Buat penyimpanan data acara untuk CloudTrail acara dengan konsol

Masuk ke AWS Management Console dan buka CloudTrail konsol di https://console.aws.amazon.com/cloudtrail/.

Dari panel navigasi, di bawah Danau, pilih Penyimpanan data acara.

Pilih Buat penyimpanan data acara.

Pada halaman Configure event data store, di Rincian umum, masukkan nama untuk penyimpanan data acara. Diperlukan nama.

Pilih opsi Harga yang ingin Anda gunakan untuk penyimpanan data acara Anda. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan acara, serta periode retensi default dan maksimum untuk penyimpanan data acara Anda. Untuk informasi lebih lanjut, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Berikut ini adalah opsi yang tersedia:

Tentukan periode retensi untuk penyimpanan data acara. Periode retensi dapat antara 7 hari dan 3.653 hari (sekitar 10 tahun) untuk opsi harga retensi yang dapat diperpanjang satu tahun, atau antara 7 hari dan 2.557 hari (sekitar tujuh tahun) untuk opsi harga retensi tujuh tahun.

CloudTrail Lake menentukan apakah akan mempertahankan suatu peristiwa dengan memeriksa apakah acara tersebut berada dalam periode retensi yang ditentukan. eventTime Misalnya, jika Anda menentukan periode retensi 90 hari, CloudTrail akan menghapus peristiwa ketika mereka eventTime lebih tua dari 90 hari.

(Opsional) Untuk mengaktifkan enkripsi menggunakan AWS Key Management Service, pilih Gunakan milik saya sendiri AWS KMS key. Pilih Baru untuk AWS KMS key membuat untuk Anda, atau pilih yang ada untuk menggunakan kunci KMS yang ada. Di Masukkan alias KMS, tentukan alias, dalam format. alias/ MyAliasName Menggunakan kunci KMS Anda sendiri mengharuskan Anda mengedit kebijakan kunci KMS Anda untuk memungkinkan penyimpanan data acara Anda dienkripsi dan didekripsi. Untuk informasi lebih lanjut, lihatKonfigurasikan kebijakan AWS KMS utama untuk CloudTrail. CloudTrail juga mendukung kunci AWS KMS Multi-wilayah. Untuk informasi selengkapnya tentang kunci Multi-region, lihat Menggunakan kunci Multi-region di Panduan AWS Key Management Service Pengembang.

Menggunakan kunci KMS Anda sendiri menimbulkan AWS KMS biaya untuk enkripsi dan dekripsi. Setelah Anda mengaitkan penyimpanan data peristiwa dengan kunci KMS, kunci KMS ini tidak dapat dihapus atau diubah.

(Opsional) Jika Anda ingin melakukan kueri terhadap data peristiwa menggunakan Amazon Athena, pilih Aktifkan di federasi kueri Danau. Federation memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog AWS Glue Data dan menjalankan kueri SQL terhadap data peristiwa di Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri. Untuk informasi selengkapnya, lihat Gabungkan penyimpanan data peristiwa.

Untuk mengaktifkan federasi kueri Lake, pilih Aktifkan dan lakukan hal berikut:

1. Pilih apakah Anda ingin membuat peran baru atau menggunakan peran IAM yang sudah ada. AWS Lake Formationmenggunakan peran ini untuk mengelola izin untuk penyimpanan data acara federasi. Saat Anda membuat peran baru menggunakan CloudTrail konsol, CloudTrail secara otomatis membuat peran dengan izin yang diperlukan. Jika Anda memilih peran yang ada, pastikan kebijakan untuk peran tersebut memberikan izin minimum yang diperlukan.

2. Jika Anda membuat peran baru, masukkan nama untuk mengidentifikasi peran tersebut.

3. Jika Anda menggunakan peran yang ada, pilih peran yang ingin Anda gunakan. Peran harus ada di akun Anda.

(Opsional) Pilih Aktifkan kebijakan sumber daya untuk menambahkan kebijakan berbasis sumber daya ke penyimpanan data acara Anda. Kebijakan berbasis sumber daya memungkinkan Anda mengontrol principal mana yang dapat melakukan tindakan pada penyimpanan data peristiwa Anda. Misalnya, Anda dapat menambahkan kebijakan berbasis sumber daya yang memungkinkan pengguna root di akun lain untuk menanyakan penyimpanan data peristiwa ini dan melihat hasil kueri. Untuk kebijakan-kebijakan contoh, lihat Contoh kebijakan berbasis sumber daya untuk penyimpanan data acara.

Kebijakan berbasis sumber daya mencakup satu pernyataan atau lebih. Setiap pernyataan dalam kebijakan mendefinisikan prinsipal yang diizinkan atau ditolak akses ke penyimpanan data peristiwa dan tindakan yang dapat dilakukan oleh prinsipal pada sumber daya penyimpanan data acara.

Tindakan berikut didukung dalam kebijakan berbasis sumber daya untuk penyimpanan data peristiwa:

Untuk penyimpanan data peristiwa organisasi, CloudTrail buat kebijakan berbasis sumber daya default yang mencantumkan tindakan yang diizinkan dilakukan oleh akun administrator yang didelegasikan pada penyimpanan data peristiwa organisasi. Izin dalam kebijakan ini berasal dari izin administrator yang didelegasikan di. AWS Organizations Kebijakan ini diperbarui secara otomatis setelah perubahan pada penyimpanan data peristiwa organisasi atau organisasi (misalnya, akun administrator yang CloudTrail didelegasikan terdaftar atau dihapus).

(Opsional) Di bagian Tag, Anda dapat menambahkan hingga 50 pasangan kunci tag untuk membantu Anda mengidentifikasi, mengurutkan, dan mengontrol akses ke penyimpanan data acara Anda. Untuk informasi selengkapnya tentang cara menggunakan kebijakan IAM untuk mengotorisasi akses ke penyimpanan data peristiwa berdasarkan tag, lihat. Contoh: Menolak akses untuk membuat atau menghapus penyimpanan data acara berdasarkan tag Untuk informasi selengkapnya tentang cara menggunakan tag AWS, lihat Menandai AWS sumber daya di Panduan Pengguna AWS Sumber Daya Penandaan.

Pilih Berikutnya untuk mengonfigurasi penyimpanan data acara.

Pada halaman Pilih acara, pilih AWS acara, lalu pilih CloudTrailacara.

Untuk CloudTrail acara, pilih setidaknya satu jenis acara. Secara default, acara Manajemen dipilih. Anda dapat menambahkan peristiwa manajemen, peristiwa data, dan peristiwa aktivitas jaringan ke penyimpanan data acara Anda.

(Opsional) Pilih Salin peristiwa jejak jika Anda ingin menyalin peristiwa dari jejak yang ada untuk menjalankan kueri pada peristiwa sebelumnya. Untuk menyalin peristiwa jejak ke penyimpanan data acara organisasi, Anda harus menggunakan akun manajemen untuk organisasi. Akun administrator yang didelegasikan tidak dapat menyalin peristiwa jejak ke penyimpanan data acara organisasi. Untuk informasi selengkapnya tentang pertimbangan untuk menyalin peristiwa jejak, lihat. Pertimbangan untuk menyalin acara jejak

Agar penyimpanan data acara Anda mengumpulkan acara dari semua akun di AWS Organizations organisasi, pilih Aktifkan untuk semua akun di organisasi saya. Anda harus masuk ke akun manajemen atau akun administrator yang didelegasikan agar organisasi dapat membuat penyimpanan data peristiwa yang mengumpulkan peristiwa untuk organisasi.

Perluas Pengaturan tambahan untuk memilih apakah Anda ingin penyimpanan data acara mengumpulkan acara untuk semua Wilayah AWS, atau hanya saat ini Wilayah AWS, dan pilih apakah penyimpanan data acara menyerap peristiwa. Secara default, penyimpanan data peristiwa Anda mengumpulkan peristiwa dari semua Wilayah di akun Anda dan akan menyerap peristiwa sejak dibuat.

1. Pilih Sertakan hanya wilayah saat ini di penyimpanan data acara saya untuk menyertakan hanya peristiwa yang dicatat di Wilayah saat ini. Jika Anda tidak memilih opsi ini, penyimpanan data acara Anda mencakup acara dari semua Wilayah.

2. Hapus pilihan acara Ingest jika Anda tidak ingin penyimpanan data acara mulai menelan peristiwa. Misalnya, Anda mungkin ingin membatalkan pilihan acara Ingest, jika Anda menyalin peristiwa jejak dan tidak ingin penyimpanan data acara menyertakan peristiwa masa depan. Secara default, penyimpanan data acara mulai menelan peristiwa saat dibuat.

Jika penyimpanan data acara Anda menyertakan acara manajemen, Anda dapat memilih dari opsi berikut. Untuk informasi selengkapnya tentang acara manajemen, lihatAcara manajemen pencatatan.

1. Pilih antara koleksi acara Simple atau Advanced event collection:

   • Pilih Pengumpulan peristiwa sederhana jika Anda ingin mencatat semua peristiwa, mencatat hanya peristiwa baca, atau mencatat hanya peristiwa tulis. Anda dapat memilih juga untuk mengecualikan AWS Key Management Service dan peristiwa Amazon RDS Data API.

   • Pilih Pengumpulan peristiwa lanjutan jika Anda ingin menyertakan atau mengecualikan peristiwa manajemen berdasarkan nilai bidang pemilih peristiwa lanjutan, termasuk bidang eventName, eventType, eventSource, sessionCredentialFromConsole, dan userIdentity.arn.

2. Jika Anda memilih koleksi acara sederhana, pilih apakah Anda ingin mencatat semua peristiwa, hanya mencatat peristiwa yang dibaca, atau hanya mencatat peristiwa tulis. Anda juga dapat memilih untuk mengecualikan AWS KMS dan peristiwa Amazon RDS Data API.

3. Jika Anda memilih koleksi acara lanjutan, buat pilihan berikut:

   1. Di template pemilih Log, pilih templat yang telah ditentukan sebelumnya, atau Kustom untuk membuat konfigurasi kustom berdasarkan nilai bidang pemilih peristiwa lanjutan.

      Anda dapat memilih dari templat yang telah ditentukan berikut:

      • Catat semua peristiwa – Pilih templat ini untuk mencatat semua peristiwa.

      • Catat hanya peristiwa baca – Pilih templat ini untuk mencatat hanya peristiwa baca. Peristiwa hanya-baca adalah peristiwa yang tidak mengubah keadaan sumber daya, seperti peristiwa Get* atau Describe*.

      • Catat hanya peristiwa tulis – Pilih templat ini untuk mencatat hanya peristiwa tulis. Peristiwa Tulis akan menambahkan, mengubah, atau menghapus sumber daya, atribut, atau artefak, seperti peristiwa Put*, Delete*, atau Write*.

      • Log hanya AWS Management Console peristiwa - Pilih template ini untuk log hanya peristiwa yang berasal dari. AWS Management Console

      • Kecualikan peristiwa Layanan AWS yang dimulai - Pilih templat ini untuk mengecualikan Layanan AWS peristiwa, yang memiliki eventType ofAwsServiceEvent, dan peristiwa yang dimulai dengan peran Layanan AWS-linked (). SLRs

   2. (Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih acara lanjutan, seperti “Acara manajemen log dari AWS Management Console sesi”. Nama pemilih tercantum sebagai Name dalam pemilih peristiwa lanjutan dan dapat dilihat jika Anda meluaskan Tampilan JSON.

   3. Jika Anda memilih Kustom, di Penyeleksi acara lanjutan membangun ekspresi berdasarkan nilai bidang pemilih acara lanjutan.

      catatan

      Selector tidak mendukung penggunaan wildcard seperti. * Untuk mencocokkan beberapa nilai dengan satu kondisi, Anda dapat menggunakanStartsWith,EndsWith,NotStartsWith, atau NotEndsWith untuk secara eksplisit mencocokkan awal atau akhir bidang acara.

      1. Pilih dari bidang berikut.

         • readOnly – readOnly dapat diatur ke sama dengan nilai true atau false. Ketika diatur ke false, penyimpanan data peristiwa akan mencatat peristiwa manajemen Hanya Tulis. Peristiwa manajemen hanya baca adalah peristiwa yang tidak mengubah keadaan sumber daya, seperti peristiwa Get* atau Describe*. Peristiwa Tulis akan menambahkan, mengubah, atau menghapus sumber daya, atribut, atau artefak, seperti peristiwa Put*, Delete*, atau Write*. Untuk mencatat log peristiwa Read (Baca) dan Write (Tulis), jangan tambahkan pemilih readOnly.

         • eventName – eventName dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa manajemen apa pun, seperti CreateAccessPoint atau GetAccessPoint.

         • userIdentity.arn – Sertakan atau kecualikan peristiwa untuk tindakan yang diambil oleh identitas IAM tertentu. Untuk informasi selengkapnya, lihat elemen CloudTrail UserIdentity.

         • sessionCredentialFromConsole— Sertakan atau kecualikan acara yang berasal dari AWS Management Console sesi. Bidang ini dapat diatur menjadi sama dengan atau tidak sama dengan nilai true.

         • eventSource – Anda dapat menggunakannya untuk menyertakan atau mengecualikan sumber peristiwa tertentu. Biasanya eventSource merupakan bentuk pendek dari nama layanan tanpa spasi plus.amazonaws.com. Misalnya, Anda dapat eventSource menyetel sama dengan ec2.amazonaws.com untuk hanya mencatat peristiwa EC2 manajemen Amazon.

         • eventType- EventType untuk menyertakan atau mengecualikan. Misalnya, Anda dapat mengatur bidang ini menjadi tidak sama dengan AwsServiceEvent untuk mengecualikan peristiwa Layanan AWS.

      2. Untuk setiap bidang, pilih + Syarat untuk menambahkan syarat sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua syarat.

         Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.

         catatan

         Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti. eventName Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.

      3. Pilih + Field (+ Bidang) untuk menambahkan bidang lain sesuai kebutuhan. Untuk menghindari kesalahan, jangan menetapkan nilai yang bertentangan atau duplikat untuk bidang.

   4. Secara opsional, perluas tampilan JSON untuk melihat pemilih acara lanjutan Anda sebagai blok JSON.

4. Pilih Aktifkan tangkapan peristiwa Wawasan untuk mengaktifkan Wawasan. Untuk mengaktifkan Wawasan, Anda perlu menyiapkan penyimpanan data acara tujuan untuk mengumpulkan peristiwa Wawasan berdasarkan aktivitas acara manajemen di penyimpanan data acara ini.

   Jika Anda memilih untuk mengaktifkan Wawasan, lakukan hal berikut.

   1. Pilih toko acara tujuan yang akan mencatat peristiwa Wawasan. Penyimpanan data acara tujuan akan mengumpulkan peristiwa Wawasan berdasarkan aktivitas acara manajemen di penyimpanan data acara ini. Untuk informasi tentang cara membuat penyimpanan data acara tujuan, lihatUntuk membuat penyimpanan data acara tujuan yang mencatat peristiwa Wawasan.

   2. Pilih jenis Wawasan. Anda dapat memilih API call rate, API error rate, atau keduanya. Anda harus mencatat peristiwa manajemen Tulis untuk mencatat peristiwa Insights untuk tingkat panggilan API. Anda harus mencatat peristiwa manajemen Baca atau Tulis untuk mencatat peristiwa Wawasan untuk tingkat kesalahan API.

Untuk menyertakan peristiwa data di penyimpanan data acara Anda, lakukan hal berikut.

1. Pilih jenis sumber daya. Ini adalah Layanan AWS dan sumber daya di mana peristiwa data dicatat.

2. Di template pemilih Log, pilih templat yang telah ditentukan sebelumnya, atau pilih Kustom untuk menentukan kondisi pengumpulan acara Anda sendiri berdasarkan nilai bidang pemilih acara lanjutan.

   Anda dapat memilih dari templat yang telah ditentukan berikut:

   • Catat semua peristiwa – Pilih templat ini untuk mencatat semua peristiwa.

   • Catat hanya peristiwa baca – Pilih templat ini untuk mencatat hanya peristiwa baca. Peristiwa hanya-baca adalah peristiwa yang tidak mengubah keadaan sumber daya, seperti peristiwa Get* atau Describe*.

   • Catat hanya peristiwa tulis – Pilih templat ini untuk mencatat hanya peristiwa tulis. Peristiwa Tulis akan menambahkan, mengubah, atau menghapus sumber daya, atribut, atau artefak, seperti peristiwa Put*, Delete*, atau Write*.

   • Log hanya AWS Management Console peristiwa - Pilih template ini untuk log hanya peristiwa yang berasal dari. AWS Management Console

   • Kecualikan peristiwa Layanan AWS yang dimulai - Pilih templat ini untuk mengecualikan Layanan AWS peristiwa, yang memiliki eventType ofAwsServiceEvent, dan peristiwa yang dimulai dengan peran Layanan AWS-linked (). SLRs

3. (Opsional) Dalam nama Selector, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih peristiwa lanjutan, seperti “Catat peristiwa data hanya untuk dua bucket S3". Nama pemilih tercantum sebagai Name dalam pemilih peristiwa lanjutan dan dapat dilihat jika Anda meluaskan Tampilan JSON.

4. Jika Anda memilih Kustom, di Penyeleksi acara lanjutan membangun ekspresi berdasarkan nilai bidang pemilih peristiwa lanjutan.

   catatan

   Selector tidak mendukung penggunaan wildcard seperti. * Untuk mencocokkan beberapa nilai dengan satu kondisi, Anda dapat menggunakanStartsWith,EndsWith,NotStartsWith, atau NotEndsWith untuk secara eksplisit mencocokkan awal atau akhir bidang acara.

   1. Pilih dari bidang berikut.

      • readOnly - readOnly dapat diatur ke sama dengan nilai true atau false. Peristiwa data hanya-baca adalah peristiwa yang tidak mengubah keadaan sumber daya, seperti peristiwa Get* atau Describe*. Peristiwa Tulis akan menambahkan, mengubah, atau menghapus sumber daya, atribut, atau artefak, seperti peristiwa Put*, Delete*, atau Write*. Untuk mencatat keduanya read dan write peristiwa, jangan tambahkan readOnly pemilih.

      • eventName - eventName dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk menyertakan atau mengecualikan peristiwa data apa pun yang dicatat CloudTrail, sepertiPutBucket,GetItem, atauGetSnapshotBlock.

      • eventSource— Sumber acara untuk menyertakan atau mengecualikan. Bidang ini dapat menggunakan operator apa pun.

      • eventType – Jenis peristiwa yang harus disertakan atau dikecualikan. Misalnya, Anda dapat mengatur bidang ini ke tidak sama dengan AwsServiceEvent untuk dikecualikanLayanan AWS acara. Untuk daftar jenis acara, lihat eventTypediCloudTrail merekam konten untuk acara manajemen, data, dan aktivitas jaringan.

      • sessionCredentialFromKonsol — Sertakan atau kecualikan acara yang berasal dari AWS Management Console sesi. Bidang ini dapat diatur menjadi sama dengan atau tidak sama dengan nilai true.

      • userIdentity.arn – Sertakan atau kecualikan peristiwa untuk tindakan yang diambil oleh identitas IAM tertentu. Untuk informasi selengkapnya, lihat elemen CloudTrail UserIdentity.

      • resources.ARN - Anda dapat menggunakan operator apa pun dengan resources.ARN, tetapi jika Anda menggunakan sama dengan atau tidak sama dengan, nilainya harus sama persis dengan ARN sumber daya yang valid dari jenis yang telah Anda tentukan dalam templat sebagai nilai resources.type.

        catatan

        Anda tidak dapat menggunakan resources.ARN bidang untuk memfilter jenis sumber daya yang tidak dimiliki ARNs.

        Untuk informasi selengkapnya tentang format ARN sumber daya peristiwa data, lihat Kunci tindakan, sumber daya, dan kondisi Layanan AWS di Referensi Otorisasi Layanan.

   2. Untuk setiap bidang, pilih + Syarat untuk menambahkan syarat sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua syarat. Misalnya, untuk mengecualikan peristiwa data untuk dua bucket S3 dari peristiwa data yang dicatat di penyimpanan data acara, Anda dapat menyetel bidang ke Resources.arn, mengatur operator untuk tidak memulai, lalu menempelkan ARN bucket S3 yang tidak ingin Anda catat peristiwa.

      Untuk menambahkan bucket S3 kedua, pilih + Condition, lalu ulangi instruksi sebelumnya, tempelkan di ARN untuk atau jelajahi bucket yang berbeda.

      Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihatBagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang.

      catatan

      Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti. eventName Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.

   3. Pilih + Field (+ Bidang) untuk menambahkan bidang lain sesuai kebutuhan. Untuk menghindari kesalahan, jangan menetapkan nilai yang bertentangan atau duplikat untuk bidang. Misalnya, jangan menentukan ARN dalam satu pemilih yang sama dengan sebuah nilai, kemudian menentukan bahwa ARN ini tidak sama dengan nilai yang sama dalam pemilih lain.

5. Secara opsional, perluas tampilan JSON untuk melihat pemilih acara lanjutan Anda sebagai blok JSON.

6. Untuk menambahkan jenis sumber daya lain untuk mencatat peristiwa data, pilih Tambahkan tipe peristiwa data. Ulangi langkah a melalui langkah ini untuk mengonfigurasi pemilih acara lanjutan untuk jenis sumber daya.

Untuk menyertakan peristiwa aktivitas jaringan di penyimpanan data acara Anda, lakukan hal berikut.

1. Dari sumber peristiwa aktivitas jaringan, pilih sumber untuk peristiwa aktivitas jaringan.

2. Di template pemilih Log, pilih templat. Anda dapat memilih untuk mencatat semua peristiwa aktivitas jaringan, mencatat semua peristiwa yang ditolak akses aktivitas jaringan, atau memilih Kustom untuk membuat pemilih log kustom untuk memfilter pada beberapa bidang, seperti eventName danvpcEndpointId.

3. (Opsional) Masukkan nama untuk mengidentifikasi pemilih. Nama pemilih terdaftar sebagai Nama di pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan JSON.

4. Di Penyeleksi acara lanjutan membangun ekspresi dengan memilih nilai untuk Bidang, Operator, dan Nilai. Anda dapat melewati langkah ini jika Anda menggunakan template log yang telah ditentukan.

   1. Untuk mengecualikan atau menyertakan peristiwa aktivitas jaringan, Anda dapat memilih dari bidang berikut di konsol.

      • eventName— Anda dapat menggunakan operator apa pun denganeventName. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara apa pun, sepertiCreateKey.

      • errorCode— Anda dapat menggunakannya untuk memfilter kode kesalahan. Saat ini, satu-satunya yang didukung errorCode adalahVpceAccessDenied.

      • vpcEndpointId— Mengidentifikasi titik akhir VPC yang dilewati operasi. Anda dapat menggunakan operator apa pun dengan vpcEndpointId.

   2. Untuk setiap bidang, pilih + Syarat untuk menambahkan syarat sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua syarat.

   3. Pilih + Field (+ Bidang) untuk menambahkan bidang lain sesuai kebutuhan. Untuk menghindari kesalahan, jangan menetapkan nilai yang bertentangan atau duplikat untuk bidang.

5. Untuk menambahkan sumber peristiwa lain yang ingin Anda log peristiwa aktivitas jaringan, pilih Tambahkan pemilih peristiwa aktivitas jaringan.

6. Secara opsional, perluas tampilan JSON untuk melihat pemilih acara lanjutan Anda sebagai blok JSON.

Untuk menyalin peristiwa jejak yang ada ke penyimpanan data acara Anda, lakukan hal berikut.

1. Pilih jejak yang ingin Anda salin. Secara default, CloudTrail hanya menyalin CloudTrail peristiwa yang terdapat dalam awalan bucket S3 dan CloudTrail awalan di dalam awalan, dan tidak memeriksa CloudTrail awalan untuk layanan lain. AWS Jika Anda ingin menyalin CloudTrail peristiwa yang terdapat dalam awalan lain, pilih Masukkan URI S3, lalu pilih Browse S3 untuk menelusuri awalan. Jika bucket S3 sumber untuk jejak menggunakan kunci KMS untuk enkripsi data, pastikan kebijakan kunci KMS memungkinkan CloudTrail untuk mendekripsi data. Jika bucket S3 sumber Anda menggunakan beberapa kunci KMS, Anda harus memperbarui kebijakan setiap kunci agar memungkinkan CloudTrail untuk mendekripsi data dalam bucket. Untuk informasi selengkapnya tentang memperbarui kebijakan kunci KMS, lihatKebijakan kunci KMS untuk mendekripsi data di bucket S3 sumber.

2. Pilih rentang waktu untuk menyalin acara. CloudTrail memeriksa awalan dan nama file log untuk memverifikasi nama berisi tanggal antara tanggal mulai dan akhir yang dipilih sebelum mencoba menyalin peristiwa jejak. Anda dapat memilih rentang Relatif atau rentang Absolut. Untuk menghindari duplikasi peristiwa antara jejak sumber dan penyimpanan data peristiwa tujuan, pilih rentang waktu yang lebih awal dari pembuatan penyimpanan data acara.

   catatan

   CloudTrail hanya menyalin peristiwa jejak yang eventTime memiliki periode retensi penyimpanan data acara. Misalnya, jika periode penyimpanan data acara adalah 90 hari, maka tidak CloudTrail akan menyalin peristiwa jejak apa pun dengan eventTime lebih dari 90 hari.

   • Jika Anda memilih Rentang relatif, Anda dapat memilih untuk menyalin peristiwa yang dicatat dalam 6 bulan terakhir, 1 tahun, 2 tahun, 7 tahun, atau rentang khusus. CloudTrail menyalin peristiwa yang dicatat dalam periode waktu yang dipilih.

   • Jika Anda memilih Rentang absolut, Anda dapat memilih tanggal mulai dan berakhir tertentu. CloudTrail menyalin peristiwa yang terjadi antara tanggal mulai dan akhir yang dipilih.

3. Untuk Izin, pilih dari opsi peran IAM berikut. Jika Anda memilih peran IAM yang ada, verifikasi bahwa kebijakan peran IAM menyediakan izin yang diperlukan. Untuk informasi selengkapnya tentang memperbarui izin peran IAM, lihat. Izin IAM untuk menyalin peristiwa jejak

   • Pilih Buat peran baru (disarankan) untuk membuat peran IAM baru. Untuk Masukkan nama peran IAM, masukkan nama untuk peran tersebut. CloudTrail secara otomatis membuat izin yang diperlukan untuk peran baru ini.

   • Pilih Gunakan ARN peran IAM khusus untuk menggunakan peran IAM kustom yang tidak terdaftar. Untuk Masukkan peran IAM ARN, masukkan ARN IAM.

   • Pilih peran IAM yang ada dari daftar drop-down.

Pilih Berikutnya untuk memperkaya acara Anda dengan menambahkan kunci tag sumber daya dan kunci kondisi global IAM.

Dalam acara Enrich, tambahkan hingga 50 kunci tag sumber daya dan 50 kunci kondisi global IAM untuk memberikan metadata tambahan tentang acara Anda. Ini membantu Anda mengkategorikan dan mengelompokkan acara terkait.

Jika Anda menambahkan kunci tag sumber daya, CloudTrail akan menyertakan kunci tag yang dipilih yang terkait dengan sumber daya yang terlibat dalam panggilan API. Peristiwa API yang terkait dengan sumber daya yang dihapus tidak akan memiliki tanda sumber daya.

Jika Anda menambahkan kunci kondisi global IAM, CloudTrail akan menyertakan informasi tentang kunci kondisi yang dipilih yang dievaluasi selama proses otorisasi, termasuk rincian tambahan tentang prinsipal, sesi, jaringan, dan permintaan itu sendiri.

Informasi tentang kunci tag sumber daya dan kunci kondisi global IAM ditampilkan di eventContext bidang acara. Untuk informasi selengkapnya, lihat CloudTrail Perkaya peristiwa dengan menambahkan kunci tag sumber daya dan kunci kondisi global IAM.

Pilih Perluas ukuran acara untuk memperluas muatan acara hingga 1 MB dari 256 KB. Opsi ini diaktifkan secara otomatis saat Anda menambahkan kunci tag sumber daya atau kunci kondisi global IAM untuk memastikan semua kunci yang ditambahkan disertakan dalam acara tersebut.

Memperluas ukuran acara sangat membantu untuk menganalisis dan memecahkan masalah peristiwa karena memungkinkan Anda untuk melihat konten lengkap dari bidang berikut selama payload acara kurang dari 1 MB:

Untuk informasi selengkapnya tentang bidang ini, lihat CloudTrail merekam konten.

Pilih Berikutnya untuk meninjau pilihan Anda.

Pada halaman Tinjau dan buat, tinjau pilihan Anda. Pilih Edit untuk membuat perubahan pada suatu bagian. Saat Anda siap membuat penyimpanan data acara, pilih Buat penyimpanan data acara.

Penyimpanan data acara baru terlihat di tabel penyimpanan data acara pada halaman penyimpanan data acara.

Mulai saat ini, penyimpanan data acara menangkap peristiwa yang cocok dengan pemilih acara lanjutannya (jika Anda tetap memilih opsi acara Ingest). Peristiwa yang terjadi sebelum Anda membuat penyimpanan data acara tidak ada di penyimpanan data acara, kecuali Anda memilih untuk menyalin peristiwa jejak yang ada.