翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
機密データ検出ジョブのログイベントについて
機密データ検出ジョブをモニタリングしやすくするために、Amazon Macie はジョブのログ記録データを Amazon CloudWatch Logs に自動的に発行します。これらのログのデータは、ジョブの進行状況またはステータスの変更の記録を提供します。例えば、データを使用して、ジョブの実行が開始された日時、または実行が終了した日時を正確に決定できます。データには、ジョブの実行中に発生する可能性のある特定のタイプのエラーに関する詳細も表示されます。このデータは、Macie が目的のデータを分析できないエラーを特定、調査、および対処するのに役立ちます。
ジョブの実行を開始すると、Macie はすべてのジョブのイベントをログに記録するために、 CloudWatch ログに適切なリソースを自動的に作成および設定します。Macie は、ジョブの実行時にイベントデータをこれらのリソースに自動的に発行します。詳細については、「ジョブでのログ記録の仕組み」を参照してください。
CloudWatch Logs を使用すると、ジョブのログデータをクエリおよび分析できます。たとえば、集計データを検索およびフィルタリングして、特定の時間範囲の間にすべてのジョブで発生した特定のタイプのイベントを識別できます。または、特定のジョブで発生したすべてのイベントをターゲットを絞ったレビューを実行できます。 CloudWatch ログには、ログデータのモニタリング、メトリクスフィルターの定義、カスタムアラームの作成のオプションもあります。例えば、ジョブの実行時に特定のタイプのイベントが発生した場合に通知するように CloudWatch ログを設定できます。詳細については、「Amazon CloudWatch Logs ユーザーガイド」を参照してください。
機密データ検出ジョブのログイベントスキーマ
機密データ検出ジョブの各ログイベントは、標準のフィールドセットを含み、Amazon CloudWatch Logs イベントスキーマに準拠するJSONオブジェクトです。一部のイベントのタイプでは、そのタイプのイベントに特に役立つ情報を提供する追加のフィールドがあります。たとえば、アカウントレベルのエラーのイベントには、影響を受けた AWS アカウントのアカウント ID が含まれます。バケットレベルのエラーのイベントには、影響を受ける Amazon Simple Storage Service (Amazon S3) バケットの名前が含まれます。
次の例は、機密データ検出ジョブのログイベントスキーマを示します。この例では、Amazon S3 がバケットへのアクセスを拒否したため、Amazon Macie が Amazon S3バケット内のオブジェクトを分析できなかったことがイベントで報告されています。
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:08:30.345809Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}前の例では、Macie は Amazon S3 の ListObjectsV2 オペレーションを使用してバケットのオブジェクトを一覧表示しようとしましたAPI。Macie が Amazon S3 にリクエストを送信すると、Amazon S3 はバケットへのアクセスを拒否しました。
機密データ検出ジョブのすべてのログイベントに共通するフィールドは、次のとおりです。
-
adminAccountId– ジョブを作成した AWS アカウント の一意の識別子。 -
jobId— ジョブの一意の識別子。 -
eventType発生したイベントのタイプ。 -
occurredAt– イベントが発生した日時を協定世界時 (UTC) および拡張 8601 ISO 形式で指定します。 -
descriptionイベントに関する簡単な説明です。 -
jobName– ジョブの名前。
イベントのタイプと性質に応じて、ログイベントには次のフィールドを含めることもできます。
-
affectedAccount– 影響を受けたリソースを所有している AWS アカウント の一意の識別子。 -
affectedResource– 影響を受けるリソースに関する詳細を提供するJSONオブジェクト。オブジェクトでは、typeフィールドは、リソースに関するメタデータを保存するフィールドを指定します。valueフィールドは、フィールドの値を指定しますtype。 -
operation– Macie が実行しようとし、エラーの原因となったオペレーション。 -
runDate– 該当するジョブまたはジョブの実行が開始された日時を協定世界時 (UTC) および拡張 8601 ISO 形式で表します。
機密データ検出ジョブのログイベントのタイプ
Amazon Macie は、機密データ検出ジョブで発生する可能性のある 3 つのカテゴリのイベントのログイベントを発行します。
-
ジョブステータスイベント: ジョブまたはジョブ実行のステータスまたは進行状況への変更を記録します。
-
Macie が特定の の Amazon S3 データを分析できないようにするエラーを記録するアカウントレベルのエラーイベント AWS アカウント。
-
バケットレベルのエラーイベント: Macie が特定の S3 バケット内のデータを分析するのを妨げたエラーを記録します。
このセクションのトピックでは、Macie がカテゴリごとに発行するイベントの種類をリスト化して説明します。
ジョブステータスイベント
ジョブステータスイベントは、ジョブまたはジョブ実行のステータスや進行状況への変更を記録します。定期的なジョブの場合、Macie はジョブ全体と個別のジョブ実行の両方について、これらのイベントをログに記録して発行します。
次の例では、サンプルデータを使用して、ジョブステータスイベント内のフィールドの構造と性質を示します。この例では、SCHEDULED_RUN_COMPLETED イベントは、定期的なジョブのスケジュールされた実行が終了したことを示します。実行は、 runDateフィールドで示されているUTCように、2024 年 4 月 14 日 17:09:30 に開始されました。実行は、 occurredAtフィールドで示されているUTCように、2024 年 4 月 14 日 17:16:30 に終了しました。
{
"adminAccountId": "123456789012",
"jobId": "ffad0e71455f38a4c7c220f3cexample",
"eventType": "SCHEDULED_RUN_COMPLETED",
"occurredAt": "2024-04-14T17:16:30.574809Z",
"description": "The scheduled job run finished running.",
"jobName": "My_Daily_Macie_Job",
"runDate": "2024-04-14T17:09:30.574809Z"
}次の表は、Macie がログに記録して CloudWatch Logs に発行するジョブステータスイベントのタイプを一覧表示し、説明しています。イベントタイプ列には、イベントの eventType フィールドに表示されるとおり、各イベントの名前が示されます。説明列には、イベントの description フィールドに表示されるとおり、イベントの簡単な説明が表示されます。追加情報には、イベントが適用されるジョブのタイプに関する情報が表示されます。テーブルは、最初にイベントが発生する可能性のある一般的な時系列順で並べ替えられ、次にイベントタイプ別のアルファベット順に並べ替えられます。
| イベントタイプ | 説明 | 追加情報 |
|---|---|---|
|
JOB_CREATED |
ジョブが作成されました。 |
1 回限りのジョブと定期的なジョブに適用されます。 |
| ONE_TIME_JOB_STARTED |
ジョブが実行を開始しました。 |
1 回限りのジョブにのみ適用されます。 |
|
SCHEDULED_RUN_STARTED |
スケジュールされたジョブが実行を開始しました。 |
定期的なジョブにのみ適用されます。1 回限りのジョブの開始を記録するため、Macie はこの種のイベントではなく ONE_TIMEJOB_STARTED イベントを発行します。 |
|
BUCKET_MATCHED_THE_CRITERIA |
影響を受けたバケットは、ジョブで指定されたバケット基準に一致しました。 |
ランタイムバケット基準を使用して、分析する S3 バケットを決定する 1 回限りのジョブと定期的なジョブに適用されます。
|
|
NO_BUCKETS_MATCHEDTHE_CRITERIA |
ジョブの実行が開始されましたが、現在ジョブで指定されたバケット基準に一致するバケットはありません。ジョブはデータを分析しませんでした。 |
ランタイムバケット基準を使用して、分析する S3 バケットを決定する 1 回限りのジョブと定期的なジョブに適用されます。 |
| SCHEDULED_RUN_COMPLETED |
スケジュールされたジョブの実行が終了しました。 |
定期的なジョブにのみ適用されます。1 回限りのジョブの完了を記録するため、Macie はこの種のイベントではなく JOB_COMPLETED イベントを発行します。 |
|
JOBPAUSED_BY_USER |
ジョブがユーザーによって一時停止されました。 |
ユーザーが一時的に停止した (一時停止した) 1 回限りのジョブと定期的なジョブに適用されます。 |
|
JOBRESUMED_BY_USER |
ジョブはユーザーによって再開されました。 |
一時的に停止 (一時停止) してから再開した 1 回限りのジョブと定期的なジョブに適用されます。 |
|
JOB_PAUSED_BY_MACIE_SERVICEQUOTA_MET |
ジョブが Macie によって一時停止されました。ジョブの完了は、影響を受けたアカウントの毎月のクォータを超えます。 |
Macie が一時的に停止した (一時停止した) 1 回限りのジョブと定期的なジョブに適用されます。 Macie は、ジョブの完了またはジョブの実行が、ジョブがデータを分析するアカウントの毎月の 機密データ検出クォータを超える場合、ジョブを自動的に一時停止します。この問題を避けるには、影響を受けたアカウントのクォータを増やすことを検討してください。 |
|
JOB_RESUMED_BY_MACIE_SERVICEQUOTA_LIFTED |
ジョブが Macie によって再開されました。影響を受けたアカウントの毎月のサービスクォータが解除されました。 |
Macie が一時的に停止 (一時停止) し、その後再開した 1 回限りのジョブと定期的なジョブに適用されます。 Macie が 1 回限りのジョブを自動的に一時停止した場合、Macie は、次の月が始まるとき、または影響を受けたすべてのアカウントの月次の機密データの検出クォータが増加したときのどちらか早い方で、自動的にジョブを再開します。Macie が定期的なジョブを自動的に一時停止した場合、Macie は、次の実行が開始される予定になったとき、または翌月が始まるときのどちらか早い方で、自動的にジョブを再開します。 |
|
JOB_CANCELLED |
ジョブがキャンセルされました。 |
恒久的に停止した (キャンセルした) 1 回限りのジョブと定期的なジョブに、または 1 回限りのジョブの場合は一時停止して30 日以内に再開しなかったジョブに適用されます。 Macie を停止または無効にした場合、このタイプのイベントは、Macie を停止または無効にしたときにアクティブだったか一時停止されたジョブにも適用されます。Macie は、リージョンで Macie を一時停止または無効に AWS リージョン すると、 のジョブを自動的にキャンセルします。 |
|
JOB_COMPLETED |
ジョブの実行が終了しました。 |
1 回限りのジョブにのみ適用されます。定期的なジョブのジョブ実行の完了をログに記録するために、Macie はこのタイプのイベントではなく SCHEDULED_RUN_COMPLETED イベントを発行します。 |
アカウントレベルのエラーイベント
アカウントレベルのエラーイベントは、Macie が特定の が所有する S3 バケット内のオブジェクトを分析するのを妨げるエラーを記録します AWS アカウント。各イベント内の affectedAccount フィールドは、そのアカウントのアカウント ID を指定します。
次の例では、サンプルデータを使用して、アカウントレベルのエラーイベント内のフィールドの構造と性質を示します。この例では、ACCOUNT_ACCESS_DENIED イベントは、Macie がアカウント 444455556666 によって所有されている S3 バケット内のオブジェクトを分析できなかったことを示します。
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "ACCOUNT_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:08:30.585709Z",
"description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
"jobName": "My_Macie_Job",
"operation": "ListBuckets",
"runDate": "2024-04-14T17:05:27.574809Z",
"affectedAccount": "444455556666"
}次の表は、Macie がログに記録して CloudWatch Logs に発行するアカウントレベルのエラーイベントのタイプを一覧表示し、説明しています。イベントタイプ列には、イベントの eventType フィールドに表示されるとおり、各イベントの名前が示されます。説明列には、イベントの description フィールドに表示されるとおり、イベントの簡単な説明が表示されます。追加情報 列には、発生したエラーの調査または対処を行うための適切なヒントが表示されます。テーブルは、イベントタイプ別にアルファベット順に昇順に並べ替えられます。
| イベントタイプ | 説明 | 追加情報 |
|---|---|---|
|
ACCOUNT_ACCESS_DENIED |
Macie には、影響を受けたアカウントの S3 バケットデータにアクセスする許可がありません。 |
これは、通常、アカウントが所有するバケットに制限があるバケットポリシーがあるために発生します。この問題の対処方法については、Macie が S3 バケットおよびオブジェクトにアクセスすることを許可するを参照してください。 イベント内の |
| ACCOUNT_DISABLED |
ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。Macie はアカウントに対して無効になりました。 |
この問題に対処するには、同じ AWS リージョンアカウントで Macie を再度有効化します。 |
| ACCOUNT_DISASSOCIATED |
ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。アカウントは、もうメンバーアカウントとして Macie 管理者アカウントに関連付けられていません。 |
これは、組織の Macie 管理者として、メンバーアカウントのデータを分析するためのジョブを設定し、後でアカウントが組織から削除された場合に発生します。 この問題に対処するには、影響を受けたアカウントをメンバーアカウントとして Macie 管理者アカウントに再度関連付けます。詳細については、「複数のアカウントの管理」を参照してください。 |
|
ACCOUNT_ISOLATED |
ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。 AWS アカウント は分離されました。 |
– |
|
ACCOUNT_REGION_DISABLED |
ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。 AWS アカウント は現在の ではアクティブではありません AWS リージョン。 |
– |
|
ACCOUNT_SUSPENDED |
ジョブはキャンセルされたか、影響を受けたアカウントが所有するリソースをスキップしました。Macie はアカウントで停止されました。 |
指定したアカウントが自分のアカウントである場合、同じリージョンで Macie を停止したときに、Macie は自動的にジョブをキャンセルしました。この問題に対処するには、リージョンで Macie を再度有効化します。 指定したアカウントがメンバーアカウントである場合は、同じリージョンでそのアカウントの Macie を再度有効化します。 |
|
ACCOUNT_TERMINATED |
ジョブは、影響を受けたアカウントが所有するリソースをスキップしました。は終了 AWS アカウント しました。 |
– |
バケットレベルのエラーイベント
バケットレベルのエラーイベントは、Macie が特定の S3 バケット内のオブジェクトを分析するのを妨げたエラーを記録します。各イベントの affectedAccountフィールドは、バケットを所有 AWS アカウント する のアカウント ID を指定します。各イベントの affectedResource オブジェクトは、バケットの名前を指定します。
次の例では、サンプルデータを使用して、バケットレベルのエラーイベント内のフィールドの構造と性質を示します。この例では、BUCKET_ACCESS_DENIED イベントは、Macie が amzn-s3-demo-bucket という名前の S3 バケット内のオブジェクトを分析できなかったことを示します。Macie が Amazon S3 の ListObjectsV2 オペレーションを使用してバケットのオブジェクトを一覧表示しようとしたときAPI、Amazon S3 はバケットへのアクセスを拒否しました。
{
"adminAccountId": "123456789012",
"jobId": "85a55dc0fa6ed0be5939d0408example",
"eventType": "BUCKET_ACCESS_DENIED",
"occurredAt": "2024-04-14T17:11:30.574809Z",
"description": "Macie doesn’t have permission to access the affected S3 bucket.",
"jobName": "My_Macie_Job",
"operation": "ListObjectsV2",
"runDate": "2024-04-14T17:09:30.685209Z",
"affectedAccount": "111122223333",
"affectedResource": {
"type": "S3_BUCKET_NAME",
"value": "amzn-s3-demo-bucket"
}
}次の表は、Macie がログに記録して CloudWatch Logs に発行するバケットレベルのエラーイベントのタイプを一覧表示し、説明しています。イベントタイプ列には、イベントの eventType フィールドに表示されるとおり、各イベントの名前が示されます。説明列には、イベントの description フィールドに表示されるとおり、イベントの簡単な説明が表示されます。追加情報 列には、発生したエラーの調査または対処を行うための適切なヒントが表示されます。テーブルは、イベントタイプ別にアルファベット順に昇順に並べ替えられます。
| イベントタイプ | 説明 | 追加情報 |
|---|---|---|
|
BUCKET_ACCESS_DENIED |
Macie には、影響を受けた S3 バケットにアクセスする許可がありません。 |
これは通常、バケットには制限があるバケットポリシーが設定されているために発生します。この問題の対処方法については、Macie が S3 バケットおよびオブジェクトにアクセスすることを許可するを参照してください。 イベント内の |
|
BUCKET_DETAILS_UNAVAILABLE |
一時的な問題により、Macie がバケットとバケットのオブジェクトに関する詳細を取得するのを妨げられました。 |
これは、一時的な問題により、Macie がバケットのオブジェクトを分析するのに必要なバケットとオブジェクトのメタデータを取得するのを妨げられた場合に発生します。たとえば、Macie がバケットへのアクセスを許可されていることを確認しようとしたときに Amazon S3 例外が発生しました。 1 回限りのジョブの問題に対処するには、バケット内のオブジェクトを分析する新しい 1 回限りのジョブを作成して実行することを検討してください。スケジュールされたジョブの場合、Macie は次のジョブ実行時にメタデータの取得を再度試みます。 |
| BUCKET_DOES_NOT_EXIST |
影響を受けた S3 バケットはもう存在しません。 |
これは通常、バケットが削除されたために発生します。 |
|
BUCKET_IN_DIFFERENT_REGION |
影響を受けた S3 バケットは別の AWS リージョンに移動されました。 |
– |
| BUCKET_OWNER_CHANGED |
影響を受けた S3 バケットの所有者が変更されました。Macie には、もうバケットにアクセスする許可がありません。 |
これは通常、バケットの所有権 AWS アカウント が組織に含まれていない に転送された場合に発生します。イベント内の |
