Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mencatat peristiwa aktivitas jaringan
catatan
Acara aktivitas jaringan dalam rilis pratinjau untuk CloudTrail dan dapat berubah sewaktu-waktu.
CloudTrail peristiwa aktivitas jaringan memungkinkan pemilik titik akhir VPC merekam panggilan AWS API yang dilakukan menggunakan titik akhir VPC mereka dari VPC pribadi ke. Layanan AWS Peristiwa aktivitas jaringan memberikan visibilitas ke dalam operasi sumber daya yang dilakukan dalam VPC. Misalnya, mencatat peristiwa aktivitas jaringan dapat membantu pemilik titik akhir VPC mendeteksi saat kredensi dari luar organisasi mereka mencoba mengakses titik akhir VPC mereka.
Anda dapat mencatat peristiwa aktivitas jaringan untuk layanan berikut:
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
Anda dapat mengonfigurasi penyimpanan data jejak dan peristiwa untuk mencatat peristiwa aktivitas jaringan.
Secara default, jejak dan penyimpanan data peristiwa tidak mencatat peristiwa aktivitas jaringan. Biaya tambahan berlaku untuk acara aktivitas jaringan. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail
Daftar Isi
- Bidang pemilih acara lanjutan untuk acara aktivitas jaringan
- Mencatat peristiwa aktivitas jaringan dengan AWS Management Console
- Mencatat peristiwa aktivitas jaringan dengan AWS Command Line Interface
- Mencatat peristiwa dengan AWS SDKs
Bidang pemilih acara lanjutan untuk acara aktivitas jaringan
Anda mengonfigurasi pemilih peristiwa lanjutan untuk mencatat peristiwa aktivitas jaringan dengan menentukan sumber acara yang ingin Anda log aktivitas. Anda dapat mengonfigurasi pemilih acara lanjutan menggunakan AWS SDKs, AWS CLI, atau CloudTrail konsol.
Bidang pemilih peristiwa lanjutan berikut diperlukan untuk mencatat peristiwa aktivitas jaringan:
-
eventCategory— Untuk mencatat peristiwa aktivitas jaringan, nilainya harusNetworkActivity.eventCategoryhanya dapat menggunakanEqualsoperator. -
eventSource— Sumber acara yang ingin Anda catat peristiwa aktivitas jaringan.eventSourcehanya dapat menggunakanEqualsoperator. Jika Anda ingin mencatat peristiwa aktivitas jaringan untuk beberapa sumber peristiwa, Anda harus membuat pemilih bidang terpisah untuk setiap sumber peristiwa.Nilai yang valid meliputi:
-
cloudtrail.amazonaws.com -
ec2.amazonaws.com -
kms.amazonaws.com -
secretsmanager.amazonaws.com
-
Bidang pemilih acara lanjutan berikut adalah opsional:
-
eventName— Tindakan yang diminta yang ingin Anda filter. Misalnya,CreateKeyatauListKeys.eventNamedapat menggunakan operator apa pun. -
errorCode— Kode kesalahan yang diminta yang ingin Anda filter. Saat ini, satu-satunya yang validerrorCodeadalahVpceAccessDenied. Anda hanya dapat menggunakanEqualsoperator denganerrorCode. -
vpcEndpointId— Mengidentifikasi titik akhir VPC yang dilewati operasi. Anda dapat menggunakan operator apa pun denganvpcEndpointId.
Peristiwa aktivitas jaringan tidak dicatat secara default saat Anda membuat penyimpanan data jejak atau peristiwa. Untuk merekam peristiwa aktivitas CloudTrail jaringan, Anda harus secara eksplisit mengonfigurasi setiap sumber peristiwa yang ingin Anda kumpulkan aktivitasnya.
Biaya tambahan berlaku untuk peristiwa aktivitas jaringan logging. Untuk CloudTrail harga, lihat AWS CloudTrail Harga
Mencatat peristiwa aktivitas jaringan dengan AWS Management Console
Anda dapat memperbarui penyimpanan data jejak atau peristiwa yang ada untuk mencatat peristiwa aktivitas jaringan menggunakan konsol.
Topik
Memperbarui jejak yang ada untuk mencatat peristiwa aktivitas jaringan
Gunakan prosedur berikut untuk memperbarui jejak yang ada untuk mencatat peristiwa aktivitas jaringan.
catatan
Biaya tambahan berlaku untuk peristiwa aktivitas jaringan logging. Untuk CloudTrail harga, lihat AWS CloudTrail
Harga
Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/
. -
Di panel navigasi kiri CloudTrail konsol, buka halaman Trails, dan pilih nama jejak.
-
Di acara aktivitas jaringan, pilih Edit.
Untuk mencatat peristiwa aktivitas jaringan, lakukan langkah-langkah berikut:
-
Dari sumber peristiwa aktivitas jaringan, pilih sumber untuk peristiwa aktivitas jaringan.
-
Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa aktivitas jaringan, mencatat semua peristiwa yang ditolak akses aktivitas jaringan, atau memilih Kustom untuk membuat pemilih log kustom untuk memfilter pada beberapa bidang, seperti
eventNamedanvpcEndpointId. -
(Opsional) Masukkan nama untuk mengidentifikasi pemilih. Nama pemilih terdaftar sebagai Nama di pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan JSON.
-
Di Penyeleksi acara lanjutan membangun ekspresi dengan memilih nilai untuk Bidang, Operator, dan Nilai. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.
-
Untuk mengecualikan atau menyertakan peristiwa aktivitas jaringan, Anda dapat memilih dari bidang berikut di konsol.
-
eventName— Anda dapat menggunakan operator apa pun denganeventName. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara apa pun, sepertiCreateKey. -
errorCode— Anda dapat menggunakannya untuk memfilter kode kesalahan. Saat ini, satu-satunya yang didukungerrorCodeadalahVpceAccessDenied. -
vpcEndpointId— Mengidentifikasi titik akhir VPC yang dilewati operasi. Anda dapat menggunakan operator apa pun denganvpcEndpointId.
-
-
Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi.
-
Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang.
-
-
Untuk menambahkan sumber peristiwa lain yang ingin Anda log peristiwa aktivitas jaringan, pilih Tambahkan pemilih peristiwa aktivitas jaringan.
-
Secara opsional, perluas tampilan JSON untuk melihat pemilih acara lanjutan Anda sebagai blok JSON.
-
-
Pilih Simpan perubahan untuk menyimpan perubahan Anda.
Memperbarui penyimpanan data peristiwa yang ada untuk mencatat peristiwa aktivitas jaringan
Gunakan prosedur berikut untuk memperbarui penyimpanan data peristiwa yang ada untuk mencatat peristiwa aktivitas jaringan.
catatan
Anda hanya dapat mencatat peristiwa aktivitas jaringan pada penyimpanan data peristiwa dari jenis CloudTrail peristiwa.
Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/
. -
Di panel navigasi kiri CloudTrail konsol, di bawah Danau, pilih Penyimpanan data acara.
-
Pilih nama penyimpanan data acara.
-
Di acara aktivitas jaringan, pilih Edit.
Untuk mencatat peristiwa aktivitas jaringan, lakukan langkah-langkah berikut:
-
Dari sumber peristiwa aktivitas jaringan, pilih sumber untuk peristiwa aktivitas jaringan.
-
Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa aktivitas jaringan, mencatat semua peristiwa yang ditolak akses aktivitas jaringan, atau memilih Kustom untuk membuat pemilih log kustom untuk memfilter pada beberapa bidang, seperti
eventNamedanvpcEndpointId. -
(Opsional) Masukkan nama untuk mengidentifikasi pemilih. Nama pemilih terdaftar sebagai Nama di pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan JSON.
-
Di Penyeleksi acara lanjutan membangun ekspresi dengan memilih nilai untuk Bidang, Operator, dan Nilai. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.
-
Untuk mengecualikan atau menyertakan peristiwa aktivitas jaringan, Anda dapat memilih dari bidang berikut di konsol.
-
eventName— Anda dapat menggunakan operator apa pun denganeventName. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara apa pun, sepertiCreateKey. -
errorCode— Anda dapat menggunakannya untuk memfilter kode kesalahan. Saat ini, satu-satunya yang didukungerrorCodeadalahVpceAccessDenied. -
vpcEndpointId— Mengidentifikasi titik akhir VPC yang dilewati operasi. Anda dapat menggunakan operator apa pun denganvpcEndpointId.
-
-
Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi.
-
Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang.
-
-
Untuk menambahkan sumber peristiwa lain yang ingin Anda log peristiwa aktivitas jaringan, pilih Tambahkan pemilih peristiwa aktivitas jaringan.
-
Secara opsional, perluas tampilan JSON untuk melihat pemilih acara lanjutan Anda sebagai blok JSON.
-
-
Pilih Simpan perubahan untuk menyimpan perubahan Anda.
Mencatat peristiwa aktivitas jaringan dengan AWS Command Line Interface
Anda dapat mengonfigurasi jejak atau penyimpanan data peristiwa untuk mencatat peristiwa aktivitas jaringan menggunakan file. AWS CLI
Topik
Contoh: Mencatat peristiwa aktivitas jaringan untuk jejak
Anda dapat mengonfigurasi jejak Anda untuk mencatat peristiwa aktivitas jaringan menggunakan file. AWS CLI Jalankan put-event-selectors
Untuk melihat apakah jejak Anda mencatat peristiwa aktivitas jaringan, jalankan get-event-selectors
Topik
Contoh: Log peristiwa aktivitas jaringan untuk CloudTrail operasi
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa aktivitas jaringan untuk operasi CloudTrail API, seperti CreateTrail dan CreateEventDataStore panggilan. Nilai untuk eventSource bidang tersebut adalahcloudtrail.amazonaws.com.
aws cloudtrail put-event-selectors / --trail-nameTrailName/ --regionregion/ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ] }
Contoh: Log VpceAccessDenied peristiwa untuk AWS KMS
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan VpceAccessDenied acara AWS KMS. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa dan eventSource bidang sama dengankms.amazonaws.com.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ] }
Contoh: Log EC2 VpceAccessDenied peristiwa melalui titik akhir VPC tertentu
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan VpceAccessDenied peristiwa untuk Amazon EC2 untuk titik akhir VPC tertentu. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa, eventSource bidang sama denganec2.amazonaws.com, dan vpcEndpointId sama dengan titik akhir VPC yang diinginkan.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ] }
Contoh: Log semua peristiwa manajemen dan peristiwa aktivitas jaringan untuk beberapa sumber acara
Contoh berikut mengonfigurasi jejak untuk mencatat peristiwa manajemen dan semua peristiwa aktivitas jaringan untuk CloudTrail, Amazon EC2 AWS KMS, dan sumber AWS Secrets Manager peristiwa.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["secretsmanager.amazonaws.com"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "secretsmanager.amazonaws.com" ] } ] } ] }
Contoh: Logging peristiwa aktivitas jaringan untuk menyimpan data acara
Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa aktivitas jaringan menggunakan AWS CLI. Gunakan create-event-data-storeupdate-event-data-store
Untuk melihat apakah penyimpanan data acara Anda menyertakan peristiwa aktivitas jaringan, jalankan get-event-data-store
aws cloudtrail get-event-data-store --event-data-storeEventDataStoreARN
Topik
Contoh: Log semua peristiwa aktivitas jaringan untuk CloudTrail operasi
Contoh berikut menunjukkan cara membuat penyimpanan data peristiwa yang mencakup semua peristiwa aktivitas jaringan yang terkait dengan CloudTrail operasi, seperti panggilan ke CreateTrail danCreateEventDataStore. Nilai untuk eventSource bidang diatur kecloudtrail.amazonaws.com.
aws cloudtrail create-event-data-store \ --name "EventDataStoreName" \ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Contoh: Log VpceAccessDenied peristiwa untuk AWS KMS
Contoh berikut menunjukkan cara membuat penyimpanan data acara untuk menyertakan VpceAccessDenied acara untuk AWS KMS. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa dan eventSource bidang sama dengankms.amazonaws.com.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Contoh: Log EC2 VpceAccessDenied peristiwa melalui titik akhir VPC tertentu
Contoh berikut menunjukkan cara membuat penyimpanan data peristiwa untuk menyertakan VpceAccessDenied peristiwa untuk Amazon EC2 untuk titik akhir VPC tertentu. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa, eventSource bidang sama denganec2.amazonaws.com, dan vpcEndpointId sama dengan titik akhir VPC yang diinginkan.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Contoh: Log semua peristiwa manajemen dan peristiwa aktivitas jaringan untuk beberapa sumber acara
Contoh berikut memperbarui penyimpanan data peristiwa yang saat ini hanya mencatat peristiwa manajemen untuk juga mencatat peristiwa aktivitas jaringan untuk beberapa sumber peristiwa. Untuk memperbarui penyimpanan data acara untuk menambahkan pemilih acara baru, jalankan get-event-data-store perintah untuk mengembalikan pemilih acara lanjutan saat ini. Kemudian, jalankan update-event-data-store perintah dan teruskan --advanced-event-selectors yang menyertakan pemilih saat ini ditambah pemilih baru. Untuk mencatat peristiwa aktivitas jaringan untuk beberapa sumber peristiwa, sertakan satu pemilih untuk setiap sumber peristiwa yang ingin Anda log.
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --advanced-event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["secretsmanager.amazonaws.com"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "secretsmanager.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00" }
Mencatat peristiwa dengan AWS SDKs
Jalankan GetEventSelectorsoperasi untuk melihat apakah jejak Anda mencatat peristiwa aktivitas jaringan. Anda dapat mengonfigurasi jejak Anda untuk mencatat peristiwa aktivitas jaringan dengan menjalankan PutEventSelectorsoperasi. Untuk informasi lebih lanjut, lihat Referensi API AWS CloudTrail.
Jalankan GetEventDataStoreoperasi untuk melihat apakah penyimpanan data acara Anda mencatat peristiwa aktivitas jaringan. Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa aktivitas jaringan dengan menjalankan CreateEventDataStoreatau UpdateEventDataStoreoperasi dan menentukan pemilih acara lanjutan. Untuk informasi selengkapnya, lihat Membuat, memperbarui, dan mengelola penyimpanan data acara dengan AWS CLI dan Referensi AWS CloudTrail API.
