了解敏感資料探索任務的日誌事件 - Amazon Macie
記錄任務的事件結構描述任務的日誌事件類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解敏感資料探索任務的日誌事件

為了協助您監控敏感資料探索任務,Amazon Macie 會自動將任務的記錄資料發佈至 Amazon CloudWatch Logs。這些日誌中的資料提供任務進度或狀態的變更記錄。例如,您可以使用資料來判斷任務開始執行或完成執行時的確切日期和時間。資料也提供在任務執行期間可能發生之特定類型錯誤的詳細資訊。此資料可協助您識別、調查和解決錯誤,以防止 Macie 分析您想要的資料。

當您開始執行任務時,Macie 會自動在 CloudWatch 日誌中建立並設定適當的資源,以記錄所有任務的事件。然後,Macie 會在您的任務執行時,自動將事件資料發佈至這些資源。如需詳細資訊,請參閱記錄如何適用於任務

然後,您可以使用 CloudWatch Logs 查詢和分析任務的日誌資料。例如,您可以搜尋和篩選彙總資料,以識別在特定時間範圍內所有任務發生的特定類型事件。或者,您可以針對特定任務發生的所有事件執行有針對性的檢閱。 CloudWatch Logs 也提供監控日誌資料、定義指標篩選條件和建立自訂警示的選項。例如,您可以設定 CloudWatch Logs,以便在任務執行時發生特定類型的事件時通知您。如需詳細資訊,請參閱 Amazon CloudWatch Logs 使用者指南

敏感資料探索任務的記錄事件結構描述

敏感資料探索任務的每個日誌事件都是包含一組標準欄位的JSON物件,並符合 Amazon CloudWatch Logs 事件結構描述。某些類型的事件具有額外的欄位,可提供對該類型事件特別有用的資訊。例如,帳戶層級錯誤的事件包括受影響 的帳戶 ID AWS 帳戶。儲存貯體層級錯誤的事件包括受影響的 Amazon Simple Storage Service (Amazon S3) 儲存貯體的名稱。

下列範例顯示敏感資料探索任務的日誌事件結構描述。在此範例中,事件報告 Amazon Macie 無法分析 S3 儲存貯體中的任何物件,因為 Amazon S3 拒絕存取儲存貯體。

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:08:30.345809Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}

在上述範例中,Macie 嘗試使用 Amazon S3 的 ListObjectsV2 操作來列出儲存貯體的物件API。當 Macie 將請求傳送至 Amazon S3 時,Amazon S3 拒絕存取儲存貯體。

下列欄位對於敏感資料探索任務的所有日誌事件都是常見的:

  • adminAccountId – AWS 帳戶 建立任務之 的唯一識別符。

  • jobId – 任務的唯一識別符。

  • eventType – 發生的事件類型。

  • occurredAt – 事件發生時的日期和時間,以國際標準時間 (UTC) 和延伸ISO的 8601 格式顯示。

  • description – 事件的簡短描述。

  • jobName – 任務的名稱。

根據事件的類型和性質,日誌事件也可以包含下列欄位:

  • affectedAccount – AWS 帳戶 擁有受影響資源之 的唯一識別碼。

  • affectedResource – 提供受影響資源詳細資訊的JSON物件。在 物件中, type 欄位會指定儲存資源中繼資料的欄位。value 欄位指定欄位 () 的值type

  • operation – Macie 嘗試執行並導致錯誤的操作。

  • runDate – 適用任務或任務執行開始時,以國際標準時間 (UTC) 和延伸ISO的 8601 格式顯示的日期和時間。

敏感資料探索任務的日誌事件類型

Amazon Macie 會針對敏感資料探索任務可能發生的三種事件類別發佈日誌事件:

  • 任務狀態事件,記錄任務或任務執行的狀態或進度變更。

  • 帳戶層級錯誤事件,會記錄讓 Macie 無法分析特定 Amazon S3 資料的錯誤 AWS 帳戶。

  • 儲存貯體層級錯誤事件,會記錄導致 Macie 無法分析特定 S3 儲存貯體中資料的錯誤。

本節中的主題會列出並描述 Macie 為每個類別發佈的事件類型。

任務狀態事件

任務狀態事件會記錄任務或任務執行的狀態或進度變更。對於定期任務,Macie 會記錄和發佈這些事件,以進行整體任務和個別任務執行。

下列範例使用範例資料來顯示任務狀態事件中欄位的結構和性質。在此範例中,SCHEDULED_RUN_COMPLETED事件表示定期任務的排程執行已完成。執行於 2024 年 4 月 14 日 17:09:30UTC,如 runDate 欄位所示。執行已於 2024 年 4 月 14 日 17:16:30 完成UTC,如 occurredAt 欄位所示。

{
    "adminAccountId": "123456789012",
    "jobId": "ffad0e71455f38a4c7c220f3cexample",
    "eventType": "SCHEDULED_RUN_COMPLETED",
    "occurredAt": "2024-04-14T17:16:30.574809Z",
    "description": "The scheduled job run finished running.",
    "jobName": "My_Daily_Macie_Job",
    "runDate": "2024-04-14T17:09:30.574809Z"
}

下表列出並說明 Macie 記錄和發佈至 CloudWatch Logs 的任務狀態事件類型。事件類型資料欄會指示每個事件的名稱,如事件eventType欄位中所示。描述欄提供事件的簡短描述,如事件description欄位中所示。其他資訊提供有關事件套用之任務類型的資訊。資料表會先依事件可能發生的一般時間順序排序,然後依事件類型遞增字母順序排序。

事件類型 描述 其他資訊

JOB_CREATED

任務已建立。

適用於一次性和定期任務。
ONE_TIME_JOB_STARTED

任務已開始執行。

僅適用於一次性任務。

SCHEDULED_RUN_STARTED

排程的任務執行已開始執行。

僅適用於定期任務。若要記錄一次性任務的開始,Macie 會發佈 ONE_TIME_JOB_STARTED 事件,而不是此類型的事件。

BUCKET_MATCHED_THE_CRITERIA

受影響的儲存貯體符合為任務指定的儲存貯體條件。

適用於使用執行期儲存貯體條件來決定要分析哪些 S3 儲存貯體的一次性和定期任務。

affectedResource 物件會指定符合條件並包含在任務分析中的儲存貯體名稱。

NO_BUCKETS_MATCHED_THE_CRITERIA

任務已開始執行,但目前沒有儲存貯體符合為任務指定的儲存貯體條件。任務未分析任何資料。

適用於使用執行期儲存貯體條件來決定要分析哪些 S3 儲存貯體的一次性和定期任務。
SCHEDULED_RUN_COMPLETED

排程任務執行已完成。

僅適用於定期任務。若要記錄一次性任務的完成,Macie 會發佈 JOB_COMPLETED 事件,而不是此類型的事件。

JOB_PAUSED_BY_USER

使用者已暫停任務。

適用於您暫時停止 (暫停) 的一次性和定期任務。

JOB_RESUMED_BY_USER

任務已由使用者繼續。

適用於您暫時停止 (暫停) 及稍後繼續的一次性和定期任務。

JOB_PAUSED_BY_MACIESERVICE__QUOTA_MET

Macie 已暫停任務。完成任務將超過受影響帳戶的每月配額。

適用於 Macie 暫時停止 (暫停) 的一次性和定期任務。

當任務或任務執行的額外處理超過任務分析資料的一或多個帳戶的每月敏感資料探索配額時,Macie 會自動暫停任務。為避免此問題,請考慮增加受影響帳戶的配額。

JOB_RESUMED_BY_MACIESERVICE__QUOTA_LIFTED

Macie 已繼續任務。受影響帳戶的每月服務配額已被取消。

適用於 Macie 暫時停止 (暫停) 及稍後繼續的一次性和定期任務。

如果 Macie 自動暫停一次性任務,Macie 會在下個月啟動或所有受影響帳戶的每月敏感資料探索配額增加時自動繼續任務,以先發生者為準。如果 Macie 自動暫停定期任務,Macie 會在下一次執行排程開始或下個月開始時自動繼續任務,以先發生者為準。

JOB_CANCELLED

 任務已取消。

適用於您永久停止 (取消) 的一次性和定期任務,或者,對於一次性任務,暫停且未在 30 天內恢復。

如果您暫停或停用 Macie,此類型的事件也適用於暫停或停用 Macie 時處於作用中或已暫停的任務。 AWS 區域 如果您在 區域中暫停或停用 Macie,Macie 會自動取消您在 中的任務。

JOB_COMPLETED

任務已完成執行。

僅適用於一次性任務。若要記錄定期任務的任務執行完成,Macie 會發佈 SCHEDULED_RUN_COMPLETED 事件,而不是此類型的事件。

帳戶層級錯誤事件

帳戶層級錯誤事件會記錄錯誤,讓 Macie 無法分析特定 所擁有之 S3 儲存貯體中的物件 AWS 帳戶。每個事件中的affectedAccount欄位都會指定該帳戶的帳戶 ID。

下列範例使用範例資料來顯示帳戶層級錯誤事件中欄位的結構和性質。在此範例中,ACCOUNT_ACCESS_DENIED事件表示 Macie 無法分析帳戶 擁有的任何 S3 儲存貯體中的物件444455556666

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "ACCOUNT_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:08:30.585709Z",
    "description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
    "jobName": "My_Macie_Job",
    "operation": "ListBuckets",
    "runDate": "2024-04-14T17:05:27.574809Z",
    "affectedAccount": "444455556666"
}

下表列出並說明 Macie 記錄並發佈至 CloudWatch Logs 的帳戶層級錯誤事件類型。事件類型資料欄會指示每個事件的名稱,如事件eventType欄位中所示。描述欄提供事件在事件description欄位中顯示的簡短描述。其他資訊欄提供調查或解決所發生錯誤的任何適用提示。資料表會依事件類型遞增字母順序排序。

事件類型 描述 其他資訊

ACCOUNT_ACCESS_DENIED

Macie 沒有存取受影響帳戶的 S3 儲存貯體資料的許可。

這通常是因為帳戶擁有的儲存貯體具有限制性儲存貯體政策。如需有關如何解決此問題的資訊,請參閱 允許 Macie 存取 S3 儲存貯體和物件

事件中的 operation 欄位值可協助您判斷哪些許可設定阻止 Macie 存取帳戶的 S3 資料。此欄位表示 Macie 在錯誤發生時嘗試執行的 Amazon S3 操作。
ACCOUNT_DISABLED

任務已略過受影響帳戶所擁有的資源。該帳戶的 Macie 已停用。

若要解決此問題,請為相同 中的帳戶重新啟用 Macie AWS 區域。
ACCOUNT_DISASSOCIATED

任務已略過受影響帳戶所擁有的資源。該帳戶不再與您的 Macie 管理員帳戶作為成員帳戶相關聯。

如果您以組織的 Macie 管理員身分設定任務來分析成員帳戶的資料,而該帳戶稍後會從組織中移除,就會發生這種情況。

若要解決此問題,請將受影響的帳戶與 Macie 管理員帳戶重新關聯為成員帳戶。如需詳細資訊,請參閱管理多個 帳戶

ACCOUNT_ISOLATED

任務已略過受影響帳戶所擁有的資源。 AWS 帳戶 已隔離 。

ACCOUNT_REGION_DISABLED

任務已略過受影響帳戶所擁有的資源。在目前的 中 AWS 帳戶 , 不會處於作用中狀態 AWS 區域。

ACCOUNT_SUSPENDED

任務已取消或略過受影響帳戶所擁有的資源。Macie 已暫停帳戶的 。

如果指定的帳戶是您自己的帳戶,則當您在同一區域中暫停 Macie 時,Macie 會自動取消任務。若要解決此問題,請在 區域中重新啟用 Macie。

如果指定的帳戶是成員帳戶,請為相同區域中的帳戶重新啟用 Macie。

ACCOUNT_TERMINATED

任務已略過受影響帳戶所擁有的資源。 AWS 帳戶 已終止。

儲存貯體層級錯誤事件

儲存貯體層級錯誤事件會記錄錯誤,以防止 Macie 分析特定 S3 儲存貯體中的物件。每個事件中的 affectedAccount 欄位會指定擁有儲存貯體 AWS 帳戶 之 的帳戶 ID。每個事件中的affectedResource物件會指定儲存貯體的名稱。

下列範例使用範例資料來顯示儲存貯體層級錯誤事件中欄位的結構和性質。在此範例中,BUCKET_ACCESS_DENIED事件表示 Macie 無法分析 S3 儲存貯體中名為 的任何物件amzn-s3-demo-bucket。當 Macie 嘗試使用 Amazon S3 的 ListObjectsV2 操作列出儲存貯體的物件時API,Amazon S3 拒絕存取儲存貯體。

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:09:30.685209Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}

下表列出並說明 Macie 記錄和發佈至 CloudWatch Logs 的儲存貯體層級錯誤事件類型。事件類型資料欄會指示每個事件的名稱,如事件eventType欄位中所示。描述欄提供事件在事件description欄位中顯示的簡短描述。其他資訊欄提供調查或解決所發生錯誤的任何適用提示。資料表會依事件類型遞增字母順序排序。

事件類型 描述 其他資訊

BUCKET_ACCESS_DENIED

Macie 沒有存取受影響 S3 儲存貯體的許可。

這通常是因為儲存貯體具有限制性儲存貯體政策。如需有關如何解決此問題的資訊,請參閱 允許 Macie 存取 S3 儲存貯體和物件

事件中的 operation 欄位值可協助您判斷哪些許可設定阻止 Macie 存取儲存貯體。此欄位表示 Macie 在錯誤發生時嘗試執行的 Amazon S3 操作。

BUCKET_DETAILS_UNAVAILABLE

暫時性問題導致 Macie 無法擷取儲存貯體和儲存貯體物件的詳細資訊。

如果暫時性問題阻止 Macie 擷取分析儲存貯體物件所需的儲存貯體和物件中繼資料,就會發生這種情況。例如,當 Macie 嘗試驗證允許存取儲存貯體時,發生 Amazon S3 例外狀況。

若要解決一次性任務的問題,請考慮建立和執行新的一次性任務,以分析儲存貯體中的物件。對於排程的任務,Macie 會在下次任務執行期間嘗試再次擷取中繼資料。
BUCKET_DOES_NOT_EXIST

受影響的 S3 儲存貯體已不存在。

這通常會因為刪除儲存貯體而發生。

BUCKET_IN_DIFFERENT_REGION

受影響的 S3 儲存貯體已移至不同的 AWS 區域。

BUCKET_OWNER_CHANGED

受影響的 S3 儲存貯體擁有者已變更。Macie 不再擁有存取儲存貯體的許可。

如果儲存貯體的擁有權轉移到不屬於您組織的 AWS 帳戶 ,通常會發生這種情況。事件中的 affectedAccount 欄位指出先前擁有儲存貯體之帳戶的帳戶 ID。