创建跟踪 - Amazon CloudTrail
在控制台中创建跟踪(基本事件选择器)在控制台中创建跟踪(高级事件选择器)后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建跟踪

按照以下过程创建应用于所有区域的跟踪。应用于所有区域的跟踪会将所有区域中的日志文件传送至 S3 存储桶。在创建跟踪后,Amazon CloudTrail 会自动开始记录您指定的事件。

注意

创建跟踪之后,您可以配置其他 Amazon 服务,进一步分析在 CloudTrail 日志中收集的事件数据并采取操作。有关更多信息,请参阅CloudTrail支持的服务和集成

在控制台中创建跟踪(基本事件选择器)

在控制台中,您创建的跟踪可记录您已启用的所有 Amazon 区域中的事件。这是推荐的最佳实践。要在单个区域(不推荐)中记录事件,请使用Amazon CLI

如果尚未启用高级事件选择器,请使用以下程序。如果您启用了高级事件选择器,请参阅 在控制台中创建跟踪(高级事件选择器) 以对跟踪配置数据事件日志记录。

使用 Amazon Web Services Management Console创建 CloudTrail 跟踪

  1. 登录Amazon Web Services Management Console并通过 https://console.aws.amazon.com/cloudtrail/ 打开CloudTrail控制台。

  2. 在CloudTrail服务主页、跟踪页面或控制面板页面的跟踪部分上,选择创建跟踪

  3. Create Trail 页面上,对于 Trail name,键入一个跟踪名。有关更多信息,请参阅CloudTrail 命名要求

  4. 如果这是Amazon Organizations组织跟踪,则可以为组织中的所有账户启用跟踪。要查看此选项,您必须使用管理或委派管理员帐户中的用户或角色登录控制台。要成功创建组织跟踪,请确保相应用户或角色具有足够的权限。有关更多信息,请参阅为组织创建跟踪

  5. 对于 Storage location(存储位置,选择 Create new S3 bucket(创建 S3 存储桶)以创建存储桶。在创建存储桶时,CloudTrail 会创建并应用所需的存储桶策略。

    注意

    如果选择 Use existing S3 bucket(使用现有 S3 存储桶),则在 Trail log bucket name(跟踪日志存储桶名称)中指定一个存储桶,或选择 Browse(浏览)以选择存储桶。存储桶策略必须授予 CloudTrail 向其写入的权限。有关手动编辑存储桶策略的信息,请参阅的 Amazon S3 存储桶策略 CloudTrail

    为了更轻松地找到您的日志,请在现有存储桶中创建一个新文件夹(也称为前缀)来存储您的CloudTrail日志。在 Prefix(前缀)字段中输入前缀。

  6. 对于 Log file SSE-KMS encryption(日志文件 SSE-KMS 加密),如果您希望使用 SSE-KMS 加密而非 SSE-S3 加密对您的日志文件进行加密,请选择 Enabled(已启用)。默认值为 Enabled(已启用)。如果您未启用 SSE-KMS 加密,则将使用 SSE-S3 加密对您的日志进行加密。有关 SSE-KMS 加密的更多信息,请参阅使用具有 Amazon Key Management Service 的服务器端加密(SSE-KMS)。有关 SSE-S3 加密的更多信息,请参阅配合使用服务器端加密与 Amazon S3 托管加密密钥(SSE-S3)

    如果您启用了 SSE-KMS 加密,请选择 New(新建)或 Existing(现有)Amazon KMS key。在Amazon KMS别名中,按格式指定别名alias/MyAliasName。有关更多信息,请参阅更新资源以使用 KMS 密钥:CloudTrail还支持Amazon KMS多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥

    注意

    您也可以键入其他账户的密钥 ARN。密钥策略必须允许 CloudTrail 使用此密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥策略的信息,请参阅为以下各项配置Amazon KMS密钥策略 CloudTrail

  7. Additional configuration(其他配置)中,请配置以下内容。

    1. 对于 Log file validation(日志文件验证),选择 Enabled(已启用)以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件验证日志文件在由 CloudTrail 传送之后没有发生改变。有关更多信息,请参阅验证CloudTrail日志文件完整性

    2. 对于 SNS notification delivery(SNS 通知传输),选择 Enabled(已启用)以在每次日志传送到您的存储桶时收到通知。CloudTrail在日志文件中存储多个事件。SNS 通知针对每个日志文件而不是每个事件发送。有关更多信息,请参阅为 CloudTrail 配置 Amazon SNS 通知

      如果您启用了 SNS 通知,则对于 Create a new SNS topic(创建新 SNS 主题),选择 New(新建)创建主题,或选择 Existing(现有)使用现有的主题。如果您创建的是应用到所有区域的跟踪,则针对来自所有区域的日志文件传输的 SNS 通知将发送到您创建的单个 SNS 主题中。

      如果选择 “新建”,请为您CloudTrail指定新主题的名称,也可以键入名称。如果选择 Existing(现有),则从下拉列表中选择一个 SNS 主题。您还可以输入来自另一个区域或来自一个具有适当权限的账户的主题的 ARN。有关更多信息,请参阅Amazon SNS 对 CloudTrail

      如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可通过 Amazon SNS 控制台进行订阅。由于通知的频率,建议您将该订阅配置为使用 Amazon SQS 队列来以编程方式处理通知。有关更多信息,请参阅 Amazon Simple Notification Service 入门指南

  8. 或者,通过选择 “在日志中启用” CloudTrail 来配置将CloudWatch日志文件发送到CloudWatch日志。有关更多信息,请参阅将事件发送到CloudWatch日志

    1. 如果您启用与CloudWatch日志的集成,请选择 “建” 以创建新的日志组,或选择 “有” 以使用现有的日志组。如果选择 “新建”,则为您CloudTrail指定新日志组的名称,也可以键入名称。

    2. 如果选择 Existing(现有),则从下拉列表中选择一个日志组。

    3. 选择 “建” 以创建新的 IAM 角色,以获得将日志发送到 Log CloudWatch s 的权限。选择 Existing(现有)以从下拉列表中选择一个现有 IAM 角色。展开 Policy document(策略文档)时,将显示新角色或现有角色的策略语句。有关该角色的更多信息,请参阅 用于使用CloudWatch日志CloudTrail进行监控的角色策略文档

      注意

      在您配置跟踪时,可以选择属于另一个账户的 S3 存储桶和 SNS 主题。但是,如果您想CloudTrail将事件传送到CloudWatch日志组,则必须选择当前账户中存在的日志组。

  9. 对于 Tags(标签),将一个或多个自定义标签(键值对)添加到跟踪中。标签可以帮助您识别您的CloudTrail跟踪和包含CloudTrail日志文件的 Amazon S3 存储桶。然后,您可以为您的 CloudTrail 资源使用资源组。有关更多信息,请参阅 Amazon Resource Groups为什么要对跟踪记录使用标签?

  10. Choose log events(选择日志事件)页面中,选择要记录的事件类型。对于 Management events (管理事件),请执行以下操作。

    1. 对于 API activity(API 活动),选择您希望跟踪记录 Read(读取)事件、Write(写入)事件,还是记录两者。有关更多信息,请参阅管理事件

    2. 选择 Exclude Amazon KMS events(排除 Amazon KMS 事件)以从跟踪中筛选出 Amazon Key Management Service (Amazon KMS) 事件。默认设置是包含所有 Amazon KMS 事件。

      只有当您在跟踪上记录管理事件时,用于记录或排除 Amazon KMS 事件的选项才可用。如果选择不记录管理事件,则不会记录 Amazon KMS 事件,并且您无法更改 Amazon KMS 事件日志记录设置。

      EncryptDecryptGenerateDataKey 等 Amazon KMS 操作通常会生成大量事件(占比超过 99%)。这些操作现在记录为读取事件。DisableDeleteScheduleKey(通常占不到 Amazon KMS 事件量的 0.5%)等少量的相关 Amazon KMS 操作记录为 Write(写入)事件。

      如果要排除大批量事件(例如 EncryptDecryptGenerateDataKey),但仍然记录相关事件(例如 DisableDeleteScheduleKey),选择记录 Write(写入)管理事件,然后清除 Exclude Amazon KMS events(排除 Amazon KMS 事件)复选框。

  11. 对于 Data events(数据事件),您可以指定记录 Amazon S3 存储桶、Amazon Lambda 函数、Amazon DynamoDB 表或很多其他资源类型的数据事件。默认情况下,跟踪记录不记录数据事件。记录数据事件将收取额外费用。有关更多信息,请参阅数据事件:有关 CloudTrail 定价,请参阅 Amazon CloudTrail 定价。如果使用高级事件选择器,则有更多数据事件类型可用;有关详细信息,请参阅本主题中的 在控制台中创建跟踪(高级事件选择器)

    对于 Simple Storage Service(Amazon S3)存储桶:

    1. 对于 Data event source(数据事件源),选择 S3

    2. 您可以选择记录 All current and future S3 buckets(所有当前和未来 S3 存储桶),也可以指定单个存储桶或函数。默认情况下,记录所有当前和未来 S3 存储桶的数据事件。

      注意

      保留默认 All current and future S3 buckets(所有当前和未来 S3 存储桶)选项会为您的 Amazon 账户中现有的所有存储桶和您完成跟踪创建后创建的任何存储桶启用数据事件日志记录。它还允许记录您的Amazon账户中任何 IAM 身份执行的数据事件活动,即使该活动是在属于其他Amazon账户的存储桶上执行的。

      如果您正在为单个区域创建跟踪(通过使用 Amazon CLI 完成),则选择 All current and future S3 buckets(所有当前和未来 S3 存储桶)可为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为您的 Amazon 账户的其他区域中的 Simple Storage Service(Amazon S3)存储桶记录数据事件。

    3. 如果保留默认值 All current and future S3 buckets(所有当前和未来 S3 存储桶),则选择记录 Read(读取)事件、Write(写入)事件,还是记录两者。

    4. 要选择单个存储桶,请清空 All current and future S3 buckets(所有当前和未来 S3 存储桶)的 Read(读取)和Write(写入)复选框。在 Individual bucket selection(单个存储桶选择)中,浏览要在其上记录数据事件的存储桶。通过键入所需存储桶的存储桶前缀来查找特定存储桶。您可以在此窗口中选择多个存储桶。选择 Add bucket(添加存储桶)以记录更多存储桶的数据事件。选择记录 Read(读取)事件(如 GetObject)、Write(写入)事件(如 PutObject)或同时记录两种事件。

      此设置优先于为各个存储桶配置的个别设置。例如,如果指定记录所有 S3 存储桶的 Read 事件,然后选择为数据事件日志记录添加一个特定存储桶,则所添加存储桶的 Read 已经是选中状态。您无法清除此选择。只能配置 Write 选项。

      要从日志记录中删除存储桶,请选择 X

  12. 要添加需要记录数据事件的其他数据类型,请选择 Add data event type(添加数据事件类型)。

  13. 对于 Lambda 函数:

    1. 对于 Data event source(数据事件源),选择 Lambda

    2. Lambda function(Lambda 函数)中,选择 All regions(所有区域)记录所有 Lambda 函数,或选择 Input function as ARN(输入函数作为 ARN)以记录特定函数上的数据事件。

      要记录 Amazon 账户中的所有 Lambda 函数的数据事件,请选择 Log all current and future functions(记录所有当前和未来函数)。此设置优先于为各个函数配置的个别设置。将记录所有函数,即便这些函数未显示。

      注意

      如果为所有区域创建了一个跟踪,则此选择将为您的 Amazon 账户中当前包含的所有函数以及您在创建跟踪后可能在任何区域中创建的任何 Lambda 函数启用数据事件日志记录。如果您正在为单个区域创建跟踪(通过使用 Amazon CLI 完成),则此选择将为您的 Amazon 账户中的该区域中当前包含的所有函数以及您在创建跟踪后可能在该区域中创建的任何 Lambda 函数启用数据事件日志记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。

      记录所有函数的数据事件还允许记录您Amazon账户中的任何 IAM 身份执行的数据事件活动,即使该活动是在属于另一个Amazon账户的函数上执行的。

    3. 如果选择 Input function as ARN(输入函数作为 ARN),则输入 Lambda 函数的 ARN。

      注意

      如果您的账户中有超过 15,000 个 Lambda 函数,则在创建跟踪时无法在CloudTrail控制台中查看或选择所有函数。您仍可以选择该选项来记录所有函数,即使未显示这些函数也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数 (如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建操作,然后使用 Amazon CLI 和 put-event-selectors 命令为特定 Lambda 函数配置数据事件日志记录。有关更多信息,请参阅使用 Amazon CLI 管理跟踪记录

  14. 对于 DynamoDB 表:

    1. 对于 Data event source(数据事件源),选择 DynamoDB

    2. DynamoDB table selection(DynamoDB 表选择)中,选择 Browse(浏览)以选择一个表,或粘贴到您有权访问的 DynamoDB 表的 ARN 中。DynamoDB 表 ARN 使用以下格式:

      arn:partition:dynamodb:region:account_ID:table/table_name

      要添加另一个表,请选择 Add row(添加行),然后浏览到某个表或粘贴到您有权访问的表的 ARN 中。

  15. 如果您希望您的跟踪记录见解事件,请选择 CloudTrail Insights 事件。

    Event type(事件类型)中,选择 Insights events(见解事件)。在 Insights events(Insights 事件)中,选择 API call rate(API 调用率)和/或 API error rate(API 错误率)。您必须记录写入管理事件才能记录 Insights 事件以获得 API 调用率。您必须记录读取写入管理事件才能记录 Insights 事件以获取 API 错误率

    CloudTrailInsights 会分析管理事件中的异常活动,并在检测到异常时记录事件。默认情况下,跟踪记录不记录见解事件。有关见解事件的更多信息,请参阅记录跟踪记录的见解事件。记录见解事件将收取额外费用。有关 CloudTrail 定价,请参阅 Amazon CloudTrail 定价

    见解事件将传递到跟踪记录详细信息页面的 Storage location(存储位置)区域中指定的同一 S3 存储桶中名为 /CloudTrail-Insight 的不同文件夹。CloudTrail为您创建新的前缀。例如,如果当前目标 S3 存储桶命名为 S3bucketName/AWSLogs/CloudTrail/,则带有新前缀的 S3 存储桶名称会命名为 S3bucketName/AWSLogs/CloudTrail-Insight/

  16. 完成选择要记录的事件类型的操作后,选择 Next(下一步)。

  17. Review and create(审核和重建)页面上,审核您的选择。在相关部分中选择 Edit(编辑)以更改该部分中显示的跟踪设置。在准备好创建跟踪时,选择 Create trail(创建跟踪)。

  18. 新跟踪记录出现在 Trails(跟踪记录)页面上。Trails(跟踪记录)页面显示您的账户中来自所有区域的跟踪记录。大约 5 分钟后,CloudTrail发布日志文件,显示在您的账户中进行Amazon的 API 调用。您可以在指定的 S3 存储桶中查看日志文件。如果您已启用见解事件日志记录并且检测到异常活动,则 CloudTrail 最多可能需要 36 个小时才能传递第一个见解事件。

注意

CloudTrail通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。

在控制台中创建跟踪(高级事件选择器)

在控制台中,您创建的跟踪可记录所有 Amazon 区域中的事件。这是推荐的最佳实践。要在单个区域(不推荐)中记录事件,请使用Amazon CLI

如果已启用高级事件选择器,请使用以下程序。如果您更喜欢使用基本事件选择器,请参阅 在控制台中创建跟踪(基本事件选择器) 以对跟踪配置数据事件日志记录。

使用 Amazon Web Services Management Console创建 CloudTrail 跟踪

  1. 登录Amazon Web Services Management Console并通过 https://console.aws.amazon.com/cloudtrail/ 打开CloudTrail控制台。

  2. 在CloudTrail服务主页、跟踪页面或控制面板页面的跟踪部分上,选择创建跟踪

  3. Create Trail 页面上,对于 Trail name,键入一个跟踪名。有关更多信息,请参阅CloudTrail 命名要求

  4. 如果这是Amazon Organizations组织跟踪,则可以为组织中的所有账户启用跟踪。要查看此选项,您必须使用管理或委派管理员帐户中的用户或角色登录控制台。要成功创建组织跟踪,请确保相应用户或角色具有足够的权限。有关更多信息,请参阅为组织创建跟踪

  5. 对于 Storage location(存储位置,选择 Create new S3 bucket(创建 S3 存储桶)以创建存储桶。在创建存储桶时,CloudTrail 会创建并应用所需的存储桶策略。

    注意

    如果选择 Use existing S3 bucket(使用现有 S3 存储桶),则在 Trail log bucket name(跟踪日志存储桶名称)中指定一个存储桶,或选择 Browse(浏览)以选择存储桶。存储桶策略必须授予 CloudTrail 向其写入的权限。有关手动编辑存储桶策略的信息,请参阅的 Amazon S3 存储桶策略 CloudTrail

    为了更轻松地找到您的日志,请在现有存储桶中创建一个新文件夹(也称为前缀)来存储您的CloudTrail日志。在 Prefix(前缀)字段中输入前缀。

  6. 对于 Log file SSE-KMS encryption(日志文件 SSE-KMS 加密),如果您希望使用 SSE-KMS 加密而非 SSE-S3 加密对您的日志文件进行加密,请选择 Enabled(已启用)。默认值为 Enabled(已启用)。如果您未启用 SSE-KMS 加密,则将使用 SSE-S3 加密对您的日志进行加密。有关 SSE-KMS 加密的更多信息,请参阅使用具有 Amazon Key Management Service 的服务器端加密(SSE-KMS)。有关 SSE-S3 加密的更多信息,请参阅配合使用服务器端加密与 Amazon S3 托管加密密钥(SSE-S3)

    如果您启用了 SSE-KMS 加密,请选择 New(新建)或 Existing(现有)Amazon KMS key。在Amazon KMS别名中,按格式指定别名alias/MyAliasName。有关更多信息,请参阅更新资源以使用 KMS 密钥:CloudTrail还支持Amazon KMS多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥

    注意

    您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅更新资源以使用 KMS 密钥:密钥策略必须允许 CloudTrail 使用此密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥策略的信息,请参阅为以下各项配置Amazon KMS密钥策略 CloudTrail

  7. Additional configuration(其他配置)中,请配置以下内容。

    1. 对于 Log file validation(日志文件验证),选择 Enabled(已启用)以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件验证日志文件在由 CloudTrail 传送之后没有发生改变。有关更多信息,请参阅验证CloudTrail日志文件完整性

    2. 对于 SNS notification delivery(SNS 通知传输),选择 Enabled(已启用)以在每次日志传送到您的存储桶时收到通知。CloudTrail在日志文件中存储多个事件。SNS 通知针对每个日志文件而不是每个事件发送。有关更多信息,请参阅为 CloudTrail 配置 Amazon SNS 通知

      如果您启用了 SNS 通知,则对于 Create a new SNS topic(创建新 SNS 主题),选择 New(新建)创建主题,或选择 Existing(现有)使用现有的主题。如果您创建的是应用到所有区域的跟踪,则针对来自所有区域的日志文件传输的 SNS 通知将发送到您创建的单个 SNS 主题中。

      如果选择 “新建”,请为您CloudTrail指定新主题的名称,也可以键入名称。如果选择 Existing(现有),则从下拉列表中选择一个 SNS 主题。您还可以输入来自另一个区域或来自一个具有适当权限的账户的主题的 ARN。有关更多信息,请参阅Amazon SNS 对 CloudTrail

      如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可通过 Amazon SNS 控制台进行订阅。由于通知的频率,建议您将该订阅配置为使用 Amazon SQS 队列来以编程方式处理通知。有关更多信息,请参阅 Amazon Simple Notification Service 入门指南

  8. 或者,通过选择 “在日志中启用” CloudTrail 来配置将CloudWatch日志文件发送到CloudWatch日志。有关更多信息,请参阅将事件发送到CloudWatch日志

    1. 如果您启用与CloudWatch日志的集成,请选择 “建” 以创建新的日志组,或选择 “有” 以使用现有的日志组。如果选择 “新建”,则为您CloudTrail指定新日志组的名称,也可以键入名称。

    2. 如果选择 Existing(现有),则从下拉列表中选择一个日志组。

    3. 选择 “建” 以创建新的 IAM 角色,以获得将日志发送到 Log CloudWatch s 的权限。选择 Existing(现有)以从下拉列表中选择一个现有 IAM 角色。展开 Policy document(策略文档)时,将显示新角色或现有角色的策略语句。有关该角色的更多信息,请参阅 用于使用CloudWatch日志CloudTrail进行监控的角色策略文档

      注意

      在您配置跟踪时,可以选择属于另一个账户的 S3 存储桶和 SNS 主题。但是,如果您想CloudTrail将事件传送到CloudWatch日志组,则必须选择当前账户中存在的日志组。

  9. 对于 Tags(标签),将一个或多个自定义标签(键值对)添加到跟踪中。标签可以帮助您识别您的CloudTrail跟踪和包含CloudTrail日志文件的 Amazon S3 存储桶。然后,您可以为您的 CloudTrail 资源使用资源组。有关更多信息,请参阅 Amazon Resource Groups为什么要对跟踪记录使用标签?

  10. Choose log events(选择日志事件)页面中,选择要记录的事件类型。对于 Management events (管理事件),请执行以下操作。

    1. 对于 API activity(API 活动),选择您希望跟踪记录 Read(读取)事件、Write(写入)事件,还是记录两者。有关更多信息,请参阅管理事件

    2. 选择 Exclude Amazon KMS events(排除 Amazon KMS 事件)以从跟踪中筛选出 Amazon Key Management Service (Amazon KMS) 事件。默认设置是包含所有 Amazon KMS 事件。

      只有当您在跟踪上记录管理事件时,用于记录或排除 Amazon KMS 事件的选项才可用。如果选择不记录管理事件,则不会记录 Amazon KMS 事件,并且您无法更改 Amazon KMS 事件日志记录设置。

      EncryptDecryptGenerateDataKey 等 Amazon KMS 操作通常会生成大量事件(占比超过 99%)。这些操作现在记录为读取事件。DisableDeleteScheduleKey(通常占不到 Amazon KMS 事件量的 0.5%)等少量的相关 Amazon KMS 操作记录为 Write(写入)事件。

      如果要排除大批量事件(例如 EncryptDecryptGenerateDataKey),但仍然记录相关事件(例如 DisableDeleteScheduleKey),选择记录 Write(写入)管理事件,然后清除 Exclude Amazon KMS events(排除 Amazon KMS 事件)复选框。

    3. 选择 Exclude Amazon RDS Data API events(排除 Amazon RDS 数据 API 事件以从跟踪中筛选出 Amazon Relational Database Service 数据 API 事件。默认设置是包含所有 Amazon RDS 数据 API 事件。有关 Amazon RDS 数据 API 事件的更多信息,请参阅 Amazon RDS Aurora 用户指南中的使用 Amazon CloudTrail 记录数据 API 调用

  11. 要记录数据事件,请选择 Data events(数据事件)。

  12. 对于 Data event type(数据事件类型),选择要在其上记录数据事件的资源类型。

    注意

    要记录 Lake Formation 创建的 Amazon Glue 表的数据事件,请选择 Lake Formation

  13. 选择日志选择器模板。CloudTrail包括用于记录资源类型的所有数据事件的预定义模板。要构建自定义日志选择器模板,请选择 Custom(自定义)。

    注意

    选择 S3 存储桶的预定义模板可为您的 Amazon 账户中现有的所有存储桶和您完成跟踪创建后创建的任何存储桶启用数据事件日志记录。它还允许记录您的Amazon账户中任何 IAM 身份执行的数据事件活动,即使该活动是在属于其他Amazon账户的存储桶上执行的。

    如果跟踪仅应用于一个区域,则选择记录所有 S3 存储桶的预定义模板可为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为您的 Amazon 账户的其他区域中的 Simple Storage Service(Amazon S3)存储桶记录数据事件。

    如果您正在为所有区域创建跟踪,则选择 Lambda 函数的预定义模板将为您的 Amazon 账户中当前包含的所有函数以及您在创建跟踪后可能在任何区域中创建的任何 Lambda 函数启用数据事件日志记录。如果您正在为单个区域创建跟踪(通过使用 Amazon CLI 完成),则此选择将为您的 Amazon 账户中的该区域中当前包含的所有函数以及您在创建跟踪后可能在该区域中创建的任何 Lambda 函数启用数据事件日志记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。

    记录所有函数的数据事件还允许记录您Amazon账户中的任何 IAM 身份执行的数据事件活动,即使该活动是在属于另一个Amazon账户的函数上执行的。

  14. (可选)在选择器名称中,输入一个名称以标识您的选择器。选择器名称是高级事件选择器的描述性名称,例如 “仅记录两个 S3 存储桶的数据事件”。选择器名称在高级事件选择器Name中列出,如果您展开 JSON 视图,则可以查看

  15. Advanced event selectors(高级事件选择器)中,为您要记录其数据事件的特定资源构建表达式。如果您使用的是预定义的日志模板,则可以跳过此步骤。

    1. 从下面的字段中选择。对于接受数组(多个值)的字段,在值之间CloudTrail添加 OR。

      • readOnly - readOnly 可以设置为 Equals(等于)值 truefalse。只读数据事件是不会更改资源状态的事件,例如 Get*Describe* 事件。写入事件可添加、更改或删除资源、属性或构件,例如 Put*Delete*Write* 事件。要记录 readwrite 两种事件,请不要添加 readOnly 选择器。

      • eventName - eventName 可以使用任何运算符。您可以使用它来包含或排除任何记录到的数据事件CloudTrail,例如PutBucketPutItem、或GetSnapshotBlock。您可以为此字段指定多个值,以逗号分隔。

      • resources.ARN-您可以将任何运算符与一起resources.ARN使用,但如果您使用等于NotEquals,则该值必须与您在模板中指定为值的类型有效资源的 ARN 完全匹配resources.type

        下表显示了每种格式的有效 ARN 格式resources.Type

        资源。类型 资源.arn
        AWS::DynamoDB::Table 
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function 
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object1

        		 
        arn:partition:s3:::bucket_name/
arn:partition:s3:::bucket_name/object_or_file_name/
        AWS::CloudTrail::Channel 
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Profile 
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool 
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream 
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot 
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace 
        arn:partition:emrwal:region::workspace/workspace_name
        AWS::FinSpace::Environment 
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table 
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GuardDuty::Detector 
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::KendraRanking::ExecutionPlan 
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::ManagedBlockchain::Network 
        arn:partition:managedblockchain:region::networks/network_ID
        AWS::ManagedBlockchain::Node 
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::SageMaker::FeatureGroup 
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SageMaker::ExperimentTrialComponent 
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name

        AWS::S3::AccessPoint2

        		 
        arn:partition:s3:region:account_ID:accesspoint/access_point_name
        AWS::S3ObjectLambda::AccessPoint 
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object 
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SSMMessages::ControlChannel 
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::VerifiedPermissions::PolicyStore 
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 要记录特定 S3 存储桶中所有对象的所有数据事件,请使用StartsWith运算符,并且仅包含存储桶 ARN 作为匹配值。刻意使用尾部斜杠;切勿排除它。

        2 要记录 S3 接入点中所有对象的事件,我们建议您仅使用接入点 ARN,不要包含对象路径,并使用StartsWithNotStartsWith运算符。

      有关数据事件资源的 ARN 格式的更多信息,请参阅 Amazon Identity and Access Management用户指南中的操作、资源和条件键

    2. 对于每个字段,请选择 + Conditions(+ 条件)以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。例如,要从跟踪中记录的数据事件中排除两个 S3 存储桶的数据事件,您可以将字段设置为 resources.arn,为NotStartsWith其设置运算符,然后粘贴到 S3 存储桶 ARN 中,或者浏览不想记录事件的 S3 存储桶。

      要添加第二个 S3 存储桶,请选择 + Conditions(+ 条件),然后重复上述说明,在 ARN 中粘贴或浏览到不同的存储桶。

      注意

      对于跟踪上的所有选择器,最多可以有 500 个值。这包括选择器的多个值的数组,例如 eventName。如果所有选择器均为单个值,则最多可以向选择器添加 500 个条件。

      如果您的账户中有超过 15,000 个 Lambda 函数,则在创建跟踪时无法在CloudTrail控制台中查看或选择所有函数。您仍可使用预定义选择器模板记录所有函数,即使这些函数未显示出来也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数 (如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建操作,然后使用 Amazon CLI 和 put-event-selectors 命令为特定 Lambda 函数配置数据事件日志记录。有关更多信息,请参阅使用 Amazon CLI 管理跟踪记录

    3. 根据需要,选择 + Field(+ 字段)以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。例如,不要在一个选择器中将 ARN 指定为等于某个值,然后在另一个选择器中指定 ARN 不等于相同的值。

    4. 选择 Next(下一步)以保存对自定义选择器模板的更改。不要选择其他日志选择器模板,或离开此页面,否则您的自定义选择器将会丢失。

  16. 要添加需要记录数据事件的其他数据类型,请选择 Add data event type(添加数据事件类型)。重复步骤 12 至此步骤,为数据事件类型配置高级事件选择器。

  17. 如果您希望您的跟踪记录见解事件,请选择 CloudTrail Insights 事件。

    Event type(事件类型)中,选择 Insights events(见解事件)。您必须记录写入管理事件才能记录 Insights 事件以获得 API 调用率。您必须记录读取写入管理事件才能记录 Insights 事件以获取 API 错误率

    CloudTrailInsights 会分析管理事件中的异常活动,并在检测到异常时记录事件。默认情况下,跟踪记录不记录见解事件。有关见解事件的更多信息,请参阅记录跟踪记录的见解事件。记录见解事件将收取额外费用。有关 CloudTrail 定价,请参阅 Amazon CloudTrail 定价

    见解事件将传递到跟踪记录详细信息页面的 Storage location(存储位置)区域中指定的同一 S3 存储桶中名为 /CloudTrail-Insight 的不同文件夹。CloudTrail为您创建新的前缀。例如,如果当前目标 S3 存储桶命名为 S3bucketName/AWSLogs/CloudTrail/,则带有新前缀的 S3 存储桶名称会命名为 S3bucketName/AWSLogs/CloudTrail-Insight/

  18. 完成选择要记录的事件类型的操作后,选择 Next(下一步)。

  19. Review and create(审核和重建)页面上,审核您的选择。在相关部分中选择 Edit(编辑)以更改该部分中显示的跟踪设置。在准备好创建跟踪时,选择 Create trail(创建跟踪)。

  20. 新跟踪记录出现在 Trails(跟踪记录)页面上。Trails(跟踪记录)页面显示您的账户中来自所有区域的跟踪记录。大约 5 分钟后,CloudTrail发布日志文件,显示在您的账户中进行Amazon的 API 调用。您可以在指定的 S3 存储桶中查看日志文件。如果您已启用见解事件日志记录并且检测到异常活动,则 CloudTrail 最多可能需要 36 个小时才能传递第一个见解事件。

    注意

    CloudTrail通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。

后续步骤

创建您的跟踪后,您可以返回到该跟踪以进行更改:

  • 如果您还没有,则可以配置为将日志文件发送CloudTrail到 Lo CloudWatch gs。有关更多信息,请参阅将事件发送到CloudWatch日志

  • 创建表并将其用于在 Amazon Athena 中运行查询,以便分析 Amazon 服务活动。有关更多信息,请参阅 Amazon Athena 用户指南中的在CloudTrail控制台中创建CloudTrail日志表

  • 向跟踪添加自定义标签(键-值对)。

  • 要创建另一个跟踪记录,打开 Trails(跟踪记录)页面,并选择 Add new trail(添加新跟踪记录)。