本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 CloudTrail 事件
中的事件 CloudTrail 是 Amazon 账户中某项活动的记录。此活动可以是 IAM 身份或可监控的服务采取的操作。 CloudTrail CloudTrail 事件提供通过 Amazon Web Services Management Console、 Amazon SDKs、、命令行工具和其他 Amazon Web Services 服务工具进行的 API 和非 API 账户活动的历史记录。
CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此事件不会按任何特定顺序出现。
有四种类型 CloudTrail 的事件:
默认情况下,跟踪和事件数据存储日志管理事件,但不存储数据事件、网络活动事件或 Insights 事件。
所有事件类型都使用 CloudTrail JSON 日志格式。日志包含有关您账户中的资源请求的信息,如谁发出请求、所使用的服务、执行的操作以及操作的参数。事件数据包含在 Records 数组中。
有关管理、数据和网络 CloudTrail 活动事件的事件记录字段的信息,请参阅CloudTrail 记录管理、数据和网络活动事件的内容。
有关 CloudTrail 跟踪的 Insights 事件的事件记录字段的信息,请参阅CloudTrail 记录跟踪跟踪跟踪跟踪跟踪跟踪跟踪跟踪跟踪跟踪的见解事件。
有关 CloudTrail 事件数据存储的 Insights 事件的事件记录字段的信息,请参阅CloudTrail 记录事件数据存储的 Insights 事件内容。
管理事件
管理事件提供有关对您 Amazon 账户中的资源执行的管理操作的信息。这些也称为控制层面操作。
示例管理事件包括:
-
配置安全性(例如, Amazon Identity and Access Management
AttachRolePolicyAPI 操作)。 -
注册设备(例如,亚马逊 EC2
CreateDefaultVpcAPI 操作)。 -
配置数据路由规则(例如,Amazon EC2
CreateSubnetAPI 操作)。 -
设置日志记录(例如, Amazon CloudTrail
CreateTrailAPI 操作)。
管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,会 CloudTrail 记录该ConsoleLogin事件。有关更多信息,请参阅 捕获的非 API 事件 CloudTrail。
默认情况下,t CloudTrail rails 和 CloudTrail Lake 事件数据存储日志管理事件。有关记录管理事件的更多信息,请参阅 记录管理事件。
以下示例显示了管理事件的单个日志记录。在这种情况下,名为的 IAM 用户Mary_Major运行aws cloudtrail start-logging命令调用 CloudTrail StartLogging操作,在名为的跟踪上启动日志记录过程myTrail。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
在该示例中,名为 Paulo_Santos 的 IAM 用户运行 aws cloudtrail start-event-data-store-ingestion 命令调用 StartEventDataStoreIngestion 操作,开始对事件数据存储进行提取。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
数据事件
数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为数据面板操作。数据事件通常是高量活动。
示例数据事件包括:
-
S3 存储桶中对象上的 Amazon S3 对象级 API 活动(例如
GetObject、DeleteObject和PutObjectAPI 操作)。 -
Amazon Lambda 函数执行活动(
InvokeAPI)。 -
CloudTrail
PutAuditEvents用于记录外部事件的 L CloudTrail ake 频道上的活动 Amazon。 -
针对主题的 Amazon SNS
Publish和PublishBatchAPI 操作。
下表显示了可用于跟踪的资源类型。资源类型(控制台)列显示控制台中的相应选择。resources.typ resources.type e 值列显示了您使用或指定的值,以便在跟踪中包含该类型的数据事件。 Amazon CLI CloudTrail APIs
对于跟踪,您可以使用基本或高级事件选择器来记录通用存储桶、Lambda 函数和 DynamoDB 表中的 Amazon S3 对象的数据事件(显示在表的前三行中)。您只能使用高级事件选择器来记录其余行中显示的资源类型。
支持的数据事件 Amazon CloudTrail
| Amazon Web Services 服务 | 说明 | 资源类型(控制台) | resources.type 值 |
|---|---|---|---|
| Amazon RDS | 数据库集群上的 Amazon RDS API 活动。 |
RDS 数据 API - 数据库集群 | AWS::RDS::DBCluster |
| Amazon S3 | 通用存储桶中对象上的 Amazon S3 对象级 API 活动(例如 |
S3 | AWS::S3::Object |
| Amazon S3 | 接入点上的 Amazon S3 API 活动。 |
S3 接入点 | AWS::S3::AccessPoint |
| Amazon S3 | 目录存储桶中对象上的 Amazon S3 对象级 API 活动(例如 |
S3 Express | AWS::S3Express::Object |
| Amazon S3 | Amazon S3 对象 Lambda 接入点 API 活动,例如调用 |
S3 对象 Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | 亚马逊 FSx API 在卷上的活动。 |
FSx 音量 | AWS::FSx::Volume |
| Amazon S3 表类数据存储服务 | 亚马逊 S3 API 在表格上的活动。 |
S3 桌子 | AWS::S3Tables::Table |
| Amazon S3 表类数据存储服务 | Amazon S3 API 在表存储桶上的活动。 |
S3 桌桶 | AWS::S3Tables::TableBucket |
| Amazon S3 on Outposts | Amazon S3 on Outposts 对象级别 API 活动。 |
S3 Outposts | AWS::S3Outposts::Object |
| Amazon SNS | 针对平台端点的 Amazon SNS |
SNS 平台端点 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 针对主题的 Amazon SNS |
SNS 主题 | AWS::SNS::Topic |
| Amazon SQS | 消息上的 Amazon SQS API 活动。 |
SQS | AWS::SQS::Queue |
| Amazon Supply Chain | Amazon Supply Chain 实例上的 API 活动。 |
供应链 | AWS::SCN::Instance |
| Amazon SWF | SWF 域 | AWS::SWF::Domain |
|
| Amazon AppConfig | Amazon AppConfig 用于配置操作的 API 活动,例如对 |
Amazon AppConfig | AWS::AppConfig::Configuration |
| Amazon AppSync | Amazon AppSync Graph@@ QL 上的 AppSync AP APIs I 活动。 |
AppSync GraphQL | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | Amazon Aurora DSQL API 在集群资源上的活动。 |
Amazon Aurora DSQL | AWS::DSQL::Cluster |
| Amazon B2B 数据交换 | 用于转换器操作的 B2B 数据交换 API 活动,例如对 |
B2B 数据交换 | AWS::B2BI::Transformer |
| Amazon Backup | Amazon Backup 搜索数据 API 在搜索作业上的活动。 |
Amazon Backup 搜索数据 APIs | AWS::Backup::SearchJob |
| Amazon Bedrock | 代理别名上的 Amazon Bedrock API 活动。 | Bedrock 代理别名 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | Amazon Bedrock API 关于异步调用的活动。 | 基岩异步调用 | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | 流别名上的 Amazon Bedrock API 活动。 | Bedrock 流别名 | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | 护栏上的 Amazon Bedrock API 活动。 | Bedrock 护栏 | AWS::Bedrock::Guardrail |
| Amazon Bedrock | 内联代理上的 Amazon Bedrock API 活动。 | 基岩调用内联代理 | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | 知识库上的 Amazon Bedrock API 活动。 | Bedrock 知识库 | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | 模型上的 Amazon Bedrock API 活动。 | Bedrock 模型 | AWS::Bedrock::Model |
| Amazon Bedrock | Amazon Bedrock API 根据提示进行活动。 | 基岩提示 | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | 会话中的 Amazon Bedrock API 活动。 | 基岩会议 | AWS::Bedrock::Session |
| Amazon Bedrock | Amazon Bedrock API 关于流程执行的活动。 |
基岩流执行 | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | 基于自动推理策略的 Amazon Bedrock API 活动。 |
基岩自动推理策略 | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | Amazon Bedrock API 在自动推理策略版本上的活动。 |
Bedrock 自动推理策略版本 | AWS::Bedrock::AutomatedReasoningPolicyVersion |
Amazon Bedrock |
亚马逊 Bedrock 数据自动化项目 API 活动。 |
基岩数据自动化项目 |
|
Amazon Bedrock |
基石数据自动化调用 API 活动。 |
基岩数据自动化调用 |
|
Amazon Bedrock |
Amazon Bedrock 数据自动化配置文件 API 活动。 |
基岩数据自动化配置文件 |
|
Amazon Bedrock |
亚马逊 Bedrock 蓝图 API 活动。 |
基岩蓝图 |
|
Amazon Bedrock |
亚马逊 Bedrock 代码解释器 API 活动。 |
Bedrock-代码解释器 AgentCore |
|
Amazon Bedrock |
亚马逊 Bedrock 浏览器 API 活动。 |
基岩浏览器 AgentCore |
|
Amazon Bedrock |
Amazon Bedrock 工作负载身份 API 活动。 |
基石-AgentCore 工作负载身份 |
|
Amazon Bedrock |
Amazon Bedrock 工作负载身份目录 API 活动。 |
Bedrock-AgentCore 工作负载身份目录 |
|
Amazon Bedrock |
亚马逊 Bedrock 代币库 API 活动。 |
基岩-AgentCore 代币库 |
|
Amazon Bedrock |
亚马逊 Bedrock APIKey CredentialProvider API 活动。 |
基岩-AgentCore APIKey CredentialProvider |
|
Amazon Bedrock |
亚马逊 Bedrock 运行时 API 活动。 |
基岩-运行时间 AgentCore |
|
Amazon Bedrock |
亚马逊 Bedrock 运行时端点 API 活动。 |
Bedrock-AgentCore 运行时端点 |
|
Amazon Bedrock |
亚马逊 Bedrock Gateway API 活动。 |
基岩-网关 AgentCore |
|
Amazon Bedrock |
亚马逊 Bedrock Memory API 活动。 |
基岩-记忆 AgentCore |
|
Amazon Bedrock |
亚马逊 Bedrock Oauth2 API 活动 CredentialProvider 。 |
Bedrock-AgentCore Oauth2 CredentialProvider |
|
Amazon Bedrock |
亚马逊 Bedrock Browser-Custom API 活动。 |
基岩-浏览器-自定义 AgentCore |
|
Amazon Bedrock |
亚马逊 Bedrock Code-Interpreter-Custom API 活动。 |
基岩-代码解释器-自定义 AgentCore |
|
| Amazon Bedrock | 亚马逊 Bedrock Tool API 活动。 |
基岩工具 | AWS::Bedrock::Tool |
| Amazon Cloud Map | Amazon Cloud Map 命名空间上的 API 活动。 | Amazon Cloud Map 命名空间 | |
| Amazon Cloud Map | Amazon Cloud Map 服务上的 API 活动。 | Amazon Cloud Map service | |
| Amazon CloudFront | CloudFront 在 a 上的 API 活动KeyValueStore。 |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| Amazon CloudTrail | CloudTrail |
CloudTrail 频道 | AWS::CloudTrail::Channel |
| Amazon CloudWatch | CloudWatch 指标 | AWS::CloudWatch::Metric |
|
| Amazon CloudWatch 网络流量监控器 | 监视器上的 Amazon CloudWatch 网络流量监控 API 活动。 |
网络流量监控器监视器 | AWS::NetworkFlowMonitor::Monitor |
| Amazon CloudWatch 网络流量监控器 | Amazon CloudWatch 网络流量监控 API 在作用域上的活动。 |
网络流量监控器作用域 | AWS::NetworkFlowMonitor::Scope |
| 亚马逊 CloudWatch RUM | 应用程序监视器上的 Amazon CloudWatch RUM API 活动。 |
RUM 应用程序监视器 | AWS::RUM::AppMonitor |
| Amazon P CodeGuru rofiler | CodeGuru Profiler API 在性能分析组上的活动。 | CodeGuru Profiler 分析组 | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | 亚马逊 CodeWhisperer API 在自定义方面的活动。 | CodeWhisperer 定制 | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | 个人资料上的亚马逊 CodeWhisperer API 活动。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | 针对 Amazon Cognito 身份池的 Amazon Cognito API 活动。 |
Cognito 身份池 | AWS::Cognito::IdentityPool |
| Amazon Web Services Data Exchange | Amazon Web Services Data Exchange 资产上的 API 活动。 |
Data Exchange 资产 |
|
Amazon Data Firehose |
Amazon Data Firehose 传送流 API 活动。 |
Amazon Data Firehose |
|
| Amazon Deadline Cloud | 实例集上的 Deadline Cloud API 活动。 |
Deadline Cloud 舰队 |
|
| Amazon Deadline Cloud | 作业上的 Deadline Cloud API 活动。 |
Deadline Cloud 工作 |
|
| Amazon Deadline Cloud | 队列上的 Deadline Cloud API 活动。 |
Deadline Cloud queue |
|
| Amazon Deadline Cloud | 工作程序上的 Deadline Cloud API 活动。 |
Deadline Cloud 工人 |
|
| Amazon DynamoDB | 表上的 Amazon DynamoDB 项目级 API 活动(例如, 注意对于启用了流的表,数据事件中的 |
DynamoDB |
|
| Amazon DynamoDB | 针对流的 Amazon DynamoDB API 活动 |
DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | 亚马逊 Elastic Block Store (EBS) Direc t APIs,例如 |
亚马逊 EBS direct APIs | AWS::EC2::Snapshot |
Amazon Elastic Compute Cloud |
Amazon EC2 实例连接终端节点 API 活动。 |
EC2 实例连接终端节点 |
|
| Amazon Elastic Container Service | 容器实例上的 Amazon 弹性容器服务 API 活动。 |
ECS 容器实例 | AWS::ECS::ContainerInstance |
| Amazon Elastic Kubernetes Service | 仪表板上的 Amazon Elastic Kubernetes Service API 活动。 |
亚马逊 Elastic Kubernetes Service 控制面板 | AWS::EKS::Dashboard |
| Amazon EMR | 预写日志工作区上的 Amazon EMR API 活动。 | EMR 预写日志工作空间 | AWS::EMRWAL::Workspace |
| Amazon 最终用户消息 SMS | Amazon 关于原始身份@@ 的最终用户消息 SMS API 活动。 | SMS 语音发起身份 | AWS::SMSVoice::OriginationIdentity |
| Amazon 最终用户消息 SMS | Amazon 最终用户消息 SMS API 对消息的活动。 | 短信语音消息 | AWS::SMSVoice::Message |
| Amazon 最终用户消息社交 | Amazon 电话号码上的@@ 最终用户消息社交 API 活动 IDs。 | 社交消息电话号码 ID | AWS::SocialMessaging::PhoneNumberId |
| Amazon 最终用户消息社交 | Amazon Waba IDs 上的 “最终用户消息” 社交 API 活动。 | 社交消息 Waba ID | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | 针对环境的 Amazon FinSpace API 活动 |
FinSpace | AWS::FinSpace::Environment |
| 亚马逊 GameLift 直播 | Amazon GameLift 流式传输应用程序上的 API 活动。 |
GameLift 直播应用程序 | AWS::GameLiftStreams::Application |
| 亚马逊 GameLift 直播 | Amazon GameLift Streams 直播直播群组上的 API 活动。 |
GameLift 直播群组 | AWS::GameLiftStreams::StreamGroup |
| Amazon Glue | Amazon Glue 在 Lake Formation 创建的表格上的 API 活动。 |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | 探测器的亚马逊 GuardDuty API 活动。 |
GuardDuty 探测器 | AWS::GuardDuty::Detector |
| Amazon HealthImaging | Amazon HealthImaging 数据存储上的 API 活动。 |
MedicalImaging 数据存储 | AWS::MedicalImaging::Datastore |
Amazon HealthImaging |
Amazon HealthImaging 图像集 API 活动。 |
MedicalImaging 图像集 |
|
| Amazon IoT | IoT 证书 | AWS::IoT::Certificate |
|
| Amazon IoT | Amazon IoT API 在事物上的活动。 |
IoT 事物 | AWS::IoT::Thing |
| Amazon IoT Greengrass Version 2 | 组件版本上来自 Greengrass 核心设备的 Greengrass API 活动。 注意Greengrass 不会记录访问被拒绝事件。 |
IoT Greengrass 组件版本 | AWS::GreengrassV2::ComponentVersion |
| Amazon IoT Greengrass Version 2 | 部署上来自 Greengrass 核心设备的 Greengrass API 活动。 注意Greengrass 不会记录访问被拒绝事件。 |
IoT Greengrass 部署 | AWS::GreengrassV2::Deployment |
| Amazon IoT SiteWise | 资产上的@@ 物联网 SiteWise API 活动。 |
物联网 SiteWise 资产 | AWS::IoTSiteWise::Asset |
| Amazon IoT SiteWise | 时间序列上的@@ 物联网 SiteWise API 活动。 |
物联网 SiteWise 时间序列 | AWS::IoTSiteWise::TimeSeries |
| Amazon IoT SiteWise 助手 | Sitewise Assistant API 关于对话 |
Sitewise 助手对话 | AWS::SitewiseAssistant::Conversation |
| Amazon IoT TwinMaker | 实体上的物联网 TwinMaker API 活动。 |
物联网 TwinMaker 实体 | AWS::IoTTwinMaker::Entity |
| Amazon IoT TwinMaker | 工作空间上的物联网 TwinMaker API 活动。 |
物联网 TwinMaker 工作空间 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | 针对重新评分执行计划的 Amazon Kendra Intelligent Ranking API 活动。 |
Kendra 排名 | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces(针对 Apache Cassandra) | 表上的 Amazon Keyspaces API 活动。 | Cassandra 表 | AWS::Cassandra::Table |
| Amazon Keyspaces(针对 Apache Cassandra) | Amazon Keyspaces(适用于 Apache Cassandra)Cassandra CDC 直播中的 API 活动。 |
卡桑德拉疾病预防控制中心直播 | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | 流上的 Kinesis Data Streams API 活动。 | Kinesis 流 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | 流使用者的上的 Kinesis Data Streams API 活动。 | Kinesis 流使用者 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | 视频流上的 Kinesis Video Streams API 活动,例如调用 GetMedia 和 PutMedia。 |
Kinesis 视频流 | AWS::KinesisVideo::Stream |
Amazon Kinesis Video Streams |
Kinesis Video Streams 视频信令频道 API 活动。 |
Kinesis 视频信令频道 |
|
| Amazon Lambda | Amazon Lambda 函数执行活动( |
Lambda | AWS::Lambda::Function |
| Amazon Location 映射 | 亚马逊位置地图 API 活动。 | 地理地图 | AWS::GeoMaps::Provider |
| Amazon Location 位数 | 亚马逊定位地点 API 活动。 | 地理位置 | AWS::GeoPlaces::Provider |
| Amazon Location 路线 | 亚马逊定位路由 API 活动。 | 地理路线 | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | 机器学习模型上的机器学习 API 活动。 | 匹配学习 MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 针对网络的 Amazon Managed Blockchain API 活动。 |
托管区块链网络 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | 针对 Ethereum 节点的 Amazon Managed Blockchain JSON-RPC 调用,如 |
托管区块链 | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain Query | 亚马逊托管区块链查询 API 活动。 |
托管区块链查询 | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | 亚马逊 MWAA API 在环境中的活动。 |
托管 Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune 图形 | Neptune Graph 上的数据 API 活动,例如查询、算法或向量搜索。 |
Neptune 图形 | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | Amazon One Enterprise API 在 UKey上的活动 |
Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | 用户上的 Amazon One Enterprise API 活动。 |
Amazon One 用户 | AWS::One::User |
| Amazon Payment Cryptography | Amazon Payment Cryptography 别名上的 API 活动。 | Payment Cryptography 别名 | AWS::PaymentCryptography::Alias |
| Amazon Payment Cryptography | Amazon Payment Cryptography 密钥上的 API 活动。 | Payment Cryptography 密钥 | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | 亚马逊 Pinpoint API 在移动定位应用程序上的活动。 |
移动定位应用程序 | AWS::Pinpoint::App |
| Amazon Private CA | Amazon Private CA 活动目录 API 活动的连接器。 |
Amazon Private CA 活动目录连接器 | AWS::PCAConnectorAD::Connector |
| Amazon Private CA | Amazon Private CA 用于 SCEP API 活动的连接器。 |
Amazon Private CA 适用于 SCEP 的连接器 | AWS::PCAConnectorSCEP::Connector |
| Amazon Q 应用程序构建器 | Amazon Q 应用程序构建器上的数据 API 活动。 |
Amazon Q 应用程序构建器 | AWS::QApps::QApp |
| Amazon Q 应用程序构建器 | Amazon Q 应用程序会话中的数据 API 活动。 |
Amazon Q 应用程序会话 | AWS::QApps::QAppSession |
| Amazon Q Business | 应用程序上的 Amazon Q Business API 活动。 |
Amazon Q Business 应用程序 | AWS::QBusiness::Application |
| Amazon Q Business | 数据来源上的 Amazon Q Business API 活动。 |
Amazon Q Business 数据来源 | AWS::QBusiness::DataSource |
| Amazon Q Business | 索引上的 Amazon Q Business API 活动。 |
Amazon Q Business 索引 | AWS::QBusiness::Index |
| Amazon Q Business | Web 体验上的 Amazon Q Business API 活动。 |
Amazon Q Business Web 体验 | AWS::QBusiness::WebExperience |
Amazon Q Business |
亚马逊 Q Business 集成 API 活动。 |
亚马逊 Q Business 集成 |
|
| Amazon Q 开发者版 | Amazon Q 开发者 API 在集成方面的活动。 |
Q 开发者集成 | AWS::QDeveloper::Integration |
| Amazon Q 开发者版 | AIOps 调查组 | AWS::AIOps::InvestigationGroup |
|
| Amazon 快速套件 | 操作连接器上的 Amazon Quick Suite API 活动。 |
Amazon QuickSuite 操作 | AWS::Quicksight::ActionConnector |
Amazon 快速套件 |
亚马逊 Quick Suite Flow API 活动 |
AWS::QuickSight::Flow |
|
Amazon 快速套件 |
亚马逊 Quick Suite FlowSession API 活动。 |
AWS::QuickSight::FlowSession |
|
| 亚马逊 SageMaker AI | 终端节点上的亚马逊 SageMaker AI InvokeEndpointWithResponseStream活动。 |
SageMaker AI 端点 | AWS::SageMaker::Endpoint |
| 亚马逊 SageMaker AI | 特色商店中的亚马逊 SageMaker AI API 活动。 |
SageMaker AI feature store | AWS::SageMaker::FeatureGroup |
| 亚马逊 SageMaker AI | Amazon SageMaker AI API 在实验试验组件上的活动。 |
SageMaker AI 指标实验试用组件 | AWS::SageMaker::ExperimentTrialComponent |
亚马逊 SageMaker AI; |
亚马逊 SageMaker AI MLflow API 活动。 |
SageMaker MLflow |
|
| Amazon Signer | 签名者在签名作业时的 API 活动。 |
签名者签名作业 | AWS::Signer::SigningJob |
| Amazon Signer | 签名者在签名个人资料上的API活动。 |
签名者签名档案 | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | 亚马逊简单电子邮件服务 (Amazon SES) Service API 在配置集上的活动。 |
SES 配置集 | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | 亚马逊简单电子邮件服务 (Amazon SES) Service 有关电子邮件身份的 API 活动。 |
SES 身份 | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | 亚马逊简单电子邮件服务 (Amazon SES) Service 关于模板的 API 活动。 |
SES 模板 | AWS::SES::Template |
| Amazon SimpleDB | 域名上的亚马逊 SimpleDB API 活动。 |
SimpleDB 域 | AWS::SDB::Domain |
| Amazon Step Functions | Step Functions API 关于活动的活动。 |
Step Function | AWS::StepFunctions::Activity |
| Amazon Step Functions | Step Functions 状态机 | AWS::StepFunctions::StateMachine |
|
| Amazon Systems Manager | 控制通道上的 Systems Manager API 活动。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| Amazon Systems Manager | Systems Manager API 在影响评估方面的活动。 | SSM 影响评估 | AWS::SSM::ExecutionPreview |
| Amazon Systems Manager | 托管节点上的 Systems Manager API 活动。 | Systems Manager 托管式节点 | AWS::SSM::ManagedNode |
| Amazon Timestream | 针对数据库的 Amazon Timestream Query API 活动。 |
Timestream 数据库 | AWS::Timestream::Database |
| Amazon Timestream | 区域终端节点上的 Amazon Timestream API 活动。 | 时间流区域端点 | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | 针对表的 Amazon Timestream Query API 活动。 |
Timestream 表 | AWS::Timestream::Table |
| Amazon Verified Permissions | 针对策略存储的 Amazon Verified Permissions API 活动。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces 瘦客户机 | WorkSpaces 设备上的瘦客户端 API 活动。 | 瘦客户端设备 | AWS::ThinClient::Device |
| Amazon WorkSpaces 瘦客户机 | WorkSpaces 环境中的瘦客户端 API 活动。 | 瘦客户端环境 | AWS::ThinClient::Environment |
| Amazon X-Ray | X-Ray 跟踪 | AWS::XRay::Trace |
预设情况下,在您创建跟踪记录时,未记录数据事件。要记录 CloudTrail 数据事件,必须明确添加要为其收集活动的支持的资源或资源类型。有关更多信息,请参阅 使用 CloudTrail 控制台创建跟踪。
记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价
以下示例显示了 Amazon SNS Publish 操作的数据事件的单个日志记录。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
以下示例显示了 Amazon Cognito GetCredentialsForIdentity 操作的数据事件的单个日志记录。
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
网络活动事件
CloudTrail 网络活动事件使 VPC 终端节点所有者能够记录使用其 VPC 终端节点从私有 VPC 到的 Amazon API 调用 Amazon Web Services 服务。通过网络活动事件,可以了解在 VPC 中执行的资源操作。
您可以记录以下服务的网络活动事件:
-
Amazon AppConfig
-
Amazon App Mesh
-
Amazon Athena
-
Amazon B2B Data Interchange
-
Amazon Backup gateway
-
Amazon Bedrock
-
账单和成本管理
-
Amazon 定价计算器
-
Amazon Cost Explorer
-
Amazon 云端控制 API
-
Amazon CloudHSM
-
Amazon Cloud Map
-
Amazon CloudFormation
-
Amazon CloudTrail
-
Amazon CloudWatch
-
CloudWatch 应用程序信号
-
Amazon CodeDeploy
-
Amazon Comprehend Medical
-
Amazon Config
-
Amazon Data Exports
-
Amazon Data Firehose
-
Amazon Directory Service
-
Amazon DynamoDB
-
Amazon EC2
-
Amazon Elastic Container Service
-
Amazon Elastic File System
-
Elastic Load Balancing
-
Amazon EventBridge
-
Amazon EventBridge 日程安排
-
Amazon Fraud Detector
-
Amazon Web Services 中国区免费套餐
-
Amazon FSx
-
Amazon Glue
-
Amazon HealthLake
-
Amazon IoT FleetWise
-
Amazon IoT Secure Tunneling
-
Amazon Web Services 开票
-
Amazon Keyspaces(针对 Apache Cassandra)
-
Amazon KMS
-
Amazon Lake Formation
-
Amazon Lambda
-
Amazon License Manager
-
Amazon Lookout for Equipment
-
Amazon Lookout for Vision
-
Amazon Personalize
-
Amazon Q Business
-
Amazon Rekognition
-
Amazon Relational Database Service
-
Amazon S3
注意
不支持 Amazon S3 多区域接入点。
-
亚马逊 SageMaker AI
-
Amazon Secrets Manager
-
Amazon Simple Notification Service
-
Amazon Simple Queue Service
-
Amazon Simple Workflow Service
-
Amazon Storage Gateway
-
Amazon Systems Manager Incident Manager
-
Amazon Textract
-
Amazon Transcribe
-
Amazon Translate
-
Amazon Transform
-
Amazon Verified Permissions
-
Amazon WorkMail
默认情况下,在您创建跟踪或事件数据存储时,未记录网络活动事件。要记录 CloudTrail 网络活动事件,必须明确设置要为其收集活动的事件源。有关更多信息,请参阅 记录网络活动事件。
记录网络活动事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价
以下示例显示了遍历 VPC 终端节点的成功 Amazon KMS ListKeys事件。vpcEndpointId 字段显示 VPC 端点的 ID。vpcEndpointAccountId 字段显示 VPC 端点所有者的账户 ID。在此示例中,请求由 VPC 端点所有者发出。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE:role-name", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "attributes": { "creationDate": "2024-06-04T23:10:46Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-06-04T23:12:50Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731", "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
下一个示例显示了违反 VPC 终端节点策略的失败 Amazon KMS ListKeys事件。由于发生了 VPC 策略违规,因此 errorCode 和 errorMessage 字段都存在。recipientAccountId 和 vpcEndpointAccountId 字段中的账户 ID 相同,这表示事件已发送给 VPC 端点所有者。userIdentity 元素中的 accountId 不是 vpcEndpointAccountId,这表示发出请求的用户不是 VPC 端点所有者。
{ "eventVersion": "1.09", "userIdentity": { "type": "AWSAccount", "principalId": "AKIAIOSFODNN7EXAMPLE", "accountId": "777788889999" }, "eventTime": "2024-07-15T23:57:12Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "errorCode": "VpceAccessDenied", "errorMessage": "The request was denied due to a VPC endpoint policy", "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374", "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
Insights 事件
CloudTrail Insights 事件通过分析 CloudTrail 管理活动来捕获您 Amazon 账户中异常的 API 调用率或错误率活动。Insights 事件提供相关信息,例如关联的 API、错误代码、事件时间和统计数据,以帮助您了解异常活动并对其采取措施。与在 CloudTrail 跟踪或事件数据存储中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户 API 使用情况或错误率记录的变化与账户的典型使用模式明显不同时,才会记录 Insights 事件。有关更多信息,请参阅 使用见 CloudTrail 解。
可能生成 Insights 事件的活动的示例包括:
-
您的账户通常每分钟记录不超过 20 次 Simple Storage Service(Amazon S3)
deleteBucketAPI 调用,但是您的账户一开始就平均每分钟记录 100 次deleteBucketAPI 调用。在异常活动开始时记录一个 Insights 事件,并记录另一个见解事件以标记异常活动的结束。 -
您的账户通常每分钟记录 20 次对 Amazon EC2
AuthorizeSecurityGroupIngressAPI 的调用,但您的账户开始记录的调用次数为零AuthorizeSecurityGroupIngress。在异常活动开始时记录一个 Insights 事件,10 分钟后,当异常活动结束时,将记录另一个 Insights 事件以标记异常活动的结束。 -
您的账户七天内对 Amazon Identity and Access Management API、
DeleteInstanceProfile记录的AccessDeniedException错误通常不到一个。你的账户开始对DeleteInstanceProfileAPI 调用每分钟平均记录 12 个AccessDeniedException错误。在异常错误率活动开始时记录一个 Insights 事件,并记录另一个 Insights 事件以标记异常活动的结束。
这些示例仅用于说明用途。根据您的使用案例,您的结果可能会有所不同。
要记录 CloudTrail Insights 事件,您必须在新的或现有的跟踪或事件数据存储上明确启用 Insights 事件。有关创建跟踪的更多信息,请参阅使用 CloudTrail 控制台创建跟踪。有关创建事件数据存储的更多信息,请参阅使用控制台为 Insights 事件创建事件数据存储。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价
CloudTrail Insights 中记录了两个事件以显示异常活动:开始事件和结束事件。下面的示例显示了一个启动见解事件的单个日志记录,该事件是在不寻常地多次调用 Application Auto Scaling API CompleteLifecycleAction 时发生的。对于见解事件,eventCategory 的值为 Insight。insightDetails 块标识事件状态、源、名称、见解类型和上下文,包括统计信息和归因。有关 insightDetails 块的更多信息,请参阅 CloudTrail 记录跟踪跟踪跟踪跟踪跟踪跟踪跟踪跟踪跟踪跟踪的见解事件。
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }