敏感数据发现作业的日志工作原理

当您开始运行敏感数据发现任务时，Amazon Macie 会自动在 Amazon Logs 中创建和配置相应的 CloudWatch 资源，以记录所有任务的事件。然后，当您的作业运行时，Macie 会自动将事件数据发布到这些资源。您的账户的 Macie 服务相关角色的权限策略允许 Macie 代表您执行这些任务。您无需采取任何步骤即可在 CloudWatch 日志中创建或配置资源来记录作业的事件数据。

在 CloudWatch 日志中，日志按日志组进行组织。每个日志组都包含日志流。每个日志流包含日志事件。这些资源的一般用途如下：

• 日志组是具有相同保留、监控和访问控制设置的日志流的集合，例如，所有敏感数据发现作业的日志集。

• 日志流是共享同一个源的一系列日志事件，例如单个敏感数据发现作业。

• 日志事件是应用程序或资源记录的活动记录，例如，Macie 为特定的敏感数据发现作业记录和发布的单个事件。

Macie 将所有敏感数据发现任务的事件发布到一个日志组。每个作业在该日志组中都有一个唯一的日志流。该日志组具有以下前缀和名称：

/aws/macie/classificationjobs

如果此日志组已经存在，Macie 将使用它来存储作业的日志事件。如果您的组织使用自动配置（例如，为AWS CloudFormation作业事件创建具有预定义保留期、加密设置、标签、指标筛选器等的日志组），这可能会很有帮助。

如果此日志组不存在，Macie 会使用 Logs 用于新 CloudWatch 日志组的默认设置来创建该日志组。这些设置包括永不过期的日志保留期，这意味着 Lo CloudWatch gs 会无限期地存储日志。您可以更改日志组的保留期。要了解如何操作，请参阅 Amazon 日志用户指南中的使用日志组和 CloudWatch 日志流。

在此日志组中，Macie 会为您运行的每项首次运行的作业创建唯一的日志流。日志流的名称是任务的唯一标识符，例如85a55dc0fa6ed0be5939d0408example，格式如下：

/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example

每个日志流都包含 Macie 为相应作业记录和发布的所有日志事件。对于定期作业，这包括所有作业运行的事件。如果您删除定期作业的日志流，Macie 会在该作业下次运行时再次创建该日志流。如果您删除一次性作业的日志流，则无法将其恢复。

请注意，默认情况下，已为所有作业启用日志记录。您无法将其禁用或以其他方式阻止 Macie 将作业事件发布到 CloudWatch 日志。如果您不想存储日志，则可以将日志组的保留期缩短至一天。在保留期结束时， CloudWatch 日志会自动从日志组中删除过期的事件数据。