Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Membuat, memperbarui, dan mengelola jalur dengan AWS CLI
Anda dapat menggunakan AWS CLI untuk membuat, memperbarui, dan mengelola jejak Anda. Saat menggunakan AWS CLI, ingatlah bahwa perintah Anda berjalan di AWS Wilayah yang dikonfigurasi untuk profil Anda. Jika Anda ingin menjalankan perintah di Wilayah yang berbeda, ubah Wilayah default untuk profil Anda, atau gunakan parameter **--region** bersama perintah tersebut.
**catatan**
Anda memerlukan alat baris AWS perintah untuk menjalankan perintah AWS Command Line Interface (AWS CLI) dalam topik ini. Pastikan Anda memiliki versi terbaru dari yang AWS CLI diinstal. Untuk informasi selengkapnya, silakan lihat [Panduan Pengguna AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/). Untuk bantuan dengan CloudTrail perintah di baris AWS CLI perintah, ketik`aws cloudtrail help`.
## Perintah yang umum digunakan untuk pembuatan jejak, manajemen, dan status
Beberapa perintah yang lebih umum digunakan untuk membuat dan memperbarui jejak di CloudTrail antaranya:
+ **[create-trail](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md)**untuk membuat jejak.
+ **[update-trail](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md)**untuk mengubah konfigurasi jejak yang ada.
+ **[add-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-add-tag)**untuk menambahkan satu atau lebih tag (pasangan nilai kunci) ke jejak yang ada.
+ **[remove-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-remove-tag)**untuk menghapus satu atau lebih tag dari jejak.
+ **[list-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-list-tags)**untuk mengembalikan daftar tag yang terkait dengan jejak.
+ **[put-event-selectors](cloudtrail-additional-cli-commands.md#configuring-adv-event-selector-examples)**untuk menambah atau memodifikasi penyeleksi acara untuk jejak.
+ **[put-insight-selectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html)**untuk menambahkan atau memodifikasi pemilih acara Insights untuk jejak yang ada, dan mengaktifkan atau menonaktifkan peristiwa Wawasan.
+ **[start-logging](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single-start-logging)**untuk memulai acara logging dengan jejak Anda.
+ **[stop-logging](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands)**untuk menjeda peristiwa pencatatan dengan jejak Anda.
+ **[delete-trail](cloudtrail-additional-cli-commands.md#cloudtrail-delete-trail-cli)**untuk menghapus jejak. Perintah ini tidak menghapus bucket Amazon S3 yang berisi file log untuk jejak itu, jika ada.
+ **[describe-trails](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)**untuk mengembalikan informasi tentang jalur di suatu AWS Wilayah.
+ **[get-trail](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)**untuk mengembalikan informasi pengaturan untuk jejak.
+ **[get-trail-status](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)**untuk mengembalikan informasi tentang status jejak saat ini.
+ **[get-event-selectors](cloudtrail-additional-cli-commands.md#configuring-adv-event-selector-examples)**untuk mengembalikan informasi tentang penyeleksi acara yang dikonfigurasi untuk jejak.
+ **[get-insight-selectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetInsightSelectors.html)**untuk mengembalikan informasi tentang pemilih acara Insights yang dikonfigurasi untuk jejak.
### Perintah yang didukung untuk membuat dan memperbarui jalur: create-trail dan update-trail
`update-trail`Perintah `create-trail` dan menawarkan berbagai fungsi untuk membuat dan mengelola jalur, termasuk:
+ Membuat jejak yang menerima log di seluruh Wilayah, atau memperbarui jejak dengan `--is-multi-region-trail` opsi. Dalam sebagian besar keadaan, Anda harus membuat jejak yang mencatat peristiwa di semua AWS Wilayah.
+ Membuat jejak yang menerima log untuk semua AWS akun di organisasi dengan **--is-organization-trail** opsi.
+ Mengonversi jejak Multi-wilayah ke jalur Single-region dengan opsi. `--no-is-multi-region-trail`
+ Mengaktifkan atau menonaktifkan enkripsi file log dengan opsi. `--kms-key-id` Opsi ini menentukan AWS KMS kunci yang sudah Anda buat dan yang telah Anda lampirkan kebijakan yang memungkinkan CloudTrail untuk mengenkripsi log Anda. Untuk informasi selengkapnya, lihat [Mengaktifkan dan menonaktifkan enkripsi untuk file CloudTrail log, mencerna file dan penyimpanan data peristiwa dengan AWS CLI](cloudtrail-log-file-encryption-cli.md).
+ Mengaktifkan atau menonaktifkan validasi file log dengan opsi dan. `--enable-log-file-validation` `--no-enable-log-file-validation` Untuk informasi selengkapnya, lihat [Memvalidasi CloudTrail integritas file log](cloudtrail-log-file-validation-intro.md).
+ Menentukan grup CloudWatch log Log dan peran sehingga CloudTrail dapat mengirimkan peristiwa ke grup CloudWatch log Log. Untuk informasi selengkapnya, lihat [Memantau File CloudTrail Log dengan CloudWatch Log Amazon](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).
### Perintah usang: create-subscription dan update-subscription
**penting**
`update-subscription`Perintah `create-subscription` dan digunakan untuk membuat dan memperbarui jejak, tetapi tidak digunakan lagi. Jangan gunakan perintah ini. Mereka tidak menyediakan fungsionalitas penuh untuk membuat dan mengelola jalur.
Jika Anda mengonfigurasi otomatisasi yang menggunakan salah satu atau kedua perintah ini, sebaiknya Anda memperbarui kode atau skrip untuk menggunakan perintah yang didukung seperti**create-trail**.
# Menggunakan `create-trail` perintah untuk membuat jejak
Anda dapat menjalankan `create-trail` perintah untuk membuat jejak yang secara khusus dikonfigurasi untuk memenuhi kebutuhan bisnis Anda. Saat menggunakan AWS CLI, ingatlah bahwa perintah Anda berjalan di AWS Wilayah yang dikonfigurasi untuk profil Anda. Jika Anda ingin menjalankan perintah di Wilayah yang berbeda, ubah Wilayah default untuk profil Anda, atau gunakan parameter **--region** bersama perintah tersebut.
## Membuat jejak Multi-wilayah
Jejak dapat diterapkan ke semua Wilayah AWS yang [diaktifkan](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) di Anda Akun AWS, atau dapat diterapkan ke satu Wilayah. Jejak yang berlaku untuk semua Wilayah AWS yang diaktifkan di Anda Akun AWS disebut sebagai *jalur Multi-wilayah*. Sebagai praktik terbaik, kami merekomendasikan untuk membuat jejak Multi-wilayah karena dapat menangkap aktivitas di semua Wilayah yang diaktifkan.
Untuk membuat jejak Multi-wilayah, gunakan `--is-multi-region-trail` opsi. Secara default, `create-trail` perintah membuat jejak yang mencatat peristiwa hanya di AWS Wilayah tempat jejak dibuat. Untuk memastikan bahwa Anda mencatat peristiwa layanan global dan menangkap semua aktivitas acara manajemen di AWS akun Anda, Anda harus membuat jejak yang mencatat peristiwa di semua AWS Wilayah.
**catatan**
Saat membuat jejak, jika Anda menentukan bucket Amazon S3 yang tidak dibuat CloudTrail, Anda harus melampirkan kebijakan yang sesuai. Lihat [Kebijakan bucket Amazon S3 untuk CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Contoh berikut membuat jejak Multi-wilayah dengan nama *my-trail* dan tag dengan kunci bernama *Group* dengan nilai yang mengirimkan log dari semua Wilayah *Marketing* yang diaktifkan di akun Anda ke bucket yang sudah ada bernama. *amzn-s3-demo-bucket*
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]
```
Untuk mengonfirmasi bahwa jejak Anda adalah jejak Multi-wilayah, verifikasi bahwa `IsMultiRegionTrail` elemen dalam output ditampilkan`true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
**catatan**
Gunakan `start-logging` perintah untuk mulai masuk ke jejak Anda.
## Mulai logging untuk jalan setapak
Setelah `create-trail` perintah selesai, jalankan `start-logging` perintah untuk mulai mencatat jejak itu.
**catatan**
Saat Anda membuat jejak dengan CloudTrail konsol, logging diaktifkan secara otomatis.
Contoh berikut mulai logging untuk jejak.
```
aws cloudtrail start-logging --name my-trail
```
Perintah ini tidak mengembalikan output, tetapi Anda dapat menggunakan `get-trail-status` perintah untuk memverifikasi bahwa logging telah dimulai.
```
aws cloudtrail get-trail-status --name my-trail
```
Untuk mengonfirmasi bahwa jejak sedang masuk, `IsLogging` elemen dalam output akan ditampilkan`true`.
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
## Membuat jejak Single-region
Perintah berikut membuat jejak Single-region. Bucket Amazon S3 yang ditentukan harus sudah ada dan CloudTrail izin yang sesuai diterapkan. Untuk informasi selengkapnya, lihat [Kebijakan bucket Amazon S3 untuk CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket
```
Berikut ini adalah output contoh.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## Membuat jejak Multi-wilayah yang mengaktifkan validasi file log
Untuk mengaktifkan validasi file log saat menggunakan`create-trail`, gunakan `--enable-log-file-validation` opsi.
Untuk informasi tentang validasi file log, lihat[Memvalidasi CloudTrail integritas file log](cloudtrail-log-file-validation-intro.md).
Contoh berikut membuat jejak Multi-wilayah yang mengirimkan log ke bucket yang ditentukan. Perintah menggunakan `--enable-log-file-validation` opsi.
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation
```
Untuk mengonfirmasi bahwa validasi file log diaktifkan, `LogFileValidationEnabled` elemen dalam output menunjukkan`true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": true,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
# Menggunakan `update-trail` perintah untuk memperbarui jejak
**penting**
Per 22 November 2021, AWS CloudTrail mengubah cara jejak menangkap peristiwa layanan global. Sekarang, peristiwa yang dibuat oleh Amazon CloudFront AWS Identity and Access Management,, dan AWS STS dicatat di Wilayah di mana mereka diciptakan, Wilayah AS Timur (Virginia N.), us-east-1. Hal ini membuat bagaimana CloudTrail memperlakukan layanan ini konsisten dengan layanan AWS global lainnya. *Untuk terus menerima acara layanan global di luar US East (Virginia N.), pastikan untuk mengubah *jalur Single-region* menggunakan acara layanan global di luar US East (Virginia N.) menjadi jalur Multi-wilayah.* Untuk informasi selengkapnya tentang menangkap peristiwa layanan global, lihat [Mengaktifkan dan menonaktifkan pencatatan peristiwa layanan global](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses) nanti di bagian ini.
Sebaliknya, **Riwayat acara** di CloudTrail konsol dan **aws cloudtrail lookup-events** perintah akan menampilkan peristiwa ini di Wilayah AWS tempat kejadian.
Anda dapat menggunakan `update-trail` perintah untuk mengubah pengaturan konfigurasi untuk jejak. Anda juga dapat menggunakan **remove-tags** perintah **add-tags** dan untuk menambah dan menghapus tag untuk jejak. Anda hanya dapat memperbarui jalur dari AWS Wilayah tempat jejak itu dibuat (Wilayah Asalnya). Saat menggunakan AWS CLI, ingatlah bahwa perintah Anda berjalan di AWS Wilayah yang dikonfigurasi untuk profil Anda. Jika Anda ingin menjalankan perintah di Wilayah yang berbeda, ubah Wilayah default untuk profil Anda, atau gunakan parameter **--region** bersama perintah tersebut.
Jika Anda telah mengaktifkan peristiwa CloudTrail manajemen di Amazon Security Lake, Anda diharuskan untuk mempertahankan setidaknya satu jejak organisasi yaitu Multi-wilayah dan mencatat keduanya `read` dan peristiwa `write` manajemen. Anda tidak dapat memperbarui jejak kualifikasi sedemikian rupa sehingga gagal memenuhi persyaratan Security Lake. Misalnya, dengan mengubah jejak ke wilayah Tunggal, atau dengan mematikan pencatatan `read` atau acara `write` pengelolaan.
**catatan**
Jika Anda menggunakan AWS CLI atau salah satu dari AWS SDKs mereka untuk memodifikasi jejak, pastikan bahwa kebijakan keranjang jejak tersebut up-to-date. Agar bucket Anda secara otomatis menerima peristiwa dari yang baru Wilayah AWS, kebijakan harus berisi nama layanan lengkap,`cloudtrail.amazonaws.com`. Untuk informasi selengkapnya, lihat [Kebijakan bucket Amazon S3 untuk CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
**Topics**
+ [Mengonversi jalur Single-region menjadi jalur Multi-region](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)
+ [Mengubah jejak Multi-wilayah menjadi jalur Single-region](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)
+ [Mengaktifkan dan menonaktifkan pencatatan peristiwa layanan global](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)
+ [Mengaktifkan validasi file log](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi)
+ [Menonaktifkan validasi file log](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi-disable)
## Mengonversi jalur Single-region menjadi jalur Multi-region
Untuk mengubah jejak wilayah Tunggal yang ada menjadi jejak Multi-wilayah, gunakan opsi ini`--is-multi-region-trail`.
```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```
Untuk mengonfirmasi bahwa jejak sekarang merupakan jejak Multi-wilayah, verifikasi bahwa `IsMultiRegionTrail` elemen dalam output ditampilkan`true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## Mengubah jejak Multi-wilayah menjadi jalur Single-region
Untuk mengubah jejak Multi-wilayah yang ada sehingga hanya berlaku untuk Wilayah di mana ia dibuat, gunakan `--no-is-multi-region-trail` opsi.
```
aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail
```
Untuk mengonfirmasi bahwa jejak sekarang berlaku untuk satu Wilayah, `IsMultiRegionTrail` elemen dalam output menunjukkan`false`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## Mengaktifkan dan menonaktifkan pencatatan peristiwa layanan global
Untuk mengubah jejak sehingga tidak mencatat peristiwa layanan global, gunakan `--no-include-global-service-events` opsi.
```
aws cloudtrail update-trail --name my-trail --no-include-global-service-events
```
Untuk mengonfirmasi bahwa jejak tidak lagi mencatat peristiwa layanan global, `IncludeGlobalServiceEvents` elemen dalam output akan ditampilkan`false`.
```
{
"IncludeGlobalServiceEvents": false,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Untuk mengubah jejak sehingga mencatat peristiwa layanan global, gunakan `--include-global-service-events` opsi.
Jalur Single-Region tidak akan lagi menerima acara layanan global mulai 22 November 2021, kecuali jejak tersebut sudah muncul di Wilayah AS Timur (Virginia N.), us-east-1. Untuk terus menangkap peristiwa layanan global, perbarui konfigurasi jejak ke jejak Multi-wilayah. Misalnya, perintah ini memperbarui jejak wilayah Tunggal di AS Timur (Ohio), us-east-2, menjadi jejak Multi-wilayah. Ganti *myExistingSingleRegionTrailWithGSE* dengan nama jejak yang sesuai untuk konfigurasi Anda.
```
aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail
```
Karena acara layanan global hanya tersedia di US East (Virginia N.) mulai 22 November 2021, Anda juga dapat membuat jalur Single-region untuk berlangganan acara layanan global di Wilayah AS Timur (Virginia N.), us-east-1. Perintah berikut membuat jejak wilayah Tunggal di us-east-1 untuk CloudFront menerima, IAM, dan peristiwa: AWS STS
```
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name amzn-s3-demo-bucket
```
## Mengaktifkan validasi file log
Untuk mengaktifkan validasi file log untuk jejak, gunakan `--enable-log-file-validation` opsi. File Digest dikirim ke bucket Amazon S3 untuk jejak itu.
```
aws cloudtrail update-trail --name my-trail --enable-log-file-validation
```
Untuk mengonfirmasi bahwa validasi file log diaktifkan, `LogFileValidationEnabled` elemen dalam output menunjukkan`true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": true,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## Menonaktifkan validasi file log
Untuk menonaktifkan validasi file log untuk jejak, gunakan `--no-enable-log-file-validation` opsi.
```
aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation
```
Untuk mengonfirmasi bahwa validasi file log dinonaktifkan, `LogFileValidationEnabled` elemen dalam output menunjukkan`false`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Untuk memvalidasi file log dengan AWS CLI, lihat[Memvalidasi integritas file CloudTrail log dengan AWS CLI](cloudtrail-log-file-validation-cli.md).
# Mengelola jalur dengan AWS CLI
AWS CLI Termasuk beberapa perintah lain yang membantu Anda mengelola jejak Anda. Perintah ini menambahkan tag ke jalur, mendapatkan status jejak, memulai dan menghentikan pencatatan untuk jalur, dan menghapus jejak. Anda harus menjalankan perintah ini dari AWS Wilayah yang sama tempat jejak dibuat (Wilayah Asalnya). Saat menggunakan AWS CLI, ingatlah bahwa perintah Anda berjalan di AWS Wilayah yang dikonfigurasi untuk profil Anda. Jika Anda ingin menjalankan perintah di Wilayah yang berbeda, ubah Wilayah default untuk profil Anda, atau gunakan parameter **--region** bersama perintah tersebut.
**Topics**
+ [Tambahkan satu atau beberapa tag ke jejak](#cloudtrail-additional-cli-commands-add-tag)
+ [Daftar tag untuk satu atau lebih jalur](#cloudtrail-additional-cli-commands-list-tags)
+ [Hapus satu atau beberapa tag dari jejak](#cloudtrail-additional-cli-commands-remove-tag)
+ [Mengambil pengaturan jejak dan status jejak](#cloudtrail-additional-cli-commands-retrieve)
+ [Mengonfigurasi pemilih acara CloudTrail Insights](#configuring-insights-selector)
+ [Mengkonfigurasi pemilih acara tingkat lanjut](#configuring-adv-event-selector-examples)
+ [Mengkonfigurasi pemilih acara dasar](#configuring-event-selector-examples)
+ [Menghentikan dan memulai pencatatan untuk jalan setapak](#cloudtrail-start-stop-logging-cli-commands)
+ [Menghapus jejak](#cloudtrail-delete-trail-cli)
## Tambahkan satu atau beberapa tag ke jejak
Untuk menambahkan satu atau beberapa tag ke jejak yang ada, jalankan **add-tags** perintah.
Contoh berikut menambahkan tag dengan nama *Owner* dan nilai *Mary* ke jejak dengan ARN *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*my-trail** di Wilayah Timur AS (Ohio).
```
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2
```
Jika berhasil, perintah ini tidak mengembalikan apa pun.
## Daftar tag untuk satu atau lebih jalur
Untuk melihat tag yang terkait dengan satu atau lebih jejak yang ada, gunakan **list-tags** perintah.
Contoh berikut mencantumkan tag untuk *Trail1* dan*Trail2*.
```
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
```
Jika berhasil, perintah ini mengembalikan output yang serupa dengan yang berikut.
```
{
"ResourceTagList": [
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1",
"TagsList": [
{
"Value": "Alice",
"Key": "Name"
},
{
"Value": "Ohio",
"Key": "Location"
}
]
},
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2",
"TagsList": [
{
"Value": "Bob",
"Key": "Name"
}
]
}
]
}
```
## Hapus satu atau beberapa tag dari jejak
Untuk menghapus satu atau beberapa tag dari jejak yang ada, jalankan **remove-tags** perintah.
Contoh berikut menghapus tag dengan nama *Location* dan *Name* dari jejak dengan ARN *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*Trail1** di Wilayah Timur AS (Ohio).
```
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2
```
Jika berhasil, perintah ini tidak mengembalikan apa pun.
## Mengambil pengaturan jejak dan status jejak
Jalankan `describe-trails` perintah untuk mengambil informasi tentang jejak di Wilayah. AWS Contoh berikut mengembalikan informasi tentang jalur yang dikonfigurasi di Wilayah Timur AS (Ohio).
```
aws cloudtrail describe-trails --region us-east-2
```
Jika perintah berhasil, Anda melihat output yang serupa dengan berikut ini.
```
{
"trailList": [
{
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket1",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
},
{
"Name": "my-special-trail",
"S3BucketName": "amzn-s3-demo-bucket2",
"S3KeyPrefix": "example-prefix",
"IncludeGlobalServiceEvents": false,
"IsMultiRegionTrail": false,
"HomeRegion": "us-east-2",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": true,
"IsOrganizationTrail": false
},
{
"Name": "my-org-trail",
"S3BucketName": "amzn-s3-demo-bucket3",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-1"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": true
}
]
}
```
Jalankan `get-trail` perintah untuk mengambil informasi pengaturan tentang jejak tertentu. Contoh berikut mengembalikan informasi pengaturan untuk jejak bernama*my-trail*.
```
aws cloudtrail get-trail - -name my-trail
```
Jika berhasil, perintah ini mengembalikan output yang serupa dengan yang berikut.
```
{
"Trail": {
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
}
}
```
Jalankan `get-trail-status` perintah untuk mengambil status jejak. Anda harus menjalankan perintah ini dari AWS Wilayah tempat ia dibuat (Wilayah Beranda), atau Anda harus menentukan Wilayah itu dengan menambahkan **--region** parameter.
**catatan**
Jika jejak adalah jejak organisasi dan Anda adalah akun anggota dalam organisasi di AWS Organizations, Anda harus memberikan ARN lengkap dari jejak itu, dan bukan hanya namanya.
```
aws cloudtrail get-trail-status --name my-trail
```
Jika perintah berhasil, Anda melihat output yang serupa dengan berikut ini.
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
Selain bidang yang ditampilkan dalam kode JSON sebelumnya, status berisi bidang berikut jika ada kesalahan Amazon SNS atau Amazon S3:
+ `LatestNotificationError`. Berisi kesalahan yang dipancarkan oleh Amazon SNS jika langganan topik gagal.
+ `LatestDeliveryError`. Berisi kesalahan yang dipancarkan oleh Amazon S3 CloudTrail jika tidak dapat mengirimkan file log ke ember.
## Mengonfigurasi pemilih acara CloudTrail Insights
Aktifkan peristiwa Insights pada jejak dengan menjalankan**put-insight-selectors**, dan menentukan `ApiCallRateInsight``ApiErrorRateInsight`,, atau keduanya sebagai nilai atribut. `InsightType` Untuk melihat setelan pemilih Insights untuk jejak, jalankan perintah. `get-insight-selectors` Anda harus menjalankan perintah ini dari AWS Wilayah tempat jejak dibuat (Wilayah Rumah), atau Anda harus menentukan Wilayah itu dengan menambahkan **--region** parameter ke perintah.
**catatan**
Untuk mencatat peristiwa Insights`ApiCallRateInsight`, jejak harus mencatat peristiwa `write` manajemen. Untuk mencatat peristiwa Insights`ApiErrorRateInsight`, jejak harus mencatat `read` atau `write` mengelola peristiwa.
### Contoh jejak yang mencatat peristiwa Insights
Contoh berikut digunakan **put-insight-selectors** untuk membuat pemilih acara Insights untuk jejak bernama. *TrailName3* Hal ini memungkinkan pengumpulan acara Insights untuk *TrailName3* jejak. Pemilih peristiwa Insights mencatat keduanya `ApiErrorRateInsight` dan jenis peristiwa `ApiCallRateInsight` Insights.
```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
Contoh mengembalikan pemilih peristiwa Insights yang dikonfigurasi untuk jejak.
```
{
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```
### Contoh: Matikan koleksi acara Insights
Contoh berikut digunakan **put-insight-selectors** untuk menghapus pemilih peristiwa Insights untuk jejak bernama. *TrailName3* Menghapus string JSON dari pemilih Insights menonaktifkan koleksi acara Insights untuk jejak. *TrailName3*
```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'
```
Contoh mengembalikan pemilih peristiwa Insights yang sekarang kosong yang dikonfigurasi untuk jejak.
```
{
"InsightSelectors": [ ],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```
## Mengkonfigurasi pemilih acara tingkat lanjut
Anda dapat menggunakan pemilih peristiwa lanjutan untuk mencatat [peristiwa manajemen, peristiwa](logging-management-events-with-cloudtrail.md) [data](logging-data-events-with-cloudtrail.md) untuk semua jenis sumber daya, dan [peristiwa aktivitas jaringan](logging-network-events-with-cloudtrail.md). Sebaliknya, Anda dapat menggunakan pemilih acara dasar untuk mencatat peristiwa manajemen dan peristiwa data untuk`AWS::DynamoDB::Table`,`AWS::Lambda::Function`, dan jenis `AWS::S3::Object` sumber daya. Anda dapat menggunakan pemilih acara dasar, atau pemilih acara lanjutan, tetapi tidak keduanya. Jika Anda menerapkan penyeleksi acara lanjutan ke jejak yang menggunakan pemilih acara dasar, pemilih acara dasar akan ditimpa.
Untuk mengonversi jejak menjadi penyeleksi peristiwa lanjutan, jalankan **get-event-selectors** perintah untuk mengonfirmasi penyeleksi peristiwa saat ini, lalu konfigurasikan pemilih acara lanjutan agar sesuai dengan cakupan penyeleksi acara sebelumnya, lalu tambahkan pemilih tambahan apa pun.
Anda harus menjalankan `get-event-selectors` perintah dari Wilayah AWS tempat jejak dibuat (Wilayah Rumah), atau Anda harus menentukan Wilayah itu dengan menambahkan **--region** parameter.
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
**catatan**
Jika jejak adalah jejak organisasi, dan Anda masuk dengan akun anggota di organisasi AWS Organizations, Anda harus memberikan ARN lengkap jejak, dan bukan hanya namanya.
Contoh berikut menunjukkan pengaturan untuk jejak yang menggunakan pemilih acara lanjutan untuk mencatat peristiwa manajemen. Secara default, jejak dikonfigurasi untuk mencatat semua peristiwa manajemen dan tidak ada peristiwa data atau peristiwa aktivitas jaringan.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
]
}
```
Untuk membuat pemilih acara lanjutan, jalankan `put-event-selectors` perintah. Ketika suatu peristiwa terjadi di akun Anda, CloudTrail evaluasi konfigurasi untuk jejak Anda. Jika acara cocok dengan pemilih acara lanjutan mana pun untuk jejak, jejak akan memproses dan mencatat peristiwa tersebut. Anda dapat mengonfigurasi hingga 500 kondisi pada jejak, termasuk semua nilai yang ditentukan untuk semua penyeleksi acara lanjutan di jejak Anda. Untuk informasi selengkapnya, lihat [Mencatat log peristiwa data](logging-data-events-with-cloudtrail.md) dan [Mencatat peristiwa aktivitas jaringan](logging-network-events-with-cloudtrail.md).
**Topics**
+ [Contoh jejak dengan pemilih acara lanjutan tertentu](#configuring-adv-event-selector-specific)
+ [Contoh jejak yang menggunakan pemilih peristiwa lanjutan khusus untuk mencatat Amazon S3 AWS Outposts pada peristiwa data](#configuring-adv-event-selector-outposts)
+ [Contoh jejak yang menggunakan penyeleksi acara lanjutan untuk mengecualikan AWS Key Management Service acara](#configuring-adv-event-selector-exclude)
+ [Contoh jejak yang menggunakan penyeleksi peristiwa lanjutan untuk mengecualikan peristiwa manajemen Amazon RDS Data API](#configuring-adv-event-selector-exclude-rds)
### Contoh jejak dengan pemilih acara lanjutan tertentu
Contoh berikut membuat pemilih peristiwa lanjutan khusus untuk jejak bernama *TrailName* untuk menyertakan peristiwa manajemen baca dan tulis (dengan menghilangkan `readOnly` pemilih), `PutObject` dan peristiwa `DeleteObject` data untuk semua kombinasi bucket/awalan Amazon S3 kecuali untuk bucket bernama`amzn-s3-demo-bucket`, peristiwa data untuk AWS Lambda fungsi bernama`MyLambdaFunction`, dan peristiwa aktivitas jaringan untuk peristiwa yang ditolak akses melalui titik akhir VPC. AWS KMS Karena ini adalah penyeleksi acara lanjutan khusus, setiap set penyeleksi memiliki nama deskriptif. Perhatikan bahwa garis miring adalah bagian dari nilai ARN untuk bucket S3.
```
aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
{ "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
{ "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["NetworkActivity"]},
{ "Field": "eventSource", "Equals": ["kms.amazonaws.com"]},
{ "Field": "errorCode", "Equals": ["VpceAccessDenied"]}
]
}
]'
```
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
}
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::S3::Object" ]
},
{
"Field": "resources.ARN",
"NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
},
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::Lambda::Function" ]
},
{
"Field": "eventName",
"Equals": [ "Invoke" ]
},
{
"Field": "resources.ARN",
"Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ]
}
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Contoh jejak yang menggunakan pemilih peristiwa lanjutan khusus untuk mencatat Amazon S3 AWS Outposts pada peristiwa data
Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa data untuk semua Amazon S3 pada AWS Outposts objek di pos terdepan Anda. Dalam rilis ini, nilai yang didukung untuk S3 pada AWS Outposts peristiwa untuk `resources.type` bidang tersebut adalah`AWS::S3Outposts::Object`.
```
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
]
}
]'
```
Perintah mengembalikan contoh output berikut.
```
{
"AdvancedEventSelectors": [
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3Outposts::Object"
]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName"
}
```
### Contoh jejak yang menggunakan penyeleksi acara lanjutan untuk mengecualikan AWS Key Management Service acara
Contoh berikut membuat pemilih peristiwa lanjutan untuk jejak bernama *TrailName* untuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis (dengan menghilangkan `readOnly` pemilih), tetapi untuk mengecualikan () peristiwa. AWS Key Management Service AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
Untuk mulai mencatat AWS KMS peristiwa ke jejak lagi, hapus `eventSource` pemilih, dan jalankan perintah lagi.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
]
}
]'
```
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "kms.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus `eventSource` pemilih, seperti yang ditunjukkan pada perintah berikut.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
### Contoh jejak yang menggunakan penyeleksi peristiwa lanjutan untuk mengecualikan peristiwa manajemen Amazon RDS Data API
Contoh berikut membuat pemilih peristiwa lanjutan untuk jejak bernama *TrailName* untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis (dengan menghilangkan `readOnly` pemilih), tetapi untuk mengecualikan peristiwa manajemen Amazon RDS Data API. Untuk mengecualikan peristiwa pengelolaan Amazon RDS Data API, tentukan sumber peristiwa Amazon RDS Data API dalam nilai string untuk `eventSource` bidang:. `rdsdata.amazonaws.com`
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, peristiwa manajemen Amazon RDS Data API tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan peristiwa Amazon RDS Data API.
Untuk mulai mencatat peristiwa pengelolaan Amazon RDS Data API ke jejak lagi, hapus `eventSource` pemilih, dan jalankan perintah lagi.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
]
}
]'
```
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "rdsdata.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus `eventSource` pemilih, seperti yang ditunjukkan pada perintah berikut.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
## Mengkonfigurasi pemilih acara dasar
Anda hanya dapat menggunakan pemilih acara dasar untuk mencatat peristiwa manajemen dan peristiwa data untuk`AWS::DynamoDB::Table`,`AWS::Lambda::Function`, dan jenis `AWS::S3::Object` sumber daya. Anda dapat mencatat peristiwa manajemen, semua jenis sumber daya data, dan peristiwa aktivitas jaringan dengan menggunakan pemilih acara lanjutan.
Anda dapat menggunakan pemilih acara dasar, atau pemilih acara lanjutan, tetapi tidak keduanya. Jika Anda menerapkan penyeleksi acara dasar ke jejak yang menggunakan pemilih acara lanjutan, pemilih acara lanjutan akan ditimpa.
Untuk melihat pengaturan pemilih acara untuk jejak, jalankan `get-event-selectors` perintah. Anda harus menjalankan perintah ini dari Wilayah AWS tempat ia dibuat (Wilayah Rumah), atau Anda harus menentukan Wilayah itu dengan menggunakan **--region** parameter.
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
**catatan**
Jika jejak adalah jejak organisasi dan Anda adalah akun anggota dalam organisasi di AWS Organizations, Anda harus memberikan ARN lengkap dari jejak itu, dan bukan hanya namanya.
Contoh berikut menunjukkan pengaturan untuk jejak yang menggunakan pemilih acara dasar untuk mencatat peristiwa manajemen.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Untuk membuat pemilih acara, jalankan `put-event-selectors` perintah. Jika Anda ingin mencatat peristiwa Insights di jejak, pastikan pemilih acara mengaktifkan pencatatan jenis Wawasan yang ingin Anda konfigurasi jejak Anda. Untuk informasi selengkapnya tentang mencatat peristiwa Wawasan, lihat[Bekerja dengan CloudTrail Wawasan](logging-insights-events-with-cloudtrail.md).
Ketika suatu peristiwa terjadi di akun Anda, CloudTrail evaluasi konfigurasi untuk jejak Anda. Jika acara cocok dengan pemilih acara apa pun untuk jejak, jejak akan memproses dan mencatat peristiwa tersebut. Anda dapat mengonfigurasi hingga 5 penyeleksi acara untuk jejak dan hingga 250 sumber daya data untuk jejak. Untuk informasi selengkapnya, lihat [Mencatat log peristiwa data](logging-data-events-with-cloudtrail.md).
**Topics**
+ [Contoh jejak dengan pemilih acara tertentu](#configuring-event-selector-example1)
+ [Contoh jejak yang mencatat semua peristiwa manajemen dan data](#configuring-event-selector-example2)
+ [Contoh jejak yang tidak mencatat AWS Key Management Service peristiwa](#configuring-event-selector-example-kms)
+ [Contoh jejak yang mencatat peristiwa volume rendah AWS Key Management Service yang relevan](#configuring-event-selector-log-kms)
+ [Contoh jejak yang tidak mencatat peristiwa API data Amazon RDS](#configuring-event-selector-example-rds)
### Contoh jejak dengan pemilih acara tertentu
Contoh berikut membuat pemilih peristiwa untuk jejak bernama *TrailName* untuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis, peristiwa data untuk dua bucket/prefix kombinasi Amazon S3, dan peristiwa data untuk satu fungsi bernama. AWS Lambda *hello-world-python-function*
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
```
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::amzn-s3-demo-bucket/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function"
],
"Type": "AWS::Lambda::Function"
},
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Contoh jejak yang mencatat semua peristiwa manajemen dan data
Contoh berikut membuat pemilih peristiwa untuk jejak bernama *TrailName2* yang mencakup semua peristiwa manajemen, termasuk peristiwa manajemen hanya-baca dan hanya tulis, serta peristiwa data untuk semua bucket Amazon S3, fungsi AWS Lambda , dan tabel Amazon DynamoDB di. Akun AWS Karena contoh ini menggunakan pemilih peristiwa dasar, contoh ini tidak dapat mengonfigurasi pencatatan untuk peristiwa S3 AWS Outposts, panggilan Amazon Managed Blockchain JSON-RPC pada node Ethereum, atau jenis sumber daya pemilih acara lanjutan lainnya. Anda juga tidak dapat mencatat peristiwa aktivitas jaringan menggunakan pemilih acara dasar. Anda harus menggunakan pemilih peristiwa lanjutan untuk mencatat peristiwa aktivitas jaringan dan peristiwa data untuk semua jenis sumber daya lainnya. Untuk informasi selengkapnya, lihat [Mengkonfigurasi pemilih acara tingkat lanjut](#configuring-adv-event-selector-examples).
**catatan**
Jika jejak hanya berlaku untuk satu Wilayah, hanya peristiwa di Wilayah tersebut yang dicatat, meskipun parameter pemilih peristiwa menentukan semua bucket Amazon S3 dan fungsi Lambda. Penyeleksi acara hanya berlaku untuk Wilayah tempat jejak dibuat.
```
aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
```
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda"
],
"Type": "AWS::Lambda::Function"
},
{
"Values": [
"arn:aws:dynamodb"
],
"Type": "AWS::DynamoDB::Table"
}
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"
}
```
### Contoh jejak yang tidak mencatat AWS Key Management Service peristiwa
Contoh berikut membuat pemilih acara untuk jejak bernama *TrailName* untuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis, tetapi untuk mengecualikan () peristiwa. AWS Key Management Service AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen. Pengguna dalam contoh ini telah memilih untuk mengecualikan AWS KMS peristiwa dari setiap jejak kecuali satu. Untuk mengecualikan sumber peristiwa, tambahkan `ExcludeManagementEventSources` ke pemilih acara Anda, dan tentukan sumber peristiwa dalam nilai string.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
Untuk mulai mencatat AWS KMS peristiwa ke jejak lagi, berikan array kosong sebagai nilai`ExcludeManagementEventSources`.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
```
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "kms.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Untuk memulai logging AWS KMS peristiwa ke jejak lagi, berikan array kosong sebagai nilai`ExcludeManagementEventSources`, seperti yang ditunjukkan pada perintah berikut.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
### Contoh jejak yang mencatat peristiwa volume rendah AWS Key Management Service yang relevan
Contoh berikut membuat pemilih acara untuk jejak bernama *TrailName* untuk menyertakan acara dan acara manajemen khusus tulis. AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen. Pengguna dalam contoh ini telah memilih untuk menyertakan peristiwa AWS KMS **Tulis**, yang akan mencakup`Disable`, `Delete` dan`ScheduleKey`, tetapi tidak lagi menyertakan tindakan volume tinggi seperti`Encrypt`,`Decrypt`, dan `GenerateDataKey` (ini sekarang diperlakukan sebagai peristiwa **Baca**).
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak. Ini mencatat peristiwa manajemen khusus tulis, termasuk AWS KMS peristiwa.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "WriteOnly"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Contoh jejak yang tidak mencatat peristiwa API data Amazon RDS
Contoh berikut membuat pemilih peristiwa untuk jejak bernama *TrailName* untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis, tetapi untuk mengecualikan peristiwa Amazon RDS Data API. Karena peristiwa Amazon RDS Data API diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, peristiwa tersebut dapat berdampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen. Pengguna dalam contoh ini telah memilih untuk mengecualikan peristiwa Amazon RDS Data API dari setiap jejak kecuali satu. Untuk mengecualikan sumber peristiwa, tambahkan `ExcludeManagementEventSources` ke pemilih acara Anda, dan tentukan sumber peristiwa Amazon RDS Data API dalam nilai string:. `rdsdata.amazonaws.com`
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, peristiwa Amazon RDS Data API tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan peristiwa.
Untuk mulai mencatat peristiwa pengelolaan Amazon RDS Data API ke jejak lagi, teruskan array kosong sebagai nilai. `ExcludeManagementEventSources`
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
```
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Untuk mulai mencatat peristiwa pengelolaan Amazon RDS Data API ke jejak lagi, teruskan array kosong sebagai nilai`ExcludeManagementEventSources`, seperti yang ditunjukkan pada perintah berikut.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
## Menghentikan dan memulai pencatatan untuk jalan setapak
Perintah berikut memulai dan menghentikan CloudTrail logging.
```
aws cloudtrail start-logging --name awscloudtrail-example
```
```
aws cloudtrail stop-logging --name awscloudtrail-example
```
**catatan**
Sebelum menghapus bucket, jalankan `stop-logging` perintah untuk berhenti mengirimkan peristiwa ke bucket. Jika Anda tidak berhenti masuk, CloudTrail coba kirimkan file log ke bucket dengan nama yang sama untuk jangka waktu terbatas.
Jika Anda berhenti mencatat atau menghapus jejak, CloudTrail Wawasan akan dinonaktifkan pada jejak tersebut.
**Pengiriman acara setelah pencatatan dihentikan**
Setelah Anda berhenti mencatat jalan setapak, jejak masih dapat menerima peristiwa yang terjadi sebelum penebangan dihentikan. Acara dapat ditunda karena sejumlah alasan, termasuk lalu lintas jaringan yang tinggi, masalah konektivitas, pemadaman layanan, atau pembaruan untuk acara yang ada. CloudTrail menggunakan waktu terbaru bahwa penebangan dihentikan untuk menentukan apakah akan mengirimkan peristiwa yang tertunda, bukan status penebangan jejak pada saat peristiwa itu terjadi. Akibatnya, peristiwa tertunda yang terjadi sebelum penebangan terakhir dihentikan masih bisa dikirim ke jalan setapak. Untuk informasi selengkapnya tentang pengiriman acara tertunda, lihat `addendum` bidang di[CloudTrail merekam konten untuk acara manajemen, data, dan aktivitas jaringan](cloudtrail-event-reference-record-contents.md).
Selain itu, penyeleksi acara dan penyeleksi acara lanjutan tidak dievaluasi untuk peristiwa tertunda yang dikirim ke jejak setelah pencatatan dihentikan. Ini berarti bahwa jejak dapat menerima semua jenis peristiwa yang terjadi sebelum logging dihentikan, terlepas dari konfigurasi pemilih peristiwa jejak.
## Menghapus jejak
Jika Anda telah mengaktifkan peristiwa CloudTrail manajemen di Amazon Security Lake, Anda diharuskan untuk mempertahankan setidaknya satu jejak organisasi yaitu Multi-wilayah dan mencatat keduanya `read` dan peristiwa `write` manajemen. Anda tidak dapat menghapus jejak jika itu adalah satu-satunya jejak yang Anda miliki yang memenuhi persyaratan ini, kecuali jika Anda mematikan acara CloudTrail manajemen di Security Lake.
Anda dapat menghapus jejak dengan perintah berikut. Anda dapat menghapus jejak hanya di Wilayah itu dibuat (Wilayah Rumah).
**penting**
Meskipun menghapus CloudTrail jejak adalah tindakan yang tidak dapat diubah, CloudTrail tidak menghapus file log di bucket Amazon S3 untuk jejak itu, bucket Amazon S3 itu sendiri, atau grup CloudWatch log tempat jejak mengirimkan peristiwa. Menghapus jejak Multi-wilayah akan menghentikan pencatatan peristiwa di semua AWS Wilayah yang diaktifkan di Anda. Akun AWS Menghapus jejak wilayah Tunggal akan menghentikan pencatatan peristiwa di Wilayah tersebut saja. Ini tidak akan menghentikan pencatatan peristiwa di Wilayah lain bahkan jika jalur di Wilayah lain tersebut memiliki nama yang identik dengan jejak yang dihapus.
Untuk informasi tentang penutupan akun dan penghapusan CloudTrail jejak, lihat. [Akun AWS penutupan dan jalan setapak](cloudtrail-account-closure.md)
```
aws cloudtrail delete-trail --name awscloudtrail-example
```
Saat menghapus jejak, Anda tidak menghapus bucket Amazon S3 atau topik Amazon SNS yang terkait dengannya. Gunakan Konsol Manajemen AWS, AWS CLI, atau API layanan untuk menghapus sumber daya ini secara terpisah.