Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Acara manajemen pencatatan
Secara default, jejak dan data peristiwa menyimpan peristiwa manajemen log dan tidak menyertakan data atau peristiwa Wawasan.
Biaya tambahan berlaku untuk data atau acara Wawasan. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail
Daftar Isi
Acara manajemen
Acara manajemen memberikan visibilitas ke dalam operasi manajemen yang dilakukan pada sumber daya di AWS akun Anda. Ini juga dikenal sebagai operasi pesawat kontrol. Contoh acara manajemen meliputi:
-
Mengkonfigurasi keamanan (misalnya, IAM
AttachRolePolicyAPI operasi) -
Mendaftarkan perangkat (misalnya, EC2
CreateDefaultVpcAPI operasi Amazon) -
Mengkonfigurasi aturan untuk merutekan data (misalnya, operasi Amazon EC2
CreateSubnetAPI) -
Menyiapkan logging (misalnya, AWS CloudTrail
CreateTrailAPI operasi)
Acara manajemen juga dapat mencakup API non-peristiwa yang terjadi di akun Anda. Misalnya, ketika pengguna masuk ke akun Anda, CloudTrail mencatat ConsoleLogin peristiwa tersebut. Untuk informasi selengkapnya, lihat APINon-event yang ditangkap oleh CloudTrail.
Secara default, jejak dan penyimpanan data peristiwa dikonfigurasi untuk mencatat peristiwa manajemen.
catatan
Fitur Riwayat CloudTrail acara hanya mendukung acara manajemen. Anda tidak dapat mengecualikan AWS KMS atau API peristiwa RDS Data Amazon dari riwayat Peristiwa; pengaturan yang Anda terapkan ke penyimpanan data jejak atau peristiwa tidak berlaku untuk riwayat Acara. Untuk informasi selengkapnya, lihat Bekerja dengan Riwayat CloudTrail Acara.
Membaca dan menulis acara
Saat mengonfigurasi penyimpanan data jejak atau peristiwa untuk mencatat peristiwa manajemen, Anda dapat menentukan apakah Anda menginginkan peristiwa hanya-baca, peristiwa hanya-tulis, atau keduanya.
-
Membaca
Peristiwa hanya-baca mencakup API operasi yang membaca sumber daya Anda, tetapi tidak membuat perubahan. Misalnya, peristiwa hanya-baca termasuk Amazon EC2
DescribeSecurityGroupsdanDescribeSubnetsAPI operasi. Operasi ini hanya mengembalikan informasi tentang EC2 sumber daya Amazon Anda dan tidak mengubah konfigurasi Anda. -
Menulis
Peristiwa khusus tulis mencakup API operasi yang memodifikasi (atau mungkin memodifikasi) sumber daya Anda. Misalnya, Amazon EC2
RunInstancesdanTerminateInstancesAPI operasi memodifikasi instans Anda.
Contoh: Mencatat peristiwa baca dan tulis untuk jalur terpisah
Contoh berikut menunjukkan cara mengonfigurasi jejak untuk membagi aktivitas log untuk akun menjadi bucket S3 terpisah: satu bucket menerima peristiwa hanya-baca dan bucket kedua menerima peristiwa hanya-tulis.
-
Anda membuat jejak dan memilih bucket S3 bernama
DOC-EXAMPLE-BUCKET1untuk menerima file log. Anda kemudian memperbarui jejak untuk menentukan bahwa Anda ingin Baca acara manajemen. -
Anda membuat jejak kedua dan memilih bucket S3 bernama
DOC-EXAMPLE-BUCKET2untuk menerima file log. Anda kemudian memperbarui jejak untuk menentukan bahwa Anda ingin menulis acara manajemen. -
Amazon EC2
DescribeInstancesdanTerminateInstancesAPI operasi terjadi di akun Anda. -
DescribeInstancesAPIOperasi ini adalah acara hanya-baca dan cocok dengan pengaturan untuk jejak pertama. Jejak mencatat dan mengirimkan acara keDOC-EXAMPLE-BUCKET1. -
TerminateInstancesAPIOperasi ini adalah acara khusus tulis dan cocok dengan pengaturan untuk jejak kedua. Jejak mencatat dan mengirimkan acara keDOC-EXAMPLE-BUCKET2.
Pencatatan peristiwa manajemen dengan AWS Management Console
-
Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/
. -
Untuk memperbarui jejak, buka halaman Trails CloudTrail konsol dan pilih nama jejak.
Untuk memperbarui penyimpanan data acara, buka halaman penyimpanan data acara CloudTrail konsol dan pilih nama penyimpanan data acara.
-
Untuk acara Manajemen, pilih Edit.
-
Pilih apakah Anda ingin penyimpanan data jejak atau acara mencatat peristiwa Baca, Menulis peristiwa, atau keduanya.
-
Pilih Kecualikan AWS KMS peristiwa untuk memfilter AWS Key Management Service (AWS KMS) peristiwa dari jejak atau penyimpanan data acara Anda. Pengaturan default adalah untuk memasukkan semua AWS KMS acara.
Opsi untuk mencatat atau mengecualikan AWS KMS peristiwa hanya tersedia jika Anda mencatat peristiwa manajemen di penyimpanan data jejak atau acara Anda. Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
AWS KMS tindakan seperti
Encrypt,Decrypt, danGenerateDataKeybiasanya menghasilkan volume besar (lebih dari 99%) peristiwa. Tindakan ini sekarang dicatat sebagai peristiwa Baca. Volume rendah, AWS KMS tindakan yang relevan sepertiDisable,Delete, danScheduleKey(yang biasanya menyumbang kurang dari 0,5% dari volume AWS KMS peristiwa) dicatat sebagai peristiwa Tulis.Untuk mengecualikan peristiwa bervolume tinggi seperti
Encrypt,Decrypt, danGenerateDataKey, tetapi masih mencatat peristiwa yang relevan sepertiDisable,DeletedanScheduleKey, pilih untuk mencatat peristiwa manajemen Tulis, dan kosongkan kotak centang untuk Kecualikan AWS KMS peristiwa. -
Pilih Kecualikan API peristiwa RDS Data Amazon untuk memfilter peristiwa Data Layanan API Data Amazon Relational Database dari penyimpanan data jejak atau peristiwa Anda. Pengaturan default adalah untuk menyertakan semua API peristiwa Amazon RDS Data. Untuk informasi selengkapnya tentang API peristiwa RDS Data Amazon, lihat Mencatat API panggilan Data dengan AWS CloudTrail di Panduan RDS Pengguna Amazon untuk Aurora.
-
-
Pilih Simpan perubahan setelah Anda selesai.
Pencatatan peristiwa manajemen dengan AWS CLI
Anda dapat mengonfigurasi jejak atau penyimpanan data peristiwa untuk mencatat peristiwa manajemen menggunakan file. AWS CLI
Topik
Contoh: Acara manajemen pencatatan untuk jalur
Untuk melihat apakah jejak Anda mencatat peristiwa manajemen, jalankan get-event-selectors perintah.
aws cloudtrail get-event-selectors --trail-nameTrailName
Contoh berikut mengembalikan pengaturan default untuk jejak. Secara default, jejak mencatat semua peristiwa manajemen, mencatat peristiwa dari semua sumber peristiwa, dan tidak mencatat peristiwa data.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Anda dapat menggunakan pemilih acara dasar atau lanjutan untuk mencatat peristiwa manajemen. Anda tidak dapat menerapkan pemilih peristiwa dan pemilih peristiwa lanjutan untuk satu jejak. Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa. Bagian berikut memberikan contoh cara mencatat peristiwa manajemen menggunakan pemilih acara lanjutan dan pemilih acara dasar.
Topik
Contoh: Mencatat peristiwa manajemen untuk jalur menggunakan penyeleksi acara tingkat lanjut
Contoh berikut membuat pemilih acara lanjutan untuk jejak bernama TrailName untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis (dengan menghilangkan readOnly pemilih), tetapi untuk mengecualikan () peristiwa. AWS Key Management Service AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
Untuk mulai mencatat AWS KMS peristiwa ke jejak lagi, hapus eventSource pemilih, dan jalankan perintah lagi.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus eventSource pemilih, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Contoh berikutnya membuat pemilih acara lanjutan untuk jejak bernama TrailName untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis (dengan menghilangkan readOnly pemilih), tetapi untuk mengecualikan peristiwa manajemen Data Amazon. RDS API Untuk mengecualikan peristiwa API pengelolaan RDS Data Amazon, tentukan sumber API peristiwa Amazon RDS Data dalam nilai string untuk eventSource bidang:rdsdata.amazonaws.com.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, peristiwa API pengelolaan RDS Data Amazon tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan API peristiwa Amazon RDS Data.
Untuk mulai mencatat peristiwa API pengelolaan RDS Data Amazon ke jejak lagi, hapus eventSource pemilih, dan jalankan perintah lagi.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus eventSource pemilih, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Contoh: Mencatat peristiwa manajemen untuk jalur menggunakan pemilih acara dasar
Untuk mengonfigurasi jejak Anda untuk mencatat peristiwa manajemen, jalankan put-event-selectors perintah. Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa manajemen untuk dua objek S3. Anda dapat menentukan dari 1 hingga 5 penyeleksi acara untuk jejak. Anda dapat menentukan dari 1 hingga 250 sumber daya data untuk jejak.
catatan
Jumlah maksimum sumber daya data S3 adalah 250, terlepas dari jumlah pemilih acara.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/prefix2"] }] }]'
Contoh berikut mengembalikan pemilih acara dikonfigurasi untuk jejak.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] }
Untuk mengecualikan AWS Key Management Service (AWS KMS) peristiwa dari log jejak, jalankan put-event-selectors perintah dan tambahkan atribut ExcludeManagementEventSources dengan nilaikms.amazonaws.com. Contoh berikut membuat pemilih acara untuk jejak bernama TrailName untuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis, tetapi mengecualikan acara. AWS KMS Karena AWS KMS dapat menghasilkan volume peristiwa yang tinggi, pengguna dalam contoh ini mungkin ingin membatasi peristiwa untuk mengelola biaya jejak.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] }
Untuk mengecualikan peristiwa API pengelolaan RDS Data Amazon dari log jejak, jalankan put-event-selectors perintah dan tambahkan atribut ExcludeManagementEventSources dengan nilairdsdata.amazonaws.com. Contoh berikut membuat pemilih acara untuk jejak bernama TrailName untuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis, tetapi mengecualikan peristiwa pengelolaan Data AmazonRDS. API Karena Amazon RDS Data API dapat menghasilkan volume peristiwa manajemen yang tinggi, pengguna dalam contoh ini mungkin ingin membatasi peristiwa untuk mengelola biaya jejak.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] }
Untuk memulai pencatatan AWS KMS atau peristiwa API pengelolaan RDS Data Amazon ke jejak lagi, berikan string kosong sebagai nilaiExcludeManagementEventSources, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Untuk mencatat AWS KMS peristiwa yang relevan ke jejak sepertiDisable, Delete danScheduleKey, tetapi mengecualikan AWS KMS peristiwa volume tinggi sepertiEncrypt,Decrypt, danGenerateDataKey, mencatat peristiwa manajemen khusus tulis, dan menyimpan pengaturan default untuk mencatat AWS KMS peristiwa, seperti yang ditunjukkan dalam contoh berikut.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Contoh: Logging acara manajemen untuk penyimpanan data acara
Untuk melihat apakah penyimpanan data acara Anda menyertakan peristiwa manajemen, jalankan get-event-data-store perintah.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Berikut ini adalah contoh respons. Pembuatan dan waktu pembaruan terakhir dalam timestamp format.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "myManagementEvents", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00", "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00" }
Untuk membuat penyimpanan data acara yang mencakup semua peristiwa manajemen, Anda menjalankan create-event-data-store perintah. Anda tidak perlu menentukan pemilih acara lanjutan apa pun untuk menyertakan semua acara manajemen.
aws cloudtrail create-event-data-store --name my-event-data-store --retention-period 90\
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00", "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00" }
Untuk membuat penyimpanan data peristiwa yang mengecualikan AWS Key Management Service (AWS KMS) peristiwa, jalankan create-event-data-store perintah dan tentukan yang eventSource tidak samakms.amazonaws.com. Contoh berikut membuat penyimpanan data peristiwa yang mencakup peristiwa manajemen hanya-baca dan hanya tulis, tetapi mengecualikan peristiwa. AWS KMS
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]} ] } ]'
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Untuk membuat penyimpanan data peristiwa yang mengecualikan peristiwa API pengelolaan RDS Data Amazon, jalankan create-event-data-store perintah dan tentukan yang eventSource tidak samardsdata.amazonaws.com. Contoh berikut membuat penyimpanan data peristiwa yang mencakup peristiwa manajemen hanya-baca dan hanya tulis, tetapi mengecualikan peristiwa Data Amazon. RDS API
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]} ] } ]'
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Pencatatan peristiwa manajemen dengan AWS SDKs
Gunakan GetEventSelectorsoperasi untuk melihat apakah jejak Anda mencatat peristiwa manajemen untuk jejak. Anda dapat mengonfigurasi jejak Anda untuk mencatat peristiwa manajemen dengan PutEventSelectorsoperasi. Untuk informasi selengkapnya, lihat AWS CloudTrail APIReferensi.
Jalankan GetEventDataStoreoperasi untuk melihat apakah penyimpanan data acara Anda menyertakan acara manajemen. Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa manajemen dengan menjalankan CreateEventDataStoreatau UpdateEventDataStoreoperasi. Untuk informasi lebih lanjut, lihat Membuat, memperbarui, dan mengelola penyimpanan data acara dengan AWS CLI dan AWS CloudTrail APIReferensi.
