本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CloudTrail 概念
本节总结了与之相关的基本概念 CloudTrail。
目录
什么是 CloudTrail 事件?
中的事件 CloudTrail 是 Amazon 账户中某项活动的记录。此活动可以是 IAM 身份或可由 CloudTrail监控的服务采取的操作。 CloudTrail事件提供通过、软件开发工具 Amazon 包 Amazon Web Services Management Console、命令行工具和其他 Amazon 服务进行的 API 和非 API 账户活动的历史记录。可以记录三种类型的事件 CloudTrail:管理事件、数据事件和 CloudTrail Insights 事件。默认情况下,跟踪记录和事件数据存储将记录管理事件,但不记录数据事件或 Insights 事件。
所有事件类型都使用 CloudTrail JSON 日志格式。
有关与 Amazon Web Services 集成的信息 CloudTrail,请参阅Amazon 的服务主题 CloudTrail。
什么是管理事件?
管理事件提供有关对您 Amazon 账户中的资源执行的管理操作的信息。这些也称为控制层面操作。
示例管理事件包括:
-
配置安全性(例如, Amazon Identity and Access Management
AttachRolePolicyAPI 操作)。 -
注册设备(例如,Amazon EC2
CreateDefaultVpcAPI 操作)。 -
配置传送数据的规则(例如,Amazon EC2
CreateSubnetAPI 操作)。 -
设置日志记录(例如, Amazon CloudTrail
CreateTrailAPI 操作)。
管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,会 CloudTrail 记录该ConsoleLogin事件。有关更多信息,请参阅 CloudTrail 捕获的非 API 事件。有关 CloudTrail 记录 Amazon 服务的管理事件列表,请参阅CloudTrail 支持的服务和集成。
什么是数据事件?
数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为数据层面操作。数据事件通常是高容量活动。
示例数据事件包括:
-
针对存储桶和存储桶中对象的 Amazon S3 对象级别 API 活动(例如
GetObject、DeleteObject和PutObjectAPI 操作)。 -
Amazon Lambda 函数执行活动(
InvokeAPI)。 -
CloudTrail
PutAuditEvents用于记录外部事件的 L CloudTrail ake 频道上的活动 Amazon。 -
针对主题的 Amazon SNS
Publish和PublishBatchAPI 操作。
下表显示可用于跟踪的数据事件类型。数据事件类型(控制台)列显示控制台中的相应选择。resources.typ resources.type e 值列显示了您使用或 API 指定的值,以便在跟踪中包含该 Amazon CLI 类型的数据事件。 CloudTrail
对于跟踪,您可以使用基本或高级事件选择器来记录 Amazon S3 存储桶和存储桶对象、Lambda 函数和 DynamoDB 表(显示在表的前三行中)的数据事件。您只能使用高级事件选择器来记录其余行中显示的数据事件类型。
| Amazon 服务 | 描述 | 数据事件类型(控制台) | resources.type 值 |
|---|---|---|---|
| Amazon DynamoDB | 表上的 Amazon DynamoDB 对象级 API 活动(例如 注意对于启用了流的表,数据事件中的 |
DynamoDB |
|
| Amazon Lambda | Amazon Lambda 函数执行活动( |
Lambda | AWS::Lambda::Function |
| Amazon S3 | 针对存储桶和存储桶中对象的 Amazon S3 对象级别 API 活动(例如 |
S3 | AWS::S3::Object |
| Amazon AppConfig | Amazon AppConfig 用于配置操作的 API 活动,例如对 |
Amazon AppConfig | AWS::AppConfig::Configuration |
| Amazon B2B 数据交换 | 用于转换器操作的 B2B 数据交换 API 活动,例如对 |
B2B 数据交换 | AWS::B2BI::Transformer |
| Amazon Bedrock | 代理别名上的 Amazon Bedrock API 活动。 | Bedrock 代理别名 | AWS::Bedrock::AgentAlias |
| 知识库上的 Amazon Bedrock API 活动。 | Bedrock 知识库 | AWS::Bedrock::KnowledgeBase |
|
| Amazon CloudFront | CloudFront 在 a KeyValueStore上的 API 活动 |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| Amazon Cloud Map | Amazon Cloud Map 命名空间上的 API 活动。 | Amazon Cloud Map 命名空间 | |
| Amazon Cloud Map 服务上的 API 活动。 | Amazon Cloud Map service | |
|
| Amazon CloudTrail | CloudTrail |
CloudTrail | AWS::CloudTrail::Channel |
| Amazon CodeWhisperer | 亚马逊 CodeWhisperer API 在自定义方面的活动。 | CodeWhisperer 定制 | AWS::CodeWhisperer::Customization |
| 个人资料上 CodeWhisperer 的 Amazon API 活动。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
|
| Amazon Cognito | 针对 Amazon Cognito 身份池的 Amazon Cognito API 活动。 |
Cognito 身份池 | AWS::Cognito::IdentityPool |
| Amazon DynamoDB | 针对流的 Amazon DynamoDB API 活动 |
DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) 直接 API,例如 Amazon EBS 快照上的 |
Amazon EBS 直接 API | AWS::EC2::Snapshot |
| Amazon EMR | 针对预写日志工作空间的 Amazon EMR API 活动。 | EMR 预写日志工作空间 | AWS::EMRWAL::Workspace |
| Amazon FinSpace | 针对环境的 Amazon FinSpace API 活动 |
FinSpace | AWS::FinSpace::Environment |
| Amazon Glue | Amazon Glue 在 Lake Formation 创建的表格上的 API 活动。 注意Amazon Glue 目前仅在以下区域支持表的数据事件:
|
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | 探测器的亚马逊 GuardDuty API 活动。 |
GuardDuty 探测器 | AWS::GuardDuty::Detector |
| Amazon HealthImaging | Amazon HealthImaging 数据存储上的 API 活动。 |
医学成像数据存储 | AWS::MedicalImaging::Datastore |
| Amazon IoT | 物联网证书 | AWS::IoT::Certificate |
|
Amazon IoT API 在事物上的活动。 |
物联网的东西 | AWS::IoT::Thing |
|
| Amazon IoT Greengrass Version 2 | 组件版本上来自 Greengrass 核心设备的 Greengrass API 活动。 注意Greengrass 不会记录被拒绝访问的事件。 |
物联网 Greengrass 组件版本 | AWS::GreengrassV2::ComponentVersion |
部署时来自 Greengrass 核心设备的 Greengrass API 活动。 注意Greengrass 不会记录被拒绝访问的事件。 |
物联网 Greengrass 部署 | AWS::GreengrassV2::Deployment |
|
| Amazon IoT SiteWise | 资产上的@@ 物联网 SiteWise API 活动。 |
物联网 SiteWise 资产 | AWS::IoTSiteWise::Asset |
时间序列上的@@ 物联网 SiteWise API 活动。 |
物联网 SiteWise 时间序列 | AWS::IoTSiteWise::TimeSeries |
|
| Amazon IoT TwinMaker | 实体上的物联网 TwinMaker API 活动。 |
物联网 TwinMaker 实体 | AWS::IoTTwinMaker::Entity |
工作空间上 TwinMaker 的 IoT API 活动。 |
物联网 TwinMaker 工作空间 | AWS::IoTTwinMaker::Workspace |
|
| Amazon Kendra Intelligent Ranking | 针对重新评分执行计划的 Amazon Kendra Intelligent Ranking API 活动。 |
Kendra 排名 | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces(Apache Cassandra 兼容) | 表上的 Amazon Keyspaces API 活动。 | 卡桑德拉桌 | AWS::Cassandra::Table |
| Amazon Kinesis | 针对视频流的 Amazon Kinesis API 活动,例如调用 GetMedia 和 PutMedia。 |
Kinesis 视频流 | AWS::KinesisVideo::Stream |
| Amazon Managed Blockchain | 针对网络的 Amazon Managed Blockchain API 活动。 |
托管区块链网络 | AWS::ManagedBlockchain::Network |
针对 Ethereum 节点的 Amazon Managed Blockchain JSON-RPC 调用,如 |
托管区块链 | AWS::ManagedBlockchain::Node |
|
| Amazon Neptune 图形 | Neptune Graph 上的数据 API 活动,例如查询、算法或向量搜索。 |
Neptune 图形 | AWS::NeptuneGraph::Graph |
| Amazon Private CA | Amazon Private CA 活动目录 API 活动的连接器。 |
Amazon Private CA 活动目录连接器 | AWS::PCAConnectorAD::Connector |
| Amazon Q Business | 应用程序上的 Amazon Q Business API 活动。 |
Amazon Q Business 应用程序 | AWS::QBusiness::Application |
数据来源上的 Amazon Q Business API 活动。 |
Amazon Q Business 数据来源 | AWS::QBusiness::DataSource |
|
索引上的 Amazon Q Business API 活动。 |
Amazon Q Business 索引 | AWS::QBusiness::Index |
|
Web 体验上的 Amazon Q Business API 活动。 |
Amazon Q Business Web 体验 | AWS::QBusiness::WebExperience |
|
| Amazon RDS | 数据库集群上的 Amazon RDS API 活动。 |
RDS 数据 API-数据库集群 | AWS::RDS::DBCluster |
| Amazon S3 | 针对接入点的 Amazon S3 API 活动。 |
S3 接入点 | AWS::S3::AccessPoint |
Amazon S3 对象 Lambda 接入点 API 活动,例如调用 |
S3 对象 Lambda | AWS::S3ObjectLambda::AccessPoint |
|
| Amazon S3 on Outposts | Amazon S3 on Outposts 对象级别 API 活动。 |
S3 Outposts | AWS::S3Outposts::Object |
| Amazon SageMaker | 亚马逊在终端节点上的 SageMaker InvokeEndpointWithResponseStream活动。 |
SageMaker 端点 | AWS::SageMaker::Endpoint |
特色商店中的亚马逊 SageMaker API 活动。 |
SageMaker feature store | AWS::SageMaker::FeatureGroup |
|
Amazon SageMaker API 在实验试用组件上的活动。 |
SageMaker 指标实验试验组件 | AWS::SageMaker::ExperimentTrialComponent |
|
| Amazon SNS | 针对平台端点的 Amazon SNS |
SNS 平台端点 | AWS::SNS::PlatformEndpoint |
针对主题的 Amazon SNS |
SNS 主题 | AWS::SNS::Topic |
|
| Amazon SQS | 消息上的 Amazon SQS API 活动。 |
SQS | AWS::SQS::Queue |
| Amazon Supply Chain | Amazon Supply Chain 实例上的 API 活动。 |
供应链 | AWS::SCN::Instance |
| Amazon SWF | SWF 域名 | AWS::SWF::Domain |
|
| Amazon Systems Manager | 控制通道上的 Systems Manager API 活动。 | Systems Manager (系统管理员) | AWS::SSMMessages::ControlChannel |
| 托管节点上的 Systems Manager API 活动。 | Systems Manager 托管节点 | AWS::SSM::ManagedNode |
|
| Amazon Timestream | 针对数据库的 Amazon Timestream Query API 活动。 |
Timestream 数据库 | AWS::Timestream::Database |
针对表的 Amazon Timestream Query API 活动。 |
Timestream 表 | AWS::Timestream::Table |
|
| Amazon Verified Permissions | 针对策略存储的 Amazon Verified Permissions API 活动。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces 瘦客户机 | WorkSpaces 设备上的瘦客户端 API 活动。 | 瘦客户端设备 | AWS::ThinClient::Device |
| WorkSpaces 环境中的瘦客户端 API 活动。 | 瘦客户端环境 | AWS::ThinClient::Environment |
|
| Amazon X-Ray | 追踪上@@ 的 X-Ray API 活动。 |
X 射线追踪 | AWS::XRay::Trace |
预设情况下,在您创建跟踪记录时,未记录数据事件。要记录 CloudTrail 数据事件,必须明确添加要为其收集活动的支持的资源或资源类型。有关更多信息,请参阅 创建跟踪。
记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价
什么是 Insights 事件?
CloudTrail Insights 事件通过分析 CloudTrail 管理活动来捕获您 Amazon 账户中异常的 API 调用率或错误率活动。Insights 事件提供相关信息,例如关联的 API、错误代码、事件时间和统计数据,以帮助您了解异常活动并对其采取措施。与在 CloudTrail 跟踪或事件数据存储中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户 API 使用情况或错误率记录的变化与账户的典型使用模式明显不同时,才会记录 Insights 事件。
可能生成 Insights 事件的活动的示例包括:
-
您的账户通常每分钟记录不超过 20 次 Simple Storage Service(Amazon S3)
deleteBucketAPI 调用,但是您的账户一开始就平均每分钟记录 100 次deleteBucketAPI 调用。在异常活动开始时记录一个 Insights 事件,并记录另一个见解事件以标记异常活动的结束。 -
您的账户通常每分钟记录 20 次对 Amazon EC2
AuthorizeSecurityGroupIngressAPI 的调用,但是您的账户开始记录对AuthorizeSecurityGroupIngress的零次调用。在异常活动开始时记录一个 Insights 事件,10 分钟后,当异常活动结束时,将记录另一个 Insights 事件以标记异常活动的结束。 -
您的账户七天内对 Amazon Identity and Access Management API、
DeleteInstanceProfile记录的AccessDeniedException错误通常不到一个。你的账户开始对DeleteInstanceProfileAPI 调用每分钟平均记录 12 个AccessDeniedException错误。在异常错误率活动开始时记录一个 Insights 事件,并记录另一个 Insights 事件以标记异常活动的结束。
这些示例仅用于说明用途。根据您的使用案例,您的结果可能会有所不同。
要记录 CloudTrail Insights 事件,您必须在新的或现有的跟踪或事件数据存储上明确启用 Insights 事件。有关创建跟踪的更多信息,请参阅创建跟踪。有关创建事件数据存储的更多信息,请参阅 为 Ins CloudTrail ights 事件创建事件数据存储。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价
如何查看跟踪和事件数据存储的 Insights 事件?
CloudTrail 跟踪和事件数据存储都支持 Insights 事件,但是,查看和访问 Insights 事件的方式存在一些差异。
查看跟踪的 Insights 事件
如果您在跟踪上启用了 Insights 事件并 CloudTrail 检测到异常活动,则 Insights 事件会记录到您的跟踪的目标 S3 存储桶中的其他文件夹或前缀。在 CloudTrail 控制台上查看 Insights 事件时,您还可以查看洞察类型和事件时间段。有关更多信息,请参阅 在 CloudTrail 控制台中查看跟踪的 CloudTrail Insights 事件。
查看事件数据存储的 Insights 事件
要在 L CloudTrail ake 中记录 Insights 事件,您需要一个用于记录 Insights 事件的目标事件数据存储和一个启用 Insights 并记录管理事件的源事件数据存储。有关更多信息,请参阅 为 Ins CloudTrail ights 事件创建事件数据存储。
如果您在源事件数据存储上启用了 CloudTrail Insights 并 CloudTrail检测到异常活动,则会将 Insigh CloudTrail ts 事件传送到您的目标事件数据存储。然后,您可以查询目标事件数据存储以获取有关 Insights 事件的信息,也可以选择性地将查询结果保存到 Amazon S3 存储桶。有关更多信息,请参阅 创建或编辑查询 和 查看 CloudTrail 控制台中的示例查询。
您可以查看 CloudTrail Lake 仪表板以可视化目标事件数据存储中的 Insights 事件。有关 Lake 控制面板的更多信息,请参阅 查看 Lake 控制面板。
什么是 CloudTrail 事件历史记录?
CloudTrail 事件历史记录提供了过去 90 天中管理事件的可查看、可搜索、可下载且不可变的 CloudTrail 记录。 Amazon Web Services 区域您可以使用此历史记录在、软件开发工具 Amazon 包 Amazon Web Services Management Console、命令行工具和其他 Amazon 服务中查看您的 Amazon 账户中执行的操作。您可以通过选择显示哪些列来自定义 CloudTrail 控制台中的事件历史记录视图。有关更多信息,请参阅 处理 CloudTrail 事件历史记录。
什么是跟踪记录?
跟踪是一种允许将 CloudTrail 事件传输到 Amazon S3 存储桶、 CloudWatch 日志和亚马逊的配置 EventBridge。您可以使用跟踪来筛选要传送 CloudTrail 的事件,使用密 Amazon KMS 钥加密 CloudTrail 事件日志文件,以及为日志文件传输设置 Amazon SNS 通知。有关如何创建和管理跟踪的更多信息,请参阅为您的 Amazon Web Services 账户 创建跟踪。
什么是组织跟踪记录?
组织跟踪是一种配置,允许将管理账户和 Amazon Organizations 组织中所有成员账户中的 CloudTrail 事件传送到同一 Amazon S3 存储桶、 CloudWatch 日志和 Amazon EventBridge。创建组织跟踪可帮助您为组织定义统一的事件记录策略。
使用控制台创建的所有组织跟踪都是多区域组织跟踪,用于记录组织 Amazon Web Services 区域 中每个成员账户中已启用的组织跟踪的事件。要记录组织中所有 Amazon 分区中的事件,请在每个分区中创建多区域组织跟踪。您可以使用创建单区域或多区域组织跟踪。 Amazon CLI如果您创建单区域跟踪,则只能在该跟踪 Amazon Web Services 区域 (也称为主区域)中记录活动。
尽管大多数区域默认 Amazon Web Services 区域 处于启用状态 Amazon Web Services 账户,但您必须手动启用某些区域(也称为可选区域)。有关默认启用哪些区域的信息,请参阅《Amazon Account Management 参考指南》中的启用和禁用区域之前的注意事项。有关 CloudTrail支持的区域列表,请参阅CloudTrail 支持的区域。
创建组织跟踪时,将在属于您的组织的成员账户中创建带有您指定名称的跟踪副本。
-
如果组织跟踪适用于单区域,而跟踪的主区域不是 Opt-Region,则会在组织跟踪的主区域的每个成员账户中创建跟踪的副本。
-
如果组织跟踪是针对单区域的,而跟踪的主区域是选择区域,则会在组织跟踪的主区域中在启用该区域的成员账户中创建该跟踪的副本。
-
如果组织跟踪是多区域,并且跟踪的主区域不是可选区域,则会在每个成员账户中启用的 Amazon Web Services 区域 每个跟踪中创建一个跟踪副本。当成员账户启用可选区域时,将在该区域的激活完成后,在新选择的区域中为该成员账户创建多区域跟踪的副本。
-
如果组织跟踪是多区域,而主区域是可选区域,则成员账户将不会向组织跟踪发送活动,除非他们选择进入创建多区域跟踪 Amazon Web Services 区域 的地方。例如,如果您创建了多区域跟踪并选择欧洲(西班牙)地区作为跟踪的主区域,则只有为其账户启用了欧洲(西班牙)地区的成员账户才会将其账户活动发送到组织跟踪。
注意
CloudTrail 即使资源验证失败,也会在成员账户中创建组织跟踪。验证失败的示例包括:
-
Amazon S3 存储桶策略不正确
-
不正确的 Amazon SNS 主题政策
-
无法传送到 CloudWatch 日志组
-
权限不足,无法使用 KMS 密钥进行加密
拥有 CloudTrail 权限的成员账户可以通过在 CloudTrail 控制台上查看跟踪的详细信息页面或运行 Amazon CLI get-trail-status命令来查看组织跟踪的任何验证失败。
拥有成员账户 CloudTrail 权限的用户在从自己的账户登录 Amazon CloudTrail 控制台时或运行诸如(尽管成员 Amazon
账户在使用时必须使用 ARN 而不是名称)之类的 Amazon CLI 命令时,他们将能够看到组织跟踪describe-trails(包括跟踪 ARN)。 Amazon CLI但是,成员账户中的用户将没有足够的权限删除组织跟踪、开启或关闭日志记录、更改记录的事件类型或以任何方式更改组织跟踪。有关 Amazon Organizations的更多信息,请参阅 Organizations 术语和概念。有关创建和使用组织跟踪记录的更多信息,请参阅为组织创建跟踪。
你是如何管理的 CloudTrail?
CloudTrail 控制台
您可以通过 Amazon CloudTrail 控制台使用和管理该服务。控制台提供了用于执行许多 CloudTrail 任务的用户界面,例如:
-
查看您 Amazon 账户的近期活动和事件历史记录。
-
下载过去 90 天发生的管理事件的已筛选或完整文件。
-
创建和编辑 CloudTrail 路径。
-
配置 CloudTrail 跟踪,包括:
-
选择用于跟踪的 Amazon S3 存储桶。
-
设置前缀。
-
配置向 CloudWatch 日志的传输。
-
使用 Amazon KMS 密钥对跟踪数据进行加密。
-
为跟踪上的日志文件传送启用 Amazon SNS 通知。
-
为跟踪记录添加和管理标签。
-
从 2019 年 4 月 12 日起,只有在其记录事件的 Amazon 区域中才能看到跟踪。如果您创建的跟踪记录所有 Amazon 区域的事件,则该跟踪将显示在所有 Amazon 区域的控制台中。如果您创建的跟踪仅记录单个 Amazon 区域的事件,则只能在该 Amazon 区域中查看和管理该跟踪。
有关更多信息 Amazon Web Services Management Console,请参阅Amazon Web Services Management Console。
CloudTrail CLI
Amazon Command Line Interface 是一个统一的工具,可用于 CloudTrail 从命令行进行交互。有关更多信息,请参阅《Amazon Command Line Interface 用户指南》。有关 C CloudTrail LI 命令的完整列表,请参阅可用命令。
CloudTrail API
除了控制台和 CLI 之外,您还可以使用 CloudTrail RESTful API CloudTrail 直接进行编程。有关更多信息,请参阅 Amazon CloudTrail API 参考。
Amazon 软件开发工具包
除了使用 CloudTrail API 之外,您还可以使用其中一个 Amazon SDK。每个软件开发工具包均包含适用于各种编程语言和平台的库和示例代码。这些软件开发工具包提供了一种便捷的方式来创建对的编程访问权限。 CloudTrail例如,您可以使用开发工具包以加密方式对请求进行签名,管理错误并自动重试请求。有关更多信息,请参阅用于 Amazon Web Services 的工具
为什么要为 CloudTrail 资源使用标签?
标签是客户定义的密钥和可选值,可以分配给 Amazon
资源,例如 CloudTrail 跟踪、事件数据存储和频道、用于存储 CloudTrail 日志文件的 Amazon S3 存储桶、 Amazon Organizations 组织和组织单位等等。通过将相同的标签添加到跟踪和您用于存储跟踪记录的日志文件的 Simple Storage Service(Amazon S3)存储桶,您可以更轻松地通过 Amazon Resource Groups 管理、搜索和筛选这些资源。您可以实施标记策略以帮助您持续、高效且轻松地查找和管理您的资源。有关更多信息,请参阅 Amazon
标记策略
您如何控制访问权限 CloudTrail?
Amazon Identity and Access Management 是一项网络服务,可让 Amazon Web Services (Amazon) 客户安全地控制对 Amazon 资源的访问。使用 IAM,您可以集中管理控制用户可以访问哪些 CloudTrail 资源的权限。有关控制用户权限的更多信息,请参阅 控制 CloudTrail 跟踪的用户权限。
您如何记录管理和数据事件?
默认情况下,跟踪会记录您 Amazon 账户的管理事件,并且不包括数据事件。您可以选择创建或更新跟踪记录以记录数据事件。只有与您的跟踪设置匹配的事件才会传输到您的 Amazon S3 存储桶,也可以选择传输到 Amazon Log CloudWatch s 日志组。如果事件与跟踪设置不匹配,则跟踪不会记录事件。有关更多信息,请参阅 使用 CloudTrail 日志文件。
你如何记录 CloudTrail Insights 事件?
Amazon CloudTrail Insights 通过持续分析 CloudTrail 管理事件,帮助 Amazon 用户识别和响应异常数量的 API 调用或 API 调用中记录的错误。Insights 事件是异常级别的 write 管理 API 活动,或管理 API 活动返回的异常错误级别。默认情况下,跟踪和事件数据存储不记录 CloudTrail Insights 事件。在控制台中,您可以选择在创建或更新跟踪或事件数据存储时记录 Insights 事件。使用 CloudTrail API 时,您可以通过使用 PutInsightSelectorsAPI 编辑现有跟踪或事件数据存储的设置来记录 Insights 事件。记录 CloudTrail Insights 事件需要支付额外费用。有关更多信息,请参阅 记录 Insights 事件 和 Amazon CloudTrail 定价
你是如何进行监视的 CloudTrail?
CloudWatch 日志 EventBridge、和 CloudTrail
Amazon CloudWatch 是一项网络服务,它收集和跟踪指标,以监控您的 Amazon Web Services (Amazon) 资源和您运行的应用程序 Amazon。Amazon CloudWatch Logs 是一 CloudWatch 项功能,您可以专门用来监控日志数据。通过与 CloudWatch 日志集成 CloudTrail ,可以将包含您 Amazon 账户中的 API 活动的事件发送到 CloudWatch 日志日志组。 CloudTrail 发送到 CloudWatch 日志的事件可以根据您定义的指标过滤器触发警报。您可以选择配置 CloudWatch 警报,以根据指标筛选器提取的日志流事件发送通知或更改正在监控的资源。使用 CloudWatch 日志,您还可以跟踪 CloudTrail 来自操作系统、应用程序或其他 Amazon 服务的事件以及发送到 CloudWatch 日志的事件。有关更多信息,请参阅 使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件。
Amazon EventBridge 是一项提供近乎实时的系统事件流的 Amazon 服务,这些事件描述了 Amazon 资源的变化。在中 EventBridge,您可以创建用于响应所记录的事件的规则 CloudTrail。有关更多信息,请参阅在 Amazon 中创建规则 EventBridge。
您可以将您在路径中订阅的事件发送到。 EventBridge使用 EventBridge 控制台创建规则时,请选择用于交付 CloudTrail 数据和管理事件的Amazon API Call via
CloudTrail详细信息类型,或者选择用于交付 Insights 事件的Amazon Insight via CloudTrail详细信息类型。
要记录 detail-type 值为 Amazon API Call via CloudTrail 的事件,您必须有一个记录管理事件或数据事件的活动跟踪。有关如何创建跟踪的更多信息,请参阅 创建跟踪。
要记录 detail-type 值为 Amazon Insight via CloudTrail 的事件,您必须有一个记录 Insights 事件的活动跟踪。有关记录 Insights 事件的信息,请参阅 记录 Insights 事件。
在地区和全球范围内 CloudTrail 表现如何?
跟踪可适用于所有区域或单个区域。最佳实践是创建应用到您工作所在的 Amazon 分区中所有区域的跟踪。这是您在 CloudTrail 控制台中创建跟踪时的默认设置。
注意
开启跟踪意味着您可以创建跟踪并开始将 CloudTrail 事件日志文件传送到 Amazon S3 存储桶。在 CloudTrail 控制台中,当您创建跟踪时,日志记录会自动开启。
将跟踪应用到所有区域有什么好处?
适用于所有 Amazon 地区的跟踪具有以下优点:
-
跟踪的配置设置一致地应用到所有 Amazon 区域。
-
您可以在单个 Amazon S3 存储桶中接收来自所有 Amazon 区域 CloudTrail 的事件,也可以选择在 CloudWatch 日志日志组中接收来自所有区域的事件。
-
您可以从一个位置管理所有 Amazon 区域的跟踪配置。
-
您会立即收到来自新 Amazon 区域的事件。启动新 Amazon 区域后, CloudTrail 会自动为您在新区域中创建所有区域跟踪的副本,其设置与原始跟踪相同。
-
您无需在不经常使用的 Amazon 区域中创建跟踪来监控异常活动。任何 Amazon 区域中的任何活动都记录在适用于所有 Amazon 区域的跟踪中。
将一个跟踪应用到所有区域时会发生什么情况?
将跟踪应用于所有 Amazon 区域时, CloudTrail 使用您在特定区域中创建的跟踪,在您所在Amazon 分区的所有其他区域中创建配置相同的跟踪。
这有以下影响:
-
CloudTrail 将所有 Amazon 区域的账户活动日志文件传输到您指定的单个 Amazon S3 存储桶,也可以传输到 CloudWatch 日志日志组。
-
如果您为跟踪配置了 Amazon SNS 主题,则有关所有 Amazon 区域日志文件传输的 SNS 通知将发送到该单个 SNS 主题。
-
如果您启用了该功能,则会为所有 Amazon 区域的跟踪启用日志文件完整性验证。有关信息,请参阅 验证 CloudTrail 日志文件完整性。
无论跟踪是多区域还是单区域,发送到 Ama EventBridge zon 的事件都会在每个区域的事件总线中接收,而不是在单个事件总线中接收。
每区域多个跟踪记录
如果您拥有不同但相关的用户组,例如开发人员、安全人员和 IT 审计人员,您可以为每个区域创建多个跟踪记录。这可使每个组均接收各自的日志文件副本。
CloudTrail 每个区域支持五条跟踪。适用于所有 Amazon 区域的跟踪在每个区域中算作一条跟踪。
以下示例是具有五条跟踪记录的区域:
-
您在美国西部(加利福尼亚北部)区域创建了两个仅适用于此区域的跟踪记录。
-
您在美国西部(加利福尼亚北部)区域创建了另外两个适用于所有 Amazon 区域的跟踪记录。
-
您在亚太地区(悉尼)区域创建了一个适用于所有 Amazon 区域的跟踪。此跟踪也作为美国西部(加利福尼亚北部)区域中的跟踪存在。
路径显示在它们存在的 Amazon 区域中。记录所有 Amazon 区域中的事件的跟踪记录出现在每个区域中。您可以在 CloudTrail 控制台的 Trails 页面中查看某个 Amazon
区域中的跟踪列表。有关更多信息,请参阅 更新跟踪。有关 CloudTrail 定价,请参阅Amazon CloudTrail
定价
Amazon Security Token Service 和 CloudTrail
Amazon Security Token Service (Amazon STS) 是一项具有全局终端节点的服务,还支持特定于区域的终端节点。终端节点是作为 Web 服务请求入口点的 URL。例如,https://cloudtrail.us-west-2.amazonaws.com是该 Amazon CloudTrail 服务的美国西部(俄勒冈)区域入口点。区域性终端节点可帮助减少应用程序中的延迟。
当您使用 Amazon STS 特定于区域的终端节点时,该区域中的跟踪仅传送该区域中发生 Amazon STS 的事件。例如,如果您使用终端节点sts.us-west-2.amazonaws.com,us-west-2 中的跟踪将仅传送源自 us-west-2 Amazon STS 的事件。有关 Amazon STS 区域终端节点的更多信息,请参阅 IAM 用户指南 Amazon STS 中的在 Amazon 区域中激活和停用。
有关 Amazon 区域终端节点的完整列表,请参阅中的Amazon 区域和终端节点Amazon Web Services 一般参考。有关来自全局 Amazon STS 终端节点的事件的详细信息,请参阅全球服务事件。
全球服务事件
重要
自 2021 年 11 月 22 日起,亚马逊 CloudFront 活动仅在处理事件的区域(中国(宁夏)区域 cn-north Amazon CloudTrail west-1 上线。
对于监控全球服务事件的跟踪,请务必将中国(北京)区域 cn-north-1 的单区域跟踪转换为多区域跟踪,以包括中国(宁夏)区域 cn-northwest-1 的事件。有关捕获 CloudFront 事件的更多信息,请参阅本节启用和禁用全球服务事件记录后面的内容。
对于大多数服务,事件被记录在发生操作的区域。对于诸如 Amazon Identity and Access Management (IAM) 和 Amazon 之类的全球服务 CloudFront,事件会发送到包含全球服务的任何跟踪。 Amazon STS
对于大多数全球服务,事件记录为发生在中国(北京)区域,但有些全球服务事件记录为发生在中国(宁夏)区域。
要避免接收重复的全球服务事件,请注意:
-
默认情况下,全局服务事件会传递到使用 CloudTrail 控制台创建的跟踪。事件传输到跟踪的存储桶中。
-
如果您有多个单区域跟踪记录,可考虑将跟踪配置为只在其中一个跟踪记录中传输全球服务事件。有关更多信息,请参阅 启用和禁用全球服务事件记录。
-
如果将跟踪配置从记录所有区域改为只记录单个区域,则会自动为该跟踪关闭全球服务事件日志记录。同理,如果将跟踪配置从记录单个区域改为记录所有区域,则会自动为该跟踪打开全球服务事件日志记录。
有关更改跟踪的全球服务事件日志记录的更多信息,请参阅 启用和禁用全球服务事件记录。
示例:
-
您可以在 CloudTrail 控制台中创建跟踪。默认情况下,此跟踪将记录全球服务事件。
-
您有多个单区域跟踪记录。
-
您不需要为单区域跟踪记录包含全球服务。全球服务事件会提交给第一个跟踪。有关更多信息,请参阅 使用创建、更新和管理跟踪 Amazon Command Line Interface。
注意
使用 Amazon CLI、 Amazon SDK 或 CloudTrail API 创建或更新跟踪时,您可以指定是包含还是排除跟踪的全局服务事件。您无法从 CloudTrail 控制台配置全局服务事件日志。
与其他 Amazon 监控服务有何 CloudTrail关系?
CloudTrail 为已经提供的监控功能增加了另一个维度 Amazon。它不会更改或取代您可能已经在使用的日志功能,例如用于 Amazon S3 或 Amazon CloudFront 订阅的日志功能。Amazon CloudWatch 专注于性能监控和系统运行状况。 CloudTrail 重点关注 API 活动。尽管 CloudTrail 不报告系统性能或运行状况,但您可以将 CloudWatch 警报 CloudTrail 与警报一起使用,以通知您可能感兴趣的活动。
合作伙伴解决方案
Amazon 与第三方日志和分析专家合作,提供使用 CloudTrail 输出的解决方案。欲了解更多信息,请访问 CloudTrail 详情页面,网址为Amazon CloudTrail