Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memantau File CloudTrail Log dengan CloudWatch Log Amazon
<a name="monitor-cloudtrail-log-files-with-cloudwatch-logs"></a>

Anda dapat menggunakan [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk memantau, menyimpan, dan mengakses file log Anda CloudTrail.

CloudWatch Log memungkinkan Anda untuk memusatkan log dari semua sistem, aplikasi, dan Layanan AWS yang Anda gunakan, dalam satu layanan yang sangat skalabel. Anda kemudian dapat dengan mudah melihatnya, mencari kode atau pola kesalahan tertentu, memfilternya berdasarkan bidang tertentu, atau mengarsipkannya dengan aman untuk analisis masa depan. CloudWatch Log memungkinkan Anda untuk melihat semua log Anda, terlepas dari sumbernya, sebagai aliran peristiwa tunggal dan konsisten yang diurutkan berdasarkan waktu.

Selesaikan langkah-langkah berikut untuk mengonfigurasi CloudTrail dengan CloudWatch Log untuk memantau log jejak Anda dan diberi tahu saat aktivitas tertentu terjadi.

1. Konfigurasikan jejak Anda untuk mengirim peristiwa log ke CloudWatch Log.

1. Tentukan filter metrik CloudWatch Log untuk mengevaluasi peristiwa log untuk kecocokan dalam istilah, frasa, atau nilai. Misalnya, Anda dapat memantau `ConsoleLogin` acara. 

1. Tetapkan CloudWatch metrik ke filter metrik.

1. Buat CloudWatch alarm yang dipicu sesuai dengan ambang batas dan periode waktu yang Anda tentukan. Anda dapat mengonfigurasi alarm untuk mengirim notifikasi saat alarm dipicu, sehingga Anda dapat mengambil tindakan.

1. Anda juga dapat mengonfigurasi CloudWatch untuk secara otomatis melakukan tindakan sebagai respons terhadap alarm. 

Harga standar untuk Amazon CloudWatch dan Amazon CloudWatch Log berlaku. Untuk informasi selengkapnya, lihat [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/).

Untuk informasi selengkapnya tentang Wilayah tempat Anda dapat mengonfigurasi jejak untuk mengirim CloudWatch log ke Log, lihat [Wilayah dan Kuota CloudWatch Log Amazon](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html) di Referensi *AWS Umum*.

**Topics**
+ [Mengirim acara ke CloudWatch Log](send-cloudtrail-events-to-cloudwatch-logs.md)
+ [Membuat CloudWatch alarm untuk CloudTrail acara: contoh](cloudwatch-alarms-for-cloudtrail.md)
+ [Berhenti CloudTrail dari mengirim acara ke CloudWatch Log](stop-cloudtrail-from-sending-events-to-cloudwatch-logs.md)
+ [CloudWatch grup log dan penamaan aliran log untuk CloudTrail](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md)
+ [Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan](cloudtrail-required-policy-for-cloudwatch-logs.md)

# Mengirim acara ke CloudWatch Log
<a name="send-cloudtrail-events-to-cloudwatch-logs"></a>

Saat Anda mengonfigurasi jejak Anda untuk mengirim peristiwa ke CloudWatch Log, CloudTrail kirimkan hanya peristiwa yang sesuai dengan pengaturan jejak Anda. Misalnya, jika Anda mengonfigurasi jejak Anda untuk mencatat peristiwa data saja, jejak Anda akan mengirimkan peristiwa data hanya ke grup CloudWatch log Log Anda. CloudTrail mendukung pengiriman data, Wawasan, dan acara manajemen ke CloudWatch Log. Untuk informasi selengkapnya, lihat [Bekerja dengan file CloudTrail log](cloudtrail-working-with-log-files.md).

**catatan**  
Hanya akun manajemen yang dapat mengonfigurasi grup CloudWatch log Log untuk jejak organisasi menggunakan konsol. Administrator yang didelegasikan dapat mengonfigurasi grup CloudWatch log Log menggunakan operasi AWS CLI atau CloudTrail `CreateTrail` atau `UpdateTrail` API.

Untuk mengirim peristiwa ke grup CloudWatch log Log:
+ Pastikan Anda memiliki izin yang cukup untuk membuat atau menentukan peran IAM. Untuk informasi selengkapnya, lihat [Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
+ Jika Anda mengonfigurasi grup CloudWatch log Log menggunakan AWS CLI, pastikan Anda memiliki izin yang cukup untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut. Untuk informasi selengkapnya, lihat [Membuat dokumen kebijakan](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document).
+ Buat jejak baru atau tentukan yang sudah ada. Untuk informasi selengkapnya, lihat [Membuat dan memperbarui jejak dengan konsol](cloudtrail-create-and-update-a-trail-by-using-the-console.md).
+ Buat grup log atau tentukan yang sudah ada.
+ Tentukan peran IAM. Jika Anda memodifikasi peran IAM yang ada untuk jejak organisasi, Anda harus memperbarui kebijakan secara manual untuk mengizinkan pencatatan jejak organisasi. Untuk informasi selengkapnya, lihat [contoh kebijakan ini](#policy-cwl-org) dan[Membuat jejak untuk sebuah organisasi](creating-trail-organization.md).
+ Lampirkan kebijakan peran atau gunakan default.

**Contents**
+ [Mengkonfigurasi pemantauan CloudWatch Log dengan konsol](#send-cloudtrail-events-to-cloudwatch-logs-console)
  + [Membuat grup log atau menentukan grup log yang ada](#send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group)
  + [Menentukan peran IAM](#send-cloudtrail-events-to-cloudwatch-logs-console-create-role)
  + [Melihat acara di CloudWatch konsol](#viewing-events-in-cloudwatch)
+ [Mengkonfigurasi pemantauan CloudWatch Log dengan AWS CLI](#send-cloudtrail-events-to-cloudwatch-logs-cli)
  + [Membuat grup log](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group)
  + [Membuat peran](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-role)
  + [Membuat dokumen kebijakan](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document)
  + [Memperbarui jejak](#send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail)
+ [Batasan](#send-cloudtrail-events-to-cloudwatch-logs-limitations)

## Mengkonfigurasi pemantauan CloudWatch Log dengan konsol
<a name="send-cloudtrail-events-to-cloudwatch-logs-console"></a>

Anda dapat menggunakan Konsol Manajemen AWS untuk mengonfigurasi jejak Anda untuk mengirim peristiwa ke CloudWatch Log untuk pemantauan.

### Membuat grup log atau menentukan grup log yang ada
<a name="send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group"></a>

CloudTrail menggunakan grup CloudWatch log Log sebagai titik akhir pengiriman untuk peristiwa log. Anda dapat membuat grup log atau menentukan grup yang sudah ada.

**Untuk membuat atau menentukan grup log untuk jejak yang ada**

1. Pastikan Anda masuk dengan pengguna administratif atau peran dengan izin yang cukup untuk mengonfigurasi integrasi CloudWatch Log. Untuk informasi selengkapnya, lihat [Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
**catatan**  
Hanya akun manajemen yang dapat mengonfigurasi grup CloudWatch log Log untuk jejak organisasi menggunakan konsol. Administrator yang didelegasikan dapat mengonfigurasi grup CloudWatch log Log menggunakan operasi AWS CLI atau CloudTrail `CreateTrail` atau `UpdateTrail` API.

1. Buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Pilih nama jejak. Jika Anda memilih jalur Multi-wilayah, Anda akan diarahkan ke Wilayah tempat jejak itu dibuat. Anda dapat membuat grup log atau memilih grup log yang ada di Wilayah yang sama dengan jejak.
**catatan**  
Jejak Multi-wilayah mengirimkan file log dari semua Wilayah yang diaktifkan di grup CloudWatch log Log yang Anda tentukan. Akun AWS 

1. Di **CloudWatch Log**, pilih **Edit**.

1. Untuk **CloudWatch Log**, pilih **Diaktifkan**.

1. Untuk **nama grup Log**, pilih **Baru** untuk membuat grup log baru, atau **Ada** untuk menggunakan yang sudah ada. Jika Anda memilih **Baru**, CloudTrail menentukan nama untuk grup log baru untuk Anda, atau Anda dapat mengetikkan nama. Untuk informasi lebih lanjut tentang penamaan, lihat[CloudWatch grup log dan penamaan aliran log untuk CloudTrail](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md).

1. Jika Anda memilih **yang ada**, pilih grup log dari daftar drop-down.

1. Untuk **nama Peran**, pilih **Baru** untuk membuat peran IAM baru untuk izin mengirim log ke CloudWatch Log. Pilih **Existing** untuk memilih peran IAM yang ada dari daftar drop-down. Pernyataan kebijakan untuk peran baru atau yang sudah ada ditampilkan saat Anda memperluas **dokumen Kebijakan**. Untuk informasi selengkapnya tentang peran ini, silakan lihat [Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan](cloudtrail-required-policy-for-cloudwatch-logs.md).
**catatan**  
Saat mengonfigurasi jejak, Anda dapat memilih bucket S3 dan topik SNS milik akun lain. Namun, jika Anda CloudTrail ingin mengirimkan peristiwa ke grup CloudWatch log Log, Anda harus memilih grup log yang ada di akun Anda saat ini.

1. Pilih **Simpan perubahan**.

### Menentukan peran IAM
<a name="send-cloudtrail-events-to-cloudwatch-logs-console-create-role"></a>

Anda dapat menentukan peran CloudTrail untuk diasumsikan untuk mengirimkan peristiwa ke aliran log.

**Untuk menentukan peran**

1. Secara default, `CloudTrail_CloudWatchLogs_Role` ditentukan untuk Anda. Kebijakan peran default memiliki izin yang diperlukan untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan, dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut. 
**catatan**  
Jika Anda ingin menggunakan peran ini untuk grup log untuk jejak organisasi, Anda harus mengubah kebijakan secara manual setelah membuat peran. Untuk informasi selengkapnya, lihat [contoh kebijakan ini](#policy-cwl-org) dan[Membuat jejak untuk sebuah organisasi](creating-trail-organization.md).

   1. Untuk memverifikasi peran, buka AWS Identity and Access Management konsol di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Pilih **Peran** dan kemudian pilih **CloudTrail\$1 CloudWatchLogs \$1Role**.

   1. Dari tab **Izin, perluas** kebijakan untuk melihat kontennya.

1. Anda dapat menentukan peran lain, tetapi Anda harus melampirkan kebijakan peran yang diperlukan ke peran yang ada jika Anda ingin menggunakannya untuk mengirim peristiwa ke CloudWatch Log. Untuk informasi selengkapnya, lihat [Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan](cloudtrail-required-policy-for-cloudwatch-logs.md).



### Melihat acara di CloudWatch konsol
<a name="viewing-events-in-cloudwatch"></a>

Setelah mengonfigurasi jejak untuk mengirim peristiwa ke grup CloudWatch log Log, Anda dapat melihat peristiwa di CloudWatch konsol. CloudTrail biasanya mengirimkan peristiwa ke grup log Anda dalam waktu rata-rata sekitar 5 menit setelah panggilan API. Kali ini tidak dijamin. Tinjau [Perjanjian Tingkat AWS CloudTrail Layanan](https://aws.amazon.com/cloudtrail/sla) untuk informasi lebih lanjut.

**Untuk melihat peristiwa di CloudWatch konsol**

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi kiri, di bawah **Log**, pilih **Grup log**.

1. Pilih grup log yang Anda tentukan untuk jejak Anda.

1. Pilih aliran log yang ingin Anda lihat.

1. Untuk melihat detail peristiwa yang dicatat jejak Anda, pilih acara.

**catatan**  
Kolom **Waktu (UTC)** di CloudWatch konsol menunjukkan kapan acara dikirim ke grup log Anda. Untuk melihat waktu aktual peristiwa itu dicatat CloudTrail, lihat `eventTime` bidangnya.

## Mengkonfigurasi pemantauan CloudWatch Log dengan AWS CLI
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli"></a>

Anda dapat menggunakan AWS CLI untuk mengkonfigurasi CloudTrail untuk mengirim peristiwa ke CloudWatch Log untuk pemantauan.

### Membuat grup log
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group"></a>

1. Jika Anda tidak memiliki grup log yang ada, buat grup CloudWatch log Log sebagai titik akhir pengiriman untuk peristiwa log menggunakan `create-log-group` perintah CloudWatch Log.

   ```
   aws logs create-log-group --log-group-name name
   ```

   Contoh berikut membuat grup log bernama`CloudTrail/logs`:

   ```
   aws logs create-log-group --log-group-name CloudTrail/logs
   ```

1. Ambil grup log Amazon Resource Name (ARN).

   ```
   aws logs describe-log-groups
   ```

### Membuat peran
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-create-role"></a>

Buat peran CloudTrail yang memungkinkannya mengirim peristiwa ke grup CloudWatch log Log. `create-role`Perintah IAM mengambil dua parameter: nama peran dan jalur file ke dokumen kebijakan peran asumsi dalam format JSON. Dokumen kebijakan yang Anda gunakan memberikan `AssumeRole` izin untuk CloudTrail. `create-role`Perintah membuat peran dengan izin yang diperlukan. 

Untuk membuat file JSON yang akan berisi dokumen kebijakan, buka editor teks dan simpan konten kebijakan berikut dalam file bernama`assume_role_policy_document.json`. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Jalankan perintah berikut untuk membuat peran dengan `AssumeRole` izin untuk CloudTrail. 

```
aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json
```

Ketika perintah selesai, catat peran ARN dalam output.

### Membuat dokumen kebijakan
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document"></a>

Buat dokumen kebijakan peran berikut untuk CloudTrail. Dokumen ini memberikan izin CloudTrail yang diperlukan untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream2014110",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
            ]
        }
    ]
}
```

------

Simpan dokumen kebijakan dalam file bernama`role-policy-document.json`.<a name="policy-cwl-org"></a>

Jika Anda membuat kebijakan yang mungkin digunakan untuk jejak organisasi juga, Anda perlu mengonfigurasinya sedikit berbeda. Misalnya, kebijakan berikut memberikan CloudTrail izin yang diperlukan untuk membuat aliran log Log di grup CloudWatch log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut untuk kedua jejak di AWS akun 11111111111111 dan untuk jejak organisasi yang dibuat di akun 11111111111111 yang diterapkan ke organisasi dengan ID: AWS Organizations *o-exampleorgid*

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
            ]
        }
    ]
}
```

------

Untuk informasi selengkapnya tentang jalur organisasi, lihat[Membuat jejak untuk sebuah organisasi](creating-trail-organization.md).

Jalankan perintah berikut untuk menerapkan kebijakan ke peran.

```
aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json
```

### Memperbarui jejak
<a name="send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail"></a>

Perbarui jejak dengan grup log dan informasi peran menggunakan CloudTrail `update-trail` perintah.

```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn
```

Untuk informasi selengkapnya tentang AWS CLI perintah, lihat [Referensi Baris AWS CloudTrail Perintah](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/). 

## Batasan
<a name="send-cloudtrail-events-to-cloudwatch-logs-limitations"></a>

CloudWatch Log dan EventBridge masing-masing [memungkinkan ukuran acara maksimum 256 KB](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html). Meskipun sebagian besar acara layanan memiliki ukuran maksimum 256 KB, beberapa layanan masih memiliki acara yang lebih besar. CloudTrail tidak mengirim acara ini ke CloudWatch Log atau EventBridge.

Dimulai dengan CloudTrail acara versi 1.05, acara memiliki ukuran maksimum 256 KB. Ini untuk membantu mencegah eksploitasi oleh pelaku jahat, dan memungkinkan acara dikonsumsi oleh AWS layanan lain, seperti CloudWatch Log dan EventBridge.

# Membuat CloudWatch alarm untuk CloudTrail acara: contoh
<a name="cloudwatch-alarms-for-cloudtrail"></a>

Topik ini menjelaskan cara mengonfigurasi alarm untuk CloudTrail acara, dan menyertakan contoh.

**Topics**
+ [Prasyarat](#cloudwatch-alarms-prerequisites)
+ [Buat filter metrik dan buat alarm](#cloudwatch-alarms-metric-filter-alarm)
+ [Contoh perubahan konfigurasi grup keamanan](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [Contoh Konsol Manajemen AWS kegagalan masuk](#cloudwatch-alarms-for-cloudtrail-signin)
+ [Contoh: Perubahan kebijakan IAM](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [Mengkonfigurasi notifikasi untuk alarm CloudWatch Log](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)

## Prasyarat
<a name="cloudwatch-alarms-prerequisites"></a>

Sebelum Anda dapat menggunakan contoh dalam topik ini, Anda harus:
+ Buat jejak dengan konsol atau CLI.
+ Buat grup log, yang dapat Anda lakukan sebagai bagian dari membuat jejak. Untuk informasi selengkapnya tentang membuat jejak, lihat[Membuat jejak dengan CloudTrail konsol](cloudtrail-create-a-trail-using-the-console-first-time.md).
+ Tentukan atau buat peran IAM yang memberikan CloudTrail izin untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut. Default `CloudTrail_CloudWatchLogs_Role` melakukan ini untuk Anda.

Untuk informasi selengkapnya, lihat [Mengirim acara ke CloudWatch Log](send-cloudtrail-events-to-cloudwatch-logs.md). Contoh di bagian ini dilakukan di konsol Amazon CloudWatch Logs. Untuk informasi selengkapnya tentang cara membuat filter metrik dan alarm, lihat [Membuat metrik dari peristiwa log menggunakan filter dan Menggunakan CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) [alarm Amazon di Panduan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) Pengguna *Amazon CloudWatch *.

## Buat filter metrik dan buat alarm
<a name="cloudwatch-alarms-metric-filter-alarm"></a>

Untuk membuat alarm, Anda harus terlebih dahulu membuat filter metrik, dan kemudian mengkonfigurasi alarm berdasarkan filter. Prosedur ditampilkan untuk semua contoh. Untuk informasi selengkapnya tentang sintaks untuk filter metrik dan pola untuk peristiwa CloudTrail log, lihat bagian terkait JSON dari [Filter dan sintaks pola](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) di Panduan Pengguna *Amazon CloudWatch * Logs.

## Contoh perubahan konfigurasi grup keamanan
<a name="cloudwatch-alarms-for-cloudtrail-security-group"></a>

Ikuti prosedur ini untuk membuat CloudWatch alarm Amazon yang dipicu saat perubahan konfigurasi terjadi pada grup keamanan.

### Buat filter metrik
<a name="cloudwatch-alarms-for-cloudtrail-security-group-metric-filter"></a>

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, di bawah **Log**, pilih **Grup log**.

1. Dalam daftar grup log, pilih grup log yang Anda buat untuk jejak Anda.

1. Dari menu **Filter metrik** atau **Tindakan**, pilih **Buat filter metrik**.

1. Pada halaman **Tentukan pola**, di **Buat pola filter**, masukkan yang berikut untuk **pola Filter**.

   ```
   { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
   ```

1. Dalam **pola Uji**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Tetapkan metrik**, untuk **nama Filter**, masukkan**SecurityGroupEvents**.

1. Di **Detail metrik**, aktifkan **Buat baru**, lalu masukkan **CloudTrailMetrics** untuk **namespace Metrik**.

1. Untuk **nama Metrik**, ketik**SecurityGroupEventCount**.

1. Untuk **nilai Metrik**, ketik**1**.

1. Biarkan **nilai Default** kosong.

1. Pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, tinjau pilihan Anda. Pilih **Buat filter metrik** untuk membuat filter, atau pilih **Edit** untuk kembali dan mengubah nilai.

### Membuat alarm
<a name="cloudwatch-alarms-for-cloudtrail-security-group-create-alarm"></a>

Setelah Anda membuat filter metrik, halaman detail grup CloudWatch log log log untuk grup log CloudTrail jejak Anda akan terbuka. Ikuti prosedur ini untuk membuat alarm.

1. Pada tab **Filter metrik**, temukan filter metrik yang Anda buat[Buat filter metrik](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter). Isi kotak centang untuk filter metrik. Di bilah **Filter metrik**, pilih **Buat alarm**.

1. Untuk **Tentukan metrik dan kondisi**, masukkan yang berikut ini.

   1. Untuk **Grafik**, garis diatur **1** berdasarkan pengaturan lain yang Anda buat saat membuat alarm.

   1. Untuk **nama Metrik**, pertahankan nama metrik saat ini,**SecurityGroupEventCount**.

   1. Untuk **Statistik**, pertahankan defaultnya,**Sum**.

   1. Untuk **Periode**, pertahankan default,**5 minutes**.

   1. Dalam **Kondisi**, untuk **tipe Threshold**, pilih **Static**.

   1. Untuk **Kapan pun *metric\$1name* ada**, pilih **Greater/Equal**.

   1. Untuk nilai ambang batas, masukkan**1**.

   1. Dalam **konfigurasi tambahan**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Konfigurasi tindakan**, pilih **Pemberitahuan**, lalu pilih **Dalam alarm**, yang menunjukkan bahwa tindakan diambil ketika ambang batas 1 peristiwa perubahan dalam 5 menit dilintasi, dan **SecurityGroupEventCount**dalam keadaan alarm.

   1. Untuk **Mengirim pemberitahuan ke topik SNS berikut**, pilih **Buat topik baru**.

   1. Masukkan **SecurityGroupChanges\$1CloudWatch\$1Alarms\$1Topic** sebagai nama untuk topik Amazon SNS baru.

   1. Di **titik akhir Email yang akan menerima notifikasi**, masukkan alamat email pengguna yang ingin Anda terima notifikasi jika alarm ini dinyalakan. Pisahkan alamat email dengan koma.

      Setiap penerima email akan menerima email yang meminta mereka untuk mengonfirmasi bahwa mereka ingin berlangganan topik Amazon SNS.

   1. Pilih **Buat topik**.

1. Untuk contoh ini, lewati jenis tindakan lainnya. Pilih **Berikutnya**.

1. Pada halaman **Tambahkan nama dan deskripsi**, masukkan nama ramah untuk alarm, dan deskripsi. Untuk contoh ini, masukkan **Security group configuration changes** nama, dan **Raises alarms if security group configuration changes occur** untuk deskripsi. Pilih **Berikutnya**.

1. Pada halaman **Pratinjau dan buat**, tinjau pilihan Anda. Pilih **Edit** untuk membuat perubahan, atau pilih **Buat alarm** untuk membuat alarm.

   Setelah Anda membuat alarm, CloudWatch buka halaman **Alarm**. Kolom **Tindakan** alarm menunjukkan **konfirmasi Tertunda** hingga semua penerima email pada topik SNS telah mengonfirmasi bahwa mereka ingin berlangganan notifikasi SNS.

## Contoh Konsol Manajemen AWS kegagalan masuk
<a name="cloudwatch-alarms-for-cloudtrail-signin"></a>

Ikuti prosedur ini untuk membuat CloudWatch alarm Amazon yang dipicu ketika ada tiga atau lebih kegagalan Konsol Manajemen AWS masuk selama periode lima menit.

### Buat filter metrik
<a name="cloudwatch-alarms-for-cloudtrail-signin-metric-filter"></a>

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Di panel navigasi, di bawah **Log**, pilih **Grup log**.

1. Dalam daftar grup log, pilih grup log yang Anda buat untuk jejak Anda.

1. Dari menu **Filter metrik** atau **Tindakan**, pilih **Buat filter metrik**.

1. Pada halaman **Tentukan pola**, di **Buat pola filter**, masukkan yang berikut untuk **pola Filter**.

   ```
   { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
   ```

1. Dalam **pola Uji**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Tetapkan metrik**, untuk **nama Filter**, masukkan**ConsoleSignInFailures**.

1. Di **Detail metrik**, aktifkan **Buat baru**, lalu masukkan **CloudTrailMetrics** untuk **namespace Metrik**.

1. Untuk **nama Metrik**, ketik**ConsoleSigninFailureCount**.

1. Untuk **nilai Metrik**, ketik**1**.

1. Biarkan **nilai Default** kosong.

1. Pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, tinjau pilihan Anda. Pilih **Buat filter metrik** untuk membuat filter, atau pilih **Edit** untuk kembali dan mengubah nilai.

### Membuat alarm
<a name="cloudwatch-alarms-for-cloudtrail-signin-create-alarm"></a>

Setelah Anda membuat filter metrik, halaman detail grup CloudWatch log log log untuk grup log CloudTrail jejak Anda akan terbuka. Ikuti prosedur ini untuk membuat alarm.

1. Pada tab **Filter metrik**, temukan filter metrik yang Anda buat[Buat filter metrik](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter). Isi kotak centang untuk filter metrik. Di bilah **Filter metrik**, pilih **Buat alarm**.

1. Pada halaman **Buat Alarm**, di **Tentukan metrik dan kondisi**, masukkan yang berikut ini.

   1. Untuk **Grafik**, garis diatur **3** berdasarkan pengaturan lain yang Anda buat saat membuat alarm.

   1. Untuk **nama Metrik**, pertahankan nama metrik saat ini,**ConsoleSigninFailureCount**.

   1. Untuk **Statistik**, pertahankan defaultnya,**Sum**.

   1. Untuk **Periode**, pertahankan default,**5 minutes**.

   1. Dalam **Kondisi**, untuk **tipe Threshold**, pilih **Static**.

   1. Untuk **Kapan pun *metric\$1name* ada**, pilih **Greater/Equal**.

   1. Untuk nilai ambang batas, masukkan**3**.

   1. Dalam **konfigurasi tambahan**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Konfigurasi tindakan**, untuk **Pemberitahuan**, pilih **Dalam alarm**, yang menunjukkan bahwa tindakan diambil ketika ambang batas 3 peristiwa perubahan dalam 5 menit dilintasi, dan **ConsoleSigninFailureCount**dalam keadaan alarm.

   1. Untuk **Mengirim pemberitahuan ke topik SNS berikut**, pilih **Buat topik baru**.

   1. Masukkan **ConsoleSignInFailures\$1CloudWatch\$1Alarms\$1Topic** sebagai nama untuk topik Amazon SNS baru.

   1. Di **titik akhir Email yang akan menerima notifikasi**, masukkan alamat email pengguna yang ingin Anda terima notifikasi jika alarm ini dinyalakan. Pisahkan alamat email dengan koma.

      Setiap penerima email akan menerima email yang meminta mereka untuk mengonfirmasi bahwa mereka ingin berlangganan topik Amazon SNS.

   1. Pilih **Buat topik**.

1. Untuk contoh ini, lewati jenis tindakan lainnya. Pilih **Berikutnya**.

1. Pada halaman **Tambahkan nama dan deskripsi**, masukkan nama ramah untuk alarm, dan deskripsi. Untuk contoh ini, masukkan **Console sign-in failures** nama, dan **Raises alarms if more than 3 console sign-in failures occur in 5 minutes** untuk deskripsi. Pilih **Berikutnya**.

1. Pada halaman **Pratinjau dan buat**, tinjau pilihan Anda. Pilih **Edit** untuk membuat perubahan, atau pilih **Buat alarm** untuk membuat alarm.

   Setelah Anda membuat alarm, CloudWatch buka halaman **Alarm**. Kolom **Tindakan** alarm menunjukkan **konfirmasi Tertunda** hingga semua penerima email pada topik SNS telah mengonfirmasi bahwa mereka ingin berlangganan notifikasi SNS.

## Contoh: Perubahan kebijakan IAM
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes"></a>

Ikuti prosedur ini untuk membuat CloudWatch alarm Amazon yang dipicu saat panggilan API dilakukan untuk mengubah kebijakan IAM.

### Buat filter metrik
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter"></a>

1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Pilih **Log** di panel navigasi.

1. Dalam daftar grup log, pilih grup log yang Anda buat untuk jejak Anda.

1. Pilih **Tindakan**, lalu pilih **Buat filter metrik**.

1. Pada halaman **Tentukan pola**, di **Buat pola filter**, masukkan yang berikut untuk **pola Filter**.

   ```
   {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
   ```

1. Dalam **pola Uji**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Tetapkan metrik**, untuk **nama Filter**, masukkan**IAMPolicyChanges**.

1. Di **Detail metrik**, aktifkan **Buat baru**, lalu masukkan **CloudTrailMetrics** untuk **namespace Metrik**.

1. Untuk **nama Metrik**, ketik**IAMPolicyEventCount**.

1. Untuk **nilai Metrik**, ketik**1**.

1. Biarkan **nilai Default** kosong.

1. Pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, tinjau pilihan Anda. Pilih **Buat filter metrik** untuk membuat filter, atau pilih **Edit** untuk kembali dan mengubah nilai.

### Membuat alarm
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-create-alarm"></a>

Setelah Anda membuat filter metrik, halaman detail grup CloudWatch log log log untuk grup log CloudTrail jejak Anda akan terbuka. Ikuti prosedur ini untuk membuat alarm.

1. Pada tab **Filter metrik**, temukan filter metrik yang Anda buat[Buat filter metrik](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter). Isi kotak centang untuk filter metrik. Di bilah **Filter metrik**, pilih **Buat alarm**.

1. Pada halaman **Buat Alarm**, di **Tentukan metrik dan kondisi**, masukkan yang berikut ini.

   1. Untuk **Grafik**, garis diatur **1** berdasarkan pengaturan lain yang Anda buat saat membuat alarm.

   1. Untuk **nama Metrik**, pertahankan nama metrik saat ini,**IAMPolicyEventCount**.

   1. Untuk **Statistik**, pertahankan defaultnya,**Sum**.

   1. Untuk **Periode**, pertahankan default,**5 minutes**.

   1. Dalam **Kondisi**, untuk **tipe Threshold**, pilih **Static**.

   1. Untuk **Kapan pun *metric\$1name* ada**, pilih **Greater/Equal**.

   1. Untuk nilai ambang batas, masukkan**1**.

   1. Dalam **konfigurasi tambahan**, biarkan default. Pilih **Berikutnya**.

1. Pada halaman **Konfigurasi tindakan**, untuk **Pemberitahuan**, pilih **Dalam alarm**, yang menunjukkan bahwa tindakan diambil ketika ambang batas 1 peristiwa perubahan dalam 5 menit dilintasi, dan **IAMPolicyEventCount**dalam keadaan alarm.

   1. Untuk **Mengirim pemberitahuan ke topik SNS berikut**, pilih **Buat topik baru**.

   1. Masukkan **IAM\$1Policy\$1Changes\$1CloudWatch\$1Alarms\$1Topic** sebagai nama untuk topik Amazon SNS baru.

   1. Di **titik akhir Email yang akan menerima notifikasi**, masukkan alamat email pengguna yang ingin Anda terima notifikasi jika alarm ini dinyalakan. Pisahkan alamat email dengan koma.

      Setiap penerima email akan menerima email yang meminta mereka untuk mengonfirmasi bahwa mereka ingin berlangganan topik Amazon SNS.

   1. Pilih **Buat topik**.

1. Untuk contoh ini, lewati jenis tindakan lainnya. Pilih **Berikutnya**.

1. Pada halaman **Tambahkan nama dan deskripsi**, masukkan nama ramah untuk alarm, dan deskripsi. Untuk contoh ini, masukkan **IAM Policy Changes** nama, dan **Raises alarms if IAM policy changes occur** untuk deskripsi. Pilih **Berikutnya**.

1. Pada halaman **Pratinjau dan buat**, tinjau pilihan Anda. Pilih **Edit** untuk membuat perubahan, atau pilih **Buat alarm** untuk membuat alarm.

   Setelah Anda membuat alarm, CloudWatch buka halaman **Alarm**. Kolom **Tindakan** alarm menunjukkan **konfirmasi Tertunda** hingga semua penerima email pada topik SNS telah mengonfirmasi bahwa mereka ingin berlangganan notifikasi SNS.

## Mengkonfigurasi notifikasi untuk alarm CloudWatch Log
<a name="cloudtrail-configure-notifications-for-cloudwatch-logs-alarms"></a>

Anda dapat mengonfigurasi CloudWatch Log untuk mengirim pemberitahuan setiap kali alarm dipicu CloudTrail. Melakukannya memungkinkan Anda merespons dengan cepat peristiwa operasional penting yang ditangkap dalam CloudTrail peristiwa dan terdeteksi oleh CloudWatch Log. CloudWatch menggunakan Amazon Simple Notification Service (SNS) untuk mengirim email. Untuk informasi selengkapnya, lihat [Menyiapkan notifikasi Amazon SNS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS) di *CloudWatch Panduan Pengguna*.

# Berhenti CloudTrail dari mengirim acara ke CloudWatch Log
<a name="stop-cloudtrail-from-sending-events-to-cloudwatch-logs"></a>

Anda dapat menghentikan pengiriman AWS CloudTrail peristiwa ke Amazon CloudWatch Logs dengan memperbarui jejak untuk menonaktifkan pengaturan CloudWatch Log.

## Berhenti mengirim acara ke CloudWatch Log (konsol)
<a name="stop-cloudtrail-from-sending-events-to-cloudwatch-logs-console"></a>



**Untuk berhenti mengirim CloudTrail acara ke CloudWatch Log**

1. Masuk ke Konsol Manajemen AWS dan buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Di panel navigasi, pilih **Jejak**.

1. Pilih nama jejak yang ingin Anda nonaktifkan integrasi CloudWatch Log.

1. Di **CloudWatch Log**, pilih **Edit**.

1. Hapus kotak centang **Diaktifkan**.

1. Pilih **Simpan perubahan**.

## Berhenti mengirim acara ke CloudWatch Log (CLI)
<a name="stop-cloudtrail-from-sending-events-to-cloudwatch-logs-cli"></a>

Anda dapat menghapus grup CloudWatch log Log sebagai titik akhir pengiriman dengan menjalankan [**update-trail**](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md)perintah. Perintah berikut menghapus grup log dan peran dari konfigurasi jejak dengan mengganti nilai untuk ARN grup log CloudWatch dan peran Log ARN dengan nilai kosong.

```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn="" --cloud-watch-logs-role-arn=""
```

# CloudWatch grup log dan penamaan aliran log untuk CloudTrail
<a name="cloudwatch-log-group-log-stream-naming-for-cloudtrail"></a>

Amazon CloudWatch akan menampilkan grup log yang Anda buat untuk CloudTrail acara bersama grup log lain yang Anda miliki di Wilayah. Kami menyarankan Anda menggunakan nama grup log yang membantu Anda dengan mudah membedakan grup log dari yang lain. Misalnya, **CloudTrail/logs**.

Ikuti panduan ini saat memberi nama grup log:
+ Nama grup log harus unik di dalam Wilayah untuk Akun AWS.
+ Nama grup log dapat berisi antara 1 dan 512 karakter.
+ Nama grup log terdiri dari karakter berikut: a-z, A-Z, 0-9, '\$1' (garis bawah), '-' (tanda hubung), '/' (garis miring), '.' (periode), dan '\$1' (tanda angka).

Saat CloudTrail membuat aliran log untuk grup log, itu memberi nama aliran log sesuai dengan format berikut: *account\$1ID* \$1 CloudTrail \$1*trail\$1region*.

**catatan**  
Jika volume CloudTrail log besar, beberapa aliran log dapat dibuat untuk mengirimkan data log ke grup log Anda. Ketika ada beberapa aliran log, beri CloudTrail nama setiap aliran log sesuai dengan format berikut: *account\$1ID* \$1 \$1 CloudTrail *trail\$1region* \$1*number*.

Untuk informasi selengkapnya tentang grup CloudWatch log, lihat [Bekerja dengan grup log dan aliran log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) di *Panduan Pengguna Amazon CloudWatch Logs* dan [CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)di *Referensi API Amazon CloudWatch Logs*.

# Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan
<a name="cloudtrail-required-policy-for-cloudwatch-logs"></a>

Bagian ini menjelaskan kebijakan izin yang diperlukan untuk CloudTrail peran untuk mengirim peristiwa log ke CloudWatch Log. Anda dapat melampirkan dokumen kebijakan ke peran saat mengonfigurasi CloudTrail untuk mengirim peristiwa, seperti yang dijelaskan dalam[Mengirim acara ke CloudWatch Log](send-cloudtrail-events-to-cloudwatch-logs.md). Anda juga dapat membuat peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Membuat peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) atau [Membuat peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-cli) ().AWS CLI

Contoh dokumen kebijakan berikut berisi izin yang diperlukan untuk membuat aliran CloudWatch log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut di Wilayah AS Timur (Ohio). (Ini adalah kebijakan default untuk peran IAM default`CloudTrail_CloudWatchLogs_Role`.)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream2014110",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        }
    ]
}
```

------

Jika Anda membuat kebijakan yang mungkin digunakan untuk jejak organisasi juga, Anda harus memodifikasinya dari kebijakan default yang dibuat untuk peran tersebut. Misalnya, kebijakan berikut memberikan CloudTrail izin yang diperlukan untuk membuat aliran log Log di grup CloudWatch log yang Anda tentukan sebagai nilainya*log\$1group\$1name*, dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut untuk kedua jejak di AWS akun 11111111111111 dan untuk jejak organisasi yang dibuat di akun 11111111111111 yang diterapkan ke organisasi dengan ID: AWS Organizations *o-exampleorgid*

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}
```

------

Untuk informasi selengkapnya tentang jalur organisasi, lihat[Membuat jejak untuk sebuah organisasi](creating-trail-organization.md).