Comprensione degli eventi di registro per i lavori di rilevamento di dati sensibili - Amazon Macie
Registra lo schema degli eventi per i lavoriTipi di eventi di registro per i lavori

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprensione degli eventi di registro per i lavori di rilevamento di dati sensibili

Per aiutarti a monitorare i processi di rilevamento di dati sensibili, Amazon Macie pubblica automaticamente i dati di registrazione dei lavori su Amazon Logs. CloudWatch I dati contenuti in questi registri forniscono una registrazione delle modifiche all'avanzamento o allo stato di un lavoro. Ad esempio, è possibile utilizzare i dati per determinare la data e l'ora esatte in cui l'esecuzione di un processo è iniziata o è terminata. I dati forniscono inoltre dettagli su alcuni tipi di errori che possono verificarsi durante l'esecuzione di un processo. Questi dati possono aiutarti a identificare, analizzare e correggere gli errori che impediscono a Macie di analizzare i dati che desideri.

Quando inizi a eseguire lavori, Macie crea e configura automaticamente le risorse appropriate in CloudWatch Logs per registrare gli eventi per tutti i tuoi lavori. Macie pubblica quindi automaticamente i dati degli eventi su tali risorse quando i lavori vengono eseguiti. Per ulteriori informazioni, consulta Come funziona la registrazione per i lavori.

Utilizzando CloudWatch Logs, è quindi possibile interrogare e analizzare i dati di registro relativi ai lavori. Ad esempio, puoi cercare e filtrare dati aggregati per identificare tipi specifici di eventi che si sono verificati per tutti i tuoi lavori in un intervallo di tempo specifico. Oppure puoi eseguire una revisione mirata di tutti gli eventi che si sono verificati per un determinato lavoro. CloudWatch Logs offre anche opzioni per il monitoraggio dei dati di registro, la definizione di filtri metrici e la creazione di allarmi personalizzati. Ad esempio, è possibile configurare CloudWatch Logs per avvisare l'utente se si verifica un determinato tipo di evento durante l'esecuzione dei job. Per ulteriori informazioni, consulta la Amazon CloudWatch Logs User Guide.

Registra lo schema degli eventi per i lavori di rilevamento di dati sensibili

Ogni evento di registro per un processo di rilevamento di dati sensibili è un JSON oggetto che contiene un set standard di campi ed è conforme allo schema degli eventi di Amazon CloudWatch Logs. Alcuni tipi di eventi dispongono di campi aggiuntivi che forniscono informazioni particolarmente utili per quel tipo di evento. Ad esempio, gli eventi relativi agli errori a livello di account includono l'ID dell'account dell'utente interessato. Account AWS Gli eventi relativi agli errori a livello di bucket includono il nome del bucket Amazon Simple Storage Service (Amazon S3) interessato.

L'esempio seguente mostra lo schema degli eventi di registro per i processi di rilevamento di dati sensibili. In questo esempio, l'evento riporta che Amazon Macie non è stato in grado di analizzare alcun oggetto in un bucket S3 perché Amazon S3 ha negato l'accesso al bucket.

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:08:30.345809Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}

Nell'esempio precedente, Macie ha tentato di elencare gli oggetti del bucket utilizzando l'operazione ListObjectsV2 di Amazon S3. API Quando Macie ha inviato la richiesta ad Amazon S3, Amazon S3 ha negato l'accesso al bucket.

I seguenti campi sono comuni a tutti gli eventi di registro per i lavori di rilevamento di dati sensibili:

  • adminAccountId— L'identificatore univoco di chi Account AWS ha creato il lavoro.

  • jobId— L'identificatore univoco del lavoro.

  • eventType— Il tipo di evento che si è verificato.

  • occurredAt— La data e l'ora, in formato Coordinated Universal Time (UTC) e ISO 8601 esteso, in cui si è verificato l'evento.

  • description— Una breve descrizione dell'evento.

  • jobName— Il nome del lavoro.

A seconda del tipo e della natura di un evento, un evento di registro può contenere anche i seguenti campi:

  • affectedAccount— L'identificatore univoco del Account AWS proprietario della risorsa interessata.

  • affectedResource— Un JSON oggetto che fornisce dettagli sulla risorsa interessata. Nell'oggetto, il type campo specifica un campo che memorizza i metadati relativi a una risorsa. Il value campo specifica il valore del campo (). type

  • operation— L'operazione che Macie ha tentato di eseguire e che ha causato l'errore.

  • runDate— La data e l'ora, in formato Coordinated Universal Time (UTC) e in formato ISO 8601 esteso, in cui è stato avviato il processo o l'esecuzione del processo applicabile.

Tipi di eventi di registro per i processi di rilevamento di dati sensibili

Amazon Macie pubblica eventi di registro per tre categorie di eventi che possono verificarsi per un processo di rilevamento di dati sensibili:

  • Eventi di stato del lavoro, che registrano le modifiche allo stato o all'avanzamento di un processo o di un'esecuzione di un lavoro.

  • Eventi di errore a livello di account, che registrano gli errori che hanno impedito a Macie di analizzare i dati di Amazon S3 per uno specifico caso. Account AWS

  • Eventi di errore a livello di bucket, che registrano gli errori che hanno impedito a Macie di analizzare i dati in un bucket S3 specifico.

Gli argomenti di questa sezione elencano e descrivono i tipi di eventi pubblicati da Macie per ogni categoria.

Eventi Job status

Un evento relativo allo stato di un processo registra una modifica allo stato o all'avanzamento di un processo o dell'esecuzione di un processo. Per i lavori periodici, Macie registra e pubblica questi eventi sia per l'intero processo che per le singole esecuzioni di lavoro.

L'esempio seguente utilizza dati di esempio per mostrare la struttura e la natura dei campi in un evento di stato del lavoro. In questo esempio, un SCHEDULED_RUN_COMPLETED evento indica che l'esecuzione pianificata di un processo periodico è terminata. L'esecuzione è iniziata il 14 aprile 2024 alle UTC 17:09:30, come indicato dal campo. runDate La corsa è terminata il 14 aprile 2024 alle UTC 17:16:30, come indicato dal campo. occurredAt

{
    "adminAccountId": "123456789012",
    "jobId": "ffad0e71455f38a4c7c220f3cexample",
    "eventType": "SCHEDULED_RUN_COMPLETED",
    "occurredAt": "2024-04-14T17:16:30.574809Z",
    "description": "The scheduled job run finished running.",
    "jobName": "My_Daily_Macie_Job",
    "runDate": "2024-04-14T17:09:30.574809Z"
}

La tabella seguente elenca e descrive i tipi di eventi sullo stato del lavoro che Macie registra e pubblica su Logs. CloudWatch La colonna Tipo di evento indica il nome di ogni evento così come appare nel eventType campo di un evento. La colonna Descrizione fornisce una breve descrizione dell'evento così come appare nel description campo di un evento. Le informazioni aggiuntive forniscono informazioni sul tipo di lavoro a cui si applica l'evento. La tabella viene ordinata prima in base all'ordine cronologico generale in cui potrebbero verificarsi gli eventi e quindi in ordine alfabetico crescente per tipo di evento.

Tipo di evento Descrizione Informazioni aggiuntive

JOB_CREATED

Il lavoro è stato creato.

Si applica ai lavori occasionali e periodici.
ONE_TIME_JOB_STARTED

Il processo è iniziato a funzionare.

Si applica solo ai lavori occasionali.

SCHEDULED_RUN_STARTED

L'esecuzione del processo pianificato è iniziata.

Si applica solo ai lavori periodici. Per registrare l'inizio di un lavoro occasionale, Macie pubblica un evento ONE _ _ TIME JOB _, non questo tipo di STARTED evento.

BUCKET_MATCHED_THE_CRITERIA

Il bucket interessato corrispondeva ai criteri del bucket specificati per il job.

Si applica ai job occasionali e periodici che utilizzano i criteri dei bucket di runtime per determinare quali bucket S3 analizzare.

L'affectedResourceoggetto specifica il nome del bucket che corrisponde ai criteri ed è stato incluso nell'analisi del job.

NO_ _ _ BUCKETS MATCHED THE CRITERIA

Il processo è iniziato a funzionare ma attualmente nessun bucket corrisponde ai criteri del bucket specificati per il lavoro. Il processo non ha analizzato alcun dato.

Si applica ai job occasionali e periodici che utilizzano i criteri dei bucket di runtime per determinare quali bucket S3 analizzare.
SCHEDULED_RUN_COMPLETED

L'esecuzione del processo pianificato è terminata.

Si applica solo ai lavori periodici. Per registrare il completamento di un lavoro singolo, Macie pubblica un COMPLETED evento JOB _, non questo tipo di evento.

JOB_ _DI_ PAUSED USER

Il processo è stato messo in pausa da un utente.

Si applica ai lavori occasionali e periodici interrotti temporaneamente (in pausa).

JOB_ _DI_ RESUMED USER

Il lavoro è stato ripreso da un utente.

Si applica ai lavori occasionali e periodici interrotti temporaneamente (in pausa) e successivamente ripresi.

JOB_ _DI_ _ _ PAUSED MACIE SERVICE QUOTA MET

Il lavoro è stato sospeso da Macie. Il completamento del lavoro supererebbe la quota mensile per l'account interessato.

Si applica ai lavori occasionali e periodici che Macie ha interrotto temporaneamente (in pausa).

Macie sospende automaticamente un processo quando un'ulteriore elaborazione da parte del lavoro o dell'esecuzione di un lavoro supera la quota mensile di rilevamento di dati sensibili per uno o più account per i quali il lavoro analizza i dati. Per evitare questo problema, valuta la possibilità di aumentare la quota per gli account interessati.

JOB_ RESUMED _DI_ _ MACIE _ SERVICE QUOTA LIFTED

Il lavoro è stato ripreso da Macie. La quota di servizio mensile è stata revocata per l'account interessato.

Si applica ai lavori occasionali e periodici che Macie ha interrotto temporaneamente (in pausa) e successivamente ripresi.

Se Macie ha messo automaticamente in pausa un lavoro occasionale, Macie riprende automaticamente il lavoro all'inizio del mese successivo oppure la quota mensile di rilevamento dei dati sensibili viene aumentata per tutti gli account interessati, a seconda dell'evento che si verifica per primo. Se Macie ha messo automaticamente in pausa un lavoro periodico, Macie riprende automaticamente il lavoro quando è programmato l'inizio dell'esecuzione successiva o inizia il mese successivo, a seconda di quale evento si verifica per primo.

JOB_CANCELLED

 Il lavoro è stato annullato.

Si applica ai lavori occasionali e periodici che hai interrotto definitivamente (annullati) o, per i lavori occasionali, messi in pausa e non ripresi entro 30 giorni.

Se sospendi o disabiliti Macie, questo tipo di evento si applica anche ai lavori che erano attivi o in pausa quando hai sospeso o disabilitato Macie. Macie annulla automaticamente i tuoi lavori in un Regione AWS se sospendi o disabiliti Macie nella regione.

JOB_COMPLETED

L'esecuzione del lavoro è terminata.

Si applica solo ai lavori occasionali. Per registrare il completamento di un job eseguito per un job periodico, Macie pubblica un evento SCHEDULED _ RUN _, non questo tipo di COMPLETED evento.

Eventi di errore a livello di account

Un evento di errore a livello di account registra un errore che ha impedito a Macie di analizzare gli oggetti nei bucket S3 di proprietà di uno specifico. Account AWS Il affectedAccount campo di ogni evento specifica l'ID dell'account.

L'esempio seguente utilizza dati di esempio per mostrare la struttura e la natura dei campi in un evento di errore a livello di account. In questo esempio, un ACCOUNT_ACCESS_DENIED evento indica che Macie non è stata in grado di analizzare gli oggetti in nessun bucket S3 di proprietà di un account. 444455556666

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "ACCOUNT_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:08:30.585709Z",
    "description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
    "jobName": "My_Macie_Job",
    "operation": "ListBuckets",
    "runDate": "2024-04-14T17:05:27.574809Z",
    "affectedAccount": "444455556666"
}

La tabella seguente elenca e descrive i tipi di eventi di errore a livello di account che Macie registra e pubblica su Logs. CloudWatch La colonna Tipo di evento indica il nome di ogni evento così come appare nel campo di un evento. eventType La colonna Descrizione fornisce una breve descrizione dell'evento così come appare nel description campo di un evento. La colonna Informazioni aggiuntive fornisce tutti i suggerimenti applicabili per analizzare o risolvere l'errore che si è verificato. La tabella è ordinata in ordine alfabetico crescente per tipo di evento.

Tipo di evento Descrizione Informazioni aggiuntive

ACCOUNT_ACCESS_DENIED

Macie non è autorizzata ad accedere ai dati del bucket S3 per l'account interessato.

Ciò si verifica in genere perché i bucket di proprietà dell'account hanno politiche restrittive. Per informazioni su come risolvere questo problema, consulta. Consentire a Macie di accedere a bucket e oggetti S3

Il valore del operation campo nell'evento può aiutarti a determinare quali impostazioni delle autorizzazioni hanno impedito a Macie di accedere ai dati S3 per l'account. Questo campo indica l'operazione Amazon S3 che Macie ha tentato di eseguire quando si è verificato l'errore.
ACCOUNT_DISABLED

Il processo ha ignorato le risorse di proprietà dell'account interessato. Macie è stata disattivata per l'account.

Per risolvere questo problema, riattiva Macie per l'account nello stesso. Regione AWS
ACCOUNT_DISASSOCIATED

Il lavoro ha ignorato le risorse di proprietà dell'account interessato. L'account non è più associato al tuo account amministratore Macie come account membro.

Ciò si verifica se, in qualità di amministratore Macie di un'organizzazione, configuri un processo per analizzare i dati per un account membro e l'account viene successivamente rimosso dall'organizzazione.

Per risolvere questo problema, associa nuovamente l'account interessato al tuo account amministratore Macie come account membro. Per ulteriori informazioni, consulta Gestione di più account .

ACCOUNT_ISOLATED

Il job ha ignorato le risorse di proprietà dell'account interessato. Account AWS Era isolato.

ACCOUNT_REGION_DISABLED

Il job ha ignorato le risorse di proprietà dell'account interessato. Account AWS Non è attivo nella versione corrente Regione AWS.

ACCOUNT_SUSPENDED

Il lavoro è stato annullato o sono state ignorate le risorse di proprietà dell'account interessato. Macie è stata sospesa per l'account.

Se l'account specificato è il tuo account, Macie ha annullato automaticamente il lavoro quando hai sospeso Macie nella stessa regione. Per risolvere il problema, riattiva Macie nella regione.

Se l'account specificato è un account membro, riattiva Macie per quell'account nella stessa regione.

ACCOUNT_TERMINATED

Il lavoro ha ignorato le risorse di proprietà dell'account interessato. Il Account AWS è stato terminato.

Eventi di errore a livello di bucket

Un evento di errore a livello di bucket registra un errore che ha impedito a Macie di analizzare gli oggetti in uno specifico bucket S3. Il affectedAccount campo di ogni evento specifica l'ID dell'account del proprietario del bucket. Account AWS L'affectedResourceoggetto in ogni evento specifica il nome del bucket.

L'esempio seguente utilizza dati di esempio per mostrare la struttura e la natura dei campi in un evento di errore a livello di bucket. In questo esempio, un BUCKET_ACCESS_DENIED evento indica che Macie non è stata in grado di analizzare alcun oggetto nel bucket S3 denominato. amzn-s3-demo-bucket Quando Macie ha tentato di elencare gli oggetti del bucket utilizzando l'operazione ListObjectsV2 di Amazon S3, API Amazon S3 ha negato l'accesso al bucket.

{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:09:30.685209Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}

La tabella seguente elenca e descrive i tipi di eventi di errore a livello di bucket che Macie registra e pubblica su Logs. CloudWatch La colonna Tipo di evento indica il nome di ogni evento così come appare nel campo di un evento. eventType La colonna Descrizione fornisce una breve descrizione dell'evento così come appare nel description campo di un evento. La colonna Informazioni aggiuntive fornisce tutti i suggerimenti applicabili per analizzare o risolvere l'errore che si è verificato. La tabella è ordinata in ordine alfabetico crescente per tipo di evento.

Tipo di evento Descrizione Informazioni aggiuntive

BUCKET_ACCESS_DENIED

Macie non è autorizzata ad accedere al bucket S3 interessato.

Ciò si verifica in genere perché un bucket ha una politica restrittiva. Per informazioni su come risolvere questo problema, consulta. Consentire a Macie di accedere a bucket e oggetti S3

Il valore del operation campo nell'evento può aiutarti a determinare quali impostazioni delle autorizzazioni hanno impedito a Macie di accedere al bucket. Questo campo indica l'operazione Amazon S3 che Macie ha tentato di eseguire quando si è verificato l'errore.

BUCKET_DETAILS_UNAVAILABLE

Un problema temporaneo ha impedito a Macie di recuperare i dettagli sul bucket e sugli oggetti del bucket.

Questo si verifica se un problema temporaneo ha impedito a Macie di recuperare i metadati del bucket e dell'oggetto necessari per analizzare gli oggetti del bucket. Ad esempio, si è verificata un'eccezione di Amazon S3 quando Macie ha cercato di verificare che fosse autorizzato ad accedere al bucket.

Per risolvere il problema relativo a un lavoro occasionale, prendi in considerazione la possibilità di creare ed eseguire un nuovo lavoro monouso per analizzare gli oggetti nel bucket. Per un lavoro pianificato, Macie proverà a recuperare nuovamente i metadati durante la prossima esecuzione del lavoro.
BUCKET_DOES_NOT_EXIST

Il bucket S3 interessato non esiste più.

Ciò si verifica in genere perché un bucket è stato eliminato.

BUCKET_IN_ _ DIFFERENT REGION

Il bucket S3 interessato è stato spostato in un altro. Regione AWS

BUCKET_OWNER_CHANGED

Il proprietario del bucket S3 interessato è cambiato. Macie non ha più il permesso di accedere al bucket.

Ciò si verifica in genere se la proprietà di un bucket è stata trasferita a un utente Account AWS che non fa parte dell'organizzazione. Il affectedAccount campo nell'evento indica l'ID dell'account che in precedenza possedeva il bucket.