Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pencatatan peristiwa data
Bagian ini menjelaskan cara mencatat peristiwa data menggunakan CloudTrail konsol dan AWS CLI.
Secara default, jejak dan penyimpanan data peristiwa tidak mencatat peristiwa data. Biaya tambahan berlaku untuk peristiwa data. Untuk informasi selengkapnya, silakan lihat AWS CloudTrail Harga
Peristiwa data memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya. Ini juga dikenal sebagai operasi pesawat data. Peristiwa data seringkali merupakan aktivitas volume tinggi.
Contoh peristiwa data meliputi:
-
APIAktivitas tingkat objek Amazon S3 (misalnya,,
GetObject
DeleteObject
, danPutObject
API operasi) pada objek di bucket S3. -
AWS Lambda aktivitas eksekusi fungsi (the
Invoke
API). -
CloudTrail
PutAuditEvents
aktivitas di saluran CloudTrail Danau yang digunakan untuk mencatat peristiwa dari luar AWS. -
Amazon SNS
Publish
danPublishBatch
APIoperasi pada topik.
Anda dapat menggunakan penyeleksi acara lanjutan untuk membuat penyeleksi berbutir halus, yang membantu Anda mengontrol biaya dengan hanya mencatat peristiwa tertentu yang menarik untuk kasus penggunaan Anda. Misalnya, Anda dapat menggunakan pemilih acara lanjutan untuk mencatat API panggilan tertentu dengan menambahkan filter di eventName
bidang. Untuk informasi selengkapnya, lihat Memfilter peristiwa data dengan menggunakan pemilih acara lanjutan.
catatan
Peristiwa yang dicatat oleh jejak Anda tersedia di Amazon EventBridge. Misalnya, jika Anda memilih untuk mencatat peristiwa data untuk objek S3 tetapi tidak mengelola peristiwa, jejak Anda memproses dan mencatat peristiwa data hanya untuk objek S3 yang ditentukan. Peristiwa data untuk objek S3 ini tersedia di Amazon EventBridge. Untuk informasi selengkapnya, lihat Acara dari AWS layanan di Panduan EventBridge Pengguna Amazon.
Daftar Isi
- Peristiwa data
- Acara hanya-baca dan hanya tulis
- Mencatat peristiwa data dengan AWS Management Console
- Mencatat peristiwa data dengan AWS Command Line Interface
- Mencatat peristiwa data untuk jejak dengan AWS CLI
- Log peristiwa dengan menggunakan pemilih acara tingkat lanjut
- Catat semua peristiwa Amazon S3 untuk bucket Amazon S3 dengan menggunakan pemilih acara lanjutan
- Masuk Amazon S3 aktif AWS Outposts acara dengan menggunakan penyeleksi acara tingkat lanjut
- Log peristiwa dengan menggunakan pemilih acara dasar
- Pencatatan peristiwa data untuk menyimpan data acara dengan AWS CLI
- Mencatat peristiwa data untuk jejak dengan AWS CLI
- Memfilter peristiwa data dengan menggunakan pemilih acara lanjutan
- Peristiwa data pencatatan untuk AWS Config kepatuhan
- Mencatat peristiwa data dengan AWS SDKs
Peristiwa data
Tabel berikut menunjukkan jenis peristiwa data yang tersedia untuk jejak dan penyimpanan data peristiwa. Kolom tipe peristiwa data (konsol) menunjukkan pilihan yang sesuai di konsol. Kolom nilai resources.type menunjukkan resources.type
nilai yang akan Anda tentukan untuk menyertakan peristiwa data dari jenis tersebut di penyimpanan data jejak atau peristiwa Anda menggunakan AWS CLI atau CloudTrail APIs.
Untuk jejak, Anda dapat menggunakan pemilih peristiwa dasar atau lanjutan untuk mencatat peristiwa data untuk objek Amazon S3 di bucket tujuan umum, fungsi Lambda, dan tabel DynamoDB (ditampilkan dalam tiga baris pertama tabel). Anda hanya dapat menggunakan pemilih acara lanjutan untuk mencatat jenis peristiwa data yang ditampilkan di baris yang tersisa.
Untuk penyimpanan data acara, Anda hanya dapat menggunakan pemilih acara lanjutan untuk menyertakan peristiwa data.
Layanan AWS | Deskripsi | Jenis peristiwa data (konsol) | nilai resources.type |
---|---|---|---|
Amazon DynamoDB | Aktivitas APItingkat item Amazon DynamoDB pada tabel (misalnya catatanUntuk tabel dengan aliran diaktifkan, |
DynamoDB |
|
AWS Lambda | AWS Lambda aktivitas eksekusi fungsi (the |
Lambda | AWS::Lambda::Function |
Amazon S3 | APIAktivitas tingkat objek Amazon S3 (misalnya,, |
S3 | AWS::S3::Object |
AWS AppConfig | AWS AppConfig APIaktivitas untuk operasi konfigurasi seperti panggilan ke |
AWS AppConfig | AWS::AppConfig::Configuration |
AWS Pertukaran Data B2B | APIAktivitas Pertukaran Data B2B untuk operasi Transformer seperti panggilan ke dan. |
Pertukaran Data B2B | AWS::B2BI::Transformer |
Amazon Bedrock | APIAktivitas Amazon Bedrock pada alias agen. | Alias agen batuan dasar | AWS::Bedrock::AgentAlias |
Amazon Bedrock | APIAktivitas Amazon Bedrock pada alias aliran. | Alias aliran batuan dasar | AWS::Bedrock::FlowAlias |
Amazon Bedrock | APIAktivitas Amazon Bedrock di pagar pembatas. | Pagar pembatas batuan dasar | AWS::Bedrock::Guardrail |
Amazon Bedrock | APIAktivitas Amazon Bedrock pada basis pengetahuan. | Basis pengetahuan batuan dasar | AWS::Bedrock::KnowledgeBase |
Amazon CloudFront | CloudFront APIAktivitas di KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | AWS Cloud Map APIaktivitas pada namespace. | AWS Cloud Map namespace |
|
AWS Cloud Map | AWS Cloud Map APIAktivitas pada suatu layanan. | AWS Cloud Map layanan |
|
AWS CloudTrail | CloudTrail |
CloudTrail kanal | AWS::CloudTrail::Channel |
Amazon CloudWatch | CloudWatch APIAktivitas Amazon pada metrik. |
CloudWatch metrik | AWS::CloudWatch::Metric |
Amazon CloudWatch RUM | CloudWatch RUMAPIAktivitas Amazon di monitor aplikasi. |
RUMMonitor aplikasi | AWS::RUM::AppMonitor |
Amazon CodeWhisperer | CodeWhisperer APIAktivitas Amazon pada kustomisasi. | CodeWhisperer kustomisasi | AWS::CodeWhisperer::Customization |
Amazon CodeWhisperer | CodeWhisperer APIAktivitas Amazon di profil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | APIAktivitas Amazon Cognito di kumpulan identitas Amazon Cognito. |
Kolam Identitas Cognito | AWS::Cognito::IdentityPool |
Amazon DynamoDB | Aktivitas Amazon API DynamoDB di stream. |
DynamoDB Streams | AWS::DynamoDB::Stream |
Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) langsungAPIs, seperti |
Amazon EBS langsung APIs | AWS::EC2::Snapshot |
Amazon EMR | EMRAPIAktivitas Amazon di ruang kerja log tulis di depan. | EMRruang kerja log tulis di depan | AWS::EMRWAL::Workspace |
Amazon FinSpace | Amazon FinSpaceAPIaktivitas di lingkungan. |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue APIaktivitas di atas meja yang dibuat oleh Lake Formation. |
Formasi Danau | AWS::Glue::Table |
Amazon GuardDuty | GuardDuty APIAktivitas Amazon untuk detektor. |
GuardDuty detektor | AWS::GuardDuty::Detector |
AWS HealthImaging | AWS HealthImaging APIaktivitas pada penyimpanan data. |
MedicalImaging penyimpanan data | AWS::MedicalImaging::Datastore |
AWS IoT | Sertifikat IoT | AWS::IoT::Certificate |
|
AWS IoT | Hal IoT | AWS::IoT::Thing |
|
AWS IoT Greengrass Version 2 | Aktivitas APIGreengrass dari perangkat inti Greengrass pada versi komponen. catatanGreengrass tidak mencatat peristiwa yang ditolak akses. |
Versi komponen Greengrass IoT | AWS::GreengrassV2::ComponentVersion |
AWS IoT Greengrass Version 2 | Aktivitas APIGreengrass dari perangkat inti Greengrass pada penerapan. catatanGreengrass tidak mencatat peristiwa yang ditolak akses. |
Penyebaran Greengrass IoT | AWS::GreengrassV2::Deployment |
AWS IoT SiteWise | Aset IoT SiteWise | AWS::IoTSiteWise::Asset |
|
AWS IoT SiteWise | Deret waktu IoT SiteWise | AWS::IoTSiteWise::TimeSeries |
|
AWS IoT TwinMaker | TwinMaker APIAktivitas IoT pada suatu entitas. |
Entitas IoT TwinMaker | AWS::IoTTwinMaker::Entity |
AWS IoT TwinMaker | TwinMaker APIAktivitas IoT di ruang kerja. |
Ruang kerja IoT TwinMaker | AWS::IoTTwinMaker::Workspace |
Peringkat Cerdas Amazon Kendra | APIAktivitas Amazon Kendra Intelligent Ranking pada rencana eksekusi skor ulang. |
Peringkat Kendra | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces (untuk Apache Cassandra) | APIAktivitas Amazon Keyspaces di atas meja. | Meja Cassandra | AWS::Cassandra::Table |
Amazon Kinesis Data Streams | Aktivitas Kinesis API Data Streams pada stream. | Aliran kinesis | AWS::Kinesis::Stream |
Amazon Kinesis Data Streams | Aktivitas Kinesis API Data Streams pada konsumen streaming. | Konsumen aliran kinesis | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | Aktivitas Kinesis API Video Streams pada aliran video, seperti panggilan ke dan. GetMedia PutMedia |
Aliran video Kinesis | AWS::KinesisVideo::Stream |
Amazon Machine Learning | APIAktivitas Machine Learning pada model ML. | Pembelajaran Maching MlModel | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | APIAktivitas Amazon Managed Blockchain di jaringan. |
Jaringan Blockchain yang dikelola | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain | Amazon Managed Blockchain JSON - RPC panggilan pada node Ethereum, seperti |
Blockchain yang Dikelola | AWS::ManagedBlockchain::Node |
Grafik Amazon Neptunus | APIAktivitas data, misalnya kueri, algoritme, atau pencarian vektor, pada Grafik Neptunus. |
Grafik Neptunus | AWS::NeptuneGraph::Graph |
Amazon Satu Perusahaan | APIAktivitas Amazon One Enterprise di fileUKey. |
Amazon Satu UKey | AWS::One::UKey |
Amazon Satu Perusahaan | APIAktivitas Amazon One Enterprise pada pengguna. |
Amazon Satu Pengguna | AWS::One::User |
AWS Payment Cryptography | AWS Payment Cryptography APIaktivitas pada alias. | Alias Kriptografi Pembayaran | AWS::PaymentCryptography::Alias |
AWS Payment Cryptography | AWS Payment Cryptography APIaktivitas pada kunci. | Kunci Kriptografi Pembayaran | AWS::PaymentCryptography::Key |
AWS Private CA | AWS Private CA Konektor untuk API aktivitas Active Directory. |
AWS Private CA Konektor untuk Active Directory | AWS::PCAConnectorAD::Connector |
AWS Private CA | AWS Private CA Konektor untuk SCEP API aktivitas. |
AWS Private CA Konektor untuk SCEP | AWS::PCAConnectorSCEP::Connector |
Aplikasi Amazon Q | APIAktivitas data di Amazon Q Apps. |
Aplikasi Amazon Q | AWS::QApps:QApp |
Amazon Q Bisnis | APIAktivitas Amazon Q Business pada aplikasi. |
Aplikasi Amazon Q Business | AWS::QBusiness::Application |
Amazon Q Bisnis | APIAktivitas Amazon Q Business pada sumber data. |
Sumber data Amazon Q Business | AWS::QBusiness::DataSource |
Amazon Q Bisnis | APIAktivitas Amazon Q Bisnis pada indeks. |
Amazon Q Indeks Bisnis | AWS::QBusiness::Index |
Amazon Q Bisnis | APIAktivitas Amazon Q Bisnis pada pengalaman web. |
Pengalaman web Amazon Q Bisnis | AWS::QBusiness::WebExperience |
Amazon RDS | RDSAPIAktivitas Amazon di Cluster DB. |
RDSData API - DB Cluster | AWS::RDS::DBCluster |
Amazon S3 | Titik Akses S3 | AWS::S3::AccessPoint |
|
Amazon S3 | APIAktivitas tingkat objek Amazon S3 (misalnya,, |
S3 Ekspres | AWS::S3Express::Object |
Amazon S3 | APIAktivitas titik akses Lambda Objek Amazon S3, seperti panggilan ke dan. |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
Amazon S3 di Outposts | Outposts S3 | AWS::S3Outposts::Object |
|
Amazon SageMaker | SageMaker InvokeEndpointWithResponseStream Aktivitas Amazon di titik akhir. |
SageMaker titik akhir | AWS::SageMaker::Endpoint |
Amazon SageMaker | SageMaker APIAktivitas Amazon di toko fitur. |
SageMaker feature store | AWS::SageMaker::FeatureGroup |
Amazon SageMaker | SageMaker APIAktivitas Amazon pada komponen percobaan percobaan. |
SageMaker komponen percobaan percobaan metrik | AWS::SageMaker::ExperimentTrialComponent |
Amazon SNS | SNS |
SNStitik akhir platform | AWS::SNS::PlatformEndpoint |
Amazon SNS | Amazon SNS |
SNStopik | AWS::SNS::Topic |
Amazon SQS | SQSAPIAktivitas Amazon pada pesan. |
SQS | AWS::SQS::Queue |
AWS Step Functions | APIAktivitas Step Functions pada mesin state. |
Mesin status Step Functions | AWS::StepFunctions::StateMachine |
Rantai Pasokan AWS | Rantai Pasokan AWS APIaktivitas pada sebuah instance. |
Rantai Pasokan | AWS::SCN::Instance |
Amazon SWF | SWFdomain | AWS::SWF::Domain |
|
AWS Systems Manager | APIAktivitas Systems Manager pada saluran kontrol. | Systems Manager | AWS::SSMMessages::ControlChannel |
AWS Systems Manager | APIAktivitas Systems Manager pada node terkelola. | Node terkelola Systems Manager | AWS::SSM::ManagedNode |
Amazon Timestream | Query APIAktivitas Amazon Timestream pada database. |
Database Timestream | AWS::Timestream::Database |
Amazon Timestream | Query APIAktivitas Amazon Timestream pada tabel. |
Tabel Timestream | AWS::Timestream::Table |
Izin Terverifikasi Amazon | APIAktivitas Izin Terverifikasi Amazon di toko kebijakan. |
Izin Terverifikasi Amazon | AWS::VerifiedPermissions::PolicyStore |
Klien WorkSpaces Tipis Amazon | WorkSpaces APIAktivitas Klien Tipis di Perangkat. | Perangkat Klien Tipis | AWS::ThinClient::Device |
Klien WorkSpaces Tipis Amazon | WorkSpaces APIAktivitas Klien Tipis di Lingkungan. | Lingkungan Klien Tipis | AWS::ThinClient::Environment |
AWS X-Ray | APIAktivitas X-Ray pada jejak. |
Jejak X-Ray | AWS::XRay::Trace |
Untuk merekam peristiwa CloudTrail data, Anda harus secara eksplisit menambahkan setiap jenis sumber daya yang ingin Anda kumpulkan aktivitasnya. Untuk informasi selengkapnya, silakan lihat Membuat jejak dengan CloudTrail konsol dan Buat penyimpanan data acara untuk CloudTrail acara dengan konsol.
Pada jejak wilayah tunggal atau penyimpanan data peristiwa, Anda dapat mencatat peristiwa data hanya untuk sumber daya yang dapat Anda akses di Wilayah tersebut. Meskipun ember S3 bersifat global, AWS Lambda fungsi dan tabel DynamoDB bersifat regional.
Biaya tambahan berlaku untuk peristiwa data pencatatan. Untuk CloudTrail harga, lihat AWS CloudTrail Harga
Contoh: Mencatat peristiwa data untuk objek Amazon S3
Mencatat peristiwa data untuk semua objek S3 dalam bucket S3
Contoh berikut menunjukkan cara kerja logging saat Anda mengonfigurasi logging semua kejadian data untuk bucket S3 bernama amzn-s3-demo-bucket
. Dalam contoh ini, CloudTrail pengguna menentukan awalan kosong, dan opsi untuk mencatat peristiwa data Baca dan Tulis.
-
Seorang pengguna mengunggah objek ke
amzn-s3-demo-bucket
. -
PutObject
APIOperasi ini adalah tingkat objek Amazon S3. API Ini dicatat sebagai peristiwa data di CloudTrail. Karena CloudTrail pengguna menetapkan bucket S3 dengan awalan kosong, peristiwa yang terjadi pada objek apa pun di bucket tersebut dicatat. Data jejak atau peristiwa menyimpan proses dan mencatat acara. -
Pengguna lain mengunggah objek ke
amzn-s3-demo-bucket2
. -
PutObject
APIOperasi terjadi pada objek dalam bucket S3 yang tidak ditentukan untuk penyimpanan data jejak atau peristiwa. Penyimpanan data jejak atau peristiwa tidak mencatat acara.
Mencatat peristiwa data untuk objek S3 tertentu
Contoh berikut menunjukkan cara kerja logging saat Anda mengonfigurasi penyimpanan data jejak atau peristiwa untuk mencatat peristiwa untuk objek S3 tertentu. Dalam contoh ini, CloudTrail pengguna menentukan bucket S3 bernamaamzn-s3-demo-bucket3
, dengan awalan my-images
, dan opsi untuk log hanya Menulis peristiwa data.
-
Pengguna menghapus objek yang dimulai dengan
my-images
awalan di bucket, seperti.arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg
-
DeleteObject
APIOperasi ini adalah tingkat objek Amazon S3. API Ini dicatat sebagai peristiwa data Tulis di CloudTrail. Peristiwa terjadi pada objek yang cocok dengan bucket S3 dan awalan yang ditentukan dalam penyimpanan data jejak atau peristiwa. Data jejak atau peristiwa menyimpan proses dan mencatat acara. -
Pengguna lain menghapus objek dengan awalan berbeda di bucket S3, seperti.
arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi
-
Peristiwa terjadi pada objek yang tidak cocok dengan awalan yang ditentukan dalam penyimpanan data jejak atau peristiwa Anda. Penyimpanan data jejak atau peristiwa tidak mencatat acara.
-
Seorang pengguna memanggil
GetObject
API operasi untuk objek,arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg
. -
Peristiwa terjadi pada bucket dan awalan yang ditentukan dalam penyimpanan data jejak atau peristiwa, tetapi
GetObject
merupakan tingkat objek Amazon S3 tipe baca. API Ini direkam sebagai peristiwa Data Baca di CloudTrail, dan penyimpanan data jejak atau peristiwa tidak dikonfigurasi untuk mencatat peristiwa Baca. Penyimpanan data jejak atau peristiwa tidak mencatat acara.
catatan
Untuk jejak, jika Anda mencatat peristiwa data untuk bucket Amazon S3 tertentu, kami sarankan Anda tidak menggunakan bucket Amazon S3 tempat Anda mencatat peristiwa data untuk menerima file log yang telah Anda tentukan di bagian peristiwa data untuk jejak Anda. Menggunakan bucket Amazon S3 yang sama menyebabkan jejak Anda mencatat peristiwa data setiap kali file log dikirim ke bucket Amazon S3 Anda. File log adalah peristiwa agregat yang dikirimkan pada interval, jadi ini bukan rasio peristiwa 1:1 untuk file log; acara dicatat di file log berikutnya. Misalnya, saat CloudTrail mengirimkan log, PutObject
peristiwa terjadi pada bucket S3. Jika bucket S3 juga ditentukan di bagian peristiwa data, jejak akan memproses dan mencatat PutObject
peristiwa sebagai peristiwa data. Tindakan itu adalah PutObject
peristiwa lain, dan jejak memproses dan mencatat peristiwa itu lagi.
Untuk menghindari peristiwa data pencatatan untuk bucket Amazon S3 tempat Anda menerima file log jika Anda mengonfigurasi jejak untuk mencatat semua peristiwa data Amazon S3 di AWS akun, pertimbangkan untuk mengonfigurasi pengiriman file log ke bucket Amazon S3 milik orang lain AWS akun. Untuk informasi selengkapnya, lihat Menerima file CloudTrail log dari beberapa akun.
Mencatat peristiwa data untuk objek S3 di objek lain AWS rekening
Saat mengonfigurasi jejak Anda untuk mencatat peristiwa data, Anda juga dapat menentukan objek S3 milik orang lain AWS akun. Ketika suatu peristiwa terjadi pada objek tertentu, CloudTrail mengevaluasi apakah acara tersebut cocok dengan jejak apa pun di setiap akun. Jika acara cocok dengan pengaturan untuk jejak, jejak akan memproses dan mencatat peristiwa untuk akun tersebut. Umumnya, API penelepon dan pemilik sumber daya dapat menerima acara.
Jika Anda memiliki objek S3 dan Anda menentukannya di jejak Anda, jejak Anda mencatat peristiwa yang terjadi pada objek di akun Anda. Karena Anda memiliki objek, jejak Anda juga mencatat peristiwa ketika akun lain memanggil objek.
Jika Anda menentukan objek S3 di jejak Anda, dan akun lain memiliki objek tersebut, jejak Anda hanya mencatat peristiwa yang terjadi pada objek tersebut di akun Anda. Jejak Anda tidak mencatat peristiwa yang terjadi di akun lain.
Contoh: Mencatat peristiwa data untuk objek Amazon S3 untuk dua AWS rekening
Contoh berikut menunjukkan bagaimana dua AWS akun dikonfigurasi CloudTrail untuk mencatat peristiwa untuk objek S3 yang sama.
-
Di akun Anda, Anda ingin jejak Anda mencatat peristiwa data untuk semua objek di bucket S3 yang diberi nama
amzn-s3-demo-bucket
. Anda mengonfigurasi jejak dengan menentukan bucket S3 dengan awalan objek kosong. -
Bob memiliki akun terpisah yang telah diberikan akses ke bucket S3. Bob juga ingin mencatat peristiwa data untuk semua objek di bucket S3 yang sama. Untuk jejaknya, ia mengkonfigurasi jejaknya dan menentukan ember S3 yang sama dengan awalan objek kosong.
-
Bob mengunggah objek ke bucket S3 dengan operasi.
PutObject
API -
Peristiwa ini terjadi di akunnya dan cocok dengan pengaturan jejaknya. Jejak Bob memproses dan mencatat acara tersebut.
-
Karena Anda memiliki bucket S3 dan acara cocok dengan pengaturan untuk jejak Anda, jejak Anda juga memproses dan mencatat peristiwa yang sama. Karena sekarang ada dua salinan acara (satu masuk di jejak Bob, dan satu masuk ke milik Anda), CloudTrail dikenakan biaya untuk dua salinan peristiwa data.
-
Anda mengunggah objek ke bucket S3.
-
Acara ini terjadi di akun Anda dan cocok dengan pengaturan untuk jejak Anda. Jejak Anda memproses dan mencatat acara.
-
Karena peristiwa itu tidak terjadi di akun Bob, dan dia tidak memiliki ember S3, jejak Bob tidak mencatat acara tersebut. CloudTrail biaya hanya untuk satu salinan peristiwa data ini.
Contoh: Mencatat peristiwa data untuk semua bucket, termasuk bucket S3 yang digunakan oleh dua AWS rekening
Contoh berikut menunjukkan perilaku pencatatan saat Pilih semua bucket S3 di akun Anda diaktifkan untuk jejak yang mengumpulkan peristiwa data dalam AWS akun.
-
Di akun Anda, Anda ingin jejak Anda mencatat peristiwa data untuk semua bucket S3. Anda mengonfigurasi jejak dengan memilih acara Baca, Menulis peristiwa, atau keduanya untuk Semua bucket S3 saat ini dan masa depan dalam peristiwa Data.
-
Bob memiliki akun terpisah yang telah diberikan akses ke bucket S3 di akun Anda. Dia ingin mencatat peristiwa data untuk ember yang dia akses. Dia mengonfigurasi jejaknya untuk mendapatkan peristiwa data untuk semua bucket S3.
-
Bob mengunggah objek ke bucket S3 dengan operasi.
PutObject
API -
Peristiwa ini terjadi di akunnya dan cocok dengan pengaturan jejaknya. Jejak Bob memproses dan mencatat acara tersebut.
-
Karena Anda memiliki bucket S3 dan acara cocok dengan pengaturan untuk jejak Anda, jejak Anda juga memproses dan mencatat acara. Karena sekarang ada dua salinan acara (satu masuk di jejak Bob, dan satu masuk ke milik Anda), CloudTrail menagih setiap akun untuk salinan peristiwa data.
-
Anda mengunggah objek ke bucket S3.
-
Acara ini terjadi di akun Anda dan cocok dengan pengaturan untuk jejak Anda. Jejak Anda memproses dan mencatat acara.
-
Karena peristiwa itu tidak terjadi di akun Bob, dan dia tidak memiliki ember S3, jejak Bob tidak mencatat acara tersebut. CloudTrail mengenakan biaya hanya untuk satu salinan peristiwa data ini di akun Anda.
-
Pengguna ketiga, Mary, memiliki akses ke bucket S3, dan menjalankan
GetObject
operasi di ember. Dia memiliki jejak yang dikonfigurasi untuk mencatat peristiwa data di semua bucket S3 di akunnya. Karena dia adalah API penelepon, CloudTrail mencatat peristiwa data di jejaknya. Meskipun Bob memiliki akses ke ember, dia bukan pemilik sumber daya, jadi tidak ada acara yang dicatat di jejaknya kali ini. Sebagai pemilik sumber daya, Anda menerima acara di jalan Anda tentangGetObject
operasi yang dipanggil Mary. CloudTrailmenagih akun Anda dan akun Mary untuk setiap salinan peristiwa data: satu di jejak Mary, dan satu di milik Anda.
Acara hanya-baca dan hanya tulis
Saat mengonfigurasi penyimpanan data jejak atau peristiwa untuk mencatat data dan peristiwa manajemen, Anda dapat menentukan apakah Anda menginginkan peristiwa hanya-baca, peristiwa hanya-tulis, atau keduanya.
-
Baca
Acara baca mencakup API operasi yang membaca sumber daya Anda, tetapi tidak membuat perubahan. Misalnya, peristiwa hanya-baca termasuk Amazon EC2
DescribeSecurityGroups
danDescribeSubnets
API operasi. Operasi ini hanya mengembalikan informasi tentang EC2 sumber daya Amazon Anda dan tidak mengubah konfigurasi Anda. -
Menulis
Acara tulis mencakup API operasi yang memodifikasi (atau mungkin memodifikasi) sumber daya Anda. Misalnya, Amazon EC2
RunInstances
danTerminateInstances
API operasi memodifikasi instans Anda.
Contoh: Mencatat peristiwa baca dan tulis untuk jalur terpisah
Contoh berikut menunjukkan bagaimana Anda dapat mengonfigurasi jejak untuk membagi aktivitas log untuk akun menjadi bucket S3 terpisah: satu bucket bernama amzn-s3-demo-bucket1 menerima peristiwa hanya-baca dan amzn-s3-demo-bucket2 kedua menerima peristiwa hanya-tulis.
-
Anda membuat jejak dan memilih bucket S3 bernama
amzn-s3-demo-bucket1
untuk menerima file log. Anda kemudian memperbarui jejak untuk menentukan bahwa Anda ingin Membaca peristiwa manajemen dan peristiwa data. -
Anda membuat jejak kedua dan memilih bucket S3
amzn-s3-demo-bucket2
untuk menerima file log. Anda kemudian memperbarui jejak untuk menentukan bahwa Anda ingin Menulis peristiwa manajemen dan peristiwa data. -
Amazon EC2
DescribeInstances
danTerminateInstances
API operasi terjadi di akun Anda. -
DescribeInstances
APIOperasi ini adalah acara hanya-baca dan cocok dengan pengaturan untuk jejak pertama. Jejak mencatat dan mengirimkan acara ke.amzn-s3-demo-bucket1
-
TerminateInstances
APIOperasi ini adalah acara khusus tulis dan cocok dengan pengaturan untuk jejak kedua. Jejak mencatat dan mengirimkan acara ke.amzn-s3-demo-bucket2
Mencatat peristiwa data dengan AWS Management Console
Prosedur berikut menjelaskan cara memperbarui penyimpanan data peristiwa yang ada atau jejak untuk mencatat peristiwa data dengan menggunakan AWS Management Console. Untuk informasi tentang cara membuat penyimpanan data peristiwa untuk mencatat peristiwa data, lihatBuat penyimpanan data acara untuk CloudTrail acara dengan konsol. Untuk informasi tentang cara membuat jejak untuk mencatat peristiwa data, lihatMembuat jejak di konsol.
Untuk jejak, langkah-langkah untuk mencatat peristiwa data berbeda berdasarkan apakah Anda menggunakan penyeleksi peristiwa lanjutan atau pemilih acara dasar. Anda dapat mencatat peristiwa data untuk semua jenis peristiwa data menggunakan pemilih peristiwa lanjutan, tetapi jika Anda menggunakan pemilih peristiwa dasar, Anda dibatasi untuk mencatat peristiwa data untuk bucket Amazon S3 dan objek bucket, AWS Lambda fungsi, dan tabel Amazon DynamoDB.
Gunakan prosedur berikut untuk memperbarui penyimpanan data peristiwa yang ada untuk mencatat peristiwa data. Untuk informasi selengkapnya tentang penggunaan pemilih acara tingkat lanjut, lihat Memfilter peristiwa data dengan menggunakan pemilih acara lanjutan di topik ini.
-
Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/
. -
Dari panel navigasi, di bawah Danau, pilih Penyimpanan data acara.
-
Pada halaman Penyimpanan data acara, pilih penyimpanan data acara yang ingin Anda perbarui.
catatan
Anda hanya dapat mengaktifkan peristiwa data pada penyimpanan data acara yang berisi CloudTrail peristiwa. Anda tidak dapat mengaktifkan peristiwa data pada penyimpanan data CloudTrail acara untuk AWS Config item konfigurasi, peristiwa CloudTrail Wawasan, atau non-AWS peristiwa.
-
Pada halaman detail, dalam peristiwa Data, pilih Edit.
-
Jika Anda belum mencatat peristiwa data, pilih kotak centang Peristiwa data.
-
Untuk tipe peristiwa Data, pilih jenis sumber daya tempat Anda ingin mencatat peristiwa data.
-
Pilih templat pemilih log. CloudTrail termasuk template yang telah ditetapkan yang mencatat semua peristiwa data untuk jenis sumber daya. Untuk membuat template pemilih log kustom, pilih Kustom.
-
(Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih peristiwa lanjutan, seperti “Log peristiwa data hanya untuk dua bucket S3”. Nama pemilih terdaftar seperti
Name
pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON -
Di Advanced event selectors, buat ekspresi untuk sumber daya spesifik tempat Anda ingin mencatat peristiwa data. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.
-
Pilih dari bidang berikut.
-
readOnly
-readOnly
dapat diatur untuk sama dengan nilaitrue
ataufalse
. Peristiwa data hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, sepertiGet*
atauDescribe*
peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*
,Delete*
, atauWrite*
peristiwa. Untuk mencatat keduanyaread
danwrite
peristiwa, jangan tambahkanreadOnly
pemilih. -
eventName
-eventName
dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa data apa pun yang dicatat CloudTrail, sepertiPutBucket
,GetItem
, atauGetSnapshotBlock
. -
resources.ARN
- Anda dapat menggunakan operator apa pun denganresources.ARN
, tetapi jika Anda menggunakan sama atau tidak sama, nilainya harus sama persis dengan sumber daya yang valid dari jenis yang telah Anda tentukan dalam templat sebagai nilairesources.type
. ARNTabel berikut menunjukkan ARN format yang valid untuk masing-masing
resources.type
.catatan
Anda tidak dapat menggunakan
resources.ARN
bidang untuk memfilter jenis sumber daya yang tidak dimilikiARNs.resources.type sumber daya. ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::amzn-s3-demo-bucket
/ arn:partition
:s3:::amzn-s3-demo-bucket
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::FlowAlias
arn:
partition
:bedrock:region
:account_ID
:flow/flow_ID
/alias/alias_ID
AWS::Bedrock::Guardrail
arn:
partition
:bedrock:region
:account_ID
:guardrail/guardrail_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream
arn:
partition
:kinesis:region
:account_ID
:stream/stream_name
AWS::Kinesis::StreamConsumer
arn:
partition
:kinesis:region
:account_ID
:stream_type
/stream_name
/consumer/consumer_name
:consumer_creation_timestamp
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::MachineLearning::MlModel
arn:
partition
:machinelearning:region
:account_ID
:mlmodel/model_ID
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::One::UKey
arn:
partition
:one:region
:account_ID
:user/user_ID
/u-key/u-key_ID
AWS::One::User
arn:
partition
:one:region
:account_ID
:user/user_ID
AWS::PaymentCryptography::Alias
arn:
partition
:payment-cryptography:region
:account_ID
:alias/alias
AWS::PaymentCryptography::Key
arn:
partition
:payment-cryptography:region
:account_ID
:key/key_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::PCAConnectorSCEP::Connector
arn:
partition
:pca-connector-scep:region
:account_ID
:connector/connector_ID
AWS::QApps:QApp
arn:
partition
:qapps:region
:account_ID
:application/application_UUID
/qapp/qapp_UUID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::RUM::AppMonitor
arn:
partition
:rum:region
:account_ID
:appmonitor/app_monitor_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3Express::Object
arn:
partition
:s3express:region
:account_ID
:bucket/bucket_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
ARNHarus dalam salah satu format berikut:
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine
ARNHarus dalam salah satu format berikut:
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
/label_name
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 Untuk tabel dengan aliran diaktifkan,
resources
bidang dalam peristiwa data berisi keduanyaAWS::DynamoDB::Stream
danAWS::DynamoDB::Table
. Jika Anda menentukanAWS::DynamoDB::Table
untukresources.type
, itu akan mencatat kedua tabel DynamoDB dan DynamoDB stream peristiwa secara default. Untuk mengecualikan peristiwa aliran, tambahkan filter dieventName
bidang.2 Untuk mencatat semua peristiwa data untuk semua objek dalam bucket S3 tertentu, gunakan
StartsWith
operator, dan sertakan hanya bucket ARN sebagai nilai yang cocok. Garis miring disengaja; jangan mengecualikannya.3 Untuk mencatat peristiwa pada semua objek di titik akses S3, sebaiknya Anda hanya menggunakan titik aksesARN, jangan sertakan jalur objek, dan gunakan
NotStartsWith
operatorStartsWith
atau. -
Untuk informasi selengkapnya tentang ARN format sumber daya peristiwa data, lihat Kunci tindakan, sumber daya, dan kondisi di AWS Identity and Access Management Panduan Pengguna.
-
-
Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi. Misalnya, untuk mengecualikan peristiwa data untuk dua bucket S3 dari peristiwa data yang dicatat di penyimpanan data peristiwa, Anda dapat mengatur bidang ke sumber daya. ARN, setel operator untuk tidak memulai, lalu tempel di ember S3ARN, atau telusuri ember S3 yang tidak ingin Anda catat peristiwa.
Untuk menambahkan bucket S3 kedua, pilih + Condition, lalu ulangi instruksi sebelumnya, tempelkan ARN for atau browsing untuk bucket yang berbeda.
Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.
catatan
Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti.
eventName
Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih. -
Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang. Misalnya, jangan tentukan pemilih ARN dalam satu agar sama dengan nilai, lalu tentukan bahwa ARN tidak sama dengan nilai yang sama di pemilih lain.
-
-
Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data. Ulangi langkah 6 melalui langkah ini untuk mengonfigurasi pemilih acara lanjutan untuk tipe peristiwa data.
-
Setelah Anda meninjau dan memverifikasi pilihan Anda, pilih Simpan perubahan.
Dalam AWS Management Console, jika jejak Anda menggunakan pemilih acara lanjutan, Anda dapat memilih dari templat yang telah ditentukan sebelumnya yang mencatat semua peristiwa data pada sumber daya yang dipilih. Setelah Anda memilih template pemilih log, Anda dapat menyesuaikan template untuk menyertakan hanya peristiwa data yang paling ingin Anda lihat. Untuk informasi selengkapnya tentang penggunaan pemilih acara tingkat lanjut, lihat Memfilter peristiwa data dengan menggunakan pemilih acara lanjutan di topik ini.
-
Pada halaman Dashboard atau Trails CloudTrail konsol, pilih jejak yang ingin Anda perbarui.
-
Pada halaman detail, dalam peristiwa Data, pilih Edit.
-
Jika Anda belum mencatat peristiwa data, pilih kotak centang Peristiwa data.
-
Untuk tipe peristiwa Data, pilih jenis sumber daya tempat Anda ingin mencatat peristiwa data.
-
Pilih templat pemilih log. CloudTrail termasuk template yang telah ditetapkan yang mencatat semua peristiwa data untuk jenis sumber daya. Untuk membuat template pemilih log kustom, pilih Kustom.
catatan
Memilih template yang telah ditentukan untuk bucket S3 memungkinkan pencatatan peristiwa data untuk semua bucket yang saat ini ada di AWS akun dan ember apa pun yang Anda buat setelah Anda selesai membuat jejak. Ini juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun, bahkan jika aktivitas itu dilakukan pada ember milik orang lain AWS akun.
Jika jejak hanya berlaku untuk satu Wilayah, memilih templat yang telah ditentukan sebelumnya yang mencatat semua bucket S3 memungkinkan pencatatan peristiwa data untuk semua bucket di Wilayah yang sama dengan jejak Anda dan bucket apa pun yang Anda buat nanti di Wilayah tersebut. Ini tidak akan mencatat peristiwa data untuk bucket Amazon S3 di Wilayah lain di AWS akun.
Jika Anda membuat jejak untuk semua Wilayah, memilih templat yang telah ditentukan untuk fungsi Lambda memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada AWS akun, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah mana pun setelah Anda selesai membuat jejak. Jika Anda membuat jejak untuk satu Wilayah (untuk jalur, ini hanya dapat dilakukan dengan menggunakan AWS CLI), pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di Wilayah itu di AWS akun, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah itu setelah Anda selesai membuat jejak. Itu tidak mengaktifkan pencatatan peristiwa data untuk fungsi Lambda yang dibuat di Wilayah lain.
Pencatatan peristiwa data untuk semua fungsi juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun, bahkan jika aktivitas itu dilakukan pada fungsi milik orang lain AWS akun.
-
(Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih peristiwa lanjutan, seperti “Log peristiwa data hanya untuk dua bucket S3”. Nama pemilih terdaftar seperti
Name
pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON -
Di Advanced event selectors, buat ekspresi untuk sumber daya spesifik tempat Anda ingin mencatat peristiwa data. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.
-
Pilih dari bidang berikut.
-
readOnly
-readOnly
dapat diatur untuk sama dengan nilaitrue
ataufalse
. Peristiwa data hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, sepertiGet*
atauDescribe*
peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*
,Delete*
, atauWrite*
peristiwa. Untuk mencatat keduanyaread
danwrite
peristiwa, jangan tambahkanreadOnly
pemilih. -
eventName
-eventName
dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa data apa pun yang dicatat CloudTrail, sepertiPutBucket
,GetItem
, atauGetSnapshotBlock
. -
resources.ARN
- Anda dapat menggunakan operator apa pun denganresources.ARN
, tetapi jika Anda menggunakan sama atau tidak sama, nilainya harus sama persis dengan sumber daya yang valid dari jenis yang telah Anda tentukan dalam templat sebagai nilairesources.type
. ARNTabel berikut menunjukkan ARN format yang valid untuk masing-masing
resources.type
.catatan
Anda tidak dapat menggunakan
resources.ARN
bidang untuk memfilter jenis sumber daya yang tidak dimilikiARNs.resources.type sumber daya. ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::amzn-s3-demo-bucket
/ arn:partition
:s3:::amzn-s3-demo-bucket
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::FlowAlias
arn:
partition
:bedrock:region
:account_ID
:flow/flow_ID
/alias/alias_ID
AWS::Bedrock::Guardrail
arn:
partition
:bedrock:region
:account_ID
:guardrail/guardrail_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream
arn:
partition
:kinesis:region
:account_ID
:stream/stream_name
AWS::Kinesis::StreamConsumer
arn:
partition
:kinesis:region
:account_ID
:stream_type
/stream_name
/consumer/consumer_name
:consumer_creation_timestamp
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::MachineLearning::MlModel
arn:
partition
:machinelearning:region
:account_ID
:mlmodel/model_ID
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::One::UKey
arn:
partition
:one:region
:account_ID
:user/user_ID
/u-key/u-key_ID
AWS::One::User
arn:
partition
:one:region
:account_ID
:user/user_ID
AWS::PaymentCryptography::Alias
arn:
partition
:payment-cryptography:region
:account_ID
:alias/alias
AWS::PaymentCryptography::Key
arn:
partition
:payment-cryptography:region
:account_ID
:key/key_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::PCAConnectorSCEP::Connector
arn:
partition
:pca-connector-scep:region
:account_ID
:connector/connector_ID
AWS::QApps:QApp
arn:
partition
:qapps:region
:account_ID
:application/application_UUID
/qapp/qapp_UUID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::RUM::AppMonitor
arn:
partition
:rum:region
:account_ID
:appmonitor/app_monitor_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3Express::Object
arn:
partition
:s3express:region
:account_ID
:bucket/bucket_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
ARNHarus dalam salah satu format berikut:
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine
ARNHarus dalam salah satu format berikut:
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
/label_name
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 Untuk tabel dengan aliran diaktifkan,
resources
bidang dalam peristiwa data berisi keduanyaAWS::DynamoDB::Stream
danAWS::DynamoDB::Table
. Jika Anda menentukanAWS::DynamoDB::Table
untukresources.type
, itu akan mencatat kedua tabel DynamoDB dan DynamoDB stream peristiwa secara default. Untuk mengecualikan peristiwa aliran, tambahkan filter dieventName
bidang.2 Untuk mencatat semua peristiwa data untuk semua objek dalam bucket S3 tertentu, gunakan
StartsWith
operator, dan sertakan hanya bucket ARN sebagai nilai yang cocok. Garis miring disengaja; jangan mengecualikannya.3 Untuk mencatat peristiwa pada semua objek di titik akses S3, sebaiknya Anda hanya menggunakan titik aksesARN, jangan sertakan jalur objek, dan gunakan
NotStartsWith
operatorStartsWith
atau. -
Untuk informasi selengkapnya tentang ARN format sumber daya peristiwa data, lihat Kunci tindakan, sumber daya, dan kondisi di AWS Identity and Access Management Panduan Pengguna.
-
-
Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi. Misalnya, untuk mengecualikan peristiwa data untuk dua bucket S3 dari peristiwa data yang dicatat di penyimpanan data peristiwa, Anda dapat mengatur bidang ke sumber daya. ARN, setel operator untuk tidak memulai, lalu tempel di ember S3ARN, atau telusuri ember S3 yang tidak ingin Anda catat peristiwa.
Untuk menambahkan bucket S3 kedua, pilih + Condition, lalu ulangi instruksi sebelumnya, tempelkan ARN for atau browsing untuk bucket yang berbeda.
Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.
catatan
Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti.
eventName
Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih. -
Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang. Misalnya, jangan tentukan pemilih ARN dalam satu agar sama dengan nilai, lalu tentukan bahwa ARN tidak sama dengan nilai yang sama di pemilih lain.
-
-
Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data. Ulangi langkah 4 melalui langkah ini untuk mengonfigurasi pemilih acara lanjutan untuk tipe peristiwa data.
-
Setelah Anda meninjau dan memverifikasi pilihan Anda, pilih Simpan perubahan.
Gunakan prosedur berikut untuk memperbarui jejak yang ada untuk mencatat peristiwa data menggunakan pemilih acara dasar.
-
Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/
. -
Buka halaman Trails CloudTrail konsol dan pilih nama jejak.
catatan
Meskipun Anda dapat mengedit jejak yang ada untuk mencatat peristiwa data, sebagai praktik terbaik, pertimbangkan untuk membuat jejak terpisah khusus untuk mencatat peristiwa data.
-
Untuk peristiwa Data, pilih Edit.
-
Untuk ember Amazon S3:
-
Untuk sumber peristiwa Data, pilih S3.
-
Anda dapat memilih untuk mencatat Semua bucket S3 saat ini dan masa depan, atau Anda dapat menentukan masing-masing bucket atau fungsi. Secara default, peristiwa data dicatat untuk semua bucket S3 saat ini dan masa depan.
catatan
Menjaga opsi All current dan future bucket S3 default memungkinkan pencatatan peristiwa data untuk semua bucket yang saat ini ada di AWS akun dan ember apa pun yang Anda buat setelah Anda selesai membuat jejak. Ini juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun, bahkan jika aktivitas itu dilakukan pada ember milik orang lain AWS akun.
Jika Anda membuat jejak untuk satu Wilayah (dilakukan dengan menggunakan AWS CLI), memilih opsi Pilih semua bucket S3 di akun Anda memungkinkan pencatatan peristiwa data untuk semua bucket di Wilayah yang sama dengan jejak Anda dan bucket apa pun yang Anda buat nanti di Wilayah tersebut. Ini tidak akan mencatat peristiwa data untuk bucket Amazon S3 di Wilayah lain di AWS akun.
-
Jika Anda meninggalkan default, Semua bucket S3 saat ini dan masa depan, pilih untuk mencatat peristiwa Baca, Menulis peristiwa, atau keduanya.
-
Untuk memilih bucket individual, kosongkan kotak centang Baca dan Tulis untuk Semua bucket S3 saat ini dan masa depan. Dalam pemilihan bucket Individual, telusuri bucket untuk mencatat peristiwa data. Untuk menemukan bucket tertentu, ketikkan awalan bucket untuk bucket yang Anda inginkan. Anda dapat memilih beberapa ember di jendela ini. Pilih Tambahkan bucket untuk mencatat peristiwa data untuk bucket lainnya. Pilih untuk mencatat peristiwa Baca, seperti
GetObject
, Menulis peristiwa, sepertiPutObject
, atau keduanya.Pengaturan ini lebih diutamakan daripada setelan individual yang Anda konfigurasikan untuk masing-masing bucket. Misalnya, jika Anda menentukan peristiwa Pencatatan Baca untuk semua bucket S3, lalu memilih untuk menambahkan bucket tertentu untuk pencatatan peristiwa data, Baca sudah dipilih untuk bucket yang Anda tambahkan. Anda tidak dapat menghapus pilihan. Anda hanya dapat mengonfigurasi opsi untuk Menulis.
Untuk menghapus ember dari logging, pilih X.
-
-
Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data.
-
Untuk fungsi Lambda:
-
Untuk sumber peristiwa Data, pilih Lambda.
-
Dalam fungsi Lambda, pilih Semua wilayah untuk mencatat semua fungsi Lambda, atau fungsi Input ARN untuk mencatat peristiwa data pada fungsi tertentu.
Untuk mencatat peristiwa data untuk semua fungsi Lambda di AWS akun, pilih Log semua fungsi saat ini dan masa depan. Pengaturan ini lebih diutamakan daripada pengaturan individual yang Anda konfigurasikan untuk fungsi individual. Semua fungsi dicatat, bahkan jika semua fungsi tidak ditampilkan.
catatan
Jika Anda membuat jejak untuk semua Wilayah, pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada AWS akun, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah mana pun setelah Anda selesai membuat jejak. Jika Anda membuat jejak untuk satu Wilayah (dilakukan dengan menggunakan AWS CLI), pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di Wilayah itu di AWS akun, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah itu setelah Anda selesai membuat jejak. Itu tidak mengaktifkan pencatatan peristiwa data untuk fungsi Lambda yang dibuat di Wilayah lain.
Pencatatan peristiwa data untuk semua fungsi juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh pengguna atau peran apa pun di AWS akun, bahkan jika aktivitas itu dilakukan pada fungsi milik orang lain AWS akun.
-
Jika Anda memilih fungsi Input as ARN, masukkan ARN fungsi Lambda.
catatan
Jika Anda memiliki lebih dari 15.000 fungsi Lambda di akun Anda, Anda tidak dapat melihat atau memilih semua fungsi di CloudTrail konsol saat membuat jejak. Anda masih dapat memilih opsi untuk mencatat semua fungsi, meskipun tidak ditampilkan. Jika Anda ingin mencatat peristiwa data untuk fungsi tertentu, Anda dapat menambahkan fungsi secara manual jika Anda mengetahuinyaARN. Anda juga dapat menyelesaikan pembuatan jejak di konsol, dan kemudian menggunakan AWS CLI dan put-event-selectors perintah untuk mengonfigurasi pencatatan peristiwa data untuk fungsi Lambda tertentu. Untuk informasi selengkapnya, lihat Mengelola jalur dengan AWS CLI.
-
-
Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data.
-
Untuk tabel DynamoDB:
-
Untuk sumber peristiwa Data, pilih DynamoDB.
-
Dalam pemilihan tabel DynamoDB, pilih Browse untuk memilih tabel, atau tempel tabel DynamoDB yang dapat Anda akses. ARN Sebuah ARN tabel DynamoDB menggunakan format berikut:
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
Untuk menambahkan tabel lain, pilih Tambah baris, dan telusuri tabel atau tempel di tabel yang dapat Anda akses. ARN
-
-
Pilih Simpan perubahan.
Mencatat peristiwa data dengan AWS Command Line Interface
Anda dapat mengonfigurasi jejak atau penyimpanan data peristiwa untuk mencatat peristiwa data menggunakan AWS CLI.
Topik
Mencatat peristiwa data untuk jejak dengan AWS CLI
Anda dapat mengonfigurasi jejak Anda untuk mencatat manajemen dan peristiwa data menggunakan AWS CLI.
catatan
-
Ketahuilah bahwa jika akun Anda mencatat lebih dari satu salinan acara manajemen, Anda dikenakan biaya. Selalu ada biaya untuk mencatat peristiwa data. Untuk informasi selengkapnya, silakan lihat AWS CloudTrail Harga
. -
Anda dapat menggunakan penyeleksi acara lanjutan atau pemilih acara dasar, tetapi tidak keduanya. Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa.
-
Jika jejak Anda menggunakan pemilih acara dasar, Anda hanya dapat mencatat jenis sumber daya berikut:
-
AWS::DynamoDB::Table
-
AWS::Lambda::Function
-
AWS::S3::Object
Untuk mencatat jenis sumber daya tambahan, Anda harus menggunakan pemilih acara lanjutan. Untuk mengonversi jejak menjadi penyeleksi peristiwa lanjutan, jalankan get-event-selectors perintah untuk mengonfirmasi penyeleksi peristiwa saat ini, lalu konfigurasikan pemilih acara lanjutan agar sesuai dengan cakupan pemilih peristiwa sebelumnya, lalu tambahkan pemilih untuk jenis sumber daya apa pun yang ingin Anda catat peristiwa data log.
-
-
Anda dapat menggunakan pemilih acara lanjutan untuk memfilter berdasarkan nilai
eventName
,resources.ARN
, danreadOnly
bidang, sehingga Anda dapat mencatat hanya peristiwa data yang menarik. Untuk informasi selengkapnya tentang mengonfigurasi bidang ini, lihat AdvancedFieldSelectordi AWS CloudTrail APIReferensi dan Memfilter peristiwa data dengan menggunakan pemilih acara lanjutan dalam topik ini.
Untuk melihat apakah jejak Anda mencatat manajemen dan peristiwa data, jalankan get-event-selectors
aws cloudtrail get-event-selectors --trail-name
TrailName
Perintah mengembalikan pemilih acara untuk jejak.
Topik
- Log peristiwa dengan menggunakan pemilih acara tingkat lanjut
- Catat semua peristiwa Amazon S3 untuk bucket Amazon S3 dengan menggunakan pemilih acara lanjutan
- Masuk Amazon S3 aktif AWS Outposts acara dengan menggunakan penyeleksi acara tingkat lanjut
- Log peristiwa dengan menggunakan pemilih acara dasar
Log peristiwa dengan menggunakan pemilih acara tingkat lanjut
catatan
Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa. Sebelum mengonfigurasi penyeleksi acara lanjutan, jalankan get-event-selectors perintah untuk mengonfirmasi pemilih peristiwa saat ini, lalu konfigurasikan pemilih acara lanjutan agar sesuai dengan cakupan pemilih acara sebelumnya, lalu tambahkan penyeleksi untuk peristiwa data tambahan yang ingin Anda log.
Contoh berikut membuat penyeleksi acara lanjutan kustom untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen baca dan tulis (dengan menghilangkan readOnly
pemilih), PutObject
dan peristiwa DeleteObject
data untuk semua kombinasi bucket/awalan Amazon S3 kecuali untuk bucket bernama dan peristiwa data untuk amzn-s3-demo-bucket
AWS Lambda fungsi bernamaMyLambdaFunction
. Karena ini adalah penyeleksi acara lanjutan khusus, setiap set penyeleksi memiliki nama deskriptif. Perhatikan bahwa garis miring adalah bagian dari ARN nilai untuk bucket S3.
aws cloudtrail put-event-selectors --trail-name
TrailName
--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Catat semua peristiwa Amazon S3 untuk bucket Amazon S3 dengan menggunakan pemilih acara lanjutan
catatan
Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa.
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa data untuk semua objek Amazon S3 dalam bucket S3 tertentu. Nilai untuk acara S3 untuk resources.type
bidang tersebut adalahAWS::S3::Object
. Karena ARN nilai untuk objek S3 dan bucket S3 sedikit berbeda, Anda harus menambahkan StartsWith
operator resources.ARN
untuk menangkap semua peristiwa.
aws cloudtrail put-event-selectors --trail-name
TrailName
--regionregion
\ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition
:s3:::amzn-s3-demo-bucket
/"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:
region
:account_ID
:trail/TrailName
", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:partition
:s3:::amzn-s3-demo-bucket
/" ] } ] } ] }
Masuk Amazon S3 aktif AWS Outposts acara dengan menggunakan penyeleksi acara tingkat lanjut
catatan
Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa.
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa data untuk semua objek Amazon S3 di Outposts di pos terdepan Anda.
aws cloudtrail put-event-selectors --trail-name
TrailName
--regionregion
\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:
region
:account_ID
:trail/TrailName
", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ] }
Log peristiwa dengan menggunakan pemilih acara dasar
Berikut ini adalah contoh hasil dari get-event-selectors perintah yang menunjukkan pemilih acara dasar. Secara default, saat Anda membuat jejak dengan menggunakan AWS CLI, jejak mencatat semua peristiwa manajemen. Secara default, jejak tidak mencatat peristiwa data.
{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ] }
Untuk mengonfigurasi jejak Anda ke manajemen log dan peristiwa data, jalankan put-event-selectors
Contoh berikut menunjukkan cara menggunakan pemilih peristiwa dasar untuk mengonfigurasi jejak Anda agar menyertakan semua peristiwa manajemen dan data untuk objek S3 dalam dua awalan bucket S3. Anda dapat menentukan dari 1 hingga 5 penyeleksi acara untuk jejak. Anda dapat menentukan dari 1 hingga 250 sumber daya data untuk jejak.
catatan
Jumlah maksimum sumber daya data S3 adalah 250, jika Anda memilih untuk membatasi peristiwa data dengan menggunakan pemilih acara dasar.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1
/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2
;/prefix2"] }] }]'
Perintah mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket1
/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2
/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ] }
Pencatatan peristiwa data untuk menyimpan data acara dengan AWS CLI
Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa data menggunakan AWS CLI. Gunakan create-event-data-store
update-event-data-store
Untuk melihat apakah penyimpanan data acara Anda menyertakan peristiwa data, jalankan get-event-data-store
aws cloudtrail get-event-data-store --event-data-store
EventDataStoreARN
Perintah mengembalikan pengaturan untuk penyimpanan data acara.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa", "Name": "ebs-data-events", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log all EBS direct APIs on EBS snapshots", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::EC2::Snapshot" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00" }
Sertakan semua acara Amazon S3 untuk ember
Contoh berikut menunjukkan cara membuat penyimpanan data peristiwa untuk menyertakan semua peristiwa data untuk semua objek Amazon S3 dalam bucket S3 tertentu. Nilai untuk acara S3 untuk resources.type
bidang tersebut adalahAWS::S3::Object
. Karena ARN nilai untuk objek S3 dan bucket S3 sedikit berbeda, Anda harus menambahkan StartsWith
operator resources.ARN
untuk menangkap semua peristiwa.
aws cloudtrail create-event-data-store --name "
EventDataStoreName
" --multi-region-enabled \ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition
:s3:::amzn-s3-demo-bucket
/"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:
partition
:s3:::amzn-s3-demo-bucket
/" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2023-11-20T20:49:21.766000+00:00" }
Sertakan Amazon S3 di AWS Outposts peristiwa
Contoh berikut menunjukkan cara membuat penyimpanan data peristiwa yang mencakup semua peristiwa data untuk semua objek Amazon S3 di Outposts di pos terdepan Anda.
aws cloudtrail create-event-data-store --name
EventDataStoreName
\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00" }
Peristiwa data pencatatan untuk AWS Config kepatuhan
Jika Anda menggunakan AWS Config paket kesesuaian untuk membantu perusahaan Anda mempertahankan kepatuhan terhadap standar formal seperti yang disyaratkan oleh Federal Risk and Authorization Management Program (FedRAMP) atau National Institute of Standards and Technology (NIST), paket kesesuaian untuk kerangka kerja kepatuhan umumnya mengharuskan Anda untuk mencatat peristiwa data untuk bucket Amazon S3, minimal. Paket kesesuaian untuk kerangka kerja kepatuhan mencakup aturan terkelola yang disebut cloudtrail-s3-dataevents-enabled
yang memeriksa pencatatan peristiwa data S3 di akun Anda. Banyak paket kesesuaian yang tidak terkait dengan kerangka kerja kepatuhan juga memerlukan pencatatan peristiwa data S3. Berikut ini adalah contoh paket kesesuaian yang menyertakan aturan ini.
Untuk daftar lengkap paket kesesuaian sampel yang tersedia di AWS Config, lihat Templat sampel paket kesesuaian di AWS Config Panduan Pengembang.
Mencatat peristiwa data dengan AWS SDKs
Jalankan GetEventSelectorsoperasi untuk melihat apakah jejak Anda mencatat peristiwa data. Anda dapat mengonfigurasi jejak Anda untuk mencatat peristiwa data dengan menjalankan PutEventSelectorsoperasi. Untuk informasi lebih lanjut, lihat AWS CloudTrail APIReferensi.
Jalankan GetEventDataStoreoperasi untuk melihat apakah penyimpanan data acara Anda mencatat peristiwa data. Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa data dengan menjalankan UpdateEventDataStoreoperasi CreateEventDataStoreatau dan menentukan pemilih acara lanjutan. Untuk informasi lebih lanjut, lihat Membuat, memperbarui, dan mengelola penyimpanan data acara dengan AWS CLI dan AWS CloudTrail APIReferensi.