了解 CloudTrail 事件 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 CloudTrail 事件

中的事件 CloudTrail 是 Amazon 账户中某项活动的记录。此活动可以是IAM身份采取的操作,也可以是可由 CloudTrail其监控的服务。 CloudTrail 事件提供了通过 Amazon Web Services Management Console、、 Amazon SDKs、命令行工具和其他工具进行的非API账户活动的历史记录 Amazon Web Services 服务。API

CloudTrail 日志文件不是公共API调用的有序堆栈跟踪,因此事件不会按任何特定的顺序出现。

有四种类型 CloudTrail 的事件:

默认情况下,跟踪和事件数据存储日志管理事件,但不存储数据事件、网络活动事件或 Insights 事件。

所有事件类型都使用 CloudTrail JSON日志格式。日志包含有关您账户中的资源请求的信息,如谁发出请求、所使用的服务、执行的操作以及操作的参数。事件数据包含在 Records 数组中。

有关 CloudTrail 事件记录字段的信息,请参见CloudTrail 录制内容

管理事件

管理事件提供有关对您 Amazon 账户中的资源执行的管理操作的信息。这些也称为控制层面操作

示例管理事件包括:

  • 配置安全性(例如, Amazon Identity and Access Management AttachRolePolicyAPI操作)。

  • 注册设备(例如,Amazon EC2 CreateDefaultVpc API 运营)。

  • 配置数据路由规则(例如,Amazon EC2 CreateSubnet API 操作)。

  • 设置日志记录(例如, Amazon CloudTrail CreateTrailAPI操作)。

管理事件也可以包括您账户中发生的非API事件。例如,当用户登录您的账户时,会 CloudTrail 记录该ConsoleLogin事件。有关更多信息,请参阅 CloudTrail 捕获的非 API 事件

默认情况下,t CloudTrail rails 和 CloudTrail Lake 事件数据存储日志管理事件。有关记录管理事件的更多信息,请参阅 记录管理事件

以下示例显示了管理事件的单个日志记录。在这种情况下,名为的IAM用户Mary_Major运行aws cloudtrail start-logging命令调用 CloudTrail StartLogging操作,在名为的跟踪上启动日志记录进程myTrail

{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }

在下一个示例中,名为的IAM用户用户Paulo_Santos运行aws cloudtrail start-event-data-store-ingestion命令以调用StartEventDataStoreIngestion操作以开始对事件数据存储进行摄取。

{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }

数据事件

数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为数据层面操作。数据事件通常是高容量活动。

示例数据事件包括:

下表显示了可用于跟踪的资源类型。资源类型(控制台)列显示控制台中的相应选择。resources.typ resources.type e 值列显示了您使用或指定的值,以便在跟踪中包含该类型的数据事件。 Amazon CLI CloudTrail APIs

对于跟踪,您可以使用基本或高级事件选择器来记录通用存储桶、Lambda 函数和 DynamoDB 表中的 Amazon S3 对象的数据事件(显示在表的前三行中)。您只能使用高级事件选择器来记录其余行中显示的资源类型。

Amazon Web Services 服务 描述 资源类型(控制台) resources.type 值
Amazon DynamoDB

表上的 Amazon DynamoDB API 项目级活动(例如PutItemDeleteItem、和操作)。UpdateItem API

注意

对于启用了流的表,数据事件中的 resources 字段同时包含 AWS::DynamoDB::StreamAWS::DynamoDB::Table。如果您为 resources.type 指定 AWS::DynamoDB::Table,则原定设置情况下,它将同时记录 DynamoDB 表和 DynamoDB 流事件。要排除流事件,请对 eventName 字段添加筛选条件。

DynamoDB

AWS::DynamoDB::Table

Amazon Lambda

Amazon Lambda 函数执行活动 (the InvokeAPI)。

Lambda AWS::Lambda::Function
Amazon S3

Amazon S3 对象级API活动(例如GetObjectDeleteObject、和PutObjectAPI操作),涉及通用存储桶中的对象。

S3 AWS::S3::Object
Amazon AppConfig

Amazon AppConfig API用于配置操作@@ 的活动,例如对StartConfigurationSession和的调用GetLatestConfiguration

Amazon AppConfig AWS::AppConfig::Configuration
Amazon AppSync

Amazon AppSync API AppSync GraphQL APIs 上的@@ 活动

AppSync GraphQL AWS::AppSync::GraphQL
Amazon B2B 数据交换

Transformer 操作的 B2B 数据交换API活动,例如对GetTransformerJob和的调用StartTransformerJob

B2B 数据交换 AWS::B2BI::Transformer
Amazon Backup

Amazon Backup 搜索职位上的搜索数据API活动。

Amazon Backup 搜索数据 APIs AWS::Backup::SearchJob
Amazon Bedrock Amazon Bedrock 在代理别名上的API活动 Bedrock 代理别名 AWS::Bedrock::AgentAlias
Amazon Bedrock Amazon Bedrock 关于异步调用的API活动。 基岩异步调用 AWS::Bedrock::AsyncInvoke
Amazon Bedrock 流别名上的 Amazon Bedrock API 活动。 Bedrock 流别名 AWS::Bedrock::FlowAlias
Amazon Bedrock Amazon Bedrock 在护栏上的API活动。 Bedrock 护栏 AWS::Bedrock::Guardrail
Amazon Bedrock Amazon Bedrock 在内联代理上的API活动。 基岩调用内联代理 AWS::Bedrock::InlineAgent
Amazon Bedrock 知识库上的 Amazon Bedrock API 活动 Bedrock 知识库 AWS::Bedrock::KnowledgeBase
Amazon Bedrock Amazon Bedrock 在模特上的API活动。 Bedrock 模型 AWS::Bedrock::Model
亚马逊 CloudFront

CloudFront API在 a 上的活动 KeyValueStore.

CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
Amazon Cloud Map Amazon Cloud Map API命名空间上的@@ 活动 Amazon Cloud Map 命名空间 AWS::ServiceDiscovery::Namespace
Amazon Cloud Map Amazon Cloud Map API服务上的@@ 活动 Amazon Cloud Map service AWS::ServiceDiscovery::Service
Amazon CloudTrail

CloudTrail PutAuditEvents用于记录外部事件的 L CloudTrail ake 频道上的活动 Amazon。

CloudTrail 频道 AWS::CloudTrail::Channel
亚马逊 CloudWatch

亚马逊在指标方面的 CloudWatch API活动

CloudWatch 指标 AWS::CloudWatch::Metric
亚马逊 CloudWatch RUM

应用程序监视器上的亚马逊 CloudWatch RUMAPI活动。

RUM应用程序监视器 AWS::RUM::AppMonitor
Amazon P CodeGuru rofiler CodeGuru 性能分析器在分析组上的API活动。 CodeGuru Profiler 分析组 AWS::CodeGuruProfiler::ProfilingGroup
亚马逊 CodeWhisperer 亚马逊在定制方面的 CodeWhisperer API活动。 CodeWhisperer 定制 AWS::CodeWhisperer::Customization
亚马逊 CodeWhisperer 亚马逊在个人资料上的 CodeWhisperer API活动。 CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

亚马逊 Cognito 在亚马逊 Cog n ito 身份池上的API活动。

Cognito 身份池 AWS::Cognito::IdentityPool
Amazon Web Services Data Exchange

Amazon Web Services Data Exchange API资产活动。

Data Exchange 资产

AWS::DataExchange::Asset

Amazon Deadline Cloud

Deadline CloudAPI舰队上的活动。

Deadline Cloud 舰队

AWS::Deadline::Fleet

Amazon Deadline Cloud

Deadline CloudAPI工作中的活动。

Deadline Cloud 工作

AWS::Deadline::Job

Amazon Deadline Cloud

Deadline CloudAPI队列中的活动。

Deadline Cloud queue

AWS::Deadline::Queue

Amazon Deadline Cloud

Deadline CloudAPI对工人的活动。

Deadline Cloud 工人

AWS::Deadline::Worker

Amazon DynamoDB

Amazon Dyn API amoDB 直播中的活动。

DynamoDB Streams AWS::DynamoDB::Stream
Amazon 最终用户消息 SMS Amazon 有关原始身份@@ 的最终用户消息SMSAPI活动。 SMS语音来源身份 AWS::SMSVoice::OriginationIdentity
Amazon 最终用户消息 SMS Amazon 消息上的 “最终用户消息” SMS API 活动。 SMS语音留言 AWS::SMSVoice::Message
Amazon 最终用户消息社交 Amazon 最终用户消息电话号码上的社交API活动IDs。 社交消息电话号码 ID AWS::SocialMessaging::PhoneNumberId
Amazon 最终用户消息社交 Amazon Waba IDs 上的最终用户消息社交API活动。 社交消息 Waba ID AWS::SocialMessaging::WabaId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) 直接存储,例如APIsPutSnapshotBlockGetSnapshotBlock、和ListChangedBlocks在亚马逊EBS快照上。

亚马逊EBS直销 APIs AWS::EC2::Snapshot
Amazon EMR Amazon 在预写日志工作空间中的EMRAPI活动 EMR预写日志工作空间 AWS::EMRWAL::Workspace
Amazon FinSpace

Amazon FinSpaceAPI在环境中的活动。

FinSpace AWS::FinSpace::Environment
Amazon Glue

Amazon Glue API在 Lake Formation 创建的桌子上的活动。

Lake Formation AWS::Glue::Table
亚马逊 GuardDuty

探测器的 Amazon GuardDuty API 活动。

GuardDuty 探测器 AWS::GuardDuty::Detector
Amazon HealthImaging

Amazon HealthImaging API数据存储上的活动。

MedicalImaging 数据存储 AWS::MedicalImaging::Datastore
Amazon IoT

Amazon IoT API证书上的@@ 活动

IoT 证书 AWS::IoT::Certificate
Amazon IoT

Amazon IoT API在事物上@@ 活动

IoT 事物 AWS::IoT::Thing
Amazon IoT Greengrass Version 2

组件版本上来自 API Greengrass 核心设备的 Greengrass 活动。

注意

Greengrass 不会记录访问被拒绝事件。

IoT Greengrass 组件版本 AWS::GreengrassV2::ComponentVersion
Amazon IoT Greengrass Version 2

部署时来自 G API reengrass 核心设备的 Greengrass 活动。

注意

Greengrass 不会记录访问被拒绝事件。

IoT Greengrass 部署 AWS::GreengrassV2::Deployment
Amazon IoT SiteWise

资产上的@@ 物联网 SiteWise API活动

物联网 SiteWise 资产 AWS::IoTSiteWise::Asset
Amazon IoT SiteWise

时间序列上的@@ 物联网 SiteWise API活动

物联网 SiteWise 时间序列 AWS::IoTSiteWise::TimeSeries
Amazon IoT SiteWise 助手

Sitewise Ass API istant 在对话

Sitewise 助手对话 AWS::SitewiseAssistant::Conversation
Amazon IoT TwinMaker

实体上的物联网 TwinMaker API活动。

物联网 TwinMaker 实体 AWS::IoTTwinMaker::Entity
Amazon IoT TwinMaker

工作空间中的物联网 TwinMaker API活动。

物联网 TwinMaker 工作空间 AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking

Amazon Kendra 对重新评分API执行计划进行智能排名活动。

Kendra 排名 AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces(Apache Cassandra 兼容) 桌子上的 Amazon Keys API paces 活动 Cassandra 表 AWS::Cassandra::Table
Amazon Kinesis Data Streams Kinesis Data API Streams 直播中的活动 Kinesis 流 AWS::Kinesis::Stream
Amazon Kinesis Data Streams Kinesis Data API Streams 对直播使用者的活动。 Kinesis 流使用者 AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Kinesis Video Streams 视频API流上的 Kinesis Video Streams 活动,例如GetMedia对和的通话。PutMedia Kinesis 视频流 AWS::KinesisVideo::Stream
Amazon Location 映射 亚马逊位置地图API活动。 地理地图 AWS::GeoMaps::Provider
Amazon Location 位数 “亚马逊定位地点API” 活动。 地理位置 AWS::GeoPlaces::Provider
Amazon Location 路线 “亚马逊定位路线API” 活动。 地理路线 AWS::GeoRoutes::Provider
Amazon Machine Learning 机器学习模型上的 Machine Learning API 活动。 匹配学习 MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

Amazon Managed Blockchain 在网络上的API活动。

托管区块链网络 AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Amazon Manage JSON d Blockchain-在以太坊节点上RPC调用,例如eth_getBalanceeth_getBlockByNumber

托管区块链 AWS::ManagedBlockchain::Node
Amazon Managed Workflows for Apache Airflow

亚马逊在环境中的MWAAAPI活动。

托管 Apache 气流 AWS::MWAA::Environment
Amazon Neptune 图形

Neptune Graph 上的数据API活动,例如查询、算法或向量搜索。

Neptune 图形 AWS::NeptuneGraph::Graph
Amazon One Enterprise

Amazon One 企业版在 a UKey 上的API活动

Amazon One UKey AWS::One::UKey
Amazon One Enterprise

Amazon One 企业版针对用户的API活动。

Amazon One 用户 AWS::One::User
Amazon Payment Cryptography Amazon Payment Cryptography API别名上的活动。 Payment Cryptography 别名 AWS::PaymentCryptography::Alias
Amazon Payment Cryptography Amazon Payment Cryptography API按键上的活动。 Payment Cryptography 密钥 AWS::PaymentCryptography::Key
Amazon Private CA

Amazon Private CA API活动目录活动的连接器。

Amazon Private CA 活动目录连接器 AWS::PCAConnectorAD::Connector
Amazon Private CA

Amazon Private CA SCEPAPI活动连接器。

Amazon Private CA 连接器用于 SCEP AWS::PCAConnectorSCEP::Connector
Amazon Q 应用程序构建器

Amazon Q 应用程序上的数据API活动。

Amazon Q 应用程序构建器 AWS::QApps::QApp
Amazon Q 应用程序构建器

Amazon Q 应用程序会话中的数据API活动。

亚马逊 Q 应用程序会话 AWS::QApps::QAppSession
Amazon Q 企业版

Amazon Q 企业在应用程序上的API活动

Amazon Q Business 应用程序 AWS::QBusiness::Application
Amazon Q 企业版

Amazon Q 业务在数据源上的API活动

Amazon Q Business 数据来源 AWS::QBusiness::DataSource
Amazon Q 企业版

亚马逊 Q 企业在指数上的API活动

Amazon Q Business 索引 AWS::QBusiness::Index
Amazon Q 企业版

Amazon Q Bus API iness 在网络体验上的活动

Amazon Q Business Web 体验 AWS::QBusiness::WebExperience
Amazon Q 开发者版

Amazon Q 开发者在集成方面的API活动。

Q 开发者集成 AWS::QDeveloper::Integration
Amazon Q 开发者版

Amazon Q 开发者在运营调查方面的API活动

AIOps调查组 AWS::AIOps::InvestigationGroup
Amazon RDS

亚马逊在数据库集群上的RDSAPI活动

RDS数据 API-数据库集群 AWS::RDS::DBCluster
Amazon 资源探索器

托管视图上的资源浏览器API活动。

Amazon 资源探索器 托管视图 AWS::ResourceExplorer2::ManagedView
Amazon 资源探索器

资源浏览器在视图上的API活动。

Amazon 资源探索器 view AWS::ResourceExplorer2::View
Amazon S3

Amazon S3 在接入点上的API活动

S3 接入点 AWS::S3::AccessPoint
Amazon S3

Amazon S3 对目录存储桶中的对象进行对象级API活动(例如GetObjectDeleteObject、和PutObjectAPI操作)。

S3 Express AWS::S3Express::Object
Amazon S3

Amazon S3 对象 Lambda 接入点API活动,例如对和的调用。CompleteMultipartUpload GetObject

S3 对象 Lambda AWS::S3ObjectLambda::AccessPoint
亚马逊 S3 表

亚马逊 S3 在表格上的API活动。

S3 桌子 AWS::S3Tables::Table
亚马逊 S3 表

Amazon S3 在表存储桶上的API活动。

S3 桌桶 AWS::S3Tables::TableBucket
Amazon S3 on Outposts

O@@ utposts 上的 Amazon S3 对象级活动API

S3 Outposts AWS::S3Outposts::Object
亚马逊 SageMaker AI 终端节点上的亚马逊 SageMaker AI InvokeEndpointWithResponseStream活动。 SageMaker AI 端点 AWS::SageMaker::Endpoint
亚马逊 SageMaker AI

特色商店中的亚马逊 SageMaker AI API 活动。

SageMaker AI feature store AWS::SageMaker::FeatureGroup
亚马逊 SageMaker AI

Amazon SageMaker AI 在实验试验组件上的API活动。

SageMaker AI 指标实验试用组件 AWS::SageMaker::ExperimentTrialComponent
Amazon Signer

签名者签名作业API的活动。

签名者签名工作 AWS::Signer::SigningJob
Amazon Signer

签名者在签名个人资料上的API活动。

签名者签名档案 AWS::Signer::SigningProfile
Amazon SimpleDB

亚马逊 Simp API leDB 在域名上的活动。

SimpleDB 域 AWS::SDB::Domain
Amazon SNS

亚马逊对平台终端节点的SNSPublishAPI操作。

SNS平台终端节点 AWS::SNS::PlatformEndpoint
Amazon SNS

Amazon SNS Publish和有关主题的PublishBatchAPI操作。

SNS话题 AWS::SNS::Topic
Amazon SQS

亚马逊在消息上的SQSAPI活动

SQS AWS::SQS::Queue
Amazon Step Functions

状态机上的 Step Functions API 活动

Step Functions 状态机 AWS::StepFunctions::StateMachine
Amazon Supply Chain

Amazon Supply Chain API实例上的活动。

供应链 AWS::SCN::Instance
Amazon SWF

亚马逊在域名上的SWFAPI活动。

SWF域 AWS::SWF::Domain
Amazon Systems Manager Systems Manager 在控制通道上的API活动 Systems Manager (系统管理员) AWS::SSMMessages::ControlChannel
Amazon Systems Manager 托管节点上的 Systems Manager API 活动 Systems Manager 托管式节点 AWS::SSM::ManagedNode
Amazon Timestream 亚马逊 Timestream 在QueryAPI数据库上的活动。 Timestream 数据库 AWS::Timestream::Database
Amazon Timestream Amazon Timestream 在QueryAPI表格上的活动。 Timestream 表 AWS::Timestream::Table
Amazon Verified Permissions

策略商店上的 Amazon 已验证权限API活动。

Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces 瘦客户机 WorkSpaces 设备上的瘦客户机API活动。 瘦客户端设备 AWS::ThinClient::Device
Amazon WorkSpaces 瘦客户机 WorkSpaces 环境中的瘦客户机API活动。 瘦客户端环境 AWS::ThinClient::Environment
Amazon X-Ray

痕迹上的 X 射线API活动

X-Ray 跟踪 AWS::XRay::Trace

预设情况下,在您创建跟踪记录时,未记录数据事件。要记录 CloudTrail 数据事件,必须明确添加要为其收集活动的支持的资源或资源类型。有关更多信息,请参阅 使用 CloudTrail 控制台创建跟踪

记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价

以下示例显示了 Amazon SNS Publish 操作的数据事件的单个日志记录。

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }

以下示例显示了 Amazon Cognito GetCredentialsForIdentity 操作的数据事件的单个日志记录。

{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }

网络活动事件

注意

网络活动事件处于预览版 CloudTrail ,可能会发生变化。

CloudTrail 网络活动事件使VPC端点所有者能够记录使用其VPC端点从私有VPC到的 Amazon API呼叫 Amazon Web Services 服务。网络活动事件可让您了解在网络中执行的资源操作VPC。

您可以记录以下服务的网络活动事件:

  • Amazon CloudTrail

  • Amazon EC2

  • Amazon KMS

  • Amazon Secrets Manager

默认情况下,在您创建跟踪或事件数据存储时,未记录网络活动事件。要记录 CloudTrail 网络活动事件,必须明确设置要为其收集活动的事件源。有关更多信息,请参阅 记录网络活动事件

记录网络活动事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价

以下示例显示了通过终 Amazon KMS ListKeys端节点的VPC成功事件。该vpcEndpointId字段显示VPC端点的 ID。该vpcEndpointAccountId字段显示VPC终端节点所有者的账户 ID。在此示例中,请求是由VPC终端节点所有者发出的。

{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE:role-name", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "attributes": { "creationDate": "2024-06-04T23:10:46Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-06-04T23:12:50Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731", "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }

下一个示例显示了VPC端点策略违规的不成功 Amazon KMS ListKeys事件。由于发生了违反VPC策略的情况,所以errorCodeerrorMessage字段都存在。recipientAccountIdvpcEndpointAccountId字段中的账户 ID 相同,这表示事件已发送给VPC终端节点所有者。userIdentity元素accountId中的不是vpcEndpointAccountId,这表示发出请求的用户不是VPC端点所有者。

{ "eventVersion": "1.09", "userIdentity": { "type": "AWSAccount", "principalId": "AKIAIOSFODNN7EXAMPLE", "accountId": "777788889999" }, "eventTime": "2024-07-15T23:57:12Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "errorCode": "VpceAccessDenied", "errorMessage": "The request was denied due to a VPC endpoint policy", "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374", "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }

Insights 事件

CloudTrail Insights 事件通过分析 CloudTrail 管理活动来捕获您 Amazon 账户中异常的API通话率或错误率活动。Insights 事件提供相关信息,例如关联的API、错误代码、事件时间和统计数据,可帮助您了解异常活动并采取行动。与在 CloudTrail 跟踪或事件数据存储中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户API使用情况或错误率日志记录的变化与账户的典型使用模式明显不同时,才会记录 Insights 事件。有关更多信息,请参阅 使用见 CloudTrail 解

可能生成 Insights 事件的活动的示例包括:

  • 您的账户通常每分钟记录不超过 20 个 Amazon S3 deleteBucket API 呼叫,但您的账户开始平均每分钟记录 100 个deleteBucketAPI呼叫。在异常活动开始时记录一个 Insights 事件,并记录另一个见解事件以标记异常活动的结束。

  • 您的账户通常每分钟记录 20 次给 Amazon 的呼叫 EC2 AuthorizeSecurityGroupIngressAPI,但您的账户开始记录的呼叫为零AuthorizeSecurityGroupIngress。在异常活动开始时记录一个 Insights 事件,10 分钟后,当异常活动结束时,将记录另一个 Insights 事件以标记异常活动的结束。

  • 通常,您的账户在七天内在 Amazon Identity and Access Management API、DeleteInstanceProfile上记录的AccessDeniedException错误少于一个。您的账户开始在DeleteInstanceProfileAPI通话中平均每分钟记录 12 个AccessDeniedException错误。在异常错误率活动开始时记录一个 Insights 事件,并记录另一个 Insights 事件以标记异常活动的结束。

这些示例仅用于说明用途。根据您的使用案例,您的结果可能会有所不同。

要记录 CloudTrail Insights 事件,您必须在新的或现有的跟踪或事件数据存储上明确启用 Insights 事件。有关创建跟踪的更多信息,请参阅使用 CloudTrail 控制台创建跟踪。有关创建事件数据存储的更多信息,请参阅使用控制台为 Insights 事件创建事件数据存储

将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价

CloudTrail Insights 中记录了两个事件以显示异常活动:开始事件和结束事件。以下示例显示了 Application Auto Scaling API CompleteLifecycleAction 被异常调用次数时发生的启动 Insights 事件的单个日志记录。对于见解事件,eventCategory 的值为 InsightinsightDetails 块标识事件状态、源、名称、见解类型和上下文,包括统计信息和归因。有关 insightDetails 块的更多信息,请参阅 CloudTrail 见解 insightDetails 元素

{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }