機密データ検出ジョブの CloudWatch ログ記録の仕組み

機密データ検出ジョブの実行を開始すると、Amazon Macie は Amazon CloudWatch Logs で適切なリソースを自動的に作成して設定し、すべてのジョブのイベントをログに記録します。Macie は、ジョブの実行時にイベントデータをこれらのリソースに自動的に発行します。アカウントの Macie サービスにリンクされたロール のアクセス許可ポリシーは、Macie がお客様に代わってこれらのタスクを実行することを許可します。 CloudWatch Logs でリソースを作成または設定したり、ジョブのイベントデータをログに記録する手順は必要ありません。

CloudWatch ログでは、ログはロググループ に整理されます。各ロググループには ログストリーム が含まれます。各ログストリームには ログイベント が含まれます。これらの各リソースの一般的な目的は次のとおりです。

• ロググループ は、保持、モニタリング、アクセス制御について同じ設定を共有するログストリームのコレクションです。たとえば、すべての機密データ検出ジョブのログのコレクションなどです。

• ログストリーム は、同じソースを共有する一連のログイベントです。たとえば、個別の機密データ検出ジョブなどです。

• ログイベント は、アプリケーションまたはリソースによって記録されたアクティビティのレコードです。たとえば、Macie が特定の機密データ検出ジョブについて記録および発行した個別のイベントなどです。

Macie は、すべての機密データ検出ジョブのイベントを 1 つのロググループに発行します。各ジョブには、そのロググループに一意のログストリームがあります。ロググループには、次のプレフィックスと名前があります。

/aws/macie/classificationjobs

このロググループが既に存在する場合、Macie はそれを使用してジョブのログイベントを保存します。これは、組織が次のような自動設定を使用している場合に役立ちます。 AWS CloudFormation、ジョブイベントの保持期間、暗号化設定、タグ、メトリクスフィルターなどを事前に定義したロググループを作成します。

このロググループが存在しない場合、Macie は Logs CloudWatch が新しいロググループに使用するデフォルト設定でロググループを作成します。設定には、ログ保持期間「有効期限なし」が含まれます。つまり、 CloudWatch ログはログを無期限に保存します。ロググループの保持期間を変更できます。詳細については、「Amazon Logs ユーザーガイド」の「ロググループとログストリームの操作」を参照してください。 CloudWatch

このロググループ内で、Macie はジョブを初めて実行するときに、実行するジョブごとに一意のログストリームを作成します。ログストリームの名前は、 などのジョブの一意の識別子であり85a55dc0fa6ed0be5939d0408example、次の形式になります。

/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example

各ログストリームには、Macie が、対応するジョブについて記録および発行したすべてのログイベントが含まれます。定期的なジョブの場合、これにはすべてのジョブの実行のイベントが含まれます。定期的なジョブのログストリームを削除すると、次回ジョブが実行されたときに Macie によってストリームが再度作成されます。1 回限りのジョブのログストリームを削除すると、復元できません。

すべてのジョブのログ記録はデフォルトで有効化されていることに注意してください。無効にしたり、Macie がジョブイベントを CloudWatch ログに発行できないようにしたりすることはできません。ログを保存したくない場合は、ロググループの保持期間を 1 日のみに短縮できます。保持期間の終了時に、 CloudWatch Logs はロググループから期限切れのイベントデータを自動的に削除します。