Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Acara manajemen pencatatan
Secara default, jejak dan data peristiwa menyimpan peristiwa manajemen log dan tidak menyertakan data atau peristiwa Wawasan.
Biaya tambahan berlaku untuk data atau acara Wawasan. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail
Daftar Isi
Acara manajemen
Acara manajemen memberikan visibilitas ke dalam operasi manajemen yang dilakukan pada sumber daya di AWS akun Anda. Ini juga dikenal sebagai operasi pesawat kontrol. Contoh acara manajemen meliputi:
-
Mengkonfigurasi keamanan (misalnya, IAM
AttachRolePolicy
API operasi) -
Mendaftarkan perangkat (misalnya, EC2
CreateDefaultVpc
API operasi Amazon) -
Mengkonfigurasi aturan untuk merutekan data (misalnya, operasi Amazon EC2
CreateSubnet
API) -
Menyiapkan logging (misalnya, AWS CloudTrail
CreateTrail
API operasi)
Acara manajemen juga dapat mencakup API non-peristiwa yang terjadi di akun Anda. Misalnya, ketika pengguna masuk ke akun Anda, CloudTrail mencatat ConsoleLogin
peristiwa tersebut. Untuk informasi selengkapnya, lihat APINon-event yang ditangkap oleh CloudTrail.
Secara default, jejak dan penyimpanan data peristiwa dikonfigurasi untuk mencatat peristiwa manajemen.
catatan
Fitur Riwayat CloudTrail acara hanya mendukung acara manajemen. Anda tidak dapat mengecualikan AWS KMS atau API peristiwa RDS Data Amazon dari riwayat Peristiwa; pengaturan yang Anda terapkan ke penyimpanan data jejak atau peristiwa tidak berlaku untuk riwayat Acara. Untuk informasi selengkapnya, lihat Bekerja dengan riwayat CloudTrail acara.
Membaca dan menulis acara
Saat mengonfigurasi penyimpanan data jejak atau peristiwa untuk mencatat peristiwa manajemen, Anda dapat menentukan apakah Anda menginginkan peristiwa hanya-baca, peristiwa hanya-tulis, atau keduanya.
-
Membaca
Peristiwa hanya-baca mencakup API operasi yang membaca sumber daya Anda, tetapi tidak membuat perubahan. Misalnya, peristiwa hanya-baca termasuk Amazon EC2
DescribeSecurityGroups
danDescribeSubnets
API operasi. Operasi ini hanya mengembalikan informasi tentang EC2 sumber daya Amazon Anda dan tidak mengubah konfigurasi Anda. -
Menulis
Peristiwa khusus tulis mencakup API operasi yang memodifikasi (atau mungkin memodifikasi) sumber daya Anda. Misalnya, Amazon EC2
RunInstances
danTerminateInstances
API operasi memodifikasi instans Anda.
Contoh: Mencatat peristiwa baca dan tulis untuk jalur terpisah
Contoh berikut menunjukkan cara mengonfigurasi jejak untuk membagi aktivitas log untuk akun menjadi bucket S3 terpisah: satu bucket menerima peristiwa hanya-baca dan bucket kedua menerima peristiwa hanya-tulis.
-
Anda membuat jejak dan memilih bucket S3 bernama
amzn-s3-demo-bucket1
untuk menerima file log. Anda kemudian memperbarui jejak untuk menentukan bahwa Anda ingin Baca acara manajemen. -
Anda membuat jejak kedua dan memilih bucket S3 bernama
amzn-s3-demo-bucket2
untuk menerima file log. Anda kemudian memperbarui jejak untuk menentukan bahwa Anda ingin menulis acara manajemen. -
Amazon EC2
DescribeInstances
danTerminateInstances
API operasi terjadi di akun Anda. -
DescribeInstances
APIOperasi ini adalah acara hanya-baca dan cocok dengan pengaturan untuk jejak pertama. Jejak mencatat dan mengirimkan acara keamzn-s3-demo-bucket1
. -
TerminateInstances
APIOperasi ini adalah acara khusus tulis dan cocok dengan pengaturan untuk jejak kedua. Jejak mencatat dan mengirimkan acara keamzn-s3-demo-bucket2
.
Pencatatan acara manajemen dengan AWS Management Console
-
Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/
. -
Untuk memperbarui jejak, buka halaman Trails CloudTrail konsol dan pilih nama jejak.
Untuk memperbarui penyimpanan data acara, buka halaman penyimpanan data acara CloudTrail konsol dan pilih nama penyimpanan data acara.
-
Untuk acara Manajemen, pilih Edit.
-
Pilih apakah Anda ingin penyimpanan data jejak atau acara mencatat peristiwa Baca, Menulis peristiwa, atau keduanya.
-
Pilih Kecualikan AWS KMS peristiwa untuk memfilter AWS Key Management Service (AWS KMS) peristiwa dari jejak atau penyimpanan data acara Anda. Pengaturan default adalah untuk memasukkan semua AWS KMS acara.
Opsi untuk mencatat atau mengecualikan AWS KMS peristiwa hanya tersedia jika Anda mencatat peristiwa manajemen di penyimpanan data jejak atau acara Anda. Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
AWS KMS tindakan seperti
Encrypt
,Decrypt
, danGenerateDataKey
biasanya menghasilkan volume besar (lebih dari 99%) peristiwa. Tindakan ini sekarang dicatat sebagai peristiwa Baca. Volume rendah, AWS KMS tindakan yang relevan sepertiDisable
,Delete
, danScheduleKey
(yang biasanya menyumbang kurang dari 0,5% dari volume AWS KMS peristiwa) dicatat sebagai peristiwa Tulis.Untuk mengecualikan peristiwa bervolume tinggi seperti
Encrypt
,Decrypt
, danGenerateDataKey
, tetapi masih mencatat peristiwa yang relevan sepertiDisable
,Delete
danScheduleKey
, pilih untuk mencatat peristiwa manajemen Tulis, dan kosongkan kotak centang untuk Kecualikan AWS KMS peristiwa. -
Pilih Kecualikan API peristiwa RDS Data Amazon untuk memfilter peristiwa Data Layanan API Data Amazon Relational Database dari penyimpanan data jejak atau peristiwa Anda. Pengaturan default adalah untuk menyertakan semua API peristiwa Amazon RDS Data. Untuk informasi selengkapnya tentang API peristiwa RDS Data Amazon, lihat Mencatat API panggilan Data dengan AWS CloudTrail di Panduan RDS Pengguna Amazon untuk Aurora.
-
-
Pilih Simpan perubahan setelah Anda selesai.
Pencatatan acara manajemen dengan AWS CLI
Anda dapat mengonfigurasi jejak atau penyimpanan data peristiwa untuk mencatat peristiwa manajemen menggunakan file. AWS CLI
Topik
Contoh: Acara manajemen pencatatan untuk jalur
Untuk melihat apakah jejak Anda mencatat peristiwa manajemen, jalankan get-event-selectors
perintah.
aws cloudtrail get-event-selectors --trail-name
TrailName
Contoh berikut mengembalikan pengaturan default untuk jejak. Secara default, jejak mencatat semua peristiwa manajemen, mencatat peristiwa dari semua sumber peristiwa, dan tidak mencatat peristiwa data.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Anda dapat menggunakan pemilih acara dasar atau lanjutan untuk mencatat peristiwa manajemen. Anda tidak dapat menerapkan pemilih peristiwa dan pemilih peristiwa lanjutan untuk satu jejak. Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa. Bagian berikut memberikan contoh cara mencatat peristiwa manajemen menggunakan pemilih acara lanjutan dan pemilih acara dasar.
Topik
Contoh: Mencatat peristiwa manajemen untuk jalur menggunakan penyeleksi acara tingkat lanjut
Contoh berikut membuat pemilih acara lanjutan untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis (dengan menghilangkan readOnly
pemilih), tetapi untuk mengecualikan () peristiwa. AWS Key Management Service AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
Untuk mulai mencatat AWS KMS peristiwa ke jejak lagi, hapus eventSource
pemilih, dan jalankan perintah lagi.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus eventSource
pemilih, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Contoh berikutnya membuat pemilih acara lanjutan untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis (dengan menghilangkan readOnly
pemilih), tetapi untuk mengecualikan peristiwa manajemen Data Amazon. RDS API Untuk mengecualikan peristiwa API pengelolaan RDS Data Amazon, tentukan sumber API peristiwa Amazon RDS Data dalam nilai string untuk eventSource
bidang:rdsdata.amazonaws.com
.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, peristiwa API pengelolaan RDS Data Amazon tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan API peristiwa Amazon RDS Data.
Untuk mulai mencatat peristiwa API pengelolaan RDS Data Amazon ke jejak lagi, hapus eventSource
pemilih, dan jalankan perintah lagi.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus eventSource
pemilih, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Contoh: Mencatat peristiwa manajemen untuk jalur menggunakan pemilih acara dasar
Untuk mengonfigurasi jejak Anda untuk mencatat peristiwa manajemen, jalankan put-event-selectors
perintah. Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa manajemen untuk dua objek S3. Anda dapat menentukan dari 1 hingga 5 penyeleksi acara untuk jejak. Anda dapat menentukan dari 1 hingga 250 sumber daya data untuk jejak.
catatan
Jumlah maksimum sumber daya data S3 adalah 250, terlepas dari jumlah pemilih acara.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'
Contoh berikut mengembalikan pemilih acara dikonfigurasi untuk jejak.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] }
Untuk mengecualikan AWS Key Management Service (AWS KMS) peristiwa dari log jejak, jalankan put-event-selectors
perintah dan tambahkan atribut ExcludeManagementEventSources
dengan nilaikms.amazonaws.com
. Contoh berikut membuat pemilih acara untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis, tetapi mengecualikan acara. AWS KMS Karena AWS KMS dapat menghasilkan volume peristiwa yang tinggi, pengguna dalam contoh ini mungkin ingin membatasi peristiwa untuk mengelola biaya jejak.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] }
Untuk mengecualikan peristiwa API pengelolaan RDS Data Amazon dari log jejak, jalankan put-event-selectors
perintah dan tambahkan atribut ExcludeManagementEventSources
dengan nilairdsdata.amazonaws.com
. Contoh berikut membuat pemilih acara untuk jejak bernama TrailName
untuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis, tetapi mengecualikan peristiwa pengelolaan Data AmazonRDS. API Karena Amazon RDS Data API dapat menghasilkan volume peristiwa manajemen yang tinggi, pengguna dalam contoh ini mungkin ingin membatasi peristiwa untuk mengelola biaya jejak.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] }
Untuk memulai pencatatan AWS KMS atau peristiwa API pengelolaan RDS Data Amazon ke jejak lagi, berikan string kosong sebagai nilaiExcludeManagementEventSources
, seperti yang ditunjukkan pada perintah berikut.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Untuk mencatat AWS KMS peristiwa yang relevan ke jejak sepertiDisable
, Delete
danScheduleKey
, tetapi mengecualikan AWS KMS peristiwa volume tinggi sepertiEncrypt
,Decrypt
, danGenerateDataKey
, mencatat peristiwa manajemen khusus tulis, dan menyimpan pengaturan default untuk mencatat AWS KMS peristiwa, seperti yang ditunjukkan dalam contoh berikut.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Contoh: Logging acara manajemen untuk penyimpanan data acara
Untuk melihat apakah penyimpanan data acara Anda menyertakan peristiwa manajemen, jalankan get-event-data-store perintah.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Berikut ini adalah contoh respons. Pembuatan dan waktu pembaruan terakhir dalam timestamp
format.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "myManagementEvents", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00", "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00" }
Untuk membuat penyimpanan data acara yang mencakup semua peristiwa manajemen, Anda menjalankan create-event-data-store perintah. Anda tidak perlu menentukan pemilih acara lanjutan apa pun untuk menyertakan semua acara manajemen.
aws cloudtrail create-event-data-store --name my-event-data-store --retention-period 90\
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00", "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00" }
Untuk membuat penyimpanan data peristiwa yang mengecualikan AWS Key Management Service (AWS KMS) peristiwa, jalankan create-event-data-store
perintah dan tentukan yang eventSource
tidak samakms.amazonaws.com
. Contoh berikut membuat penyimpanan data peristiwa yang mencakup peristiwa manajemen hanya-baca dan hanya tulis, tetapi mengecualikan peristiwa. AWS KMS
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]} ] } ]'
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Untuk membuat penyimpanan data peristiwa yang mengecualikan peristiwa API pengelolaan RDS Data Amazon, jalankan create-event-data-store
perintah dan tentukan yang eventSource
tidak samardsdata.amazonaws.com
. Contoh berikut membuat penyimpanan data peristiwa yang mencakup peristiwa manajemen hanya-baca dan hanya tulis, tetapi mengecualikan peristiwa Data Amazon. RDS API
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]} ] } ]'
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Pencatatan acara manajemen dengan AWS SDKs
Gunakan GetEventSelectorsoperasi untuk melihat apakah jejak Anda mencatat peristiwa manajemen untuk jejak. Anda dapat mengonfigurasi jejak Anda untuk mencatat peristiwa manajemen dengan PutEventSelectorsoperasi. Untuk informasi selengkapnya, lihat AWS CloudTrail APIReferensi.
Jalankan GetEventDataStoreoperasi untuk melihat apakah penyimpanan data acara Anda menyertakan acara manajemen. Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa manajemen dengan menjalankan CreateEventDataStoreatau UpdateEventDataStoreoperasi. Untuk informasi lebih lanjut, lihat Membuat, memperbarui, dan mengelola penyimpanan data acara dengan AWS CLI dan AWS CloudTrail APIReferensi.