Membuat jejak dengan CloudTrail konsol - AWS CloudTrail
Membuat jejak dengan konsolLangkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat jejak dengan CloudTrail konsol

Jejak dapat diterapkan ke semua Wilayah AWS yang diaktifkan di Anda Akun AWS, atau dapat diterapkan ke satu Wilayah. Jejak yang berlaku untuk semua Wilayah AWS yang diaktifkan di Anda Akun AWS disebut sebagai jalur Multi-wilayah. Sebagai praktik terbaik, kami merekomendasikan untuk membuat jejak Multi-wilayah karena dapat menangkap aktivitas di semua Wilayah yang diaktifkan. Semua jalur yang dibuat menggunakan CloudTrail konsol adalah jalur Multi-wilayah. Anda hanya dapat membuat jejak wilayah Tunggal menggunakan operasi AWS CLI atau CreateTrailAPI.

catatan

Setelah Anda membuat jejak, Anda dapat mengonfigurasi yang lain Layanan AWS untuk menganalisis lebih lanjut dan bertindak berdasarkan data peristiwa yang dikumpulkan di CloudTrail log. Untuk informasi selengkapnya, lihat AWS integrasi layanan dengan log CloudTrail .

Membuat jejak dengan konsol

Gunakan prosedur berikut untuk membuat jejak multi-Region. Untuk mencatat peristiwa di satu Wilayah (tidak disarankan), gunakan AWS CLI.

Untuk membuat CloudTrail jejak dengan AWS Management Console

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Pada halaman beranda CloudTrail layanan, halaman Trails, atau bagian Trails pada halaman Dasbor, pilih Buat jejak.

  3. Pada halaman Create Trail, untuk nama Trail, ketikkan nama untuk jejak Anda. Untuk informasi selengkapnya, lihat Persyaratan penamaan untuk CloudTrail sumber daya, bucket S3, dan kunci KMS.

  4. Jika ini adalah jejak AWS Organizations organisasi, Anda dapat mengaktifkan jejak untuk semua akun di organisasi Anda. Untuk melihat opsi ini, Anda harus masuk ke konsol dengan pengguna atau peran di akun administrator yang didelegasikan. Agar berhasil membuat jejak organisasi, pastikan bahwa pengguna atau peran memiliki izin yang memadai. Untuk informasi selengkapnya, lihat Membuat jejak untuk organisasi.

  5. Untuk lokasi Storage, pilih Create new S3 bucket untuk membuat bucket. Saat Anda membuat bucket, CloudTrail membuat dan menerapkan kebijakan bucket yang diperlukan. Jika Anda memilih untuk membuat bucket S3 baru, kebijakan IAM Anda harus menyertakan izin untuk s3:PutEncryptionConfiguration tindakan tersebut karena secara default enkripsi sisi server diaktifkan untuk bucket.

    catatan

    Jika Anda memilih Gunakan bucket S3 yang ada, tentukan bucket di nama bucket log Trail, atau pilih Browse untuk memilih bucket di akun Anda sendiri. Jika Anda ingin menggunakan bucket di akun lain, Anda harus menentukan nama bucket. Kebijakan bucket harus memberikan CloudTrail izin untuk menulis kepadanya. Untuk informasi tentang mengedit kebijakan bucket secara manual, lihatKebijakan bucket Amazon S3 untuk CloudTrail.

    Untuk mempermudah menemukan log Anda, buat folder baru (juga dikenal sebagai awalan) di bucket yang ada untuk menyimpan CloudTrail log Anda. Masukkan awalan di Awalan.

  6. Untuk enkripsi file Log SSE-KMS, pilih Diaktifkan jika Anda ingin mengenkripsi file log Anda dan mencerna file menggunakan enkripsi SSE-KMS alih-alih enkripsi SSE-S3. Defaultnya adalah Diaktifkan. Jika Anda tidak mengaktifkan enkripsi SSE-KMS, file log dan file digest Anda dienkripsi menggunakan enkripsi SSE-S3. Untuk informasi selengkapnya tentang enkripsi SSE-KMS, lihat Menggunakan enkripsi pada sisi server dengan (SSE-KMS). AWS Key Management Service Untuk informasi selengkapnya tentang enkripsi SSE-S3, lihat Menggunakan Enkripsi Sisi-Server dengan Kunci Enkripsi Terkelola Amazon S3 (SSE-S3).

    Jika Anda mengaktifkan enkripsi SSE-KMS, pilih New atau Existing. AWS KMS key Di AWS KMS Alias, tentukan alias, dalam format. alias/ MyAliasName Untuk informasi selengkapnya, lihatMemperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol. CloudTrail juga mendukung kunci AWS KMS multi-Region. Untuk informasi selengkapnya tentang kunci multi-Region, lihat Menggunakan kunci multi-Region di Panduan AWS Key Management Service Developer.

    catatan

    Anda juga dapat mengetikkan ARN kunci dari akun lain. Untuk informasi selengkapnya, lihat Memperbarui sumber daya untuk menggunakan kunci KMS Anda dengan konsol. Kebijakan kunci harus mengizinkan penggunaan kunci CloudTrail untuk mengenkripsi file log dan mencerna file, dan memungkinkan pengguna yang Anda tentukan untuk membaca file log atau mencerna file dalam bentuk yang tidak terenkripsi. Untuk informasi tentang mengedit kebijakan kunci secara manual, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail.

  7. Di Pengaturan tambahan, konfigurasikan yang berikut ini.

    1. Untuk validasi file Log, pilih Diaktifkan agar intisari log dikirimkan ke bucket S3 Anda. Anda dapat menggunakan file intisari untuk memverifikasi bahwa file log Anda tidak berubah setelah CloudTrail dikirimkan. Untuk informasi selengkapnya, lihat Memvalidasi CloudTrail integritas file log.

    2. Untuk pengiriman notifikasi SNS, pilih Diaktifkan untuk diberi tahu setiap kali log dikirimkan ke bucket Anda. CloudTrail menyimpan beberapa peristiwa dalam file log. Notifikasi SNS dikirim untuk setiap file log, bukan untuk setiap acara. Untuk informasi selengkapnya, lihat Mengonfigurasi notifikasi Amazon SNS untuk CloudTrail.

      Jika Anda mengaktifkan notifikasi SNS, untuk Membuat topik SNS baru, pilih Baru untuk membuat topik, atau pilih Ada untuk menggunakan topik yang ada. Jika Anda membuat jejak Multi-wilayah, notifikasi SNS untuk pengiriman file log dari semua Wilayah yang diaktifkan akan dikirim ke satu topik SNS yang Anda buat.

      Jika Anda memilih Baru, CloudTrail menentukan nama untuk topik baru untuk Anda, atau Anda dapat mengetikkan nama. Jika Anda memilih yang ada, pilih topik SNS dari daftar tarik-turun. Anda juga dapat memasukkan ARN topik dari Wilayah lain atau dari akun dengan izin yang sesuai. Untuk informasi selengkapnya, lihat Kebijakan topik Amazon SNS untuk CloudTrail.

      Jika Anda membuat topik, Anda harus berlangganan topik untuk diberitahu tentang pengiriman file log. Anda dapat berlangganan dari konsol Amazon SNS. Karena frekuensi pemberitahuan, kami menyarankan Anda mengonfigurasi langganan untuk menggunakan antrian Amazon SQS untuk menangani notifikasi secara terprogram. Untuk informasi lebih lanjut, lihat Memulai dengan Amazon SNS di Panduan Developer Amazon Simple Notification Service.

  8. Secara opsional, konfigurasikan CloudTrail untuk mengirim file CloudWatch log ke Log dengan memilih Diaktifkan di CloudWatch Log. Untuk informasi selengkapnya, lihat Mengirim acara ke CloudWatch Log.

    1. Jika Anda mengaktifkan integrasi dengan CloudWatch Log, pilih Baru untuk membuat grup log baru, atau Ada untuk menggunakan yang sudah ada. Jika Anda memilih Baru, CloudTrail menentukan nama untuk grup log baru untuk Anda, atau Anda dapat mengetikkan nama.

    2. Jika Anda memilih yang ada, pilih grup log dari daftar tarik-turun.

    3. Pilih Baru untuk membuat peran IAM baru untuk izin mengirim log ke CloudWatch Log. Pilih yang ada untuk memilih peran IAM yang ada dari daftar tarik-turun. Pernyataan kebijakan untuk peran baru atau yang sudah ada ditampilkan saat Anda memperluas dokumen Kebijakan. Untuk informasi selengkapnya tentang peran ini, silakan lihat Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan.

      catatan

      • Saat mengonfigurasi jejak, Anda dapat memilih bucket S3 dan topik SNS milik akun lain. Namun, jika Anda CloudTrail ingin mengirimkan peristiwa ke grup CloudWatch log Log, Anda harus memilih grup log yang ada di akun Anda saat ini.

      • Hanya akun manajemen yang dapat mengonfigurasi grup CloudWatch log Log untuk jejak organisasi menggunakan konsol. Administrator yang didelegasikan dapat mengonfigurasi grup CloudWatch log Log menggunakan operasi AWS CLI atau CloudTrail CreateTrail atau UpdateTrail API.

  9. Untuk Tag, Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke jejak Anda. Tag dapat membantu Anda mengidentifikasi CloudTrail jejak dan bucket Amazon S3 yang CloudTrail berisi file log. Anda kemudian dapat menggunakan grup sumber daya untuk CloudTrail sumber daya Anda. Untuk informasi selengkapnya, lihat AWS Resource Groups dan Tanda.

  10. Pada halaman Pilih peristiwa log, pilih tipe peristiwa yang ingin Anda catat. Untuk acara Manajemen, lakukan hal berikut.

    1. Untuk aktivitas API, pilih apakah Anda ingin jejak Anda mencatat peristiwa Baca, peristiwa Tulis, atau keduanya. Untuk informasi selengkapnya, lihat Acara manajemen.

    2. Pilih Kecualikan AWS KMS acara untuk memfilter AWS Key Management Service (AWS KMS) peristiwa dari jejak Anda. Pengaturan default adalah untuk memasukkan semua AWS KMS acara.

      Opsi untuk mencatat atau mengecualikan AWS KMS peristiwa hanya tersedia jika Anda mencatat peristiwa manajemen di jejak Anda. Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.

      AWS KMS tindakan sepertiEncrypt,Decrypt, dan GenerateDataKey biasanya menghasilkan volume besar (lebih dari 99%) peristiwa. Tindakan ini sekarang dicatat sebagai peristiwa Baca. Volume rendah, AWS KMS tindakan yang relevan sepertiDisable,Delete, dan ScheduleKey (yang biasanya menyumbang kurang dari 0,5% dari volume AWS KMS peristiwa) dicatat sebagai peristiwa Tulis.

      Untuk mengecualikan peristiwa bervolume tinggi sepertiEncrypt,Decrypt, danGenerateDataKey, tetapi masih mencatat peristiwa yang relevan sepertiDisable, Delete danScheduleKey, pilih untuk mencatat peristiwa manajemen Tulis, dan kosongkan kotak centang untuk Kecualikan AWS KMS peristiwa.

    3. Pilih Kecualikan peristiwa Amazon RDS Data API untuk memfilter peristiwa Amazon Relational Database Service Data Data API dari jejak Anda. Pengaturan default adalah untuk menyertakan semua peristiwa Amazon RDS Data API. Untuk informasi selengkapnya tentang peristiwa Amazon RDS Data API, lihat Pencatatan panggilan API Data dengan AWS CloudTrail di Panduan Pengguna Amazon RDS untuk Aurora.

  11. Untuk mencatat peristiwa data, pilih Peristiwa data. Biaya tambahan berlaku untuk peristiwa data pencatatan. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail.

  12. penting

    Langkah 12-16 adalah untuk mengonfigurasi peristiwa data menggunakan pemilih acara lanjutan, yang merupakan default. Penyeleksi acara tingkat lanjut memungkinkan Anda mengonfigurasi lebih banyak jenis sumber daya dan menawarkan kontrol halus atas peristiwa data mana yang ditangkap jejak Anda. Jika Anda memilih untuk menggunakan pemilih acara dasar, selesaikan langkah-langkahnyaKonfigurasikan pengaturan peristiwa data menggunakan pemilih acara dasar, lalu kembali ke langkah 17 dari prosedur ini.

    Untuk tipe Sumber daya, pilih tipe sumber daya tempat Anda ingin mencatat peristiwa data. Untuk informasi selengkapnya tentang tipe sumber daya yang tersedia, lihatPeristiwa data.

  13. Pilih templat pemilih log. Anda dapat memilih template yang telah ditentukan sebelumnya, atau memilih Custom untuk menentukan kondisi koleksi acara Anda sendiri.

    Anda dapat memilih dari templat yang telah ditentukan berikut ini:

    • Log semua acara - Pilih template ini untuk log semua acara.

    • Log hanya membaca peristiwa - Pilih template ini untuk log hanya membaca peristiwa. Peristiwa hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti Get* atau Describe* peristiwa.

    • Log hanya menulis peristiwa - Pilih template ini untuk log hanya menulis peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*,Delete*, atau Write* peristiwa.

    • Log hanya AWS Management Console peristiwa - Pilih template ini untuk log hanya peristiwa yang berasal dari. AWS Management Console

    • Kecualikan peristiwa Layanan AWS yang dimulai - Pilih templat ini untuk mengecualikan Layanan AWS peristiwa, yang memiliki eventType ofAwsServiceEvent, dan peristiwa yang dimulai dengan peran Layanan AWS-linked (). SLRs

    catatan

    Memilih template yang telah ditentukan untuk bucket S3 memungkinkan pencatatan peristiwa data untuk semua bucket yang saat ini ada di AWS akun Anda dan bucket apa pun yang Anda buat setelah Anda selesai membuat jejak. Ini juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh identitas IAM mana pun di AWS akun Anda, meskipun aktivitas itu dilakukan pada bucket yang berada di yang lain AWS .

    Jika jejak hanya berlaku untuk satu Wilayah, memilih templat yang telah ditentukan sebelumnya yang mencatat semua bucket S3 memungkinkan pencatatan peristiwa data untuk semua bucket di Wilayah yang sama dengan jejak Anda dan bucket apa pun yang Anda buat nanti di Wilayah tersebut. Ini tidak akan mencatat peristiwa data untuk bucket Amazon S3 di Wilayah lain di akun Anda. AWS

    Jika Anda membuat jejak Multi-wilayah, memilih templat yang telah ditentukan untuk fungsi Lambda memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di AWS akun Anda, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah mana pun setelah Anda selesai membuat jejak. Jika Anda membuat jejak untuk satu Wilayah (dilakukan dengan menggunakan AWS CLI), pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di Wilayah tersebut di AWS akun Anda, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah tersebut setelah Anda selesai membuat jejak. Itu tidak mengaktifkan pencatatan peristiwa data untuk fungsi Lambda yang dibuat di Wilayah lain.

    Mencatat peristiwa data untuk semua fungsi juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh identitas IAM mana pun di AWS AWS akun Anda.

  14. (Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih peristiwa lanjutan, seperti “Log peristiwa data hanya untuk dua bucket S3”. Nama pemilih terdaftar seperti Name pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan JSON.

  15. Jika Anda memilih Kustom, di Penyeleksi acara lanjutan membangun ekspresi berdasarkan nilai bidang pemilih peristiwa lanjutan.

    catatan

    Selektor tidak mendukung penggunaan wildcard seperti. * Untuk mencocokkan beberapa nilai dengan satu kondisi, Anda dapat menggunakanStartsWith,EndsWith,NotStartsWith, atau NotEndsWith untuk secara eksplisit mencocokkan awal atau akhir bidang acara.

    1. Pilih dari bidang berikut.

      • readOnly- readOnly dapat diatur untuk sama dengan nilai true ataufalse. Peristiwa data hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti Get* atau Describe* peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*,Delete*, atau Write* peristiwa. Untuk mencatat keduanya read dan write peristiwa, jangan tambahkan readOnly pemilih.

      • eventName- eventName dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa data apa pun yang dicatat CloudTrail, sepertiPutBucket,GetItem, atauGetSnapshotBlock.

      • eventSource— Sumber acara untuk menyertakan atau mengecualikan. Bidang ini dapat menggunakan operator apa pun.

      • EventType - Jenis acara untuk menyertakan atau mengecualikan. Misalnya, Anda dapat mengatur bidang ini ke tidak sama dengan AwsServiceEvent untuk dikecualikanLayanan AWS acara. Untuk daftar jenis acara, lihat eventTypediCloudTrail merekam konten untuk acara manajemen, data, dan aktivitas jaringan.

      • sessionCredentialFromKonsol — Sertakan atau kecualikan acara yang berasal dari AWS Management Console sesi. Bidang ini dapat diatur ke sama atau tidak sama dengan nilai. true

      • UserIdentity.arn - Sertakan atau kecualikan peristiwa untuk tindakan yang diambil oleh identitas IAM tertentu. Untuk informasi selengkapnya, lihat Elemen CloudTrail userIdentity.

      • resources.ARN- Anda dapat menggunakan operator apa pun denganresources.ARN, tetapi jika Anda menggunakan sama atau tidak sama, nilainya harus sama persis dengan ARN dari sumber daya yang valid dari jenis yang telah Anda tentukan dalam template sebagai nilai. resources.type

        catatan

        Anda tidak dapat menggunakan resources.ARN bidang untuk memfilter jenis sumber daya yang tidak dimiliki ARNs.

        Untuk informasi selengkapnya tentang format ARN dari sumber daya peristiwa data, lihat Tindakan, sumber daya, dan kunci kondisi untuk Layanan AWS Referensi Otorisasi Layanan.

    2. Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi. Misalnya, untuk mengecualikan peristiwa data untuk dua bucket S3 dari peristiwa data yang dicatat di penyimpanan data acara, Anda dapat mengatur bidang ke Resources.arn, mengatur operator untuk tidak memulai, lalu menempelkan ARN bucket S3 yang tidak ingin Anda catat peristiwa.

      Untuk menambahkan bucket S3 kedua, pilih + Condition, lalu ulangi instruksi sebelumnya, tempelkan di ARN untuk atau jelajahi bucket yang berbeda.

      Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.

      catatan

      Anda dapat memiliki nilai maksimum 500 untuk semua penyeleksi pada penyimpanan data peristiwa. Ini termasuk array dari beberapa nilai untuk pemilih seperti. eventName Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.

    3. Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang. Misalnya, jangan tentukan ARN dalam satu pemilih agar sama dengan nilai, lalu tentukan bahwa ARN tidak sama dengan nilai yang sama di pemilih lain.

  16. Untuk menambahkan jenis sumber daya lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data. Ulangi langkah 12 melalui langkah ini untuk mengonfigurasi pemilih acara lanjutan untuk jenis sumber daya.

  17. Untuk mencatat peristiwa aktivitas jaringan, pilih Acara aktivitas jaringan. Peristiwa aktivitas jaringan memungkinkan pemilik titik akhir VPC merekam panggilan AWS API yang dilakukan menggunakan titik akhir VPC mereka dari VPC pribadi ke. Layanan AWS Biaya tambahan berlaku untuk peristiwa aktivitas jaringan pencatatan. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail.

    Untuk mencatat peristiwa aktivitas jaringan, lakukan hal berikut:

    1. Dari sumber peristiwa aktivitas jaringan, pilih sumber untuk peristiwa aktivitas jaringan.

    2. Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa aktivitas jaringan, mencatat semua peristiwa yang ditolak akses aktivitas jaringan, atau memilih Kustom untuk membuat pemilih log kustom untuk memfilter pada beberapa bidang, seperti eventName danvpcEndpointId.

    3. (Opsional) Masukkan nama untuk mengidentifikasi pemilih. Nama pemilih terdaftar sebagai Nama di pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan JSON.

    4. Di Penyeleksi acara lanjutan membangun ekspresi dengan memilih nilai untuk Bidang, Operator, dan Nilai. Anda dapat melewati langkah ini jika Anda menggunakan templat log yang telah ditentukan sebelumnya.

      1. Untuk mengecualikan atau menyertakan peristiwa aktivitas jaringan, Anda dapat memilih dari bidang berikut di konsol.

        • eventName— Anda dapat menggunakan operator apa pun denganeventName. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara apa pun, sepertiCreateKey.

        • errorCode— Anda dapat menggunakannya untuk memfilter kode kesalahan. Saat ini, satu-satunya yang didukung errorCode adalahVpceAccessDenied.

        • vpcEndpointId— Mengidentifikasi titik akhir VPC yang dilewati operasi. Anda dapat menggunakan operator mana pun denganvpcEndpointId.

      2. Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi.

      3. Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang.

    5. Untuk menambahkan sumber peristiwa lain yang ingin Anda log peristiwa aktivitas jaringan, pilih Tambahkan pemilih peristiwa aktivitas jaringan.

    6. Secara opsional, perluas tampilan JSON untuk melihat pemilih acara lanjutan Anda sebagai blok JSON.

  18. Pilih peristiwa Insights jika Anda ingin jejak Anda mencatat peristiwa CloudTrail Insights.

    Di Jenis acara, pilih Acara Wawasan. Anda harus mencatat peristiwa manajemen Tulis untuk mencatat peristiwa Insights untuk tingkat panggilan API. Anda harus mencatat peristiwa manajemen Baca atau Tulis untuk mencatat peristiwa Wawasan untuk tingkat kesalahan API.

    CloudTrail Wawasan menganalisis peristiwa manajemen untuk aktivitas yang tidak biasa, dan mencatat peristiwa saat anomali terdeteksi. Secara default, jejak tidak mencatat peristiwa Insights. Untuk informasi selengkapnya tentang peristiwa Insights, lihatBekerja dengan CloudTrail Wawasan. Biaya tambahan berlaku untuk peristiwa pencatatan Insights. Untuk CloudTrail harga, lihat AWS CloudTrail Harga.

    Peristiwa Insights dikirimkan ke folder berbeda bernama /CloudTrail-Insight bucket S3 yang sama yang ditentukan di area lokasi penyimpanan halaman detail jejak. CloudTrailmenciptakan awalan baru untuk Anda. Misalnya, jika bucket S3 tujuan Anda saat ini diberi namaamzn-s3-demo-bucket/AWSLogs/CloudTrail/, nama bucket S3 dengan awalan baru akan diberi nama. amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/

  19. Setelah selesai memilih jenis acara untuk dicatat, pilih Berikutnya.

  20. Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Edit di bagian untuk mengubah pengaturan jejak yang ditampilkan di bagian itu. Saat Anda siap untuk membuat jejak, pilih Buat jejak.

  21. Jejak baru muncul di halaman Trails. Dalam waktu sekitar 5 menit, CloudTrail menerbitkan file log yang menampilkan panggilan AWS API yang dilakukan di akun Anda. Anda dapat melihat file log di bucket S3 yang Anda tentukan.

    Jika Anda mengaktifkan acara Insights untuk jejak, CloudTrail mungkin memerlukan waktu hingga 36 jam untuk mulai mengirimkan peristiwa ini, asalkan aktivitas yang tidak biasa terdeteksi selama waktu tersebut.

    catatan

    CloudTrail biasanya mengirimkan log dalam waktu rata-rata sekitar 5 menit dari panggilan API. Kali ini tidak dijamin. Tinjau Perjanjian Tingkat AWS CloudTrail Layanan untuk informasi lebih lanjut.

    Jika Anda salah mengonfigurasi jejak Anda (misalnya, bucket S3 tidak dapat dijangkau), CloudTrail akan mencoba mengirimkan ulang file log ke bucket S3 Anda selama 30 hari, dan attempted-to-deliver peristiwa ini akan dikenakan biaya standar. CloudTrail Untuk menghindari tagihan pada jejak yang salah konfigurasi, Anda perlu menghapus jejak.

Konfigurasikan pengaturan peristiwa data menggunakan pemilih acara dasar

Anda dapat menggunakan pemilih acara lanjutan untuk mengonfigurasi semua jenis peristiwa data serta peristiwa aktivitas jaringan. Penyeleksi acara tingkat lanjut memungkinkan Anda membuat penyeleksi berbutir halus untuk mencatat hanya peristiwa yang menarik.

Jika Anda menggunakan pemilih peristiwa dasar untuk mencatat peristiwa data, Anda dibatasi untuk mencatat peristiwa data untuk bucket, fungsi AWS Lambda , dan tabel Amazon DynamoDB Amazon S3. Anda tidak dapat memfilter pada eventName bidang menggunakan pemilih acara dasar. Anda juga tidak dapat mencatat peristiwa aktivitas jaringan.

Penyeleksi acara dasar untuk peristiwa data di jejak

Gunakan prosedur berikut untuk mengonfigurasi pengaturan peristiwa data menggunakan pemilih peristiwa dasar.

Untuk mengkonfigurasi pengaturan peristiwa data menggunakan pemilih acara dasar

  1. Di Peristiwa, pilih Peristiwa data untuk mencatat peristiwa data. Biaya tambahan berlaku untuk peristiwa data pencatatan. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail.

  2. Untuk bucket Amazon S3:

    1. Untuk sumber peristiwa Data, pilih S3.

    2. Anda dapat memilih untuk mencatat Semua bucket S3 saat ini dan masa depan, atau Anda dapat menentukan masing-masing bucket atau fungsi. Secara default, peristiwa data dicatat untuk semua bucket S3 saat ini dan masa depan.

      catatan

      Menjaga opsi All current and future S3 bucket default memungkinkan pencatatan peristiwa data untuk semua bucket yang saat ini ada di AWS akun Anda dan bucket apa pun yang Anda buat setelah Anda selesai membuat jejak. Ini juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh identitas IAM mana pun di AWS akun Anda, meskipun aktivitas itu dilakukan pada bucket yang berada di yang lain AWS .

      Jika Anda membuat jejak untuk satu Wilayah (dilakukan dengan menggunakan AWS CLI), memilih Semua bucket S3 saat ini dan masa depan memungkinkan pencatatan peristiwa data untuk semua bucket di Wilayah yang sama dengan jejak Anda dan bucket apa pun yang Anda buat nanti di Wilayah tersebut. Ini tidak akan mencatat peristiwa data untuk bucket Amazon S3 di Wilayah lain di akun Anda. AWS

    3. Jika Anda meninggalkan default, Semua bucket S3 saat ini dan masa depan, pilih untuk mencatat peristiwa Baca, Menulis peristiwa, atau keduanya.

    4. Untuk memilih bucket individual, kosongkan kotak centang Baca dan Tulis untuk Semua bucket S3 saat ini dan masa depan. Dalam pemilihan bucket Individual, telusuri bucket untuk mencatat peristiwa data. Temukan bucket tertentu dengan mengetikkan awalan bucket untuk bucket yang Anda inginkan. Anda dapat memilih beberapa bucket di jendela ini. Pilih Tambahkan bucket untuk mencatat peristiwa data untuk bucket lainnya. Pilih untuk mencatat peristiwa Baca, sepertiGetObject, Menulis peristiwa, sepertiPutObject, atau keduanya.

      Pengaturan ini diutamakan daripada pengaturan individual yang Anda konfigurasikan untuk bucket individual. Misalnya, jika Anda menentukan peristiwa Pencatatan Baca untuk semua bucket S3, lalu memilih untuk menambahkan bucket tertentu untuk pencatatan peristiwa data, Baca sudah dipilih untuk bucket yang Anda tambahkan. Anda tidak dapat menghapus pilihan. Anda hanya dapat mengonfigurasi opsi untuk Menulis.

      Untuk menghapus ember dari logging, pilih X.

  3. Untuk menambahkan jenis sumber daya lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data.

  4. Untuk fungsi Lambda:

    1. Untuk sumber peristiwa Data, pilih Lambda.

    2. Dalam fungsi Lambda, pilih Semua wilayah untuk mencatat semua fungsi Lambda, atau Fungsi input sebagai ARN untuk mencatat peristiwa data pada fungsi tertentu.

      Untuk mencatat peristiwa data untuk semua fungsi Lambda di AWS akun Anda, pilih Masuk semua fungsi saat ini dan yang akan datang. Pengaturan ini diutamakan daripada pengaturan individual yang Anda konfigurasikan untuk fungsi individual. Semua fungsi dicatat, bahkan jika semua fungsi tidak ditampilkan.

      catatan

      Jika Anda membuat jejak Multi-wilayah, pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di AWS akun Anda, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah mana pun setelah Anda selesai membuat jejak. Jika Anda membuat jejak untuk satu Wilayah (dilakukan dengan menggunakan AWS CLI), pilihan ini memungkinkan pencatatan peristiwa data untuk semua fungsi yang saat ini ada di Wilayah tersebut di AWS akun Anda, dan fungsi Lambda apa pun yang mungkin Anda buat di Wilayah tersebut setelah Anda selesai membuat jejak. Itu tidak mengaktifkan pencatatan peristiwa data untuk fungsi Lambda yang dibuat di Wilayah lain.

      Mencatat peristiwa data untuk semua fungsi juga memungkinkan pencatatan aktivitas peristiwa data yang dilakukan oleh identitas IAM mana pun di AWS AWS akun Anda.

    3. Jika Anda memilih fungsi Input sebagai ARN, masukkan ARN dari fungsi Lambda.

      catatan

      Jika Anda memiliki lebih dari 15.000 fungsi Lambda di akun Anda, Anda tidak dapat melihat atau memilih semua fungsi di CloudTrail konsol saat membuat jejak. Anda masih dapat memilih opsi untuk mencatat semua fungsi, meskipun tidak ditampilkan. Jika Anda ingin mencatat peristiwa data untuk fungsi tertentu, Anda dapat menambahkan fungsi secara manual jika Anda mengetahui ARN-nya. Anda juga dapat menyelesaikan pembuatan jejak di konsol, lalu menggunakan dan put-event-selectors perintah untuk mengonfigurasi pencatatan peristiwa data untuk fungsi Lambda tertentu. AWS CLI Untuk informasi selengkapnya, lihat Mengelola jalur dengan AWS CLI.

  5. Untuk tabel DynamoDB:

    1. Untuk sumber peristiwa Data, pilih DynamoDB.

    2. Dalam pemilihan tabel DynamoDB, pilih Browse untuk memilih tabel, atau tempel di ARN tabel DynamoDB yang dapat Anda akses. Tabel DynamoDB menggunakan format berikut:

      arn:partition:dynamodb:region:account_ID:table/table_name

      Untuk menambahkan tabel lain, pilih Tambah baris, dan telusuri tabel atau tempel di ARN tabel yang dapat Anda akses.

  6. Untuk mengonfigurasi peristiwa Wawasan dan setelan lain untuk jejak Anda, kembali ke prosedur sebelumnya dalam topik ini,. Membuat jejak dengan konsol

Langkah selanjutnya

Setelah Anda membuat jejak Anda, Anda dapat kembali ke jejak untuk membuat perubahan: