Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengirim acara ke CloudWatch Log
Saat Anda mengonfigurasi jejak Anda untuk mengirim peristiwa ke CloudWatch Log, CloudTrail kirimkan hanya peristiwa yang sesuai dengan pengaturan jejak Anda. Misalnya, jika Anda mengonfigurasi jejak Anda untuk mencatat peristiwa data saja, jejak Anda akan mengirimkan peristiwa data hanya ke grup CloudWatch log Log Anda. CloudTrail mendukung pengiriman data, Wawasan, dan acara manajemen ke CloudWatch Log. Untuk informasi selengkapnya, lihat [Bekerja dengan file CloudTrail log](cloudtrail-working-with-log-files.md).
**catatan**
Hanya akun manajemen yang dapat mengonfigurasi grup CloudWatch log Log untuk jejak organisasi menggunakan konsol. Administrator yang didelegasikan dapat mengonfigurasi grup CloudWatch log Log menggunakan operasi AWS CLI atau CloudTrail `CreateTrail` atau `UpdateTrail` API.
Untuk mengirim peristiwa ke grup CloudWatch log Log:
+ Pastikan Anda memiliki izin yang cukup untuk membuat atau menentukan peran IAM. Untuk informasi selengkapnya, lihat [Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
+ Jika Anda mengonfigurasi grup CloudWatch log Log menggunakan AWS CLI, pastikan Anda memiliki izin yang cukup untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut. Untuk informasi selengkapnya, lihat [Membuat dokumen kebijakan](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document).
+ Buat jejak baru atau tentukan yang sudah ada. Untuk informasi selengkapnya, lihat [Membuat dan memperbarui jejak dengan konsol](cloudtrail-create-and-update-a-trail-by-using-the-console.md).
+ Buat grup log atau tentukan yang sudah ada.
+ Tentukan peran IAM. Jika Anda memodifikasi peran IAM yang ada untuk jejak organisasi, Anda harus memperbarui kebijakan secara manual untuk mengizinkan pencatatan jejak organisasi. Untuk informasi selengkapnya, lihat [contoh kebijakan ini](#policy-cwl-org) dan[Membuat jejak untuk sebuah organisasi](creating-trail-organization.md).
+ Lampirkan kebijakan peran atau gunakan default.
**Contents**
+ [
## Mengkonfigurasi pemantauan CloudWatch Log dengan konsol
](#send-cloudtrail-events-to-cloudwatch-logs-console)
+ [
### Membuat grup log atau menentukan grup log yang ada
](#send-cloudtrail-events-to-cloudwatch-logs-console-create-log-group)
+ [
### Menentukan peran IAM
](#send-cloudtrail-events-to-cloudwatch-logs-console-create-role)
+ [
### Melihat acara di CloudWatch konsol
](#viewing-events-in-cloudwatch)
+ [
## Mengkonfigurasi pemantauan CloudWatch Log dengan AWS CLI
](#send-cloudtrail-events-to-cloudwatch-logs-cli)
+ [
### Membuat grup log
](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-log-group)
+ [
### Membuat peran
](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-role)
+ [
### Membuat dokumen kebijakan
](#send-cloudtrail-events-to-cloudwatch-logs-cli-create-policy-document)
+ [
### Memperbarui jejak
](#send-cloudtrail-events-to-cloudwatch-logs-cli-update-trail)
+ [
## Batasan
](#send-cloudtrail-events-to-cloudwatch-logs-limitations)
## Mengkonfigurasi pemantauan CloudWatch Log dengan konsol
Anda dapat menggunakan Konsol Manajemen AWS untuk mengonfigurasi jejak Anda untuk mengirim peristiwa ke CloudWatch Log untuk pemantauan.
### Membuat grup log atau menentukan grup log yang ada
CloudTrail menggunakan grup CloudWatch log Log sebagai titik akhir pengiriman untuk peristiwa log. Anda dapat membuat grup log atau menentukan grup yang sudah ada.
**Untuk membuat atau menentukan grup log untuk jejak yang ada**
1. Pastikan Anda masuk dengan pengguna administratif atau peran dengan izin yang cukup untuk mengonfigurasi integrasi CloudWatch Log. Untuk informasi selengkapnya, lihat [Memberikan izin untuk melihat dan mengonfigurasi informasi CloudWatch Log Amazon di konsol CloudTrail](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users).
**catatan**
Hanya akun manajemen yang dapat mengonfigurasi grup CloudWatch log Log untuk jejak organisasi menggunakan konsol. Administrator yang didelegasikan dapat mengonfigurasi grup CloudWatch log Log menggunakan operasi AWS CLI atau CloudTrail `CreateTrail` atau `UpdateTrail` API.
1. Buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Pilih nama jejak. Jika Anda memilih jalur Multi-wilayah, Anda akan diarahkan ke Wilayah tempat jejak itu dibuat. Anda dapat membuat grup log atau memilih grup log yang ada di Wilayah yang sama dengan jejak.
**catatan**
Jejak Multi-wilayah mengirimkan file log dari semua Wilayah yang diaktifkan di grup CloudWatch log Log yang Anda tentukan. Akun AWS
1. Di **CloudWatch Log**, pilih **Edit**.
1. Untuk **CloudWatch Log**, pilih **Diaktifkan**.
1. Untuk **nama grup Log**, pilih **Baru** untuk membuat grup log baru, atau **Ada** untuk menggunakan yang sudah ada. Jika Anda memilih **Baru**, CloudTrail menentukan nama untuk grup log baru untuk Anda, atau Anda dapat mengetikkan nama. Untuk informasi lebih lanjut tentang penamaan, lihat[CloudWatch grup log dan penamaan aliran log untuk CloudTrail](cloudwatch-log-group-log-stream-naming-for-cloudtrail.md).
1. Jika Anda memilih **yang ada**, pilih grup log dari daftar drop-down.
1. Untuk **nama Peran**, pilih **Baru** untuk membuat peran IAM baru untuk izin mengirim log ke CloudWatch Log. Pilih **Existing** untuk memilih peran IAM yang ada dari daftar drop-down. Pernyataan kebijakan untuk peran baru atau yang sudah ada ditampilkan saat Anda memperluas **dokumen Kebijakan**. Untuk informasi selengkapnya tentang peran ini, silakan lihat [Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan](cloudtrail-required-policy-for-cloudwatch-logs.md).
**catatan**
Saat mengonfigurasi jejak, Anda dapat memilih bucket S3 dan topik SNS milik akun lain. Namun, jika Anda CloudTrail ingin mengirimkan peristiwa ke grup CloudWatch log Log, Anda harus memilih grup log yang ada di akun Anda saat ini.
1. Pilih **Simpan perubahan**.
### Menentukan peran IAM
Anda dapat menentukan peran CloudTrail untuk diasumsikan untuk mengirimkan peristiwa ke aliran log.
**Untuk menentukan peran**
1. Secara default, `CloudTrail_CloudWatchLogs_Role` ditentukan untuk Anda. Kebijakan peran default memiliki izin yang diperlukan untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan, dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut.
**catatan**
Jika Anda ingin menggunakan peran ini untuk grup log untuk jejak organisasi, Anda harus mengubah kebijakan secara manual setelah membuat peran. Untuk informasi selengkapnya, lihat [contoh kebijakan ini](#policy-cwl-org) dan[Membuat jejak untuk sebuah organisasi](creating-trail-organization.md).
1. Untuk memverifikasi peran, buka AWS Identity and Access Management konsol di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pilih **Peran** dan kemudian pilih **CloudTrail\$1 CloudWatchLogs \$1Role**.
1. Dari tab **Izin, perluas** kebijakan untuk melihat kontennya.
1. Anda dapat menentukan peran lain, tetapi Anda harus melampirkan kebijakan peran yang diperlukan ke peran yang ada jika Anda ingin menggunakannya untuk mengirim peristiwa ke CloudWatch Log. Untuk informasi selengkapnya, lihat [Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan](cloudtrail-required-policy-for-cloudwatch-logs.md).
### Melihat acara di CloudWatch konsol
Setelah mengonfigurasi jejak untuk mengirim peristiwa ke grup CloudWatch log Log, Anda dapat melihat peristiwa di CloudWatch konsol. CloudTrail biasanya mengirimkan peristiwa ke grup log Anda dalam waktu rata-rata sekitar 5 menit setelah panggilan API. Kali ini tidak dijamin. Tinjau [Perjanjian Tingkat AWS CloudTrail Layanan](https://aws.amazon.com/cloudtrail/sla) untuk informasi lebih lanjut.
**Untuk melihat peristiwa di CloudWatch konsol**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi kiri, di bawah **Log**, pilih **Grup log**.
1. Pilih grup log yang Anda tentukan untuk jejak Anda.
1. Pilih aliran log yang ingin Anda lihat.
1. Untuk melihat detail peristiwa yang dicatat jejak Anda, pilih acara.
**catatan**
Kolom **Waktu (UTC)** di CloudWatch konsol menunjukkan kapan acara dikirim ke grup log Anda. Untuk melihat waktu aktual peristiwa itu dicatat CloudTrail, lihat `eventTime` bidangnya.
## Mengkonfigurasi pemantauan CloudWatch Log dengan AWS CLI
Anda dapat menggunakan AWS CLI untuk mengkonfigurasi CloudTrail untuk mengirim peristiwa ke CloudWatch Log untuk pemantauan.
### Membuat grup log
1. Jika Anda tidak memiliki grup log yang ada, buat grup CloudWatch log Log sebagai titik akhir pengiriman untuk peristiwa log menggunakan `create-log-group` perintah CloudWatch Log.
```
aws logs create-log-group --log-group-name name
```
Contoh berikut membuat grup log bernama`CloudTrail/logs`:
```
aws logs create-log-group --log-group-name CloudTrail/logs
```
1. Ambil grup log Amazon Resource Name (ARN).
```
aws logs describe-log-groups
```
### Membuat peran
Buat peran CloudTrail yang memungkinkannya mengirim peristiwa ke grup CloudWatch log Log. `create-role`Perintah IAM mengambil dua parameter: nama peran dan jalur file ke dokumen kebijakan peran asumsi dalam format JSON. Dokumen kebijakan yang Anda gunakan memberikan `AssumeRole` izin untuk CloudTrail. `create-role`Perintah membuat peran dengan izin yang diperlukan.
Untuk membuat file JSON yang akan berisi dokumen kebijakan, buka editor teks dan simpan konten kebijakan berikut dalam file bernama`assume_role_policy_document.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Jalankan perintah berikut untuk membuat peran dengan `AssumeRole` izin untuk CloudTrail.
```
aws iam create-role --role-name role_name --assume-role-policy-document file://.json
```
Ketika perintah selesai, catat peran ARN dalam output.
### Membuat dokumen kebijakan
Buat dokumen kebijakan peran berikut untuk CloudTrail. Dokumen ini memberikan izin CloudTrail yang diperlukan untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream2014110",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-1*"
]
}
]
}
```
------
Simpan dokumen kebijakan dalam file bernama`role-policy-document.json`.
Jika Anda membuat kebijakan yang mungkin digunakan untuk jejak organisasi juga, Anda perlu mengonfigurasinya sedikit berbeda. Misalnya, kebijakan berikut memberikan CloudTrail izin yang diperlukan untuk membuat aliran log Log di grup CloudWatch log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut untuk kedua jejak di AWS akun 11111111111111 dan untuk jejak organisasi yang dibuat di akun 11111111111111 yang diterapkan ke organisasi dengan ID: AWS Organizations *o-exampleorgid*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailCreateLogStream20141101",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
]
},
{
"Sid": "AWSCloudTrailPutLogEvents20141101",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
"arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-aa111bb222_*"
]
}
]
}
```
------
Untuk informasi selengkapnya tentang jalur organisasi, lihat[Membuat jejak untuk sebuah organisasi](creating-trail-organization.md).
Jalankan perintah berikut untuk menerapkan kebijakan ke peran.
```
aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://.json
```
### Memperbarui jejak
Perbarui jejak dengan grup log dan informasi peran menggunakan CloudTrail `update-trail` perintah.
```
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn
```
Untuk informasi selengkapnya tentang AWS CLI perintah, lihat [Referensi Baris AWS CloudTrail Perintah](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/).
## Batasan
CloudWatch Log dan EventBridge masing-masing [memungkinkan ukuran acara maksimum 256 KB](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html). Meskipun sebagian besar acara layanan memiliki ukuran maksimum 256 KB, beberapa layanan masih memiliki acara yang lebih besar. CloudTrail tidak mengirim acara ini ke CloudWatch Log atau EventBridge.
Dimulai dengan CloudTrail acara versi 1.05, acara memiliki ukuran maksimum 256 KB. Ini untuk membantu mencegah eksploitasi oleh pelaku jahat, dan memungkinkan acara dikonsumsi oleh AWS layanan lain, seperti CloudWatch Log dan EventBridge.