Buat penyimpanan data acara untuk CloudTrail acara dengan konsol - AWS CloudTrail
Untuk membuat penyimpanan data acara untuk CloudTrail acara

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat penyimpanan data acara untuk CloudTrail acara dengan konsol

Penyimpanan data acara untuk CloudTrail acara dapat mencakup peristiwa CloudTrail manajemen, peristiwa data, dan peristiwa aktivitas jaringan. Anda dapat menyimpan data acara di penyimpanan data acara hingga 3.653 hari (sekitar 10 tahun) jika Anda memilih opsi harga retensi yang dapat diperpanjang satu tahun, atau hingga 2.557 hari (sekitar 7 tahun) jika Anda memilih opsi harga retensi tujuh tahun..

catatan

Acara aktivitas jaringan dalam rilis pratinjau untuk CloudTrail dan dapat berubah sewaktu-waktu.

CloudTrail Penyimpanan data acara danau dikenakan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi tentang CloudTrail penetapan harga dan pengelolaan biaya Danau, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Untuk membuat penyimpanan data acara untuk CloudTrail acara

Gunakan prosedur ini untuk membuat penyimpanan data peristiwa yang mencatat peristiwa CloudTrail manajemen, peristiwa data, atau peristiwa aktivitas jaringan.

  1. Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

  2. Dari panel navigasi, di bawah Danau, pilih Penyimpanan data acara.

  3. Pilih Buat penyimpanan data acara.

  4. Pada halaman Configure event data store, di Rincian umum, masukkan nama untuk penyimpanan data acara. Diperlukan nama.

  5. Pilih opsi Harga yang ingin Anda gunakan untuk penyimpanan data acara Anda. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan acara, serta periode retensi default dan maksimum untuk penyimpanan data acara Anda. Untuk informasi lebih lanjut, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

    Berikut ini adalah opsi yang tersedia:

    • Harga retensi yang dapat diperpanjang satu tahun - Umumnya direkomendasikan jika Anda mengharapkan untuk menelan kurang dari 25 TB data acara per bulan dan menginginkan periode retensi yang fleksibel hingga 10 tahun. Untuk 366 hari pertama (periode retensi default), penyimpanan disertakan tanpa biaya tambahan dengan harga konsumsi. Setelah 366 hari, retensi diperpanjang tersedia dengan pay-as-you-go harga. Ini adalah pilihan default.

      • Periode retensi default: 366 hari

      • Periode retensi maksimum: 3,653 hari

    • Harga retensi tujuh tahun - Direkomendasikan jika Anda mengharapkan untuk menelan lebih dari 25 TB data acara per bulan dan membutuhkan periode retensi hingga 7 tahun. Retensi disertakan dengan harga konsumsi tanpa biaya tambahan.

      • Periode retensi default: 2,557 hari

      • Periode retensi maksimum: 2.557 hari

  6. Tentukan periode retensi untuk penyimpanan data acara. Periode retensi dapat antara 7 hari dan 3.653 hari (sekitar 10 tahun) untuk opsi harga retensi yang dapat diperpanjang satu tahun, atau antara 7 hari dan 2.557 hari (sekitar tujuh tahun) untuk opsi harga retensi tujuh tahun.

    CloudTrail Lake menentukan apakah akan mempertahankan suatu peristiwa dengan memeriksa apakah acara tersebut berada dalam periode retensi yang ditentukan. eventTime Misalnya, jika Anda menentukan periode retensi 90 hari, CloudTrail akan menghapus peristiwa ketika mereka eventTime lebih tua dari 90 hari.

    catatan

    Jika Anda menyalin peristiwa jejak ke penyimpanan data acara ini, tidak CloudTrail akan menyalin peristiwa jika lebih tua dari periode retensi yang ditentukan. eventTime Untuk menentukan periode retensi yang sesuai, ambil jumlah acara tertua yang ingin Anda salin dalam beberapa hari dan jumlah hari yang ingin Anda simpan di penyimpanan data acara (periode retensi = oldest-event-in-days + number-days-to-retain). Misalnya, jika acara tertua yang Anda salin berusia 45 hari dan Anda ingin menyimpan acara di penyimpanan data acara selama 45 hari lagi, Anda akan mengatur periode retensi menjadi 90 hari.

  7. (Opsional) Untuk mengaktifkan enkripsi menggunakan AWS Key Management Service, pilih Gunakan milik saya sendiri AWS KMS key. Pilih Baru untuk AWS KMS key membuat untuk Anda, atau pilih yang ada untuk menggunakan KMS kunci yang ada. Di Enter KMS alias, tentukan alias, dalam format alias/MyAliasName. Menggunakan KMS kunci Anda sendiri mengharuskan Anda mengedit kebijakan KMS kunci Anda untuk memungkinkan CloudTrail log dienkripsi dan didekripsi. Untuk informasi lebih lanjut, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail. CloudTrail juga mendukung kunci AWS KMS Multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat Menggunakan kunci Multi-region di Panduan AWS Key Management Service Pengembang.

    Menggunakan KMS kunci Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Setelah Anda mengaitkan penyimpanan data peristiwa dengan KMS kunci, KMS kunci tidak dapat dihapus atau diubah.

    catatan

    Untuk mengaktifkan AWS Key Management Service enkripsi untuk penyimpanan data acara organisasi, Anda harus menggunakan KMS kunci yang ada untuk akun manajemen.

  8. (Opsional) Jika Anda ingin melakukan kueri terhadap data peristiwa menggunakan Amazon Athena, pilih Aktifkan di federasi kueri Danau. Federation memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog AWS Glue Data dan menjalankan SQL kueri terhadap data peristiwa di Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri. Untuk informasi selengkapnya, lihat Federasi toko data acara.

    Untuk mengaktifkan federasi kueri Lake, pilih Aktifkan dan lakukan hal berikut:

    1. Pilih apakah Anda ingin membuat peran baru atau menggunakan peran yang sudah adaIAM. AWS Lake Formationmenggunakan peran ini untuk mengelola izin untuk penyimpanan data acara federasi. Saat Anda membuat peran baru menggunakan CloudTrail konsol, CloudTrail secara otomatis membuat peran dengan izin yang diperlukan. Jika Anda memilih peran yang ada, pastikan kebijakan untuk peran tersebut memberikan izin minimum yang diperlukan.

    2. Jika Anda membuat peran baru, masukkan nama untuk mengidentifikasi peran tersebut.

    3. Jika Anda menggunakan peran yang ada, pilih peran yang ingin Anda gunakan. Peran harus ada di akun Anda.

  9. (Opsional) Di bagian Tag, Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke penyimpanan data acara Anda. Untuk informasi selengkapnya tentang cara menggunakan IAM kebijakan untuk mengotorisasi akses ke penyimpanan data peristiwa berdasarkan tag, lihatContoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag. Untuk informasi selengkapnya tentang cara menggunakan tag AWS, lihat Menandai AWS sumber daya di Panduan Pengguna AWS Sumber Daya Penandaan.

  10. Pilih Berikutnya untuk mengonfigurasi penyimpanan data acara.

  11. Pada halaman Pilih acara, pilih AWS acara, lalu pilih CloudTrailacara.

  12. Untuk CloudTrail acara, pilih setidaknya satu jenis acara. Secara default, acara Manajemen dipilih. Anda dapat menambahkan peristiwa manajemen, peristiwa data, dan peristiwa aktivitas jaringan ke penyimpanan data acara Anda.

  13. (Opsional) Pilih Salin peristiwa jejak jika Anda ingin menyalin peristiwa dari jejak yang ada untuk menjalankan kueri pada peristiwa sebelumnya. Untuk menyalin peristiwa jejak ke penyimpanan data acara organisasi, Anda harus menggunakan akun manajemen untuk organisasi. Akun administrator yang didelegasikan tidak dapat menyalin peristiwa jejak ke penyimpanan data acara organisasi. Untuk informasi selengkapnya tentang pertimbangan untuk menyalin peristiwa jejak, lihat. Pertimbangan untuk menyalin acara jejak

  14. Agar penyimpanan data acara Anda mengumpulkan acara dari semua akun di AWS Organizations organisasi, pilih Aktifkan untuk semua akun di organisasi saya. Anda harus masuk ke akun manajemen atau akun administrator yang didelegasikan agar organisasi dapat membuat penyimpanan data peristiwa yang mengumpulkan peristiwa untuk organisasi.

    catatan

    Untuk menyalin peristiwa jejak atau mengaktifkan peristiwa Wawasan, Anda harus masuk ke akun manajemen untuk organisasi Anda.

  15. Perluas Pengaturan tambahan untuk memilih apakah Anda ingin penyimpanan data acara mengumpulkan acara untuk semua Wilayah AWS, atau hanya saat ini Wilayah AWS, dan pilih apakah penyimpanan data acara menyerap peristiwa. Secara default, penyimpanan data acara Anda mengumpulkan peristiwa dari semua Wilayah di akun Anda dan mulai menelan peristiwa saat dibuat.

    1. Pilih Sertakan hanya wilayah saat ini di penyimpanan data acara saya untuk menyertakan hanya peristiwa yang dicatat di Wilayah saat ini. Jika Anda tidak memilih opsi ini, penyimpanan data acara Anda mencakup acara dari semua Wilayah.

    2. Hapus pilihan acara Ingest jika Anda tidak ingin penyimpanan data acara mulai menelan peristiwa. Misalnya, Anda mungkin ingin membatalkan pilihan acara Ingest, jika Anda menyalin peristiwa jejak dan tidak ingin penyimpanan data acara menyertakan peristiwa masa depan. Secara default, penyimpanan data acara mulai menelan peristiwa saat dibuat.

  16. Jika penyimpanan data acara Anda menyertakan acara manajemen, Anda dapat memilih dari opsi berikut. Untuk informasi selengkapnya tentang acara manajemen, lihatAcara manajemen pencatatan.

    1. Pilih apakah Anda ingin menyertakan acara Baca, Menulis acara, atau keduanya. Setidaknya satu diperlukan.

    2. Pilih apakah akan mengecualikan AWS Key Management Service atau API peristiwa RDS Data Amazon dari penyimpanan data acara Anda.

    3. Pilih apakah akan mengaktifkan Wawasan. Untuk mengaktifkan Wawasan, Anda perlu menyiapkan penyimpanan data acara tujuan untuk mengumpulkan peristiwa Wawasan berdasarkan aktivitas acara manajemen di penyimpanan data acara ini.

      Jika Anda memilih untuk mengaktifkan Wawasan, lakukan hal berikut.

      1. Di Aktifkan Wawasan, pilih toko acara tujuan yang akan mencatat peristiwa Wawasan. Penyimpanan data acara tujuan akan mengumpulkan peristiwa Wawasan berdasarkan aktivitas acara manajemen di penyimpanan data acara ini. Untuk informasi tentang cara membuat penyimpanan data acara tujuan, lihatUntuk membuat penyimpanan data acara tujuan yang mencatat peristiwa Wawasan.

      2. Pilih jenis Wawasan. Anda dapat memilih tingkat API panggilan, tingkat API kesalahan, atau keduanya. Anda harus mencatat peristiwa manajemen Tulis untuk mencatat peristiwa Wawasan untuk tingkat API panggilan. Anda harus mencatat peristiwa manajemen Baca atau Tulis untuk mencatat peristiwa Wawasan untuk mengetahui tingkat API kesalahan.

  17. Untuk menyertakan peristiwa data di penyimpanan data acara Anda, lakukan hal berikut.

    1. Pilih jenis peristiwa data. Ini adalah Layanan AWS dan sumber daya di mana peristiwa data dicatat. Untuk mencatat peristiwa data untuk AWS Glue tabel yang dibuat oleh Lake Formation, pilih Lake Formation untuk tipe data.

    2. Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa data, readOnly peristiwa, writeOnly peristiwa, atau Kustom untuk membuat pemilih log kustom.

    3. (Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih peristiwa lanjutan, seperti “Log peristiwa data hanya untuk dua bucket S3”. Nama pemilih terdaftar seperti Name pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON

    4. Di Advanced event selectors, buat ekspresi untuk sumber daya spesifik tempat Anda ingin mencatat peristiwa data. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.

      1. Pilih dari bidang berikut.

        • readOnly- readOnly dapat diatur untuk sama dengan nilai true ataufalse. Peristiwa data hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti Get* atau Describe* peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, sepertiPut*,Delete*, atau Write* peristiwa. Untuk mencatat keduanya read dan write peristiwa, jangan tambahkan readOnly pemilih.

        • eventName- eventName dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa data apa pun yang dicatat CloudTrail, sepertiPutBucket,GetItem, atauGetSnapshotBlock.

        • resources.ARN- Anda dapat menggunakan operator apa pun denganresources.ARN, tetapi jika Anda menggunakan sama atau tidak sama, nilainya harus sama persis dengan sumber daya yang valid dari jenis yang telah Anda tentukan dalam templat sebagai nilairesources.type. ARN

          Tabel berikut menunjukkan ARN format yang valid untuk masing-masingresources.type.

          catatan

          Anda tidak dapat menggunakan resources.ARN bidang untuk memfilter jenis sumber daya yang tidak dimilikiARNs.

          resources.type sumber daya. ARN
          AWS::DynamoDB::Table1 
          arn:partition:dynamodb:region:account_ID:table/table_name
          AWS::Lambda::Function 
          arn:partition:lambda:region:account_ID:function:function_name

          AWS::S3::Object2

          		 
          arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
          AWS::AppConfig::Configuration 
          arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
          AWS::B2BI::Transformer 
          arn:partition:b2bi:region:account_ID:transformer/transformer_ID
          AWS::Bedrock::AgentAlias 
          arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
          AWS::Bedrock::FlowAlias 
          arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
          AWS::Bedrock::Guardrail 
          arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
          AWS::Bedrock::KnowledgeBase 
          arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
          AWS::Bedrock::Model

          ARNHarus dalam salah satu format berikut:

          • arn:partition:bedrock:region::foundation-model/resource_ID

          • arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID

          • arn:partition:bedrock:region:account_ID:custom-model/resource_ID
          AWS::Cassandra::Table 
          arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
          AWS::CloudFront::KeyValueStore 
          arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
          AWS::CloudTrail::Channel 
          arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
          AWS::CodeWhisperer::Customization 
          arn:partition:codewhisperer:region:account_ID:customization/customization_ID
          AWS::CodeWhisperer::Profile 
          arn:partition:codewhisperer:region:account_ID:profile/profile_ID
          AWS::Cognito::IdentityPool 
          arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
          AWS::DataExchange::Asset 
          arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
          AWS::Deadline::Fleet 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
          AWS::Deadline::Job 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
          AWS::Deadline::Queue 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
          AWS::Deadline::Worker 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
          AWS::DynamoDB::Stream 
          arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
          AWS::EC2::Snapshot 
          arn:partition:ec2:region::snapshot/snapshot_ID
          AWS::EMRWAL::Workspace 
          arn:partition:emrwal:region:account_ID:workspace/workspace_name
          AWS::FinSpace::Environment 
          arn:partition:finspace:region:account_ID:environment/environment_ID
          AWS::Glue::Table 
          arn:partition:glue:region:account_ID:table/database_name/table_name
          AWS::GreengrassV2::ComponentVersion 
          arn:partition:greengrass:region:account_ID:components/component_name
          AWS::GreengrassV2::Deployment 
          arn:partition:greengrass:region:account_ID:deployments/deployment_ID
          AWS::GuardDuty::Detector 
          arn:partition:guardduty:region:account_ID:detector/detector_ID
          AWS::IoT::Certificate 
          arn:partition:iot:region:account_ID:cert/certificate_ID
          AWS::IoT::Thing 
          arn:partition:iot:region:account_ID:thing/thing_ID
          AWS::IoTSiteWise::Asset 
          arn:partition:iotsitewise:region:account_ID:asset/asset_ID
          AWS::IoTSiteWise::TimeSeries 
          arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
          AWS::IoTTwinMaker::Entity 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
          AWS::IoTTwinMaker::Workspace 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
          AWS::KendraRanking::ExecutionPlan 
          arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
          AWS::Kinesis::Stream 
          arn:partition:kinesis:region:account_ID:stream/stream_name
          AWS::Kinesis::StreamConsumer 
          arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
          AWS::KinesisVideo::Stream 
          arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
          AWS::MachineLearning::MlModel 
          arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
          AWS::ManagedBlockchain::Network 
          arn:partition:managedblockchain:::networks/network_name
          AWS::ManagedBlockchain::Node 
          arn:partition:managedblockchain:region:account_ID:nodes/node_ID
          AWS::MedicalImaging::Datastore 
          arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
          AWS::NeptuneGraph::Graph 
          arn:partition:neptune-graph:region:account_ID:graph/graph_ID
          AWS::One::UKey 
          arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
          AWS::One::User 
          arn:partition:one:region:account_ID:user/user_ID
          AWS::PaymentCryptography::Alias 
          arn:partition:payment-cryptography:region:account_ID:alias/alias
          AWS::PaymentCryptography::Key 
          arn:partition:payment-cryptography:region:account_ID:key/key_ID
          AWS::PCAConnectorAD::Connector 
          arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
          AWS::PCAConnectorSCEP::Connector 
          arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
          AWS::QApps:QApp 
          arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
          AWS::QBusiness::Application 
          arn:partition:qbusiness:region:account_ID:application/application_ID
          AWS::QBusiness::DataSource 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
          AWS::QBusiness::Index 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
          AWS::QBusiness::WebExperience 
          arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
          AWS::RDS::DBCluster 
          arn:partition:rds:region:account_ID:cluster/cluster_name
          AWS::RUM::AppMonitor 
          arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

          AWS::S3::AccessPoint3

          		 
          arn:partition:s3:region:account_ID:accesspoint/access_point_name

          AWS::S3Express::Object

          		 
          arn:partition:s3express:region:account_ID:bucket/bucket_name
          AWS::S3ObjectLambda::AccessPoint 
          arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
          AWS::S3Outposts::Object 
          arn:partition:s3-outposts:region:account_ID:object_path
          AWS::SageMaker::Endpoint 
          arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
          AWS::SageMaker::ExperimentTrialComponent 
          arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
          AWS::SageMaker::FeatureGroup 
          arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
          AWS::SCN::Instance 
          arn:partition:scn:region:account_ID:instance/instance_ID
          AWS::ServiceDiscovery::Namespace 
          arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
          AWS::ServiceDiscovery::Service 
          arn:partition:servicediscovery:region:account_ID:service/service_ID
          AWS::SNS::PlatformEndpoint 
          arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
          AWS::SNS::Topic 
          arn:partition:sns:region:account_ID:topic_name
          AWS::SocialMessaging::PhoneNumberId

          arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
          AWS::SQS::Queue 
          arn:partition:sqs:region:account_ID:queue_name
          AWS::SSM::ManagedNode

          ARNHarus dalam salah satu format berikut:

          • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

          • arn:partition:ec2:region:account_ID:instance/instance_ID
          AWS::SSMMessages::ControlChannel 
          arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
          AWS::StepFunctions::StateMachine

          ARNHarus dalam salah satu format berikut:

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
          AWS::SWF::Domain 
          arn:partition:swf:region:account_ID:/domain/domain_name
          AWS::ThinClient::Device 
          arn:partition:thinclient:region:account_ID:device/device_ID
          AWS::ThinClient::Environment 
          arn:partition:thinclient:region:account_ID:environment/environment_ID
          AWS::Timestream::Database 
          arn:partition:timestream:region:account_ID:database/database_name
          AWS::Timestream::Table 
          arn:partition:timestream:region:account_ID:database/database_name/table/table_name
          AWS::VerifiedPermissions::PolicyStore 
          arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

          1 Untuk tabel dengan aliran diaktifkan, resources bidang dalam peristiwa data berisi keduanya AWS::DynamoDB::Stream danAWS::DynamoDB::Table. Jika Anda menentukan AWS::DynamoDB::Table untukresources.type, itu akan mencatat kedua tabel DynamoDB dan DynamoDB stream peristiwa secara default. Untuk mengecualikan peristiwa aliran, tambahkan filter di eventName bidang.

          2 Untuk mencatat semua peristiwa data untuk semua objek dalam bucket S3 tertentu, gunakan StartsWith operator, dan sertakan hanya bucket ARN sebagai nilai yang cocok. Slash trailing disengaja; jangan mengecualikannya.

          3 Untuk mencatat peristiwa pada semua objek di titik akses S3, sebaiknya Anda hanya menggunakan titik aksesARN, jangan sertakan jalur objek, dan gunakan NotStartsWith operator StartsWith atau.

        Untuk informasi selengkapnya tentang ARN format sumber daya peristiwa data, lihat Tindakan, sumber daya, dan kunci kondisi di Panduan AWS Identity and Access Management Pengguna.

      2. Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi. Misalnya, untuk mengecualikan peristiwa data untuk dua bucket S3 dari peristiwa data yang dicatat di penyimpanan data peristiwa, Anda dapat mengatur bidang ke sumber daya. ARN, setel operator untuk tidak memulai, lalu tempel di ember S3ARN, atau telusuri ember S3 yang tidak ingin Anda catat peristiwa.

        Untuk menambahkan bucket S3 kedua, pilih + Condition, lalu ulangi instruksi sebelumnya, tempelkan ARN for atau browsing untuk bucket yang berbeda.

        Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.

        catatan

        Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti. eventName Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.

      3. Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang. Misalnya, jangan tentukan pemilih ARN dalam satu agar sama dengan nilai, lalu tentukan bahwa ARN tidak sama dengan nilai yang sama di pemilih lain.

    5. Secara opsional, perluas JSONtampilan untuk melihat pemilih acara lanjutan Anda sebagai JSON blok.

    6. Untuk menambahkan tipe data lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data. Ulangi langkah a melalui langkah ini untuk mengonfigurasi pemilih acara lanjutan untuk tipe peristiwa data.

  18. Untuk menyertakan peristiwa aktivitas jaringan di penyimpanan data acara Anda, lakukan hal berikut.

    1. Dari sumber peristiwa aktivitas jaringan, pilih sumber untuk peristiwa aktivitas jaringan.

    2. Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa aktivitas jaringan, mencatat semua peristiwa yang ditolak akses aktivitas jaringan, atau memilih Kustom untuk membuat pemilih log kustom untuk memfilter pada beberapa bidang, seperti eventName danvpcEndpointId.

    3. (Opsional) Masukkan nama untuk mengidentifikasi pemilih. Nama pemilih terdaftar sebagai Nama di pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan. JSON

    4. Di Penyeleksi acara lanjutan membangun ekspresi dengan memilih nilai untuk Bidang, Operator, dan Nilai. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.

      1. Untuk mengecualikan atau menyertakan peristiwa aktivitas jaringan, Anda dapat memilih dari bidang berikut di konsol.

        • eventName— Anda dapat menggunakan operator apa pun denganeventName. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara apa pun, sepertiCreateKey.

        • errorCode— Anda dapat menggunakannya untuk memfilter kode kesalahan. Saat ini, satu-satunya yang didukung errorCode adalahVpceAccessDenied.

        • vpcEndpointId— Mengidentifikasi VPC titik akhir yang dilewati operasi. Anda dapat menggunakan operator apa pun denganvpcEndpointId.

      2. Untuk setiap bidang, pilih + Kondisi untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi.

      3. Pilih + Bidang untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang.

    5. Untuk menambahkan sumber peristiwa lain yang ingin Anda log peristiwa aktivitas jaringan, pilih Tambahkan pemilih peristiwa aktivitas jaringan.

    6. Secara opsional, perluas JSONtampilan untuk melihat pemilih acara lanjutan Anda sebagai JSON blok.

  19. Untuk menyalin peristiwa jejak yang ada ke penyimpanan data acara Anda, lakukan hal berikut.

    1. Pilih jejak yang ingin Anda salin. Secara default, CloudTrail hanya menyalin CloudTrail peristiwa yang terdapat dalam awalan bucket S3 dan CloudTrail awalan di dalam awalan, dan tidak memeriksa CloudTrail awalan untuk layanan lain. AWS Jika Anda ingin menyalin CloudTrail peristiwa yang terdapat dalam awalan lain, pilih Masukkan S3 URI, lalu pilih Browse S3 untuk menelusuri awalan. Jika bucket S3 sumber untuk jejak menggunakan KMS kunci untuk enkripsi data, pastikan kebijakan KMS kunci memungkinkan CloudTrail untuk mendekripsi data. Jika bucket S3 sumber Anda menggunakan beberapa KMS kunci, Anda harus memperbarui kebijakan setiap kunci agar memungkinkan CloudTrail untuk mendekripsi data dalam bucket. Untuk informasi selengkapnya tentang memperbarui kebijakan KMS utama, lihatKMSkebijakan kunci untuk mendekripsi data di bucket S3 sumber.

    2. Pilih rentang waktu untuk menyalin acara. CloudTrail memeriksa awalan dan nama file log untuk memverifikasi nama berisi tanggal antara tanggal mulai dan akhir yang dipilih sebelum mencoba menyalin peristiwa jejak. Anda dapat memilih rentang Relatif atau rentang Absolut. Untuk menghindari duplikasi peristiwa antara jejak sumber dan penyimpanan data peristiwa tujuan, pilih rentang waktu yang lebih awal dari pembuatan penyimpanan data acara.

      catatan

      CloudTrail hanya menyalin peristiwa jejak yang eventTime memiliki periode retensi penyimpanan data acara. Misalnya, jika periode penyimpanan data acara adalah 90 hari, maka tidak CloudTrail akan menyalin peristiwa jejak apa pun dengan eventTime lebih dari 90 hari.

      • Jika Anda memilih Rentang relatif, Anda dapat memilih untuk menyalin peristiwa yang dicatat dalam 6 bulan terakhir, 1 tahun, 2 tahun, 7 tahun, atau rentang khusus. CloudTrail menyalin peristiwa yang dicatat dalam periode waktu yang dipilih.

      • Jika Anda memilih Rentang absolut, Anda dapat memilih tanggal mulai dan berakhir tertentu. CloudTrail menyalin peristiwa yang terjadi antara tanggal mulai dan akhir yang dipilih.

    3. Untuk Izin, pilih dari opsi IAM peran berikut. Jika Anda memilih IAM peran yang ada, verifikasi bahwa kebijakan IAM peran menyediakan izin yang diperlukan. Untuk informasi selengkapnya tentang memperbarui izin IAM peran, lihatIAMizin untuk menyalin peristiwa jejak.

      • Pilih Buat peran baru (disarankan) untuk membuat IAM peran baru. Untuk Masukkan nama IAM peran, masukkan nama untuk peran tersebut. CloudTrail secara otomatis membuat izin yang diperlukan untuk peran baru ini.

      • Pilih Gunakan IAM peran kustom ARN untuk menggunakan IAM peran kustom yang tidak terdaftar. Untuk IAMperan Enter ARN, masukkan IAMARN.

      • Pilih IAM peran yang ada dari daftar drop-down.

  20. Pilih Berikutnya untuk meninjau pilihan Anda.

  21. Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan pada bagian. Saat Anda siap membuat penyimpanan data acara, pilih Buat penyimpanan data acara.

  22. Penyimpanan data acara baru terlihat di tabel penyimpanan data acara pada halaman penyimpanan data acara.

    Mulai saat ini, penyimpanan data acara menangkap peristiwa yang cocok dengan pemilih acara lanjutannya (jika Anda tetap memilih opsi acara Ingest). Peristiwa yang terjadi sebelum Anda membuat penyimpanan data acara tidak ada di penyimpanan data acara, kecuali Anda memilih untuk menyalin peristiwa jejak yang ada.

Anda sekarang dapat menjalankan kueri di penyimpanan data acara baru Anda. Tab Contoh kueri menyediakan contoh kueri untuk membantu Anda memulai. Untuk informasi selengkapnya tentang membuat dan mengedit kueri, lihatMembuat atau mengedit kueri dengan CloudTrail konsol.

Anda juga dapat melihat dasbor CloudTrail Lake untuk memvisualisasikan peristiwa data manajemen dan S3 di penyimpanan data acara Anda. Untuk informasi lebih lanjut tentang dasbor Danau, lihatLihat dasbor CloudTrail Danau dengan konsol CloudTrail .