本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解敏感資料探索任務的日誌事件
<a name="discovery-jobs-monitor-cw-logs-ref"></a>

為了協助您監控敏感資料探索任務，Amazon Macie 會自動將任務的記錄資料發佈至 Amazon CloudWatch Logs。這些日誌中的資料會提供任務進度或狀態的變更記錄。例如，您可以使用資料來判斷任務開始執行或完成執行的確切日期和時間。資料也提供任務執行時可能發生之特定類型錯誤的詳細資訊。此資料可協助您識別、調查和解決防止 Macie 分析所需資料的錯誤。

當您開始執行任務時，Macie 會自動在 CloudWatch Logs 中建立和設定適當的資源，以記錄所有任務的事件。然後，Macie 會在任務執行時自動將事件資料發佈至這些資源。如需詳細資訊，請參閱[記錄如何適用於 任務](discovery-jobs-monitor-cw-logs-configure.md)。

透過使用 CloudWatch Logs，您可以查詢和分析任務的日誌資料。例如，您可以搜尋和篩選彙總資料，以識別在特定時間範圍內所有任務發生的特定事件類型。或者，您可以對特定任務發生的所有事件執行目標審查。CloudWatch Logs 也提供監控日誌資料、定義指標篩選條件和建立自訂警示的選項。例如，您可以設定 CloudWatch Logs，以便在任務執行時發生特定類型的事件時通知您。如需詳細資訊，請參閱 [Amazon CloudWatch Logs 使用者指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)。

**Contents**
+ [任務的日誌事件結構描述](#discovery-jobs-monitor-cw-logs-schema)
+ [任務的日誌事件類型](#discovery-jobs-monitor-cw-logs-event-index)
  + [任務狀態事件](#discovery-jobs-monitor-cw-logs-event-index-status)
  + [帳戶層級錯誤事件](#discovery-jobs-monitor-cw-logs-event-index-account-errors)
  + [儲存貯體層級錯誤事件](#discovery-jobs-monitor-cw-logs-event-index-bucket-errors)

## 敏感資料探索任務的日誌事件結構描述
<a name="discovery-jobs-monitor-cw-logs-schema"></a>

敏感資料探索任務的每個日誌事件都是 JSON 物件，其中包含一組標準欄位，並符合 Amazon CloudWatch Logs 事件結構描述。某些類型的事件具有額外的欄位，可提供對該類型事件特別有用的資訊。例如，帳戶層級錯誤的事件包括受影響 的帳戶 ID AWS 帳戶。儲存貯體層級錯誤的事件包括受影響的 Amazon Simple Storage Service (Amazon S3) 儲存貯體的名稱。

下列範例顯示敏感資料探索任務的日誌事件結構描述。在此範例中，事件報告 Amazon Macie 無法分析 S3 儲存貯體中的任何物件，因為 Amazon S3 拒絕存取儲存貯體。

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:08:30.345809Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}
```

在上述範例中，Macie 嘗試使用 Amazon S3 API 的 [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) 操作列出儲存貯體的物件。當 Macie 將請求傳送到 Amazon S3 時，Amazon S3 拒絕存取儲存貯體。

下列欄位常見於敏感資料探索任務的所有日誌事件：
+ `adminAccountId` – AWS 帳戶 建立任務之 的唯一識別符。
+ `jobId` – 任務的唯一識別符。
+ `eventType` – 發生的事件類型。
+ `occurredAt` – 事件發生時的日期和時間，以國際標準時間 (UTC) 和擴充 ISO 8601 格式顯示。
+ `description` – 事件的簡短描述。
+ `jobName` – 任務的名稱。

根據事件的類型和性質，日誌事件也可以包含下列欄位：
+ `affectedAccount` – 擁有受影響資源 AWS 帳戶 之 的唯一識別符。
+ `affectedResource` – 提供受影響資源詳細資訊的 JSON 物件。在 物件中， `type` 欄位會指定儲存資源中繼資料的欄位。`value` 欄位指定 欄位 () 的值`type`。
+ `operation` – Macie 嘗試執行並導致錯誤的操作。
+ `runDate` – 適用任務或任務執行開始時，以國際標準時間 (UTC) 和擴充 ISO 8601 格式顯示的日期和時間。

## 敏感資料探索任務的日誌事件類型
<a name="discovery-jobs-monitor-cw-logs-event-index"></a>

Amazon Macie 會針對敏感資料探索任務可能發生的三種事件類別發佈日誌事件：
+ 任務狀態事件，記錄任務或任務執行的狀態或進度變更。
+ 帳戶層級錯誤事件，會記錄導致 Macie 無法分析特定 Amazon S3 資料的錯誤 AWS 帳戶。
+ 儲存貯體層級錯誤事件，會記錄導致 Macie 無法分析特定 S3 儲存貯體中資料的錯誤。

本節中的主題會列出並描述 Macie 為每個類別發佈的事件類型。

### 任務狀態事件
<a name="discovery-jobs-monitor-cw-logs-event-index-status"></a>

任務狀態事件會記錄任務或任務執行的狀態或進度變更。對於定期任務，Macie 會為整體任務和個別任務執行記錄和發佈這些事件。

下列範例使用範例資料來顯示任務狀態事件中欄位的結構和性質。在此範例中，`SCHEDULED_RUN_COMPLETED`事件表示定期任務的排程執行已完成。執行於 2024 年 4 月 14 日 UTC 17：09：30 開始，如 `runDate` 欄位所示。執行已於 2024 年 4 月 14 日 UTC 17：16：30 完成，如 `occurredAt` 欄位所示。

```
{
    "adminAccountId": "123456789012",
    "jobId": "ffad0e71455f38a4c7c220f3cexample",
    "eventType": "SCHEDULED_RUN_COMPLETED",
    "occurredAt": "2024-04-14T17:16:30.574809Z",
    "description": "The scheduled job run finished running.",
    "jobName": "My_Daily_Macie_Job",
    "runDate": "2024-04-14T17:09:30.574809Z"
}
```

下表列出並說明 Macie 記錄並發佈至 CloudWatch Logs 的任務狀態事件類型。**事件類型**欄指出每個事件的名稱，如事件的 `eventType` 欄位中所示。**描述**欄提供事件在事件 `description` 欄位中顯示的簡短描述。**其他資訊**提供有關事件套用之任務類型的資訊。資料表會先依事件可能發生的一般時間順序排序，然後依事件類型遞增字母順序排序。


| 事件類型 | Description | 其他資訊 | 
| --- | --- | --- | 
|  JOB\$1CREATED  |  任務已建立。  |  適用於一次性和定期任務。  | 
| ONE\$1TIME\$1JOB\$1STARTED |  任務已開始執行。  |  僅適用於一次性任務。  | 
|  SCHEDULED\$1RUN\$1STARTED  |  排程的任務執行已開始執行。  |  僅適用於定期任務。若要記錄一次性任務的開始，Macie 會發佈 ONE\$1TIME\$1JOB\$1STARTED 事件，而不是此類型的事件。  | 
|  BUCKET\$1MATCHED\$1THE\$1CRITERIA  |  受影響的儲存貯體符合為任務指定的儲存貯體條件。  |  適用於使用執行時間儲存貯體條件來判斷要分析哪些 S3 儲存貯體的一次性和定期任務。 `affectedResource` 物件會指定符合條件且包含在任務分析中的儲存貯體名稱。  | 
|  NO\$1BUCKETS\$1MATCHED\$1THE\$1CRITERIA  |  任務已開始執行，但目前沒有儲存貯體符合為任務指定的儲存貯體條件。任務未分析任何資料。  |  適用於使用執行時間儲存貯體條件來判斷要分析哪些 S3 儲存貯體的一次性和定期任務。  | 
| SCHEDULED\$1RUN\$1COMPLETED |  排程任務執行已完成執行。  |  僅適用於定期任務。為了記錄一次性任務的完成，Macie 發佈 JOB\$1COMPLETED 事件，而不是此類型的事件。  | 
|  JOB\$1PAUSED\$1BY\$1USER  |  使用者已暫停任務。  |  適用於您暫時停止 （暫停） 的一次性和定期任務。  | 
|  JOB\$1RESUMED\$1BY\$1USER  |  任務已由使用者繼續。  |  適用於您暫時停止 （暫停） 和稍後繼續的一次性和定期任務。  | 
|  JOB\$1PAUSED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1MET  |  Macie 已暫停任務。完成任務將超過受影響帳戶的每月配額。  |  適用於 Macie 暫時停止 （暫停） 的一次性和定期任務。 當任務或任務執行的額外處理超過任務分析資料的一或多個帳戶的每月[敏感資料探索配額](macie-quotas.md)時，Macie 會自動暫停任務。若要避免此問題，請考慮增加受影響帳戶的配額。  | 
|  JOB\$1RESUMED\$1BY\$1MACIE\$1SERVICE\$1QUOTA\$1LIFTED  |  Macie 已繼續任務。已取消受影響帳戶的每月服務配額。  |  適用於 Macie 暫時停止 （暫停） 及稍後繼續的一次性和定期任務。 如果 Macie 自動暫停一次性任務，Macie 會在下個月開始時自動繼續任務，或提高所有受影響帳戶的每月敏感資料探索配額，以先發生者為準。如果 Macie 自動暫停定期任務，則下次執行排定開始或下個月開始時，Macie 會自動繼續任務，以先發生者為準。  | 
|  JOB\$1CANCELLED  | 任務已取消。 |  適用於您永久停止 （取消） 的一次性和定期任務，或者，對於一次性任務，暫停且未在 30 天內恢復。 如果您暫停或停用 Macie，這種類型的事件也適用於暫停或停用 Macie 時處於作用中或已暫停的任務。 AWS 區域 如果您在 區域中暫停或停用 Macie，Macie 會自動取消您在 中的任務。  | 
|  JOB\$1COMPLETED  |  任務已完成執行。  |  僅適用於一次性任務。為了記錄定期任務的任務執行完成，Macie 發佈 SCHEDULED\$1RUN\$1COMPLETED 事件，而不是此類型的事件。  | 

### 帳戶層級錯誤事件
<a name="discovery-jobs-monitor-cw-logs-event-index-account-errors"></a>

帳戶層級錯誤事件會記錄錯誤，讓 Macie 無法分析特定 擁有之 S3 儲存貯體中的物件 AWS 帳戶。每個事件中的 `affectedAccount` 欄位會指定該帳戶的帳戶 ID。

下列範例使用範例資料來顯示帳戶層級錯誤事件中欄位的結構和性質。在此範例中，`ACCOUNT_ACCESS_DENIED`事件表示 Macie 無法分析帳戶 擁有的任何 S3 儲存貯體中的物件`444455556666`。

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "ACCOUNT_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:08:30.585709Z",
    "description": "Macie doesn’t have permission to access S3 bucket data for the affected account.",
    "jobName": "My_Macie_Job",
    "operation": "ListBuckets",
    "runDate": "2024-04-14T17:05:27.574809Z",
    "affectedAccount": "444455556666"
}
```

下表列出並說明 Macie 記錄和發佈至 CloudWatch Logs 的帳戶層級錯誤事件類型。**事件類型**欄會指出事件`eventType`欄位中出現的每個事件名稱。**描述**欄提供事件在事件`description`欄位中顯示的簡短描述。**其他資訊**欄提供調查或解決錯誤的任何適用秘訣。資料表會依事件類型依字母順序遞增排序。


| 事件類型 | Description | 其他資訊 | 
| --- | --- | --- | 
|  ACCOUNT\$1ACCESS\$1DENIED  |  Macie 沒有存取受影響帳戶的 S3 儲存貯體資料的許可。  |  這通常是因為帳戶擁有的儲存貯體具有限制性儲存貯體政策。如需如何解決此問題的資訊，請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。 事件中的 `operation` 欄位值可協助您判斷哪些許可設定阻止 Macie 存取帳戶的 S3 資料。此欄位表示 Macie 在錯誤發生時嘗試執行的 Amazon S3 操作。  | 
| ACCOUNT\$1DISABLED |  任務略過了受影響帳戶所擁有的資源。帳戶已停用 Macie。  |  若要解決此問題，請為相同 中的帳戶重新啟用 Macie AWS 區域。  | 
| ACCOUNT\$1DISASSOCIATED |  任務略過了受影響帳戶所擁有的資源。該帳戶不再與您的 Macie 管理員帳戶關聯為成員帳戶。  |  身為組織的 Macie 管理員，如果您設定任務來分析成員帳戶的資料，而帳戶稍後會從組織中移除，就會發生這種情況。 若要解決此問題，請將受影響的帳戶與 Macie 管理員帳戶重新關聯為成員帳戶。如需詳細資訊，請參閱[管理多個 帳戶](macie-accounts.md)。  | 
|  ACCOUNT\$1ISOLATED  |  任務略過了受影響帳戶所擁有的資源。 AWS 帳戶 已隔離 。  |  –  | 
|  ACCOUNT\$1REGION\$1DISABLED  |  任務略過了受影響帳戶所擁有的資源。在目前的 中 AWS 帳戶 ， 不會處於作用中狀態 AWS 區域。  |  –   | 
|  ACCOUNT\$1SUSPENDED  |  任務已取消或略過受影響帳戶所擁有的資源。Macie 已暫停帳戶的 。  |  如果指定的帳戶是您自己的帳戶，當您在相同區域中暫停 Macie 時，Macie 會自動取消任務。若要解決此問題，請在 區域中重新啟用 Macie。 如果指定的帳戶是成員帳戶，請在相同區域中重新啟用該帳戶的 Macie。  | 
|  ACCOUNT\$1TERMINATED  |  任務略過了受影響帳戶所擁有的資源。 AWS 帳戶 已終止。  |  –  | 

### 儲存貯體層級錯誤事件
<a name="discovery-jobs-monitor-cw-logs-event-index-bucket-errors"></a>

儲存貯體層級錯誤事件會記錄導致 Macie 無法分析特定 S3 儲存貯體中物件的錯誤。每個事件中的 `affectedAccount` 欄位會指定 AWS 帳戶 擁有儲存貯體之 的帳戶 ID。每個事件中的`affectedResource`物件會指定儲存貯體的名稱。

下列範例使用範例資料來顯示儲存貯體層級錯誤事件中欄位的結構和性質。在此範例中，`BUCKET_ACCESS_DENIED`事件表示 Macie 無法分析 S3 儲存貯體中名為 的任何物件`amzn-s3-demo-bucket`。當 Macie 嘗試使用 Amazon S3 API 的 [ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) 操作列出儲存貯體的物件時，Amazon S3 會拒絕存取儲存貯體。

```
{
    "adminAccountId": "123456789012",
    "jobId": "85a55dc0fa6ed0be5939d0408example",
    "eventType": "BUCKET_ACCESS_DENIED",
    "occurredAt": "2024-04-14T17:11:30.574809Z",
    "description": "Macie doesn’t have permission to access the affected S3 bucket.",
    "jobName": "My_Macie_Job",
    "operation": "ListObjectsV2",
    "runDate": "2024-04-14T17:09:30.685209Z",
    "affectedAccount": "111122223333",
    "affectedResource": {
        "type": "S3_BUCKET_NAME",
        "value": "amzn-s3-demo-bucket"
    }
}
```

下表列出並說明 Macie 記錄並發佈至 CloudWatch Logs 的儲存貯體層級錯誤事件類型。**事件類型**欄指出每個事件的名稱，如事件的 `eventType` 欄位中所示。**描述**欄提供事件在事件 `description` 欄位中顯示的簡短描述。**其他資訊**欄提供調查或解決所發生錯誤的任何適用秘訣。資料表會依事件類型依字母順序遞增排序。


| 事件類型 | Description | 其他資訊 | 
| --- | --- | --- | 
|  BUCKET\$1ACCESS\$1DENIED  |  Macie 沒有存取受影響 S3 儲存貯體的許可。  |  這通常是因為儲存貯體具有限制性儲存貯體政策。如需如何解決此問題的資訊，請參閱 [允許 Macie 存取 S3 儲存貯體和物件](monitoring-restrictive-s3-buckets.md)。 事件中的 `operation` 欄位值可協助您判斷 Macie 無法存取儲存貯體的許可設定。此欄位表示 Macie 在錯誤發生時嘗試執行的 Amazon S3 操作。  | 
|  BUCKET\$1DETAILS\$1UNAVAILABLE  |  暫時問題導致 Macie 無法擷取儲存貯體和儲存貯體物件的詳細資訊。  |  如果暫時性問題導致 Macie 無法擷取分析儲存貯體物件所需的儲存貯體和物件中繼資料，就會發生這種情況。例如，當 Macie 嘗試驗證允許存取儲存貯體時，發生 Amazon S3 例外狀況。 若要解決一次性任務的問題，請考慮建立並執行新的一次性任務，以分析儲存貯體中的物件。對於排程任務，Macie 會在下次任務執行期間嘗試再次擷取中繼資料。  | 
| BUCKET\$1DOES\$1NOT\$1EXIST |  受影響的 S3 儲存貯體已不存在。  |  這通常是因為儲存貯體已刪除而發生。  | 
|  BUCKET\$1IN\$1DIFFERENT\$1REGION  |  受影響的 S3 儲存貯體已移至不同的 AWS 區域。  |  –  | 
| BUCKET\$1OWNER\$1CHANGED |  受影響的 S3 儲存貯體擁有者已變更。Macie 不再擁有存取儲存貯體的許可。  |  如果儲存貯體的擁有權轉移到不屬於您組織的 AWS 帳戶 ，通常會發生這種情況。事件中的 `affectedAccount` 欄位指出先前擁有儲存貯體之帳戶的帳戶 ID。  |