Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mencatat log peristiwa manajemen
Secara default, jejak dan data peristiwa menyimpan peristiwa manajemen log dan tidak menyertakan data atau peristiwa Wawasan.
Biaya tambahan berlaku untuk data atau acara Wawasan. Untuk informasi selengkapnya, silakan lihat [Harga AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
**Contents**
+ [
## Peristiwa manajemen
](#logging-management-events)
+ [
## Membaca dan menulis acara
](#read-write-events-mgmt)
+ [
## Pencatatan acara manajemen dengan Konsol Manajemen AWS
](#logging-management-events-with-the-cloudtrail-console)
+ [
### Memperbarui pengaturan acara manajemen untuk jejak yang ada
](#logging-management-events-with-the-cloudtrail-console-trail)
+ [
### Memperbarui pengaturan acara manajemen untuk penyimpanan data acara yang ada
](#logging-management-events-with-the-cloudtrail-console-eds)
+ [
## Pencatatan acara manajemen dengan AWS CLI
](#creating-mgmt-event-selectors-with-the-AWS-CLI)
+ [
### Contoh: Acara manajemen pencatatan untuk jalur
](#log-mgmt-events-trails-examples)
+ [
#### Contoh: Mencatat peristiwa manajemen untuk jalur menggunakan penyeleksi acara tingkat lanjut
](#log-mgmt-events-trails-examples-adv)
+ [
#### Contoh: Mencatat peristiwa manajemen untuk jalur menggunakan pemilih acara dasar
](#log-mgmt-events-trails-examples-basic)
+ [
### Contoh: Logging acara manajemen untuk penyimpanan data acara
](#log-mgmt-events-eds-examples)
+ [
#### Contoh: Kecualikan acara AWS KMS manajemen
](#log-mgmt-events-eds-examples-kms)
+ [
#### Contoh: Kecualikan acara manajemen Amazon RDS
](#log-mgmt-events-eds-examples-rds)
+ [
#### Contoh: Kecualikan Layanan AWS acara dan acara dari Konsol Manajemen AWS sesi
](#log-mgmt-events-eds-examples-service)
+ [
#### Contoh: Kecualikan peristiwa manajemen untuk identitas IAM tertentu
](#log-mgmt-events-eds-examples-useridentity)
+ [
## Pencatatan acara manajemen dengan AWS SDKs
](#logging-management-events-with-the-AWS-SDKs)
## Peristiwa manajemen
Acara manajemen memberikan visibilitas ke dalam operasi manajemen yang dilakukan pada sumber daya di AWS akun Anda. Ini juga dikenal sebagai operasi bidang kontrol. Contoh acara manajemen meliputi:
+ Mengkonfigurasi keamanan (misalnya, operasi `AttachRolePolicy` API IAM)
+ Mendaftarkan perangkat (misalnya, operasi `CreateDefaultVpc` API Amazon EC2)
+ Mengkonfigurasi aturan untuk merutekan data (misalnya, operasi Amazon `CreateSubnet` EC2 API)
+ Menyiapkan logging (misalnya, operasi AWS CloudTrail `CreateTrail` API)
Peristiwa manajemen juga dapat mencakup peristiwa non-API yang terjadi di akun Anda. Misalnya, ketika pengguna masuk ke akun Anda, CloudTrail mencatat `ConsoleLogin` peristiwa tersebut. Untuk informasi selengkapnya, lihat [Peristiwa non-API yang ditangkap oleh CloudTrail](cloudtrail-non-api-events.md).
Secara default, jejak dan penyimpanan data peristiwa dikonfigurasi untuk mencatat peristiwa manajemen.
**catatan**
Fitur **Riwayat CloudTrail acara** hanya mendukung acara manajemen. Anda tidak dapat mengecualikan AWS KMS atau peristiwa Amazon RDS Data API dari **riwayat Peristiwa**; pengaturan yang Anda terapkan ke penyimpanan data jejak atau peristiwa tidak berlaku untuk **riwayat Peristiwa**. Untuk informasi selengkapnya, lihat [Bekerja dengan riwayat CloudTrail acara](view-cloudtrail-events.md).
## Membaca dan menulis acara
Saat mengonfigurasi penyimpanan data jejak atau peristiwa untuk mencatat peristiwa manajemen, Anda dapat menentukan apakah Anda menginginkan peristiwa hanya-baca, peristiwa hanya-tulis, atau keduanya.
+ **Baca**
Peristiwa hanya baca mencakup operasi API yang membaca sumber daya Anda, tetapi tidak membuat perubahan. Misalnya, peristiwa hanya-baca mencakup operasi API `DescribeSecurityGroups` dan `DescribeSubnets` Amazon EC2. Operasi ini hanya menampilkan informasi tentang sumber daya Amazon EC2 Anda dan tidak mengubah konfigurasi Anda.
+ **Menulis**
Peristiwa hanya tulis mencakup operasi API yang memodifikasi (atau dapat memodifikasi) sumber daya Anda. Misalnya, operasi API `RunInstances` dan `TerminateInstances` Amazon EC2 memodifikasi instans Anda.
**Contoh: Mencatat peristiwa baca dan tulis untuk jalur terpisah**
Contoh berikut menunjukkan cara mengonfigurasi jejak untuk membagi aktivitas log untuk akun menjadi bucket S3 terpisah: satu bucket menerima peristiwa hanya-baca dan bucket kedua menerima peristiwa hanya-tulis.
1. Anda membuat jejak dan memilih bucket S3 bernama `amzn-s3-demo-bucket1` untuk menerima file log. Anda kemudian memperbarui jejak untuk menentukan bahwa Anda ingin **Baca** acara manajemen.
1. Anda membuat jejak kedua dan memilih bucket S3 bernama `amzn-s3-demo-bucket2` untuk menerima file log. Anda kemudian memperbarui jejak untuk menentukan bahwa Anda ingin **menulis** acara manajemen.
1. Operasi Amazon EC2 `DescribeInstances` dan `TerminateInstances` API terjadi di akun Anda.
1. Operasi `DescribeInstances` API adalah peristiwa hanya-baca dan cocok dengan pengaturan untuk jejak pertama. Jejak mencatat dan mengirimkan acara ke`amzn-s3-demo-bucket1`.
1. Operasi `TerminateInstances` API adalah acara khusus tulis dan cocok dengan pengaturan untuk jejak kedua. Jejak mencatat dan mengirimkan acara ke`amzn-s3-demo-bucket2`.
## Pencatatan acara manajemen dengan Konsol Manajemen AWS
Bagian ini menjelaskan cara memperbarui pengaturan acara manajemen untuk penyimpanan data jejak atau peristiwa yang ada.
**Topics**
+ [
### Memperbarui pengaturan acara manajemen untuk jejak yang ada
](#logging-management-events-with-the-cloudtrail-console-trail)
+ [
### Memperbarui pengaturan acara manajemen untuk penyimpanan data acara yang ada
](#logging-management-events-with-the-cloudtrail-console-eds)
### Memperbarui pengaturan acara manajemen untuk jejak yang ada
Gunakan prosedur berikut untuk memperbarui pengaturan acara manajemen untuk jejak yang ada.
1. Masuk ke Konsol Manajemen AWS dan buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Buka halaman **Trails** CloudTrail konsol dan pilih nama jejak.
1. Untuk **acara Manajemen**, pilih **Edit**.
+ Pilih apakah Anda ingin mencatat peristiwa **Baca**, **Menulis** peristiwa, atau keduanya.
+ Pilih **Kecualikan AWS KMS acara** untuk memfilter AWS Key Management Service (AWS KMS) peristiwa dari Trail Anda. Pengaturan default adalah untuk memasukkan semua AWS KMS acara.
Opsi untuk mencatat atau mengecualikan AWS KMS peristiwa hanya tersedia jika Anda mencatat peristiwa manajemen di jejak Anda. Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
AWS KMS tindakan seperti`Encrypt`,`Decrypt`, dan `GenerateDataKey` biasanya menghasilkan volume besar (lebih dari 99%) peristiwa. Tindakan ini sekarang dicatat sebagai peristiwa **Baca**. Volume rendah, AWS KMS tindakan yang relevan seperti`Disable`,`Delete`, dan `ScheduleKey` (yang biasanya menyumbang kurang dari 0,5% dari volume AWS KMS peristiwa) dicatat sebagai peristiwa **Tulis**.
Untuk mengecualikan peristiwa bervolume tinggi seperti`Encrypt`,`Decrypt`, dan`GenerateDataKey`, tetapi masih mencatat peristiwa yang relevan seperti`Disable`, `Delete` dan`ScheduleKey`, pilih untuk mencatat peristiwa manajemen **Tulis**, dan kosongkan kotak centang untuk **Kecualikan AWS KMS peristiwa**.
+ Pilih **Kecualikan peristiwa Amazon RDS Data API untuk memfilter peristiwa** Amazon Relational Database Service Data Data API dari jejak Anda. Pengaturan default adalah untuk menyertakan semua peristiwa Amazon RDS Data API. Untuk informasi selengkapnya tentang peristiwa Amazon RDS Data API, lihat [Pencatatan panggilan API Data dengan AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) di *Panduan Pengguna Amazon RDS untuk Aurora*.
1. Pilih **Simpan perubahan** setelah Anda selesai.
### Memperbarui pengaturan acara manajemen untuk penyimpanan data acara yang ada
1. Masuk ke Konsol Manajemen AWS dan buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Buka halaman **penyimpanan data acara** CloudTrail konsol dan pilih nama penyimpanan data acara.
1. Untuk **acara Manajemen**, pilih **Edit** lalu konfigurasikan pengaturan berikut:
1. Pilih antara **koleksi acara Simple** atau **Advanced event collection**:
+ Pilih **koleksi acara sederhana** jika Anda ingin mencatat semua peristiwa, hanya mencatat peristiwa yang dibaca, atau hanya mencatat peristiwa tulis. Anda dapat memilih juga untuk mengecualikan AWS Key Management Service dan peristiwa manajemen Amazon RDS Data API.
+ Pilih **Koleksi acara lanjutan** jika Anda ingin menyertakan atau mengecualikan acara manajemen berdasarkan nilai bidang pemilih acara lanjutan, termasuk,`eventName`, `eventType``eventSource`, dan `userIdentity.arn` bidang.
1. Jika Anda memilih **koleksi acara sederhana**, pilih apakah Anda ingin mencatat semua peristiwa, hanya mencatat peristiwa yang dibaca, atau hanya mencatat peristiwa tulis. Anda juga dapat memilih untuk mengecualikan AWS KMS dan acara manajemen Amazon RDS.
1. Jika Anda memilih **koleksi acara lanjutan**, buat pilihan berikut:
1. Di **template pemilih Log, pilih templat** yang telah ditentukan sebelumnya, atau **Kustom** untuk membuat konfigurasi khusus berdasarkan nilai bidang pemilih acara lanjutan.
Anda dapat memilih dari template yang telah ditentukan berikut:
+ **Catat semua peristiwa** – Pilih templat ini untuk mencatat semua peristiwa.
+ **Log hanya membaca peristiwa** - Pilih template ini untuk log hanya membaca peristiwa. Peristiwa hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti `Get*` atau `Describe*` peristiwa.
+ **Log hanya menulis peristiwa** - Pilih template ini untuk log hanya menulis peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, seperti`Put*`,`Delete*`, atau `Write*` peristiwa.
+ **Log hanya Konsol Manajemen AWS peristiwa** - Pilih template ini untuk log hanya peristiwa yang berasal dari. Konsol Manajemen AWS
+ **Kecualikan peristiwa Layanan AWS yang dimulai** - Pilih templat ini untuk mengecualikan Layanan AWS peristiwa, yang memiliki `eventType` of`AwsServiceEvent`, dan peristiwa yang dimulai dengan peran Layanan AWS-linked (). SLRs
1. (Opsional) Dalam **nama Selector**, masukkan nama untuk mengidentifikasi pemilih Anda. Nama pemilih adalah nama deskriptif untuk pemilih acara lanjutan, seperti “Acara manajemen log dari Konsol Manajemen AWS sesi”. **Nama pemilih terdaftar seperti `Name` pada pemilih acara lanjutan dan dapat dilihat jika Anda memperluas tampilan JSON.**
1. Jika Anda memilih **Kustom**, di **Penyeleksi acara lanjutan** membangun ekspresi berdasarkan nilai bidang pemilih acara lanjutan.
**catatan**
Selector tidak mendukung penggunaan wildcard seperti. `*` Untuk mencocokkan beberapa nilai dengan satu kondisi, Anda dapat menggunakan`StartsWith`,`EndsWith`,`NotStartsWith`, atau `NotEndsWith` untuk secara eksplisit mencocokkan awal atau akhir bidang acara.
1. Pilih dari bidang berikut.
+ **`readOnly`**— `readOnly` dapat diatur untuk **sama** dengan nilai `true` atau`false`. Ketika disetel ke`false`, data peristiwa menyimpan log peristiwa manajemen Write-only. Peristiwa manajemen hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti `Get*` atau `Describe*` peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, seperti`Put*`,`Delete*`, atau `Write*` peristiwa. Untuk mencatat peristiwa **Baca** dan **Tulis**, jangan tambahkan `readOnly` pemilih.
+ **`eventName`**— `eventName` dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara manajemen apa pun, seperti `CreateAccessPoint` atau`GetAccessPoint`.
+ **`userIdentity.arn`**— Sertakan atau kecualikan peristiwa untuk tindakan yang diambil oleh identitas IAM tertentu. Untuk informasi selengkapnya, lihat elemen [CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Sertakan atau kecualikan acara yang berasal dari Konsol Manajemen AWS sesi. Bidang ini dapat diatur ke **sama** atau **tidak sama** dengan nilai. `true`
+ **`eventSource`**— Anda dapat menggunakannya untuk memasukkan atau mengecualikan sumber acara tertentu. Biasanya `eventSource` merupakan bentuk pendek dari nama layanan tanpa spasi plus`.amazonaws.com`. Misalnya, Anda dapat `eventSource` **menyetel sama dengan** `ec2.amazonaws.com` untuk hanya mencatat peristiwa pengelolaan Amazon EC2.
+ **`eventType`**- [EventType](cloudtrail-event-reference-record-contents.md#ct-event-type) untuk menyertakan atau mengecualikan. Misalnya, Anda dapat mengatur bidang ini ke **tidak sama dengan** `AwsServiceEvent` untuk mengecualikan [Layanan AWS peristiwa](non-api-aws-service-events.md).
1. Untuk setiap bidang, pilih **\$1 Kondisi** untuk menambahkan kondisi sebanyak yang Anda butuhkan, hingga maksimum 500 nilai yang ditentukan untuk semua kondisi.
Untuk informasi tentang cara CloudTrail mengevaluasi beberapa kondisi, lihat[Bagaimana CloudTrail mengevaluasi beberapa kondisi untuk suatu bidang](filtering-data-events.md#filtering-data-events-conditions).
**catatan**
Anda dapat memiliki maksimum 500 nilai untuk semua penyeleksi pada penyimpanan data acara. Ini termasuk array dari beberapa nilai untuk pemilih seperti. `eventName` Jika Anda memiliki nilai tunggal untuk semua pemilih, Anda dapat memiliki maksimum 500 kondisi yang ditambahkan ke pemilih.
1. Pilih **\$1 Bidang** untuk menambahkan bidang tambahan sesuai kebutuhan. Untuk menghindari kesalahan, jangan setel nilai yang bertentangan atau duplikat untuk bidang.
1. Secara opsional, perluas **tampilan JSON** untuk melihat pemilih acara lanjutan Anda sebagai blok JSON.
1. Pilih **Aktifkan tangkapan peristiwa Wawasan** untuk mengaktifkan Wawasan. Untuk mengaktifkan Wawasan, Anda perlu menyiapkan [penyimpanan data acara tujuan](query-event-data-store-insights.md#query-event-data-store-insights-procedure) untuk mengumpulkan peristiwa Wawasan berdasarkan aktivitas acara manajemen di penyimpanan data acara ini.
Jika Anda memilih untuk mengaktifkan Wawasan, lakukan hal berikut.
1. Pilih toko acara tujuan yang akan mencatat peristiwa Wawasan. Penyimpanan data acara tujuan akan mengumpulkan peristiwa Wawasan berdasarkan aktivitas acara manajemen di penyimpanan data acara ini. Untuk informasi tentang cara membuat penyimpanan data acara tujuan, lihat[Untuk membuat penyimpanan data acara tujuan yang mencatat peristiwa Wawasan](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Pilih jenis Wawasan. Anda dapat memilih **API call rate**, **API error rate**, atau keduanya. Anda harus mencatat peristiwa manajemen **Tulis** untuk mencatat peristiwa Insights untuk **tingkat panggilan API**. Anda harus mencatat peristiwa manajemen **Baca** atau **Tulis** untuk mencatat peristiwa Wawasan untuk **tingkat kesalahan API**.
1. Pilih **Simpan perubahan** setelah Anda selesai.
## Pencatatan acara manajemen dengan AWS CLI
Anda dapat mengonfigurasi jejak atau penyimpanan data peristiwa untuk mencatat peristiwa manajemen menggunakan file. AWS CLI
**Topics**
+ [
### Contoh: Acara manajemen pencatatan untuk jalur
](#log-mgmt-events-trails-examples)
+ [
### Contoh: Logging acara manajemen untuk penyimpanan data acara
](#log-mgmt-events-eds-examples)
### Contoh: Acara manajemen pencatatan untuk jalur
Untuk melihat apakah jejak Anda mencatat peristiwa manajemen, jalankan `get-event-selectors` perintah.
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
Contoh berikut mengembalikan pengaturan default untuk jejak. Secara default, jejak mencatat semua peristiwa manajemen, mencatat peristiwa dari semua sumber peristiwa, dan tidak mencatat peristiwa data.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
]
}
```
Anda dapat menggunakan pemilih acara dasar atau lanjutan untuk mencatat peristiwa manajemen. Anda tidak dapat menerapkan pemilih peristiwa dan pemilih peristiwa lanjutan untuk satu jejak. Jika Anda menerapkan penyeleksi acara lanjutan ke jejak, pemilih acara dasar apa pun yang ada akan ditimpa. Bagian berikut memberikan contoh cara mencatat peristiwa manajemen menggunakan pemilih acara lanjutan dan pemilih acara dasar.
**Topics**
+ [
#### Contoh: Mencatat peristiwa manajemen untuk jalur menggunakan penyeleksi acara tingkat lanjut
](#log-mgmt-events-trails-examples-adv)
+ [
#### Contoh: Mencatat peristiwa manajemen untuk jalur menggunakan pemilih acara dasar
](#log-mgmt-events-trails-examples-basic)
#### Contoh: Mencatat peristiwa manajemen untuk jalur menggunakan penyeleksi acara tingkat lanjut
Contoh berikut membuat pemilih peristiwa lanjutan untuk jejak bernama *TrailName* untuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis (dengan menghilangkan `readOnly` pemilih), tetapi untuk mengecualikan () peristiwa. AWS Key Management Service AWS KMS Karena AWS KMS peristiwa diperlakukan sebagai peristiwa manajemen, dan mungkin ada volume yang tinggi, mereka dapat memiliki dampak besar pada CloudTrail tagihan Anda jika Anda memiliki lebih dari satu jejak yang menangkap peristiwa manajemen.
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, AWS KMS peristiwa tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan AWS KMS peristiwa.
Untuk mulai mencatat AWS KMS peristiwa ke jejak lagi, hapus `eventSource` pemilih, dan jalankan perintah lagi.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
]
}
]'
```
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "kms.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus `eventSource` pemilih, seperti yang ditunjukkan pada perintah berikut.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
Contoh berikutnya membuat pemilih peristiwa lanjutan untuk jejak bernama *TrailName* untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis (dengan menghilangkan `readOnly` pemilih), tetapi untuk mengecualikan peristiwa manajemen Amazon RDS Data API. Untuk mengecualikan peristiwa pengelolaan Amazon RDS Data API, tentukan sumber peristiwa Amazon RDS Data API dalam nilai string untuk `eventSource` bidang:. `rdsdata.amazonaws.com`
Jika Anda memilih untuk tidak mencatat peristiwa manajemen, peristiwa manajemen Amazon RDS Data API tidak dicatat, dan Anda tidak dapat mengubah pengaturan pencatatan peristiwa Amazon RDS Data API.
Untuk mulai mencatat peristiwa pengelolaan Amazon RDS Data API ke jejak lagi, hapus `eventSource` pemilih, dan jalankan perintah lagi.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
]
}
]'
```
Contoh mengembalikan pemilih acara lanjutan yang dikonfigurasi untuk jejak.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "rdsdata.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Untuk mulai mencatat peristiwa yang dikecualikan ke jejak lagi, hapus `eventSource` pemilih, seperti yang ditunjukkan pada perintah berikut.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
#### Contoh: Mencatat peristiwa manajemen untuk jalur menggunakan pemilih acara dasar
Untuk mengonfigurasi jejak Anda untuk mencatat peristiwa manajemen, jalankan `put-event-selectors` perintah. Contoh berikut menunjukkan cara mengonfigurasi jejak Anda untuk menyertakan semua peristiwa manajemen untuk dua objek S3. Anda dapat menentukan dari 1 hingga 5 penyeleksi acara untuk jejak. Anda dapat menentukan dari 1 hingga 250 sumber daya data untuk jejak.
**catatan**
Jumlah maksimum sumber daya data S3 adalah 250, terlepas dari jumlah pemilih acara.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'
```
Contoh berikut mengembalikan pemilih acara dikonfigurasi untuk jejak.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"EventSelectors": [
{
"ReadWriteType": "All",
"IncludeManagementEvents": true,
"DataResources": [
{
"Type": "AWS::S3::Object",
"Values": [
"arn:aws:s3:::amzn-s3-demo-bucket/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
]
}
],
"ExcludeManagementEventSources": []
}
]
}
```
Untuk mengecualikan AWS Key Management Service (AWS KMS) peristiwa dari log jejak, jalankan `put-event-selectors` perintah dan tambahkan atribut `ExcludeManagementEventSources` dengan nilai`kms.amazonaws.com`. Contoh berikut membuat pemilih acara untuk jejak bernama *TrailName* untuk menyertakan peristiwa manajemen hanya-baca dan hanya tulis, tetapi mengecualikan peristiwa. AWS KMS Karena AWS KMS dapat menghasilkan volume peristiwa yang tinggi, pengguna dalam contoh ini mungkin ingin membatasi peristiwa untuk mengelola biaya jejak.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
```
Contoh mengembalikan pemilih acara yang dikonfigurasi untuk jejak.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"EventSelectors": [
{
"ReadWriteType": "All",
"IncludeManagementEvents": true,
"DataResources": [],
"ExcludeManagementEventSources": [
"kms.amazonaws.com"
]
}
]
}
```
Untuk mengecualikan peristiwa pengelolaan Amazon RDS Data API dari log jejak, jalankan `put-event-selectors` perintah dan tambahkan atribut `ExcludeManagementEventSources` dengan nilai`rdsdata.amazonaws.com`. Contoh berikut membuat pemilih peristiwa untuk jejak bernama *TrailName* untuk menyertakan peristiwa manajemen hanya-baca dan hanya-tulis, tetapi mengecualikan peristiwa manajemen Amazon RDS Data API. Karena Amazon RDS Data API dapat menghasilkan volume peristiwa manajemen yang tinggi, pengguna dalam contoh ini mungkin ingin membatasi peristiwa untuk mengelola biaya jejak.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"EventSelectors": [
{
"ReadWriteType": "All",
"IncludeManagementEvents": true,
"DataResources": [],
"ExcludeManagementEventSources": [
"rdsdata.amazonaws.com"
]
}
]
}
```
Untuk memulai logging AWS KMS atau peristiwa pengelolaan Amazon RDS Data API ke jejak lagi, teruskan string kosong sebagai nilai`ExcludeManagementEventSources`, seperti yang ditunjukkan pada perintah berikut.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
```
Untuk mencatat AWS KMS peristiwa yang relevan ke jejak seperti`Disable`, `Delete` dan`ScheduleKey`, tetapi mengecualikan AWS KMS peristiwa volume tinggi seperti`Encrypt`,`Decrypt`, dan`GenerateDataKey`, mencatat peristiwa manajemen khusus tulis, dan menyimpan pengaturan default untuk mencatat AWS KMS peristiwa, seperti yang ditunjukkan dalam contoh berikut.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
```
### Contoh: Logging acara manajemen untuk penyimpanan data acara
Anda mencatat peristiwa manajemen untuk penyimpanan data peristiwa dengan mengonfigurasi pemilih acara lanjutan.
Bidang pemilih peristiwa lanjutan berikut didukung untuk peristiwa manajemen pencatatan pada penyimpanan data acara:
+ **`eventCategory`**— Anda harus menetapkan `eventCategory` sama `Management` dengan peristiwa manajemen log. Bidang ini harus diisi.
+ **`readOnly`**— `readOnly` dapat diatur `Equals` ke nilai `true` atau`false`. Ketika disetel ke`false`, data peristiwa menyimpan log peristiwa manajemen Write-only. Peristiwa manajemen hanya-baca adalah peristiwa yang tidak mengubah status sumber daya, seperti `Get*` atau `Describe*` peristiwa. Menulis peristiwa menambah, mengubah, atau menghapus sumber daya, atribut, atau artefak, seperti`Put*`,`Delete*`, atau `Write*` peristiwa. Untuk mencatat peristiwa **Baca** dan **Tulis**, jangan tambahkan `readOnly` pemilih.
+ **`eventName`**— `eventName` dapat menggunakan operator apa pun. Anda dapat menggunakannya untuk memasukkan atau mengecualikan acara manajemen apa pun, seperti `CreateAccessPoint` atau`GetAccessPoint`. Anda dapat menggunakan operator apa pun dengan bidang ini.
+ **`userIdentity.arn`**— Sertakan atau kecualikan peristiwa untuk tindakan yang diambil oleh identitas IAM tertentu. Untuk informasi selengkapnya, lihat elemen [CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Sertakan atau kecualikan acara yang berasal dari Konsol Manajemen AWS sesi. Bidang ini dapat diatur ke **Sama** atau `NotEquals` dengan nilai. `true`
+ **`eventSource`**— Anda dapat menggunakannya untuk memasukkan atau mengecualikan sumber acara tertentu. Biasanya `eventSource` merupakan bentuk pendek dari nama layanan tanpa spasi plus`.amazonaws.com`. Misalnya, Anda dapat mengatur `eventSource` `Equals` `ec2.amazonaws.com` untuk hanya mencatat peristiwa manajemen Amazon EC2.
+ **`eventType`**- [EventType](cloudtrail-event-reference-record-contents.md#ct-event-type) untuk menyertakan atau mengecualikan. Misalnya, Anda dapat mengatur bidang ini `NotEquals` `AwsServiceEvent` untuk mengecualikan [Layanan AWS peristiwa](non-api-aws-service-events.md). Anda dapat menggunakan operator apa pun dengan bidang ini.
Untuk melihat apakah penyimpanan data acara Anda menyertakan peristiwa manajemen, jalankan **get-event-data-store** perintah.
```
aws cloudtrail get-event-data-store
--event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Berikut ini adalah contoh respons. Pembuatan dan waktu pembaruan terakhir dalam `timestamp` format.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "myManagementEvents",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "FIXED_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00",
"UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00"
}
```
Untuk membuat penyimpanan data acara yang mencakup semua peristiwa manajemen, Anda menjalankan **create-event-data-store** perintah. Anda tidak perlu menentukan pemilih acara lanjutan untuk menyertakan semua acara manajemen.
```
aws cloudtrail create-event-data-store
--name my-event-data-store
--retention-period 90\
```
Berikut ini adalah contoh respons.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "my-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00",
"UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00"
}
```
**Topics**
+ [
#### Contoh: Kecualikan acara AWS KMS manajemen
](#log-mgmt-events-eds-examples-kms)
+ [
#### Contoh: Kecualikan acara manajemen Amazon RDS
](#log-mgmt-events-eds-examples-rds)
+ [
#### Contoh: Kecualikan Layanan AWS acara dan acara dari Konsol Manajemen AWS sesi
](#log-mgmt-events-eds-examples-service)
+ [
#### Contoh: Kecualikan peristiwa manajemen untuk identitas IAM tertentu
](#log-mgmt-events-eds-examples-useridentity)
#### Contoh: Kecualikan acara AWS KMS manajemen
Untuk membuat penyimpanan data peristiwa yang mengecualikan AWS Key Management Service (AWS KMS) peristiwa, jalankan `create-event-data-store` perintah dan tentukan yang `eventSource` tidak sama`kms.amazonaws.com`. Contoh berikut membuat penyimpanan data peristiwa yang mencakup peristiwa manajemen hanya-baca dan hanya tulis, tetapi mengecualikan peristiwa. AWS KMS
```
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
{
"Name": "Management events selector",
"FieldSelectors": [
{"Field": "eventCategory","Equals": ["Management"]},
{"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]}
]
}
]'
```
Berikut ini adalah contoh respons.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "event-data-store-name",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
},
{
"Field": "eventSource",
"NotEquals": [
"kms.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
"UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}
```
#### Contoh: Kecualikan acara manajemen Amazon RDS
Untuk membuat penyimpanan data peristiwa yang mengecualikan peristiwa manajemen Amazon RDS Data API, jalankan `create-event-data-store` perintah dan tentukan yang `eventSource` tidak sama. `rdsdata.amazonaws.com` Contoh berikut membuat penyimpanan data peristiwa yang menyertakan peristiwa manajemen hanya-baca dan hanya-tulis, tetapi mengecualikan peristiwa Amazon RDS Data API.
```
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[
{
"Name": "Management events selector",
"FieldSelectors": [
{"Field": "eventCategory","Equals": ["Management"]},
{"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]}
]
}
]'
```
Berikut ini adalah contoh respons.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "my-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
},
{
"Field": "eventSource",
"NotEquals": [
"rdsdata.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00",
"UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00"
}
```
#### Contoh: Kecualikan Layanan AWS acara dan acara dari Konsol Manajemen AWS sesi
Contoh berikut membuat penyimpanan data peristiwa yang mencatat peristiwa manajemen tetapi mengecualikan peristiwa dan Layanan AWS peristiwa yang berasal dari Konsol Manajemen AWS sesi.
```
aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
{
"Name": "Exclude Layanan AWS and console events",
"FieldSelectors": [
{"Field": "eventCategory","Equals": ["Management"]},
{"Field": "eventType","NotEquals": ["AwsServiceEvent"]},
{"Field": "sessionCredentialFromConsole","NotEquals": ["true"]}
]
}
]'
```
Berikut ini adalah contoh respons.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "event-data-store-name",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Exclude Layanan AWS and console events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
},
{
"Field": "eventType",
"NotEquals": [
"AwsServiceEvent"
]
},
{
"Field": "sessionCredentialFromConsole",
"NotEquals": [
"true"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
"UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}
```
#### Contoh: Kecualikan peristiwa manajemen untuk identitas IAM tertentu
Contoh berikut membuat penyimpanan data peristiwa yang mencatat peristiwa manajemen tetapi mengecualikan peristiwa yang dihasilkan oleh. `bucket-scanner-role` `userIdentity`
```
aws cloudtrail create-event-data-store --name event-data-store-name --advanced-event-selectors '[
{
"Name": "Exclude events generated by bucket-scanner-role userIdentity",
"FieldSelectors": [
{"Field": "eventCategory","Equals": ["Management"]},
{"Field": "userIdentity.arn","NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]}
]
}
]'
```
Berikut ini adalah contoh respons.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "event-data-store-name",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Exclude events generated by bucket-scanner-role userIdentity",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
},
{
"Field": "userIdentity.arn",
"NotStartsWith": [
"arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-11-13T17:02:02.067000+00:00",
"UpdatedTimestamp": "2024-11-13T17:02:02.241000+00:00"
}
```
## Pencatatan acara manajemen dengan AWS SDKs
Gunakan [GetEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html)operasi untuk melihat apakah jejak Anda mencatat peristiwa manajemen untuk jejak. Anda dapat mengonfigurasi jejak Anda untuk mencatat peristiwa manajemen dengan [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)operasi. Untuk informasi lebih lanjut, lihat [Referensi API AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).
Jalankan [GetEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventDataStore.html)operasi untuk melihat apakah penyimpanan data acara Anda menyertakan acara manajemen. Anda dapat mengonfigurasi penyimpanan data acara Anda untuk menyertakan peristiwa manajemen dengan menjalankan [CreateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateEventDataStore.html)atau [UpdateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html)operasi. Untuk informasi selengkapnya, lihat [Membuat, memperbarui, dan mengelola penyimpanan data acara dengan AWS CLI](lake-eds-cli.md) dan [Referensi AWS CloudTrail API](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/).