本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 CloudTrail 事件
中的事件 CloudTrail 是 Amazon 账户中某项活动的记录。此活动可以是IAM身份采取的操作,也可以是可由 CloudTrail其监控的服务。 CloudTrail 事件提供了通过 Amazon Web Services Management Console、、 Amazon SDKs、命令行工具和其他工具进行的非API账户活动的历史记录 Amazon Web Services 服务。API
CloudTrail 日志文件不是公共API调用的有序堆栈跟踪,因此事件不会按任何特定的顺序出现。
有四种类型 CloudTrail 的事件:
-
注意
网络活动事件处于预览版 CloudTrail ,可能会发生变化。
默认情况下,跟踪和事件数据存储日志管理事件,但不存储数据事件、网络活动事件或 Insights 事件。
所有事件类型都使用 CloudTrail JSON日志格式。日志包含有关您账户中的资源请求的信息,如谁发出请求、所使用的服务、执行的操作以及操作的参数。事件数据包含在 Records
数组中。
有关 CloudTrail 事件记录字段的信息,请参见CloudTrail 录制内容。
管理事件
管理事件提供有关对您 Amazon 账户中的资源执行的管理操作的信息。这些也称为控制层面操作。
示例管理事件包括:
-
配置安全性(例如, Amazon Identity and Access Management
AttachRolePolicy
API操作)。 -
注册设备(例如,Amazon EC2
CreateDefaultVpc
API 运营)。 -
配置数据路由规则(例如,Amazon EC2
CreateSubnet
API 操作)。 -
设置日志记录(例如, Amazon CloudTrail
CreateTrail
API操作)。
管理事件也可以包括您账户中发生的非API事件。例如,当用户登录您的账户时,会 CloudTrail 记录该ConsoleLogin
事件。有关更多信息,请参阅 CloudTrail 捕获的非 API 事件。
默认情况下,t CloudTrail rails 和 CloudTrail Lake 事件数据存储日志管理事件。有关记录管理事件的更多信息,请参阅 记录管理事件。
以下示例显示了管理事件的单个日志记录。在这种情况下,名为的IAM用户Mary_Major
运行aws cloudtrail start-logging命令调用 CloudTrail StartLogging
操作,在名为的跟踪上启动日志记录进程myTrail
。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
在下一个示例中,名为的IAM用户用户Paulo_Santos
运行aws cloudtrail start-event-data-store-ingestion命令以调用StartEventDataStoreIngestion
操作以开始对事件数据存储进行摄取。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
数据事件
数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为数据层面操作。数据事件通常是高容量活动。
示例数据事件包括:
-
对 S3 存储桶中的对象进行的 Amazon S3 对象级API活动(例如
GetObject
DeleteObject
、和PutObject
API操作)。 -
Amazon Lambda 函数执行活动 (the
Invoke
API)。 -
CloudTrail
PutAuditEvents
用于记录外部事件的 L CloudTrail ake 频道上的活动 Amazon。 -
Amazon SNS
Publish
和有关主题的PublishBatch
API操作。
下表显示了可用于跟踪的资源类型。资源类型(控制台)列显示控制台中的相应选择。resources.typ resources.type
e 值列显示了您使用或指定的值,以便在跟踪中包含该类型的数据事件。 Amazon CLI CloudTrail APIs
对于跟踪,您可以使用基本或高级事件选择器来记录通用存储桶、Lambda 函数和 DynamoDB 表中的 Amazon S3 对象的数据事件(显示在表的前三行中)。您只能使用高级事件选择器来记录其余行中显示的资源类型。
Amazon Web Services 服务 | 描述 | 资源类型(控制台) | resources.type 值 |
---|---|---|---|
Amazon DynamoDB | 表上的 Amazon DynamoDB API 项目级活动(例如 注意对于启用了流的表,数据事件中的 |
DynamoDB |
|
Amazon Lambda | Amazon Lambda 函数执行活动 (the |
Lambda | AWS::Lambda::Function |
Amazon S3 | Amazon S3 对象级API活动(例如 |
S3 | AWS::S3::Object |
Amazon AppConfig | Amazon AppConfig API用于配置操作@@ 的活动,例如对 |
Amazon AppConfig | AWS::AppConfig::Configuration |
Amazon AppSync | Amazon AppSync API AppSync GraphQL APIs 上的@@ 活动。 |
AppSync GraphQL | AWS::AppSync::GraphQL |
Amazon B2B 数据交换 | Transformer 操作的 B2B 数据交换API活动,例如对 |
B2B 数据交换 | AWS::B2BI::Transformer |
Amazon Backup | Amazon Backup 搜索职位上的搜索数据API活动。 |
Amazon Backup 搜索数据 APIs | AWS::Backup::SearchJob |
Amazon Bedrock | Amazon Bedrock 在代理别名上的API活动。 | Bedrock 代理别名 | AWS::Bedrock::AgentAlias |
Amazon Bedrock | Amazon Bedrock 关于异步调用的API活动。 | 基岩异步调用 | AWS::Bedrock::AsyncInvoke |
Amazon Bedrock | 流别名上的 Amazon Bedrock API 活动。 | Bedrock 流别名 | AWS::Bedrock::FlowAlias |
Amazon Bedrock | Amazon Bedrock 在护栏上的API活动。 | Bedrock 护栏 | AWS::Bedrock::Guardrail |
Amazon Bedrock | Amazon Bedrock 在内联代理上的API活动。 | 基岩调用内联代理 | AWS::Bedrock::InlineAgent |
Amazon Bedrock | 知识库上的 Amazon Bedrock API 活动。 | Bedrock 知识库 | AWS::Bedrock::KnowledgeBase |
Amazon Bedrock | Amazon Bedrock 在模特上的API活动。 | Bedrock 模型 | AWS::Bedrock::Model |
亚马逊 CloudFront | CloudFront API在 a 上的活动 KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
Amazon Cloud Map | Amazon Cloud Map API命名空间上的@@ 活动。 | Amazon Cloud Map 命名空间 |
|
Amazon Cloud Map | Amazon Cloud Map API服务上的@@ 活动。 | Amazon Cloud Map service |
|
Amazon CloudTrail | CloudTrail |
CloudTrail 频道 | AWS::CloudTrail::Channel |
亚马逊 CloudWatch | CloudWatch 指标 | AWS::CloudWatch::Metric |
|
亚马逊 CloudWatch RUM | 应用程序监视器上的亚马逊 CloudWatch RUMAPI活动。 |
RUM应用程序监视器 | AWS::RUM::AppMonitor |
Amazon P CodeGuru rofiler | CodeGuru 性能分析器在分析组上的API活动。 | CodeGuru Profiler 分析组 | AWS::CodeGuruProfiler::ProfilingGroup |
亚马逊 CodeWhisperer | 亚马逊在定制方面的 CodeWhisperer API活动。 | CodeWhisperer 定制 | AWS::CodeWhisperer::Customization |
亚马逊 CodeWhisperer | 亚马逊在个人资料上的 CodeWhisperer API活动。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | 亚马逊 Cognito 在亚马逊 Cog n ito 身份池上的API活动。 |
Cognito 身份池 | AWS::Cognito::IdentityPool |
Amazon Web Services Data Exchange | Amazon Web Services Data Exchange API资产活动。 |
Data Exchange 资产 |
|
Amazon Deadline Cloud | Deadline CloudAPI舰队上的活动。 |
Deadline Cloud 舰队 |
|
Amazon Deadline Cloud | Deadline CloudAPI工作中的活动。 |
Deadline Cloud 工作 |
|
Amazon Deadline Cloud | Deadline CloudAPI队列中的活动。 |
Deadline Cloud queue |
|
Amazon Deadline Cloud | Deadline CloudAPI对工人的活动。 |
Deadline Cloud 工人 |
|
Amazon DynamoDB | Amazon Dyn API amoDB 直播中的活动。 |
DynamoDB Streams | AWS::DynamoDB::Stream |
Amazon 最终用户消息 SMS | Amazon 有关原始身份@@ 的最终用户消息SMSAPI活动。 | SMS语音来源身份 | AWS::SMSVoice::OriginationIdentity |
Amazon 最终用户消息 SMS | Amazon 消息上的 “最终用户消息” SMS API 活动。 | SMS语音留言 | AWS::SMSVoice::Message |
Amazon 最终用户消息社交 | Amazon 最终用户消息电话号码上的社交API活动IDs。 | 社交消息电话号码 ID | AWS::SocialMessaging::PhoneNumberId |
Amazon 最终用户消息社交 | Amazon Waba IDs 上的最终用户消息社交API活动。 | 社交消息 Waba ID | AWS::SocialMessaging::WabaId |
Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) 直接存储,例如APIs |
亚马逊EBS直销 APIs | AWS::EC2::Snapshot |
Amazon EMR | Amazon 在预写日志工作空间中的EMRAPI活动。 | EMR预写日志工作空间 | AWS::EMRWAL::Workspace |
Amazon FinSpace | Amazon FinSpaceAPI在环境中的活动。 |
FinSpace | AWS::FinSpace::Environment |
Amazon Glue | Amazon Glue API在 Lake Formation 创建的桌子上的活动。 |
Lake Formation | AWS::Glue::Table |
亚马逊 GuardDuty | 探测器的 Amazon GuardDuty API 活动。 |
GuardDuty 探测器 | AWS::GuardDuty::Detector |
Amazon HealthImaging | Amazon HealthImaging API数据存储上的活动。 |
MedicalImaging 数据存储 | AWS::MedicalImaging::Datastore |
Amazon IoT | IoT 证书 | AWS::IoT::Certificate |
|
Amazon IoT | IoT 事物 | AWS::IoT::Thing |
|
Amazon IoT Greengrass Version 2 | 组件版本上来自 API Greengrass 核心设备的 Greengrass 活动。 注意Greengrass 不会记录访问被拒绝事件。 |
IoT Greengrass 组件版本 | AWS::GreengrassV2::ComponentVersion |
Amazon IoT Greengrass Version 2 | 部署时来自 G API reengrass 核心设备的 Greengrass 活动。 注意Greengrass 不会记录访问被拒绝事件。 |
IoT Greengrass 部署 | AWS::GreengrassV2::Deployment |
Amazon IoT SiteWise | 资产上的@@ 物联网 SiteWise API活动。 |
物联网 SiteWise 资产 | AWS::IoTSiteWise::Asset |
Amazon IoT SiteWise | 时间序列上的@@ 物联网 SiteWise API活动。 |
物联网 SiteWise 时间序列 | AWS::IoTSiteWise::TimeSeries |
Amazon IoT SiteWise 助手 | Sitewise Ass API istant 在对话 |
Sitewise 助手对话 | AWS::SitewiseAssistant::Conversation |
Amazon IoT TwinMaker | 实体上的物联网 TwinMaker API活动。 |
物联网 TwinMaker 实体 | AWS::IoTTwinMaker::Entity |
Amazon IoT TwinMaker | 工作空间中的物联网 TwinMaker API活动。 |
物联网 TwinMaker 工作空间 | AWS::IoTTwinMaker::Workspace |
Amazon Kendra Intelligent Ranking | Amazon Kendra 对重新评分API执行计划进行智能排名活动。 |
Kendra 排名 | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces(Apache Cassandra 兼容) | 桌子上的 Amazon Keys API paces 活动。 | Cassandra 表 | AWS::Cassandra::Table |
Amazon Kinesis Data Streams | Kinesis Data API Streams 直播中的活动。 | Kinesis 流 | AWS::Kinesis::Stream |
Amazon Kinesis Data Streams | Kinesis Data API Streams 对直播使用者的活动。 | Kinesis 流使用者 | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | Kinesis Video Streams 视频API流上的 Kinesis Video Streams 活动,例如GetMedia 对和的通话。PutMedia |
Kinesis 视频流 | AWS::KinesisVideo::Stream |
Amazon Location 映射 | 亚马逊位置地图API活动。 | 地理地图 | AWS::GeoMaps::Provider |
Amazon Location 位数 | “亚马逊定位地点API” 活动。 | 地理位置 | AWS::GeoPlaces::Provider |
Amazon Location 路线 | “亚马逊定位路线API” 活动。 | 地理路线 | AWS::GeoRoutes::Provider |
Amazon Machine Learning | 机器学习模型上的 Machine Learning API 活动。 | 匹配学习 MlModel | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | Amazon Managed Blockchain 在网络上的API活动。 |
托管区块链网络 | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain | Amazon Manage JSON d Blockchain-在以太坊节点上RPC调用,例如 |
托管区块链 | AWS::ManagedBlockchain::Node |
Amazon Managed Workflows for Apache Airflow | 亚马逊在环境中的MWAAAPI活动。 |
托管 Apache 气流 | AWS::MWAA::Environment |
Amazon Neptune 图形 | Neptune Graph 上的数据API活动,例如查询、算法或向量搜索。 |
Neptune 图形 | AWS::NeptuneGraph::Graph |
Amazon One Enterprise | Amazon One 企业版在 a UKey 上的API活动 |
Amazon One UKey | AWS::One::UKey |
Amazon One Enterprise | Amazon One 企业版针对用户的API活动。 |
Amazon One 用户 | AWS::One::User |
Amazon Payment Cryptography | Amazon Payment Cryptography API别名上的活动。 | Payment Cryptography 别名 | AWS::PaymentCryptography::Alias |
Amazon Payment Cryptography | Amazon Payment Cryptography API按键上的活动。 | Payment Cryptography 密钥 | AWS::PaymentCryptography::Key |
Amazon Private CA | Amazon Private CA API活动目录活动的连接器。 |
Amazon Private CA 活动目录连接器 | AWS::PCAConnectorAD::Connector |
Amazon Private CA | Amazon Private CA SCEPAPI活动连接器。 |
Amazon Private CA 连接器用于 SCEP | AWS::PCAConnectorSCEP::Connector |
Amazon Q 应用程序构建器 | Amazon Q 应用程序上的数据API活动。 |
Amazon Q 应用程序构建器 | AWS::QApps::QApp |
Amazon Q 应用程序构建器 | Amazon Q 应用程序会话中的数据API活动。 |
亚马逊 Q 应用程序会话 | AWS::QApps::QAppSession |
Amazon Q 企业版 | Amazon Q Business 应用程序 | AWS::QBusiness::Application |
|
Amazon Q 企业版 | Amazon Q Business 数据来源 | AWS::QBusiness::DataSource |
|
Amazon Q 企业版 | Amazon Q Business 索引 | AWS::QBusiness::Index |
|
Amazon Q 企业版 | Amazon Q Business Web 体验 | AWS::QBusiness::WebExperience |
|
Amazon Q 开发者版 | Amazon Q 开发者在集成方面的API活动。 |
Q 开发者集成 | AWS::QDeveloper::Integration |
Amazon Q 开发者版 | AIOps调查组 | AWS::AIOps::InvestigationGroup |
|
Amazon RDS | RDS数据 API-数据库集群 | AWS::RDS::DBCluster |
|
Amazon 资源探索器 | 托管视图上的资源浏览器API活动。 |
Amazon 资源探索器 托管视图 | AWS::ResourceExplorer2::ManagedView |
Amazon 资源探索器 | 资源浏览器在视图上的API活动。 |
Amazon 资源探索器 view | AWS::ResourceExplorer2::View |
Amazon S3 | S3 接入点 | AWS::S3::AccessPoint |
|
Amazon S3 | Amazon S3 对目录存储桶中的对象进行对象级API活动(例如 |
S3 Express | AWS::S3Express::Object |
Amazon S3 | Amazon S3 对象 Lambda 接入点API活动,例如对和的调用。 |
S3 对象 Lambda | AWS::S3ObjectLambda::AccessPoint |
亚马逊 S3 表 | 亚马逊 S3 在表格上的API活动。 |
S3 桌子 | AWS::S3Tables::Table |
亚马逊 S3 表 | Amazon S3 在表存储桶上的API活动。 |
S3 桌桶 | AWS::S3Tables::TableBucket |
Amazon S3 on Outposts | S3 Outposts | AWS::S3Outposts::Object |
|
亚马逊 SageMaker AI | 终端节点上的亚马逊 SageMaker AI InvokeEndpointWithResponseStream 活动。 |
SageMaker AI 端点 | AWS::SageMaker::Endpoint |
亚马逊 SageMaker AI | 特色商店中的亚马逊 SageMaker AI API 活动。 |
SageMaker AI feature store | AWS::SageMaker::FeatureGroup |
亚马逊 SageMaker AI | Amazon SageMaker AI 在实验试验组件上的API活动。 |
SageMaker AI 指标实验试用组件 | AWS::SageMaker::ExperimentTrialComponent |
Amazon Signer | 签名者签名作业API的活动。 |
签名者签名工作 | AWS::Signer::SigningJob |
Amazon Signer | 签名者在签名个人资料上的API活动。 |
签名者签名档案 | AWS::Signer::SigningProfile |
Amazon SimpleDB | 亚马逊 Simp API leDB 在域名上的活动。 |
SimpleDB 域 | AWS::SDB::Domain |
Amazon SNS | 亚马逊对平台终端节点的SNS |
SNS平台终端节点 | AWS::SNS::PlatformEndpoint |
Amazon SNS | Amazon SNS |
SNS话题 | AWS::SNS::Topic |
Amazon SQS | SQS | AWS::SQS::Queue |
|
Amazon Step Functions | 状态机上的 Step Functions API 活动。 |
Step Functions 状态机 | AWS::StepFunctions::StateMachine |
Amazon Supply Chain | Amazon Supply Chain API实例上的活动。 |
供应链 | AWS::SCN::Instance |
Amazon SWF | SWF域 | AWS::SWF::Domain |
|
Amazon Systems Manager | Systems Manager 在控制通道上的API活动。 | Systems Manager (系统管理员) | AWS::SSMMessages::ControlChannel |
Amazon Systems Manager | 托管节点上的 Systems Manager API 活动。 | Systems Manager 托管式节点 | AWS::SSM::ManagedNode |
Amazon Timestream | 亚马逊 Timestream 在Query API数据库上的活动。 |
Timestream 数据库 | AWS::Timestream::Database |
Amazon Timestream | Amazon Timestream 在Query API表格上的活动。 |
Timestream 表 | AWS::Timestream::Table |
Amazon Verified Permissions | 策略商店上的 Amazon 已验证权限API活动。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces 瘦客户机 | WorkSpaces 设备上的瘦客户机API活动。 | 瘦客户端设备 | AWS::ThinClient::Device |
Amazon WorkSpaces 瘦客户机 | WorkSpaces 环境中的瘦客户机API活动。 | 瘦客户端环境 | AWS::ThinClient::Environment |
Amazon X-Ray | X-Ray 跟踪 | AWS::XRay::Trace |
预设情况下,在您创建跟踪记录时,未记录数据事件。要记录 CloudTrail 数据事件,必须明确添加要为其收集活动的支持的资源或资源类型。有关更多信息,请参阅 使用 CloudTrail 控制台创建跟踪。
记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价
以下示例显示了 Amazon SNS Publish
操作的数据事件的单个日志记录。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
以下示例显示了 Amazon Cognito GetCredentialsForIdentity
操作的数据事件的单个日志记录。
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
网络活动事件
注意
网络活动事件处于预览版 CloudTrail ,可能会发生变化。
CloudTrail 网络活动事件使VPC端点所有者能够记录使用其VPC端点从私有VPC到的 Amazon API呼叫 Amazon Web Services 服务。网络活动事件可让您了解在网络中执行的资源操作VPC。
您可以记录以下服务的网络活动事件:
-
Amazon CloudTrail
-
Amazon EC2
-
Amazon KMS
-
Amazon Secrets Manager
默认情况下,在您创建跟踪或事件数据存储时,未记录网络活动事件。要记录 CloudTrail 网络活动事件,必须明确设置要为其收集活动的事件源。有关更多信息,请参阅 记录网络活动事件。
记录网络活动事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail 定价
以下示例显示了通过终 Amazon KMS ListKeys
端节点的VPC成功事件。该vpcEndpointId
字段显示VPC端点的 ID。该vpcEndpointAccountId
字段显示VPC终端节点所有者的账户 ID。在此示例中,请求是由VPC终端节点所有者发出的。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE:role-name", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "attributes": { "creationDate": "2024-06-04T23:10:46Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-06-04T23:12:50Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731", "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
下一个示例显示了VPC端点策略违规的不成功 Amazon KMS ListKeys
事件。由于发生了违反VPC策略的情况,所以errorCode
和errorMessage
字段都存在。recipientAccountId
和vpcEndpointAccountId
字段中的账户 ID 相同,这表示事件已发送给VPC终端节点所有者。userIdentity
元素accountId
中的不是vpcEndpointAccountId
,这表示发出请求的用户不是VPC端点所有者。
{ "eventVersion": "1.09", "userIdentity": { "type": "AWSAccount", "principalId": "AKIAIOSFODNN7EXAMPLE", "accountId": "777788889999" }, "eventTime": "2024-07-15T23:57:12Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "errorCode": "VpceAccessDenied", "errorMessage": "The request was denied due to a VPC endpoint policy", "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374", "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
Insights 事件
CloudTrail Insights 事件通过分析 CloudTrail 管理活动来捕获您 Amazon 账户中异常的API通话率或错误率活动。Insights 事件提供相关信息,例如关联的API、错误代码、事件时间和统计数据,可帮助您了解异常活动并采取行动。与在 CloudTrail 跟踪或事件数据存储中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户API使用情况或错误率日志记录的变化与账户的典型使用模式明显不同时,才会记录 Insights 事件。有关更多信息,请参阅 使用见 CloudTrail 解。
可能生成 Insights 事件的活动的示例包括:
-
您的账户通常每分钟记录不超过 20 个 Amazon S3
deleteBucket
API 呼叫,但您的账户开始平均每分钟记录 100 个deleteBucket
API呼叫。在异常活动开始时记录一个 Insights 事件,并记录另一个见解事件以标记异常活动的结束。 -
您的账户通常每分钟记录 20 次给 Amazon 的呼叫 EC2
AuthorizeSecurityGroupIngress
API,但您的账户开始记录的呼叫为零AuthorizeSecurityGroupIngress
。在异常活动开始时记录一个 Insights 事件,10 分钟后,当异常活动结束时,将记录另一个 Insights 事件以标记异常活动的结束。 -
通常,您的账户在七天内在 Amazon Identity and Access Management API、
DeleteInstanceProfile
上记录的AccessDeniedException
错误少于一个。您的账户开始在DeleteInstanceProfile
API通话中平均每分钟记录 12 个AccessDeniedException
错误。在异常错误率活动开始时记录一个 Insights 事件,并记录另一个 Insights 事件以标记异常活动的结束。
这些示例仅用于说明用途。根据您的使用案例,您的结果可能会有所不同。
要记录 CloudTrail Insights 事件,您必须在新的或现有的跟踪或事件数据存储上明确启用 Insights 事件。有关创建跟踪的更多信息,请参阅使用 CloudTrail 控制台创建跟踪。有关创建事件数据存储的更多信息,请参阅使用控制台为 Insights 事件创建事件数据存储。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价
CloudTrail Insights 中记录了两个事件以显示异常活动:开始事件和结束事件。以下示例显示了 Application Auto Scaling API CompleteLifecycleAction
被异常调用次数时发生的启动 Insights 事件的单个日志记录。对于见解事件,eventCategory
的值为 Insight
。insightDetails
块标识事件状态、源、名称、见解类型和上下文,包括统计信息和归因。有关 insightDetails
块的更多信息,请参阅 CloudTrail 见解 insightDetails 元素。
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }