将 CloudTrail 日志与 Amazon S3 服务器访问日志和 CloudWatch Logs 结合使用使用 Amazon S3 SOAP API 调用进行 CloudTrail 跟踪

使用 Amazon CloudTrail 记录 Amazon S3 API 调用

Amazon S3 与 Amazon CloudTrail 集成，后者是一项提供用户、角色或 Amazon Web Service所采取操作的记录的服务。CloudTrail 将 Amazon S3 的所有 API 调用作为事件捕获。捕获的调用中包括通过 Amazon S3 控制台的调用和对 Amazon S3 API 操作的代码调用。借助通过 CloudTrail 收集的信息，您可以确定向 Amazon S3 发出哪些请求、发出请求的 IP 地址、请求的发出时间以及其它详细信息。

每个事件或日记账条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容：

请求是使用根用户凭证还是用户凭证发出的。
请求是否代表 IAM Identity Center 用户发出。
请求是使用角色还是联合用户的临时安全凭证发出的。
请求是否由其他 Amazon Web Service 发出。

当您创建账户并可以自动访问 CloudTrail 事件历史记录时，CloudTrail 在您的 Amazon Web Services 账户中处于活动状态。CloudTrail 事件历史记录提供对 Amazon Web Services 区域中过去 90 天的已记录管理事件的可查看、可搜索、可下载和不可变记录。有关更多信息，请参见《Amazon CloudTrail 用户指南》的使用 CloudTrail 事件历史记录。查看事件历史记录不会收取 CloudTrail 费用。

要持续记录您的 Amazon Web Services 账户过去 90 天的事件，请创建跟踪或 CloudTrail Lake 事件数据存储。

CloudTrail 跟踪

通过跟踪记录，CloudTrail 可将日志文件传送至 Simple Storage Service (Amazon S3) 存储桶。使用 Amazon Web Services Management Console 创建的所有跟踪均具有多区域属性。您可以通过使用 Amazon CLI 创建单区域或多区域跟踪。建议创建多区域跟踪，因为您可记录您账户中的所有 Amazon Web Services 区域的活动。如果您创建单区域跟踪，则只能查看跟踪的 Amazon Web Services 区域中记录的事件。有关跟踪的更多信息，请参阅《Amazon CloudTrail 用户指南》中的为您的 Amazon Web Services 账户创建跟踪和为组织创建跟踪。

通过创建跟踪，您可以从 CloudTrail 免费向您的 Amazon S3 存储桶传送一份正在进行的管理事件的副本，但会收取 Amazon S3 存储费用。有关 CloudTrail 定价的更多信息，请参阅 Amazon CloudTrail 定价。有关 Amazon S3 定价的信息，请参阅 Amazon S3 定价。

CloudTrail Lake 事件数据存储

CloudTrail Lake 允许您对事件运行基于 SQL 的查询。CloudTrail Lake 可将基于行的 JSON 格式的现有事件转换为 Apache ORC 格式。ORC 是一种针对快速检索数据进行优化的列式存储格式。事件将被聚合到事件数据存储中，它是基于您通过应用高级事件选择器选择的条件的不可变的事件集合。应用于事件数据存储的选择器用于控制哪些事件持续存在并可供您查询。有关 CloudTrail Lake 的更多信息，请参阅《Amazon CloudTrail 用户指南》中的使用 Amazon CloudTrail Lake。

CloudTrail Lake 事件数据存储和查询会产生费用。创建事件数据存储时，您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本，以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价的更多信息，请参阅 Amazon CloudTrail 定价。

日志文件可以在存储桶中存储任意长时间，不过您也可以定义 Amazon S3 生命周期规则以自动归档或删除日志文件。默认情况下，将使用 Amazon S3 服务器端加密 (SSE) 对日志文件进行加密。

将 CloudTrail 日志与 Amazon S3 服务器访问日志和 CloudWatch Logs 结合使用

Amazon CloudTrail 日志记录用户、角色或 Amazon 服务在 Amazon S3 中执行的操作，而 Amazon S3 服务器访问日志提供向 S3 存储桶发出的请求的详细记录。有关不同日志的工作方式及其属性、性能和成本的更多信息，请参阅 Amazon S3 的日志记录选项。

您可以将 Amazon CloudTrail 日志与 Amazon S3 的服务器访问日志搭配使用。CloudTrail 日志为您提供了 Amazon S3 存储桶级别和对象级操作的详细 API 跟踪。Amazon S3 的服务器访问日志可让您了解对于 Amazon S3 中您的数据的对象级操作。有关服务器访问日志的更多信息，请参阅使用服务器访问日志记录来记录请求。

您还可以将 CloudTrail 日志与 Amazon S3 的 Amazon CloudWatch 一起使用。CloudTrail 与 CloudWatch Logs 集成可将 CloudTrail 捕获到的 S3 存储桶级 API 活动传送给您指定的 CloudWatch 日志组中的 CloudWatch 日志流。您可以创建用于监控特定 API 活动的 CloudWatch 警报，并在此特定 API 活动发生时收到电子邮件通知。有关用于监控特定 API 活动的 CloudWatch 警报的更多信息，请参阅 Amazon CloudTrail 用户指南。有关将 CloudWatch 与 Amazon S3 结合使用的更多信息，请参阅使用 Amazon CloudWatch 监控指标。

注意

当 VPC 端点策略拒绝时，S3 不支持向 VPC 端点请求的请求者或存储桶拥有者传输 CloudTrail 日志。

使用 Amazon S3 SOAP API 调用进行 CloudTrail 跟踪

CloudTrail 跟踪 Amazon S3 SOAP API 调用。Amazon S3 HTTP 上的 SOAP 支持已弃用，但是仍可在 HTTPS 上使用。有关 Amazon S3 SOAP 支持的更多信息，请参阅附录 A：使用 SOAP API。

重要

SOAP 不支持较新的 Amazon S3 特征。我们建议您使用 REST API 或 Amazon SDK。

CloudTrail 日志记录跟踪的 Amazon S3 SOAP 操作
SOAP API 名称	CloudTrail 日志中使用的 API 事件名称
ListAllMyBuckets	`ListBuckets`
CreateBucket	`CreateBucket`
DeleteBucket	`DeleteBucket`
GetBucketAccessControlPolicy	`GetBucketAcl`
SetBucketAccessControlPolicy	`PutBucketAcl`
GetBucketLoggingStatus	`GetBucketLogging`
SetBucketLoggingStatus	`PutBucketLogging`

有关 CloudTrail 和 Amazon S3 的更多信息，请参阅以下主题：

主题

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

日志记录选项

CloudTrail 事件