Ekspor data log ke Amazon S3 menggunakan konsol - CloudWatch Log Amazon
Ekspor akun yang sama (konsol)Ekspor lintas akun (konsol)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ekspor data log ke Amazon S3 menggunakan konsol

Dalam contoh berikut, Anda menggunakan CloudWatch konsol Amazon untuk mengekspor semua data dari grup CloudWatch log Amazon Logs yang diberi nama my-log-group ke bucket Amazon S3 bernama. amzn-s3-demo-bucket

Mengekspor data log ke bucket S3 yang dienkripsi oleh SSE-KMS didukung. Mengekspor ke bucket yang dienkripsi dengan DSSE-KMS tidak didukung.

Detail cara Anda mengatur ekspor tergantung pada apakah bucket Amazon S3 yang ingin Anda ekspor berada di akun yang sama dengan log Anda yang sedang diekspor, atau di akun lain.

Ekspor akun yang sama (konsol)

Jika bucket Amazon S3 berada di akun yang sama dengan log yang sedang diekspor, gunakan instruksi di bagian ini.

Buat bucket Amazon S3 (konsol)

Kami menyarankan Anda menggunakan bucket yang dibuat khusus untuk CloudWatch Log. Namun, jika Anda ingin menggunakan bucket yang sudah ada, Anda dapat melompat ke langkah 2.

catatan

Bucket Amazon S3 harus berada di Wilayah yang sama dengan data log yang akan diekspor. CloudWatch Log tidak mendukung ekspor data ke bucket Amazon S3 di Wilayah lain.

Untuk membuat bucket Amazon S3

  1. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Jika perlu, ubah Wilayah. Dari bilah navigasi, pilih Wilayah tempat CloudWatch Log Anda berada.

  3. Pilih Create Bucket (Buat Bucket).

  4. Untuk Bucket Name (Nama Bucket), masukkan nama untuk bucket.

  5. Untuk Wilayah, pilih Wilayah tempat data CloudWatch Log Anda berada.

  6. Pilih Buat.

Mengatur izin akses (konsol)

Untuk membuat tugas ekspor, Anda harus masuk dengan peran AmazonS3ReadOnlyAccess IAM dan dengan izin berikut:

  • logs:CreateExportTask

  • logs:CancelExportTask

  • logs:DescribeExportTasks

  • logs:DescribeLogStreams

  • logs:DescribeLogGroups

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:

Setel izin pada bucket Amazon S3 (konsol)

Semua objek dan bucket Amazon S3 secara default bersifat privat. Hanya pemilik sumber daya, Akun AWS yang membuat ember, yang dapat mengakses ember dan objek apa pun yang dikandungnya. Namun, pemilik sumber daya dapat memilih untuk memberikan izin akses kepada sumber daya dan pengguna lain dengan menulis kebijakan akses.

Ketika Anda menetapkan kebijakan, sebaiknya Anda menyertakan string yang dihasilkan secara acak sebagai prefiks untuk bucket sehingga hanya pengaliran log yang dimaksud yang diekspor ke bucket tersebut.

penting

Untuk membuat ekspor ke bucket Amazon S3 lebih aman, kami sekarang meminta Anda untuk menentukan daftar akun sumber yang diizinkan untuk mengekspor data log ke bucket S3 Anda.

Dalam contoh berikut, daftar akun IDs di aws:SourceAccount kunci adalah akun tempat pengguna dapat mengekspor data log ke bucket Amazon S3 Anda. aws:SourceArnKuncinya adalah sumber daya tempat tindakan diambil. Anda dapat membatasi ini ke grup log tertentu, atau menggunakan wildcard seperti yang ditunjukkan dalam contoh ini.

Kami menyarankan Anda juga menyertakan ID akun akun tempat bucket S3 dibuat, untuk memungkinkan ekspor dalam akun yang sama.

Untuk mengatur izin bucket Amazon S3

  1. Di konsol Amazon S3, pilih bucket yang Anda buat.

  2. Pilih Permissions (Izin), Bucket policy (Kebijakan bucket).

  3. Di Editor Kebijakan Bucket, tambahkan kebijakan berikut. Ubah amzn-s3-demo-bucket nama bucket S3 Anda. Pastikan untuk menentukan titik akhir Wilayah yang benar, sepertius-west-1, untuk Principal.

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
          "Sid": "AllowCloudWatchLogsGetBucketAcl",
          "Action": "s3:GetBucketAcl",
          "Effect": "Allow",
          "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
          "Principal": { "Service": "logs.us-east-1.amazonaws.com" },
          "Condition": {
            "StringEquals": {
                "aws:SourceAccount": [
                    "123456789012",
                    "111122223333"
                ]
            },
            "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:123456789012:log-group:*",
                        "arn:aws:logs:us-east-1:111122223333:log-group:*"
                    ]
            }
          }
      },
      {
          "Sid": "AllowCloudWatchLogsPutObject",
          "Action": "s3:PutObject",
          "Effect": "Allow",
          "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
          "Principal": { "Service": "logs.us-east-1.amazonaws.com" },
          "Condition": {
            "StringEquals": {
                "s3:x-amz-acl": "bucket-owner-full-control",
                "aws:SourceAccount": [
                    "123456789012",
                    "111122223333"
                ]
            },
            "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:123456789012:log-group:*",
                        "arn:aws:logs:us-east-1:111122223333:log-group:*"
                    ]
            }
          }
      }
    ]
}

  4. Pilih Save (Simpan) untuk menetapkan kebijakan yang baru saja ditambahkan sebagai kebijakan akses di bucket Anda. Kebijakan ini memungkinkan CloudWatch Log untuk mengekspor data log ke bucket Amazon S3 Anda. Pemilik bucket memiliki izin penuh atas semua objek yang diekspor.

    Awas

    Jika bucket yang ada sudah memiliki satu atau beberapa kebijakan yang dilampirkan padanya, tambahkan pernyataan untuk akses CloudWatch Log ke kebijakan atau kebijakan tersebut. Sebaiknya Anda mengevaluasi hasil rangkaian izin untuk memastikan bahwa itu sesuai untuk pengguna yang akan mengakses bucket.

(Opsional) Mengekspor ke bucket Amazon S3 tujuan yang dienkripsi dengan SSE-KMS (konsol)

Langkah ini diperlukan hanya jika Anda mengekspor ke bucket Amazon S3 yang menggunakan enkripsi sisi server. AWS KMS keys Enkripsi ini dikenal sebagai SSE-KMS.

Untuk mengekspor ke bucket yang dienkripsi dengan SSE-KMS

  1. Buka AWS KMS konsol di https://console.aws.amazon.com/kms.

  2. Untuk mengubahWilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di bilah navigasi kiri, pilih Kunci yang dikelola pelanggan.

    Pilih Buat Kunci.

  4. Untuk Tipe Kunci, pilih Simetris.

  5. Untuk penggunaan Kunci, pilih Enkripsi dan dekripsi dan kemudian pilih Berikutnya.

  6. Di bawah Tambahkan label, masukkan alias untuk kunci dan secara opsional tambahkan deskripsi atau tag. Lalu pilih Selanjutnya.

  7. Di bawah Administrator kunci, pilih siapa yang dapat mengelola kunci ini, lalu pilih Berikutnya.

  8. Di bawah Tentukan izin penggunaan kunci, jangan buat perubahan dan pilih Berikutnya.

  9. Tinjau pengaturan dan pilih Selesai.

  10. Kembali ke halaman kunci yang dikelola Pelanggan, pilih nama kunci yang baru saja Anda buat.

  11. Pilih tab Kebijakan kunci dan pilih Beralih ke tampilan kebijakan.

  12. Di bagian Kebijakan kunci, pilih Edit.

  13. Tambahkan pernyataan berikut ke daftar pernyataan kebijakan kunci. Ketika Anda melakukannya, ganti Region dengan Wilayah log Anda dan ganti account-ARN dengan ARN dari akun yang memiliki kunci KMS.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow CWL Service Principal usage",
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.Region.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "account-ARN"
            },
            "Action": [
                "kms:GetKeyPolicy*",
                "kms:PutKeyPolicy*",
                "kms:DescribeKey*",
                "kms:CreateAlias*",
                "kms:ScheduleKeyDeletion*",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

  14. Pilih Simpan perubahan.

  15. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  16. Temukan bucket yang Anda buat Buat ember S3 (CLI) dan pilih nama bucket.

  17. Pilih tab Properti. Kemudian, di bawah Enkripsi Default, pilih Edit.

  18. Di bawah Enkripsi sisi server, pilih Aktifkan.

  19. Di bawah Tipe enkripsi memilih Kunci (SSE-KMS) AWS Key Management Service.

  20. Pilih Pilih dari AWS KMS kunci Anda dan temukan kunci yang Anda buat.

  21. Untuk kunci Bucket, pilih Aktifkan.

  22. Pilih Simpan perubahan.

Buat tugas ekspor (konsol)

Dalam prosedur ini, Anda membuat tugas ekspor untuk mengekspor log dari grup log.

Untuk mengekspor data ke Amazon S3 menggunakan konsol CloudWatch

  1. Masuk dengan izin yang memadai seperti yang didokumentasikanMengatur izin akses (konsol).

  2. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  3. Pada panel navigasi, pilih Grup log.

  4. Di layar Log Groups (Grup Log), pilih nama grup log.

  5. Pilih Actions (Tindakan), Export data to Amazon S3 (Ekspor data ke Amazon S3).

  6. Di layar Export data to Amazon S3 (Ekspor data ke Amazon S3), di Define data export (Tentukan ekspor data), atur rentang waktu untuk data yang akan diekspor menggunakan From (Dari) dan To (Sampai).

  7. Jika grup log Anda memiliki beberapa pengaliran log, Anda dapat memberikan prefiks pengaliran log untuk membatasi data grup log ke pengaliran tertentu. Pilih Advanced (Lanjutan), lalu untuk Stream prefix (Prefiks pengaliran), masukkan prefiks pengaliran log.

  8. Di bawah bucket Pilih S3, pilih akun yang terkait dengan bucket S3.

  9. Untuk nama bucket S3, pilih bucket &S3;.

  10. Untuk S3 Bucket prefix (Prefiks bucket S3), masukkan string yang dihasilkan secara acak yang Anda tentukan dalam kebijakan bucket.

  11. Pilih Export (Ekspor) untuk mengekspor data log ke Amazon S3.

  12. Untuk melihat status data log yang diekspor ke Amazon S3, pilih Actions (Tindakan), lalu View all exports to Amazon S3 (Lihat semua ekspor ke Amazon S3).

Ekspor lintas akun (konsol)

Jika bucket Amazon S3 berada di akun yang berbeda dari log yang sedang diekspor, gunakan petunjuk di bagian ini.

Buat bucket Amazon S3 untuk ekspor lintas akun (konsol)

Kami menyarankan Anda menggunakan bucket yang dibuat khusus untuk CloudWatch Log. Namun, jika Anda ingin menggunakan bucket yang ada, Anda dapat melewati prosedur ini.

catatan

Bucket Amazon S3 harus berada di Wilayah yang sama dengan data log yang akan diekspor. CloudWatch Log tidak mendukung ekspor data ke bucket Amazon S3 di Wilayah lain.

Untuk membuat bucket Amazon S3

  1. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Jika perlu, ubah Wilayah. Dari bilah navigasi, pilih Wilayah tempat CloudWatch Log Anda berada.

  3. Pilih Create Bucket (Buat Bucket).

  4. Untuk Bucket Name (Nama Bucket), masukkan nama untuk bucket.

  5. Untuk Wilayah, pilih Wilayah tempat data CloudWatch Log Anda berada.

  6. Pilih Buat.

Mengatur izin akses untuk ekspor lintas akun (konsol)

Pertama, Anda harus membuat kebijakan IAM baru untuk mengaktifkan CloudWatch Log agar memiliki s3:PutObject tindakan untuk bucket Amazon S3 tujuan di akun tujuan.

Seiring dengan s3:PutObject tindakan, tindakan tambahan yang disertakan dalam kebijakan bergantung pada apakah bucket tujuan menggunakan AWS KMS enkripsi atau telah ACLs diaktifkan menggunakan setelan Kepemilikan Objek S3.

  • Jika menggunakan enkripsi KMS, tambahkan kms:GenerateDataKey dan kms:Decrypt tindakan untuk sumber daya utama

  • Jika ACLs diaktifkan di bucket, tambahkan s3:PutObjectAcl tindakan untuk sumber daya bucket

Ubah amzn-s3-demo-bucket nama bucket S3 tujuan Anda dalam kebijakan berikut.

Untuk membuat kebijakan IAM untuk mengekspor log ke bucket Amazon S3

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di bagian Editor kebijakan, pilih JSON.

  5. Jika bucket tujuan tidak menggunakan AWS KMS enkripsi, tempelkan kebijakan berikut ke editor.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

    Jika bucket tujuan menggunakan AWS KMS enkripsi, tempelkan kebijakan berikut ke editor.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    }
  ]
}

    Jika ACLs diaktifkan pada bucket tujuan, tambahkan s3: PutObjectAcl ke s3: PutObject Action block pada kebijakan di atas.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
               "s3:PutObject",
               "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}

  6. Pilih Berikutnya.

  7. Masukkan nama kebijakan. Anda akan menggunakan nama ini untuk melampirkan kebijakan ke peran IAM Anda.

  8. Pilih Buat kebijakan untuk menyimpan kebijakan baru.

Untuk membuat tugas ekspor, Anda harus masuk dengan peran IAM yang memiliki kebijakan AmazonS3ReadOnlyAccess terkelola yang dilampirkan, kebijakan IAM yang dibuat di atas, dan juga dengan izin berikut:

  • logs:CreateExportTask

  • logs:CancelExportTask

  • logs:DescribeExportTasks

  • logs:DescribeLogStreams

  • logs:DescribeLogGroups

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:

Tetapkan izin pada bucket S3 untuk ekspor lintas akun (konsol)

Secara default, semua bucket dan objek S3 bersifat pribadi. Hanya pemilik sumber daya, Akun AWS yang membuat ember, yang dapat mengakses ember dan objek apa pun yang dikandungnya. Namun, pemilik sumber daya dapat memilih untuk memberikan izin akses kepada sumber daya dan pengguna lain dengan menulis kebijakan akses.

Ketika Anda menetapkan kebijakan, sebaiknya Anda menyertakan string yang dihasilkan secara acak sebagai prefiks untuk bucket sehingga hanya pengaliran log yang dimaksud yang diekspor ke bucket tersebut.

penting

Untuk membuat ekspor ke bucket S3 lebih aman, kami sekarang meminta Anda untuk menentukan daftar akun sumber yang diizinkan untuk mengekspor data log ke bucket S3 Anda.

Dalam contoh berikut, daftar akun IDs dalam aws:SourceAccount kunci akan menjadi akun dari mana pengguna dapat mengekspor data log ke bucket S3 Anda. aws:SourceArnKuncinya adalah sumber daya tempat tindakan diambil. Anda dapat membatasi ini ke grup log tertentu, atau menggunakan wildcard seperti yang ditunjukkan dalam contoh ini.

Kami menyarankan Anda juga menyertakan ID akun akun tempat bucket S3 dibuat, untuk memungkinkan ekspor dalam akun yang sama.

Untuk mengatur izin bucket Amazon S3

  1. Di konsol Amazon S3, pilih bucket yang Anda buat.

  2. Pilih Permissions (Izin), Bucket policy (Kebijakan bucket).

  3. Di Editor Kebijakan Bucket, tambahkan kebijakan berikut. Ubah amzn-s3-demo-bucket nama bucket S3 Anda. Pastikan untuk menentukan titik akhir Wilayah yang benar, sepertius-east-1, untuk Principal.

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
          "Action": "s3:GetBucketAcl",
          "Effect": "Allow",
          "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
          "Principal": { "Service": "logs.us-east-1.amazonaws.com" },
          "Condition": {
            "StringEquals": {
                "aws:SourceAccount": [
                    "123456789012",
                    "111122223333"
                ]
            },
            "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:123456789012:log-group:*",
                        "arn:aws:logs:us-east-1:111122223333:log-group:*"
                    ]
            }
          }
      },
      {
          "Action": "s3:PutObject",
          "Effect": "Allow",
          "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
          "Principal": { "Service": "logs.us-east-1.amazonaws.com" },
          "Condition": {
            "StringEquals": {
                "s3:x-amz-acl": "bucket-owner-full-control",
                "aws:SourceAccount": [
                    "123456789012",
                    "111122223333"
                ]
            },
            "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:123456789012:log-group:*",
                        "arn:aws:logs:us-east-1:111122223333:log-group:*"
                    ]
            }
          }
      },
      {
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/role_name"
          },
          "Action": "s3:PutObject",
          "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
          "Condition": {
            "StringEquals": {
                "s3:x-amz-acl": "bucket-owner-full-control"
            }
          }
       }
    ]
}

  4. Pilih Save (Simpan) untuk menetapkan kebijakan yang baru saja ditambahkan sebagai kebijakan akses di bucket Anda. Kebijakan ini memungkinkan CloudWatch Log untuk mengekspor data log ke bucket S3 Anda. Pemilik bucket memiliki izin penuh atas semua objek yang diekspor.

    Awas

    Jika bucket yang ada sudah memiliki satu atau beberapa kebijakan yang dilampirkan padanya, tambahkan pernyataan untuk akses CloudWatch Log ke kebijakan atau kebijakan tersebut. Sebaiknya Anda mengevaluasi hasil rangkaian izin untuk memastikan bahwa itu sesuai untuk pengguna yang akan mengakses bucket.

(Opsional) Mengekspor ke bucket Amazon S3 tujuan yang dienkripsi dengan SSE-KMS untuk ekspor lintas akun (konsol)

Prosedur ini diperlukan hanya jika Anda mengekspor ke bucket S3 yang menggunakan enkripsi sisi server. AWS KMS keys Enkripsi ini dikenal sebagai SSE-KMS.

Untuk mengekspor ke bucket yang dienkripsi dengan SSE-KMS

  1. Buka AWS KMS konsol di https://console.aws.amazon.com/kms.

  2. Untuk mengubahWilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di bilah navigasi kiri, pilih Kunci yang dikelola pelanggan.

    Pilih Buat Kunci.

  4. Untuk Tipe Kunci, pilih Simetris.

  5. Untuk penggunaan Kunci, pilih Enkripsi dan dekripsi dan kemudian pilih Berikutnya.

  6. Di bawah Tambahkan label, masukkan alias untuk kunci dan secara opsional tambahkan deskripsi atau tag. Lalu pilih Selanjutnya.

  7. Di bawah Administrator kunci, pilih siapa yang dapat mengelola kunci ini, lalu pilih Berikutnya.

  8. Di bawah Tentukan izin penggunaan kunci, jangan buat perubahan dan pilih Berikutnya.

  9. Tinjau pengaturan dan pilih Selesai.

  10. Kembali ke halaman kunci yang dikelola Pelanggan, pilih nama kunci yang baru saja Anda buat.

  11. Pilih tab Kebijakan kunci dan pilih Beralih ke tampilan kebijakan.

  12. Di bagian Kebijakan kunci, pilih Edit.

  13. Tambahkan pernyataan berikut ke daftar pernyataan kebijakan kunci. Ketika Anda melakukannya, ganti us-east-1 dengan Wilayah log Anda, account-ARN dengan ARN akun yang memiliki kunci KMS, dengan nomor akun yang memiliki kunci KMS, 123456789012 dengan ID kms-key dan key_id role_name dengan peran yang digunakan untuk membuat tugas ekspor.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow CWL Service Principal usage",
            "Effect": "Allow",
            "Principal": {
            "Service": "logs.us-east-1.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "account-ARN"
            },
            "Action": [
                "kms:GetKeyPolicy*",
                "kms:PutKeyPolicy*",
                "kms:DescribeKey*",
                "kms:CreateAlias*",
                "kms:ScheduleKeyDeletion*",
                "kms:Decrypt"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Enable IAM Role Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/role_name"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
        }
    ]
}

  14. Pilih Simpan perubahan.

  15. Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  16. Temukan bucket yang Anda buat Buat ember S3 (CLI) dan pilih nama bucket.

  17. Pilih tab Properti. Kemudian, di bawah Enkripsi Default, pilih Edit.

  18. Di bawah Enkripsi sisi server, pilih Aktifkan.

  19. Di bawah Tipe enkripsi memilih Kunci (SSE-KMS) AWS Key Management Service.

  20. Pilih Pilih dari AWS KMS kunci Anda dan temukan kunci yang Anda buat.

  21. Untuk kunci Bucket, pilih Aktifkan.

  22. Pilih Simpan perubahan.

Buat tugas ekspor untuk ekspor lintas akun (konsol)

Dalam prosedur ini, Anda membuat tugas ekspor untuk mengekspor log dari grup log.

Untuk mengekspor data ke Amazon S3 menggunakan konsol CloudWatch

  1. Masuk dengan izin yang memadai seperti yang didokumentasikanMengatur izin akses (konsol).

  2. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  3. Pada panel navigasi, pilih Grup log.

  4. Di layar Log Groups (Grup Log), pilih nama grup log.

  5. Pilih Actions (Tindakan), Export data to Amazon S3 (Ekspor data ke Amazon S3).

  6. Di layar Export data to Amazon S3 (Ekspor data ke Amazon S3), di Define data export (Tentukan ekspor data), atur rentang waktu untuk data yang akan diekspor menggunakan From (Dari) dan To (Sampai).

  7. Jika grup log Anda memiliki beberapa pengaliran log, Anda dapat memberikan prefiks pengaliran log untuk membatasi data grup log ke pengaliran tertentu. Pilih Advanced (Lanjutan), lalu untuk Stream prefix (Prefiks pengaliran), masukkan prefiks pengaliran log.

  8. Di bawah bucket Pilih S3, pilih akun yang terkait dengan bucket S3.

  9. Untuk nama bucket S3, pilih bucket S3.

  10. Untuk S3 Bucket prefix (Prefiks bucket S3), masukkan string yang dihasilkan secara acak yang Anda tentukan dalam kebijakan bucket.

  11. Pilih Export (Ekspor) untuk mengekspor data log ke Amazon S3.

  12. Untuk melihat status data log yang diekspor ke Amazon S3, pilih Actions (Tindakan), lalu View all exports to Amazon S3 (Lihat semua ekspor ke Amazon S3).