Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mencatat peristiwa aktivitas jaringan
CloudTrail peristiwa aktivitas jaringan memungkinkan pemilik titik akhir VPC merekam panggilan AWS API yang dilakukan menggunakan titik akhir VPC mereka dari VPC pribadi ke. Layanan AWS Peristiwa aktivitas jaringan memberikan visibilitas tentang operasi sumber daya yang dilakukan di dalam VPC. Misalnya, mencatat peristiwa aktivitas jaringan dapat membantu pemilik titik akhir VPC mendeteksi saat kredensi dari luar organisasi mereka mencoba mengakses titik akhir VPC mereka.
Anda dapat mencatat peristiwa aktivitas jaringan untuk layanan berikut:
-
AWS AppConfig
-
AWS App Mesh
-
Amazon Athena
-
AWS B2B Pertukaran Data
-
AWS Backup gateway
-
Amazon Bedrock
-
Manajemen Penagihan dan Biaya
-
AWS Kalkulator Harga
-
AWS Cost Explorer
-
AWS Cloud Control API
-
AWS CloudHSM
-
AWS Cloud Map
-
AWS CloudFormation
-
AWS CloudTrail
-
Amazon CloudWatch
-
CloudWatch Sinyal Aplikasi
-
AWS CodeDeploy
-
Amazon Comprehend Medical
-
AWS Config
-
Ekspor Data AWS
-
Amazon Data Firehose
-
AWS Directory Service
-
Amazon DynamoDB
-
Amazon EC2
-
Amazon Elastic Container Service
-
Amazon Elastic File System
-
Penyeimbang Beban Elastis
-
Amazon EventBridge
-
EventBridge Penjadwal Amazon
-
Amazon Fraud Detector
-
AWS Tingkat Gratis
-
Amazon FSx
-
AWS Glue
-
AWS HealthLake
-
AWS IoT FleetWise
-
AWS IoT Secure Tunneling
-
AWS Invoicing
-
Amazon Keyspaces (untuk Apache Cassandra)
-
AWS KMS
-
AWS Lake Formation
-
AWS Lambda
-
AWS License Manager
-
Amazon Lookout for Equipment
-
Amazon Lookout for Vision
-
Amazon Personalize
-
Amazon Q Business
-
Amazon Rekognition
-
Amazon Relational Database Service
-
Amazon S3
catatan
Titik Akses Multi-Wilayah Amazon S3 tidak didukung.
-
Amazon SageMaker AI
-
AWS Secrets Manager
-
Amazon Simple Notification Service
-
Amazon Simple Queue Service
-
Layanan Alur Kerja Sederhana Amazon
-
Gateway AWS Storage
-
Manajer Insiden AWS Systems Manager
-
Amazon Textract
-
Amazon Transcribe
-
Amazon Translate
-
AWS Transform
-
Izin Terverifikasi Amazon
-
Amazon WorkMail
Anda dapat mengonfigurasi penyimpanan data jejak dan peristiwa untuk mencatat peristiwa aktivitas jaringan.
Secara default, jejak dan penyimpanan data peristiwa tidak mencatat peristiwa aktivitas jaringan. Biaya tambahan berlaku untuk acara aktivitas jaringan. Untuk informasi selengkapnya, silakan lihat Harga AWS CloudTrail
Daftar Isi
Bidang pemilih acara lanjutan untuk acara aktivitas jaringan
Mencatat peristiwa aktivitas jaringan dengan Konsol Manajemen AWS
Mencatat peristiwa aktivitas jaringan dengan AWS Command Line Interface
Contoh: Logging peristiwa aktivitas jaringan untuk menyimpan data acara
Bidang pemilih acara lanjutan untuk acara aktivitas jaringan
Anda mengonfigurasi penyeleksi peristiwa lanjutan untuk mencatat peristiwa aktivitas jaringan dengan menentukan sumber acara yang ingin Anda log aktivitas. Anda dapat mengonfigurasi pemilih acara lanjutan menggunakan AWS SDKs, AWS CLI, atau CloudTrail konsol.
Bidang pemilih peristiwa lanjutan berikut diperlukan untuk mencatat peristiwa aktivitas jaringan:
-
eventCategory— Untuk mencatat peristiwa aktivitas jaringan, nilainya harusNetworkActivity.eventCategoryhanya dapat menggunakanEqualsoperator. -
eventSource— Sumber acara tempat Anda ingin mencatat peristiwa aktivitas jaringan.eventSourcehanya dapat menggunakanEqualsoperator. Jika Anda ingin mencatat peristiwa aktivitas jaringan untuk beberapa sumber peristiwa, Anda harus membuat pemilih bidang terpisah untuk setiap sumber peristiwa.Nilai yang valid meliputi:
-
appconfig.amazonaws.com -
application-signals.amazonaws.com -
appmesh.amazonaws.com -
athena.amazonaws.com -
b2bi.amazonaws.com -
backup-gateway.amazonaws.com -
bcm-data-exports.amazonaws.com -
bcm-pricing-calculator.amazonaws.com -
bedrock.amazonaws.com -
billing.amazonaws.com -
cassandra.amazonaws.com -
ce.amazonaws.com -
cloudcontrolapi.amazonaws.com -
cloudformation.amazonaws.com -
cloudhsm.amazonaws.com -
cloudtrail.amazonaws.com -
codedeploy.amazonaws.com -
comprehend.amazonaws.com -
comprehendmedical.amazonaws.com -
config.amazonaws.com -
ds.amazonaws.com -
dynamodb.amazonaws.com -
ec2.amazonaws.com -
ecs.amazonaws.com -
elasticfilesystem.amazonaws.com -
elasticloadbalancing.amazonaws.com -
events.amazonaws.com -
firehose.amazonaws.com -
frauddetector.amazonaws.com -
freetier.amazonaws.com -
fsx.amazonaws.com -
glue.amazonaws.com -
healthlake.amazonaws.com -
invoicing.amazonaws.com -
iotfleetwise.amazonaws.com -
iotsecuredtunneling.amazonaws.com -
kms.amazonaws.com -
lakeformation.amazonaws.com -
lambda.amazonaws.com -
license-manager.amazonaws.com -
lookoutequipment.amazonaws.com -
lookoutvision.amazonaws.com -
monitoring.amazonaws.com -
personalize.amazonaws.com -
qbusiness.amazonaws.com -
rds.amazonaws.com -
rekognition.amazonaws.com -
rolesanywhere.amazonaws.com -
s3.amazonaws.com -
sagemaker.amazonaws.com -
scheduler.amazonaws.com -
secretsmanager.amazonaws.com -
servicediscovery.amazonaws.com -
sns.amazonaws.com -
sqs.amazonaws.com -
ssm-contacts.amazonaws.com -
storagegateway.amazonaws.com -
swf.amazonaws.com -
textract.amazonaws.com -
transcribe.amazonaws.com -
transcribestreaming.amazonaws.com -
transform.amazonaws.com -
translate.amazonaws.com -
user-subscriptions.amazonaws.com -
verifiedpermissions.amazonaws.com -
voiceid.amazonaws.com -
workmail.amazonaws.com -
workmailmessageflow.amazonaws.com
-
Bidang pemilih acara lanjutan berikut adalah opsional:
-
eventName— Tindakan yang diminta yang ingin Anda filter. Misalnya,CreateKeyatauListKeys.eventNamedapat menggunakan operator apa pun. -
errorCode— Kode kesalahan yang diminta yang ingin Anda filter. Saat ini, satu-satunyaerrorCodeyang valid adalahVpceAccessDenied. Anda hanya dapat menggunakanEqualsoperator denganerrorCode. -
vpcEndpointId— Mengidentifikasi titik akhir VPC yang dilewati operasi. Anda dapat menggunakan operator apa pun denganvpcEndpointId.
Peristiwa aktivitas jaringan tidak dicatat secara default saat Anda membuat penyimpanan data jejak atau peristiwa. Untuk merekam peristiwa aktivitas CloudTrail jaringan, Anda harus secara eksplisit mengonfigurasi setiap sumber peristiwa yang ingin Anda kumpulkan aktivitasnya.
Biaya tambahan berlaku untuk peristiwa aktivitas jaringan logging. Untuk CloudTrail harga, lihat AWS CloudTrail Harga
Mencatat peristiwa aktivitas jaringan dengan Konsol Manajemen AWS
Anda dapat memperbarui penyimpanan data jejak atau peristiwa yang ada untuk mencatat peristiwa aktivitas jaringan menggunakan konsol.
Topik
Memperbarui jejak yang ada untuk mencatat peristiwa aktivitas jaringan
Gunakan prosedur berikut untuk memperbarui jejak yang ada untuk mencatat peristiwa aktivitas jaringan.
catatan
Biaya tambahan berlaku untuk peristiwa aktivitas jaringan logging. Untuk CloudTrail harga, lihat AWS CloudTrail
Harga
Masuk ke Konsol Manajemen AWS dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/
. -
Di panel navigasi kiri CloudTrail konsol, buka halaman Trails, dan pilih nama jejak.
-
Jika jejak Anda mencatat peristiwa data menggunakan pemilih acara dasar, Anda harus beralih ke pemilih peristiwa lanjutan untuk mencatat peristiwa aktivitas jaringan.
Ambil langkah-langkah ini untuk beralih ke pemilih acara tingkat lanjut:
-
Di area peristiwa Data, perhatikan pemilih peristiwa data saat ini. Beralih ke pemilih acara lanjutan akan menghapus pemilih peristiwa data yang ada.
-
Pilih Edit dan kemudian pilih Beralih ke pemilih acara lanjutan.
-
Terapkan kembali pilihan acara data Anda menggunakan pemilih acara tingkat lanjut. Untuk informasi selengkapnya, lihat Memperbarui jejak yang ada untuk mencatat peristiwa data dengan pemilih acara lanjutan menggunakan konsol.
-
-
Di acara aktivitas jaringan, pilih Edit.
Untuk mencatat peristiwa aktivitas jaringan, lakukan langkah-langkah berikut:
-
Dari sumber peristiwa aktivitas jaringan, pilih sumber untuk peristiwa aktivitas jaringan.
-
Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa aktivitas jaringan, mencatat semua peristiwa yang ditolak akses aktivitas jaringan, atau memilih Kustom untuk membuat pemilih log kustom untuk memfilter pada beberapa bidang, seperti
eventNamedanvpcEndpointId. -
(Opsional) Masukkan nama untuk mengidentifikasi pemilih. Nama pemilih terdaftar sebagai Nama di pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan JSON.
-
Di Penyeleksi acara lanjutan membangun ekspresi dengan memilih nilai untuk Bidang, Operator, dan Nilai. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.
-
Untuk mengecualikan atau menyertakan peristiwa aktivitas jaringan, Anda dapat memilih dari bidang berikut di konsol.
-
eventName— Anda dapat menggunakan operator apa pun denganeventName. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara apa pun, sepertiCreateKey. -
errorCode— Anda dapat menggunakannya untuk memfilter kode kesalahan. Saat ini, satu-satunya yang didukungerrorCodeadalahVpceAccessDenied. -
vpcEndpointId— Mengidentifikasi titik akhir VPC yang dilewati operasi. Anda dapat menggunakan operator apa pun denganvpcEndpointId.
-
-
Untuk setiap bidang, pilih + Syarat untuk menambahkan syarat sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua syarat.
-
Pilih + Field (+ Bidang) untuk menambahkan bidang lain sesuai kebutuhan. Untuk menghindari kesalahan, jangan menetapkan nilai yang bertentangan atau duplikat untuk bidang.
-
-
Untuk menambahkan sumber peristiwa lain yang ingin Anda log peristiwa aktivitas jaringan, pilih Tambahkan pemilih peristiwa aktivitas jaringan.
-
Secara opsional, perluas tampilan JSON untuk melihat pemilih acara lanjutan Anda sebagai blok JSON.
-
-
Pilih Simpan perubahan untuk menyimpan perubahan Anda.
Memperbarui penyimpanan data peristiwa yang ada untuk mencatat peristiwa aktivitas jaringan
Gunakan prosedur berikut untuk memperbarui penyimpanan data peristiwa yang ada untuk mencatat peristiwa aktivitas jaringan.
catatan
Anda hanya dapat mencatat peristiwa aktivitas jaringan pada penyimpanan data peristiwa dari jenis CloudTrail peristiwa.
Masuk ke Konsol Manajemen AWS dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/
. -
Di panel navigasi kiri CloudTrail konsol, di bawah Danau, pilih Penyimpanan data acara.
-
Pilih nama penyimpanan data acara.
-
Di acara aktivitas jaringan, pilih Edit.
Untuk mencatat peristiwa aktivitas jaringan, lakukan langkah-langkah berikut:
-
Dari sumber peristiwa aktivitas jaringan, pilih sumber untuk peristiwa aktivitas jaringan.
-
Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa aktivitas jaringan, mencatat semua peristiwa yang ditolak akses aktivitas jaringan, atau memilih Kustom untuk membuat pemilih log kustom untuk memfilter pada beberapa bidang, seperti
eventNamedanvpcEndpointId. -
(Opsional) Masukkan nama untuk mengidentifikasi pemilih. Nama pemilih terdaftar sebagai Nama di pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan JSON.
-
Di Penyeleksi acara lanjutan membangun ekspresi dengan memilih nilai untuk Bidang, Operator, dan Nilai. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.
-
Untuk mengecualikan atau menyertakan peristiwa aktivitas jaringan, Anda dapat memilih dari bidang berikut di konsol.
-
eventName— Anda dapat menggunakan operator apa pun denganeventName. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara apa pun, sepertiCreateKey. -
errorCode— Anda dapat menggunakannya untuk memfilter kode kesalahan. Saat ini, satu-satunya yang didukungerrorCodeadalahVpceAccessDenied. -
vpcEndpointId— Mengidentifikasi titik akhir VPC yang dilewati operasi. Anda dapat menggunakan operator apa pun denganvpcEndpointId.
-
-
Untuk setiap bidang, pilih + Syarat untuk menambahkan syarat sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua syarat.
-
Pilih + Field (+ Bidang) untuk menambahkan bidang lain sesuai kebutuhan. Untuk menghindari kesalahan, jangan menetapkan nilai yang bertentangan atau duplikat untuk bidang.
-
-
Untuk menambahkan sumber peristiwa lain yang ingin Anda log peristiwa aktivitas jaringan, pilih Tambahkan pemilih peristiwa aktivitas jaringan.
-
Secara opsional, perluas tampilan JSON untuk melihat pemilih acara lanjutan Anda sebagai blok JSON.
-
-
Pilih Simpan perubahan untuk menyimpan perubahan Anda.
Mencatat peristiwa aktivitas jaringan dengan AWS Command Line Interface
Anda dapat mengonfigurasi jejak atau penyimpanan data peristiwa untuk mencatat peristiwa aktivitas jaringan menggunakan file. AWS CLI
Topik
Contoh: Mencatat peristiwa aktivitas jaringan untuk jejak
Anda dapat mengonfigurasi jejak Anda untuk mencatat peristiwa aktivitas jaringan menggunakan file. AWS CLI Jalankan put-event-selectors
Untuk melihat apakah jejak Anda mencatat peristiwa aktivitas jaringan, jalankan get-event-selectors
Topik
Contoh: Log peristiwa aktivitas jaringan untuk CloudTrail operasi
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa aktivitas jaringan untuk operasi CloudTrail API, seperti CreateTrail dan CreateEventDataStore panggilan. Nilai untuk eventSource bidang tersebut adalahcloudtrail.amazonaws.com.
aws cloudtrail put-event-selectors / --trail-nameTrailName/ --regionregion/ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ] }
Contoh: Log VpceAccessDenied peristiwa untuk AWS KMS
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan VpceAccessDenied acara AWS KMS. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa dan eventSource bidang sama dengankms.amazonaws.com.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events through VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ] }
Contoh: Log VpceAccessDenied peristiwa untuk Amazon S3
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan VpceAccessDenied peristiwa untuk Amazon S3. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa dan eventSource bidang sama dengans3.amazonaws.com.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Log S3 access denied network activity events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["s3.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Log S3 access denied network activity events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "s3.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ] }
Contoh: Log EC2 VpceAccessDenied peristiwa melalui titik akhir VPC tertentu
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan VpceAccessDenied peristiwa untuk Amazon EC2 untuk titik akhir VPC tertentu. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa, eventSource bidang sama denganec2.amazonaws.com, dan vpcEndpointId sama dengan titik akhir VPC yang diinginkan.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ] }
Contoh: Log semua peristiwa manajemen dan peristiwa aktivitas jaringan untuk beberapa sumber acara
Contoh berikut mengonfigurasi jejak untuk mencatat peristiwa manajemen dan semua peristiwa aktivitas jaringan untuk sumber peristiwa CloudTrail, Amazon EC2, AWS KMS, AWS Secrets Manager, dan Amazon S3.
aws cloudtrail put-event-selectors \ --regionregion/ --trail-nameTrailName/ --advanced-event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] } ] }, { "Name": "Log all network activity events for S3", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["s3.amazonaws.com"] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["secretsmanager.amazonaws.com"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for S3", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "s3.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "secretsmanager.amazonaws.com" ] } ] } ] }
Contoh: Logging peristiwa aktivitas jaringan untuk menyimpan data acara
Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa aktivitas jaringan menggunakan AWS CLI. Gunakan create-event-data-storeupdate-event-data-store
Untuk melihat apakah penyimpanan data acara Anda menyertakan peristiwa aktivitas jaringan, jalankan get-event-data-store
aws cloudtrail get-event-data-store --event-data-storeEventDataStoreARN
Topik
Contoh: Log semua peristiwa aktivitas jaringan untuk CloudTrail operasi
Contoh berikut menunjukkan cara membuat penyimpanan data peristiwa yang mencakup semua peristiwa aktivitas jaringan yang terkait dengan CloudTrail operasi, seperti panggilan ke CreateTrail danCreateEventDataStore. Nilai untuk eventSource bidang diatur kecloudtrail.amazonaws.com.
aws cloudtrail create-event-data-store \ --name "EventDataStoreName" \ --advanced-event-selectors '[ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Audit all CloudTrail API calls over VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Contoh: Log VpceAccessDenied peristiwa untuk AWS KMS
Contoh berikut menunjukkan cara membuat penyimpanan data acara untuk menyertakan VpceAccessDenied acara untuk AWS KMS. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa dan eventSource bidang sama dengankms.amazonaws.com.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied AWS KMS events over VPC endpoints", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Contoh: Log EC2 VpceAccessDenied peristiwa melalui titik akhir VPC tertentu
Contoh berikut menunjukkan cara membuat penyimpanan data peristiwa untuk menyertakan VpceAccessDenied peristiwa untuk Amazon EC2 untuk titik akhir VPC tertentu. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa, eventSource bidang sama denganec2.amazonaws.com, dan vpcEndpointId sama dengan titik akhir VPC yang diinginkan.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] }, { "Field": "vpcEndpointId", "Equals": ["vpce-example8c1b6b9b7"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Audit AccessDenied EC2 events over a specific VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] }, { "Field": "vpcEndpointId", "Equals": [ "vpce-example8c1b6b9b7" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Contoh: Log VpceAccessDenied peristiwa untuk Amazon S3
Contoh berikut menunjukkan cara membuat penyimpanan data acara untuk menyertakan VpceAccessDenied peristiwa untuk Amazon S3. Contoh ini menetapkan errorCode bidang sama dengan VpceAccessDenied peristiwa dan eventSource bidang sama dengans3.amazonaws.com.
aws cloudtrail create-event-data-store \ --nameEventDataStoreName\ --advanced-event-selectors '[ { "Name": "Log S3 access denied network activity events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["s3.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Log S3 access denied network activity events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "s3.amazonaws.com" ] }, { "Field": "errorCode", "Equals": [ "VpceAccessDenied" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00" }
Contoh: Log semua peristiwa manajemen dan peristiwa aktivitas jaringan untuk beberapa sumber acara
Contoh berikut memperbarui penyimpanan data peristiwa yang saat ini hanya mencatat peristiwa manajemen untuk juga mencatat peristiwa aktivitas jaringan untuk beberapa sumber peristiwa. Untuk memperbarui penyimpanan data acara untuk menambahkan pemilih acara baru, jalankan get-event-data-store perintah untuk mengembalikan pemilih acara lanjutan saat ini. Kemudian, jalankan update-event-data-store perintah dan teruskan --advanced-event-selectors yang menyertakan pemilih saat ini ditambah pemilih baru. Untuk mencatat peristiwa aktivitas jaringan untuk beberapa sumber peristiwa, sertakan satu pemilih untuk setiap sumber peristiwa yang ingin Anda log.
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --advanced-event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["cloudtrail.amazonaws.com"] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["ec2.amazonaws.com"] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] } ] }, { "Name": "Log all network activity events for S3", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["s3.amazonaws.com"] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["secretsmanager.amazonaws.com"] } ] } ]'
Perintah mengembalikan contoh output berikut.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log all network activity events for CloudTrail APIs", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "cloudtrail.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for EC2", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "ec2.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for KMS", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "kms.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for S3", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "s3.amazonaws.com" ] } ] }, { "Name": "Log all network activity events for Secrets Manager", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "NetworkActivity" ] }, { "Field": "eventSource", "Equals": [ "secretsmanager.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00" }
Mencatat peristiwa dengan AWS SDKs
Jalankan GetEventSelectorsoperasi untuk melihat apakah jejak Anda mencatat peristiwa aktivitas jaringan. Anda dapat mengonfigurasi jejak Anda untuk mencatat peristiwa aktivitas jaringan dengan menjalankan PutEventSelectorsoperasi. Untuk informasi lebih lanjut, lihat Referensi API AWS CloudTrail.
Jalankan GetEventDataStoreoperasi untuk melihat apakah penyimpanan data acara Anda mencatat peristiwa aktivitas jaringan. Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa aktivitas jaringan dengan menjalankan CreateEventDataStoreatau UpdateEventDataStoreoperasi dan menentukan pemilih acara lanjutan. Untuk informasi selengkapnya, lihat Membuat, memperbarui, dan mengelola penyimpanan data acara dengan AWS CLI dan Referensi AWS CloudTrail API.
