Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola jalur dengan AWS CLI
AWS CLI Termasuk beberapa perintah lain yang membantu Anda mengelola jejak Anda. Perintah ini menambahkan tag ke jalur, mendapatkan status jejak, memulai dan menghentikan pencatatan untuk jalur, dan menghapus jejak. Anda harus menjalankan perintah ini dari AWS Wilayah yang sama tempat jejak dibuat (Wilayah Asalnya). Saat menggunakan AWS CLI, ingatlah bahwa perintah Anda berjalan di AWS Wilayah yang dikonfigurasi untuk profil Anda. Jika Anda ingin menjalankan perintah di Wilayah yang berbeda, ubah Wilayah default untuk profil Anda, atau gunakan parameter --region bersama perintah tersebut.
Topik
- Tambahkan satu atau beberapa tag ke jejak
- Daftar tag untuk satu atau lebih jalur
- Hapus satu atau beberapa tag dari jejak
- Mengambil pengaturan jejak dan status jejak
- Mengonfigurasi pemilih acara CloudTrail Insights
- Mengkonfigurasi pemilih acara tingkat lanjut
- Mengkonfigurasi pemilih acara dasar
- Menghentikan dan memulai pencatatan untuk jalan setapak
- Menghapus jejak
Tambahkan satu atau beberapa tag ke jejak
Untuk menambahkan satu atau beberapa tag ke jejak yang ada, jalankan add-tags perintah.
Contoh berikut menambahkan tag dengan nama Owner
dan nilai Mary
ke jalan setapak dengan ARN arn:aws:cloudtrail:
di Wilayah Timur AS (Ohio). us-east-2
:123456789012
:trail/my-trail
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:
us-east-2
:123456789012
:trail/my-trail
--tags-list Key=Owner
,Value=Mary
--region us-east-2
Jika berhasil, perintah ini tidak mengembalikan apa pun.
Daftar tag untuk satu atau lebih jalur
Untuk melihat tag yang terkait dengan satu atau lebih jejak yang ada, gunakan list-tags perintah.
Contoh berikut mencantumkan tag untuk Trail1
and Trail2
.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:
us-east-2
:123456789012
:trail/Trail1
arn:aws:cloudtrail:us-east-2
:123456789012
:trail/Trail2
Jika berhasil, perintah ini mengembalikan output yang serupa dengan yang berikut.
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:
us-east-2
:123456789012
:trail/Trail1
", "TagsList": [ { "Value": "Alice
", "Key": "Name
" }, { "Value": "Ohio
", "Key": "Location
" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/Trail2
", "TagsList": [ { "Value": "Bob
", "Key": "Name
" } ] } ] }
Hapus satu atau beberapa tag dari jejak
Untuk menghapus satu atau beberapa tag dari jejak yang ada, jalankan remove-tags perintah.
Contoh berikut menghapus tag dengan nama Location
and Name
dari jalan setapak dengan ARN arn:aws:cloudtrail:
di Wilayah Timur AS (Ohio). us-east-2
:123456789012
:trail/Trail1
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:
us-east-2
:123456789012
:trail/Trail1
--tags-list Key=Name Key=Location --region us-east-2
Jika berhasil, perintah ini tidak mengembalikan apa pun.
Mengambil pengaturan jejak dan status jejak
Jalankan describe-trails
perintah untuk mengambil informasi tentang jejak di Wilayah. AWS Contoh berikut mengembalikan informasi tentang jalur yang dikonfigurasi di Wilayah Timur AS (Ohio).
aws cloudtrail describe-trails --region us-east-2
Jika perintah berhasil, Anda melihat output yang serupa dengan berikut ini.
{ "trailList": [ { "Name": "
my-trail
", "S3BucketName": "amzn-s3-demo-bucket1
", "S3KeyPrefix": "my-prefix
", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2
" "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-trail
", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic
", "IsOrganizationTrail": false, }, { "Name": "my-special-trail
", "S3BucketName": "amzn-s3-demo-bucket2
", "S3KeyPrefix": "example-prefix
", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2
", "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-special-trail
", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail
", "S3BucketName": "amzn-s3-demo-bucket3
", "S3KeyPrefix": "my-prefix
", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1
" "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-org-trail
", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic
", "IsOrganizationTrail": true } ] }
Jalankan get-trail
perintah untuk mengambil informasi pengaturan tentang jejak tertentu. Contoh berikut mengembalikan informasi pengaturan untuk jejak bernama my-trail
.
aws cloudtrail get-trail - -name
my-trail
Jika berhasil, perintah ini mengembalikan output yang serupa dengan yang berikut.
{ "Trail": { "Name": "
my-trail
", "S3BucketName": "amzn-s3-demo-bucket
", "S3KeyPrefix": "my-prefix
", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2
" "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-trail
", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic
", "IsOrganizationTrail": false, } }
Jalankan get-trail-status
perintah untuk mengambil status jejak. Anda harus menjalankan perintah ini dari AWS Wilayah tempat ia dibuat (Wilayah Beranda), atau Anda harus menentukan Wilayah itu dengan menambahkan --region parameter.
catatan
Jika jejak adalah jejak organisasi dan Anda adalah akun anggota dalam organisasi di AWS Organizations, Anda harus memberikan ARN jejak penuh itu, dan bukan hanya namanya.
aws cloudtrail get-trail-status --name
my-trail
Jika perintah berhasil, Anda melihat output yang serupa dengan berikut ini.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Selain bidang yang ditampilkan dalam JSON kode sebelumnya, status berisi bidang berikut jika ada kesalahan Amazon SNS atau Amazon S3:
-
LatestNotificationError
. Berisi kesalahan yang dipancarkan oleh Amazon SNS jika langganan topik gagal. -
LatestDeliveryError
. Berisi kesalahan yang dipancarkan oleh Amazon S3 CloudTrail jika tidak dapat mengirimkan file log ke ember.
Mengonfigurasi pemilih acara CloudTrail Insights
Aktifkan peristiwa Insights pada jejak dengan menjalankanput-insight-selectors, dan menentukan ApiCallRateInsight
ApiErrorRateInsight
,, atau keduanya sebagai nilai atribut. InsightType
Untuk melihat setelan pemilih Insights untuk jejak, jalankan perintah. get-insight-selectors
Anda harus menjalankan perintah ini dari AWS Wilayah tempat jejak dibuat (Wilayah Rumah), atau Anda harus menentukan Wilayah itu dengan menambahkan --region parameter ke perintah.
catatan
Untuk mencatat peristiwa InsightsApiCallRateInsight
, jejak harus mencatat peristiwa write
manajemen. Untuk mencatat peristiwa InsightsApiErrorRateInsight
, jejak harus mencatat read
atau write
mengelola peristiwa.
Contoh jejak yang mencatat peristiwa Insights
Contoh berikut digunakan put-insight-selectors untuk membuat pemilih acara Insights untuk jejak bernama TrailName3
. Hal ini memungkinkan pengumpulan acara Insights untuk TrailName3
jejak. Pemilih peristiwa Insights mencatat keduanya ApiErrorRateInsight
dan jenis peristiwa ApiCallRateInsight
Insights.
aws cloudtrail put-insight-selectors --trail-name
TrailName3
--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
Contoh mengembalikan pemilih peristiwa Insights yang dikonfigurasi untuk jejak.
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName3
" }
Contoh: Matikan koleksi acara Insights
Contoh berikut digunakan put-insight-selectors untuk menghapus pemilih peristiwa Insights untuk jejak bernama TrailName3
. Menghapus JSON string pemilih Insights menonaktifkan koleksi acara Insights untuk TrailName3
jejak.
aws cloudtrail put-insight-selectors --trail-name
TrailName3
--insight-selectors '[]'
Contoh mengembalikan pemilih peristiwa Insights yang sekarang kosong yang dikonfigurasi untuk jejak.
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName3
" }
Mengkonfigurasi pemilih acara tingkat lanjut
Anda dapat menggunakan pemilih peristiwa lanjutan untuk mencatat peristiwa manajemen, peristiwa data untuk semua jenis sumber daya, dan peristiwa aktivitas jaringan (dalam pratinjau). Sebaliknya, Anda dapat menggunakan pemilih acara dasar untuk mencatat peristiwa manajemen dan peristiwa data untukAWS::DynamoDB::Table
,AWS::Lambda::Function
, dan jenis AWS::S3::Object
sumber daya. Anda dapat menggunakan pemilih acara dasar, atau pemilih acara lanjutan, tetapi tidak keduanya. Jika Anda menerapkan penyeleksi acara lanjutan ke jejak yang menggunakan pemilih acara dasar, pemilih acara dasar akan ditimpa.
Untuk mengonversi jejak menjadi penyeleksi peristiwa lanjutan, jalankan get-event-selectors perintah untuk mengonfirmasi penyeleksi peristiwa saat ini, lalu konfigurasikan pemilih acara lanjutan agar sesuai dengan cakupan penyeleksi acara sebelumnya, lalu tambahkan pemilih tambahan apa pun.
Anda harus menjalankan get-event-selectors
perintah dari Wilayah AWS tempat jejak dibuat (Wilayah Rumah), atau Anda harus menentukan Wilayah itu dengan menambahkan --region parameter.
aws cloudtrail get-event-selectors --trail-name
TrailName
catatan
Jika jejak adalah jejak organisasi, dan Anda masuk dengan akun anggota di organisasi AWS Organizations, Anda harus memberikan ARN jejak lengkap, dan bukan hanya namanya.
Contoh berikut menunjukkan pengaturan untuk jejak yang menggunakan pemilih acara lanjutan untuk mencatat peristiwa manajemen. Secara default, jejak dikonfigurasi untuk mencatat semua peristiwa manajemen dan tidak ada peristiwa data atau peristiwa aktivitas jaringan.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Untuk membuat pemilih acara lanjutan, jalankan put-event-selectors
perintah. Ketika suatu peristiwa terjadi di akun Anda, CloudTrail evaluasi konfigurasi untuk jejak Anda. Jika acara cocok dengan pemilih acara lanjutan mana pun untuk jejak, jejak akan memproses dan mencatat peristiwa tersebut. Anda dapat mengonfigurasi hingga 500 kondisi pada jejak, termasuk semua nilai yang ditentukan untuk semua penyeleksi acara lanjutan di jejak Anda. Untuk informasi selengkapnya, silakan lihat Pencatatan peristiwa data dan Mencatat peristiwa aktivitas jaringan.
Topik
- Contoh jejak dengan pemilih acara lanjutan tertentu
- Contoh jejak yang menggunakan pemilih peristiwa lanjutan khusus untuk mencatat Amazon S3 AWS Outposts pada peristiwa data
- Contoh jejak yang menggunakan penyeleksi acara lanjutan untuk mengecualikan AWS Key Management Service acara
- Contoh jejak yang menggunakan penyeleksi peristiwa lanjutan untuk mengecualikan peristiwa API pengelolaan RDS Data Amazon
Contoh jejak dengan pemilih acara lanjutan tertentu
Contoh berikut membuat pemilih acara lanjutan kustom untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen baca dan tulis (dengan menghilangkan readOnly
pemilih), PutObject
dan peristiwa DeleteObject
data untuk semua kombinasi bucket/awalan Amazon S3 kecuali untuk bucket amzn-s3-demo-bucket
bernama, peristiwa data untuk fungsi MyLambdaFunction
bernama, dan peristiwa aktivitas jaringan untuk peristiwa AWS Lambda yang ditolak akses melalui titik akhir. AWS KMS VPC Karena ini adalah penyeleksi acara lanjutan khusus, setiap set penyeleksi memiliki nama deskriptif. Perhatikan bahwa garis miring adalah bagian dari ARN nilai untuk bucket S3.
aws cloudtrail put-event-selectors --trail-name
TrailName
--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket
/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:
111122223333
:function/MyLambdaFunction
"] } ] }, { "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"]}, { "Field": "errorCode", "Equals": ["VpceAccessDenied"]} ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ] } ] }, { "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Contoh jejak yang menggunakan pemilih peristiwa lanjutan khusus untuk mencatat Amazon S3 AWS Outposts pada peristiwa data
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa data untuk semua Amazon S3 pada AWS Outposts objek di pos terdepan Anda. Dalam rilis ini, nilai yang didukung untuk S3 pada AWS Outposts peristiwa untuk resources.type
bidang tersebut adalahAWS::S3Outposts::Object
.
aws cloudtrail put-event-selectors --trail-name
TrailName
--regionregion
\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:
region
:123456789012:trail/TrailName
" }
Contoh jejak yang menggunakan penyeleksi acara lanjutan untuk mengecualikan AWS Key Management Service acara
Contoh berikut membuat pemilih acara lanjutan untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis (dengan menghilangkan readOnly
pemilih), tetapi untuk mengecualikan () peristiwa. AWS Key Management Service AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
Untuk mulai mencatat AWS KMS peristiwa ke jejak lagi, hapus eventSource
pemilih, dan jalankan perintah lagi.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus eventSource
pemilih, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Contoh jejak yang menggunakan penyeleksi peristiwa lanjutan untuk mengecualikan peristiwa API pengelolaan RDS Data Amazon
Contoh berikut membuat pemilih acara lanjutan untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis (dengan menghilangkan readOnly
pemilih), tetapi untuk mengecualikan peristiwa manajemen Data Amazon. RDS API Untuk mengecualikan peristiwa API pengelolaan RDS Data Amazon, tentukan sumber API peristiwa Amazon RDS Data dalam nilai string untuk eventSource
bidang:rdsdata.amazonaws.com
.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, peristiwa API pengelolaan RDS Data Amazon tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan API peristiwa Amazon RDS Data.
Untuk mulai mencatat peristiwa API pengelolaan RDS Data Amazon ke jejak lagi, hapus eventSource
pemilih, dan jalankan perintah lagi.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus eventSource
pemilih, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Mengkonfigurasi pemilih acara dasar
Anda hanya dapat menggunakan pemilih acara dasar untuk mencatat peristiwa manajemen dan peristiwa data untukAWS::DynamoDB::Table
,AWS::Lambda::Function
, dan jenis AWS::S3::Object
sumber daya. Anda dapat mencatat peristiwa manajemen, semua jenis sumber daya data, dan peristiwa aktivitas jaringan (dalam pratinjau) dengan menggunakan pemilih peristiwa lanjutan.
Anda dapat menggunakan pemilih acara dasar, atau pemilih acara lanjutan, tetapi tidak keduanya. Jika Anda menerapkan penyeleksi acara dasar ke jejak yang menggunakan pemilih acara lanjutan, pemilih acara lanjutan akan ditimpa.
Untuk melihat pengaturan pemilih acara untuk jejak, jalankan get-event-selectors
perintah. Anda harus menjalankan perintah ini dari Wilayah AWS tempat ia dibuat (Wilayah Rumah), atau Anda harus menentukan Wilayah itu dengan menggunakan --region parameter.
aws cloudtrail get-event-selectors --trail-name
TrailName
catatan
Jika jejak adalah jejak organisasi dan Anda adalah akun anggota dalam organisasi di AWS Organizations, Anda harus memberikan ARN jejak penuh itu, dan bukan hanya namanya.
Contoh berikut menunjukkan pengaturan untuk jejak yang menggunakan pemilih acara dasar untuk mencatat peristiwa manajemen.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Untuk membuat pemilih acara, jalankan put-event-selectors
perintah. Jika Anda ingin mencatat peristiwa Insights di jejak, pastikan pemilih acara mengaktifkan pencatatan jenis Wawasan yang ingin Anda konfigurasi jejak Anda. Untuk informasi selengkapnya tentang mencatat peristiwa Wawasan, lihatAcara Logging Insights.
Ketika suatu peristiwa terjadi di akun Anda, CloudTrail evaluasi konfigurasi untuk jejak Anda. Jika acara cocok dengan pemilih acara apa pun untuk jejak, jejak akan memproses dan mencatat peristiwa tersebut. Anda dapat mengonfigurasi hingga 5 penyeleksi acara untuk jejak dan hingga 250 sumber daya data untuk jejak. Untuk informasi selengkapnya, lihat Pencatatan peristiwa data.
Topik
- Contoh jejak dengan pemilih acara tertentu
- Contoh jejak yang mencatat semua peristiwa manajemen dan data
- Contoh jejak yang tidak mencatat AWS Key Management Service peristiwa
- Contoh jejak yang mencatat peristiwa volume rendah AWS Key Management Service yang relevan
- Contoh jejak yang tidak mencatat API peristiwa RDS data Amazon
Contoh jejak dengan pemilih acara tertentu
Contoh berikut membuat pemilih acara untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis, peristiwa data untuk dua kombinasi bucket/awalan Amazon S3, dan peristiwa data untuk satu fungsi bernama AWS Lambda hello-world-python-function
.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function
"]}]}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Contoh jejak yang mencatat semua peristiwa manajemen dan data
Contoh berikut membuat pemilih acara untuk jejak bernama TrailName2
yang mencakup semua peristiwa manajemen, termasuk peristiwa manajemen hanya-baca dan hanya tulis, dan peristiwa data untuk semua bucket Amazon S3, fungsi, AWS Lambda dan tabel Amazon DynamoDB di file. Akun AWS Karena contoh ini menggunakan pemilih peristiwa dasar, contoh ini tidak dapat mengonfigurasi pencatatan untuk peristiwa S3 AWS Outposts, Amazon Managed Blockchain JSON - RPC panggilan pada node Ethereum, atau jenis sumber daya pemilih acara lanjutan lainnya. Anda juga tidak dapat mencatat peristiwa aktivitas jaringan menggunakan pemilih acara dasar. Anda harus menggunakan pemilih peristiwa lanjutan untuk mencatat peristiwa aktivitas jaringan dan peristiwa data untuk semua jenis sumber daya lainnya. Untuk informasi selengkapnya, lihat Mengkonfigurasi pemilih acara tingkat lanjut.
catatan
Jika jejak hanya berlaku untuk satu Wilayah, hanya peristiwa di Wilayah tersebut yang dicatat, meskipun parameter pemilih peristiwa menentukan semua bucket Amazon S3 dan fungsi Lambda. Penyeleksi acara hanya berlaku untuk Wilayah tempat jejak dibuat.
aws cloudtrail put-event-selectors --trail-name
TrailName2
--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName2
" }
Contoh jejak yang tidak mencatat AWS Key Management Service peristiwa
Contoh berikut membuat pemilih acara untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis, tetapi untuk mengecualikan AWS Key Management Service () peristiwa.AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen. Pengguna dalam contoh ini telah memilih untuk mengecualikan AWS KMS peristiwa dari setiap jejak kecuali satu. Untuk mengecualikan sumber peristiwa, tambahkan ExcludeManagementEventSources
ke pemilih acara Anda, dan tentukan sumber peristiwa dalam nilai string.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
Untuk mulai mencatat AWS KMS peristiwa ke jejak lagi, berikan array kosong sebagai nilaiExcludeManagementEventSources
.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Untuk memulai logging AWS KMS peristiwa ke jejak lagi, berikan array kosong sebagai nilaiExcludeManagementEventSources
, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Contoh jejak yang mencatat peristiwa volume rendah AWS Key Management Service yang relevan
Contoh berikut membuat pemilih acara untuk jejak bernama TrailName
untuk memasukkan acara dan acara manajemen khusus tulis. AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen. Pengguna dalam contoh ini telah memilih untuk menyertakan peristiwa AWS KMS Tulis, yang akan mencakupDisable
, Delete
danScheduleKey
, tetapi tidak lagi menyertakan tindakan volume tinggi sepertiEncrypt
,Decrypt
, dan GenerateDataKey
(ini sekarang diperlakukan sebagai peristiwa Baca).
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak. Ini mencatat peristiwa manajemen khusus tulis, termasuk AWS KMS peristiwa.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Contoh jejak yang tidak mencatat API peristiwa RDS data Amazon
Contoh berikut membuat pemilih acara untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis, tetapi untuk mengecualikan peristiwa Data Amazon. RDS API Karena API peristiwa Amazon RDS Data diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, peristiwa tersebut dapat berdampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen. Pengguna dalam contoh ini telah memilih untuk mengecualikan API peristiwa RDS Data Amazon dari setiap jejak kecuali satu. Untuk mengecualikan sumber peristiwa, tambahkan ExcludeManagementEventSources
ke pemilih acara Anda, dan tentukan sumber API peristiwa Amazon RDS Data dalam nilai string:rdsdata.amazonaws.com
.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, peristiwa Amazon RDS Data API tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan peristiwa.
Untuk mulai mencatat peristiwa API pengelolaan RDS Data Amazon ke jejak lagi, berikan array kosong sebagai nilaiExcludeManagementEventSources
.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Untuk mulai mencatat peristiwa API pengelolaan RDS Data Amazon ke jejak lagi, teruskan array kosong sebagai nilaiExcludeManagementEventSources
, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Menghentikan dan memulai pencatatan untuk jalan setapak
Perintah berikut memulai dan menghentikan CloudTrail logging.
aws cloudtrail start-logging --name
awscloudtrail-example
aws cloudtrail stop-logging --name
awscloudtrail-example
catatan
Sebelum menghapus bucket, jalankan stop-logging
perintah untuk berhenti mengirimkan peristiwa ke bucket. Jika Anda tidak berhenti masuk, CloudTrail coba kirimkan file log ke bucket dengan nama yang sama untuk jangka waktu terbatas.
Jika Anda berhenti mencatat atau menghapus jejak, CloudTrail Wawasan akan dinonaktifkan pada jejak tersebut.
Menghapus jejak
Jika Anda telah mengaktifkan peristiwa CloudTrail manajemen di Amazon Security Lake, Anda diharuskan untuk mempertahankan setidaknya satu jejak organisasi yaitu Multi-wilayah dan mencatat keduanya read
dan peristiwa write
manajemen. Anda tidak dapat menghapus jejak jika itu adalah satu-satunya jejak yang Anda miliki yang memenuhi persyaratan ini, kecuali jika Anda mematikan acara CloudTrail manajemen di Security Lake.
Anda dapat menghapus jejak dengan perintah berikut. Anda dapat menghapus jejak hanya di Wilayah itu dibuat (Wilayah Rumah).
aws cloudtrail delete-trail --name
awscloudtrail-example
Saat Anda menghapus jejak, Anda tidak menghapus bucket Amazon S3 atau SNS topik Amazon yang terkait dengannya. Gunakan AWS Management Console, AWS CLI, atau layanan API untuk menghapus sumber daya ini secara terpisah.