Cara kerja CloudWatch logging untuk pekerjaan penemuan data sensitif - Amazon Macie

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja CloudWatch logging untuk pekerjaan penemuan data sensitif

Saat Anda mulai menjalankan pekerjaan penemuan data sensitif, Amazon Macie secara otomatis membuat dan mengonfigurasi sumber daya yang sesuai di CloudWatch Log Amazon untuk mencatat peristiwa untuk semua pekerjaan Anda. Macie kemudian mempublikasikan data peristiwa ke sumber daya tersebut secara otomatis ketika tugas Anda berjalan. Kebijakan izin untuk Peran yang terhubung dengan layanan Macie untuk akun Anda memungkinkan Macie untuk melakukan tugas-tugas ini atas nama Anda. Anda tidak perlu mengambil langkah apa pun untuk membuat atau mengonfigurasi sumber daya di CloudWatch Log atau data peristiwa log untuk pekerjaan Anda.

Di CloudWatch Log, log diatur ke dalam grup log. Setiap grup log berisi pengaliran log. Setiap pengaliran log berisi log acara. Tujuan umum dari masing-masing sumber daya ini adalah sebagai berikut:

  • Grup log adalah kumpulan pengaliran log yang berbagi pengaturan penyimpanan, pemantauan, dan kontrol akses yang sama—misalnya, pengumpulan log untuk semua tugas penemuan data sensitif Anda.

  • Pengaliran log adalah urutan log acara yang berbagi sumber yang sama—misalnya, tugas penemuan data sensitif individu.

  • Peristiwa log adalah catatan aktivitas yang dicatat oleh aplikasi atau sumber daya—misalnya, peristiwa individual yang dicatat dan dipublikasikan Macie untuk tugas penemuan data sensitif tertentu.

Macie menerbitkan acara untuk semua pekerjaan penemuan data sensitif Anda ke satu grup log. Setiap pekerjaan memiliki aliran log unik di grup log itu. Grup log memiliki prefiks dan nama berikut:

/aws/macie/classificationjobs

Jika grup log ini sudah ada, Macie menggunakannya untuk menyimpan log acara untuk tugas Anda. Ini dapat membantu jika organisasi Anda menggunakan konfigurasi otomatis, seperti AWS CloudFormation, untuk membuat grup log dengan periode retensi yang telah ditentukan sebelumnya, pengaturan enkripsi, tag, filter metrik, dan sebagainya, untuk acara pekerjaan.

Jika grup log ini tidak ada, Macie membuatnya dengan pengaturan default yang digunakan CloudWatch Log untuk grup log baru. Pengaturan mencakup periode penyimpanan log Never Exire, yang berarti bahwa CloudWatch Log menyimpan log tanpa batas waktu. Anda dapat mengubah periode retensi untuk grup log. Untuk mempelajari caranya, lihat Bekerja dengan grup log dan aliran log di Panduan Pengguna CloudWatch Log Amazon.

Dalam grup log ini, Macie menciptakan pengaliran log unik untuk setiap tugas yang Anda jalankan, saat tugas berjalan untuk pertama kalinya. Nama aliran log adalah pengenal unik untuk pekerjaan tersebut, seperti85a55dc0fa6ed0be5939d0408example, dalam format berikut:

/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example

Setiap pengaliran log berisi semua log acara yang Macie catat dan publikasikan untuk tugas yang sesuai. Untuk tugas berkala, ini termasuk peristiwa untuk semua pelaksanaan tugas. Jika Anda menghapus pengaliran log untuk tugas berkala, Macie akan membuat pengaliran lagi pada waktu berikutnya saat tugas berjalan. Jika Anda menghapus pengaliran log untuk tugas satu kali, Anda tidak dapat memulihkannya.

Perhatikan bahwa pencatatan diaktifkan secara default untuk semua tugas Anda. Anda tidak dapat menonaktifkannya atau mencegah Macie memublikasikan peristiwa pekerjaan ke CloudWatch Log. Jika Anda tidak ingin menyimpan log, Anda dapat mengurangi retensi penyimpanan grup log menjadi paling sedikit satu hari. Pada akhir periode penyimpanan, CloudWatch Log secara otomatis menghapus data peristiwa kedaluwarsa dari grup log.