聚合数据事件 - Amazon CloudTrail
使用控制台为数据事件启用聚合使用为数据事件启用聚合 Amazon CLI
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

聚合数据事件

数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为数据面板操作。数据事件通常是高容量活动。

通过对数据事件启用聚合,您可以高效地监控大量数据访问模式,而无需处理大量的单个事件。此功能可自动将数据事件整合为 5 分钟的摘要,显示访问频率、错误率和最常用的操作等关键趋势。例如,您不会通过处理数千个单独的 S3 存储桶访问事件来了解使用模式,而是会收到显示热门用户和操作的合并摘要。

在创建新跟踪或更新收集数据事件的现有跟踪时,您可以启用数据事件聚合。您可以选择三个 out-of-the-box模板中的一个或全部来聚合您的数据事件:

  • API 活动:根据进行的 API 调用,获取 5 分钟的数据事件摘要。使用它来了解您的 API 使用模式,包括频率、调用者和来源。

  • 资源访问权限以获取 Amazon 资源的活动模式。使用它来了解您的 Amazon 资源是如何被访问的、在 5 分钟窗口内访问资源的次数、谁在访问资源以及正在执行哪些操作。

  • 根据在您的账户中进行 API 调用的 IAM 委托人获取活动模式的@@ 用户操作

使用控制台为数据事件启用聚合

要在跟踪上启用聚合,请在创建或更新跟踪时选择数据事件记录,然后配置数据事件以记录跟踪中的事件。然后,在配置事件聚合步骤中,您可以从聚合模板下拉列表中选择诸如 API 活动资源访问权限之类的模板,如下面的屏幕截图所示。

显示聚合模板下拉列表的 CloudTrail 控制台屏幕截图,其中选择了 API 活动和资源访问选项

使用为数据事件启用聚合 Amazon CLI

您可以使用将跟踪配置为聚合事件 Amazon CLI。

要查看您的跟踪是否在聚合数据事件,请运行get-event-configurations命令。

aws cloudtrail get-event-configuration --region us-east-1 --trail-name TrailName

该命令返回跟踪的聚合配置。

在启用事件聚合之前,必须创建跟踪并在其中配置数据事件。

要在跟踪上启用事件聚合,请执行以下步骤。该跟踪将基于API_ACTIVITY和聚RESOURCE_ACCESS合模板聚合事件。

aws cloudtrail put-event-configuration --region us-east-1 --trail TrailName \
--aggregation-configurations \
'[
    {
        "EventCategory": "Data",
        "Templates":
        [
            "API_ACTIVITY",
            "RESOURCE_ACCESS"
        ]
    }
]'

示例: API_ACTIVITY聚合事件

下面显示了该API_ACTIVITY模板的聚合事件的示例:

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "62759c1a-6248-48e1-a6b3-d5fb7e6c4bc0",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "eventName",
            "statistics":
            [
                {
                    "name": "PutObject",
                    "value": 1000
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "resourceARN",
                "statistics":
                [
                    {
                        "name": "arn:aws:s3:::bucket-1",
                        "value": 800
                    },
                    {
                        "name": "arn:aws:s3:::bucket-2",
                        "value": 150
                    },
                    {
                        "name": "arn:aws:s3:::bucket-3",
                        "value": 50
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}

示例:RESOURCE_ACCESS 聚合事件

下面显示了该RESOURCE_ACCESS模板的聚合事件的示例:

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "2ed87efa-45c1-412d-bc38-7e0879faa6df",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "resourceARN",
            "statistics":
            [
                {
                    "name": "arn:aws:s3:::bucket-1",
                    "value": 800
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "eventName",
                "statistics":
                [
                    {
                        "name": "PutObject",
                        "value": 800
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}