Mengkonfigurasi pemantauan CloudWatch Log dengan konsol Mengkonfigurasi pemantauan CloudWatch Log dengan AWS CLI Batasan

Mengirim acara ke CloudWatch Log

Saat Anda mengonfigurasi jejak Anda untuk mengirim peristiwa ke CloudWatch Log, CloudTrail kirimkan hanya peristiwa yang sesuai dengan pengaturan jejak Anda. Misalnya, jika Anda mengonfigurasi jejak untuk mencatat peristiwa data saja, jejak Anda hanya akan mengirimkan peristiwa data ke grup CloudWatch log Log Anda. CloudTrail mendukung pengiriman data, Wawasan, dan acara manajemen ke CloudWatch Log. Untuk informasi selengkapnya, lihat Bekerja dengan file CloudTrail log.

catatan

Hanya akun manajemen yang dapat mengonfigurasi grup CloudWatch log Log untuk jejak organisasi menggunakan konsol. Administrator yang didelegasikan dapat mengonfigurasi grup CloudWatch log Log menggunakan operasi AWS CLI atau CloudTrail CreateTrail atau UpdateTrail API.

Untuk mengirim peristiwa ke grup CloudWatch log Log:

Pastikan Anda memiliki izin yang cukup untuk membuat atau menentukan peran IAM. Untuk informasi selengkapnya, lihat Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail .
Jika Anda mengonfigurasi grup CloudWatch log Log menggunakan AWS CLI, pastikan Anda memiliki izin yang cukup untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut. Untuk informasi selengkapnya, lihat Membuat dokumen kebijakan.
Buat jejak baru atau tentukan yang sudah ada. Untuk informasi selengkapnya, lihat Membuat dan memperbarui jejak dengan konsol.
Buat grup log atau tentukan yang sudah ada.
Tentukan peran IAM. Jika Anda memodifikasi peran IAM yang ada untuk jejak organisasi, Anda harus memperbarui kebijakan secara manual untuk mengizinkan pencatatan jejak organisasi. Untuk informasi selengkapnya, lihat contoh kebijakan ini danMembuat jejak untuk organisasi.
Lampirkan kebijakan peran atau gunakan default.

Daftar Isi

Mengkonfigurasi pemantauan CloudWatch Log dengan konsol

Anda dapat menggunakan AWS Management Console untuk mengonfigurasi jejak Anda untuk mengirim peristiwa ke CloudWatch Log untuk pemantauan.

Membuat grup log atau menentukan grup log yang ada

CloudTrail menggunakan grup CloudWatch log Log sebagai titik akhir pengiriman untuk peristiwa log. Anda dapat membuat grup log atau menentukan yang sudah ada.

Untuk membuat atau menentukan grup log untuk jejak yang ada

Pastikan Anda masuk dengan pengguna administratif atau peran dengan izin yang cukup untuk mengonfigurasi integrasi CloudWatch Log. Untuk informasi selengkapnya, lihat Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail .

catatan
Hanya akun manajemen yang dapat mengonfigurasi grup CloudWatch log Log untuk jejak organisasi menggunakan konsol. Administrator yang didelegasikan dapat mengonfigurasi grup CloudWatch log Log menggunakan operasi AWS CLI atau CloudTrail CreateTrail atau UpdateTrail API.
Buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.
Pilih nama jejak. Jika Anda memilih jalur yang berlaku untuk semua Wilayah, Anda akan diarahkan ke Wilayah tempat jejak itu dibuat. Anda dapat membuat grup log atau memilih grup log yang ada di Wilayah yang sama dengan jejak.

catatan
Jejak yang berlaku untuk semua Wilayah mengirimkan file log dari semua Wilayah ke grup CloudWatch log Log yang Anda tentukan.
Di CloudWatch Log, pilih Edit.
Untuk CloudWatch Log, pilih Diaktifkan.
Untuk nama grup Log, pilih Baru untuk membuat grup log baru, atau Ada untuk menggunakan yang sudah ada. Jika Anda memilih Baru, CloudTrail menentukan nama untuk grup log baru untuk Anda, atau Anda dapat mengetikkan nama. Untuk informasi lebih lanjut tentang penamaan, lihatCloudWatch grup log dan penamaan aliran log untuk CloudTrail.
Jika Anda memilih Ada, pilih grup log dari daftar drop-down.
Untuk nama Peran, pilih Baru untuk membuat peran IAM baru untuk izin mengirim log ke CloudWatch Log. Pilih yang ada untuk memilih peran IAM yang ada dari daftar drop-down. Pernyataan kebijakan untuk peran baru atau yang sudah ada ditampilkan saat Anda memperluas dokumen Kebijakan. Untuk informasi selengkapnya tentang peran ini, silakan lihat Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan.

catatan
Saat mengonfigurasi jejak, Anda dapat memilih bucket S3 dan topik SNS milik akun lain. Namun, jika Anda CloudTrail ingin mengirimkan peristiwa ke grup CloudWatch log Log, Anda harus memilih grup log yang ada di akun Anda saat ini.
Pilih Simpan perubahan.

Menentukan peran IAM

Anda dapat menentukan peran CloudTrail untuk diasumsikan untuk mengirimkan peristiwa ke aliran log.

Untuk menentukan peran

Secara default, CloudTrail_CloudWatchLogs_Role ditentukan untuk Anda. Kebijakan peran default memiliki izin yang diperlukan untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan, dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut.

catatan
Jika Anda ingin menggunakan peran ini untuk grup log untuk jejak organisasi, Anda harus mengubah kebijakan secara manual setelah membuat peran. Untuk informasi selengkapnya, lihat contoh kebijakan ini danMembuat jejak untuk organisasi.
1. Untuk memverifikasi peran, buka AWS Identity and Access Management konsol di https://console.aws.amazon.com/iam/.
2. Pilih Peran dan kemudian pilih CloudTrail_ CloudWatchLogs _Role.
3. Dari tab Izin, perluas kebijakan untuk melihat isinya.
Anda dapat menentukan peran lain, tetapi Anda harus melampirkan kebijakan peran yang diperlukan ke peran yang ada jika Anda ingin menggunakannya untuk mengirim peristiwa ke CloudWatch Log. Untuk informasi selengkapnya, lihat Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan.

Melihat acara di CloudWatch konsol

Setelah mengonfigurasi jejak untuk mengirim peristiwa ke grup CloudWatch log Log, Anda dapat melihat peristiwa di CloudWatch konsol. CloudTrail biasanya mengirimkan peristiwa ke grup log Anda dalam waktu rata-rata sekitar 5 menit setelah panggilan API. Kali ini tidak dijamin. Tinjau Perjanjian Tingkat AWS CloudTrail Layanan untuk informasi lebih lanjut.

Untuk melihat peristiwa di CloudWatch konsol

Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.
Di panel navigasi kiri, di bawah Log, pilih Grup log.
Pilih grup log yang Anda tentukan untuk jejak Anda.
Pilih aliran log yang ingin Anda lihat.
Untuk melihat detail peristiwa yang dicatat jejak Anda, pilih acara.

catatan

Kolom Waktu (UTC) di CloudWatch konsol menunjukkan kapan acara dikirim ke grup log Anda. Untuk melihat waktu aktual peristiwa itu dicatat CloudTrail, lihat eventTime bidangnya.

Mengkonfigurasi pemantauan CloudWatch Log dengan AWS CLI

Anda dapat menggunakan AWS CLI untuk mengkonfigurasi CloudTrail untuk mengirim peristiwa ke CloudWatch Log untuk pemantauan.

Membuat grup log

Jika Anda tidak memiliki grup log yang ada, buat grup CloudWatch log Log sebagai titik akhir pengiriman untuk peristiwa log menggunakan create-log-group perintah CloudWatch Log.
```
aws logs create-log-group --log-group-name name
```
Contoh berikut membuat grup log bernamaCloudTrail/logs:
```
aws logs create-log-group --log-group-name CloudTrail/logs
```
Ambil grup log Amazon Resource Name (ARN).
```
aws logs describe-log-groups
```

Membuat peran

Buat peran CloudTrail yang memungkinkannya mengirim peristiwa ke grup CloudWatch log Log. create-rolePerintah IAM mengambil dua parameter: nama peran dan jalur file ke dokumen kebijakan peran asumsi dalam format JSON. Dokumen kebijakan yang Anda gunakan memberikan AssumeRole izin untuk CloudTrail. create-rolePerintah membuat peran dengan izin yang diperlukan.

Untuk membuat file JSON yang akan berisi dokumen kebijakan, buka editor teks dan simpan konten kebijakan berikut dalam file bernamaassume_role_policy_document.json.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Jalankan perintah berikut untuk membuat peran dengan AssumeRole izin untuk CloudTrail.


aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json

Ketika perintah selesai, catat peran ARN dalam output.

Membuat dokumen kebijakan

Buat dokumen kebijakan peran berikut untuk CloudTrail. Dokumen ini memberikan izin CloudTrail yang diperlukan untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut.


{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*"
      ]
    }
  ]
}

Simpan dokumen kebijakan dalam file bernamarole-policy-document.json.

Jika Anda membuat kebijakan yang mungkin digunakan untuk jejak organisasi juga, Anda perlu mengonfigurasinya sedikit berbeda. Misalnya, kebijakan berikut memberikan izin yang diperlukan untuk membuat aliran log Log di grup CloudWatch log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut untuk kedua jejak di akun 11111111111111 dan untuk jejak organisasi yang dibuat di AWS akun 11111111111111 yang diterapkan ke organisasi dengan ID CloudTrail o-exampleorgid: AWS Organizations


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Untuk informasi selengkapnya tentang jalur organisasi, lihatMembuat jejak untuk organisasi.

Jalankan perintah berikut untuk menerapkan kebijakan ke peran.


aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json

Memperbarui jejak

Perbarui jejak dengan grup log dan informasi peran menggunakan CloudTrail update-trail perintah.


aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn

Untuk informasi selengkapnya tentang AWS CLI perintah, lihat Referensi Baris AWS CloudTrail Perintah.

Batasan

CloudWatch Log dan EventBridge masing-masing memungkinkan ukuran acara maksimum 256 KB. Meskipun sebagian besar acara layanan memiliki ukuran maksimum 256 KB, beberapa layanan masih memiliki acara yang lebih besar. CloudTrail tidak mengirim acara ini ke CloudWatch Log atau EventBridge.

Dimulai dengan CloudTrail acara versi 1.05, acara memiliki ukuran maksimum 256 KB. Ini untuk membantu mencegah eksploitasi oleh pelaku jahat, dan memungkinkan acara dikonsumsi oleh AWS layanan lain, seperti CloudWatch Log dan EventBridge.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memantau file CloudTrail log dengan Amazon CloudWatch Logs

Membuat CloudWatch alarm untuk CloudTrail acara: contoh