Buat toko data acara dengan AWS CLI - AWS CloudTrail
Buat penyimpanan data acara untuk peristiwa data S3 dengan AWS CLIMembuat penyimpanan data acara untuk acara aktivitas KMS jaringan dengan AWS CLIBuat penyimpanan data acara untuk item AWS Config konfigurasi dengan AWS CLIBuat penyimpanan data acara organisasi untuk acara manajemen dengan AWS CLIMembuat penyimpanan data acara untuk acara Insights dengan AWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat toko data acara dengan AWS CLI

Bagian ini menjelaskan cara menggunakan create-event-data-storeperintah untuk membuat penyimpanan data peristiwa dan memberikan contoh berbagai jenis penyimpanan data peristiwa yang dapat Anda buat.

Saat Anda membuat penyimpanan data peristiwa, satu-satunya parameter yang diperlukan adalah--name, yang digunakan untuk mengidentifikasi penyimpanan data peristiwa. Anda dapat mengonfigurasi parameter opsional tambahan, termasuk:

  • --advanced-event-selectors- Menentukan jenis acara untuk dimasukkan dalam penyimpanan data acara. Secara default, data acara menyimpan log semua peristiwa manajemen. Untuk informasi selengkapnya tentang penyeleksi acara lanjutan, lihat AdvancedEventSelectordi CloudTrail API Referensi.

  • --kms-key-id- Menentukan ID KMS kunci untuk digunakan untuk mengenkripsi peristiwa yang disampaikan oleh. CloudTrail Nilai dapat berupa nama alias yang diawali olehalias/, sepenuhnya ditentukan ARN untuk alias, sepenuhnya ditentukan ARN untuk kunci, atau pengidentifikasi unik global.

  • --multi-region-enabled- Membuat penyimpanan data acara Multi-wilayah yang mencatat peristiwa untuk semua yang ada Wilayah AWS di akun Anda. Secara default, --multi-region-enabled diatur, bahkan jika parameter tidak ditambahkan.

  • --organization-enabled- Memungkinkan penyimpanan data acara untuk mengumpulkan acara untuk semua akun dalam suatu organisasi. Secara default, penyimpanan data acara tidak diaktifkan untuk semua akun dalam organisasi.

  • --billing-mode- Menentukan biaya untuk menelan dan menyimpan acara, dan periode retensi default dan maksimum untuk penyimpanan data acara.

    Berikut ini adalah nilai yang mungkin:

    • EXTENDABLE_RETENTION_PRICING- Mode penagihan ini umumnya direkomendasikan jika Anda menelan kurang dari 25 TB data acara sebulan dan menginginkan periode retensi yang fleksibel hingga 3653 hari (sekitar 10 tahun). Periode retensi default untuk mode penagihan ini adalah 366 hari.

    • FIXED_RETENTION_PRICING- Mode penagihan ini disarankan jika Anda mengharapkan untuk menelan lebih dari 25 TB data acara per bulan dan membutuhkan periode retensi hingga 2557 hari (sekitar 7 tahun). Periode retensi default untuk mode penagihan ini adalah 2557 hari.

    Nilai default-nya adalah EXTENDABLE_RETENTION_PRICING.

  • --retention-period- Jumlah hari untuk menyimpan acara di penyimpanan data acara. Nilai yang valid adalah bilangan bulat antara 7 dan 3653 jika --billing-mode adaEXTENDABLE_RETENTION_PRICING, atau antara 7 dan 2557 jika --billing-mode diatur ke. FIXED_RETENTION_PRICING Jika Anda tidak menentukan--retention-period, CloudTrail menggunakan periode retensi default untuk--billing-mode.

  • --start-ingestion- --start-ingestion Parameter memulai konsumsi acara pada penyimpanan data acara saat dibuat. Parameter ini diatur bahkan jika parameter tidak ditambahkan.

    Tentukan --no-start-ingestion jika Anda tidak ingin penyimpanan data acara menelan acara langsung. Misalnya, Anda mungkin ingin mengatur parameter ini jika Anda menyalin peristiwa ke penyimpanan data peristiwa dan hanya berencana untuk menggunakan data peristiwa untuk menganalisis peristiwa masa lalu. --no-start-ingestionParameter hanya valid jika eventCategory adalahManagement,Data, atauConfigurationItem.

Contoh berikut menunjukkan cara membuat berbagai jenis penyimpanan data acara.

Buat penyimpanan data acara untuk peristiwa data S3 dengan AWS CLI

create-event-data-storePerintah example AWS Command Line Interface (AWS CLI) berikut membuat penyimpanan data peristiwa bernama my-event-data-store yang memilih semua peristiwa data Amazon S3 dan dienkripsi menggunakan kunci. KMS

aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
            ]
        }
    ]'

Berikut ini adalah contoh respons.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
    "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}

Membuat penyimpanan data acara untuk acara aktivitas KMS jaringan dengan AWS CLI

catatan

Acara aktivitas jaringan dalam rilis pratinjau untuk CloudTrail dan dapat berubah sewaktu-waktu.

Contoh berikut menunjukkan cara membuat penyimpanan data acara untuk menyertakan peristiwa aktivitas VpceAccessDenied jaringan untuk AWS KMS. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa dan eventSource bidang sama dengankms.amazonaws.com.

aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
     {
        "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
        "FieldSelectors": [
            {
                "Field": "eventCategory",
                "Equals": ["NetworkActivity"]
            },
            {
                "Field": "eventSource",
                "Equals": ["kms.amazonaws.com"]
            },
            {
                "Field": "errorCode",
                "Equals": ["VpceAccessDenied"]
            }
        ]
    }
]'

Perintah mengembalikan contoh output berikut.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "NetworkActivity"
                    ]
                },
                {
                    "Field": "eventSource",
                    "Equals": [
                        "kms.amazonaws.com"
                    ]
                },
                {
                    "Field": "errorCode",
                    "Equals": [
                        "VpceAccessDenied"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}

Untuk informasi selengkapnya tentang peristiwa aktivitas jaringan, lihatMencatat peristiwa aktivitas jaringan.

Buat penyimpanan data acara untuk item AWS Config konfigurasi dengan AWS CLI

Contoh AWS CLI create-event-data-store perintah berikut menciptakan sebuah event data store bernama config-items-eds yang memilih item AWS Config konfigurasi. Untuk mengumpulkan item konfigurasi, tentukan bahwa eventCategory ConfigurationItem bidang Sama dengan pemilih acara lanjutan.

aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Berikut ini adalah contoh respons.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "config-items-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select AWS Config configuration items",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "ConfigurationItem"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
    "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}

Buat penyimpanan data acara organisasi untuk acara manajemen dengan AWS CLI

AWS CLI create-event-data-storePerintah contoh berikut membuat penyimpanan data acara organisasi yang mengumpulkan semua peristiwa manajemen dan menetapkan --billing-mode parameter keFIXED_RETENTION_PRICING.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING

Berikut ini adalah contoh respons.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

Membuat penyimpanan data acara untuk acara Insights dengan AWS CLI

Untuk mencatat peristiwa Insights di CloudTrail Lake, Anda memerlukan penyimpanan data acara tujuan yang mengumpulkan peristiwa Wawasan dan penyimpanan data peristiwa sumber yang memungkinkan Insights dan peristiwa manajemen log.

Prosedur ini menunjukkan kepada Anda cara membuat penyimpanan data peristiwa tujuan dan sumber, lalu mengaktifkan peristiwa Wawasan.

  1. Jalankan aws cloudtrail create-event-data-storeperintah untuk membuat penyimpanan data acara tujuan yang mengumpulkan peristiwa Wawasan. Nilai untuk eventCategory harus Insight. Ganti retention-period-days dengan jumlah hari Anda ingin menyimpan acara di penyimpanan data acara Anda. Nilai yang valid adalah bilangan bulat antara 7 dan 3653 jika --billing-mode adaEXTENDABLE_RETENTION_PRICING, atau antara 7 dan 2557 jika --billing-mode diatur ke. FIXED_RETENTION_PRICING Jika Anda tidak menentukan--retention-period, CloudTrail menggunakan periode retensi default untuk--billing-mode.

    Jika Anda masuk dengan akun manajemen untuk AWS Organizations organisasi, sertakan --organization-enabled parameter jika Anda ingin memberikan akses administrator yang didelegasikan ke penyimpanan data peristiwa.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    Berikut ini adalah contoh respons.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}

    Anda akan menggunakan ARN (atau akhiran ID dariARN) dari respons sebagai nilai untuk --insights-destination parameter pada langkah 3.

  2. Jalankan aws cloudtrail create-event-data-storeperintah untuk membuat penyimpanan data peristiwa sumber yang mencatat peristiwa manajemen. Secara default, data acara menyimpan log semua peristiwa manajemen. Anda tidak perlu menentukan pemilih acara lanjutan jika Anda ingin mencatat semua peristiwa manajemen. Ganti retention-period-days dengan jumlah hari Anda ingin menyimpan acara di penyimpanan data acara Anda. Nilai yang valid adalah bilangan bulat antara 7 dan 3653 jika --billing-mode adaEXTENDABLE_RETENTION_PRICING, atau antara 7 dan 2557 jika --billing-mode diatur ke. FIXED_RETENTION_PRICING Jika Anda tidak menentukan--retention-period, CloudTrail menggunakan periode retensi default untuk--billing-mode. Jika Anda membuat penyimpanan data acara organisasi, sertakan --organization-enabled parameternya.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    Berikut ini adalah contoh respons.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}

    Anda akan menggunakan ARN (atau akhiran ID dariARN) dari respons sebagai nilai untuk --event-data-store parameter pada langkah 3.

  3. Jalankan put-insight-selectorsperintah untuk mengaktifkan peristiwa Insights. Nilai pemilih wawasan dapat berupaApiCallRateInsight,ApiErrorRateInsight, atau keduanya. Untuk --event-data-store parameter, tentukan ARN (atau akhiran ID dariARN) penyimpanan data peristiwa sumber yang mencatat peristiwa manajemen dan akan mengaktifkan Wawasan. Untuk --insights-destination parameter, tentukan ARN (atau akhiran ID dariARN) penyimpanan data peristiwa tujuan yang akan mencatat peristiwa Wawasan.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    Hasil berikut menunjukkan pemilih peristiwa Insights yang dikonfigurasi untuk penyimpanan data peristiwa.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    Setelah Anda mengaktifkan CloudTrail Insights untuk pertama kalinya di penyimpanan data acara, diperlukan waktu hingga 7 hari CloudTrail untuk menyampaikan acara Insights pertama, jika aktivitas yang tidak biasa terdeteksi.

    CloudTrail Wawasan menganalisis peristiwa manajemen yang terjadi di satu Wilayah, bukan secara global. Peristiwa CloudTrail Wawasan dihasilkan di Wilayah yang sama dengan peristiwa manajemen pendukungnya yang dihasilkan.

    Untuk penyimpanan data acara organisasi, CloudTrail menganalisis peristiwa manajemen dari akun masing-masing anggota alih-alih menganalisis agregasi semua peristiwa manajemen untuk organisasi.

Biaya tambahan berlaku untuk menelan acara Insights di CloudTrail Danau. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi tentang CloudTrail harga, lihat AWS CloudTrail Harga.