Comprendre les événements du journal pour les tâches de découverte de données sensibles - Amazon Macie
Schéma des événements du journal pour les tâchesTypes d'événements de journalisation pour les offres d'emploi

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les événements du journal pour les tâches de découverte de données sensibles

Pour vous aider à surveiller vos tâches de découverte de données sensibles, Amazon Macie publie automatiquement les données de journalisation des tâches sur Amazon CloudWatch Logs. Les données de ces journaux fournissent un enregistrement des modifications apportées à l'avancement ou au statut d'une tâche. Par exemple, vous pouvez utiliser les données pour déterminer la date et l'heure exactes auxquelles une tâche a commencé ou s'est terminée. Les données fournissent également des détails sur certains types d'erreurs qui peuvent survenir lors de l'exécution d'une tâche. Ces données peuvent vous aider à identifier, étudier et corriger les erreurs qui empêchent Macie d'analyser les données que vous souhaitez.

Lorsque vous commencez à exécuter des tâches, Macie crée et configure automatiquement les ressources appropriées dans CloudWatch Logs pour enregistrer les événements relatifs à toutes vos tâches. Macie publie ensuite automatiquement les données des événements sur ces ressources lorsque vos tâches sont exécutées. Pour de plus amples informations, veuillez consulter Comment fonctionne la journalisation pour les emplois.

À l'aide CloudWatch des journaux, vous pouvez ensuite interroger et analyser les données des journaux pour vos tâches. Par exemple, vous pouvez rechercher et filtrer des données agrégées afin d'identifier des types spécifiques d'événements survenus pour toutes vos tâches au cours d'une période donnée. Vous pouvez également effectuer un examen ciblé de tous les événements survenus pour une tâche donnée. CloudWatch Logs fournit également des options pour surveiller les données des journaux, définir des filtres métriques et créer des alarmes personnalisées. Par exemple, vous pouvez configurer CloudWatch les journaux pour qu'ils vous avertissent si un certain type d'événement se produit lors de l'exécution de vos tâches. Pour plus d'informations, consultez le guide de l'utilisateur Amazon CloudWatch Logs.

Schéma des événements de journal pour les tâches de découverte de données sensibles

Chaque événement de journal pour une tâche de découverte de données sensibles est un objet JSON qui contient un ensemble standard de champs et est conforme au schéma d'événements Amazon CloudWatch Logs. Certains types d'événements comportent des champs supplémentaires qui fournissent des informations particulièrement utiles pour ce type d'événement. Par exemple, les événements liés à des erreurs au niveau du compte incluent l'ID de compte de la personne concernée. Compte AWS Les événements liés à des erreurs au niveau du compartiment incluent le nom du compartiment Amazon Simple Storage Service (Amazon S3) concerné.

L'exemple suivant montre le schéma des événements du journal pour les tâches de découverte de données sensibles. Dans cet exemple, l'événement indique qu'Amazon Macie n'a pu analyser aucun objet dans un compartiment S3 car Amazon S3 a refusé l'accès au compartiment.

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:08:30.345809Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}

Dans l'exemple précédent, Macie a tenté de répertorier les objets du compartiment en utilisant l'opération ListObjectsV2 de l'API Amazon S3. Lorsque Macie a envoyé la demande à Amazon S3, Amazon S3 a refusé l'accès au compartiment.

Les champs suivants sont communs à tous les événements de journalisation relatifs aux tâches de découverte de données sensibles :

  • adminAccountId— L'identifiant unique de la personne Compte AWS qui a créé la tâche.

  • jobId— L'identifiant unique de la tâche.

  • eventType— Le type d'événement qui s'est produit.

  • occurredAt— La date et l'heure, en temps universel coordonné (UTC) et au format ISO 8601 étendu, auxquelles l'événement s'est produit.

  • description— Une brève description de l'événement.

  • jobName— Le nom de la tâche.

Selon le type et la nature d'un événement, un événement de journal peut également contenir les champs suivants :

  • affectedAccount— L'identifiant unique du propriétaire Compte AWS de la ressource affectée.

  • affectedResource— Un objet JSON qui fournit des informations sur la ressource affectée. Dans l'objet, le type champ indique un champ qui stocke les métadonnées relatives à une ressource. Le value champ indique la valeur du champ (type).

  • operation— L'opération que Macie a tenté d'effectuer et qui est à l'origine de l'erreur.

  • runDate— Date et heure, en temps universel coordonné (UTC) et au format ISO 8601 étendu, du début de la tâche ou de l'exécution de la tâche applicable.

Types d'événements de journalisation pour les tâches de découverte de données sensibles

Amazon Macie publie des événements de journal pour trois catégories d'événements susceptibles de se produire dans le cadre d'une tâche de découverte de données sensibles :

  • Événements relatifs au statut d'une tâche, qui enregistrent les modifications apportées au statut ou à la progression d'une tâche ou d'une exécution de tâche.

  • Événements d'erreur au niveau du compte, qui enregistrent les erreurs qui ont empêché Macie d'analyser les données Amazon S3 pour une recherche spécifique. Compte AWS

  • Événements d'erreur au niveau du compartiment, qui enregistrent les erreurs qui ont empêché Macie d'analyser les données d'un compartiment S3 spécifique.

Les rubriques de cette section répertorient et décrivent les types d'événements publiés par Macie pour chaque catégorie.

Événements relatifs au statut des emplois

Un événement relatif au statut d'une tâche enregistre une modification du statut ou de la progression d'une tâche ou d'une exécution de tâche. Pour les tâches périodiques, Macie enregistre et publie ces événements à la fois pour l'ensemble de la tâche et pour l'exécution des tâches individuelles.

L'exemple suivant utilise des exemples de données pour montrer la structure et la nature des champs lors d'un événement relatif au statut d'une tâche. Dans cet exemple, un SCHEDULED_RUN_COMPLETED événement indique que l'exécution planifiée d'une tâche périodique s'est terminée. La course a débuté le 14 avril 2024 à 17 h 09 h 30 UTC, comme indiqué sur le runDate terrain. La course s'est terminée le 14 avril 2024 à 17 h 16 h 30 UTC, comme indiqué sur le occurredAt terrain.

{
    "adminAccountId": "123456789012",
    "jobId": "ffad0e71455f38a4c7c220f3cexample",
    "eventType": "SCHEDULED_RUN_COMPLETED",
    "occurredAt": "2024-04-14T17:16:30.574809Z",
    "description": "The scheduled job run finished running.",
    "jobName": "My_Daily_Macie_Job",
    "runDate": "2024-04-14T17:09:30.574809Z"
}

Le tableau suivant répertorie et décrit les types d'événements relatifs à l'état des tâches que Macie enregistre et publie dans CloudWatch Logs. La colonne Type d'événement indique le nom de chaque événement tel qu'il apparaît dans le eventType champ d'un événement. La colonne Description fournit une brève description de l'événement tel qu'il apparaît dans le description champ d'un événement. Les informations supplémentaires fournissent des informations sur le type de tâche auquel s'applique l'événement. Le tableau est d'abord trié selon l'ordre chronologique général dans lequel les événements peuvent se produire, puis par ordre alphabétique croissant par type d'événement.

Type d’événement Description Informations supplémentaires

EMPLOI CRÉÉ

L'emploi a été créé.

S'applique aux tâches ponctuelles et périodiques.
UN SEUL TRAVAIL A COMMENCÉ

La tâche a commencé à s'exécuter.

S'applique uniquement aux tâches ponctuelles.

SCHEDULED_RUN_STARTED

L'exécution de la tâche planifiée a commencé à s'exécuter.

S'applique uniquement aux tâches périodiques. Pour enregistrer le début d'une tâche ponctuelle, Macie publie un événement ONE_TIME_JOB_STARTED, pas ce type d'événement.

LE SEAU CORRESPONDAIT AUX CRITÈRES

Le compartiment concerné correspondait aux critères de compartiment spécifiés pour la tâche.

S'applique aux tâches ponctuelles et périodiques qui utilisent les critères des compartiments d'exécution pour déterminer les compartiments S3 à analyser.

L'affectedResourceobjet indique le nom du compartiment qui correspond aux critères et qui a été inclus dans l'analyse de la tâche.

AUCUN SEAU NE CORRESPONDAIT AUX CRITÈRES

La tâche a commencé à s'exécuter mais aucun compartiment ne correspond actuellement aux critères de compartiment spécifiés pour la tâche. Le travail n'a analysé aucune donnée.

S'applique aux tâches ponctuelles et périodiques qui utilisent les critères des compartiments d'exécution pour déterminer les compartiments S3 à analyser.
SCHEDULED_RUN_COMPLETED

L'exécution de la tâche planifiée s'est terminée.

S'applique uniquement aux tâches périodiques. Pour enregistrer l'achèvement d'une tâche ponctuelle, Macie publie un événement JOB_COMPLETED, et non ce type d'événement.

JOB_PAUSED_BY_USER

La tâche a été interrompue par un utilisateur.

S'applique aux tâches ponctuelles et périodiques que vous avez arrêtées temporairement (suspendues).

REPRISE DU TRAVAIL PAR L'UTILISATEUR

La tâche a été reprise par un utilisateur.

S'applique aux tâches ponctuelles et périodiques que vous avez arrêtées temporairement (mises en pause) puis reprises.

JOB_PAUSED_BY_MACIE_SERVICE_QUOTA_MET

Le travail a été suspendu par Macie. L'achèvement du travail dépasserait le quota mensuel pour le compte concerné.

S'applique aux tâches ponctuelles et périodiques que Macie a temporairement arrêtées (suspendues).

Macie suspend automatiquement une tâche lorsque le traitement supplémentaire effectué par la tâche ou l'exécution d'une tâche dépasse le quota mensuel de découverte de données sensibles pour un ou plusieurs comptes pour lesquels la tâche analyse les données. Pour éviter ce problème, pensez à augmenter le quota des comptes concernés.

JOB_RESUMED_BY_MACIE_SERVICE_QUOTA_LIFTED

Le travail a été repris par Macie. Le quota de service mensuel a été levé pour le compte concerné.

S'applique aux tâches ponctuelles et périodiques que Macie a arrêtées temporairement (mises en pause) puis reprises.

Si Macie a automatiquement suspendu une tâche ponctuelle, Macie reprend automatiquement la tâche au début du mois suivant ou le quota mensuel de découverte de données sensibles est augmenté pour tous les comptes concernés, selon la première éventualité. Si Macie a automatiquement suspendu une tâche périodique, Macie reprend automatiquement la tâche au début de la prochaine exécution ou au début du mois suivant, selon la première éventualité.

JOB ANNULÉ

 Le travail a été annulé.

S'applique aux tâches ponctuelles et périodiques que vous avez arrêtées définitivement (annulées) ou, pour les tâches ponctuelles, suspendues et que vous n'avez pas reprises dans les 30 jours.

Si vous suspendez ou désactivez Macie, ce type d'événement s'applique également aux tâches qui étaient actives ou suspendues lorsque vous avez suspendu ou désactivé Macie. Macie annule automatiquement vos tâches Région AWS si vous suspendez ou désactivez Macie dans la région.

TÂCHE TERMINÉE

L'exécution de la tâche s'est terminée.

S'applique uniquement aux tâches ponctuelles. Pour enregistrer la fin d'une tâche exécutée pour une tâche périodique, Macie publie un événement SCHEDULED_RUN_COMPLETED, pas ce type d'événement.

Événements d'erreur au niveau du compte

Un événement d'erreur au niveau du compte enregistre une erreur qui a empêché Macie d'analyser des objets dans des compartiments S3 appartenant à une personne spécifique. Compte AWS Le affectedAccount champ de chaque événement indique l'ID de compte de ce compte.

L'exemple suivant utilise des exemples de données pour montrer la structure et la nature des champs lors d'un événement d'erreur au niveau du compte. Dans cet exemple, un ACCOUNT_ACCESS_DENIED événement indique que Macie n'a pas été en mesure d'analyser les objets dans les compartiments S3 appartenant à un compte. 444455556666

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "ACCOUNT_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:08:30.585709Z",
    "description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
    "jobName": "My_Macie_Job",
    "operation": "ListBuckets",
    "runDate": "2024-04-14T17:05:27.574809Z",
    "affectedAccount": "444455556666"
}

Le tableau suivant répertorie et décrit les types d'événements d'erreur au niveau du compte que Macie enregistre et publie dans Logs. CloudWatch La colonne Type d'événement indique le nom de chaque événement tel qu'il apparaît dans le eventType champ d'un événement. La colonne Description fournit une brève description de l'événement tel qu'il apparaît dans le description champ d'un événement. La colonne Informations supplémentaires fournit tous les conseils applicables pour rechercher ou corriger l'erreur survenue. Le tableau est trié par ordre alphabétique croissant par type d'événement.

Type d’événement Description Informations supplémentaires

ACCESS_DE_COMPTE_REFUSÉ

Macie n'est pas autorisé à accéder aux données du compartiment S3 pour le compte concerné.

Cela se produit généralement parce que les compartiments détenus par le compte sont soumis à des politiques de compartiment restrictives. Pour plus d'informations sur la manière de résoudre ce problème, consultezAutoriser Macie à accéder aux compartiments et aux objets S3.

La valeur du operation champ de l'événement peut vous aider à déterminer quels paramètres d'autorisation ont empêché Macie d'accéder aux données S3 du compte. Ce champ indique l'opération Amazon S3 que Macie a tenté d'effectuer lorsque l'erreur s'est produite.
COMPTE_DÉSACTIVÉ

La tâche ignorait les ressources détenues par le compte concerné. Macie a été désactivée pour le compte.

Pour résoudre ce problème, réactivez Macie pour le compte dans celui-ci. Région AWS
COMPTE_DISSOCIÉ

La tâche ignorait les ressources détenues par le compte concerné. Le compte n'est plus associé à votre compte administrateur Macie en tant que compte membre.

Cela se produit si, en tant qu'administrateur Macie d'une organisation, vous configurez une tâche pour analyser les données d'un compte membre et que le compte est ensuite supprimé de votre organisation.

Pour résoudre ce problème, associez à nouveau le compte concerné à votre compte administrateur Macie en tant que compte membre. Pour de plus amples informations, veuillez consulter Gestion de plusieurs comptes .

COMPTE_ISOLÉ

La tâche ignorait les ressources détenues par le compte concerné. Ils Compte AWS étaient isolés.

COMPTE_RÉGION_DÉSACTIVÉ

La tâche ignorait les ressources détenues par le compte concerné. Le Compte AWS n'est pas actif en ce moment Région AWS.

COMPTE_SUSPENDU

La tâche a été annulée ou des ressources appartenant au compte concerné ont été ignorées. Macie a été suspendu pour ce compte.

Si le compte indiqué est le vôtre, Macie a automatiquement annulé le travail lorsque vous avez suspendu Macie dans la même région. Pour résoudre ce problème, réactivez Macie dans la région.

Si le compte spécifié est un compte membre, réactivez Macie pour ce compte dans la même région.

COMPTE RÉSILIÉ

La tâche ignorait les ressources détenues par le compte concerné. Compte AWS Il a été résilié.

Événements d'erreur au niveau du bucket

Un événement d'erreur au niveau du compartiment enregistre une erreur qui a empêché Macie d'analyser des objets dans un compartiment S3 spécifique. Le affectedAccount champ de chaque événement indique l'ID de compte du Compte AWS propriétaire du compartiment. Dans chaque événement, l'affectedResourceobjet indique le nom du compartiment.

L'exemple suivant utilise des exemples de données pour montrer la structure et la nature des champs lors d'un événement d'erreur au niveau du compartiment. Dans cet exemple, un BUCKET_ACCESS_DENIED événement indique que Macie n'a pu analyser aucun objet dans le compartiment S3 nomméamzn-s3-demo-bucket. Lorsque Macie a tenté de répertorier les objets du compartiment à l'aide de l'opération ListObjectsV2 de l'API Amazon S3, Amazon S3 a refusé l'accès au compartiment.

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:09:30.685209Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}

Le tableau suivant répertorie et décrit les types d'événements d'erreur au niveau du compartiment que Macie enregistre et publie dans Logs. CloudWatch La colonne Type d'événement indique le nom de chaque événement tel qu'il apparaît dans le eventType champ d'un événement. La colonne Description fournit une brève description de l'événement tel qu'il apparaît dans le description champ d'un événement. La colonne Informations supplémentaires fournit tous les conseils applicables pour rechercher ou corriger l'erreur survenue. Le tableau est trié par ordre alphabétique croissant par type d'événement.

Type d’événement Description Informations supplémentaires

BUCKET_ACCESS_DENIED

Macie n'est pas autorisé à accéder au compartiment S3 concerné.

Cela se produit généralement parce qu'un compartiment a une politique de compartiment restrictive. Pour plus d'informations sur la manière de résoudre ce problème, consultezAutoriser Macie à accéder aux compartiments et aux objets S3.

La valeur du operation champ de l'événement peut vous aider à déterminer quels paramètres d'autorisation ont empêché Macie d'accéder au bucket. Ce champ indique l'opération Amazon S3 que Macie a tenté d'effectuer lorsque l'erreur s'est produite.

DÉTAILS DU GODET NON DISPONIBLES

Un problème temporaire a empêché Macie de récupérer des informations sur le compartiment et ses objets.

Cela se produit si un problème temporaire a empêché Macie de récupérer les métadonnées du bucket et de l'objet dont il a besoin pour analyser les objets d'un bucket. Par exemple, une exception Amazon S3 s'est produite lorsque Macie a essayé de vérifier qu'elle était autorisée à accéder au compartiment.

Pour résoudre le problème lié à une tâche ponctuelle, envisagez de créer et d'exécuter une nouvelle tâche ponctuelle pour analyser les objets du compartiment. Pour une tâche planifiée, Macie essaiera à nouveau de récupérer les métadonnées lors de la prochaine exécution de la tâche.
LE GODET N'EXISTE PAS

Le compartiment S3 concerné n'existe plus.

Cela se produit généralement parce qu'un compartiment a été supprimé.

SEAU DANS UNE RÉGION DIFFÉRENTE

Le compartiment S3 concerné a été déplacé vers un autre Région AWS.

LE PROPRIÉTAIRE DU GODET A CHANGÉ

Le propriétaire du compartiment S3 concerné a changé. Macie n'est plus autorisé à accéder au bucket.

Cela se produit généralement si la propriété d'un bucket a été transférée à un Compte AWS utilisateur ne faisant pas partie de votre organisation. Le affectedAccount champ de l'événement indique l'ID de compte du compte qui possédait auparavant le bucket.