Membuat penyimpanan data acara untuk acara Insights dengan konsol - AWS CloudTrail
Untuk membuat penyimpanan data acara tujuan yang mencatat peristiwa WawasanUntuk membuat penyimpanan data peristiwa sumber yang memungkinkan peristiwa Insights

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat penyimpanan data acara untuk acara Insights dengan konsol

AWS CloudTrail Wawasan membantu AWS pengguna mengidentifikasi dan merespons aktivitas tidak biasa yang terkait dengan panggilan API dan tingkat kesalahan API dengan terus menganalisis peristiwa CloudTrail manajemen. CloudTrail Wawasan menganalisis pola normal volume panggilan API dan tingkat kesalahan API, juga disebut baseline, dan menghasilkan peristiwa Insights saat volume panggilan atau tingkat kesalahan berada di luar pola normal. Peristiwa wawasan tentang volume panggilan API dibuat untuk API write manajemen, dan peristiwa Insights tentang tingkat kesalahan API dibuat untuk keduanya read dan API write manajemen.

Untuk mencatat peristiwa Insights di CloudTrail Lake, Anda memerlukan penyimpanan data acara tujuan yang mencatat peristiwa Insights dan penyimpanan data peristiwa sumber yang memungkinkan Insights dan peristiwa manajemen log.

catatan

Untuk mencatat peristiwa Insights pada volume panggilan API, penyimpanan data peristiwa sumber harus mencatat peristiwa write manajemen. Untuk mencatat peristiwa Insights pada tingkat kesalahan API, penyimpanan data peristiwa sumber harus mencatat read atau write mengelola peristiwa.

Jika Anda mengaktifkan CloudTrail Insights di penyimpanan data peristiwa sumber dan CloudTrail mendeteksi aktivitas yang tidak biasa, kirimkan peristiwa CloudTrail Insights ke penyimpanan data acara tujuan Anda. Tidak seperti jenis peristiwa lain yang ditangkap dalam penyimpanan data CloudTrail peristiwa, peristiwa Insights dicatat hanya ketika CloudTrail mendeteksi perubahan dalam penggunaan API akun Anda yang berbeda secara signifikan dari pola penggunaan biasa akun.

Setelah Anda mengaktifkan CloudTrail Insights untuk pertama kalinya di penyimpanan data acara, diperlukan waktu hingga 7 hari CloudTrail untuk menyampaikan acara Insights pertama, jika aktivitas yang tidak biasa terdeteksi.

CloudTrail Wawasan menganalisis peristiwa manajemen yang terjadi di satu Wilayah, bukan secara global. Peristiwa CloudTrail Wawasan dihasilkan di Wilayah yang sama dengan peristiwa manajemen pendukungnya yang dihasilkan.

Untuk penyimpanan data acara organisasi, CloudTrail menganalisis peristiwa manajemen dari akun masing-masing anggota alih-alih menganalisis agregasi semua peristiwa manajemen untuk organisasi.

Biaya tambahan berlaku untuk menelan acara Insights di CloudTrail Danau. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk kedua jalur dan penyimpanan data acara CloudTrail Lake. Untuk informasi tentang CloudTrail harga, lihat AWS CloudTrail Harga.

Untuk membuat penyimpanan data acara tujuan yang mencatat peristiwa Wawasan

Saat membuat penyimpanan data peristiwa Insights, Anda memiliki opsi untuk memilih penyimpanan data peristiwa sumber yang ada yang mencatat peristiwa manajemen dan kemudian menentukan jenis Wawasan yang ingin Anda terima. Atau, Anda dapat mengaktifkan Insights pada penyimpanan data acara baru atau yang sudah ada setelah Anda membuat penyimpanan data acara Insights, lalu memilih penyimpanan data acara ini sebagai penyimpanan data acara tujuan.

Prosedur ini menunjukkan kepada Anda cara membuat penyimpanan data acara tujuan yang mencatat peristiwa Wawasan.

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Dari panel navigasi, buka submenu Danau, lalu pilih Penyimpanan data acara.

  3. Pilih Buat penyimpanan data acara.

  4. Pada halaman Configure event data store, di Rincian umum, masukkan nama untuk penyimpanan data acara. Diperlukan nama.

  5. Pilih opsi Harga yang ingin Anda gunakan untuk penyimpanan data acara Anda. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan acara, serta periode retensi default dan maksimum untuk penyimpanan data acara Anda. Untuk informasi lebih lanjut, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

    Berikut ini adalah opsi yang tersedia:

    • Harga retensi yang dapat diperpanjang satu tahun - Umumnya direkomendasikan jika Anda mengharapkan untuk menelan kurang dari 25 TB data acara per bulan dan menginginkan periode retensi yang fleksibel hingga 10 tahun. Untuk 366 hari pertama (periode retensi default), penyimpanan disertakan tanpa biaya tambahan dengan harga konsumsi. Setelah 366 hari, retensi diperpanjang tersedia dengan pay-as-you-go harga. Ini adalah pilihan default.

      • Periode retensi default: 366 hari

      • Periode retensi maksimum: 3,653 hari

    • Harga retensi tujuh tahun - Direkomendasikan jika Anda mengharapkan untuk menelan lebih dari 25 TB data acara per bulan dan membutuhkan periode retensi hingga 7 tahun. Retensi disertakan dengan harga konsumsi tanpa biaya tambahan.

      • Periode retensi default: 2,557 hari

      • Periode retensi maksimum: 2.557 hari

  6. Tentukan periode retensi untuk penyimpanan data acara dalam beberapa hari. Periode retensi dapat antara 7 hari dan 3.653 hari (sekitar 10 tahun) untuk opsi harga retensi yang dapat diperpanjang satu tahun, atau antara 7 hari dan 2.557 hari (sekitar tujuh tahun) untuk opsi harga retensi tujuh tahun. Penyimpanan data peristiwa menyimpan data peristiwa untuk jumlah hari yang ditentukan.

  7. (Opsional) Untuk mengaktifkan enkripsi menggunakan AWS Key Management Service, pilih Gunakan milik saya sendiri AWS KMS key. Pilih Baru untuk AWS KMS key membuat untuk Anda, atau pilih yang ada untuk menggunakan kunci KMS yang ada. Di Masukkan alias KMS, tentukan alias, dalam format. alias/ MyAliasName Menggunakan kunci KMS Anda sendiri mengharuskan Anda mengedit kebijakan kunci KMS Anda untuk memungkinkan CloudTrail log dienkripsi dan didekripsi. Untuk informasi lebih lanjut, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail. CloudTrail juga mendukung kunci AWS KMS Multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat Menggunakan kunci Multi-region di Panduan AWS Key Management Service Pengembang.

    Menggunakan kunci KMS Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Setelah Anda mengaitkan penyimpanan data peristiwa dengan kunci KMS, kunci KMS tidak dapat dihapus atau diubah.

    catatan

    Untuk mengaktifkan AWS Key Management Service enkripsi untuk penyimpanan data acara organisasi, Anda harus menggunakan kunci KMS yang ada untuk akun manajemen.

  8. (Opsional) Jika Anda ingin melakukan kueri terhadap data peristiwa menggunakan Amazon Athena, pilih Aktifkan di federasi kueri Danau. Federation memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog AWS Glue Data dan menjalankan kueri SQL terhadap data peristiwa di Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri. Untuk informasi selengkapnya, lihat Federasi toko data acara.

    Untuk mengaktifkan federasi kueri Lake, pilih Aktifkan dan lakukan hal berikut:

    1. Pilih apakah Anda ingin membuat peran baru atau menggunakan peran IAM yang sudah ada. AWS Lake Formationmenggunakan peran ini untuk mengelola izin untuk penyimpanan data acara federasi. Saat Anda membuat peran baru menggunakan CloudTrail konsol, CloudTrail secara otomatis membuat peran dengan izin yang diperlukan. Jika Anda memilih peran yang ada, pastikan kebijakan untuk peran tersebut memberikan izin minimum yang diperlukan.

    2. Jika Anda membuat peran baru, masukkan nama untuk mengidentifikasi peran tersebut.

    3. Jika Anda menggunakan peran yang ada, pilih peran yang ingin Anda gunakan. Peran harus ada di akun Anda.

  9. (Opsional) Di bagian Tag, Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke penyimpanan data acara Anda. Untuk informasi selengkapnya tentang cara menggunakan kebijakan IAM untuk mengotorisasi akses ke penyimpanan data peristiwa berdasarkan tag, lihat. Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag Untuk informasi selengkapnya tentang cara menggunakan tag AWS, lihat Menandai AWS sumber daya Anda di Panduan Pengguna Sumber AWS Daya Penandaan.

  10. Pilih Berikutnya untuk mengonfigurasi penyimpanan data acara.

  11. Pada halaman Pilih acara, pilih AWS acara, lalu pilih acara CloudTrail Wawasan.

  12. Dalam acara CloudTrail Wawasan, lakukan hal berikut.

    1. Pilih Izinkan akses administrator yang didelegasikan jika Anda ingin memberikan akses administrator yang didelegasikan organisasi Anda ke penyimpanan data peristiwa ini. Opsi ini hanya tersedia jika Anda masuk dengan akun manajemen untuk AWS Organizations organisasi.

    2. (Opsional) Pilih penyimpanan data peristiwa sumber yang ada yang mencatat peristiwa manajemen dan tentukan jenis Wawasan yang ingin Anda terima.

      Untuk menambahkan penyimpanan data acara sumber, lakukan hal berikut.

      1. Pilih Tambahkan penyimpanan data acara sumber.

      2. Pilih penyimpanan data acara sumber.

      3. Pilih jenis Wawasan yang ingin Anda terima.

        • ApiCallRateInsight— Tipe ApiCallRateInsight Insights menganalisis panggilan API manajemen khusus tulis yang digabungkan per menit terhadap volume panggilan API dasar. Untuk menerima Wawasan tentangApiCallRateInsight, penyimpanan data peristiwa sumber harus mencatat peristiwa manajemen Tulis.

        • ApiErrorRateInsight— Tipe ApiErrorRateInsight Insights menganalisis panggilan API manajemen yang menghasilkan kode kesalahan. Kesalahan ditampilkan jika panggilan API tidak berhasil. Untuk menerima Wawasan tentangApiErrorRateInsight, penyimpanan data peristiwa sumber harus mencatat peristiwa manajemen Tulis atau Baca.

      4. Ulangi dua langkah sebelumnya (ii dan iii) untuk menambahkan jenis Wawasan tambahan yang ingin Anda terima.

  13. Pilih Berikutnya untuk meninjau pilihan Anda.

  14. Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan pada bagian. Saat Anda siap membuat penyimpanan data acara, pilih Buat penyimpanan data acara.

  15. Penyimpanan data acara baru terlihat di tabel penyimpanan data acara pada halaman penyimpanan data acara.

  16. Jika Anda tidak memilih penyimpanan data peristiwa sumber di langkah 10, ikuti langkah-langkah Untuk membuat penyimpanan data peristiwa sumber yang memungkinkan peristiwa Insights untuk membuat penyimpanan data acara sumber.

Untuk membuat penyimpanan data peristiwa sumber yang memungkinkan peristiwa Insights

Prosedur ini menunjukkan kepada Anda cara membuat penyimpanan data peristiwa sumber yang memungkinkan peristiwa Wawasan dan peristiwa manajemen log.

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Dari panel navigasi, buka submenu Danau, lalu pilih Penyimpanan data acara.

  3. Pilih Buat penyimpanan data acara.

  4. Pada halaman Configure event data store, di Rincian umum, masukkan nama untuk penyimpanan data acara. Diperlukan nama.

  5. Pilih opsi Harga yang ingin Anda gunakan untuk penyimpanan data acara Anda. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan acara, serta periode retensi default dan maksimum untuk penyimpanan data acara Anda. Untuk informasi lebih lanjut, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

    Berikut ini adalah opsi yang tersedia:

    • Harga retensi yang dapat diperpanjang satu tahun - Umumnya direkomendasikan jika Anda mengharapkan untuk menelan kurang dari 25 TB data acara per bulan dan menginginkan periode retensi yang fleksibel hingga 10 tahun. Untuk 366 hari pertama (periode retensi default), penyimpanan disertakan tanpa biaya tambahan dengan harga konsumsi. Setelah 366 hari, retensi diperpanjang tersedia dengan pay-as-you-go harga. Ini adalah pilihan default.

      • Periode retensi default: 366 hari

      • Periode retensi maksimum: 3,653 hari

    • Harga retensi tujuh tahun - Direkomendasikan jika Anda mengharapkan untuk menelan lebih dari 25 TB data acara per bulan dan membutuhkan periode retensi hingga 7 tahun. Retensi disertakan dengan harga konsumsi tanpa biaya tambahan.

      • Periode retensi default: 2,557 hari

      • Periode retensi maksimum: 2.557 hari

  6. Tentukan periode retensi untuk penyimpanan data acara. Periode retensi dapat antara 7 hari dan 3.653 hari (sekitar 10 tahun) untuk opsi harga retensi yang dapat diperpanjang satu tahun, atau antara 7 hari dan 2.557 hari (sekitar tujuh tahun) untuk opsi harga retensi tujuh tahun.

    CloudTrail Lake menentukan apakah akan mempertahankan suatu peristiwa dengan memeriksa apakah acara tersebut berada dalam periode retensi yang ditentukan. eventTime Misalnya, jika Anda menentukan periode retensi 90 hari, CloudTrail akan menghapus peristiwa ketika mereka eventTime lebih tua dari 90 hari.

  7. (Opsional) Untuk mengaktifkan enkripsi menggunakan AWS Key Management Service, pilih Gunakan milik saya sendiri AWS KMS key. Pilih Baru untuk AWS KMS key membuat untuk Anda, atau pilih yang ada untuk menggunakan kunci KMS yang ada. Di Masukkan alias KMS, tentukan alias, dalam format. alias/ MyAliasName Menggunakan kunci KMS Anda sendiri mengharuskan Anda mengedit kebijakan kunci KMS Anda untuk memungkinkan CloudTrail log dienkripsi dan didekripsi. Untuk informasi lebih lanjut, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail. CloudTrail juga mendukung kunci AWS KMS Multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat Menggunakan kunci Multi-region di Panduan AWS Key Management Service Pengembang.

    Menggunakan kunci KMS Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Setelah Anda mengaitkan penyimpanan data peristiwa dengan kunci KMS, kunci KMS tidak dapat dihapus atau diubah.

    catatan

    Untuk mengaktifkan AWS Key Management Service enkripsi untuk penyimpanan data acara organisasi, Anda harus menggunakan kunci KMS yang ada untuk akun manajemen.

  8. (Opsional) Jika Anda ingin melakukan kueri terhadap data peristiwa menggunakan Amazon Athena, pilih Aktifkan di federasi kueri Danau. Federation memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog AWS Glue Data dan menjalankan kueri SQL terhadap data peristiwa di Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri. Untuk informasi selengkapnya, lihat Federasi toko data acara.

    Untuk mengaktifkan federasi kueri Lake, pilih Aktifkan dan lakukan hal berikut:

    1. Pilih apakah Anda ingin membuat peran baru atau menggunakan peran IAM yang sudah ada. AWS Lake Formationmenggunakan peran ini untuk mengelola izin untuk penyimpanan data acara federasi. Saat Anda membuat peran baru menggunakan CloudTrail konsol, CloudTrail secara otomatis membuat peran dengan izin yang diperlukan. Jika Anda memilih peran yang ada, pastikan kebijakan untuk peran tersebut memberikan izin minimum yang diperlukan.

    2. Jika Anda membuat peran baru, masukkan nama untuk mengidentifikasi peran tersebut.

    3. Jika Anda menggunakan peran yang ada, pilih peran yang ingin Anda gunakan. Peran harus ada di akun Anda.

  9. (Opsional) Di bagian Tag, Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke penyimpanan data acara Anda. Untuk informasi selengkapnya tentang cara menggunakan kebijakan IAM untuk mengotorisasi akses ke penyimpanan data peristiwa berdasarkan tag, lihat. Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag Untuk informasi selengkapnya tentang cara menggunakan tag AWS, lihat Menandai AWS sumber daya Anda di Panduan Pengguna Sumber AWS Daya Penandaan.

  10. Pilih Berikutnya untuk mengonfigurasi penyimpanan data acara.

  11. Pada halaman Pilih acara, pilih AWS acara, lalu pilih CloudTrailacara.

  12. Dalam CloudTrail acara, biarkan acara Manajemen dipilih.

  13. Agar penyimpanan data acara Anda mengumpulkan acara dari semua akun di AWS Organizations organisasi, pilih Aktifkan untuk semua akun di organisasi saya. Anda harus masuk ke akun manajemen agar organisasi dapat membuat penyimpanan data acara yang memungkinkan Wawasan.

  14. Perluas Pengaturan tambahan untuk memilih apakah Anda ingin penyimpanan data acara mengumpulkan acara untuk semua Wilayah AWS, atau hanya saat ini Wilayah AWS, dan pilih apakah penyimpanan data acara menyerap peristiwa. Secara default, penyimpanan data acara Anda mengumpulkan peristiwa dari semua Wilayah di akun Anda dan mulai menelan peristiwa saat dibuat.

    1. Pilih Sertakan hanya wilayah saat ini di penyimpanan data acara saya jika Anda hanya ingin menyertakan peristiwa yang dicatat di Wilayah saat ini. Jika Anda tidak memilih opsi ini, penyimpanan data acara Anda mencakup acara dari semua Wilayah.

    2. Biarkan acara Ingest dipilih.

  15. Pilih jenis acara manajemen yang ingin Anda sertakan dalam penyimpanan data acara Anda. Anda dapat memilih Baca, Menulis, atau keduanya. Setidaknya satu diperlukan.

    catatan

    Untuk mencatat peristiwa Insights pada volume panggilan API, penyimpanan data peristiwa harus mencatat peristiwa write manajemen. Untuk mencatat peristiwa Insights pada tingkat kesalahan API, penyimpanan data peristiwa harus mencatat read atau write mengelola peristiwa.

  16. Anda dapat memilih untuk mengecualikan AWS Key Management Service atau peristiwa Amazon RDS Data API dari penyimpanan data acara Anda. Untuk informasi selengkapnya tentang opsi ini, lihat Acara manajemen logging.

  17. Pilih Aktifkan Wawasan.

  18. Di Aktifkan Wawasan, pilih toko acara tujuan yang akan mencatat peristiwa Wawasan. Penyimpanan data acara tujuan akan mengumpulkan peristiwa Wawasan berdasarkan aktivitas acara manajemen di penyimpanan data acara ini. Untuk informasi tentang cara membuat penyimpanan data acara tujuan, lihatUntuk membuat penyimpanan data acara tujuan yang mencatat peristiwa Wawasan.

  19. Pilih jenis Wawasan. Anda dapat memilih API call rate, API error rate, atau keduanya. Anda harus mencatat peristiwa manajemen Tulis untuk mencatat peristiwa Insights untuk tingkat panggilan API. Anda harus mencatat peristiwa manajemen Baca atau Tulis untuk mencatat peristiwa Wawasan untuk tingkat kesalahan API.

  20. Pilih Berikutnya untuk meninjau pilihan Anda.

  21. Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan pada bagian. Saat Anda siap membuat penyimpanan data acara, pilih Buat penyimpanan data acara.

  22. Penyimpanan data acara baru terlihat di tabel penyimpanan data acara pada halaman penyimpanan data acara.

    Mulai saat ini, penyimpanan data acara menangkap peristiwa yang cocok dengan pemilih acara lanjutannya. Setelah mengaktifkan CloudTrail Insights untuk pertama kalinya di penyimpanan data acara sumber Anda, diperlukan waktu hingga 7 hari untuk CloudTrail mengirimkan acara Insights pertama ke penyimpanan data acara tujuan Anda, jika aktivitas yang tidak biasa terdeteksi.

    Anda dapat melihat dasbor CloudTrail Danau untuk memvisualisasikan peristiwa Wawasan di penyimpanan data acara tujuan Anda. Untuk informasi lebih lanjut tentang dasbor Danau, lihatLihat dasbor CloudTrail Danau dengan konsol CloudTrail .

Biaya tambahan berlaku untuk menelan acara Insights di CloudTrail Danau. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi tentang CloudTrail harga, lihat AWS CloudTrail Harga.