CloudWatch 記錄如何處理敏感資料探索工作

當您開始執行敏感資料探索任務時，Amazon Macie 會自動在 Amazon 日誌中建立和設定適當的資源，以 CloudWatch 記錄所有任務的事件。然後，Macie 會在工作執行時自動將事件資料發佈至這些資源。您帳戶之 Macie 服務連結角色的權限原則可讓 Macie 代表您執行這些工作。您不需要採取任何步驟即可在 CloudWatch 記錄檔中建立或設定資源，或為工作記錄事件資料。

在 CloudWatch 記錄檔中，記錄會組織到記錄群組中。每個記錄群組都包含記錄資料流。每個記錄資料流都包含記錄事件。這些資源的一般用途如下：

• 記錄群組是共用相同保留、監視和存取控制設定的記錄串流集合，例如收集所有敏感資料探索工作的記錄檔。

• 記錄串流是共用相同來源的一系列記錄事件，例如，個別的敏感資料探索工作。

• 記錄事件是應用程式或資源所記錄的活動記錄，例如 Macie 針對特定敏感資料探索工作記錄並發佈的個別事件。

Macie 會將所有敏感資料探索工作的事件發佈至一個記錄群組。每項工作在該記錄群組中都有唯一的記錄資料流。記錄群組具有下列前置詞和名稱：

/aws/macie/classificationjobs

如果此記錄群組已存在，Macie 會使用它來儲存工作的記錄事件。如果您的組織使用自動化配置，這可能會很有幫助，例如 AWS CloudFormation，以針對工作事件建立具有預先定義保留期間、加密設定、標籤、量度篩選器等的記錄群組。

如果此記錄群組不存在，Macie 會使用 CloudWatch Logs 用於新記錄群組的預設設定來建立該群組。這些設定包括永不過期的記錄檔保留期，這表示記 CloudWatch 錄檔會無限期儲存記錄檔。您可以變更記錄群組的保留期間。要了解如何操作，請參閱 Amazon CloudWatch 日誌使用者指南中的使用日誌群組和日誌串流。

在此記錄群組中，Macie 會在工作第一次執行時，為您執行的每個工作建立唯一的記錄資料流。記錄資料流的名稱是工作的唯一識別碼，例如85a55dc0fa6ed0be5939d0408example，格式如下：

/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example

每個記錄資料流都包含 Macie 記錄並針對對應工作發佈的所有記錄事件。對於週期性工作，這包括所有工作執行的事件。如果您刪除定期工作的記錄資料流，Macie 會在下次執行工作時再次建立串流。如果您刪除一次性工作的記錄串流，則無法還原該工作。

請注意，根據預設，您的所有工作都會啟用記錄功能。您無法停用它，或以其他方式阻止 Macie 將工作事件發佈至 CloudWatch 記錄檔。如果您不想儲存記錄檔，可以將記錄群組的保留期限縮短至最短一天。在保留期結束時， CloudWatch 記錄檔會自動從記錄群組中刪除過期的事件資料。