Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Lambda terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS. CloudTrail menangkap panggilan API untuk Lambda sebagai peristiwa. Panggilan yang diambil termasuk panggilan dari konsol Lambda dan panggilan kode ke operasi API Lambda. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Lambda, alamat IP dari mana permintaan itu dibuat, kapan dibuat, dan detail tambahan.
Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut hal ini:
-
Baik permintaan tersebut dibuat dengan kredensial pengguna root atau pengguna.
-
Apakah permintaan dibuat atas nama pengguna IAM Identity Center.
-
Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna gabungan.
-
Apakah permintaan tersebut dibuat oleh Layanan AWS lain.
CloudTrail aktif di Anda Akun AWS ketika Anda membuat akun dan Anda secara otomatis memiliki akses ke riwayat CloudTrail Acara. Riwayat CloudTrail Acara menyediakan catatan yang dapat dilihat, dapat dicari, dapat diunduh, dan tidak dapat diubah dari 90 hari terakhir dari peristiwa manajemen yang direkam dalam file. Wilayah AWS Untuk informasi selengkapnya, lihat Bekerja dengan riwayat CloudTrail Acara di Panduan AWS CloudTrail Pengguna. Tidak ada CloudTrail biaya untuk melihat riwayat Acara.
Untuk catatan acara yang sedang berlangsung dalam 90 hari Akun AWS terakhir Anda, buat jejak atau penyimpanan data acara CloudTrailDanau.
- CloudTrail jalan setapak
-
Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Semua jalur yang dibuat menggunakan AWS Management Console Multi-region. Anda dapat membuat jalur Single-region atau Multi-region dengan menggunakan. AWS CLI Membuat jejak Multi-wilayah disarankan karena Anda menangkap aktivitas Wilayah AWS di semua akun Anda. Jika Anda membuat jejak wilayah Tunggal, Anda hanya dapat melihat peristiwa yang dicatat di jejak. Wilayah AWS Untuk informasi selengkapnya tentang jejak, lihat Membuat jejak untuk Anda Akun AWS dan Membuat jejak untuk organisasi di Panduan AWS CloudTrail Pengguna.
Anda dapat mengirimkan satu salinan acara manajemen yang sedang berlangsung ke bucket Amazon S3 Anda tanpa biaya CloudTrail dengan membuat jejak, namun, ada biaya penyimpanan Amazon S3. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga
. Untuk informasi tentang harga Amazon S3, lihat Harga Amazon S3 . - CloudTrail Menyimpan data acara danau
-
CloudTrail Lake memungkinkan Anda menjalankan kueri berbasis SQL pada acara Anda. CloudTrail Lake mengonversi peristiwa yang ada dalam format JSON berbasis baris ke format Apache ORC.
ORC adalah format penyimpanan kolumnar yang dioptimalkan untuk pengambilan data dengan cepat. Peristiwa digabungkan ke dalam penyimpanan data peristiwa, yang merupakan kumpulan peristiwa yang tidak dapat diubah berdasarkan kriteria yang Anda pilih dengan menerapkan pemilih acara tingkat lanjut. Penyeleksi yang Anda terapkan ke penyimpanan data acara mengontrol peristiwa mana yang bertahan dan tersedia untuk Anda kueri. Untuk informasi lebih lanjut tentang CloudTrail Danau, lihat Bekerja dengan AWS CloudTrail Danau di Panduan AWS CloudTrail Pengguna. CloudTrail Penyimpanan data acara danau dan kueri menimbulkan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga
.
Peristiwa data Lambda di CloudTrail
Peristiwa data memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya (misalnya, membaca atau menulis ke objek Amazon S3). Ini juga dikenal sebagai operasi bidang data. Peristiwa data seringkali merupakan aktivitas volume tinggi. Secara default, CloudTrail tidak mencatat sebagian besar peristiwa data, dan riwayat CloudTrail Peristiwa tidak merekamnya.
Satu peristiwa CloudTrail data yang dicatat secara default untuk layanan yang didukung adalahLambdaESMDisabled. Untuk mempelajari lebih lanjut tentang menggunakan acara ini untuk membantu memecahkan masalah dengan pemetaan sumber peristiwa Lambda, lihat. Menggunakan CloudTrail untuk memecahkan masalah sumber acara Lambda yang dinonaktifkan
Biaya tambahan berlaku untuk peristiwa data. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga
Anda dapat mencatat peristiwa data untuk jenis AWS::Lambda::Function sumber daya menggunakan CloudTrail konsol AWS CLI, atau operasi CloudTrail API. Untuk informasi selengkapnya tentang cara mencatat peristiwa data, lihat Mencatat peristiwa data dengan AWS Management Console dan Logging peristiwa data dengan AWS Command Line Interface di Panduan AWS CloudTrail Pengguna.
Tabel berikut mencantumkan jenis sumber daya Lambda yang dapat Anda log peristiwa data. Kolom tipe peristiwa data (konsol) menunjukkan nilai yang akan dipilih dari daftar tipe peristiwa Data di CloudTrail konsol. Kolom nilai resources.type menunjukkan resources.type nilai, yang akan Anda tentukan saat mengonfigurasi penyeleksi acara lanjutan menggunakan or. AWS CLI CloudTrail APIs CloudTrailKolom Data yang APIs dicatat ke menampilkan panggilan API yang dicatat CloudTrail untuk jenis sumber daya.
| Jenis peristiwa data (konsol) | nilai resources.type | Data APIs masuk ke CloudTrail |
|---|---|---|
| Lambda |
AWS::Lambda::Function
|
Anda dapat mengonfigurasi pemilih acara lanjutan untuk memfilter pada eventNamereadOnly,, dan resources.ARN bidang untuk mencatat hanya peristiwa yang penting bagi Anda. Contoh berikut adalah tampilan JSON dari konfigurasi peristiwa data yang mencatat peristiwa untuk fungsi tertentu saja. Untuk informasi selengkapnya tentang bidang ini, lihat AdvancedFieldSelector di Referensi API AWS CloudTrail .
[ { "name": "function-invokes", "fieldSelectors": [ { "field": "eventCategory", "equals": [ "Data" ] }, { "field": "resources.type", "equals": [ "AWS::Lambda::Function" ] }, { "field": "resources.ARN", "equals": [ "arn:aws:lambda:us-east-1:111122223333:function:hello-world" ] } ] } ]
Acara manajemen Lambda di CloudTrail
Acara manajemen memberikan informasi tentang operasi manajemen yang dilakukan pada sumber daya di Anda Akun AWS. Ini juga dikenal sebagai operasi pesawat kontrol. Secara default, CloudTrail mencatat peristiwa manajemen.
Lambda mendukung pencatatan tindakan berikut sebagai peristiwa manajemen dalam file CloudTrail log.
catatan
Dalam file CloudTrail log, eventName mungkin menyertakan informasi tanggal dan versi, tetapi masih mengacu pada tindakan API publik yang sama. Misalnya, GetFunction tindakan muncul sebagaiGetFunction20150331v2. Daftar berikut menentukan kapan nama acara berbeda dari nama tindakan API.
-
AddPermission(nama acara:
AddPermission20150331v2) -
CreateAlias(nama acara:
CreateAlias20150331) -
CreateEventSourceMapping(nama acara:
CreateEventSourceMapping20150331) -
CreateFunction(nama acara:
CreateFunction20150331)(
ZipFileParameterEnvironmentdan dihilangkan dari CloudTrail log untukCreateFunction.) -
DeleteAlias(nama acara:
DeleteAlias20150331) -
DeleteEventSourceMapping(nama acara:
DeleteEventSourceMapping20150331) -
DeleteFunction(nama acara:
DeleteFunction20150331) -
DeleteFunctionConcurrency(nama acara:
DeleteFunctionConcurrency20171031) -
GetAlias(nama acara:
GetAlias20150331) -
PublishLayerVersion(nama acara:
PublishLayerVersion20181031)(
ZipFileParameter dihilangkan dari CloudTrail log untukPublishLayerVersion.) -
PublishVersion(nama acara:
PublishVersion20150331) -
PutFunctionConcurrency(nama acara:
PutFunctionConcurrency20171031) -
RemovePermission(nama acara:
RemovePermission20150331v2) -
TagResource(nama acara:
TagResource20170331v2) -
UntagResource(nama acara:
UntagResource20170331v2) -
UpdateAlias(nama acara:
UpdateAlias20150331) -
UpdateEventSourceMapping(nama acara:
UpdateEventSourceMapping20150331) -
UpdateFunctionCode(nama acara:
UpdateFunctionCode20150331v2)(
ZipFileParameter dihilangkan dari CloudTrail log untukUpdateFunctionCode.) -
UpdateFunctionConfiguration(nama acara:
UpdateFunctionConfiguration20150331v2)(
EnvironmentParameter dihilangkan dari CloudTrail log untukUpdateFunctionConfiguration.)
Menggunakan CloudTrail untuk memecahkan masalah sumber acara Lambda yang dinonaktifkan
Saat Anda mengubah status pemetaan sumber peristiwa menggunakan tindakan UpdateEventSourceMappingAPI, panggilan API dicatat sebagai peristiwa manajemen. CloudTrail Pemetaan sumber peristiwa juga dapat bertransisi langsung ke Disabled status karena kesalahan.
Untuk layanan berikut, Lambda memublikasikan peristiwa LambdaESMDisabled data CloudTrail saat sumber peristiwa Anda bertransisi ke status Dinonaktifkan:
-
Amazon Simple Queue Service (Amazon SQS)
-
Amazon DynamoDB
-
Amazon Kinesis
Lambda tidak mendukung acara ini untuk jenis pemetaan sumber peristiwa lainnya.
Untuk menerima peringatan saat pemetaan sumber peristiwa untuk layanan yang didukung beralih ke Disabled status, siapkan alarm di Amazon CloudWatch menggunakan acara tersebut. LambdaESMDisabled CloudTrail Untuk mempelajari lebih lanjut tentang mengatur CloudWatch alarm, lihat Membuat CloudWatch alarm untuk CloudTrail acara: contoh.
serviceEventDetailsEntitas dalam pesan LambdaESMDisabled acara berisi salah satu kode kesalahan berikut.
RESOURCE_NOT_FOUND-
Sumber daya yang ditentukan dalam permintaan tidak ada.
FUNCTION_NOT_FOUND-
Fungsi yang dilampirkan pada sumber kejadian tidak ada.
REGION_NAME_NOT_VALID-
Nama Wilayah yang diberikan ke sumber kejadian atau fungsi tidak valid.
AUTHORIZATION_ERROR-
Izin belum diatur, atau tidak dikonfigurasi dengan benar.
FUNCTION_IN_FAILED_STATE-
Kode fungsi tidak tersusun, mengalami pengecualian yang tidak dapat dipulihkan, atau terjadi deployment yang buruk.
Contoh acara Lambda
Peristiwa mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang operasi API yang diminta, tanggal dan waktu operasi, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, sehingga peristiwa tidak muncul dalam urutan tertentu.
Contoh berikut menunjukkan entri CloudTrail log untuk GetFunction dan DeleteFunction tindakan.
catatan
eventNameMungkin termasuk informasi tanggal dan versi, seperti"GetFunction20150331", tetapi masih mengacu pada API publik yang sama.
{
"Records": [
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/myUserName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "myUserName"
},
"eventTime": "2015-03-18T19:03:36Z",
"eventSource": "lambda.amazonaws.com",
"eventName": "GetFunction",
"awsRegion": "us-east-1",
"sourceIPAddress": "127.0.0.1",
"userAgent": "Python-httplib2/0.8 (gzip)",
"errorCode": "AccessDenied",
"errorMessage": "User: arn:aws:iam::111122223333:user/myUserName is not authorized to perform: lambda:GetFunction on resource: arn:aws:lambda:us-west-2:111122223333:function:other-acct-function",
"requestParameters": null,
"responseElements": null,
"requestID": "7aebcd0f-cda1-11e4-aaa2-e356da31e4ff",
"eventID": "e92a3e85-8ecd-4d23-8074-843aabfe89bf",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
},
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "A1B2C3D4E5F6G7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/myUserName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "myUserName"
},
"eventTime": "2015-03-18T19:04:42Z",
"eventSource": "lambda.amazonaws.com",
"eventName": "DeleteFunction20150331",
"awsRegion": "us-east-1",
"sourceIPAddress": "127.0.0.1",
"userAgent": "Python-httplib2/0.8 (gzip)",
"requestParameters": {
"functionName": "basic-node-task"
},
"responseElements": null,
"requestID": "a2198ecc-cda1-11e4-aaa2-e356da31e4ff",
"eventID": "20b84ce5-730f-482e-b2b2-e8fcc87ceb22",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
]
}Untuk informasi tentang konten CloudTrail rekaman, lihat konten CloudTrail rekaman di Panduan AWS CloudTrail Pengguna.
