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ]
}

Log peristiwa dengan menggunakan pemilih acara dasar

Berikut ini adalah contoh hasil dari get-event-selectors perintah yang menunjukkan pemilih acara dasar. Secara default, saat Anda membuat jejak dengan menggunakan AWS CLI, jejak mencatat semua peristiwa manajemen. Secara default, jejak tidak mencatat peristiwa data.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ]
}

Untuk mengonfigurasi jejak Anda ke manajemen log dan peristiwa data, jalankan put-event-selectorsperintah.

Contoh berikut menunjukkan cara menggunakan pemilih peristiwa dasar untuk mengonfigurasi jejak Anda agar menyertakan semua peristiwa manajemen dan data untuk objek S3 dalam dua awalan bucket S3. Anda dapat menentukan dari 1 hingga 5 penyeleksi acara untuk jejak. Anda dapat menentukan dari 1 hingga 250 sumber daya data untuk jejak.

catatan

Jumlah maksimum sumber daya data S3 adalah 250, jika Anda memilih untuk membatasi peristiwa data dengan menggunakan pemilih acara dasar.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2;/prefix2"] }] }]'

Perintah mengembalikan pemilih acara yang dikonfigurasi untuk jejak.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket1/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ],
                    "Type": "AWS::S3::Object"
                }
            ],
            "ReadWriteType": "All"
        }
    ]
}

Pencatatan peristiwa data untuk menyimpan data acara dengan AWS CLI

Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa data menggunakan AWS CLI. Gunakan create-event-data-storeperintah untuk membuat penyimpanan data acara baru untuk mencatat peristiwa data. Gunakan update-event-data-storeperintah untuk memperbarui pemilih acara lanjutan untuk penyimpanan data peristiwa yang ada.

Untuk melihat apakah penyimpanan data acara Anda menyertakan peristiwa data, jalankan get-event-data-storeperintah.


aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN

Perintah mengembalikan pengaturan untuk penyimpanan data acara.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa",
    "Name": "ebs-data-events",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Log all EBS direct APIs on EBS snapshots",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::EC2::Snapshot"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00"
}

Topik

Sertakan semua acara Amazon S3 untuk ember
Sertakan Amazon S3 di AWS Outposts peristiwa

Sertakan semua acara Amazon S3 untuk ember

Contoh berikut menunjukkan cara membuat penyimpanan data peristiwa untuk menyertakan semua peristiwa data untuk semua objek Amazon S3 dalam bucket S3 tertentu. Nilai untuk acara S3 untuk resources.type bidang tersebut adalahAWS::S3::Object. Karena ARN nilai untuk objek S3 dan bucket S3 sedikit berbeda, Anda harus menambahkan StartsWith operator resources.ARN untuk menangkap semua peristiwa.


aws cloudtrail create-event-data-store --name "EventDataStoreName" --multi-region-enabled \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
            ]
        }
]'

Perintah mengembalikan contoh output berikut.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
    "Name": "EventDataStoreName",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:49:21.766000+00:00"
}

Sertakan Amazon S3 di AWS Outposts peristiwa

Contoh berikut menunjukkan cara membuat penyimpanan data peristiwa yang mencakup semua peristiwa data untuk semua objek Amazon S3 di Outposts di pos terdepan Anda.


aws cloudtrail create-event-data-store --name EventDataStoreName \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
        }
]'

Perintah mengembalikan contoh output berikut.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00"
}

Peristiwa data pencatatan untuk AWS Config kepatuhan

Jika Anda menggunakan AWS Config paket kesesuaian untuk membantu perusahaan Anda mempertahankan kepatuhan terhadap standar formal seperti yang disyaratkan oleh Federal Risk and Authorization Management Program (FedRAMP) atau National Institute of Standards and Technology (NIST), paket kesesuaian untuk kerangka kerja kepatuhan umumnya mengharuskan Anda untuk mencatat peristiwa data untuk bucket Amazon S3, minimal. Paket kesesuaian untuk kerangka kerja kepatuhan mencakup aturan terkelola yang disebut cloudtrail-s3-dataevents-enabledyang memeriksa pencatatan peristiwa data S3 di akun Anda. Banyak paket kesesuaian yang tidak terkait dengan kerangka kerja kepatuhan juga memerlukan pencatatan peristiwa data S3. Berikut ini adalah contoh paket kesesuaian yang menyertakan aturan ini.

Untuk daftar lengkap paket kesesuaian sampel yang tersedia di AWS Config, lihat Templat sampel paket kesesuaian di AWS Config Panduan Pengembang.

Mencatat peristiwa data dengan AWS SDKs

Jalankan GetEventSelectorsoperasi untuk melihat apakah jejak Anda mencatat peristiwa data. Anda dapat mengonfigurasi jejak Anda untuk mencatat peristiwa data dengan menjalankan PutEventSelectorsoperasi. Untuk informasi lebih lanjut, lihat AWS CloudTrail APIReferensi.

Jalankan GetEventDataStoreoperasi untuk melihat apakah penyimpanan data acara Anda mencatat peristiwa data. Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa data dengan menjalankan UpdateEventDataStoreoperasi CreateEventDataStoreatau dan menentukan pemilih acara lanjutan. Untuk informasi lebih lanjut, lihat Membuat, memperbarui, dan mengelola penyimpanan data acara dengan AWS CLI dan AWS CloudTrail APIReferensi.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Acara manajemen

Memfilter peristiwa data dengan menggunakan pemilih acara lanjutan