本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解 CloudTrail 事件
中的事件 CloudTrail 是 Amazon 账户中某项活动的记录。此活动可以是 IAM 身份采取的操作,也可以是可监控的 CloudTrail服务。 CloudTrail 事件提供通过 Amazon Web Services 管理控制台、 Amazon SDKs、、命令行工具和其他 Amazon Web Services 服务工具进行的 API 和非 API 账户活动的历史记录。
CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此事件不会按任何特定顺序出现。
有四种类型 CloudTrail 的事件:
+ [管理事件](#cloudtrail-management-events)
+ [数据事件](#cloudtrail-data-events)
+ [网络活动事件](#cloudtrail-network-events)
+ [Insights 事件](#cloudtrail-insights-events)
默认情况下,跟踪和事件数据存储日志管理事件,但不存储数据事件、网络活动事件或 Insights 事件。
所有事件类型都使用 CloudTrail JSON 日志格式。日志包含有关您账户中的资源请求的信息,如谁发出请求、所使用的服务、执行的操作以及操作的参数。事件数据包含在 `Records` 数组中。
有关管理、数据和网络 CloudTrail 活动事件的事件记录字段的信息,请参阅[CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md)。
有关 CloudTrail 跟踪的 Insights 事件的事件记录字段的信息,请参阅[CloudTrail 记录路径的 Insights 事件的内容](cloudtrail-insights-fields-trails.md)。
有关 CloudTrail 事件数据存储的 Insights 事件的事件记录字段的信息,请参阅[CloudTrail 为事件数据存储记录 Insights 事件的内容](cloudtrail-insights-fields-lake.md)。
## 管理事件
管理事件提供有关对您 Amazon 账户中的资源执行的管理操作的信息。这些也称为*控制层面操作*。
示例管理事件包括:
+ 配置安全性(例如, Amazon Identity and Access Management `AttachRolePolicy`API 操作)。
+ 注册设备(例如,Amazon EC2 `CreateDefaultVpc` API 操作)。
+ 配置传送数据的规则(例如,Amazon EC2 `CreateSubnet` API 操作)。
+ 设置日志记录(例如, Amazon CloudTrail `CreateTrail`API 操作)。
管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,会 CloudTrail 记录该`ConsoleLogin`事件。有关更多信息,请参阅 [捕获的非 API 事件 CloudTrail](cloudtrail-non-api-events.md)。
默认情况下,t CloudTrail rails 和 CloudTrail Lake 事件数据存储日志管理事件。有关记录管理事件的更多信息,请参阅 [记录管理事件](logging-management-events-with-cloudtrail.md)。
以下示例显示了管理事件的单个日志记录。在这种情况下,名为的 IAM 用户`Mary_Major`运行**aws cloudtrail start-logging**命令调用 CloudTrail [https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_StartLogging.html](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_StartLogging.html)操作,在名为的跟踪上启动日志记录过程`myTrail`。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLE6E4XEGITWATV6R",
"arn": "arn:aws:iam::123456789012:user/Mary_Major",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Mary_Major",
"sessionContext": {
"attributes": {
"creationDate": "2023-07-19T21:11:57Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-07-19T21:33:41Z",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "StartLogging",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
"requestParameters": {
"name": "myTrail"
},
"responseElements": null,
"requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
"eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}
```
在该示例中,名为 `Paulo_Santos` 的 IAM 用户运行 **aws cloudtrail start-event-data-store-ingestion** 命令调用 [https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_StartEventDataStoreIngestion.html](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_StartEventDataStoreIngestion.html) 操作,开始对事件数据存储进行提取。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLEPHCNW5EQV7NA54",
"arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
"accountId": "123456789012",
"accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
"userName": "Paulo_Santos",
"sessionContext": {
"attributes": {
"creationDate": "2023-07-21T21:55:30Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-07-21T21:57:28Z",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "StartEventDataStoreIngestion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
"requestParameters": {
"eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
},
"responseElements": null,
"requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
"eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}
```
## 数据事件
数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为*数据层面操作*。数据事件通常是高容量活动。
示例数据事件包括:
+ S3 存储桶中对象上的 [Amazon S3 对象级 API 活动](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)(例如 `GetObject`、`DeleteObject` 和 `PutObject` API 操作)。
+ Amazon Lambda 函数执行活动(`Invoke`API)。
+ CloudTrail [https://docs.amazonaws.cn/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.amazonaws.cn/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)用于记录外部事件的 L [CloudTrail ake 频道](query-event-data-store-integration.md)上的活动 Amazon。
+ 针对主题的 Amazon SNS [https://docs.amazonaws.cn/sns/latest/api/API_Publish.html](https://docs.amazonaws.cn/sns/latest/api/API_Publish.html) 和 [https://docs.amazonaws.cn/sns/latest/api/API_PublishBatch.html](https://docs.amazonaws.cn/sns/latest/api/API_PublishBatch.html) API 操作。
下表显示可用于跟踪的资源类型。**资源类型(控制台)**列显示控制台中的相应选择。**resources.typ `resources.type` e 值**列显示了您使用或指定的值,以便在跟踪中包含该类型的数据事件。 Amazon CLI CloudTrail APIs
对于跟踪,您可以使用基本或高级事件选择器来记录通用存储桶、Lambda 函数和 DynamoDB 表中的 Amazon S3 对象的数据事件(显示在表的前三行中)。您只能使用高级事件选择器来记录其余行中显示的资源类型。
### 支持的数据事件 Amazon CloudTrail
****
| Amazon Web Services 服务 | 说明 | 资源类型(控制台) | resources.type 值 |
| --- | --- | --- | --- |
| Amazon RDS | 数据库集群上的 [Amazon RDS API 活动](https://docs.amazonaws.cn/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html#logging-using-cloudtrail-data-api.including-excluding-cloudtrail-events)。 | RDS 数据 API:数据库集群 | AWS::RDS::DBCluster |
| Amazon S3 | 通用存储桶中对象上的 [Amazon S3 对象级 API 活动](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)(例如 `GetObject`、`DeleteObject` 和 `PutObject` API 操作)。 | S3 | AWS::S3::Object |
| Amazon S3 | 接入点上的 [Amazon S3 API 活动](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)。 | S3 接入点 | AWS::S3::AccessPoint |
| Amazon S3 | 目录存储桶中对象上的 [Amazon S3 对象级 API 活动](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)(例如 `GetObject`、`DeleteObject` 和 `PutObject` API 操作)。 | S3 Express | AWS::S3Express::Object |
| Amazon S3 | [Amazon S3 对象 Lambda 接入点 API 活动](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events),例如调用 `CompleteMultipartUpload` 和 `GetObject`。 | S3 对象 Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | 亚马逊 FSx API 在卷上的活动。 | FSx 音量 | AWS::FSx::Volume |
| Amazon S3 表 | 针对[表](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-tables-create.html)的 Amazon S3 API 活动。 | S3 表 | AWS::S3Tables::Table |
| Amazon S3 表 | 针对[表存储桶](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-tables-buckets.html)的 Amazon S3 API 活动。 | S3 表存储桶 | AWS::S3Tables::TableBucket |
| Amazon S3 Vectors | 针对[向量存储桶](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-vectors-buckets.html)的 Amazon S3 API 活动。 | S3 向量存储桶 | AWS::S3Vectors::VectorBucket |
| Amazon S3 Vectors | 针对[向量索引](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-vectors-indexes.html)的 Amazon S3 API 活动。 | S3 向量索引 | AWS::S3Vectors::Index |
| Amazon S3 on Outposts | [Amazon S3 on Outposts](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) 对象级别 API 活动。 | S3 Outposts | AWS::S3Outposts::Object |
| Amazon SNS | 针对平台端点的 Amazon SNS [https://docs.amazonaws.cn/sns/latest/api/API_Publish.html](https://docs.amazonaws.cn/sns/latest/api/API_Publish.html) API 操作。 | SNS 平台端点 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 针对主题的 Amazon SNS [https://docs.amazonaws.cn/sns/latest/api/API_Publish.html](https://docs.amazonaws.cn/sns/latest/api/API_Publish.html) 和 [https://docs.amazonaws.cn/sns/latest/api/API_PublishBatch.html](https://docs.amazonaws.cn/sns/latest/api/API_PublishBatch.html) API 操作。 | SNS 主题 | AWS::SNS::Topic |
| Amazon SQS | 消息上的 [Amazon SQS API 活动](https://docs.amazonaws.cn/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-logging-using-cloudtrail.html#sqs-data-events-in-cloud-trail)。 | SQS | AWS::SQS::Queue |
| Amazon Supply Chain | Amazon Supply Chain 实例上的 API 活动。 | 供应链 | AWS::SCN::Instance |
| Amazon SWF | [域](https://docs.amazonaws.cn/amazonswf/latest/developerguide/swf-dev-domains.html)上的 [Amazon SWF API 活动](https://docs.amazonaws.cn/amazonswf/latest/developerguide/ct-logging.html#cloudtrail-data-events)。 | SWF 域 | AWS::SWF::Domain |
| Amazon AppConfig | Amazon AppConfig 用于配置操作的 [API 活动](https://docs.amazonaws.cn/appconfig/latest/userguide/logging-using-cloudtrail.html#appconfig-data-events-cloudtrail),例如对`StartConfigurationSession`和的调用`GetLatestConfiguration`。 | Amazon AppConfig | AWS::AppConfig::Configuration |
| Amazon AppSync | Amazon AppSync Graph@@ [QL 上的 AppSync AP APIs I 活动](https://docs.amazonaws.cn/appsync/latest/devguide/cloudtrail-logging.html#cloudtrail-data-events)。 | AppSync GraphQL | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | 针对集群资源的 Amazon Aurora DSQL API 活动。 | Amazon Aurora DSQL | AWS::DSQL::Cluster |
| Amazon B2B 数据交换 | 用于转换器操作的 B2B 数据交换 API 活动,例如对 `GetTransformerJob` 和 `StartTransformerJob` 的调用。 | B2B 数据交换 | AWS::B2BI::Transformer |
| Amazon Backup | Amazon Backup 搜索数据 API 在搜索作业上的活动。 | Amazon Backup 搜索数据 APIs | AWS::Backup::SearchJob |
| Amazon Bedrock | 代理别名上的 [Amazon Bedrock API 活动](https://docs.amazonaws.cn/bedrock/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | Bedrock 代理别名 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 针对异步调用的 Amazon Bedrock API 活动。 | Bedrock 异步调用 | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | 流别名上的 Amazon Bedrock API 活动。 | Bedrock 流别名 | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | 护栏上的 Amazon Bedrock API 活动。 | Bedrock 护栏 | AWS::Bedrock::Guardrail |
| Amazon Bedrock | 针对内联代理的 Amazon Bedrock API 活动。 | Bedrock 调用内联代理 | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | 知识库上的 [Amazon Bedrock API 活动](https://docs.amazonaws.cn/bedrock/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | Bedrock 知识库 | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | 模型上的 Amazon Bedrock API 活动。 | Bedrock 模型 | AWS::Bedrock::Model |
| Amazon Bedrock | 针对提示的 Amazon Bedrock API 活动。 | Bedrock 提示 | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | 针对会话的 Amazon Bedrock API 活动。 | Bedrock 会议 | AWS::Bedrock::Session |
| Amazon Bedrock | 针对流执行的 Amazon Bedrock API 活动。 | Bedrock 流执行 | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | 针对自动推理策略的 Amazon Bedrock API 活动。 | Bedrock 自动推理策略 | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | 针对自动推理策略版本的 Amazon Bedrock API 活动。 | Bedrock 自动推理策略版本 | AWS::Bedrock::AutomatedReasoningPolicyVersion |
| Amazon Bedrock | Amazon Bedrock 数据自动化项目 API 活动。 | **Bedrock 数据自动化项目** | `AWS::Bedrock::DataAutomationProject` |
| Amazon Bedrock | Bedrock 数据自动化调用 API 活动。 | **Bedrock 数据自动化调用** | `AWS::Bedrock::DataAutomationInvocation` |
| Amazon Bedrock | Amazon Bedrock 数据自动化配置文件 API 活动。 | **Bedrock 数据自动化配置文件** | `AWS::Bedrock::DataAutomationProfile` |
| Amazon Bedrock | Amazon Bedrock 蓝图 API 活动。 | **Bedrock 蓝图** | `AWS::Bedrock::Blueprint` |
| Amazon Bedrock | Amazon Bedrock 代码解释器 API 活动。 | **Bedrock-代码解释器 AgentCore ** | `AWS::BedrockAgentCore::CodeInterpreter` |
| Amazon Bedrock | Amazon Bedrock 浏览器 API 活动。 | **Bedrock-浏览器 AgentCore ** | `AWS::BedrockAgentCore::Browser` |
| Amazon Bedrock | Amazon Bedrock 工作负载身份 API 活动。 | **基石-AgentCore 工作负载身份** | `AWS::BedrockAgentCore::WorkloadIdentity` |
| Amazon Bedrock | Amazon Bedrock 工作负载身份目录 API 活动。 | **Bedrock-AgentCore 工作负载身份目录** | `AWS::BedrockAgentCore::WorkloadIdentityDirectory` |
| Amazon Bedrock | Amazon Bedrock 令牌文件库 API 活动。 | **基岩-AgentCore 代币库** | `AWS::BedrockAgentCore::TokenVault` |
| Amazon Bedrock | 亚马逊 Bedrock APIKey CredentialProvider API 活动。 | **基岩-AgentCore APIKey CredentialProvider** | `AWS::BedrockAgentCore::APIKeyCredentialProvider` |
| Amazon Bedrock | Amazon Bedrock 运行时 API 活动。 | **基岩-运行时间 AgentCore ** | `AWS::BedrockAgentCore::Runtime` |
| Amazon Bedrock | Amazon Bedrock 运行时端点 API 活动。 | **基岩-AgentCore 运行时端点** | `AWS::BedrockAgentCore::RuntimeEndpoint` |
| Amazon Bedrock | Amazon Bedrock 网关 API 活动。 | **基岩-网关 AgentCore ** | `AWS::BedrockAgentCore::Gateway` |
| Amazon Bedrock | Amazon Bedrock 内存 API 活动。 | **基岩-记忆 AgentCore ** | `AWS::BedrockAgentCore::Memory` |
| Amazon Bedrock | 亚马逊 Bedrock Oauth2 API 活动 CredentialProvider 。 | **Bedrock-AgentCore Oauth2 CredentialProvider** | `AWS::BedrockAgentCore::OAuth2CredentialProvider` |
| Amazon Bedrock | Amazon Bedrock 浏览器自定义 API 活动。 | **基岩-浏览器-自定义 AgentCore ** | `AWS::BedrockAgentCore::BrowserCustom` |
| Amazon Bedrock | 亚马逊 Bedrock Code-Interpreter-Custom API 活动。 | **基岩-代码解释器-自定义 AgentCore ** | `AWS::BedrockAgentCore::CodeInterpreterCustom` |
| Amazon Bedrock | Amazon Bedrock 工具 API 活动。 | Bedrock 工具 | AWS::Bedrock::Tool |
| Amazon Cloud Map | Amazon Cloud Map [命名空间](https://docs.amazonaws.cn/cloud-map/latest/api/API_Namespace.html)上的 [API 活动](https://docs.amazonaws.cn/cloud-map/latest/dg/cloudtrail-data-events.html)。 | Amazon Cloud Map 命名空间 | AWS::ServiceDiscovery::Namespace |
| Amazon Cloud Map | Amazon Cloud Map [服务](https://docs.amazonaws.cn/cloud-map/latest/api/API_Service.html)上的 [API 活动](https://docs.amazonaws.cn/cloud-map/latest/dg/cloudtrail-data-events.html)。 | Amazon Cloud Map service | AWS::ServiceDiscovery::Service |
| Amazon CloudFront | CloudFront 在 a 上的 API 活动[https://docs.amazonaws.cn/cloudfront/latest/APIReference/API_KeyValueStore.html](https://docs.amazonaws.cn/cloudfront/latest/APIReference/API_KeyValueStore.html)。 | CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| Amazon CloudTrail | CloudTrail [https://docs.amazonaws.cn/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.amazonaws.cn/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)用于记录外部事件的 L [CloudTrail ake 频道](query-event-data-store-integration.md)上的活动 Amazon。 | CloudTrail 频道 | AWS::CloudTrail::Channel |
| Amazon CloudWatch | [亚马逊 CloudWatch API 在指标方面的活动](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html#CloudWatch-data-plane-events)。 | CloudWatch 指标 | AWS::CloudWatch::Metric |
| Amazon CloudWatch 网络流量监控器 | 监视器上的 Amazon CloudWatch 网络流量监控 API 活动。 | 网络流量监测仪监视器 | AWS::NetworkFlowMonitor::Monitor |
| Amazon CloudWatch 网络流量监控器 | Amazon CloudWatch 网络流量监控 API 在作用域上的活动。 | 网络流量监测仪作用域 | AWS::NetworkFlowMonitor::Scope |
| 亚马逊 CloudWatch RUM | 应用程序监视器上的 Amazon CloudWatch RUM API 活动。 | RUM 应用程序监视器 | AWS::RUM::AppMonitor |
| Amazon P CodeGuru rofiler | CodeGuru Profiler API 在性能分析组上的活动。 | CodeGuru Profiler 分析组 | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | 亚马逊 CodeWhisperer API 在自定义方面的活动。 | CodeWhisperer 定制 | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | 个人资料上的亚马逊 CodeWhisperer API 活动。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | 针对 Amazon Cognito [身份池](https://docs.amazonaws.cn/cognito/latest/developerguide/amazon-cognito-info-in-cloudtrail.html#identity-pools-cloudtrail-events)的 Amazon Cognito API 活动。 | Cognito 身份池 | AWS::Cognito::IdentityPool |
| Amazon Web Services Data Exchange | Amazon Web Services Data Exchange 资产上的 API 活动。 | **Data Exchange 资产** | `AWS::DataExchange::Asset` |
| Amazon Data Firehose | Amazon Data Firehose 传输流 API 活动。 | **Amazon Data Firehose** | `AWS::KinesisFirehose::DeliveryStream` |
| Amazon Deadline Cloud | 实例集上的 [Deadline Cloud](https://docs.amazonaws.cn/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud 舰队** | `AWS::Deadline::Fleet` |
| Amazon Deadline Cloud | 作业上的 [Deadline Cloud](https://docs.amazonaws.cn/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud 工作** | `AWS::Deadline::Job` |
| Amazon Deadline Cloud | 队列上的 [Deadline Cloud](https://docs.amazonaws.cn/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud queue** | `AWS::Deadline::Queue` |
| Amazon Deadline Cloud | 工作程序上的 [Deadline Cloud](https://docs.amazonaws.cn/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud 工人** | `AWS::Deadline::Worker` |
| Amazon DynamoDB | 表上的 [Amazon DynamoDB 项目级 API 活动](https://docs.amazonaws.cn/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail)(例如,`PutItem`、`DeleteItem` 和 `UpdateItem` API 操作)。 对于启用了流的表,数据事件中的 `resources` 字段同时包含 `AWS::DynamoDB::Stream` 和 `AWS::DynamoDB::Table`。如果您为 `resources.type` 指定 `AWS::DynamoDB::Table`,则原定设置情况下,它将同时记录 DynamoDB 表和 DynamoDB 流事件。要排除[流事件](https://docs.amazonaws.cn/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail),请对 `eventName` 字段添加筛选条件。 | DynamoDB | `AWS::DynamoDB::Table` |
| Amazon DynamoDB | 针对流的 [Amazon DynamoDB](https://docs.amazonaws.cn/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail) API 活动 | DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | [亚马逊 Elastic Block Store (EBS) Direc](https://docs.amazonaws.cn/ebs/latest/userguide/logging-ebs-apis-using-cloudtrail.html) t APIs,例如`PutSnapshotBlock`、`GetSnapshotBlock`和在`ListChangedBlocks`亚马逊 EBS 快照上。 | 亚马逊 EBS direct APIs | AWS::EC2::Snapshot |
| Amazon Elastic Compute Cloud | Amazon EC2 Instance Connect 端点 API 活动。 | **EC2 实例连接终端节点** | `AWS::EC2::InstanceConnectEndpoint` |
| Amazon Elastic Container Service | 对容器实例的 Amazon Elastic Container Service API 活动。 | ECS 容器实例 | AWS::ECS::ContainerInstance |
| Amazon Elastic Kubernetes Service | 对控制面板的 Amazon Elastic Kubernetes Service API 活动。 | Amazon Elastic Kubernetes Service 控制面板 | AWS::EKS::Dashboard |
| Amazon EMR | 预写日志工作区上的 [Amazon EMR API 活动](https://docs.amazonaws.cn/emr/latest/ManagementGuide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | EMR 预写日志工作空间 | AWS::EMRWAL::Workspace |
| Amazon 最终用户消息 SMS | Amazon 关于原始身份@@ [的最终用户消息 SMS](https://docs.amazonaws.cn/sms-voice/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | SMS 语音发起身份 | AWS::SMSVoice::OriginationIdentity |
| Amazon 最终用户消息 SMS | [Amazon 最终用户消息 SMS](https://docs.amazonaws.cn/sms-voice/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 对消息的活动。 | 短信语音消息 | AWS::SMSVoice::Message |
| Amazon 最终用户消息社交 | Amazon 电话号码上的@@ [最终用户消息社交](https://docs.amazonaws.cn/social-messaging/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动 IDs。 | 社交消息电话号码 ID | AWS::SocialMessaging::PhoneNumberId |
| Amazon 最终用户消息社交 | Amazon Waba IDs 上的最终用户消息社交 API 活动。 | 社交消息 Waba ID | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | 针对环境的 [Amazon FinSpace](https://docs.amazonaws.cn/finspace/latest/userguide/logging-cloudtrail-events.html#finspace-dataplane-events) API 活动 | FinSpace | AWS::FinSpace::Environment |
| 亚马逊 GameLift 直播 | Amazon GameLift [直播应用程序上的 API 活动](https://docs.amazonaws.cn/gameliftstreams/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | GameLift 直播应用程序 | AWS::GameLiftStreams::Application |
| 亚马逊 GameLift 直播 | Amazon GameLift Streams [直播直播群组上的 API 活动](https://docs.amazonaws.cn/gameliftstreams/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | GameLift 直播群组 | AWS::GameLiftStreams::StreamGroup |
| Amazon Glue | Amazon Glue 在 Lake Formation 创建的表格上的 API 活动。 | Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | [探测器的](https://docs.amazonaws.cn/guardduty/latest/ug/logging-using-cloudtrail.html#guardduty-data-events-in-cloudtrail)亚马逊 GuardDuty API 活动。 | GuardDuty 探测器 | AWS::GuardDuty::Detector |
| Amazon HealthImaging | Amazon HealthImaging 数据存储上的 API 活动。 | MedicalImaging 数据存储 | AWS::MedicalImaging::Datastore |
| Amazon HealthImaging | Amazon HealthImaging 图像集 API 活动。 | **MedicalImaging 图像集** | `AWS::MedicalImaging::Imageset` |
| Amazon IoT | Amazon IoT [证书](https://docs.amazonaws.cn/iot/latest/developerguide/x509-client-certs.html)上@@ [的 API 活动](https://docs.amazonaws.cn/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 | IoT 证书 | AWS::IoT::Certificate |
| Amazon IoT | [Amazon IoT API 在[事物](https://docs.amazonaws.cn/iot/latest/developerguide/thing-registry.html)上的活动](https://docs.amazonaws.cn/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 | IoT 事物 | AWS::IoT::Thing |
| Amazon IoT Greengrass Version 2 | 组件版本上来自 Greengrass 核心设备的 [Greengrass API 活动](https://docs.amazonaws.cn/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 Greengrass 不会记录访问被拒绝事件。 | IoT Greengrass 组件版本 | AWS::GreengrassV2::ComponentVersion |
| Amazon IoT Greengrass Version 2 | 部署上来自 Greengrass 核心设备的 [Greengrass API 活动](https://docs.amazonaws.cn/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 Greengrass 不会记录访问被拒绝事件。 | IoT Greengrass 部署 | AWS::GreengrassV2::Deployment |
| Amazon IoT SiteWise | [资产](https://docs.amazonaws.cn/iot-sitewise/latest/APIReference/API_CreateAsset.html)上的@@ [物联网 SiteWise API 活动](https://docs.amazonaws.cn/iot-sitewise/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | 物联网 SiteWise 资产 | AWS::IoTSiteWise::Asset |
| Amazon IoT SiteWise | [时间序列](https://docs.amazonaws.cn/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html)上的@@ [物联网 SiteWise API 活动](https://docs.amazonaws.cn/iot-sitewise/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | 物联网 SiteWise 时间序列 | AWS::IoTSiteWise::TimeSeries |
| Amazon IoT SiteWise 助手 | 对对话的 Sitewise Assistant API 活动 | Sitewise Assistant 对话 | AWS::SitewiseAssistant::Conversation |
| Amazon IoT TwinMaker | [实体](https://docs.amazonaws.cn/iot-twinmaker/latest/apireference/API_CreateEntity.html)上的物联网 TwinMaker API 活动。 | 物联网 TwinMaker 实体 | AWS::IoTTwinMaker::Entity |
| Amazon IoT TwinMaker | [工作空间](https://docs.amazonaws.cn/iot-twinmaker/latest/apireference/API_CreateWorkspace.html)上的物联网 TwinMaker API 活动。 | 物联网 TwinMaker 工作空间 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | 针对[重新评分执行计划](https://docs.amazonaws.cn/kendra/latest/dg/cloudtrail-intelligent-ranking.html#cloud-trail-intelligent-ranking-log-entry)的 Amazon Kendra Intelligent Ranking API 活动。 | Kendra 排名 | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces(Apache Cassandra 兼容) | 表上的 [Amazon Keyspaces API 活动](https://docs.amazonaws.cn/keyspaces/latest/devguide/logging-using-cloudtrail.html#keyspaces-in-cloudtrail-dml)。 | Cassandra 表 | AWS::Cassandra::Table |
| Amazon Keyspaces(Apache Cassandra 兼容) | 对 Cassandra CDC 流的 Amazon Keyspaces(Apache Cassandra 兼容)API 活动。 | Cassandra CDC 流 | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | [流](https://docs.amazonaws.cn/streams/latest/dev/working-with-streams.html)上的 Kinesis Data Streams API 活动。 | Kinesis 流 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | [流使用者的](https://docs.amazonaws.cn/streams/latest/dev/building-consumers.html)上的 Kinesis Data Streams API 活动。 | Kinesis 流使用者 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | 视频流上的 Kinesis Video Streams API 活动,例如调用 GetMedia 和 PutMedia。 | Kinesis 视频流 | AWS::KinesisVideo::Stream |
| Amazon Kinesis Video Streams | Kinesis Video Streams 视频信令通道 API 活动。 | **Kinesis 视频信令通道** | `AWS::KinesisVideo::SignalingChannel` |
| Amazon Lambda | Amazon Lambda 函数执行活动(`Invoke`API)。 | Lambda | AWS::Lambda::Function |
| Amazon Location 映射 | Amazon Location 地图 API 活动。 | 地理地图 | AWS::GeoMaps::Provider |
| Amazon Location 位数 | Amazon Location 地点 API 活动。 | 地理地点 | AWS::GeoPlaces::Provider |
| Amazon Location 路线 | Amazon Location 路线 API 活动。 | 地理路线 | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | 机器学习模型上的机器学习 API 活动。 | 匹配学习 MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 针对网络的 Amazon Managed Blockchain API 活动。 | 托管区块链网络 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | 针对 Ethereum 节点的 [Amazon Managed Blockchain](https://docs.amazonaws.cn/managed-blockchain/latest/ethereum-dev/logging-using-cloudtrail.html#ethereum-jsonrpc-logging) JSON-RPC 调用,如 `eth_getBalance` 或 `eth_getBlockByNumber`。 | 托管区块链 | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain 查询 | Amazon Managed Blockchain 查询 API 活动。 | Managed Blockchain 查询 | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | 对环境的 Amazon MWAA API 活动。 | 托管 Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune 图形 | Neptune Graph 上的数据 API 活动,例如查询、算法或向量搜索。 | Neptune 图形 | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | Amazon One Enterprise API 在 UKey上的活动 | Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | 用户上的 Amazon One Enterprise API 活动。 | Amazon One 用户 | AWS::One::User |
| Amazon Payment Cryptography | Amazon Payment Cryptography 别名上的 API 活动。 | Payment Cryptography 别名 | AWS::PaymentCryptography::Alias |
| Amazon Payment Cryptography | Amazon Payment Cryptography 密钥上的 API 活动。 | Payment Cryptography 密钥 | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | 对移动定位应用程序的 Amazon Pinpoint API 活动。 | 移动定位应用程序 | AWS::Pinpoint::App |
| Amazon 私有 CA | Amazon 私有 CA 活动目录 API 活动的连接器。 | Amazon 私有 CA 活动目录连接器 | AWS::PCAConnectorAD::Connector |
| Amazon 私有 CA | Amazon 私有 CA 用于 SCEP API 活动的连接器。 | Amazon 私有 CA 适用于 SCEP 的连接器 | AWS::PCAConnectorSCEP::Connector |
| Amazon Q 应用程序构建器 | [Amazon Q 应用程序构建器](https://docs.amazonaws.cn/amazonq/latest/qbusiness-ug/purpose-built-qapps.html)上的数据 API 活动。 | Amazon Q 应用程序构建器 | AWS::QApps::QApp |
| Amazon Q 应用程序构建器 | 对 Amazon Q 应用程序构建器会话的数据 API 活动。 | Amazon Q 应用程序构建器会话 | AWS::QApps::QAppSession |
| Amazon Q Business | 应用程序上的 [Amazon Q Business API 活动](https://docs.amazonaws.cn/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 应用程序 | AWS::QBusiness::Application |
| Amazon Q Business | 数据来源上的 [Amazon Q Business API 活动](https://docs.amazonaws.cn/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 数据来源 | AWS::QBusiness::DataSource |
| Amazon Q Business | 索引上的 [Amazon Q Business API 活动](https://docs.amazonaws.cn/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 索引 | AWS::QBusiness::Index |
| Amazon Q Business | Web 体验上的 [Amazon Q Business API 活动](https://docs.amazonaws.cn/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business Web 体验 | AWS::QBusiness::WebExperience |
| Amazon Q Business | Amazon Q Business 集成 API 活动。 | **Amazon Q Business 集成** | `AWS::QBusiness::Integration` |
| Amazon Q 开发者版 | 对集成的 Amazon Q 开发者版 API 活动。 | Q 开发者版集成 | AWS::QDeveloper::Integration |
| Amazon Q 开发者版 | 对操作调查的 [Amazon Q 开发者版 API 活动](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html#Q-Developer-Investigations-Cloudtrail)。 | AIOps 调查组 | AWS::AIOps::InvestigationGroup |
| Amazon 快速 | 操作连接器上的 Amazon Quick API 活动。 | Amazon QuickSuite 操作 | AWS::Quicksight::ActionConnector |
| Amazon 快速 | 亚马逊 Quick Flow API 活动。 | **QuickSight 流动** | `AWS::QuickSight::Flow` |
| Amazon 快速 | 亚马逊 Quick FlowSession API 活动。 | **QuickSight 流程会话** | `AWS::QuickSight::FlowSession` |
| 亚马逊 SageMaker AI | 终端节点上的亚马逊 SageMaker AI [https://docs.amazonaws.cn/sagemaker/latest/APIReference/API_runtime_InvokeEndpointWithResponseStream.html](https://docs.amazonaws.cn/sagemaker/latest/APIReference/API_runtime_InvokeEndpointWithResponseStream.html)活动。 | SageMaker AI 端点 | AWS::SageMaker::Endpoint |
| 亚马逊 SageMaker AI | 特色商店中的亚马逊 SageMaker AI API 活动。 | SageMaker AI feature store | AWS::SageMaker::FeatureGroup |
| 亚马逊 SageMaker AI | Amazon SageMaker AI API 在[实验试验组件](https://docs.amazonaws.cn/sagemaker/latest/dg/experiments-monitoring.html)上的活动。 | SageMaker AI 指标实验试用组件 | AWS::SageMaker::ExperimentTrialComponent |
| 亚马逊 SageMaker AI | 亚马逊 SageMaker AI MLflow API 活动。 | **SageMaker MLflow** | `AWS::SageMaker::MlflowTrackingServer` |
| Amazon Signer | 对签名作业的签署人 API 活动。 | 签署人签名作业 | AWS::Signer::SigningJob |
| Amazon Signer | 对签名配置文件的签署人 API 活动。 | 签署人签名配置文件 | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | 对配置集的 Amazon Simple Email Service(Amazon SES)API 活动。 | SES 配置集 | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | 对电子邮件身份的 Amazon Simple Email Service(Amazon SES)API 活动。 | SES 身份 | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | 对模板的 Amazon Simple Email Service(Amazon SES)API 活动。 | SES 模板 | AWS::SES::Template |
| Amazon SimpleDB | 对域的 Amazon SimpleDB API 活动。 | SimpleDB 域 | AWS::SDB::Domain |
| Amazon Step Functions | 对活动的 [Step Functions API 活动](https://docs.amazonaws.cn/step-functions/latest/dg/procedure-cloud-trail.html#cloudtrail-data-events)。 | Step Function | AWS::StepFunctions::Activity |
| Amazon Step Functions | 对状态机的 [Step Functions API 活动](https://docs.amazonaws.cn/step-functions/latest/dg/procedure-cloud-trail.html#cloudtrail-data-events)。 | Step Functions 状态机 | AWS::StepFunctions::StateMachine |
| Amazon Systems Manager | 控制通道上的 [Systems Manager API 活动](https://docs.amazonaws.cn/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html#cloudtrail-data-events)。 | Systems Manager (系统管理员) | AWS::SSMMessages::ControlChannel |
| Amazon Systems Manager | 对影响评测的 Systems Manager API 活动。 | SSM 影响评测 | AWS::SSM::ExecutionPreview |
| Amazon Systems Manager | 托管节点上的 [Systems Manager API 活动](https://docs.amazonaws.cn/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html#cloudtrail-data-events)。 | Systems Manager 托管式节点 | AWS::SSM::ManagedNode |
| Amazon Timestream | 针对数据库的 Amazon Timestream [https://docs.amazonaws.cn/timestream/latest/developerguide/API_query_Query.html](https://docs.amazonaws.cn/timestream/latest/developerguide/API_query_Query.html) API 活动。 | Timestream 数据库 | AWS::Timestream::Database |
| Amazon Timestream | 对区域性端点的 Amazon Timestream API 活动。 | Timestream 区域性端点 | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | 针对表的 Amazon Timestream [https://docs.amazonaws.cn/timestream/latest/developerguide/API_query_Query.html](https://docs.amazonaws.cn/timestream/latest/developerguide/API_query_Query.html) API 活动。 | Timestream 表 | AWS::Timestream::Table |
| Amazon Verified Permissions | 针对策略存储的 Amazon Verified Permissions API 活动。 | Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces 瘦客户机 | WorkSpaces 设备上的瘦客户端 API 活动。 | 瘦客户端设备 | AWS::ThinClient::Device |
| Amazon WorkSpaces 瘦客户机 | WorkSpaces 环境中的瘦客户端 API 活动。 | 瘦客户端环境 | AWS::ThinClient::Environment |
| Amazon X-Ray | [跟踪](https://docs.amazonaws.cn/xray/latest/devguide/xray-concepts.html#xray-concepts-traces)的 [X-Ray API 活动](https://docs.amazonaws.cn/xray/latest/devguide/xray-api-cloudtrail.html#cloudtrail-data-events)。 | X-Ray 跟踪 | AWS::XRay::Trace |
| Amazon AIDev Ops | AIDev代理空间上的 Ops API 活动。 | 特工空间 | AWS::AIDevOps::AgentSpace |
| Amazon AIDev Ops | AIDevOps API 关于关联的活动。 | AIDev行动协会 | AWS::AIDevOps::Association |
| Amazon AIDev Ops | AIDev运营商应用团队的 Ops API 活动。 | AIDevOps 操作员应用程序团队 | AWS::AIDevOps::OperatorAppTeam |
| Amazon AIDev Ops | AIDev管道元数据上的 Ops API 活动。 | AIDev运营管道元数据 | AWS::AIDevOps::PipelineMetadata |
| Amazon AIDev Ops | AIDevOps API 在服务上的活动。 | AIDevOps 服务 | AWS::AIDevOps::Service |
| Amazon Bedrock | 高级优化提示作业上的 Bedrock API 活动。 | AdvancedOptimizePromptJob | AWS::Bedrock::AdvancedOptimizePromptJob |
| Amazon Bedrock AgentCore | 评估者身上 AgentCore 的 Bedrock API 活动。 | Bedrock-评估者 AgentCore | AWS::BedrockAgentCore::Evaluator |
| 亚马逊成本优化 | CloudOptimization 个人资料上的 API 活动。 | CloudOptimization 配置文件 | AWS::CloudOptimization::Profile |
| 亚马逊成本优化 | CloudOptimization 针对推荐的 API 活动。 | CloudOptimization 建议 | AWS::CloudOptimization::Recommendation |
| Amazon GuardDuty | GuardDuty 恶意软件扫描时的 API 活动。 | GuardDuty 恶意软件扫描 | AWS::GuardDuty::MalwareScan |
| Amazon NovaAct | 亚马逊 NovaAct API 在工作流程定义方面的活动。 | 工作流程定义 | AWS::NovaAct::WorkflowDefinition |
| Amazon NovaAct | 工作流程运行时亚马逊 NovaAct API 活动。 | 工作流程运行 | AWS::NovaAct::WorkflowRun |
| Amazon Redshift | 集群上的 Redshift API 活动。 | 亚马逊 Redshift 集群 | AWS::Redshift::Cluster |
| Amazon Support | SupportAccess 针对租户的 API 活动。 | SupportAccess 租户 | AWS::SupportAccess::Tenant |
| Amazon Support | SupportAccess 信任账户上的 API 活动。 | SupportAccess 信任账户 | AWS::SupportAccess::TrustingAccount |
| Amazon Support | SupportAccess 信任角色上的 API 活动。 | SupportAccess 信任角色 | AWS::SupportAccess::TrustingRole |
| 亚马逊转型 | 转换代理实例上的 API 活动。 | 转换代理实例 | AWS::Transform::AgentInstance |
| Amazon 自定义转换 | 转换广告活动中的自定义 API 活动。 | 变身定制战役 | AWS::TransformCustom::Campaign |
| Amazon 自定义转换 | 转换对话中的自定义 API 活动。 | 转换-自定义对话 | AWS::TransformCustom::Conversation |
| Amazon 自定义转换 | 转换知识项上的自定义 API 活动。 | 变换-自定义知识项目 | AWS::TransformCustom::KnowledgeItem |
| Amazon 自定义转换 | 转换包上的自定义 API 活动。 | 变换-自定义软件包 | AWS::TransformCustom::Package |
预设情况下,在您创建跟踪记录时,未记录数据事件。要记录 CloudTrail 数据事件,必须明确添加要为其收集活动的支持的资源或资源类型。有关更多信息,请参阅 [使用 CloudTrail 控制台创建跟踪](cloudtrail-create-a-trail-using-the-console-first-time.md)。
记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
以下示例显示了 Amazon SNS `Publish` 操作的数据事件的单个日志记录。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::123456789012:user/Bob",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "ExampleUser"
},
"attributes": {
"creationDate": "2023-08-21T16:44:05Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-08-21T16:48:37Z",
"eventSource": "sns.amazonaws.com",
"eventName": "Publish",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
"requestParameters": {
"topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
"message": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
"messageStructure": "json",
"messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": {
"messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
},
"requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
"eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
"readOnly": false,
"resources": [{
"accountId": "123456789012",
"type": "AWS::SNS::Topic",
"ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
}
}
```
以下示例显示了 Amazon Cognito `GetCredentialsForIdentity` 操作的数据事件的单个日志记录。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetCredentialsForIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
"requestParameters": {
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
"expiration": "Jan 19, 2023 5:55:08 PM"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
"eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## 网络活动事件
CloudTrail 网络活动事件使 VPC 终端节点所有者能够记录使用其 VPC 终端节点从私有 VPC 到的 Amazon API 调用 Amazon Web Services 服务。通过网络活动事件,可以了解在 VPC 中执行的资源操作。
您可以记录以下服务的网络活动事件:
+ Amazon AppConfig
+ Amazon App Mesh
+ Amazon Athena
+ Amazon B2B Data Interchange
+ Amazon Backup gateway
+ Amazon Bedrock
+ 账单和成本管理
+ Amazon 定价计算器
+ Amazon Cost Explorer
+ Amazon 云端控制 API
+ Amazon CloudHSM
+ Amazon Cloud Map
+ Amazon CloudFormation
+ Amazon CloudTrail
+ Amazon CloudWatch
+ CloudWatch 应用程序信号
+ Amazon CodeDeploy
+ Amazon Comprehend Medical
+ Amazon Config
+ Amazon Data Exports
+ Amazon Data Firehose
+ Amazon Directory Service
+ Amazon DynamoDB
+ Amazon EC2
+ Amazon Elastic Container Service
+ Amazon Elastic File System
+ Elastic Load Balancing
+ Amazon EventBridge
+ Amazon EventBridge 日程安排
+ Amazon Fraud Detector
+ Amazon Web Services 中国区免费套餐
+ Amazon FSx
+ Amazon Glue
+ Amazon HealthLake
+ Amazon IoT FleetWise
+ Amazon IoT Secure Tunneling
+ Amazon Web Services 开票
+ Amazon Keyspaces(Apache Cassandra 兼容)
+ Amazon KMS
+ Amazon Lake Formation
+ Amazon Lambda
+ Amazon License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Personalize
+ Amazon Q Business
+ Amazon Rekognition
+ Amazon Relational Database Service
+ Amazon S3
**注意**
不支持 [Amazon S3 多区域接入点](https://docs.amazonaws.cn/AmazonS3/latest/userguide/MultiRegionAccessPointRequests.html)。
+ 亚马逊 SageMaker AI
+ Amazon Secrets Manager
+ Amazon Simple Notification Service
+ Amazon Simple Queue Service
+ Amazon Simple Workflow Service
+ Amazon Storage Gateway
+ Amazon Systems Manager Incident Manager
+ Amazon Textract
+ Amazon Transcribe
+ Amazon Translate
+ Amazon Transform
+ Amazon Verified Permissions
+ Amazon WorkMail
默认情况下,在您创建跟踪或事件数据存储时,未记录网络活动事件。要记录 CloudTrail 网络活动事件,必须明确设置要为其收集活动的事件源。有关更多信息,请参阅 [记录网络活动事件](logging-network-events-with-cloudtrail.md)。
记录网络活动事件将收取额外费用。有关 CloudTrail 定价,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
以下示例显示了遍历 VPC 终端节点的成功 Amazon KMS `ListKeys`事件。`vpcEndpointId` 字段显示 VPC 端点的 ID。`vpcEndpointAccountId` 字段显示 VPC 端点所有者的账户 ID。在此示例中,请求由 VPC 端点所有者发出。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
"accountId": "123456789012",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-06-04T23:10:46Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-06-04T23:12:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeys",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
"eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
"eventType": "AwsVpceEvent",
"recipientAccountId": "123456789012",
"sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
"vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
"vpcEndpointAccountId": "123456789012",
"eventCategory": "NetworkActivity"
}
```
下一个示例显示了违反 VPC 终端节点策略的失败 Amazon KMS `ListKeys`事件。由于发生了 VPC 策略违规,因此 `errorCode` 和 `errorMessage` 字段都存在。`recipientAccountId` 和 `vpcEndpointAccountId` 字段中的账户 ID 相同,这表示事件已发送给 VPC 端点所有者。`userIdentity` 元素中的 `accountId` 不是 `vpcEndpointAccountId`,这表示发出请求的用户不是 VPC 端点所有者。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "777788889999"
},
"eventTime": "2024-07-15T23:57:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeys",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"errorCode": "VpceAccessDenied",
"errorMessage": "The request was denied due to a VPC endpoint policy",
"requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
"eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
"eventType": "AwsVpceEvent",
"recipientAccountId": "123456789012",
"sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
"vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
"vpcEndpointAccountId": "123456789012",
"eventCategory": "NetworkActivity"
}
```
## Insights 事件
CloudTrail Insights 事件通过分析 CloudTrail 管理活动来捕获您 Amazon 账户中异常的 API 调用率或错误率活动。Insights 事件提供相关信息,例如关联的 API、错误代码、事件时间和统计数据,以帮助您了解异常活动并对其采取措施。与在 CloudTrail 跟踪或事件数据存储中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户 API 使用情况或错误率记录的变化与账户的典型使用模式明显不同时,才会记录 Insights 事件。有关更多信息,请参阅 [使用见 CloudTrail 解](logging-insights-events-with-cloudtrail.md)。
可能生成 Insights 事件的活动的示例包括:
+ 您的账户通常每分钟记录不超过 20 次 Amazon S3 `deleteBucket` API 调用,但是您的账户一开始就平均每分钟记录 100 次 `deleteBucket` API 调用。在异常活动开始时记录一个 Insights 事件,并记录另一个见解事件以标记异常活动的结束。
+ 您的账户通常每分钟记录 20 次对 Amazon EC2 `AuthorizeSecurityGroupIngress` API 的调用,但是您的账户开始记录对 `AuthorizeSecurityGroupIngress` 的零次调用。在异常活动开始时记录一个 Insights 事件,10 分钟后,当异常活动结束时,将记录另一个 Insights 事件以标记异常活动的结束。
+ 您的账户七天内对 Amazon Identity and Access Management API、`DeleteInstanceProfile` 记录的 `AccessDeniedException` 错误通常不到一个。你的账户开始对 `DeleteInstanceProfile` API 调用每分钟平均记录 12 个 `AccessDeniedException` 错误。在异常错误率活动开始时记录一个 Insights 事件,并记录另一个 Insights 事件以标记异常活动的结束。
这些示例仅用于说明用途。根据您的使用案例,您的结果可能会有所不同。
要记录 CloudTrail Insights 事件,您必须在新的或现有的跟踪或事件数据存储上明确启用 Insights 事件。有关创建跟踪的更多信息,请参阅[使用 CloudTrail 控制台创建跟踪](cloudtrail-create-a-trail-using-the-console-first-time.md)。有关创建事件数据存储的更多信息,请参阅[使用控制台为 Insights 事件创建事件数据存储](query-event-data-store-insights.md)。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
CloudTrail Insights 中记录了两个事件以显示异常活动:开始事件和结束事件。下面的示例显示了一个启动见解事件的单个日志记录,该事件是在不寻常地多次调用 Application Auto Scaling API `CompleteLifecycleAction` 时发生的。对于见解事件,`eventCategory` 的值为 `Insight`。`insightDetails` 块标识事件状态、源、名称、见解类型和上下文,包括统计信息和归因。有关 `insightDetails` 块的更多信息,请参阅 [CloudTrail 记录路径的 Insights 事件的内容](cloudtrail-insights-fields-trails.md)。
```
{
"eventVersion": "1.08",
"eventTime": "2023-07-10T01:42:00Z",
"awsRegion": "us-east-1",
"eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
"insightDetails": {
"state": "Start",
"eventSource": "autoscaling.amazonaws.com",
"eventName": "CompleteLifecycleAction",
"insightType": "ApiCallRateInsight",
"insightContext": {
"statistics": {
"baseline": {
"average": 9.82222E-5
},
"insight": {
"average": 5.0
},
"insightDuration": 1,
"baselineDuration": 10181
},
"attributions": [{
"attribute": "userIdentityArn",
"insight": [{
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
"average": 5.0
}, {
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
"average": 5.0
}, {
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
"average": 5.0
}],
"baseline": [{
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
"average": 9.82222E-5
}]
}, {
"attribute": "userAgent",
"insight": [{
"value": "codedeploy.amazonaws.com",
"average": 5.0
}],
"baseline": [{
"value": "codedeploy.amazonaws.com",
"average": 9.82222E-5
}]
}, {
"attribute": "errorCode",
"insight": [{
"value": "null",
"average": 5.0
}],
"baseline": [{
"value": "null",
"average": 9.82222E-5
}]
}]
}
},
"eventCategory": "Insight"
}
```
# 记录管理事件
默认情况下,跟踪记录和事件数据存储将记录管理事件,但不包含数据事件或 Insights 事件。
数据事件或 Insights 事件需额外支付费用。有关更多信息,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
**Contents**
+ [管理事件](#logging-management-events)
+ [读取和写入事件](#read-write-events-mgmt)
+ [使用记录管理事件 Amazon Web Services 管理控制台](#logging-management-events-with-the-cloudtrail-console)
+ [更新现有跟踪的管理事件设置](#logging-management-events-with-the-cloudtrail-console-trail)
+ [更新现有事件数据存储的管理事件设置](#logging-management-events-with-the-cloudtrail-console-eds)
+ [使用记录管理事件 Amazon CLI](#creating-mgmt-event-selectors-with-the-AWS-CLI)
+ [示例:记录跟踪的管理事件](#log-mgmt-events-trails-examples)
+ [示例:使用高级事件选择器记录跟踪的管理事件](#log-mgmt-events-trails-examples-adv)
+ [示例:使用基本事件选择器记录跟踪的管理事件](#log-mgmt-events-trails-examples-basic)
+ [使用记录管理事件 Amazon SDKs](#logging-management-events-with-the-AWS-SDKs)
## 管理事件
管理事件可让您了解对 Amazon 账户中的资源执行的管理操作。这些也称为控制面板操作。示例管理事件包括:
+ 配置安全性(例如,IAM `AttachRolePolicy` API 操作)
+ 注册设备(例如,Amazon EC2 `CreateDefaultVpc` API 操作)。
+ 配置传送数据的规则(例如,Amazon EC2 `CreateSubnet` API 操作)
+ 设置日志记录(例如, Amazon CloudTrail `CreateTrail`API 操作)
管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,会 CloudTrail 记录该`ConsoleLogin`事件。有关更多信息,请参阅 [捕获的非 API 事件 CloudTrail](cloudtrail-non-api-events.md)。
默认情况下,跟踪和事件数据存储配置为记录管理事件。
**注意**
CloudTrail **事件历史记录**功能仅支持管理事件。您不能从 Amazon KMS **事件历史记录**中排除事件;您应用于跟踪的设置不适用于**事件历史记录**。有关更多信息,请参阅 [处理 CloudTrail 事件历史记录](view-cloudtrail-events.md)。
## 读取和写入事件
将跟踪或事件数据存储配置为记录管理事件时,可以指定是需要只读事件、只写事件还是两者都需要。
+ **读取**
只读事件包括将读取您的资源但不进行更改的 API 操作。例如,只读事件包括 Amazon EC2 `DescribeSecurityGroups` 和 `DescribeSubnets` API 操作。这些操作仅返回有关 Amazon EC2 资源的信息,但不更改您的配置。
+ **写入**
只写事件包括将修改(或可能修改)您的资源的 API 操作。例如,Amazon EC2 `RunInstances` 和 `TerminateInstances` API 操作将修改您的实例。
**示例:为单独的跟踪记录记录读取事件和写入事件**
以下示例说明如何将跟踪记录配置为将账户的日志活动拆分到单独的 S3 存储桶中:一个存储桶接收只读事件,另一个存储桶接收只写事件。
1. 您创建一个跟踪并选择一个名为 `amzn-s3-demo-bucket1` 的 S3 存储桶来接收日志文件。然后,您更新跟踪以指定您需要 **Read**(读取)管理事件。
1. 您创建另一个跟踪并选择一个名为 `amzn-s3-demo-bucket2` 的 S3 存储桶来接收日志文件。然后,您更新跟踪以指定您需要 **Write**(写入)管理事件。
1. Amazon EC2 `DescribeInstances` 和 `TerminateInstances` API 操作将在您的账户中执行。
1. `DescribeInstances` API 操作是只读事件,它匹配第一个跟踪的设置。跟踪将记录事件并将事件传输到 `amzn-s3-demo-bucket1`。
1. `TerminateInstances` API 操作是只写事件,它匹配第二个跟踪的设置。跟踪将记录事件并将事件传输到 `amzn-s3-demo-bucket2`。
## 使用记录管理事件 Amazon Web Services 管理控制台
本节介绍了如何更新现有跟踪或事件数据存储的管理事件设置。
**Topics**
+ [更新现有跟踪的管理事件设置](#logging-management-events-with-the-cloudtrail-console-trail)
+ [更新现有事件数据存储的管理事件设置](#logging-management-events-with-the-cloudtrail-console-eds)
### 更新现有跟踪的管理事件设置
请按照以下过程更新现有跟踪的管理事件设置。
1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。
1. 打开 CloudTrail 控制台的 T **ra** ils 页面并选择跟踪名称。
1. 对于 **Management events**(管理事件),选择 **Edit**(编辑)。
+ 选择您是否要记录**读取**事件和/或**写入**事件。
+ 选择 “**排除 Amazon KMS 事件**”,从 TraiL 中筛选 Amazon Key Management Service (Amazon KMS) 事件。默认设置是包括所有 Amazon KMS 事件。
只有在跟踪中记录管理 Amazon KMS 事件时,才可使用记录或排除事件的选项。如果您选择不记录管理事件,则不会记录 Amazon KMS 事件,也无法更改 Amazon KMS 事件日志记录设置。
Amazon KMS 诸如`Encrypt``Decrypt`、和之类的操作`GenerateDataKey`通常会生成大量事件(超过 99%)。这些操作现在记录为**读取**事件。诸如`Disable``Delete`、和`ScheduleKey`(通常占事件量不到 0.5%)之类的低容量相关 Amazon KMS 操作被记录为**写入 Amazon KMS **事件。
要排除高容量事件(如`Encrypt``Decrypt``GenerateDataKey`、和),但仍记录相关事件(例如`Disable``ScheduleKey`、`Delete`和),请选择记录**写入**管理事件,然后清除 “**排除” Amazon KMS 事件**复选框。
1. 完成后选择**保存更改**。
### 更新现有事件数据存储的管理事件设置
1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。
1. 打开 CloudTrail 控制台**的事件数据存储**页面,然后选择事件数据存储名称。
1. 对于**管理事件**,请选择**编辑**,然后配置下面的设置:
1. 在**简单事件收集**或**高级事件收集**之间进行选择:
+ 如果要记录所有事件、记录仅读取事件或记录仅写入事件,请选择**简单事件收集**。您也可以选择排除 Amazon Key Management Service 和 Amazon RDS 数据 API 管理事件。
+ 如果要根据高级事件选择器字段(包括 `eventName`、`eventType`、`eventSource` 和 `userIdentity.arn` 字段)的值包括或排除管理事件,请选择**高级事件收集**。
1. 如果您选择了**简单事件收集**,请选择是要记录所有事件、仅记录读取事件还是仅记录写入事件。您也可以选择排除 Amazon KMS 和 Amazon RDS 管理事件。
1. 如果您选择了**高级事件收集**,请进行以下选择:
1. 在**日志选择器模板**中,选择一个预定义的模板,或者选择**自定义**以基于高级事件选择器字段值构建自定义配置。
您可以从以下预定义模板中进行选择:
+ **记录所有事件**:选择此模板以记录所有事件。
+ **仅记录读取事件**:选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。
+ **仅记录写入事件**:选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **仅记录 Amazon Web Services 管理控制台 事件**-选择此模板仅记录源自的事件 Amazon Web Services 管理控制台。
+ **排除 Amazon Web Services 服务 已启动的事件**-选择此模板可排除 Amazon Web Services 服务 具有`eventType`关联角色的事件和使用 Amazon Web Services 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`
1. (可选)在**选择器名称**中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如 “记录 Amazon Web Services 管理控制台 会话中的管理事件”。选择器名称在高级事件选择器中列为 `Name`,展开 **JSON 视图**即可查看该名称。
1. 如果您选择了**自定义**,则在**高级事件选择器**中,将基于高级事件选择器字段值构建表达式。
**注意**
选择器不支持使用通配符,例如 `*`。要将多个值与单个条件匹配,可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。
1. 从下面的字段中选择。
+ **`readOnly`**:`readOnly`可以设置为**等于**值 `true` 或 `false`。当它设置为 `false` 时,事件数据存储将记录只写管理事件。只读管理事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。要同时记录**读取**和**写入**事件,请勿添加 `readOnly` 选择器。
+ **`eventName`**:`eventName`可以使用任何运算符。您可以使用它来包含或排除任何管理事件,例如 `CreateAccessPoint` 或 `GetAccessPoint`。
+ **`userIdentity.arn`**:包含或排除特定 IAM 身份所采取操作的事件。有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`sessionCredentialFromConsole`**— 包括或排除源自 Amazon Web Services 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
+ **`eventSource`**:可以使用它来包含或排除特定的事件源。`eventSource` 通常为服务名称的简短形式,不含空格但会加上 `.amazonaws.com`。例如,可以设置 `eventSource` **等于** `ec2.amazonaws.com`,以便仅记录 Amazon EC2 管理事件。
+ **`eventType`**:要包括或排除的 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)。例如,可以将此字段设置为**不等于** `AwsServiceEvent`,以排除 [Amazon Web Services 服务 事件](non-api-aws-service-events.md)。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。
有关如何 CloudTrail 评估多个条件的信息,请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
对于事件数据存储上的所有选择器,最多可以有 500 个值。这包括选择器的多个值的数组,例如 `eventName`。如果所有选择器均为单个值,则最多可以向选择器添加 500 个条件。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。
1. 或者,展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。
1. 选择**启用 Insights 事件捕获**以启用 Insights。要启用 Insights,您需要设置[目标事件数据存储](query-event-data-store-insights.md#query-event-data-store-insights-procedure)来将根据该事件数据存储中的管理事件活动收集 Insights 事件。
如果您选择启用 Insights,请执行以下操作。
1. 选择将记录 Insights 事件的目标事件存储。目标事件数据存储将根据该事件数据存储中的管理事件活动收集 Insights 事件。有关如何创建目标事件数据存储的信息,请参阅[要创建记录 Insights 事件的目标事件数据存储](query-event-data-store-insights.md#query-event-data-store-insights-procedure)。
1. 选择 Insights 类型。您可以选择 **API 调用率**、**API 错误率**或同时选择此两者。您必须记录**写入**管理事件,以针对 **API 调用率**记录 Insights 事件。您必须记录**读取**或**写入**管理事件,以针对 **API 错误率**记录 Insights 事件。
1. 完成后选择**保存更改**。
## 使用记录管理事件 Amazon CLI
您可以使用 Amazon CLI配置您的跟踪记录以记录管理事件。
### 示例:记录跟踪的管理事件
要查看您的跟踪是否正在记录管理事件,请运行 `get-event-selectors` 命令。
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
以下示例返回跟踪的默认设置。默认情况下,跟踪记录所有管理事件,记录所有事件源的事件,但不记录数据事件。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
]
}
```
您可以使用基本或高级事件选择器来记录管理事件。不能将事件选择器和高级事件选择器同时应用于跟踪。如果将高级事件选择器应用于跟踪,则所有现有的基本事件选择器都将被覆盖。以下部分提供了如何使用高级事件选择器和基本事件选择器记录管理事件的示例。
**Topics**
+ [示例:使用高级事件选择器记录跟踪的管理事件](#log-mgmt-events-trails-examples-adv)
+ [示例:使用基本事件选择器记录跟踪的管理事件](#log-mgmt-events-trails-examples-basic)
#### 示例:使用高级事件选择器记录跟踪的管理事件
以下示例为名为的跟踪创建了一个高级事件选择器,*TrailName*以包含只读和只写管理事件(省略`readOnly`选择器),但排除 Amazon Key Management Service (Amazon KMS) 事件。由于 Amazon KMS 事件被视为管理事件,而且其数量可能很大,因此,如果您有多个跟踪记录管理事件,它们可能会对您的 CloudTrail 账单产生重大影响。
如果您选择不记录管理事件,则不会记录 Amazon KMS 事件,也无法更改 Amazon KMS 事件日志记录设置。
要重新开始将 Amazon KMS 事件记录到跟踪,请移除`eventSource`选择器,然后再次运行该命令。
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
]
}
]'
```
以下示例返回为跟踪配置的高级事件选择器。
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "kms.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
要再次开始将排除的事件记录到跟踪,请删除 `eventSource` 选择器,如以下命令中所示。
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
下一个示例为名为的跟踪创建高级事件选择器,*TrailName*以包括只读和只写管理事件(省略`readOnly`选择器),但不包括 Amazon RDS 数据 API 管理事件。要排除 Amazon RDS 数据 API 管理事件,请在 `eventSource` 字段的字符串值中指定 Amazon RDS 数据 API 事件源:`rdsdata.amazonaws.com`。
如果选择不记录管理事件,则不会记录 Amazon RDS 数据 API 管理事件,并且您无法更改 Amazon RDS 数据 API 事件日志记录设置。
要再次开始将 Amazon RDS 数据 API 管理事件记录到跟踪,请删除 `eventSource` 选择器,然后再次运行命令。
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
]
}
]'
```
以下示例返回为跟踪配置的高级事件选择器。
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "rdsdata.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
要再次开始将排除的事件记录到跟踪,请删除 `eventSource` 选择器,如以下命令中所示。
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
#### 示例:使用基本事件选择器记录跟踪的管理事件
要将跟踪配置为记录管理事件,请运行 `put-event-selectors` 命令。以下示例说明如何配置您的跟踪以包含两个 S3 对象的所有管理事件。您可以为一个跟踪指定 1 至 5 个事件选择器。您可以为一个跟踪指定 1 至 250 个数据资源。
**注意**
无论有多少个事件选择器,最多只能有 250 个 S3 数据资源。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"] }] }]'
```
以下示例返回为跟踪配置的事件选择器。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"EventSelectors": [
{
"ReadWriteType": "All",
"IncludeManagementEvents": true,
"DataResources": [
{
"Type": "AWS::S3::Object",
"Values": [
"arn:aws:s3:::amzn-s3-demo-bucket/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
]
}
],
"ExcludeManagementEventSources": []
}
]
}
```
要从跟踪日志中排除 Amazon Key Management Service (Amazon KMS) 事件,请运行`put-event-selectors`命令并添加值为`ExcludeManagementEventSources`的属性`kms.amazonaws.com`。以下示例为名为的跟踪创建事件选择器,*TrailName*以包括只读和只写管理事件,但不包括 Amazon KMS 事件。由于 Amazon KMS 可能会生成大量事件,因此本示例中的用户可能希望限制事件以管理跟踪成本。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
```
以下示例返回为跟踪配置的事件选择器。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"EventSelectors": [
{
"ReadWriteType": "All",
"IncludeManagementEvents": true,
"DataResources": [],
"ExcludeManagementEventSources": [
"kms.amazonaws.com"
]
}
]
}
```
要从跟踪的日志中排除 Amazon RDS 数据 API 管理事件,请运行 `put-event-selectors` 命令并添加值为 `rdsdata.amazonaws.com` 的 `ExcludeManagementEventSources` 属性。以下示例为名为的跟踪创建事件选择器,*TrailName*以包括只读和只写管理事件,但不包括 Amazon RDS 数据 API 管理事件。由于 Amazon RDS 数据 API 可以生成大量管理事件,因此此示例中的用户可能希望限制事件以管理跟踪的成本。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"EventSelectors": [
{
"ReadWriteType": "All",
"IncludeManagementEvents": true,
"DataResources": [],
"ExcludeManagementEventSources": [
"rdsdata.amazonaws.com"
]
}
]
}
```
要重新开始向跟踪记录 Amazon KMS 或 Amazon RDS 数据 API 管理事件,请传递一个空字符串作为值`ExcludeManagementEventSources`,如以下命令所示。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
```
要将相关 Amazon KMS 事件记录到跟踪(如`Disable``ScheduleKey`、`Delete`和),但不包括高容量 Amazon KMS 事件(如`Encrypt``Decrypt``GenerateDataKey`、和),请记录只写管理事件,并保留记录 Amazon KMS 事件的默认设置,如以下示例所示。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
```
## 使用记录管理事件 Amazon SDKs
使用该[GetEventSelectors](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_GetEventSelectors.html)操作来查看您的跟踪是否正在记录跟踪的管理事件。您可以将跟踪配置为通过[PutEventSelectors](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)操作记录管理事件。有关更多信息,请参阅 [Amazon CloudTrail API 参考](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/)。
# 记录数据事件
本节介绍如何使用[CloudTrail 控制台](#logging-data-events-console)和记录数据事件[Amazon CLI](#creating-data-event-selectors-with-the-AWS-CLI)。
默认情况下,跟踪和事件数据存储不记录数据事件。记录数据事件将收取额外费用。有关更多信息,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为*数据层面操作*。数据事件通常是高容量活动。
示例数据事件包括:
+ S3 存储桶中对象上的 [Amazon S3 对象级 API 活动](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)(例如 `GetObject`、`DeleteObject` 和 `PutObject` API 操作)。
+ Amazon Lambda 函数执行活动(`Invoke`API)。
+ CloudTrail [https://docs.amazonaws.cn/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.amazonaws.cn/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)用于记录外部事件的 L [CloudTrail ake 频道](query-event-data-store-integration.md)上的活动 Amazon。
+ 针对主题的 Amazon SNS [https://docs.amazonaws.cn/sns/latest/api/API_Publish.html](https://docs.amazonaws.cn/sns/latest/api/API_Publish.html) 和 [https://docs.amazonaws.cn/sns/latest/api/API_PublishBatch.html](https://docs.amazonaws.cn/sns/latest/api/API_PublishBatch.html) API 操作。
您可以使用高级事件选择器来创建细粒度选择器,通过仅为您的使用场景记录感兴趣的特定事件来帮助控制成本。例如,您可以通过在 `eventName` 字段上添加筛选条件,使用高级事件选择器来记录特定 API 调用。有关更多信息,请参阅 [使用高级事件选择器筛选数据事件](filtering-data-events.md)。
**注意**
您的跟踪记录的事件可在 Amazon 中找到 EventBridge。例如,如果您选择记录 S3 对象的数据事件而非管理事件,则您的跟踪将仅处理和记录指定 S3 对象的数据事件。这些 S3 对象的数据事件可在 Amazon 中找到 EventBridge。有关更多信息,请参阅《*亚马逊 EventBridge 用户指南》*和《[事件参考》 CloudTrail中的通过提供的Amazon 服务Amazon](https://docs.amazonaws.cn/eventbridge/latest/userguide/eb-service-event-cloudtrail.html)[事件](https://docs.amazonaws.cn//eventbridge/latest/ref/welcome.html)。
**Contents**
+ [数据事件](#logging-data-events)
+ [支持的数据事件 Amazon CloudTrail](#w2aac21c31c19c11)
+ [示例:记录 Amazon S3 对象的数据事件](#logging-data-events-examples)
+ [记录其他 Amazon 账户中 S3 对象的数据事件](#logging-data-events-for-s3-resources-in-other-accounts)
+ [只读和只写事件](#read-write-events-data)
+ [使用记录数据事件 Amazon Web Services 管理控制台](#logging-data-events-console)
+ [使用记录数据事件 Amazon Command Line Interface](#creating-data-event-selectors-with-the-AWS-CLI)
+ [使用记录跟踪的数据事件 Amazon CLI](#logging-data-events-CLI-trail-examples)
+ [使用高级事件选择器记录跟踪的数据事件](#creating-data-event-selectors-advanced)
+ [使用高级事件选择器记录 Amazon S3 存储桶的所有 Amazon S3 事件](#creating-data-adv-event-selectors-CLI-s3)
+ [使用高级 Amazon Outposts 事件选择器在 Amazon S3 上记录事件](#creating-data-event-selectors-CLI-outposts)
+ [使用基本事件选择器记录事件](#creating-data-event-selectors-basic)
+ [使用高级事件选择器筛选数据事件](filtering-data-events.md)
+ [如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)
+ [显示 `resources.ARN` 字段的多个条件的示例](filtering-data-events.md#filtering-data-events-conditions-ex)
+ [Amazon CLI 筛选数据事件的示例](filtering-data-events.md#filtering-data-events-examples)
+ [示例 1:根据 `eventName` 字段进行筛选](filtering-data-events.md#filtering-data-events-eventname)
+ [示例 2:根据 `resources.ARN` 和 `userIdentity.arn` 字段进行筛选](filtering-data-events.md#filtering-data-events-useridentityarn)
+ [示例 3:筛选`resources.type`和`eventName`字段以排除由 Amazon S3 DeleteObjects 事件删除的单个对象](filtering-data-events.md#filtering-data-events-deleteobjects)
+ [聚合数据事件](aggregating-data-events.md)
+ [使用控制台为数据事件启用聚合](aggregating-data-events.md#aggregating-data-events-console)
+ [使用为数据事件启用聚合 Amazon CLI](aggregating-data-events.md#aggregating-data-events-cli)
+ [示例: API\$1ACTIVITY聚合事件](aggregating-data-events.md#aggregating-data-events-api-activity-example)
+ [示例:RESOURCE\$1ACCESS 聚合事件](aggregating-data-events.md#aggregating-data-events-resource-access-example)
+ [使用记录数据事件 Amazon SDKs](#logging-data-events-with-the-AWS-SDKs)
## 数据事件
下表显示可用于跟踪的资源类型。**资源类型(控制台)**列显示控制台中的相应选择。**resources.typ `resources.type` e 值**列显示了您使用或指定的值,以便在跟踪中包含该类型的数据事件。 Amazon CLI CloudTrail APIs
对于跟踪,您可以使用基本或高级事件选择器来记录通用存储桶、Lambda 函数和 DynamoDB 表中的 Amazon S3 对象的数据事件(显示在表的前三行中)。您只能使用高级事件选择器来记录其余行中显示的资源类型。
### 支持的数据事件 Amazon CloudTrail
****
| Amazon Web Services 服务 | 说明 | 资源类型(控制台) | resources.type 值 |
| --- | --- | --- | --- |
| Amazon RDS | 数据库集群上的 [Amazon RDS API 活动](https://docs.amazonaws.cn/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html#logging-using-cloudtrail-data-api.including-excluding-cloudtrail-events)。 | RDS 数据 API:数据库集群 | AWS::RDS::DBCluster |
| Amazon S3 | 通用存储桶中对象上的 [Amazon S3 对象级 API 活动](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)(例如 `GetObject`、`DeleteObject` 和 `PutObject` API 操作)。 | S3 | AWS::S3::Object |
| Amazon S3 | 接入点上的 [Amazon S3 API 活动](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)。 | S3 接入点 | AWS::S3::AccessPoint |
| Amazon S3 | 目录存储桶中对象上的 [Amazon S3 对象级 API 活动](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)(例如 `GetObject`、`DeleteObject` 和 `PutObject` API 操作)。 | S3 Express | AWS::S3Express::Object |
| Amazon S3 | [Amazon S3 对象 Lambda 接入点 API 活动](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events),例如调用 `CompleteMultipartUpload` 和 `GetObject`。 | S3 对象 Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | 亚马逊 FSx API 在卷上的活动。 | FSx 音量 | AWS::FSx::Volume |
| Amazon S3 表 | 针对[表](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-tables-create.html)的 Amazon S3 API 活动。 | S3 表 | AWS::S3Tables::Table |
| Amazon S3 表 | 针对[表存储桶](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-tables-buckets.html)的 Amazon S3 API 活动。 | S3 表存储桶 | AWS::S3Tables::TableBucket |
| Amazon S3 Vectors | 针对[向量存储桶](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-vectors-buckets.html)的 Amazon S3 API 活动。 | S3 向量存储桶 | AWS::S3Vectors::VectorBucket |
| Amazon S3 Vectors | 针对[向量索引](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-vectors-indexes.html)的 Amazon S3 API 活动。 | S3 向量索引 | AWS::S3Vectors::Index |
| Amazon S3 on Outposts | [Amazon S3 on Outposts](https://docs.amazonaws.cn/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) 对象级别 API 活动。 | S3 Outposts | AWS::S3Outposts::Object |
| Amazon SNS | 针对平台端点的 Amazon SNS [https://docs.amazonaws.cn/sns/latest/api/API_Publish.html](https://docs.amazonaws.cn/sns/latest/api/API_Publish.html) API 操作。 | SNS 平台端点 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 针对主题的 Amazon SNS [https://docs.amazonaws.cn/sns/latest/api/API_Publish.html](https://docs.amazonaws.cn/sns/latest/api/API_Publish.html) 和 [https://docs.amazonaws.cn/sns/latest/api/API_PublishBatch.html](https://docs.amazonaws.cn/sns/latest/api/API_PublishBatch.html) API 操作。 | SNS 主题 | AWS::SNS::Topic |
| Amazon SQS | 消息上的 [Amazon SQS API 活动](https://docs.amazonaws.cn/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-logging-using-cloudtrail.html#sqs-data-events-in-cloud-trail)。 | SQS | AWS::SQS::Queue |
| Amazon Supply Chain | Amazon Supply Chain 实例上的 API 活动。 | 供应链 | AWS::SCN::Instance |
| Amazon SWF | [域](https://docs.amazonaws.cn/amazonswf/latest/developerguide/swf-dev-domains.html)上的 [Amazon SWF API 活动](https://docs.amazonaws.cn/amazonswf/latest/developerguide/ct-logging.html#cloudtrail-data-events)。 | SWF 域 | AWS::SWF::Domain |
| Amazon AppConfig | Amazon AppConfig 用于配置操作的 [API 活动](https://docs.amazonaws.cn/appconfig/latest/userguide/logging-using-cloudtrail.html#appconfig-data-events-cloudtrail),例如对`StartConfigurationSession`和的调用`GetLatestConfiguration`。 | Amazon AppConfig | AWS::AppConfig::Configuration |
| Amazon AppSync | Amazon AppSync Graph@@ [QL 上的 AppSync AP APIs I 活动](https://docs.amazonaws.cn/appsync/latest/devguide/cloudtrail-logging.html#cloudtrail-data-events)。 | AppSync GraphQL | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | 针对集群资源的 Amazon Aurora DSQL API 活动。 | Amazon Aurora DSQL | AWS::DSQL::Cluster |
| Amazon B2B 数据交换 | 用于转换器操作的 B2B 数据交换 API 活动,例如对 `GetTransformerJob` 和 `StartTransformerJob` 的调用。 | B2B 数据交换 | AWS::B2BI::Transformer |
| Amazon Backup | Amazon Backup 搜索数据 API 在搜索作业上的活动。 | Amazon Backup 搜索数据 APIs | AWS::Backup::SearchJob |
| Amazon Bedrock | 代理别名上的 [Amazon Bedrock API 活动](https://docs.amazonaws.cn/bedrock/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | Bedrock 代理别名 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 针对异步调用的 Amazon Bedrock API 活动。 | Bedrock 异步调用 | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | 流别名上的 Amazon Bedrock API 活动。 | Bedrock 流别名 | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | 护栏上的 Amazon Bedrock API 活动。 | Bedrock 护栏 | AWS::Bedrock::Guardrail |
| Amazon Bedrock | 针对内联代理的 Amazon Bedrock API 活动。 | Bedrock 调用内联代理 | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | 知识库上的 [Amazon Bedrock API 活动](https://docs.amazonaws.cn/bedrock/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | Bedrock 知识库 | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | 模型上的 Amazon Bedrock API 活动。 | Bedrock 模型 | AWS::Bedrock::Model |
| Amazon Bedrock | 针对提示的 Amazon Bedrock API 活动。 | Bedrock 提示 | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | 针对会话的 Amazon Bedrock API 活动。 | Bedrock 会议 | AWS::Bedrock::Session |
| Amazon Bedrock | 针对流执行的 Amazon Bedrock API 活动。 | Bedrock 流执行 | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | 针对自动推理策略的 Amazon Bedrock API 活动。 | Bedrock 自动推理策略 | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | 针对自动推理策略版本的 Amazon Bedrock API 活动。 | Bedrock 自动推理策略版本 | AWS::Bedrock::AutomatedReasoningPolicyVersion |
| Amazon Bedrock | Amazon Bedrock 数据自动化项目 API 活动。 | **Bedrock 数据自动化项目** | `AWS::Bedrock::DataAutomationProject` |
| Amazon Bedrock | Bedrock 数据自动化调用 API 活动。 | **Bedrock 数据自动化调用** | `AWS::Bedrock::DataAutomationInvocation` |
| Amazon Bedrock | Amazon Bedrock 数据自动化配置文件 API 活动。 | **Bedrock 数据自动化配置文件** | `AWS::Bedrock::DataAutomationProfile` |
| Amazon Bedrock | Amazon Bedrock 蓝图 API 活动。 | **Bedrock 蓝图** | `AWS::Bedrock::Blueprint` |
| Amazon Bedrock | Amazon Bedrock 代码解释器 API 活动。 | **Bedrock-代码解释器 AgentCore ** | `AWS::BedrockAgentCore::CodeInterpreter` |
| Amazon Bedrock | Amazon Bedrock 浏览器 API 活动。 | **Bedrock-浏览器 AgentCore ** | `AWS::BedrockAgentCore::Browser` |
| Amazon Bedrock | Amazon Bedrock 工作负载身份 API 活动。 | **基石-AgentCore 工作负载身份** | `AWS::BedrockAgentCore::WorkloadIdentity` |
| Amazon Bedrock | Amazon Bedrock 工作负载身份目录 API 活动。 | **Bedrock-AgentCore 工作负载身份目录** | `AWS::BedrockAgentCore::WorkloadIdentityDirectory` |
| Amazon Bedrock | Amazon Bedrock 令牌文件库 API 活动。 | **基岩-AgentCore 代币库** | `AWS::BedrockAgentCore::TokenVault` |
| Amazon Bedrock | 亚马逊 Bedrock APIKey CredentialProvider API 活动。 | **基岩-AgentCore APIKey CredentialProvider** | `AWS::BedrockAgentCore::APIKeyCredentialProvider` |
| Amazon Bedrock | Amazon Bedrock 运行时 API 活动。 | **基岩-运行时间 AgentCore ** | `AWS::BedrockAgentCore::Runtime` |
| Amazon Bedrock | Amazon Bedrock 运行时端点 API 活动。 | **Bedrock-AgentCore 运行时端点** | `AWS::BedrockAgentCore::RuntimeEndpoint` |
| Amazon Bedrock | Amazon Bedrock 网关 API 活动。 | **基岩-网关 AgentCore ** | `AWS::BedrockAgentCore::Gateway` |
| Amazon Bedrock | Amazon Bedrock 内存 API 活动。 | **基岩-记忆 AgentCore ** | `AWS::BedrockAgentCore::Memory` |
| Amazon Bedrock | 亚马逊 Bedrock Oauth2 API 活动 CredentialProvider 。 | **Bedrock-AgentCore Oauth2 CredentialProvider** | `AWS::BedrockAgentCore::OAuth2CredentialProvider` |
| Amazon Bedrock | Amazon Bedrock 浏览器自定义 API 活动。 | **基岩-浏览器-自定义 AgentCore ** | `AWS::BedrockAgentCore::BrowserCustom` |
| Amazon Bedrock | 亚马逊 Bedrock Code-Interpreter-Custom API 活动。 | **基岩-代码解释器-自定义 AgentCore ** | `AWS::BedrockAgentCore::CodeInterpreterCustom` |
| Amazon Bedrock | Amazon Bedrock 工具 API 活动。 | Bedrock 工具 | AWS::Bedrock::Tool |
| Amazon Cloud Map | Amazon Cloud Map [命名空间](https://docs.amazonaws.cn/cloud-map/latest/api/API_Namespace.html)上的 [API 活动](https://docs.amazonaws.cn/cloud-map/latest/dg/cloudtrail-data-events.html)。 | Amazon Cloud Map 命名空间 | AWS::ServiceDiscovery::Namespace |
| Amazon Cloud Map | Amazon Cloud Map [服务](https://docs.amazonaws.cn/cloud-map/latest/api/API_Service.html)上的 [API 活动](https://docs.amazonaws.cn/cloud-map/latest/dg/cloudtrail-data-events.html)。 | Amazon Cloud Map service | AWS::ServiceDiscovery::Service |
| Amazon CloudFront | CloudFront 在 a [https://docs.amazonaws.cn/cloudfront/latest/APIReference/API_KeyValueStore.html](https://docs.amazonaws.cn/cloudfront/latest/APIReference/API_KeyValueStore.html)上的 API 活动 | CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| Amazon CloudTrail | CloudTrail [https://docs.amazonaws.cn/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.amazonaws.cn/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)用于记录外部事件的 L [CloudTrail ake 频道](query-event-data-store-integration.md)上的活动 Amazon。 | CloudTrail 频道 | AWS::CloudTrail::Channel |
| Amazon CloudWatch | [亚马逊 CloudWatch API 在指标方面的活动](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html#CloudWatch-data-plane-events)。 | CloudWatch 指标 | AWS::CloudWatch::Metric |
| Amazon CloudWatch 网络流量监控器 | 监视器上的 Amazon CloudWatch 网络流量监控 API 活动。 | 网络流量监测仪监视器 | AWS::NetworkFlowMonitor::Monitor |
| Amazon CloudWatch 网络流量监控器 | Amazon CloudWatch 网络流量监控 API 在作用域上的活动。 | 网络流量监测仪作用域 | AWS::NetworkFlowMonitor::Scope |
| 亚马逊 CloudWatch RUM | 应用程序监视器上的 Amazon CloudWatch RUM API 活动。 | RUM 应用程序监视器 | AWS::RUM::AppMonitor |
| Amazon P CodeGuru rofiler | CodeGuru Profiler API 在性能分析组上的活动。 | CodeGuru Profiler 分析组 | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | 亚马逊 CodeWhisperer API 在自定义方面的活动。 | CodeWhisperer 定制 | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | 个人资料上 CodeWhisperer 的 Amazon API 活动。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | 针对 Amazon Cognito [身份池](https://docs.amazonaws.cn/cognito/latest/developerguide/amazon-cognito-info-in-cloudtrail.html#identity-pools-cloudtrail-events)的 Amazon Cognito API 活动。 | Cognito 身份池 | AWS::Cognito::IdentityPool |
| Amazon Web Services Data Exchange | Amazon Web Services Data Exchange 资产上的 API 活动。 | **Data Exchange 资产** | `AWS::DataExchange::Asset` |
| Amazon Data Firehose | Amazon Data Firehose 传输流 API 活动。 | **Amazon Data Firehose** | `AWS::KinesisFirehose::DeliveryStream` |
| Amazon Deadline Cloud | 实例集上的 [Deadline Cloud](https://docs.amazonaws.cn/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud 舰队** | `AWS::Deadline::Fleet` |
| Amazon Deadline Cloud | 作业上的 [Deadline Cloud](https://docs.amazonaws.cn/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud 工作** | `AWS::Deadline::Job` |
| Amazon Deadline Cloud | 队列上的 [Deadline Cloud](https://docs.amazonaws.cn/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud queue** | `AWS::Deadline::Queue` |
| Amazon Deadline Cloud | 工作程序上的 [Deadline Cloud](https://docs.amazonaws.cn/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud 工人** | `AWS::Deadline::Worker` |
| Amazon DynamoDB | 表上的 [Amazon DynamoDB 项目级 API 活动](https://docs.amazonaws.cn/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail)(例如,`PutItem`、`DeleteItem` 和 `UpdateItem` API 操作)。 对于启用了流的表,数据事件中的 `resources` 字段同时包含 `AWS::DynamoDB::Stream` 和 `AWS::DynamoDB::Table`。如果您为 `resources.type` 指定 `AWS::DynamoDB::Table`,则原定设置情况下,它将同时记录 DynamoDB 表和 DynamoDB 流事件。要排除[流事件](https://docs.amazonaws.cn/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail),请对 `eventName` 字段添加筛选条件。 | DynamoDB | `AWS::DynamoDB::Table` |
| Amazon DynamoDB | 针对流的 [Amazon DynamoDB](https://docs.amazonaws.cn/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail) API 活动 | DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | [亚马逊 Elastic Block Store (EBS) Direc](https://docs.amazonaws.cn/ebs/latest/userguide/logging-ebs-apis-using-cloudtrail.html) t APIs,例如`PutSnapshotBlock`、`GetSnapshotBlock`和在`ListChangedBlocks`亚马逊 EBS 快照上。 | 亚马逊 EBS direct APIs | AWS::EC2::Snapshot |
| Amazon Elastic Compute Cloud | Amazon EC2 Instance Connect 端点 API 活动。 | **EC2 实例连接终端节点** | `AWS::EC2::InstanceConnectEndpoint` |
| Amazon Elastic Container Service | 对容器实例的 Amazon Elastic Container Service API 活动。 | ECS 容器实例 | AWS::ECS::ContainerInstance |
| Amazon Elastic Kubernetes Service | 对控制面板的 Amazon Elastic Kubernetes Service API 活动。 | Amazon Elastic Kubernetes Service 控制面板 | AWS::EKS::Dashboard |
| Amazon EMR | 预写日志工作区上的 [Amazon EMR API 活动](https://docs.amazonaws.cn/emr/latest/ManagementGuide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | EMR 预写日志工作空间 | AWS::EMRWAL::Workspace |
| Amazon 最终用户消息 SMS | Amazon 关于原始身份@@ [的最终用户消息 SMS](https://docs.amazonaws.cn/sms-voice/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | SMS 语音发起身份 | AWS::SMSVoice::OriginationIdentity |
| Amazon 最终用户消息 SMS | [Amazon 最终用户消息 SMS](https://docs.amazonaws.cn/sms-voice/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 对消息的活动。 | 短信语音消息 | AWS::SMSVoice::Message |
| Amazon 最终用户消息社交 | Amazon 电话号码上的@@ [最终用户消息社交](https://docs.amazonaws.cn/social-messaging/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API活动 IDs。 | 社交消息电话号码 ID | AWS::SocialMessaging::PhoneNumberId |
| Amazon 最终用户消息社交 | Amazon Waba IDs 上的最终用户消息社交 API 活动。 | 社交消息 Waba ID | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | 针对环境的 [Amazon FinSpace](https://docs.amazonaws.cn/finspace/latest/userguide/logging-cloudtrail-events.html#finspace-dataplane-events) API 活动 | FinSpace | AWS::FinSpace::Environment |
| 亚马逊 GameLift 直播 | Amazon GameLift [直播应用程序上的 API 活动](https://docs.amazonaws.cn/gameliftstreams/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | GameLift 直播应用程序 | AWS::GameLiftStreams::Application |
| 亚马逊 GameLift 直播 | Amazon GameLift Streams [直播直播群组上的 API 活动](https://docs.amazonaws.cn/gameliftstreams/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | GameLift 直播群组 | AWS::GameLiftStreams::StreamGroup |
| Amazon Glue | Amazon Glue 在 Lake Formation 创建的表格上的 API 活动。 | Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | [探测器的](https://docs.amazonaws.cn/guardduty/latest/ug/logging-using-cloudtrail.html#guardduty-data-events-in-cloudtrail)亚马逊 GuardDuty API 活动。 | GuardDuty 探测器 | AWS::GuardDuty::Detector |
| Amazon HealthImaging | Amazon HealthImaging 数据存储上的 API 活动。 | MedicalImaging 数据存储 | AWS::MedicalImaging::Datastore |
| Amazon HealthImaging | Amazon HealthImaging 图像集 API 活动。 | **MedicalImaging 图像集** | `AWS::MedicalImaging::Imageset` |
| Amazon IoT | Amazon IoT [证书](https://docs.amazonaws.cn/iot/latest/developerguide/x509-client-certs.html)上@@ [的 API 活动](https://docs.amazonaws.cn/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 | IoT 证书 | AWS::IoT::Certificate |
| Amazon IoT | [Amazon IoT API 在[事物](https://docs.amazonaws.cn/iot/latest/developerguide/thing-registry.html)上的活动](https://docs.amazonaws.cn/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 | IoT 事物 | AWS::IoT::Thing |
| Amazon IoT Greengrass Version 2 | 组件版本上来自 Greengrass 核心设备的 [Greengrass API 活动](https://docs.amazonaws.cn/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 Greengrass 不会记录访问被拒绝事件。 | IoT Greengrass 组件版本 | AWS::GreengrassV2::ComponentVersion |
| Amazon IoT Greengrass Version 2 | 部署上来自 Greengrass 核心设备的 [Greengrass API 活动](https://docs.amazonaws.cn/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 Greengrass 不会记录访问被拒绝事件。 | IoT Greengrass 部署 | AWS::GreengrassV2::Deployment |
| Amazon IoT SiteWise | [资产](https://docs.amazonaws.cn/iot-sitewise/latest/APIReference/API_CreateAsset.html)上的@@ [物联网 SiteWise API 活动](https://docs.amazonaws.cn/iot-sitewise/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | 物联网 SiteWise 资产 | AWS::IoTSiteWise::Asset |
| Amazon IoT SiteWise | [时间序列](https://docs.amazonaws.cn/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html)上的@@ [物联网 SiteWise API 活动](https://docs.amazonaws.cn/iot-sitewise/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | 物联网 SiteWise 时间序列 | AWS::IoTSiteWise::TimeSeries |
| Amazon IoT SiteWise 助手 | 对对话的 Sitewise Assistant API 活动 | Sitewise Assistant 对话 | AWS::SitewiseAssistant::Conversation |
| Amazon IoT TwinMaker | [实体](https://docs.amazonaws.cn/iot-twinmaker/latest/apireference/API_CreateEntity.html)上的物联网 TwinMaker API 活动。 | 物联网 TwinMaker 实体 | AWS::IoTTwinMaker::Entity |
| Amazon IoT TwinMaker | [工作空间](https://docs.amazonaws.cn/iot-twinmaker/latest/apireference/API_CreateWorkspace.html)上 TwinMaker 的 IoT API 活动。 | 物联网 TwinMaker 工作空间 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | 针对[重新评分执行计划](https://docs.amazonaws.cn/kendra/latest/dg/cloudtrail-intelligent-ranking.html#cloud-trail-intelligent-ranking-log-entry)的 Amazon Kendra Intelligent Ranking API 活动。 | Kendra 排名 | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces(Apache Cassandra 兼容) | 表上的 [Amazon Keyspaces API 活动](https://docs.amazonaws.cn/keyspaces/latest/devguide/logging-using-cloudtrail.html#keyspaces-in-cloudtrail-dml)。 | Cassandra 表 | AWS::Cassandra::Table |
| Amazon Keyspaces(Apache Cassandra 兼容) | 对 Cassandra CDC 流的 Amazon Keyspaces(Apache Cassandra 兼容)API 活动。 | Cassandra CDC 流 | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | [流](https://docs.amazonaws.cn/streams/latest/dev/working-with-streams.html)上的 Kinesis Data Streams API 活动。 | Kinesis 流 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | [流使用者的](https://docs.amazonaws.cn/streams/latest/dev/building-consumers.html)上的 Kinesis Data Streams API 活动。 | Kinesis 流使用者 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | 视频流上的 Kinesis Video Streams API 活动,例如调用 GetMedia 和 PutMedia。 | Kinesis 视频流 | AWS::KinesisVideo::Stream |
| Amazon Kinesis Video Streams | Kinesis Video Streams 视频信令通道 API 活动。 | **Kinesis 视频信令通道** | `AWS::KinesisVideo::SignalingChannel` |
| Amazon Lambda | Amazon Lambda 函数执行活动(`Invoke`API)。 | Lambda | AWS::Lambda::Function |
| Amazon Location 映射 | Amazon Location 地图 API 活动。 | 地理地图 | AWS::GeoMaps::Provider |
| Amazon Location 位数 | Amazon Location 地点 API 活动。 | 地理地点 | AWS::GeoPlaces::Provider |
| Amazon Location 路线 | Amazon Location 路线 API 活动。 | 地理路线 | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | 机器学习模型上的机器学习 API 活动。 | 匹配学习 MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 针对网络的 Amazon Managed Blockchain API 活动。 | 托管区块链网络 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | 针对 Ethereum 节点的 [Amazon Managed Blockchain](https://docs.amazonaws.cn/managed-blockchain/latest/ethereum-dev/logging-using-cloudtrail.html#ethereum-jsonrpc-logging) JSON-RPC 调用,如 `eth_getBalance` 或 `eth_getBlockByNumber`。 | 托管区块链 | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain 查询 | Amazon Managed Blockchain 查询 API 活动。 | Managed Blockchain 查询 | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | 对环境的 Amazon MWAA API 活动。 | 托管 Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune 图形 | Neptune Graph 上的数据 API 活动,例如查询、算法或向量搜索。 | Neptune 图形 | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | 上的 Amazon One Enterprise UKey API 活动 | Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | 用户上的 Amazon One Enterprise API 活动。 | Amazon One 用户 | AWS::One::User |
| Amazon Payment Cryptography | Amazon Payment Cryptography 别名上的 API 活动。 | Payment Cryptography 别名 | AWS::PaymentCryptography::Alias |
| Amazon Payment Cryptography | Amazon Payment Cryptography 密钥上的 API 活动。 | Payment Cryptography 密钥 | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | 对移动定位应用程序的 Amazon Pinpoint API 活动。 | 移动定位应用程序 | AWS::Pinpoint::App |
| Amazon 私有 CA | Amazon 私有 CA 活动目录 API 活动的连接器。 | Amazon 私有 CA 活动目录连接器 | AWS::PCAConnectorAD::Connector |
| Amazon 私有 CA | Amazon 私有 CA 用于 SCEP API 活动的连接器。 | Amazon 私有 CA 适用于 SCEP 的连接器 | AWS::PCAConnectorSCEP::Connector |
| Amazon Q 应用程序构建器 | [Amazon Q 应用程序构建器](https://docs.amazonaws.cn/amazonq/latest/qbusiness-ug/purpose-built-qapps.html)上的数据 API 活动。 | Amazon Q 应用程序构建器 | AWS::QApps::QApp |
| Amazon Q 应用程序构建器 | 对 Amazon Q 应用程序构建器会话的数据 API 活动。 | Amazon Q 应用程序构建器会话 | AWS::QApps::QAppSession |
| Amazon Q Business | 应用程序上的 [Amazon Q Business API 活动](https://docs.amazonaws.cn/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 应用程序 | AWS::QBusiness::Application |
| Amazon Q Business | 数据来源上的 [Amazon Q Business API 活动](https://docs.amazonaws.cn/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 数据来源 | AWS::QBusiness::DataSource |
| Amazon Q Business | 索引上的 [Amazon Q Business API 活动](https://docs.amazonaws.cn/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 索引 | AWS::QBusiness::Index |
| Amazon Q Business | Web 体验上的 [Amazon Q Business API 活动](https://docs.amazonaws.cn/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business Web 体验 | AWS::QBusiness::WebExperience |
| Amazon Q Business | Amazon Q Business 集成 API 活动。 | **Amazon Q Business 集成** | `AWS::QBusiness::Integration` |
| Amazon Q 开发者版 | 对集成的 Amazon Q 开发者版 API 活动。 | Q 开发者版集成 | AWS::QDeveloper::Integration |
| Amazon Q 开发者版 | 对操作调查的 [Amazon Q 开发者版 API 活动](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html#Q-Developer-Investigations-Cloudtrail)。 | AIOps 调查组 | AWS::AIOps::InvestigationGroup |
| Amazon 快速 | 操作连接器上的 Amazon Quick API 活动。 | Amazon QuickSuite 操作 | AWS::Quicksight::ActionConnector |
| Amazon 快速 | 亚马逊 Quick Flow API 活动。 | **QuickSight 流动** | `AWS::QuickSight::Flow` |
| Amazon 快速 | 亚马逊 Quick FlowSession API 活动。 | **QuickSight 流程会话** | `AWS::QuickSight::FlowSession` |
| 亚马逊 SageMaker AI | 终端节点上的亚马逊 SageMaker AI [https://docs.amazonaws.cn/sagemaker/latest/APIReference/API_runtime_InvokeEndpointWithResponseStream.html](https://docs.amazonaws.cn/sagemaker/latest/APIReference/API_runtime_InvokeEndpointWithResponseStream.html)活动。 | SageMaker AI 端点 | AWS::SageMaker::Endpoint |
| 亚马逊 SageMaker AI | 特色商店中的亚马逊 SageMaker AI API 活动。 | SageMaker AI feature store | AWS::SageMaker::FeatureGroup |
| 亚马逊 SageMaker AI | Amazon SageMaker AI API 在[实验试验组件](https://docs.amazonaws.cn/sagemaker/latest/dg/experiments-monitoring.html)上的活动。 | SageMaker AI 指标实验试用组件 | AWS::SageMaker::ExperimentTrialComponent |
| 亚马逊 SageMaker AI | 亚马逊 SageMaker AI MLflow API 活动。 | **SageMaker MLflow** | `AWS::SageMaker::MlflowTrackingServer` |
| Amazon Signer | 对签名作业的签署人 API 活动。 | 签署人签名作业 | AWS::Signer::SigningJob |
| Amazon Signer | 对签名配置文件的签署人 API 活动。 | 签署人签名配置文件 | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | 对配置集的 Amazon Simple Email Service(Amazon SES)API 活动。 | SES 配置集 | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | 对电子邮件身份的 Amazon Simple Email Service(Amazon SES)API 活动。 | SES 身份 | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | 对模板的 Amazon Simple Email Service(Amazon SES)API 活动。 | SES 模板 | AWS::SES::Template |
| Amazon SimpleDB | 对域的 Amazon SimpleDB API 活动。 | SimpleDB 域 | AWS::SDB::Domain |
| Amazon Step Functions | 对活动的 [Step Functions API 活动](https://docs.amazonaws.cn/step-functions/latest/dg/procedure-cloud-trail.html#cloudtrail-data-events)。 | Step Function | AWS::StepFunctions::Activity |
| Amazon Step Functions | 对状态机的 [Step Functions API 活动](https://docs.amazonaws.cn/step-functions/latest/dg/procedure-cloud-trail.html#cloudtrail-data-events)。 | Step Functions 状态机 | AWS::StepFunctions::StateMachine |
| Amazon Systems Manager | 控制通道上的 [Systems Manager API 活动](https://docs.amazonaws.cn/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html#cloudtrail-data-events)。 | Systems Manager (系统管理员) | AWS::SSMMessages::ControlChannel |
| Amazon Systems Manager | 对影响评测的 Systems Manager API 活动。 | SSM 影响评测 | AWS::SSM::ExecutionPreview |
| Amazon Systems Manager | 托管节点上的 [Systems Manager API 活动](https://docs.amazonaws.cn/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html#cloudtrail-data-events)。 | Systems Manager 托管式节点 | AWS::SSM::ManagedNode |
| Amazon Timestream | 针对数据库的 Amazon Timestream [https://docs.amazonaws.cn/timestream/latest/developerguide/API_query_Query.html](https://docs.amazonaws.cn/timestream/latest/developerguide/API_query_Query.html) API 活动。 | Timestream 数据库 | AWS::Timestream::Database |
| Amazon Timestream | 对区域性端点的 Amazon Timestream API 活动。 | Timestream 区域性端点 | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | 针对表的 Amazon Timestream [https://docs.amazonaws.cn/timestream/latest/developerguide/API_query_Query.html](https://docs.amazonaws.cn/timestream/latest/developerguide/API_query_Query.html) API 活动。 | Timestream 表 | AWS::Timestream::Table |
| Amazon Verified Permissions | 针对策略存储的 Amazon Verified Permissions API 活动。 | Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces 瘦客户机 | WorkSpaces 设备上的瘦客户端 API 活动。 | 瘦客户端设备 | AWS::ThinClient::Device |
| Amazon WorkSpaces 瘦客户机 | WorkSpaces 环境中的瘦客户端 API 活动。 | 瘦客户端环境 | AWS::ThinClient::Environment |
| Amazon X-Ray | [跟踪](https://docs.amazonaws.cn/xray/latest/devguide/xray-concepts.html#xray-concepts-traces)的 [X-Ray API 活动](https://docs.amazonaws.cn/xray/latest/devguide/xray-api-cloudtrail.html#cloudtrail-data-events)。 | X-Ray 跟踪 | AWS::XRay::Trace |
| Amazon AIDev Ops | AIDev代理空间上的 Ops API 活动。 | 特工空间 | AWS::AIDevOps::AgentSpace |
| Amazon AIDev Ops | AIDevOps API 关于关联的活动。 | AIDev行动协会 | AWS::AIDevOps::Association |
| Amazon AIDev Ops | AIDev运营商应用团队的 Ops API 活动。 | AIDevOps 操作员应用程序团队 | AWS::AIDevOps::OperatorAppTeam |
| Amazon AIDev Ops | AIDev管道元数据上的 Ops API 活动。 | AIDev运营管道元数据 | AWS::AIDevOps::PipelineMetadata |
| Amazon AIDev Ops | AIDevOps API 在服务上的活动。 | AIDevOps 服务 | AWS::AIDevOps::Service |
| Amazon Bedrock | 高级优化提示作业上的 Bedrock API 活动。 | AdvancedOptimizePromptJob | AWS::Bedrock::AdvancedOptimizePromptJob |
| Amazon Bedrock AgentCore | 评估者身上 AgentCore 的 Bedrock API 活动。 | Bedrock-评估者 AgentCore | AWS::BedrockAgentCore::Evaluator |
| 亚马逊成本优化 | CloudOptimization 个人资料上的 API 活动。 | CloudOptimization 配置文件 | AWS::CloudOptimization::Profile |
| 亚马逊成本优化 | CloudOptimization 针对推荐的 API 活动。 | CloudOptimization 建议 | AWS::CloudOptimization::Recommendation |
| Amazon GuardDuty | GuardDuty 恶意软件扫描时的 API 活动。 | GuardDuty 恶意软件扫描 | AWS::GuardDuty::MalwareScan |
| Amazon NovaAct | 亚马逊 NovaAct API 在工作流程定义方面的活动。 | 工作流程定义 | AWS::NovaAct::WorkflowDefinition |
| Amazon NovaAct | 工作流程运行时亚马逊 NovaAct API 活动。 | 工作流程运行 | AWS::NovaAct::WorkflowRun |
| Amazon Redshift | 集群上的 Redshift API 活动。 | 亚马逊 Redshift 集群 | AWS::Redshift::Cluster |
| Amazon Support | SupportAccess 针对租户的 API 活动。 | SupportAccess 租户 | AWS::SupportAccess::Tenant |
| Amazon Support | SupportAccess 信任账户上的 API 活动。 | SupportAccess 信任账户 | AWS::SupportAccess::TrustingAccount |
| Amazon Support | SupportAccess 信任角色上的 API 活动。 | SupportAccess 信任角色 | AWS::SupportAccess::TrustingRole |
| Amazon 转型 | 转换代理实例上的 API 活动。 | 转换代理实例 | AWS::Transform::AgentInstance |
| Amazon 自定义转换 | 转换广告活动中的自定义 API 活动。 | 变身定制战役 | AWS::TransformCustom::Campaign |
| Amazon 自定义转换 | 转换对话中的自定义 API 活动。 | 转换-自定义对话 | AWS::TransformCustom::Conversation |
| Amazon 自定义转换 | 转换知识项上的自定义 API 活动。 | 变换-自定义知识项目 | AWS::TransformCustom::KnowledgeItem |
| Amazon 自定义转换 | 转换包上的自定义 API 活动。 | 变换-自定义软件包 | AWS::TransformCustom::Package |
要记录 CloudTrail 数据事件,必须明确添加要为其收集活动的每种资源类型。有关更多信息,请参阅[使用 CloudTrail 控制台创建跟踪](cloudtrail-create-a-trail-using-the-console-first-time.md)和[使用控制台为事件创建 CloudTrail 事件数据存储](query-event-data-store-cloudtrail.md)。
在单区域跟踪或事件数据存储上,您只能为可在该区域中访问的资源记录数据事件。尽管 S3 存储桶是全球性的,但 Amazon Lambda 函数和 DynamoDB 表是区域性的。
记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
### 示例:记录 Amazon S3 对象的数据事件
**记录一个 S3 存储桶中的所有 S3 对象的数据事件**
下面的示例演示在为一个名为 `amzn-s3-demo-bucket` 的 S3 桶中的所有数据事件配置日志记录时日志记录是如何工作的。在此示例中, CloudTrail 用户指定了一个空前缀,并指定了记录**读取**和**写入**数据事件的选项。
1. 用户将对象上传到 `amzn-s3-demo-bucket`。
1. `PutObject` API 操作是 Amazon S3 对象级别的 API。它在中被记录为数据事件 CloudTrail。由于 CloudTrail 用户指定的 S3 存储桶前缀为空,因此会记录在该存储桶中任何对象上发生的事件。跟踪或事件数据存储将处理和记录事件。
1. 另一个用户将对象上传到 `amzn-s3-demo-bucket2`。
1. `PutObject` API 操作发生在不是为跟踪或事件数据存储指定的 S3 存储桶中的某个对象上。跟踪或事件数据存储不会记录事件。
**记录特定 S3 对象的数据事件**
下面的示例演示在为特定 S3 对象配置跟踪或事件数据存储以记录事件时日志记录的工作方式。在此示例中, CloudTrail 用户指定了一个名为的 S3 存储桶`amzn-s3-demo-bucket3`,该存储桶带有前缀*my-images*和仅记录**写入**数据事件的选项。
1. 一个用户在存储桶中检测到一个以 `my-images` 前缀开头的对象,例如 `arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg`。
1. `DeleteObject` API 操作是 Amazon S3 对象级别的 API。它在中被记录为**写入**数据事件 CloudTrail。事件发生在与跟踪或事件数据存储中指定的 S3 存储桶和前缀匹配的对象上。跟踪或事件数据存储将处理和记录事件。
1. 另一个用户删除了 S3 存储桶中一个带不同前缀的对象,例如 `arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi`。
1. 事件发生在与跟踪或事件数据存储中指定的前缀不匹配的对象上。跟踪或事件数据存储不会记录事件。
1. 一个用户对对象 `arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg` 调用 `GetObject` API 操作。
1. 虽然事件发生在跟踪或事件数据存储中指定的存储桶和前缀上,但 `GetObject` 是读取类型的 Amazon S3 对象级别 API。它被记录为**读取**数据事件 CloudTrail,并且跟踪或事件数据存储未配置为记录**读取**事件。跟踪或事件数据存储不会记录事件。
**注意**
对于跟踪,如果记录特定 Amazon S3 存储桶的数据事件,建议不要使用将记录其数据事件的 Amazon S3 存储桶来接收在数据事件部分为跟踪指定的日志文件。使用相同的 Amazon S3 存储桶会导致您的跟踪在日志文件每次传输到 Amazon S3 存储桶时都记录数据事件。日志文件是按时间间隔传输的聚合事件,因此,事件与日志文件的比率不是 1:1;事件将记录到下一个日志文件中。例如,当 CloudTrail 传送日志时,`PutObject`事件会发生在 S3 存储桶上。如果还在数据事件部分中指定了 S3 存储桶,跟踪将处理 `PutObject` 事件并将其记录为数据事件。该操作是另一个 `PutObject` 事件,并且跟踪将重新处理和记录此事件。
如果您配置跟踪以记录 Amazon 账户中的所有 Amazon S3 数据事件,则要避免记录接收日志文件的 Amazon S3 存储桶的数据事件,请考虑配置将日志文件传输到属于其他 Amazon 账户的 Amazon S3 存储桶。有关更多信息,请参阅 [接收来自多个账户的 CloudTrail 日志文件为其他账户调 IDs 用的数据事件编辑存储桶所有者账户](cloudtrail-receive-logs-from-multiple-accounts.md)。
### 记录其他 Amazon 账户中 S3 对象的数据事件
将跟踪配置为记录数据事件时,还可以指定属于其他 Amazon 账户的 S3 对象。当事件在指定对象上发生时, CloudTrail 将评估事件是否与每个账户中的任何跟踪匹配。如果事件与某个跟踪设置匹配,则跟踪将处理并记录该账户的事件。通常,API 调用者和资源所有者都可以接收事件。
如果您拥有一个 S3 对象并且在跟踪中指定此对象,则您的跟踪将记录在您的账户中的对象上发生的事件。由于您拥有该对象,因此您的跟踪还将在其他账户调用该对象时记录事件。
如果您在跟踪中指定一个 S3 对象,并且其他账户拥有此对象,则您的跟踪仅记录在您的账户中的此对象上发生的事件。您的跟踪不会记录其他账户中发生的事件。
**示例:记录两个 Amazon 账户的 Amazon S3 对象的数据事件**
以下示例显示了两个 Amazon 账户如何配置 CloudTrail 以记录同一 S3 对象的事件。
1. 在您的账户中,您希望您的跟踪记录名为 `amzn-s3-demo-bucket` 的 S3 存储桶中所有对象的数据事件。通过指定带空对象前缀的 S3 存储桶来配置跟踪。
1. Bob 拥有一个单独的账户,该账户已获得对 S3 存储桶的访问权限。Bob 还希望记录同一 S3 存储桶中所有对象的数据事件。对于其跟踪,他配置了跟踪并指定带空对象前缀的同一 S3 存储桶。
1. Bob 使用 `PutObject` API 操作将对象上传到 S3 存储桶。
1. 此事件在他的账户中发生,并且与他的跟踪设置匹配。Bob 的跟踪将处理和记录该事件。
1. 由于您拥有 S3 存储桶并且事件与您的跟踪设置匹配,因此您的跟踪也将处理和记录同一事件。由于该事件现在有两个副本(一个记录在 Bob 的跟踪中,一个记录在您的跟踪中),因此需要为数据事件的两个副本 CloudTrail 收费。
1. 您将一个对象上传到 S3 存储桶。
1. 此事件在您的账户中发生并且与您的跟踪设置匹配。您的跟踪将处理和记录此事件。
1. 由于该事件未发生在 Bob 的账户中,而且他不拥有 S3 存储桶,因此 Bob 的跟踪不会记录该事件。 CloudTrail 仅对此数据事件的一份副本收费。
**示例:记录所有存储桶的数据事件,包括两个 Amazon 账户使用的 S3 存储桶**
以下示例显示了为在账户中收集数据事件的跟踪启用 **“选择账户中的所有 S3 存储桶”** 时的日志行为。 Amazon
1. 在您的账户中,您希望您的跟踪记录所有 S3 存储桶的数据事件。在 **Data events**(数据事件)中的 **All current and future S3 buckets**(所有当前和未来 S3 存储桶)下,您可以通过选择 **Read**(读取)事件、**Write**(写入)事件或同时选择两者,来配置跟踪。
1. Bob 拥有一个单独的账户,该账户已被授予对您账户中 S3 存储桶的访问权限。他想记录他有权访问的存储桶的数据事件。他配置他的跟踪以获取所有 S3 存储桶的数据事件。
1. Bob 使用 `PutObject` API 操作将对象上传到 S3 存储桶。
1. 此事件在他的账户中发生,并且与他的跟踪设置匹配。Bob 的跟踪将处理和记录该事件。
1. 由于您拥有 S3 存储桶并且事件与您跟踪的设置匹配,因此您的跟踪也将处理和记录此事件。由于该事件现在有两个副本(一个记录在 Bob 的跟踪中,一个记录在你的跟踪中),所以每个账户都要向每个账户 CloudTrail 收取一份数据事件的副本。
1. 您将一个对象上传到 S3 存储桶。
1. 此事件在您的账户中发生并且与您的跟踪设置匹配。您的跟踪将处理和记录此事件。
1. 由于该事件未发生在 Bob 的账户中,而且他不拥有 S3 存储桶,因此 Bob 的跟踪不会记录该事件。 CloudTrail 仅对您账户中此数据事件的一份副本收费。
1. 第三个用户 Mary 可以访问 S3 存储桶,并在存储桶上运行 `GetObject` 操作。她有一个跟踪配置为记录其账户中所有 S3 存储桶上的数据事件。因为她是 API 调用者,所以在她的跟踪中 CloudTrail 记录了一个数据事件。虽然 Bob 有权访问该存储桶,但他不是资源所有者,因此这次未在他的跟踪中记录任何事件。作为资源所有者,您会在跟踪中收到一个关于 Mary 调用的 `GetObject` 操作的事件。 CloudTrail 针对数据事件的每个副本对您的账户和 Mary 的账户收取费用:一个在 Mary 的跟踪中,一个在您的跟踪中。
## 只读和只写事件
在配置跟踪或事件数据存储以记录数据事件和管理事件时,可以指定是需要只读事件、只写事件还是两者都需要。
+ **读取**
**Read**(读取)事件包括将读取您的资源但不进行更改的 API 操作。例如,只读事件包括 Amazon EC2 `DescribeSecurityGroups` 和 `DescribeSubnets` API 操作。这些操作仅返回有关 Amazon EC2 资源的信息,但不更改您的配置。
+ **写入**
**Write**(写入)事件包括将修改(或可能修改)您的资源的 API 操作。例如,Amazon EC2 `RunInstances` 和 `TerminateInstances` API 操作将修改您的实例。
**示例:为单独的跟踪记录记录读取事件和写入事件**
以下示例说明如何将跟踪记录配置为将账户的日志活动拆分到单独的 S3 存储桶中:一个名为 amzn-s3-demo-bucket1 的存储桶接收只读事件,另一个 amzn-s3-demo-bucket2 存储桶接收只写事件。
1. 您创建一个跟踪并选择一个名为 `amzn-s3-demo-bucket1` 的 S3 存储桶来接收日志文件。然后,您更新跟踪以指定您需要 **Read**(读取)管理事件和数据事件。
1. 您创建另一个跟踪并选择 S3 存储桶 `amzn-s3-demo-bucket2 ` 来接收日志文件。然后,您更新跟踪以指定您需要 **Write**(写入)管理事件和数据事件。
1. Amazon EC2 `DescribeInstances` 和 `TerminateInstances` API 操作将在您的账户中执行。
1. `DescribeInstances` API 操作是只读事件,它匹配第一个跟踪的设置。跟踪将记录事件并将事件传送到 `amzn-s3-demo-bucket1`。
1. `TerminateInstances` API 操作是只写事件,它匹配第二个跟踪的设置。跟踪将记录事件并将事件传送到 `amzn-s3-demo-bucket2 `。
## 使用记录数据事件 Amazon Web Services 管理控制台
以下程序介绍如何通过使用 Amazon Web Services 管理控制台更新现有的事件数据存储或跟踪以记录数据事件。有关如何创建事件数据存储以记录数据事件的信息,请参阅[使用控制台为事件创建 CloudTrail 事件数据存储](query-event-data-store-cloudtrail.md)。有关如何创建跟踪以记录数据事件的信息,请参阅[使用控制台创建跟踪](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console)。
对于跟踪,根据您使用的是高级事件选择器还是基本事件选择器,记录数据事件的步骤会有所不同。您可以使用高级事件选择器记录所有资源类型的数据事件,但如果使用基本事件选择器,则只能记录 Amazon S3 存储桶和存储桶对象、 Amazon Lambda 函数以及 Amazon DynamoDB 表的数据事件。
### 更新现有的事件数据存储以使用控制台记录数据事件
按照以下程序更新现有的事件数据存储以记录数据事件。有关使用高级事件选择器的更多信息,请参阅本主题中的[使用高级事件选择器筛选数据事件](filtering-data-events.md)。
1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。
1. 在导航窗格中,在 **Lake** 下,选择**事件数据存储**。
1. 在**事件数据存储**页面上,选择要更新的事件数据存储。
**注意**
您只能在包含事件的事件数据存储上启用数据 CloudTrail 事件。您无法在 Amazon Config 配置项目、 CloudTrail Insights CloudTrail 事件或非事件的事件数据存储上启用数据Amazon 事件。
1. 在详细信息页面上的**数据事件**中,选择**编辑**。
1. 如果您尚未记录数据事件,请选择 **Data events**(数据事件)复选框。
1. 对于**资源类型**,选择要在其上记录数据事件的资源类型。
1. 选择日志选择器模板。您可以选择预定义的模板,也可以选择**自定义**来定义您自己的事件收集条件。
您可以从以下预定义模板中进行选择:
+ **记录所有事件**:选择此模板以记录所有事件。
+ **仅记录读取事件**:选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。
+ **仅记录写入事件**:选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **仅记录 Amazon Web Services 管理控制台 事件**-选择此模板仅记录源自的事件 Amazon Web Services 管理控制台。
+ **排除 Amazon Web Services 服务 已启动的事件**-选择此模板可排除 Amazon Web Services 服务 具有`eventType`关联角色的事件和使用 Amazon Web Services 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`
1. (可选)在**选择器名称**中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如“仅记录两个 S3 桶的数据事件”。选择器名称在高级事件选择器中列为 `Name`,展开 **JSON 视图**即可查看该名称。
1. 如果您选择了**自定义**,则在**高级事件选择器**中,将基于高级事件选择器字段的值生成表达式。
**注意**
选择器不支持使用通配符,例如 `*`。要将多个值与单个条件匹配,可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。
1. 从下面的字段中选择。
+ **`readOnly`**:`readOnly` 可以设置为**等于**值 `true` 或 `false`。只读数据事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。要记录 `read` 和 `write` 两种事件,请不要添加 `readOnly` 选择器。
+ **`eventName`**:`eventName` 可以使用任何运算符。您可以使用它来包含或排除记录到的任何数据事件 CloudTrail,例如`PutBucket``GetItem`、或`GetSnapshotBlock`。
+ **`eventSource`**:要包括或排除的事件类型。此字段可以使用任意运算符。
+ **eventType**:要包括或排除的事件类型。例如,可以将此字段设置为**不等于** `AwsServiceEvent`,以排除 [Amazon Web Services 服务 事件](non-api-aws-service-events.md)。有关事件类型的列表,请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)。
+ **sessionCredentialFrom控制台**-包括或排除源自 Amazon Web Services 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
+ **userIdentity.arn**:包含或排除特定 IAM 身份所采取操作的事件。有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`resources.ARN`**:您可以将任何运算符与 `resources.ARN` 配合使用,但如果您使用**等于**或**不等于**,则该值必须与您在模板中指定为 `resources.type` 的值的有效资源类型的 ARN 完全匹配。
**注意**
您不能使用该`resources.ARN`字段筛选没有的资源类型 ARNs。
有关数据事件资源的 ARN 格式的更多信息,请参阅《服务授权参考》**中的 [Amazon Web Services 服务的操作、资源和条件键](https://docs.amazonaws.cn/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。例如,要从记录到事件数据存储的数据事件中排除两个 S3 存储桶的数据事件,可以将字段设置为 **resources.ARN**,设置**不始于**运算符,然后粘贴您不想为其记录事件的 S3 存储桶 ARN。
要添加第二个 S3 存储桶,请选择 **\$1 条件**,然后重复上述说明,在 ARN 中粘贴或浏览到不同的存储桶。
有关如何 CloudTrail 评估多个条件的信息,请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
对于事件数据存储上的所有选择器,最多可以有 500 个值。这包括选择器的多个值的数组,例如 `eventName`。如果所有选择器均为单个值,则最多可以向选择器添加 500 个条件。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。例如,不要在一个选择器中将 ARN 指定为等于某个值,然后在另一个选择器中指定 ARN 不等于相同的值。
1. 要添加需要记录数据事件的其他资源类型,请选择**添加数据事件类型**。重复步骤 6 至此步骤,为其他资源类型配置高级事件选择器。
1. 查看并验证选择后,选择**保存更改**。
### 更新现有跟踪以使用控制台通过高级事件选择器记录数据事件
在中 Amazon Web Services 管理控制台,如果您的跟踪使用高级事件选择器,则可以从记录所选资源上的所有数据事件的预定义模板中进行选择。选择了日志选择器模板后,您可以自定义模板,以仅包含最希望查看的数据事件。有关使用高级事件选择器的更多信息,请参阅本主题中的[使用高级事件选择器筛选数据事件](filtering-data-events.md)。
1. **在控制台的 “ CloudTrail 控制**面板**” 或 “跟踪” 页面上,选择要更新的跟踪。**
1. 在详细信息页面上的**数据事件**中,选择**编辑**。
1. 如果您尚未记录数据事件,请选择 **Data events**(数据事件)复选框。
1. 对于**资源类型**,选择要在其上记录数据事件的资源类型。
1. 选择日志选择器模板。您可以选择预定义的模板,也可以选择**自定义**来定义您自己的事件收集条件。
您可以从以下预定义模板中进行选择:
+ **记录所有事件**:选择此模板以记录所有事件。
+ **仅记录读取事件**:选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。
+ **仅记录写入事件**:选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **仅记录 Amazon Web Services 管理控制台 事件**-选择此模板仅记录源自的事件 Amazon Web Services 管理控制台。
+ **排除 Amazon Web Services 服务 已启动的事件**-选择此模板可排除 Amazon Web Services 服务 具有`eventType`关联角色的事件和使用 Amazon Web Services 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`
**注意**
为 S3 存储桶选择预定义的模板可以记录当前您 Amazon 账户中的所有存储分段以及您在创建完跟踪后创建的任何存储分段的数据事件。它还允许记录您 Amazon 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于其他 Amazon 账户的存储桶上执行的。
如果跟踪仅应用于一个区域,则选择记录所有 S3 存储桶的预定义模板可为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。它不会在您的 Amazon 账户中记录其他区域的 Amazon S3 存储桶的数据事件。
如果您要为所有区域创建跟踪,则选择 Lambda 函数的预定义模板可以记录当前 Amazon 账户中的所有函数,以及您在完成跟踪创建后可能在任何区域创建的任何 Lambda 函数的数据事件。如果您要为单个区域创建跟踪(对于跟踪,只能使用来完成此操作 Amazon CLI),则此选择将启用您 Amazon 账户中当前位于该区域的所有函数以及您在完成跟踪创建后可能在该区域创建的任何 Lambda 函数的数据事件记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。
记录所有功能的数据事件还可以记录 Amazon 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于另一个 Amazon 账户的函数上执行的。
1. (可选)在**选择器名称**中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如“仅记录两个 S3 桶的数据事件”。选择器名称在高级事件选择器中列为 `Name`,展开 **JSON 视图**即可查看该名称。
1. 如果您选择了**自定义**,则在**高级事件选择器**中,将基于高级事件选择器字段的值生成表达式。
**注意**
选择器不支持使用通配符,例如 `*`。要将多个值与单个条件匹配,可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。
1. 从下面的字段中选择。
+ **`readOnly`**:`readOnly` 可以设置为**等于**值 `true` 或 `false`。只读数据事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。要记录 `read` 和 `write` 两种事件,请不要添加 `readOnly` 选择器。
+ **`eventName`**:`eventName` 可以使用任何运算符。您可以使用它来包含或排除记录到的任何数据事件 CloudTrail,例如`PutBucket``GetItem`、或`GetSnapshotBlock`。
+ **`eventSource`**:要包括或排除的事件类型。此字段可以使用任意运算符。
+ **eventType**:要包括或排除的事件类型。例如,可以将此字段设置为**不等于** `AwsServiceEvent`,以排除 [Amazon Web Services 服务 事件](non-api-aws-service-events.md)。有关事件类型的列表,请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)。
+ **sessionCredentialFrom控制台**-包括或排除源自 Amazon Web Services 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
+ **userIdentity.arn**:包含或排除特定 IAM 身份所采取操作的事件。有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`resources.ARN`**:您可以将任何运算符与 `resources.ARN` 配合使用,但如果您使用**等于**或**不等于**,则该值必须与您在模板中指定为 `resources.type` 的值的有效资源类型的 ARN 完全匹配。
**注意**
您不能使用该`resources.ARN`字段筛选没有的资源类型 ARNs。
有关数据事件资源的 ARN 格式的更多信息,请参阅《服务授权参考》**中的 [Amazon Web Services 服务的操作、资源和条件键](https://docs.amazonaws.cn/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。例如,要从记录到事件数据存储的数据事件中排除两个 S3 存储桶的数据事件,可以将字段设置为 **resources.ARN**,设置**不始于**运算符,然后粘贴您不想为其记录事件的 S3 存储桶 ARN。
要添加第二个 S3 存储桶,请选择 **\$1 条件**,然后重复上述说明,在 ARN 中粘贴或浏览到不同的存储桶。
有关如何 CloudTrail 评估多个条件的信息,请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
对于事件数据存储上的所有选择器,最多可以有 500 个值。这包括选择器的多个值的数组,例如 `eventName`。如果所有选择器均为单个值,则最多可以向选择器添加 500 个条件。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。例如,不要在一个选择器中将 ARN 指定为等于某个值,然后在另一个选择器中指定 ARN 不等于相同的值。
1. 要添加需要记录数据事件的其他资源类型,请选择**添加数据事件类型**。重复步骤 4 至此步骤,为资源类型配置高级事件选择器。
1. 查看并验证选择后,选择**保存更改**。
### 更新现有跟踪以使用基本事件选择器通过控制台记录数据事件
按照以下程序,使用基本事件选择器更新现有跟踪以记录数据事件。
1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。
1. 打开 CloudTrail 控制台的 T **ra** ils 页面并选择跟踪名称。
**注意**
虽然您可以编辑现有跟踪以记录数据事件,但作为最佳实践,请考虑专门创建单独的跟踪以记录数据事件。
1. 对于 **Data event**(数据事件),选择 **Edit**(编辑)。
1. 对于 Amazon S3 存储桶:
1. 对于 **Data event source**(数据事件源),选择 **S3**。
1. 您可以选择记录 **All current and future S3 buckets**(所有当前和未来 S3 存储桶),也可以指定单个存储桶或函数。默认情况下,记录所有当前和未来 S3 存储桶的数据事件。
**注意**
保留默认 “**All current and future S3 存储桶” 选项将**允许您 Amazon 账户中当前的所有存储分段以及您在完成跟踪创建后创建的任何存储分段的数据事件记录。它还允许记录您 Amazon 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于其他 Amazon 账户的存储桶上执行的。
如果您要为单个区域创建跟踪(使用完成 Amazon CLI),则选择 **“选择账户中的所有 S3 存储桶” 选项可为与您的**跟踪位于同一区域的所有存储桶以及您稍后在该区域创建的任何存储桶启用数据事件日志记录。它不会在您的 Amazon 账户中记录其他区域的 Amazon S3 存储桶的数据事件。
1. 如果保留默认值 **All current and future S3 buckets**(所有当前和未来 S3 存储桶),则选择记录 **Read**(读取)事件、**Write**(写入)事件,还是记录两者。
1. 要选择单个存储桶,请清空 **All current and future S3 buckets**(所有当前和未来 S3 存储桶)的 **Read**(读取)和**Write**(写入)复选框。在 **Individual bucket selection**(单个存储桶选择)中,浏览要在其上记录数据事件的存储桶。要查找特定存储桶,键入所需存储桶的存储桶前缀。您可以在此窗口中选择多个存储桶。选择**添加存储桶**,记录更多存储桶的数据事件。选择记录 **Read**(读取)事件(如 `GetObject`)、**Write**(写入)事件(如 `PutObject`)或同时记录两种事件。
此设置优先于为各个存储桶配置的个别设置。例如,如果指定记录所有 S3 存储桶的 **Read** 事件,然后选择为数据事件日志记录添加一个特定存储桶,则所添加存储桶的 **Read** 已经是选中状态。您无法清除此选择。只能配置 **Write** 选项。
要从日志记录中删除存储桶,请选择 **X**。
1. 要添加需要记录数据事件的其他资源类型,请选择**添加数据事件类型**。
1. 对于 Lambda 函数:
1. 对于**数据事件源**,选择 **Lambda**。
1. 在 **Lambda 函数**中,选择**所有区域**记录所有 Lambda 函数,或选择**将函数作为 ARN 输入**以记录特定函数上的数据事件。
要记录 Amazon 账户中的所有 Lambda 函数的数据事件,请选择**记录所有当前和未来函数**。此设置优先于为各个函数配置的个别设置。将记录所有函数,即便这些函数未显示。
**注意**
如果为所有区域创建了一个跟踪,则此选择将为您的 Amazon 账户中当前包含的所有函数以及您在创建跟踪后可能在任何区域中创建的任何 Lambda 函数启用数据事件日志记录。如果您要为单个区域创建跟踪(使用完成 Amazon CLI),则此选择将启用您 Amazon 账户中该区域中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在该区域创建的任何 Lambda 函数的数据事件记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。
记录所有功能的数据事件还可以记录 Amazon 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于另一个 Amazon 账户的函数上执行的。
1. 如果选择**将函数作为 ARN 输入**,则输入 Lambda 函数的 ARN。
**注意**
如果您的账户中有超过 15,000 个 Lambda 函数,则在创建跟踪时无法在 CloudTrail控制台中查看或选择所有函数。您仍可以选择该选项来记录所有函数,即使未显示这些函数也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数(如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建,然后使用 Amazon CLI 和**put-event-selectors**命令为特定 Lambda 函数配置数据事件记录。有关更多信息,请参阅 [使用管理跟踪 Amazon CLI](cloudtrail-additional-cli-commands.md)。
1. 要添加需要记录数据事件的其他资源类型,请选择**添加数据事件类型**。
1. 对于 DynamoDB 表:
1. 对于 **Data event source**(数据事件源),选择 **DynamoDB**。
1. 在 **DynamoDB table selection**(DynamoDB 表选择)中,选择 **Browse**(浏览)以选择一个表,或粘贴到您有权访问的 DynamoDB 表的 ARN 中。DynamoDB 表 ARN 使用以下格式:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
要添加另一个表,请选择 **Add row**(添加行),然后浏览到某个表或粘贴到您有权访问的表的 ARN 中。
1. 选择**保存更改**。
## 使用记录数据事件 Amazon Command Line Interface
您可以使用 Amazon CLI配置跟踪以记录数据事件。
### 使用记录跟踪的数据事件 Amazon CLI
您可以使用 Amazon CLI配置您的跟踪记录以记录管理事件和数据事件。
**注意**
请注意,如果您的账户正在记录管理事件的多个副本,将会产生费用。记录数据事件始终需要收取费用。有关更多信息,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
您可以使用高级事件选择器或基本事件选择器,但不能同时使用两者。如果将高级事件选择器应用于跟踪,则所有现有的基本事件选择器都将被覆盖。
如果您的跟踪使用基本的事件选择器,则您只能记录以下资源类型:
`AWS::DynamoDB::Table`
`AWS::Lambda::Function`
`AWS::S3::Object`
要记录其他资源类型,您需要使用高级事件选择器。要将跟踪转换为高级事件选择器,请运行 **get-event-selectors** 命令以确认当前事件选择器,然后将高级事件选择器配置为与以前的事件选择器的覆盖范围相匹配,然后为要记录数据事件的任何资源类型添加选择器。
您可以使用高级事件选择器根据[支持的高级事件选择器字段](filtering-data-events.md)支持的高级事件选择器字段的值来进行筛选,从而使您能够仅记录感兴趣的数据事件。有关配置这些字段的更多信息,请参阅《Amazon CloudTrail API 参考》**中的 [https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) 和本指南中的 [使用高级事件选择器筛选数据事件](filtering-data-events.md)。
要查看您的跟踪是否正在记录管理事件和数据事件,请运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html) 命令。
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
该命令将返回跟踪的事件选择器。
**Topics**
+ [使用高级事件选择器记录跟踪的数据事件](#creating-data-event-selectors-advanced)
+ [使用高级事件选择器记录 Amazon S3 存储桶的所有 Amazon S3 事件](#creating-data-adv-event-selectors-CLI-s3)
+ [使用高级 Amazon Outposts 事件选择器在 Amazon S3 上记录事件](#creating-data-event-selectors-CLI-outposts)
+ [使用基本事件选择器记录事件](#creating-data-event-selectors-basic)
#### 使用高级事件选择器记录跟踪的数据事件
**注意**
如果将高级事件选择器应用于跟踪,则所有现有的基本事件选择器都将被覆盖。在配置高级事件选择器之前,请运行 **get-event-selectors** 命令以确认当前事件选择器,然后将高级事件选择器配置为与以前的事件选择器的覆盖范围相匹配,然后为要记录的任何其他数据事件添加选择器。
以下示例为名为的跟踪创建自定义高级事件选择器,*TrailName*以包括读取和写入管理事件(省略`readOnly`选择器),`PutObject`以及除名为的存储桶`amzn-s3-demo-bucket`和名为的函数`DeleteObject`的数据事件之外的所有 Amazon S3 存储桶/前缀组合的数据事件。 Amazon Lambda `MyLambdaFunction`由于这些都是自定义高级事件选择器,因此每组选择器都有一个描述性名称。请注意,尾随斜杠是 S3 存储桶的 ARN 值的一部分。
```
aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
{ "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
{ "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
]
}
]'
```
以下示例返回为跟踪配置的高级事件选择器。
```
{
"AdvancedEventSelectors": [
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
}
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::S3::Object" ]
},
{
"Field": "resources.ARN",
"NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
},
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::Lambda::Function" ]
},
{
"Field": "eventName",
"Equals": [ "Invoke" ]
},
{
"Field": "resources.ARN",
"Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
#### 使用高级事件选择器记录 Amazon S3 存储桶的所有 Amazon S3 事件
**注意**
如果将高级事件选择器应用于跟踪,则所有现有的基本事件选择器都将被覆盖。
以下示例说明如何配置您的跟踪以包含特定 S3 存储桶中的所有 Amazon S3 对象的所有数据事件。S3 事件在 `resources.type` 字段中的值为 `AWS::S3::Object`。由于 S3 对象和 S3 存储桶的 ARN 值略有不同,因此必须为 `resources.ARN` 添加 `StartsWith` 运算符以捕获所有事件。
```
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
{
"Name": "S3EventSelector",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "S3EventSelector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:partition:s3:::amzn-s3-demo-bucket/"
]
}
]
}
]
}
```
#### 使用高级 Amazon Outposts 事件选择器在 Amazon S3 上记录事件
**注意**
如果将高级事件选择器应用于跟踪,则所有现有的基本事件选择器都将被覆盖。
以下示例说明如何配置您的跟踪以包含您的 Outpost 中所有 Amazon S3 on Outposts 对象的所有数据事件。
```
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3Outposts::Object"
]
}
]
}
]
}
```
#### 使用基本事件选择器记录事件
下面是显示基本事件选择器的 **get-event-selectors** 命令结果示例。默认情况下,当您使用创建跟踪时 Amazon CLI,跟踪会记录所有管理事件。默认情况下,跟踪记录不记录数据事件。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"EventSelectors": [
{
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
]
}
```
要将跟踪配置为记录管理事件和数据事件,请运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html) 命令。
以下示例说明如何使用基本事件选择器配置跟踪,以包含两个 S3 存储桶前缀中 S3 对象的所有管理事件和数据事件。您可以为一个跟踪指定 1 至 5 个事件选择器。您可以为一个跟踪指定 1 至 250 个数据资源。
**注意**
如果您选择使用基本事件选择器限制数据事件,则最多只能有 250 个 S3 数据资源。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2;/prefix2"] }] }]'
```
该命令将返回为跟踪配置的事件选择器。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
"EventSelectors": [
{
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::amzn-s3-demo-bucket1/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
],
"Type": "AWS::S3::Object"
}
],
"ReadWriteType": "All"
}
]
}
```
# 使用高级事件选择器筛选数据事件
本节介绍如何使用高级事件选择器来创建细粒度选择器以记录数据事件,从而通过仅记录感兴趣的特定数据事件来帮助您控制成本。
例如:
+ 您可以通过在 `eventName` 字段上添加筛选条件器来包含或排除特定 API 调用。
+ 您可以通过在 `resources.ARN` 字段上添加筛选条件来包含或排除特定资源的日志记录。例如,如果您正在记录 S3 数据事件,则可以对跟踪排除 S3 存储桶的日志记录。
+ 通过在 `readOnly` 字段上添加筛选条件,您可以选择仅记录只写事件或只读事件。
下表描述了筛选数据事件时支持的字段。有关每种 CloudTrail 事件类型支持的字段列表,请参阅 *Amazon CloudTrail API 参考[AdvancedEventSelector](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html)*中的。
| 字段 | 必需 | 有效运算符 | Description |
| --- | --- | --- | --- |
| **`eventCategory` ** | 是 | `Equals` | 此字段设置为 `Data` 以记录数据事件。 |
| **`resources.type`** | 是 | `Equals` | 此字段用于选择要为其记录数据事件的资源类型。[数据事件](logging-data-events-with-cloudtrail.md#logging-data-events)表显示了可能值。 |
| **`readOnly`** | 否 | `Equals` | 这是一个可选字段,用于根据 `readOnly` 值包含或排除数据事件。`true` 的值仅记录读取事件。`false` 的值仅记录写入事件。如果不添加此字段,则会同时 CloudTrail 记录读取和写入事件。 |
| **`eventName`** | 否 | `EndsWith` `Equals` `NotEndsWith` `NotEquals` `NotStartsWith` `StartsWith` | 这是一个可选字段,用于筛选或筛选出记录到的任何数据事件 CloudTrail,例如或。`PutBucket` `GetSnapshotBlock` 如果您使用的是 Amazon CLI,则可以通过用逗号分隔每个值来指定多个值。 如果您使用的是控制台,则可以通过为要筛选的每个 `eventName` 值创建一个条件来指定多个值。 |
| **`resources.ARN`** | 否 | `EndsWith` `Equals` `NotEndsWith` `NotEquals` `NotStartsWith` `StartsWith` | 这是一个可选字段,用于通过提供 `resources.ARN` 来排除或包含特定资源的数据事件。您可以将任意运算符与 `resources.ARN` 结合使用,但是如果使用 `Equals` 或 `NotEquals`,则值必须与您指定的 `resources.type` 的有效资源的 ARN 完全匹配。要记录特定 S3 桶中所有对象的所有数据事件,请使用 `StartsWith` 运算符,并且仅包含存储桶 ARN 作为匹配值。 如果您使用的是 Amazon CLI,则可以通过用逗号分隔每个值来指定多个值。 如果您使用的是控制台,则可以通过为要筛选的每个 `resources.ARN` 值创建一个条件来指定多个值。 |
| **`eventSource`** | 否 | `EndsWith` `Equals` `NotEndsWith` `NotEquals` `NotStartsWith` `StartsWith` | 可以使用它来包含或排除特定的事件源。`eventSource` 通常为服务名称的简短形式,不含空格但会加上 `.amazonaws.com`。例如,可以设置 `eventSource` `Equals` `ec2.amazonaws.com`,以便仅记录 Amazon EC2 数据事件。 |
| **`eventType`** | 否 | `EndsWith` `Equals` `NotEndsWith` `NotEquals` `NotStartsWith` `StartsWith` | 要包括或排除的 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)。例如,可以将此字段设置为 `NotEquals` `AwsServiceEvent`,以排除 [Amazon Web Services 服务 事件](non-api-aws-service-events.md)。 |
| **`sessionCredentialFromConsole`** | 否 | `Equals` `NotEquals` | 包括或排除源自 Amazon Web Services 管理控制台 会话的事件。可以将此字段设置为 `Equals` 或 `NotEquals` 且值为 `true`。 |
| **`userIdentity.arn`** | 否 | `EndsWith` `Equals` `NotEndsWith` `NotEquals` `NotStartsWith` `StartsWith` | 包含或排除特定 IAM 身份所采取操作的事件。有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。 |
要使用 CloudTrail 控制台记录数据事件,请在创建或更新跟踪时选择**数据事件**选项,然后选择感兴趣的**资源类型**。[数据事件](logging-data-events-with-cloudtrail.md#logging-data-events)表显示了您可以在 CloudTrail 控制台上选择的可能资源类型。
要使用记录数据事件 Amazon CLI,请将`--advanced-event-selector`参数配置为将`eventCategory`等于,将`resources.type`值设置为等于`Data`且值等于您要记录数据事件的资源类型值。[数据事件](logging-data-events-with-cloudtrail.md#logging-data-events)表列出了可用的资源类型。
例如,如果您想记录所有 Cognito 身份池的数据事件,则可以将 `--advanced-event-selectors` 参数配置为如下所示:
```
--advanced-event-selectors '[
{
"Name": "Log Cognito data events on Identity pools",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Cognito::IdentityPool"] }
]
}
]'
```
上述示例记录了身份池上的所有 Cognito 数据事件。您可以进一步优化高级事件选择器来筛选 `eventName`、`readOnly` 和 `resources.ARN` 字段,以记录感兴趣的特定事件或排除不感兴趣的事件。
您可以配置高级事件选择器来根据多个字段筛选数据事件。例如,您可以将高级事件选择器配置为记录所有 Amazon S3 `PutObject` 和 `DeleteObject` API 调用,但排除特定 S3 存储桶的事件日志记录,如以下示例所示。将 *amzn-s3-demo-bucket* 替换为您的存储桶的名称。
```
--advanced-event-selectors
'[
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
{ "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
]
}
]'
```
您还可以为一个字段包含多个条件。有关如何评估多个条件的信息,请参阅[如何 CloudTrail 评估一个字段的多个条件](#filtering-data-events-conditions)。
您可以使用高级事件选择器来同时记录管理事件和数据事件。要记录多种资源类型的数据事件,请为要记录数据事件的每种资源类型添加一个字段选择器语句。
**注意**
跟踪可以使用基本事件选择器或高级事件选择器,但不能同时使用两者。如果将高级事件选择器应用于跟踪,则所有现有的基本事件选择器都将被覆盖。
选择器不支持使用通配符,例如 `*`。要将多个值与单个条件匹配,可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。
**Topics**
+ [如何 CloudTrail 评估一个字段的多个条件](#filtering-data-events-conditions)
+ [Amazon CLI 筛选数据事件的示例](#filtering-data-events-examples)
## 如何 CloudTrail 评估一个字段的多个条件
对于高级事件选择器,按 CloudTrail 如下方式计算字段的多个条件:
+ DESELECT 运算符用 AND 连接在一起。如果满足任何 DESELECT 运算符条件,则不会传递事件。这些是高级事件选择器的有效 DESELECT 运算符:
+ `NotEndsWith`
+ `NotEquals`
+ `NotStartsWith`
+ SELECT 运算符用 OR 连接在一起。这些是高级事件选择器的有效 SELECT 运算符:
+ `EndsWith`
+ `Equals`
+ `StartsWith`
+ SELECT 和 DESELECT 运算符的组合遵循上述规则,并且两组以 AND 连接在一起。
### 显示 `resources.ARN` 字段的多个条件的示例
以下示例事件选择器语句收集 `AWS::S3::Object` 资源类型的数据事件,并对 `resources.ARN` 字段应用多个条件。
```
{
"Name": "S3Select",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "resources.ARN",
"Equals": [
"arn:aws:s3:::amzn-s3-demo-bucket/object1"
],
"StartsWith": [
"arn:aws:s3:::amzn-s3-demo-bucket/"
],
"EndsWith": [
"object3"
],
"NotStartsWith": [
"arn:aws:s3:::amzn-s3-demo-bucket/deselect"
],
"NotEndsWith": [
"object5"
],
"NotEquals": [
"arn:aws:s3:::amzn-s3-demo-bucket/object6"
]
}
]
}
```
在前面的示例中,在以下情况下,将传输 `AWS::S3::Object` 资源的 Amazon S3 数据事件:
1. 这些 DESELECT 运算符条件均不满足:
+ `resources.ARN` 字段 `NotStartsWith` 的值为 `arn:aws:s3:::amzn-s3-demo-bucket/deselect`
+ `resources.ARN` 字段 `NotEndsWith` 的值为 `object5`
+ `resources.ARN` 字段 `NotEquals` 的值为 `arn:aws:s3:::amzn-s3-demo-bucket/object6`
1. 至少满足以下 SELECT 运算符条件之一:
+ `resources.ARN` 字段 `Equals` 的值为 `arn:aws:s3:::amzn-s3-demo-bucket/object1`
+ `resources.ARN` 字段 `StartsWith` 的值为 `arn:aws:s3:::amzn-s3-demo-bucket/`
+ `resources.ARN` 字段 `EndsWith` 的值为 `object3`
基于评估逻辑:
1. 之所以传输 `amzn-s3-demo-bucket/object1` 的数据事件,是因为它与 `Equals` 运算符的值匹配,而与 `NotStartsWith`、`NotEndsWith` 和 `NotEquals` 运算符的任何值都不匹配。
1. 之所以传输 `amzn-s3-demo-bucket/object2` 的数据事件,是因为它与 `StartsWith` 运算符的值匹配,而与 `NotStartsWith`、`NotEndsWith` 和 `NotEquals` 运算符的任何值都不匹配。
1. 之所以传输 `amzn-s3-demo-bucket1/object3` 的数据事件,是因为它与 `EndsWith` 运算符匹配,而与 `NotStartsWith`、`NotEndsWith` 和 `NotEquals` 运算符的任何值都不匹配。
1. 之所以传输 `arn:aws:s3:::amzn-s3-demo-bucket/deselectObject4` 的数据事件,是因为它与 `NotStartsWith` 的条件匹配,也与 `StartsWith` 运算符的条件匹配。
1. 之所以传输 `arn:aws:s3:::amzn-s3-demo-bucket/object5` 的数据事件,是因为它与 `NotEndsWith` 的条件匹配,也与 `StartsWith` 运算符的条件匹配。
1. 之所以不传输 `arn:aws:s3:::amzn-s3-demo-bucket/object6` 的数据事件,是因为它与 `NotEquals` 运算符的条件匹配,也与 `StartsWith` 运算符的条件匹配。
## Amazon CLI 筛选数据事件的示例
本节提供了 Amazon CLI 一些示例,说明如何筛选不同字段上的数据事件。有关其他 Amazon CLI 示例,请参见[使用高级事件选择器记录跟踪的数据事件](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced)和。
有关如何使用控制台记录数据事件的信息,请参阅[使用记录数据事件 Amazon Web Services 管理控制台](logging-data-events-with-cloudtrail.md#logging-data-events-console)。
**Topics**
+ [示例 1:根据 `eventName` 字段进行筛选](#filtering-data-events-eventname)
+ [示例 2:根据 `resources.ARN` 和 `userIdentity.arn` 字段进行筛选](#filtering-data-events-useridentityarn)
+ [示例 3:筛选`resources.type`和`eventName`字段以排除由 Amazon S3 DeleteObjects 事件删除的单个对象](#filtering-data-events-deleteobjects)
### 示例 1:根据 `eventName` 字段进行筛选
在第一个示例中,跟踪的 `--advanced-event-selectors` 配置为仅针对通用存储桶中的 Amazon S3 对象记录 `GetObject`、`PutObject` 和 `DeleteObject` API 调用。
```
aws cloudtrail put-event-selectors \
--trail-name trailName \
--advanced-event-selectors '[
{
"Name": "Log GetObject, PutObject and DeleteObject S3 data events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "eventName", "Equals": ["GetObject","PutObject","DeleteObject"] }
]
}
]'
```
下一个示例创建了一个新的事件数据存储,用于记录 EBS Direct 的数据事件, APIs 但不包括 `ListChangedBlocks` API 调用。您可以使用 [https://docs.amazonaws.cn/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.amazonaws.cn/cli/latest/reference/cloudtrail/update-event-data-store.html) 命令来更新现有事件数据存储库。
```
aws cloudtrail create-event-data-store \
--name "eventDataStoreName"
--advanced-event-selectors '[
{
"Name": "Log all EBS Direct API data events except ListChangedBlocks",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::EC2::Snapshot"] },
{ "Field": "eventName", "NotEquals": ["ListChangedBlocks"] }
]
}
]'
```
### 示例 2:根据 `resources.ARN` 和 `userIdentity.arn` 字段进行筛选
以下示例展示了如何包含特定通用 S3 存储桶中所有 Amazon S3 对象的所有数据事件,并排除 `bucket-scanner-role` `userIdentity` 生成的事件。S3 事件在 `resources.type` 字段中的值为 `AWS::S3::Object`。由于 S3 对象和 S3 存储桶的 ARN 值略有不同,因此必须为 `resources.ARN` 添加 `StartsWith` 运算符。
```
aws cloudtrail put-event-selectors \
--trail-name trailName \
--advanced-event-selectors \
'[
{
"Name": "S3EventSelector",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] },
{ "Field": "userIdentity.arn", "NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]}
]
}
]'
```
### 示例 3:筛选`resources.type`和`eventName`字段以排除由 Amazon S3 DeleteObjects 事件删除的单个对象
以下示例展示了如何包含特定通用 Amazon S3 存储桶中所有 Amazon S3 对象的所有数据事件,并排除 `DeleteObject` 操作删除的各个事件。S3 事件在 `resources.type` 字段中的值为 `AWS::S3::Object`。事件名称的值是 `DeleteObject`。
```
aws cloudtrail put-event-selectors \
--trail-name trailName \
--advanced-event-selectors \
{
"Name": "Exclude Events for DeleteObject operation",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "eventName",
"NotEquals": [
"DeleteObject"
]
}
]
},
{
"Name": "Exclude DeleteObject Events for individual objects deleted by DeleteObjects Operation",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "eventName",
"Equals": [
"DeleteObject"
]
},
{
"Field": "eventType",
"NotEquals": [
"AwsServiceEvent"
]
}
]
}
] (edited)
```
# 聚合数据事件
数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为数据面板操作。数据事件通常是高容量活动。
通过对数据事件启用聚合,您可以高效地监控大量数据访问模式,而无需处理大量的单个事件。此功能可自动将数据事件整合为 5 分钟的摘要,显示访问频率、错误率和最常用的操作等关键趋势。例如,您不会通过处理数千个单独的 S3 存储桶访问事件来了解使用模式,而是会收到显示热门用户和操作的合并摘要。
在创建新跟踪或更新收集数据事件的现有跟踪时,您可以启用数据事件聚合。您可以选择三个 out-of-the-box模板中的一个或全部来聚合您的数据事件:
+ **API 活动**:根据进行的 API 调用,获取 5 分钟的数据事件摘要。使用它来了解您的 API 使用模式,包括频率、调用者和来源。
+ **资源访问权限**以获取 Amazon 资源的活动模式。使用它来了解您的 Amazon 资源是如何被访问的、在 5 分钟窗口内访问资源的次数、谁在访问资源以及正在执行哪些操作。
+ 根据在您的账户中进行 API 调用的 IAM 委托人获取活动模式的@@ **用户操作**。
## 使用控制台为数据事件启用聚合
要在跟踪上启用聚合,请在创建或更新跟踪时选择数据事件记录,然后配置数据事件以记录跟踪中的事件。然后,在配置事件聚合步骤中,您可以从聚合模板下拉列表中选择诸如 **API 活动**和**资源访问权限**之类的模板,如下面的屏幕截图所示。
![\[显示聚合模板下拉列表的 CloudTrail 控制台屏幕截图,其中选择了 API 活动和资源访问选项\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/Enable-Aggregation-console.png)
## 使用为数据事件启用聚合 Amazon CLI
您可以使用将跟踪配置为聚合事件 Amazon CLI。
要查看您的跟踪是否在聚合数据事件,请运行`get-event-configurations`命令。
```
aws cloudtrail get-event-configuration --region us-east-1 --trail-name TrailName
```
该命令返回跟踪的聚合配置。
在启用事件聚合之前,必须创建跟踪并在其中配置数据事件。
要在跟踪上启用事件聚合,请执行以下步骤。该跟踪将基于`API_ACTIVITY`和聚`RESOURCE_ACCESS`合模板聚合事件。
```
aws cloudtrail put-event-configuration --region us-east-1 --trail TrailName \
--aggregation-configurations \
'[
{
"EventCategory": "Data",
"Templates":
[
"API_ACTIVITY",
"RESOURCE_ACCESS"
]
}
]'
```
### 示例: API\$1ACTIVITY聚合事件
下面显示了该`API_ACTIVITY`模板的聚合事件的示例:
```
{
"eventVersion": "1.0",
"accountId": "111122223333",
"eventId": "62759c1a-6248-48e1-a6b3-d5fb7e6c4bc0",
"eventCategory": "Aggregated",
"eventType": "AwsAggregatedEvent",
"awsRegion": "us-west-2",
"eventSource": "s3.amazonaws.com",
"timeWindow":
{
"windowStart": "2025-11-17T19:20:00Z",
"windowEnd": "2025-11-17T19:25:00Z",
"windowSize": "PT5M"
},
"summary":
{
"primaryDimension":
{
"dimension": "eventName",
"statistics":
[
{
"name": "PutObject",
"value": 1000
}
],
"aggregationType": "Count"
},
"details":
[
{
"dimension": "resourceARN",
"statistics":
[
{
"name": "arn:aws:s3:::bucket-1",
"value": 800
},
{
"name": "arn:aws:s3:::bucket-2",
"value": 150
},
{
"name": "arn:aws:s3:::bucket-3",
"value": 50
}
],
"aggregationType": "Count"
}
]
}
}
```
### 示例:RESOURCE\$1ACCESS 聚合事件
下面显示了该`RESOURCE_ACCESS`模板的聚合事件的示例:
```
{
"eventVersion": "1.0",
"accountId": "111122223333",
"eventId": "2ed87efa-45c1-412d-bc38-7e0879faa6df",
"eventCategory": "Aggregated",
"eventType": "AwsAggregatedEvent",
"awsRegion": "us-west-2",
"eventSource": "s3.amazonaws.com",
"timeWindow":
{
"windowStart": "2025-11-17T19:20:00Z",
"windowEnd": "2025-11-17T19:25:00Z",
"windowSize": "PT5M"
},
"summary":
{
"primaryDimension":
{
"dimension": "resourceARN",
"statistics":
[
{
"name": "arn:aws:s3:::bucket-1",
"value": 800
}
],
"aggregationType": "Count"
},
"details":
[
{
"dimension": "eventName",
"statistics":
[
{
"name": "PutObject",
"value": 800
}
],
"aggregationType": "Count"
}
]
}
}
```
## 使用记录数据事件 Amazon SDKs
运行该[GetEventSelectors](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_GetEventSelectors.html)操作以查看您的跟踪是否正在记录数据事件。您可以通过运行[PutEventSelectors](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)操作将跟踪配置为记录数据事件。有关更多信息,请参阅 [Amazon CloudTrail API 参考](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/)。
# 记录网络活动事件
CloudTrail 网络活动事件使 VPC 终端节点所有者能够记录使用其 VPC 终端节点从私有 VPC 到的 Amazon API 调用 Amazon Web Services 服务。通过网络活动事件,可以了解在 VPC 中执行的资源操作。例如,记录网络活动事件可以帮助 VPC 端点所有者检测组织外部的凭证何时尝试访问其 VPC 端点。
您可以记录以下服务的网络活动事件:
+ Amazon AppConfig
+ Amazon App Mesh
+ Amazon Athena
+ Amazon B2B Data Interchange
+ Amazon Backup gateway
+ Amazon Bedrock
+ 账单和成本管理
+ Amazon 定价计算器
+ Amazon Cost Explorer
+ Amazon 云端控制 API
+ Amazon CloudHSM
+ Amazon Cloud Map
+ Amazon CloudFormation
+ Amazon CloudTrail
+ 亚马逊 CloudWatch
+ CloudWatch 应用程序信号
+ Amazon CodeDeploy
+ Amazon Comprehend Medical
+ Amazon Config
+ Amazon Data Exports
+ Amazon Data Firehose
+ Amazon Directory Service
+ Amazon DynamoDB
+ Amazon EC2
+ Amazon Elastic Container Service
+ Amazon Elastic File System
+ Elastic Load Balancing
+ 亚马逊 EventBridge
+ Amazon EventBridge 日程安排
+ Amazon Fraud Detector
+ Amazon Web Services 中国区免费套餐
+ 亚马逊 FSx
+ Amazon Glue
+ Amazon HealthLake
+ Amazon IoT FleetWise
+ Amazon IoT Secure Tunneling
+ Amazon Web Services 开票
+ Amazon Keyspaces(Apache Cassandra 兼容)
+ Amazon KMS
+ Amazon Lake Formation
+ Amazon Lambda
+ Amazon License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Personalize
+ Amazon Q Business
+ Amazon Rekognition
+ Amazon Relational Database Service
+ Amazon S3
**注意**
不支持 [Amazon S3 多区域接入点](https://docs.amazonaws.cn/AmazonS3/latest/userguide/MultiRegionAccessPointRequests.html)。
+ 亚马逊 SageMaker AI
+ Amazon Secrets Manager
+ Amazon Simple Notification Service
+ Amazon Simple Queue Service
+ Amazon Simple Workflow Service
+ Amazon Storage Gateway
+ Amazon Systems Manager Incident Manager
+ Amazon Textract
+ Amazon Transcribe
+ Amazon Translate
+ Amazon Transform
+ Amazon Verified Permissions
+ 亚马逊 WorkMail
您可以配置跟踪和事件数据存储来记录网络活动事件。
默认情况下,跟踪和事件数据存储不记录网络活动事件。网络活动事件将收取额外费用。有关更多信息,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
**Contents**
+ [网络活动事件的高级事件选择器字段](#logging-network-events)
+ [使用记录网络活动事件 Amazon Web Services 管理控制台](#creating-network-event-selectors-with-the-console)
+ [更新现有跟踪以记录网络活动事件](#log-network-events-trail-console)
+ [使用记录网络活动事件 Amazon Command Line Interface](#creating-network-event-selectors-with-the-AWS-CLI)
+ [示例:记录跟踪的网络活动事件](#logging-network-events-CLI-trail-examples)
+ [示例:记录 CloudTrail 操作的网络活动事件](#logging-network-events-CLI-trail-all-ct)
+ [示例:记录`VpceAccessDenied`的事件 Amazon KMS](#logging-network-events-CLI-trail-kms)
+ [示例:记录 Amazon S3 的 `VpceAccessDenied` 事件](#logging-network-events-CLI-trail-s3)
+ [示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件](#logging-network-events-CLI-trail-ec2)
+ [示例:记录多个事件源的所有管理事件和网络活动事件](#logging-network-events-CLI-trail-multiple)
+ [示例:记录事件数据存储的网络活动事件](#logging-network-events-CLI-eds-examples)
+ [示例:记录 CloudTrail 操作的所有网络活动事件](#creating-network-events-eds-CLI-ct)
+ [示例:记录`VpceAccessDenied`的事件 Amazon KMS](#creating-network-events-eds-CLI-kms)
+ [示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件](#creating-network-events-eds-CLI-ec2)
+ [示例:记录 Amazon S3 的 `VpceAccessDenied` 事件](#creating-network-events-eds-CLI-s3)
+ [示例:记录多个事件源的所有管理事件和网络活动事件](#creating-network-events-eds-CLI-multiple)
+ [使用记录事件 Amazon SDKs](#logging-network-events-with-the-AWS-SDKs)
## 网络活动事件的高级事件选择器字段
您可以通过指定要记录活动的事件源来配置高级事件选择器以记录网络活动事件。您可以使用 Amazon SDKs、 Amazon CLI或 CloudTrail 控制台配置高级事件选择器。
记录网络活动事件需要以下高级事件选择器字段:
+ `eventCategory`:要记录网络活动事件,值必须为 `NetworkActivity`。`eventCategory` 只能使用 `Equals` 运算符。
+ `eventSource`:要记录网络活动事件的事件源。`eventSource` 只能使用 `Equals` 运算符。如果要记录多个事件源的网络活动事件,则必须为每个事件源创建单独的字段选择器。
有效值包括:
+ `aco-automation.amazonaws.com`
+ `appconfig.amazonaws.com`
+ `application-signals.amazonaws.com`
+ `appmesh.amazonaws.com`
+ `athena.amazonaws.com`
+ `b2bi.amazonaws.com`
+ `backup-gateway.amazonaws.com`
+ `bcm-data-exports.amazonaws.com`
+ `bcm-pricing-calculator.amazonaws.com`
+ `bedrock-agentcore.amazonaws.com`
+ `bedrock.amazonaws.com`
+ `billing.amazonaws.com`
+ `cassandra.amazonaws.com`
+ `ce.amazonaws.com`
+ `cloudcontrolapi.amazonaws.com`
+ `cloudformation.amazonaws.com`
+ `cloudhsm.amazonaws.com`
+ `cloudoptimization.amazonaws.com`
+ `cloudtrail.amazonaws.com`
+ `codedeploy.amazonaws.com`
+ `comprehend.amazonaws.com`
+ `comprehendmedical.amazonaws.com`
+ `config.amazonaws.com`
+ `ds.amazonaws.com`
+ `dynamodb.amazonaws.com`
+ `ec2.amazonaws.com`
+ `ecs.amazonaws.com`
+ `elasticfilesystem.amazonaws.com`
+ `elasticloadbalancing.amazonaws.com`
+ `events.amazonaws.com`
+ `firehose.amazonaws.com`
+ `frauddetector.amazonaws.com`
+ `freetier.amazonaws.com`
+ `fsx.amazonaws.com`
+ `glue.amazonaws.com`
+ `healthlake.amazonaws.com`
+ `invoicing.amazonaws.com`
+ `iot.amazonaws.com`
+ `iotfleetwise.amazonaws.com`
+ `iotsecuredtunneling.amazonaws.com`
+ `kms.amazonaws.com`
+ `lakeformation.amazonaws.com`
+ `lambda.amazonaws.com`
+ `license-manager.amazonaws.com`
+ `lookoutequipment.amazonaws.com`
+ `lookoutvision.amazonaws.com`
+ `monitoring.amazonaws.com`
+ `nova-act.amazonaws.com`
+ `personalize.amazonaws.com`
+ `qbusiness.amazonaws.com`
+ `rds.amazonaws.com`
+ `rekognition.amazonaws.com`
+ `rolesanywhere.amazonaws.com`
+ `s3.amazonaws.com`
+ `sagemaker.amazonaws.com`
+ `scheduler.amazonaws.com`
+ `secretsmanager.amazonaws.com`
+ `servicediscovery.amazonaws.com`
+ `sns.amazonaws.com`
+ `sqs.amazonaws.com`
+ `ssm-contacts.amazonaws.com`
+ `ssm.amazonaws.com`
+ `storagegateway.amazonaws.com`
+ `swf.amazonaws.com`
+ `textract.amazonaws.com`
+ `transcribe.amazonaws.com`
+ `transcribestreaming.amazonaws.com`
+ `transform-agents.amazonaws.com`
+ `transform-custom.amazonaws.com`
+ `transform.amazonaws.com`
+ `translate.amazonaws.com`
+ `user-subscriptions.amazonaws.com`
+ `verifiedpermissions.amazonaws.com`
+ `voiceid.amazonaws.com`
+ `workmail.amazonaws.com`
+ `workmailmessageflow.amazonaws.com`
以下高级事件选择器字段是可选的:
+ `eventName`:要筛选的请求操作。例如,`CreateKey` 或 `ListKeys`。`eventName` 可以使用任何运算符。
+ `errorCode`:要筛选的请求错误代码。目前,唯一有效 `errorCode` 是 `VpceAccessDenied`。您只能将 `Equals` 运算符与 `errorCode` 配合使用。
+ `vpcEndpointId`:标识操作通过的 VPC 端点。您可以将任何运算符与 `vpcEndpointId` 配合使用。
默认情况下,在您创建跟踪或事件数据存储时,未记录网络活动事件。要记录 CloudTrail 网络活动事件,必须明确配置要为其收集活动的每个事件源。
记录网络活动事件将收取额外费用。有关 CloudTrail 定价,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
## 使用记录网络活动事件 Amazon Web Services 管理控制台
您可以使用控制台更新现有跟踪以记录网络活动事件。
### 更新现有跟踪以记录网络活动事件
使用以下过程更新现有跟踪以记录网络活动事件。
**注意**
记录网络活动事件将收取额外费用。有关 CloudTrail 定价,请参阅 [Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
1. 登录 Amazon Web Services 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.amazonaws.cn/cloudtrail/)。
1. 在 CloudTrail 控制台的左侧导航窗格中,打开 T **rail** s 页面,然后选择一个跟踪名称。
1. 如果您的跟踪使用基本事件选择器记录数据事件,则需要切换到高级事件选择器来记录网络活动事件。
请按照下面的步骤切换到高级事件选择器:
1. 在**数据事件**区域中,记下当前数据事件选择器。切换到高级事件选择器将清除所有现有数据事件选择器。
1. 选择**编辑**,然后选择**切换到高级事件选择器**。
1. 使用高级事件选择器重新应用您的数据事件选择。有关更多信息,请参阅 [更新现有跟踪以使用控制台通过高级事件选择器记录数据事件](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-adv)。
1. 在**网络活动事件**中,选择**编辑**。
要记录网络活动事件,请采取以下步骤:
1. 从**网络活动事件源**中,选择网络活动事件的来源。
1. 在**记录选择器模板**中,选择一个模板。您可以选择记录所有网络活动事件、记录所有网络活动访问被拒绝的事件,或者选择**自定义**来构建自定义日志选择器以筛选多个字段(例如 `eventName` 和 `vpcEndpointId`)。
1. (可选)输入用于标识选择器的名称。选择器名称在高级事件选择器中列为 **名称**,展开 **JSON 视图**即可查看该名称。
1. 在**高级事件选择器**中,通过为**字段**、**运算符**和**值**选择值来构建表达式。如果您使用的是预定义日志模板,则可跳过此步骤。
1. 要排除或包括网络活动事件,您可以从控制台中的以下字段中进行选择。
+ **`eventName`**:您可以将任何运算符与 `eventName` 配合使用。您可以使用它来包含或排除任何事件(如 `CreateKey`)。
+ **`errorCode`**:您可以使用它来筛选错误代码。目前,唯一支持的 `errorCode` 是 `VpceAccessDenied`。
+ **`vpcEndpointId`**:标识操作通过的 VPC 端点。您可以将任何运算符与 `vpcEndpointId` 配合使用。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。
1. 要添加您想要记录网络活动事件的另一个事件源,请选择**添加网络活动事件选择器**。
1. 或者,展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。
1. 选择**保存更改**以保存您的更改。
## 使用记录网络活动事件 Amazon Command Line Interface
您可以使用 Amazon CLI配置跟踪或事件数据存储以记录网络活动事件。
**Topics**
+ [示例:记录跟踪的网络活动事件](#logging-network-events-CLI-trail-examples)
+ [示例:记录事件数据存储的网络活动事件](#logging-network-events-CLI-eds-examples)
### 示例:记录跟踪的网络活动事件
您可以使用 Amazon CLI配置跟踪以记录网络活动事件。运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html) 命令来为您的跟踪配置高级事件选择器。
要查看您的跟踪是否正在记录网络活动事件,请运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html) 命令。
**Topics**
+ [示例:记录 CloudTrail 操作的网络活动事件](#logging-network-events-CLI-trail-all-ct)
+ [示例:记录`VpceAccessDenied`的事件 Amazon KMS](#logging-network-events-CLI-trail-kms)
+ [示例:记录 Amazon S3 的 `VpceAccessDenied` 事件](#logging-network-events-CLI-trail-s3)
+ [示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件](#logging-network-events-CLI-trail-ec2)
+ [示例:记录多个事件源的所有管理事件和网络活动事件](#logging-network-events-CLI-trail-multiple)
#### 示例:记录 CloudTrail 操作的网络活动事件
以下示例说明如何将跟踪配置为包含 CloudTrail API 操作的所有网络活动事件,例如`CreateTrail`和`CreateEventDataStore`调用。`eventSource` 字段的值是 `cloudtrail.amazonaws.com`。
```
aws cloudtrail put-event-selectors /
--trail-name TrailName /
--region region /
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
]
}
```
#### 示例:记录`VpceAccessDenied`的事件 Amazon KMS
以下示例演示了如何配置跟踪以包含 Amazon KMS的 `VpceAccessDenied` 事件。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `kms.amazonaws.com`。
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied Amazon KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied Amazon KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### 示例:记录 Amazon S3 的 `VpceAccessDenied` 事件
以下示例展示了如何配置跟踪以包含 Amazon S3 的 `VpceAccessDenied` 事件。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `s3.amazonaws.com`。
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### 示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件
以下示例演示了如何配置您的跟踪以包含特定 VPC 端点的 Amazon EC2 的 `VpceAccessDenied` 事件。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `ec2.amazonaws.com`,而将 `vpcEndpointId` 设置为感兴趣的 VPC 端点。
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
]
}
```
#### 示例:记录多个事件源的所有管理事件和网络活动事件
以下示例将跟踪配置为记录管理事件和所有 Amazon EC2 CloudTrail、、和 Amazon S3 事件源的网络活动事件。 Amazon KMS Amazon Secrets Manager
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
]
}
```
### 示例:记录事件数据存储的网络活动事件
您可以使用 Amazon CLI配置事件数据存储以包含网络活动事件。使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) 命令创建新的事件数据存储以记录网络活动事件。使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html) 命令为现有事件数据存储更新高级事件选择器。
要查看事件数据存储是否包含网络活动事件,请运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html) 命令。
```
aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN
```
**Topics**
+ [示例:记录 CloudTrail 操作的所有网络活动事件](#creating-network-events-eds-CLI-ct)
+ [示例:记录`VpceAccessDenied`的事件 Amazon KMS](#creating-network-events-eds-CLI-kms)
+ [示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件](#creating-network-events-eds-CLI-ec2)
+ [示例:记录 Amazon S3 的 `VpceAccessDenied` 事件](#creating-network-events-eds-CLI-s3)
+ [示例:记录多个事件源的所有管理事件和网络活动事件](#creating-network-events-eds-CLI-multiple)
#### 示例:记录 CloudTrail 操作的所有网络活动事件
以下示例说明如何创建包含与 CloudTrail 操作相关的所有网络活动事件(例如对`CreateTrail`和的调用)的事件数据存储`CreateEventDataStore`。`eventSource` 字段的值设置为 `cloudtrail.amazonaws.com`。
```
aws cloudtrail create-event-data-store \
--name "EventDataStoreName" \
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
"Name": "EventDataStoreName",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 示例:记录`VpceAccessDenied`的事件 Amazon KMS
以下示例说明如何创建事件数据存储以包含其中的`VpceAccessDenied`事件 Amazon KMS。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `kms.amazonaws.com`。
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied Amazon KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied Amazon KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件
以下示例演示了如何创建事件数据存储以包含特定 VPC 端点的 Amazon EC2 的 `VpceAccessDenied` 事件。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `ec2.amazonaws.com`,而将 `vpcEndpointId` 设置为感兴趣的 VPC 端点。
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 示例:记录 Amazon S3 的 `VpceAccessDenied` 事件
以下示例演示了如何创建事件数据存储以包含 Amazon S3 的 `VpceAccessDenied` 事件。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `s3.amazonaws.com`。
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 示例:记录多个事件源的所有管理事件和网络活动事件
以下示例更新了当前仅记录管理事件的事件数据存储,使其也记录多个事件源的网络活动事件。要更新事件数据存储以添加新的事件选择器,请运行 `get-event-data-store` 命令以返回当前高级事件选择器。然后,运行 `update-event-data-store` 命令并传入包含当前选择器以及所有新选择器的 `--advanced-event-selectors`。要记录多个事件源的网络活动事件,请为每个要记录的事件源包含一个选择器。
```
aws cloudtrail update-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00"
}
```
## 使用记录事件 Amazon SDKs
运行该[GetEventSelectors](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_GetEventSelectors.html)操作以查看您的跟踪是否正在记录网络活动事件。您可以通过运行[PutEventSelectors](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)操作将跟踪配置为记录网络活动事件。有关更多信息,请参阅 [Amazon CloudTrail API 参考](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/)。
运行该[GetEventDataStore](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_GetEventDataStore.html)操作以查看您的事件数据存储是否正在记录网络活动事件。通过运行[CreateEventDataStore](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_CreateEventDataStore.html)或[UpdateEventDataStore](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html)操作并指定高级事件选择器,您可以将事件数据存储配置为包含网络活动事件。有关更多信息,请参阅 [使用创建、更新和管理事件数据存储 Amazon CLI](lake-eds-cli.md) 和《Amazon CloudTrail API Reference[https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/)》。
# 通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件
在创建或更新事件数据存储时,您可以通过添加资源标签密钥、委托人标签密钥和 IAM 全局条件键来丰富 CloudTrail 管理事件和数据事件。这使您可以根据业务环境对 CloudTrail 事件进行分类、搜索和分析,例如成本分配和财务管理、运营和数据安全要求。您可以通过在 La CloudTrail ke 中运行查询来分析事件。您也可以选择[联合](query-federation.md)事件数据存储并在 Amazon Athena 中运行查询。您可以使用[CloudTrail 控制台](query-event-data-store-cloudtrail.md)、和,将资源标签密钥和 IAM 全局条件密钥添加到事件数据存储中 SDKs。[Amazon CLI](lake-cli-manage-eds.md#lake-cli-put-event-configuration)
**注意**
在资源创建或更新后添加的资源标签可能会延迟,然后这些标签才会反映在 CloudTrail 事件中。 CloudTrail 资源删除事件可能不包含标签信息。
IAM 全局条件键将始终显示在查询的输出中,但资源所有者可能看不到它们。
向丰富事件添加资源标签密钥时, CloudTrail 包括与 API 调用中涉及的资源关联的选定标签密钥。
在向事件数据存储中添加 IAM 全局条件密钥时,会 CloudTrail 包含有关在授权过程中评估的所选条件密钥的信息,包括有关委托人、会话和请求本身的其他详细信息。
**注意**
配置 CloudTrail 为包含条件键或主体标签并不意味着此条件键或主体标签将出现在每个事件中。例如,如果您已设置 CloudTrail 为包含特定的全局条件密钥,但在特定事件中却看不到该密钥,则表明该密钥与该操作的 IAM 策略评估无关。
添加资源标签密钥或 IAM 条件键后,在 CloudTrail 事件中 CloudTrail 包含一个`eventContext`字段,该字段为 API 操作提供所选上下文信息。
在某些例外情况下,事件不包括 `eventContext` 字段,包括:
+ 与已删除资源相关的 API 事件可能有资源标签,也可能没有资源标签。
+ `eventContext` 字段没有延迟事件的数据,并且对于在 API 调用后更新的事件,该字段将不存在。例如,如果 Amazon 出现延迟或中断 EventBridge,则事件的标签可能会在中断问题解决后的一段时间内保持过期。有些 Amazon 服务的延迟时间会更长。有关更多信息,请参阅 [资源标签已更新, CloudTrail 用于丰富活动](#resrouce-tags-updates)。
+ 如果您修改或删除用于丰富活动的 AWSServiceRoleForCloudTrailEventContext 服务相关角色,则CloudTrail 不会在中填充任何资源标签。`eventContext`
**注意**
`eventContext` 字段仅存在于配置为包含资源标签键、主体标签键和 IAM 全局条件键的事件数据存储的事件中。发送到**事件历史记录**、Amazon EventBridge、可使用 Amazon CLI `lookup-events`命令查看并传送到跟踪的事件将不包括该`eventContext`字段。
**Topics**
+ [Amazon Web Services 服务 支持资源标签](#resource-tags-supported-services)
+ [Amazon Web Services 服务 支持 IAM 全局条件键](#condition-keys-supported-services)
+ [事件示例](#context-event-examples)
## Amazon Web Services 服务 支持资源标签
全部 Amazon Web Services 服务 支持资源标签。有关更多信息,请参阅 [Services that support the Amazon Resource Groups Tagging API](https://docs.amazonaws.cn/resourcegroupstagging/latest/APIReference/supported-services.html)。
### 资源标签已更新, CloudTrail 用于丰富活动
配置为这样做时,会 CloudTrail 捕获有关资源标签的信息,并使用它们在丰富的事件中提供信息。在使用资源标签时,在某些情况下,系统请求事件时可能无法准确反映资源标签。在标准操作期间,创建资源时应用的标签始终存在,并且不会出现延迟或延迟极少。但是,预计以下服务会延迟 CloudTrail 事件中出现的资源标签更改:
+ Amazon Chime Voice Connector
+ Amazon CloudTrail
+ Amazon CodeConnections
+ Amazon DynamoDB
+ Amazon ElastiCache
+ Amazon Keyspaces(Apache Cassandra 兼容)
+ Amazon Kinesis
+ Amazon Lex
+ Amazon MemoryDB
+ Amazon S3
+ Amazon Security Lake
+ Amazon Direct Connect
+ Amazon IAM Identity Center
+ Amazon Key Management Service
+ Amazon Lambda
+ Amazon Web Services Marketplace 供应商见解
+ Amazon Organizations
+ Amazon Payment Cryptography
+ Amazon Simple Queue Service
服务中断也可能导致资源标签信息更新出现延迟。如果出现服务中断延迟,后续 CloudTrail 事件将包括一个`addendum`字段,其中包含有关资源标签变更的信息。这些附加信息将按规定用于提供丰富的信息CloudTrailevents。
## Amazon Web Services 服务 支持 IAM 全局条件键
以下内容 Amazon Web Services 服务 支持丰富事件的 IAM 全局条件密钥:
+ Amazon Certificate Manager
+ Amazon CloudTrail
+ Amazon CloudWatch
+ Amazon CloudWatch 日志
+ Amazon CodeBuild
+ Amazon CodeCommit
+ Amazon CodeDeploy
+ Amazon Cognito Sync
+ Amazon Comprehend
+ Amazon Comprehend Medical
+ Amazon Connect Voice ID
+ Amazon Control Tower
+ Amazon Data Firehose
+ Amazon Elastic Block Store
+ Elastic Load Balancing
+ Amazon 最终用户社交消息
+ Amazon EventBridge
+ Amazon EventBridge 日程安排
+ Amazon Data Firehose
+ Amazon FSx
+ Amazon HealthImaging
+ Amazon IoT Events
+ Amazon IoT FleetWise
+ Amazon IoT SiteWise
+ Amazon IoT TwinMaker
+ Amazon IoT Wireless
+ Amazon Kendra
+ Amazon KMS
+ Amazon Lambda
+ Amazon License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Network Firewall
+ Amazon Payment Cryptography
+ Amazon Personalize
+ Amazon Proton
+ Amazon Rekognition
+ 亚马逊 SageMaker AI
+ Amazon Secrets Manager
+ Amazon Simple Email Service (Amazon SES)
+ Amazon Simple Notification Service (Amazon SNS)
+ Amazon SQS
+ Amazon Step Functions
+ Amazon Storage Gateway
+ Amazon SWF
+ Amazon Supply Chain
+ Amazon Timestream
+ 适用于 InfluxDB 的 Amazon Timestream
+ Amazon Transcribe
+ Amazon Transfer Family
+ Amazon Trusted Advisor
+ Amazon WorkSpaces
+ Amazon X-Ray
### 丰富事件支持的 IAM 全局条件键
下表列出了针对 CloudTrail 丰富事件支持的 IAM 全局条件密钥以及示例值:
**全局条件键和示例值**
| Key | 示例值 |
| --- | --- |
| aws:FederatedProvider | "IdP" |
| aws:TokenIssueTime | "123456789" |
| aws:MultiFactorAuthAge | "99" |
| aws:MultiFactorAuthPresent | "true" |
| aws:SourceIdentity | "UserName" |
| aws:PrincipalAccount | "111122223333" |
| aws:PrincipalArn | “arn: aws: iam::” 555555555555:role/myRole |
| aws:PrincipalIsAWSService | "false" |
| aws:PrincipalOrgID | "o-rganization" |
| aws:PrincipalOrgPaths | ["o-rganization/path-of-org"] |
| aws:PrincipalServiceName | "cloudtrail.amazonaws.com" |
| aws:PrincipalServiceNamesList | ["cloudtrail.amazonaws.com","s3.amazonaws.com"] |
| aws:PrincipalType | "AssumedRole" |
| aws:userid | "userid" |
| aws:username | "username" |
| aws:RequestedRegion | us-east-2" |
| aws:SecureTransport | "true" |
| aws:ViaAWSService | "false" |
| aws:CurrentTime | "2025-04-30 15:30:00" |
| aws:EpochTime | "1746049800" |
| aws:SourceAccount | "111111111111" |
| aws:SourceOrgID | "o-rganization" |
## 事件示例
在以下示例中,`eventContext` 字段包含值为 `false` 的 IAM 全局条件键 `aws:ViaAWSService`,这表示 API 调用不是由 Amazon Web Services 服务进行的。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/admin",
"accountId": "123456789012",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/admin",
"accountId": "123456789012",
"userName": "admin"
},
"attributes": {
"creationDate": "2025-01-22T22:05:56Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-01-22T22:06:16Z",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "GetTrailStatus",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.168.0.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0",
"requestParameters": {
"name": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myTrail"
},
"responseElements": null,
"requestID": "d09c4dd2-5698-412b-be7a-example1a23",
"eventID": "9cb5f426-7806-46e5-9729-exampled135d",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true",
"eventContext": {
"requestContext": {
"aws:ViaAWSService": "false"
},
"tagContext": {}
}
}
```
# CloudTrail 记录管理、数据和网络活动事件的内容
本页介绍管理事件、数据事件或网络活动事件的记录内容。
记录的正文包含若干字段,可帮助您确定所请求的操作以及在何时何地发出请求。当**可选**的值为 **True** 时,该字段仅在应用于服务、API 或事件类型时才存在。**可选**值 **False** 表示字段始终存在,或者其存在不依赖于服务、API 或事件类型。示例是 `responseElements`,它存在于可做出更改的操作(创建、更新或删除操作)的事件中。
**注意**
丰富事件的字段(如 `eventContext`)仅适用于管理事件和数据事件。它们不适用于网络事件。
**`eventTime`**
完成请求的日期和时间 [用协调世界时(UTC)表示]。事件的时间戳来自本地主机,该主机提供进行 API 调用时所在的服务 API 端点。例如,在美国西部(俄勒冈)地区运行的 **CreateBucket** API 事件将从运行 Amazon S3 终端节点 Amazon 的主机上的时间开始获取其时间戳`s3.us-west-2.amazonaws.com`。通常, Amazon 服务使用网络时间协议 (NTP) 来同步其系统时钟。
**自**:1.0
**可选**:False
**`eventVersion`**
日志事件格式的版本。当前版本是 1.11。
该`eventVersion`值是表单中的主要版本和次要版本*major\$1version*。 *minor\$1version*。例如,您可获得 `1.10` 的 `eventVersion` 值,其中 `1` 是主要版本,`10` 是次要版本。
CloudTrail 如果对不向后兼容的事件结构进行了更改,则会增加主版本。这包括移除已存在的 JSON 字段,或更改字段内容的表示方式(例如,日期格式)。 CloudTrail 如果更改向事件结构添加了新字段,则会增加次要版本。如果新信息对部分或全部现有事件可用,或者新信息仅可用于新事件类型,则可能会发生这种情况。应用程序可忽略新字段,以便与事件结构的新次要版本保持兼容。
如果 CloudTrail 引入了新的事件类型,但事件的结构在其他方面保持不变,则事件版本不会改变。
为确保您的应用程序能够解析事件结构,我们建议您对主要版本号执行等于比较。为确保您的应用程序预期的字段存在,我们还建议对次 greater-than-or-equal要版本进行-to 比较。次要版本中没有前导零。您可以将*major\$1version*和解释*minor\$1version*为数字,并执行比较操作。
**自**:1.0
**可选**:False
**`userIdentity`**
有关发出请求的 IAM 身份的信息。有关更多信息,请参阅 [CloudTrail 用户身份元素](cloudtrail-event-reference-user-identity.md)。
**自**:1.0
**可选**:False
**`eventSource`**
已将请求发出到的服务。此名称通常为服务名称的简短形式,不含空格但会加上 `.amazonaws.com`。例如:
+ Amazon CloudFormation 是`cloudformation.amazonaws.com`。
+ 亚马逊 EC2 是`ec2.amazonaws.com`。
+ Amazon Simple Workflow Service 是 `swf.amazonaws.com`。
此约定存在某些例外情况。例如,适用于 Amazon `eventSource` 的 CloudWatch 为`monitoring.amazonaws.com`。
**自**:1.0
**可选**:False
**`eventName`**
请求的操作(服务的 API 中的某个操作)。
**自**:1.0
**可选**:False
**`awsRegion`**
向 Amazon Web Services 区域 其发出请求的,例如`us-east-2`。请参阅[CloudTrail 支持的区域](cloudtrail-supported-regions.md)。
**自**:1.0
**可选**:False
**`sourceIPAddress`**
已从中发出请求的 IP 地址。对于源自服务控制台的操作,报告的地址针对的是基础客户资源而不是控制台 Web 服务器。对于中的服务 Amazon,仅显示 DNS 名称。
对于由 Amazon发起的事件,此字段通常为 `AWS Internal/#`,其中 `#` 是供内部使用的编号。
**自**:1.0
**可选**:False
**`userAgent`**
发出请求的代理,例如 Amazon Web Services 管理控制台、 Amazon 服务、 Amazon SDKs 或 Amazon CLI。
此字段的最大大小为 1 KB;超过该限制的内容将被截断。对于配置为最大事件大小为 1 MB 的事件数据存储,仅当事件有效载荷超过 1 MB 且超过最大字段大小时,才会截断字段内容。
以下是值示例:
+ `lambda.amazonaws.com`:请求通过 Amazon Lambda发出。
+ `aws-sdk-java`:请求通过 适用于 Java 的 Amazon SDK发出。
+ `aws-sdk-ruby`:请求通过 适用于 Ruby 的 Amazon SDK发出。
+ `aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5`— 该请求是使用 Amazon CLI 安装在 Linux 上的。
对于源自的事件 Amazon,如果 CloudTrail 知道是谁拨打 Amazon Web Services 服务 了呼叫,则此字段是调用服务的事件源(例如,`ec2.amazonaws.com`)。否则,此字段为 `AWS Internal/#`,其中 `#` 是用于内部目的的数字。
**自**:1.0
**可选**:True
**`errorCode`**
如果请求返回错误,则表示 Amazon 服务错误。有关显示此字段的示例,请参阅 [示例错误代码及留言记录](cloudtrail-log-file-examples.md#error-code-and-error-message)。
此字段的最大大小为 1 KB;超过该限制的内容将被截断。对于配置为最大事件大小为 1 MB 的事件数据存储,仅当事件有效载荷超过 1 MB 且超过最大字段大小时,才会截断字段内容。
对于网络活动事件,当存在 VPC 端点策略违规行为时,错误代码为 `VpceAccessDenied`。
**自**:1.0
**可选**:True
**`errorMessage`**
如果请求返回一个错误,则为该错误的描述。此消息包括授权失败的消息。 CloudTrail 捕获服务在其异常处理中记录的消息。有关示例,请参阅[示例错误代码及留言记录](cloudtrail-log-file-examples.md#error-code-and-error-message)。
此字段的最大大小为 1 KB;超过该限制的内容将被截断。对于配置为最大事件大小为 1 MB 的事件数据存储,仅当事件有效载荷超过 1 MB 且超过最大字段大小时,才会截断字段内容。
对于网络活动事件,当存在 VPC 端点策略违规行为时,`errorMessage` 将始终显示以下消息:`The request was denied due to a VPC endpoint policy`。有关因违反 VPC 端点策略而导致的访问被拒绝事件的更多信息,请参阅《*IAM 用户指南*》中的[拒绝访问错误消息示例](https://docs.amazonaws.cn/IAM/latest/UserGuide/troubleshoot_access-denied.html#access-denied-error-examples)。有关显示 VPC 端点策略违规的网络活动事件示例,请参阅本指南中的[网络活动事件](cloudtrail-events.md#network-event-example)。
某些 Amazon 服务在活动中提供`errorCode`和`errorMessage`作为顶级字段。其他 Amazon 服务在 `responseElements` 中提供错误信息。
**自**:1.0
**可选**:True
**`requestParameters`**
与请求一起发送的参数(如果有)。这些参数记录在相应 Amazon 服务的 API 参考文档中。此字段的最大大小为 100 KB。当字段大小超过 100 KB 时,将省略 `requestParameters` 内容。对于配置为最大事件大小为 1 MB 的事件数据存储,仅当事件有效载荷超过 1 MB 且超过最大字段大小时,才会省略字段内容。
**自**:1.0
**可选**:False
**`responseElements`**
可做出更改的操作(创建、更新或删除操作)的响应元素(如果有)。因为 `readOnly` APIs,此字段是`null`。如果操作不返回响应元素,则此字段是 `null`。操作的响应元素记录在相应 Amazon Web Services 服务的 API 参考文档中。
此字段的最大大小为 100 KB。当字段大小超过 100 KB 时,将省略 `reponseElements` 内容。对于配置为最大事件大小为 1 MB 的事件数据存储,仅当事件有效载荷超过 1 MB 且超过最大字段大小时,才会省略字段内容。
该`responseElements`值对帮助您跟踪请求很有用 和 Amazon Web Services 支持。`x-amz-request-id` 和 `x-amz-id-2` 包含的信息都可帮助您使用 Amazon Web Services 支持跟踪请求。这些值与为响应启动事件的请求而返回的服务值相同,因此您可以使用这些值匹配事件与请求。
**自**:1.0
**可选**:False
**`additionalEventData`**
不是请求或响应一部分的关于事件的其他数据。此字段的最大大小为 28 KB。当字段大小超过 28 KB 时,将省略 `additionalEventData` 内容。对于配置为最大事件大小为 1 MB 的事件数据存储,仅当事件有效载荷超过 1 MB 且超过最大字段大小时,才会省略字段内容。
`additionalEventData` 的内容是可变的。例如,对于 [Amazon Web Services 管理控制台 登录事件](cloudtrail-event-reference-aws-console-sign-in-events.md),如果请求是由根用户或 IAM 用户使用多重身份验证(MFA)发出的,则 `additionalEventData` 可以包含值为 `Yes` 的 `MFAUsed` 字段。
**自**:1.0
**可选**:True
**`requestID`**
用于标识请求的值。所调用的服务生成此值。此字段的最大大小为 1 KB;超过该限制的内容将被截断。对于配置为最大事件大小为 1 MB 的事件数据存储,仅当事件有效载荷超过 1 MB 且超过最大字段大小时,才会截断字段内容。
**自**:1.01
**可选**:True
**`eventID`**
生成的 GUID CloudTrail 用于唯一标识每个事件。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。
**自**:1.01
**可选**:False
**`eventType`**
标识生了成事件记录的事件的类型。它可以是以下值之一:
+ `AwsApiCall`:调用了一个 API。
+ `AwsServiceEvent`:该服务生成了一个与跟踪相关的事件。例如,如果另一个账户使用您拥有的资源发起调用,则可能出现这种情况。
+ `AwsConsoleAction`:在控制台中执行了一个非 API 调用的操作。
+ `AwsConsoleSignIn`— 您的账户(根、IAM、联合账户、SAML 或 SwitchRole)中的用户登录了。 Amazon Web Services 管理控制台
+ `AwsVpceEvents`— CloudTrail 网络活动事件使 VPC 终端节点所有者能够记录使用其 VPC 终端节点从私有 VPC 到的 Amazon API 调用 Amazon Web Services 服务。要记录网络活动事件,VPC 端点所有者必须为事件源启用网络活动事件。
**自**:1.02
**可选**:False
**`apiVersion`**
标识与 `AwsApiCall` `eventType` 值关联的 API 版本。
**自**:1.01
**可选**:True
**`managementEvent`**
一个布尔值,标识该事件是否为管理事件。如果 `eventVersion` 为 1.06 或更高,则事件记录中将显示 `managementEvent`,并且事件类型为以下值之一:
+ `AwsApiCall`
+ `AwsConsoleAction`
+ `AwsConsoleSignIn`
+ `AwsServiceEvent`
**自**:1.06
**可选**:True
**`readOnly`**
标识此操作是否为只读操作。它可以是以下值之一:
+ `true`:操作为只读操作(例如,`DescribeTrails`)。
+ `false`:操作为只写操作(例如,`DeleteTrail`)。
**自**:1.01
**可选**:True
**`resources`**
事件中访问的资源列表。此字段可包含以下信息:
+ 资源 ARNs
+ 资源拥有者的账户 ID
+ 资源类型标识符,格式为:`AWS::aws-service-name::data-type-name`
例如,在记录 `AssumeRole` 事件时,`resources` 字段可能如下所示:
+ ARN:`arn:aws:iam::123456789012:role/myRole`
+ 账户 ID: `123456789012`
+ 资源类型标识符:`AWS::IAM::Role`
有关带有该`resources`字段的日志示例,请参阅 [Amazon STS IAM 用户指南中的 CloudTrail 日志文件中的 API 事件](https://docs.amazonaws.cn/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample)*或*Amazon Key Management Service 开发人员指南**中的[记录 Amazon KMS API 调用](https://docs.amazonaws.cn/kms/latest/developerguide/logging-using-cloudtrail.html)。
**自**:1.01
**可选**:True
**`recipientAccountId`**
表示已收到此事件的账户 ID。`recipientAccountID` 可能与 [CloudTrail 用户身份元素](cloudtrail-event-reference-user-identity.md) `accountId` 不同。此情况会在跨账户资源访问中发生。例如,如果一个单独的账户已使用 KMS 密钥(也称为 [Amazon KMS key](https://docs.amazonaws.cn/kms/latest/developerguide/concepts.html))调用 [Encrypt API](https://docs.amazonaws.cn/kms/latest/developerguide/ct-encrypt.html),则已传输到发起调用的账户的事件的 `accountId` 和 `recipientAccountID` 值将相同,而已传输到拥有 KMS 密钥的账户的事件的这两个值不相同。
**自**:1.02
**可选**:True
**`serviceEventDetails`**
确定服务事件,包括触发活动的原因和结果。有关更多信息,请参阅 [Amazon Web Services 服务 事件](non-api-aws-service-events.md)。此字段的最大大小为 100 KB。当字段大小超过 100 KB 时,将省略 `serviceEventDetails` 内容。对于配置为最大事件大小为 1 MB 的事件数据存储,仅当事件有效载荷超过 1 MB 且超过最大字段大小时,才会省略字段内容。
**自**:1.05
**可选**:True
**`sharedEventID`**
生成的 GUID CloudTrail ,用于唯一标识发送到不同 Amazon 账户的相同 Amazon 操作中的 CloudTrail 事件。
例如,当一个账户使用[Amazon KMS key](https://docs.amazonaws.cn/kms/latest/developerguide/concepts.html)属于另一个账户的时,使用 KMS 密钥的账户和拥有 KMS 密钥的账户会收到针对同一操作的单独 CloudTrail 事件。为此 Amazon 动作提供的每个 CloudTrail 事件都有相同的共同`sharedEventID`点, 但也有一个独特`eventID`的`recipientAccountID`.
有关更多信息,请参阅 [示例 sharedEventID](#shared-event-ID)。
仅当 CloudTrail 事件传送到多个账户时,该`sharedEventID`字段才会出现。如果调用方和所有者是同一 Amazon 账户, CloudTrail 只发送一个事件,并且不会存在 `sharedEventID` 字段。
**自**:1.03
**可选**:True
**`vpcEndpointId`**
标识从 VPC 向其他 Amazon 服务(例如 Amazon)发出请求的 VPC 终端节点 EC2。
对于由的 VPC 发起 Amazon 和通过 Amazon Web Services 服务的 VPC 发起的事件,此字段通常是`AWS Internal`或服务名称。
**自**:1.04
**可选**:True
**`vpcEndpointAccountId`**
标识请求已遍历的相应终端节点的 VPC 终端节点所有者的 Amazon Web Services 账户 ID。
对于由的 VPC 发起 Amazon 和通过 Amazon Web Services 服务的 VPC 发起的事件,此字段通常是`AWS Internal`或服务名称。
**从:**1.09
**可选**:True
**`eventCategory`**
显示事件类别。该事件类别在 [https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_LookupEvents.html) 调用中用于筛选管理事件。
+ 对于管理事件,值为 `Management`。
+ 对于数据事件,值为 `Data`。
+ 对于网络活动事件,值为 `NetworkActivity`。
**从:**1.07
**可选**:False
**`addendum`**
如果事件传递延迟,或者在记录事件后获得了有关现有事件的其他信息,则附录字段将显示有关事件延迟原因的信息。如果现有事件中缺少信息,则附录字段将包含缺失的信息以及缺失信息的原因。内容包括下列信息。
+ **`reason`**:事件或其部分内容丢失的原因。值可以是以下任何一项。
+ **`DELIVERY_DELAY`**:传送事件时出现延迟。这可能是由高网络流量、连接问题或 CloudTrail 服务问题引起的。
+ **`UPDATED_DATA`**:事件记录中的字段丢失或值不正确。
+ **`SERVICE_OUTAGE`**— 一项服务,用于 CloudTrail 记录发生中断的事件,但无法将事件记录到 CloudTrail。这种情况极为罕见。
+ **`updatedFields`**:由附录更新的事件记录字段。只有在原因为 `UPDATED_DATA` 时才提供此信息。
+ **`originalRequestID`**:请求的原始唯一 ID。只有在原因为 `UPDATED_DATA` 时才提供此信息。
+ **`originalEventID`**:原始事件 ID。只有在原因为 `UPDATED_DATA` 时才提供此信息。
**从:**1.08
**可选**:True
**`sessionCredentialFromConsole`**
值为`true`或的字符串`false`,用于显示事件是否源于会 Amazon Web Services 管理控制台 话。此字段不会显示出来,除非该值为 `true`,这意味着用于进行 API 调用的客户端是代理或外部客户端。如果使用了代理客户端,则不显示 `tlsDetails` 事件字段。
**从:**1.08
**可选**:True
**`eventContext`**
此字段存在于为配置为包含资源标签键或 IAM 全局条件键的事件存储记录的丰富事件中。有关更多信息,请参阅 [通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件](cloudtrail-context-events.md)。
内容包括以下信息:
+ `requestContext`:包含有关在授权过程中评估的 IAM 全局条件键的信息,包括有关主体、会话、网络和请求本身的更多详细信息。
+ `tagContext`:包括与 API 调用中涉及的资源关联的标签,以及与 IAM 主体(例如角色或用户)关联的标签。有关更多信息,请参阅[控制 IAM 主体进行的访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_iam-tags.html#access_iam-tags_control-principals)。
与已删除资源相关的 API 事件将没有资源标签。
`eventContext` 字段仅存在于配置为包含资源标签键和 IAM 全局条件键的事件数据存储的事件中。发送到**事件历史记录**、Amazon EventBridge、可使用 Amazon CLI `lookup-events`命令查看并传送到跟踪的事件将不包括该`eventContext`字段。
**从那时起:**1.11
**可选**:True
**`edgeDeviceDetails`**
显示有关作为请求目标的边缘设备的信息。目前,[https://www.amazonaws.cn/s3/outposts/](https://www.amazonaws.cn/s3/outposts/) 设备事件包括此字段。此字段的最大大小为 28 KB;超过该限制的内容将被截断。对于配置为最大事件大小为 1 MB 的事件数据存储,仅当事件有效载荷超过 1 MB 且超过最大字段大小时,才会截断字段内容。
**从:**1.08
**可选**:True
**`tlsDetails`**
显示有关传输层安全 (TLS) 版本、密码套件以及服务 API 调用中使用的客户端提供的主机名的完全限定域名 (FQDN) 的信息,该主机名通常是服务端点的 FQDN。 CloudTrail如果预期信息缺失或为空,仍会记录部分 TLS 详细信息。例如,如果存在 TLS 版本和密码套件,但`HOST`标头为空,则事件中仍会记录可用的 TLS 详细信息。 CloudTrail
+ **`tlsVersion`**:请求的 TLS 版本。
+ **`cipherSuite`**:请求的密码套件(所用安全算法的组合)。
+ **`clientProvidedHostHeader`**:服务 API 调用中使用的客户端提供主机名,通常是服务端点的 FQDN。
+ **`keyExchange`**-TLS 握手中使用的密钥交换方法。此字段表示连接使用的是经典密码学还是后量子密码学。示例值包括`X25519MLKEM768`后量子 TLS 1.3、`x25519`经典 TLS 1.3 和 TLS 1.2 `secp256r1` 的值。
在某些情况下,事件记录中不存在 `tlsDetails` 字段。
+ 如果 API 调用是由代表您进行的,则 Amazon Web Services 服务 该`tlsDetails`字段不存在。`userIdentity` 元素中的 `invokedBy` 字段用于标识发出 API 调用的 Amazon Web Services 服务 。
+ 如果 `sessionCredentialFromConsole` 存在且值为 true,则仅当使用外部客户端进行 API 调用时,`tlsDetails` 才存在于事件记录中。
**从:**1.08
**可选**:True
## 最大事件大小为 1 MB 时的字段截断顺序
使用[CloudTrail 控制台](query-event-data-store-cloudtrail.md)、和创建或更新事件数据存储时,可以将最大事件大小从 256 KB 扩展到 1 MB SDKs。[Amazon CLI](lake-cli-manage-eds.md#lake-cli-put-event-configuration)
扩展事件大小有助于分析事件和对事件进行故障排除,因为它允许您查看通常会被截断或省略的字段的完整内容。
当事件负载超过 1 MB 时,将按以下 CloudTrail 顺序截断字段:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `eventContext`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
如果事件有效载荷在截断后仍然无法减少到 1 MB 以下,则会发生错误。
## 示例 sharedEventID
以下示例描述了如何为同一个操作 CloudTrail 传送两个事件:
1. Alice 有 Amazon 账户 (111111111111) 并创建了一个。 Amazon KMS key她是此 KMS 密钥的所有者。
1. Bob 有 Amazon 账户 (222222222222)。Alice 向 Bob 提供使用该 KMS 密钥的权限。
1. 每个账户都有跟踪和单独的存储桶。
1. Bob 使用该 KMS 密钥来调用 `Encrypt` API。
1. CloudTrail 发送两个单独的事件。
+ 一个事件发送给 Bob。该事件显示他使用了该 KMS 密钥。
+ 一个事件发送给 Alice。该事件显示 Bob 使用了该 KMS 密钥。
+ 这些事件具有相同的 `sharedEventID`,但是 `eventID` 和 `recipientAccountID` 是唯一的。
![\[sharedEventID 字段在日志中的显示方式\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/images/event-reference-sharedEventId.png)
# CloudTrail 记录聚合事件的内容
Amazon CloudTrail 聚合的事件记录包括与其 JSON 负载中其他 CloudTrail 事件不同的字段。聚合事件包含以下字段:
**`eventVersion`**
聚合事件的版本。
**自**:1.0
**可选**:False
**`accountId`**
收到此事件的账户 ID。
**自**:1.0
**可选**:False
**`eventId`**
生成的 GUID CloudTrail ,用于唯一标识每个聚合事件。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。
**自**:1.0
**可选**:False
**`eventCategory`**
标识事件的类别。对于聚合事件,此值始终为`Aggregated`。按类别查询事件时,使用此字段进行筛选。
**自**:1.0
**可选**:False
**`eventType`**
标识聚合事件的类型。对于聚合事件,此值为`AwsAggregatedEvent`。
**自**:1.0
**可选**:False
**`awsRegion`**
汇总到此记录中的原子 CloudTrail 事件,例如`ap-northeast-1`。 Amazon Web Services 区域 这通常是发出服务 API 调用的区域。
**自**:1.0
**可选**:False
**`eventSource`**
记录基础事件的 Amazon 服务。
**自**:1.0
**可选**:False
**`timeWindow`**
原子 CloudTrail 事件聚合到此聚合事件记录中的时间间隔。该`timeWindow`字段包含窗口开始时间、窗口结束时间和窗口大小等详细信息。
**自**:1.0
**可选**:False
**`windowStart`**
聚合窗口的开头(包括在内),以世界时间 (UTC) 表示,以 ISO-8601 格式表示。
**自**:1.0
**可选**:False
**`windowEnd`**
聚合窗口的结尾,不包括在 UTC 中,以 ISO-8601 格式表示。
**自**:1.0
**可选**:False
**`windowSize`**
聚合窗口的持续时间。差异`windowEnd − windowStart`应该对应于`windowSize`。`windowSize`以 ISO-8601 格式表示。
**自**:1.0
**可选**:False
**`summary`**
基础原子事件的聚合摘要,按主要维度(例如`eventName`、`resourceARN`或`userIdentity`)分组,也可以按其他维度(例如、`userAgent``sourceIpAddress`、`errorCodes`)细分。
**自**:1.0
**可选**:False
摘要包含以下字段:
**`primaryDimension`**
此项的主要聚合维度`AwsAggregatedEvent`。这是聚合数据的主视图。例如,在`API_ACTIVITY`聚合模板中,主维度是`eventName`;在`RESOURCE_ACCESS`模板中,它是`resourceARN`;在`USER_ACTIONS`模板中,它是`userIdentity`。
**自**:1.0
**可选**:False
**`details`**
提供有关聚合原子事件的更多详细信息的其他维度。每个 Detail 对象可以提供相同基础事件的额外视图,例如`eventName`、`resourceARN``userIdentity`、`userAgent`和,`sourceIpAddress`具体视聚合模板而定。
**自**:1.0
**可选**:False
每个细节都提供以下信息:
**`dimension`**
用于对聚合事件进行分组的维度的名称。常见值包括:
+ `eventName`
+ `resourceARN`
+ `userIdentity`
+ `userAgent`
+ `sourceIpAddress`
**自**:1.0
**可选**:False
**`statistics`**
此维度的统计信息列表,其中每个条目代表一个存储桶(例如,一个事件名称或一个资源 ARN)及其聚合值。
**自**:1.0
**可选**:False
统计中的每个条目都包含以下信息:
**`name`**
关联维度中此统计数据的存储桶标识符或密钥。
**`value`**
给定维度中指定名称的聚合数值。
**`aggregationType`**
应用于为此维度计算`statistics.value`的聚合类型。允许的值:
+ `Count`— 事件数量。
**自**:1.0
**可选**:False
**`addendum`**
携带有关延迟交付或现有更新的元数据 AggregatedEvent。
**自**:1.0
**可选**:False
**`reason`**
延迟、更新或以其他方式补充的原因。`AwsAggregatedEvent`常用值可能包括(非详尽无遗):
+ `DELIVERY_DELAY`— 聚合数据的交付延迟(例如,网络问题或大量数据)。
+ `UPDATED_DATA`— 重新计算或更正了聚合数据。
+ `SERVICE_OUTAGE`— 底层服务中断影响了事件的可用性。
**自**:1.0
**可选**:True
## 聚合事件示例
以下是 CloudTrail 聚合事件 (`AwsAggregatedEvent`) 的示例。在此示例中, CloudTrail 汇总了该地区`cloudtrail-data.amazonaws.com`超过五分钟的时间窗口的`PutAuditEvents``us-east-1`呼叫。摘要块显示主要聚合维度 (`eventName`) 以及该时间段内发生的 30 个`PutAuditEvents`呼叫。详细信息条目进一步按照`resourceARN`、`userIdentity``userAgent`、和细分这些调用,`sourceIpAddress`以显示活动在资源、委托人和客户机之间的分布情况。
```
{
"eventVersion": "1.0",
"accountId": "111122223333",
"eventId": "4da798a8-1db6-4d17-8b51-4c33df06b56d",
"eventCategory": "Aggregated",
"eventType": "AwsAggregatedEvent",
"awsRegion": "us-east-1",
"eventSource": "cloudtrail-data.amazonaws.com",
"timeWindow":
{
"windowStart": "2025-10-30 23:45:00",
"windowEnd": "2025-10-30 23:50:00",
"windowSize": "PT5M"
},
"summary":
{
"primaryDimension":
{
"dimension": "eventName",
"statistics":
[
{
"name": "PutAuditEvents",
"value": 30
}
],
"aggregationType": "Count"
},
"details":
[
{
"dimension": "resourceARN",
"statistics":
[
{
"name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/1234abcd-12ab-34cd-56ef-1234567890ab",
"value": 20
},
{
"name": "arn:aws:cloudtrail:us-east-1:111122223333:channel/6789abcd-12ab-34cd-56ef-6789012345ab",
"value": 10
}
],
"aggregationType": "Count"
},
{
"dimension": "userIdentity",
"statistics":
[
{
"name": "AWSAccount:111122223333",
"value": 20
},
{
"name": "AWSService:AWS Internal",
"value": 10
}
],
"aggregationType": "Count"
},
{
"dimension": "userAgent",
"statistics":
[
{
"name": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
"value": 20
},
{
"name": "AWS Internal",
"value":10
}
],
"aggregationType": "Count"
},
{
"dimension": "sourceIpAddress",
"statistics":
[
{
"name": "1.2.3.4",
"value": 20
},
{
"name": "AWS Internal",
"value": 10
}
],
"aggregationType": "Count"
}
]
}
}
```
# CloudTrail 记录路径的 Insights 事件的内容
Amazon CloudTrail 跟踪的 Insights 事件记录包括与 JSON 结构中其他 CloudTrail 事件不同的字段,有时称为*有效负载*。 CloudTrail 跟踪的 Insights 事件包含以下字段:
+ **`eventVersion`**:事件的版本。
**从:**1.07
**可选**:False
+ **`eventType`**:事件类型。对于 Insights 事件,值始终为 `AwsCloudTrailInsight`。
**从:**1.07
**可选**:False
+ **`eventID`**— 由生成的 GUID CloudTrail ,用于唯一标识每个事件。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。
**从:**1.07
**可选**:False
+ **`eventTime`**:Insights 事件开始或停止的时间,以协调世界时(UTC)表示。
**从:**1.07
**可选**:False
+ **`awsRegion`**— Insights 事件发生 Amazon Web Services 区域 的地点,例如`us-east-2`。
**从:**1.07
**可选**:False
+ **`recipientAccountId`**:表示已收到此事件的账户 ID。
**从:**1.07
**可选**:True
+ **`sharedEventID`**— 由 CloudTrail Insights 生成的 GUID,用于唯一标识 Insights 事件。 `sharedEventID`在 Insights 事件开始和结束 Insights 事件之间很常见,它有助于将两个事件联系起来,以唯一的方式识别异常活动。您可以将 `sharedEventID` 视为整体 Insights 事件 ID。
**从:**1.07
**可选**:False
+ **`insightDetails`**— 跟踪的 CloudTrail Insights 事件记录包括一个`insightDetails`块,其中包含有关 Insights 事件底层触发器的信息,例如事件源、用户身份、用户代理、历史平均值或*基线*、统计数据、API 名称以及该事件是 Insights 事件的开始还是结束。
**从:**1.07
**可选**:False
+ **`state`**:事件是开始还是结束 Insights 事件。该值可以是 `Start` 或 `End`。
**从:**1.07
**可选**:False
+ **`eventSource`**— 作为异常活动来源的 Amazon 服务,例如`ec2.amazonaws.com`。
**从:**1.07
**可选**:False
+ **`eventName`**:Insights 事件的名称,通常是作为异常活动的源的 API 的名称。
**从:**1.07
**可选**:False
+ **`insightType`**:Insights 事件的类型。该值可以是 `ApiCallRateInsight` 或 `ApiErrorRateInsight`。
**从:**1.07
**可选**:False
+ **`errorCode`**:异常活动的错误代码。另请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 `errorCode`。
**从:**1.07
**可选**:True
+ **`insightContext`**— 有关 Amazon 工具(称为*用户代理*)、IAM 用户和角色(称为*用户身份*)的信息,以及与为生成 Insights 事件而 CloudTrail 分析的事件关联的错误代码。此元素还包括统计信息,显示了 Insights 事件中的异常活动与*基准*或正常活动对比的情况。
**从:**1.07
**可选**:False
+ **`statistics`**:包括有关*基准*的数据,或者在基准期内账户对主题 API 的典型平均调用或错误速率、触发 Insights 事件的调用或错误率、Insights 事件的持续时间(以分钟为单位)以及基准测量周期的持续时间(以分钟为单位)。
**从:**1.07
**可选**:False
+ **`baseline`**:基准持续时间内关于账户的 Insights 事件主题 API 的每分钟 API 调用或错误数,计算 Insights 事件开始之前七天内的值。
**从:**1.07
**可选**:False
+ **`average`**:Insights 活动开始时间之前的七天内每分钟 API 调用或错误数的历史平均值。
**从:**1.07
**可选**:False
+ **`insight`**:对于开始 Insights 事件,此值是在异常活动开始期间的每分钟平均 API 调用或错误次数。对于结束 Insights 事件,此值是在异常活动持续期间的每分钟平均 API 调用或错误次数。
**从:**1.07
**可选**:False
+ **`average`**:异常活动期间每分钟记录的平均 API 调用或错误数。
**从:**1.07
**可选**:False
+ **`insightDuration`**:Insights 事件的持续时间(在主题 API 中从异常活动开始到结束的时间段),以分钟为单位。在 Insights 事件开始和结束时都会发生 `insightDuration`。
**从:**1.07
**可选**:False
+ **`baselineDuration`**:基准周期的持续时间(在主题 API 中测量正常活动的时间段),以分钟为单位。`baselineDuration` 至少为 Insights 事件之前的七天时间(10080 分钟)。此字段同时出现在开始和结束见解事件中。`baselineDuration` 测量的结束时间始终是见解事件的开始。
**从:**1.07
**可选**:False
+ **`attributions`**:包含有关与异常活动和基准活动相关的用户身份、用户代理和错误代码的信息。在见解事件 `attributions` 数据块中捕获最多五个用户身份、五个用户代理和五个错误代码,按活动计数的平均值,从最高到最低的降序排列。
**从:**1.07
**可选**:True
+ **`attribute`**:包含属性类型。值可以是 `userIdentityArn`、`userAgent` 或 `errorCode`。如果存在,这些值在单个属性中只会出现一次。不同的属性值可以具有不同的 `userIdentityArn`、`userAgent` 或 `errorCode` 值,但是每个属性实例只会包含 `userIdentityArn`、`userAgent` 或 `errorCode` 的一个值。
**从:**1.07
**可选**:False
+ **`insight`**:此数据块显示对异常活动期间进行的 API 调用或错误有贡献的最多前五个属性值,按 API 调用或错误数量从最大到最小的降序排列。它还显示异常活动期间属性值进行的 API 调用或发生的错误的平均数量。
**从:**1.07
**可选**:False
+ **`value`**:对异常活动期间进行的 API 调用或错误有贡献的属性。
**从:**1.07
**可选:False** False
+ **`average`**:`value`字段中的属性在异常活动期间每分钟的 API 调用或错误数。
**从:**1.07
**可选:False** False
+ **`baseline`**:此数据块显示对正常活动期间进行的 API 调用或错误贡献最多的最多前五个属性值,按 API 调用或错误数量从最大到最小的降序排列。它还显示正常活动期间属性值进行的 API 调用或发生的错误的平均数量。
**从:**1.07
**可选:False** False
+ **`value`**:对正常活动期间的 API 调用或错误有贡献的属性。
**从:**1.07
**可选:False** False
+ **`average`**:在 Insights 活动开始时间之前的七天内,`value` 字段中的属性的每分钟 API 调用或错误的历史平均值。
**从:**1.07
**可选:False** False
+ **`eventCategory`**:事件的类别。对于 Insights 事件,值始终为 `Insight`。
**从:**1.07
**可选**:False
## 示例 `insightDetails` 数据块
下面是在不寻常地多次调用 Application Auto Scaling API `CompleteLifecycleAction` 时发生的见解事件的见解事件 `insightDetails` 数据块示例。有关完整见解事件的示例,请参阅 [Insights 事件](cloudtrail-events.md#cloudtrail-insights-events)。
此示例来自开始见解事件,通过 `"state": "Start"` 表示。`attributions`区块中显示了调用与 Insights 事件 APIs 关联的排名靠前的用户身份`CodeDeployRole3`、、和,以及他们对此 Insights 事件的平均 API 调用率以及该`CodeDeployRole1`角色的基准。`CodeDeployRole1` `CodeDeployRole2`该`attributions`区块还显示用户代理是`codedeploy.amazonaws.com`,这意味着顶级用户身份使用 Amazon CodeDeploy 控制台运行 API 调用。
因为没有与为了生成见解事件而分析的事件相关的错误代码(值为 `null`),错误代码的 `insight` 平均值与整个见解事件的总体 `insight` 平均值相同,显示在 `statistics` 数据块中。
```
"insightDetails": {
"state": "Start",
"eventSource": "autoscaling.amazonaws.com",
"eventName": "CompleteLifecycleAction",
"insightType": "ApiCallRateInsight",
"insightContext": {
"statistics": {
"baseline": {
"average": 0.0000882145
},
"insight": {
"average": 0.6
},
"insightDuration": 5,
"baselineDuration": 11336
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
"average": 0.2
},
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2",
"average": 0.2
},
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3",
"average": 0.2
}
],
"baseline": [
{
"value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
"average": 0.0000882145
}
]
},
{
"attribute": "userAgent",
"insight": [
{
"value": "codedeploy.amazonaws.com",
"average": 0.6
}
],
"baseline": [
{
"value": "codedeploy.amazonaws.com",
"average": 0.0000882145
}
]
},
{
"attribute": "errorCode",
"insight": [
{
"value": "null",
"average": 0.6
}
],
"baseline": [
{
"value": "null",
"average": 0.0000882145
}
]
}
]
}
}
```
# CloudTrail 为事件数据存储记录 Insights 事件的内容
Amazon CloudTrail 事件数据存储的 Insights 事件记录包括与 JSON 结构中其他CloudTrail 事件不同的字段,有时称为*负载*。事件数据存储的 CloudTrail Insights 事件记录包括以下字段:
**注意**
`insightContext` 的 `attributions` 字段中的 `insightValue`、`insightAverage`、`baselineValue` 和 `baselineAverage` 字段将于 2025 年 6 月 23 日开始弃用。
+ **`eventVersion`**:日志事件格式的版本。
**可选**:False
+ **`eventCategory`**:事件的类别。对于 Insights 事件,值始终为 `Insight`。
**可选**:False
+ **`eventType`**:事件类型。对于 Insights 事件,值始终为 `AwsCloudTrailInsight`。
**可选**:False
+ **`eventID`**— 由生成的 GUID CloudTrail ,用于唯一标识每个事件。您可以使用此值来标识单个事件。例如,您可以将此 ID 用作主键来从可搜索的数据库中检索日志数据。
**可选**:False
+ **`eventTime`**:Insights 事件开始或停止的时间,以协调世界时(UTC)表示。
**可选**:False
+ **`awsRegion`**— Insights 事件发生 Amazon Web Services 区域 的地点,例如`us-east-2`。
**可选**:False
+ **`recipientAccountId`**:表示已收到此事件的账户 ID。
**可选**:True
+ **`sharedEventID`**— 由 CloudTrail Insights 生成的 GUID,用于唯一标识 Insights 事件。 `sharedEventID`在 Insights 事件开始和结束 Insights 事件之间很常见,它有助于将两个事件联系起来,以唯一的方式识别异常活动。您可以将 `sharedEventID` 视为整体 Insights 事件 ID。
**可选**:False
+ **`addendum`**:如果事件传递延迟,或者在记录事件后获得了有关现有事件的其他信息,则附录字段将显示有关事件延迟原因的信息。如果现有事件中缺少信息,则附录字段将包含缺失的信息以及缺失信息的原因。另请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 `addendum`。
**可选**:True
+ **`insightSource`**:用于收集所分析的管理事件的源事件数据存储。
**可选**:False
+ **`insightState`**:事件是开始还是结束 Insights 事件。该值可以是 `Start` 或 `End`。
**可选**:False
+ **`insightEventSource`**— Amazon Web Services 服务 那是异常活动的来源,例如`ec2.amazonaws.com`。
**可选**:False
+ **`insightEventName`**:Insights 事件的名称,通常是作为异常活动的源的 API 的名称。
**可选**:False
+ **`insightErrorCode`**:异常活动的错误代码。另请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 `errorCode`。
**可选**:True
+ **`insightType`**:Insights 事件的类型。该值可以是 `ApiCallRateInsight` 或 `ApiErrorRateInsight`。
**可选**:False
+ **`insightContext`**:包含有关 Insights 事件底层触发器的信息,例如用户身份、用户代理、历史平均值或*基准*以及 Insights 持续时间和平均值。
**可选**:False
+ **`baselineAverage`**:在基准持续时间内,关于该账户的 Insights 事件主题 API 的平均每分钟 API 调用或错误次数,计算 Insights 事件开始之前七天内的值。
**可选**:False
+ **`insightAverage`**:对于开始 Insights 事件,此值是在异常活动开始期间的每分钟平均 API 调用或错误次数。对于结束 Insights 事件,此值是在异常活动持续期间的每分钟平均 API 调用或错误次数。
**可选**:False
+ **`baselineDuration`**:基准周期的持续时间(在主题 API 中测量正常活动的时间段),以分钟为单位。`baselineDuration` 至少为 Insights 事件之前的七天时间(10080 分钟)。此字段同时出现在开始和结束见解事件中。`baselineDuration` 测量的结束时间始终是见解事件的开始。
**可选**:False
+ **`insightDuration`**:Insights 事件的持续时间(在主题 API 中从异常活动开始到结束的时间段),以分钟为单位。在 Insights 事件开始和结束时都会发生 `insightDuration`。
**可选**:False
+ **`attributions`**:包含有关与异常活动和基准活动相关的用户身份、用户代理或错误代码的信息。
**可选**:True
**注意**
`insightContext` 的 `attributions` 字段中的 `insightValue`、`insightAverage`、`baselineValue` 和 `baselineAverage` 字段将于 2025 年 6 月 23 日开始弃用。
+ **`attribute`**:包含属性类型。值可以是 `userIdentityArn`、`userAgent` 或 `errorCode`。如果存在,这些值在单个属性中只会出现一次。不同的属性值可以具有不同的 `userIdentityArn`、`userAgent` 或 `errorCode` 值,但是每个属性实例只会包含 `userIdentityArn`、`userAgent` 或 `errorCode` 的一个值。
**可选**:False
+ **`insightValue`**:异常活动期间进行的 API 调用或发生的错误的顶级属性值。
**可选**:False
+ **`insightAverage`**:`insightValue`字段中的属性在异常活动期间每分钟的 API 调用或错误数。
**可选**:False
+ **`baselineValue`**:对正常活动期间记录的 API 调用或错误有贡献的顶级属性值。
**可选**:False
+ **`baselineAverage`**:在 Insights 活动开始时间之前的七天内,`baselineValue` 字段中的属性的每分钟 API 调用或错误的历史平均值。
**可选**:False
+ **`insight`**:对异常活动期间进行的 API 调用或错误有贡献的前五个属性值。它还显示异常活动期间属性进行的 API 调用或发生的错误的平均数量。
**可选**:False
+ **`value`**:对异常活动期间进行的 API 调用或错误有贡献的属性。
**可选**:False
+ **`average`**:`value`字段中的属性在异常活动期间每分钟 API 调用或错误的平均数量。
**可选**:False
+ **`baseline`**:对正常活动期间的 API 调用或错误最有贡献的前五个属性值。它还显示属性值在正常活动期间记录的 API 调用或错误的平均数量。
**可选**:False
+ **`value`**:对正常活动期间的 API 调用或错误有贡献的属性。
**可选**:False
+ **`average`**:在 Insights 活动开始时间之前的七天内,`value` 字段中的属性的每分钟 API 调用或错误的历史平均值。
**可选**:False
# CloudTrail 用户身份元素
Amazon Identity and Access Management (IAM) 提供不同类型的身份。`userIdentity` 元素包含有关发出请求的 IAM 身份的类型的详细信息,以及使用了哪些凭证。如果使用的是临时证书,则该元素显示证书是如何获取的。
**Contents**
+ [示例](#cloudtrail-event-reference-user-identity-examples)
+ [字段](#cloudtrail-event-reference-user-identity-fields)
+ [SAML 和 Web 联合身份验证的值 Amazon STS APIs](#STS-API-SAML-WIF)
+ [Amazon STS 来源身份](#STS-API-source-identity)
## 示例
**`userIdentity` 与 IAM 用户凭证**
以下示例显示使用名为 `Alice` 的 IAM 用户的证书发出的简单请求的 `userIdentity` 元素。
```
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAJ45Q7YFFAREXAMPLE",
"arn": "arn:aws:iam::123456789012:user/Alice",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "Alice"
}
```
**使用临时安全证书的 `userIdentity`**
以下示例显示使用通过代入 IAM 角色获取的临时安全凭证发出的请求的 `userIdentity` 元素。该元素包含有关为获取证书而担任的角色的其他详细信息。
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName",
"accountId": "123456789012",
"accessKeyId": "",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIDPPEZS35WEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed",
"accountId": "123456789012",
"userName": "RoleToBeAssumed"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "20131102T010628Z"
}
}
}
```
**代表 IAM Identity Center 用户发出的请求的 `userIdentity`**
以下示例显示代表 IAM Identity Center 用户发出的请求的 `userIdentity` 元素。
```
"userIdentity": {
"type": "IdentityCenterUser",
"accountId": "123456789012",
"onBehalfOf": {
"userId": "544894e8-80c1-707f-60e3-3ba6510dfac1",
"identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9067642ac7"
},
"credentialId": "EXAMPLEVHULjJdTUdPJfofVa1sufHDoj7aYcOYcxFVllWR_Whr1fEXAMPLE"
}
```
要了解有关如何使用`userId``identityStoreArn`、和`credentialId`的更多信息,请参阅 IAM Ident [ity Center 用户*指南中的在 IAM Identity Center 用户发起 CloudTrail 的事件中识别用户*和会话](https://docs.amazonaws.cn/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html#user-session-iam-identity-center)。
**`userIdentity`根据产品提供商发起的请求**
产品提供商使用临时委派访问权限执行的所有操作都会自动登录 CloudTrail。这使您 Amazon 账户中产品提供商活动的全面可见性和可审计性。您可以确定产品提供商采取了哪些操作、操作发生的时间以及执行这些操作的产品提供商账户。
为了帮助您区分自己的 IAM 委托人采取的操作和具有委托访问权限的产品提供商采取的操作, CloudTrail 事件在`userIdentity`元素`invokedByDelegate`下添加了一个名为的新字段。此字段包含产品提供商的 Amazon 账户 ID,便于筛选和审计所有委托的操作。
以下示例显示了产品提供商使用临时委托访问权限执行的操作的`userIdentity`元素。
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAI...",
"arn": "arn:aws:sts::123456789012:assumed-role/Alice/Session",
"accountId": "123456789012",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAI...",
"arn": "arn:aws:iam::123456789012:role/Alice",
"accountId": "123456789012",
"userName": "Alice"
},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "20131102T010628Z"
}
},
"invokedByDelegate": {
"accountId": "999999999999"
}
}
```
该`invokedByDelegate`字段包含使用委托访问权限执行操作的产品提供商的 Amazon 账户 ID。在此示例中,账户 999999999999(产品提供商)在账户 123456789012(客户账户)中执行了操作。
## 字段
以下字段可显示在 `userIdentity` 元素中。
**`type`**
身份的类型。以下是可能的值:
+ `Root`— 请求是使用您的 Amazon Web Services 账户 凭据提出的。如果 `userIdentity` 类型为 `Root`,并且您为账户设置了别名,则 `userName` 字段包含您的账户别名。有关更多信息,请参阅[您的 Amazon Web Services 账户 ID 及其别名](https://docs.amazonaws.cn/IAM/latest/UserGuide/console_account-alias.html)。
+ `IAMUser`:已使用 IAM 用户的凭证发出请求。
+ `AssumedRole`:已使用角色通过调用 Amazon Security Token Service (Amazon STS)[https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html) API 获得的临时安全凭证发出请求。这可包括[适用于 Amazon EC2 的角色](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)和跨账户 API 访问。
+ `Role`:已由具有特定权限的持久 IAM 身份发出请求。角色会话的发出者始终为角色。有关角色的更多信息,请参阅 *IAM 用户指南*中的[角色术语和概念](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)。
+ `FederatedUser`— 该请求是使用通过调用 Amazon STS [https://docs.amazonaws.cn/STS/latest/APIReference/API_GetFederationToken.html](https://docs.amazonaws.cn/STS/latest/APIReference/API_GetFederationToken.html)API 获得的临时安全证书发出的。`sessionIssuer` 元素指示是使用根还是 IAM 用户凭证调用了该 API。
有关临时安全凭证的更多信息,请参阅《IAM 用户指南》**中的[临时安全凭证](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp.html)。
+ `Directory`:向目录服务发出了请求,类型未知。目录服务包括以下内容:Amazon WorkDocs 和 Amazon Quick。
+ `AWSAccount`— 请求是由另一个人提出的 Amazon Web Services 账户
+ `AWSService`— 该请求是由属于 Amazon Web Services 账户 的提出的 Amazon Web Services 服务。例如, Amazon Elastic Beanstalk 在您的账户中扮演一个 IAM 角色来 Amazon Web Services 服务 代表您呼叫其他人。
+ `IdentityCenterUser`:代表 IAM Identity Center 用户发出的请求。
+ `Unknown`— 请求使用 CloudTrail 无法确定的身份类型发出。
**可选**:False
当使用您拥有的 IAM 角色进行跨账户访问时,日志中将显示 `type` 的 `AWSAccount` 和 `AWSService`。
**示例:由另一个 Amazon 账户发起的跨账户访问**
1. 您在自己的账户中拥有一个 IAM 角色。
1. 另一个 Amazon 账户切换到该角色来代替您的账户的角色。
1. 由于您拥有 IAM 角色,因此您将收到一个显示已代入此角色的其他账户的日志。`type` 为 `AWSAccount`。有关日志条目的示例,请参阅[ CloudTrail 日志文件中的Amazon STS API 事件](https://docs.amazonaws.cn/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample)。
**示例:服务发起的跨账户访问 Amazon**
1. 您在自己的账户中拥有一个 IAM 角色。
1. Amazon 服务拥有的 Amazon 账户将扮演该角色。
1. 由于您拥有 IAM 角色,因此您将收到一个显示已代入此角色的 Amazon 服务的日志。`type` 为 `AWSService`。
**`userName`**
已发出调用的身份的友好名称。`userName` 中显示的值基于 `type` 中的值。下表显示 `type` 和 `userName` 之间的关系:
[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
当记录的事件为由错误用户名称输入导致的控制台登录失败时,`userName` 字段包含字符串 `HIDDEN_DUE_TO_SECURITY_REASONS`。在此情况下,CloudTrail 不记录内容,因为文本可能包含敏感信息,如以下示例所示:
+ 用户不小心在用户名称字段中键入了密码。
+ 用户单击一个 Amazon 账户登录页面的链接,然后键入另一个账户的账号。
+ 用户意外键入了个人电子邮件账户的账户名称、银行登录标识符或某个其他私有 ID。
**可选**:True
**`principalId`**
已发出调用的实体的唯一标识符。对于使用临时安全证书发出的请求,此值包括将传递到 `AssumeRole`、`AssumeRoleWithWebIdentity` 或 `GetFederationToken` API 调用的会话名称。
**可选**:True
**`arn`**
已发出调用的主体的 Amazon 资源名称(ARN)。arn 的最后一个部分包含已发出调用的用户或角色。
**可选**:True
**`accountId`**
拥有已授予请求权限的实体的账户。如果已使用临时安全凭证发出请求,则该账户为拥有用于获取凭证的 IAM 用户或角色的账户。
如果已使用 IAM Identity Center 授权的访问令牌发出请求,则该账户为拥有 IAM Identity Center 实例的账户。
**可选**:True
**`accessKeyId`**
用于对请求签名的 访问密钥 ID。如果已使用临时安全证书发出请求,则为临时证书的访问密钥 ID。出于安全原因,`accessKeyId` 可能不存在,也可能显示为空字符串。
**可选**:True
**`sessionContext`**
如果已使用临时安全凭证发出请求,`sessionContext` 会提供为这些凭证创建的会话的相关信息。当您调用任何返回临时凭证的 API 时,会创建会话。用户在控制台中工作时还会创建会话,并使用 APIs 包括[多因素身份验证](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa.html)在内的请求发出请求。以下属性可以出现在 `sessionContext` 中:
+ `sessionIssuer`:如果用户使用临时安全凭证发出请求,`sessionIssuer` 会提供有关凭证获取方式的信息。例如,如果用户通过代入角色来获取临时安全凭证,则此元素提供有关所代入角色的信息。如果用户通过使用根或 IAM 用户凭证调用 Amazon STS `GetFederationToken` 来获取凭证,则此元素提供有关根账户或 IAM 用户的信息。此元素具有以下属性:
+ `type`:临时安全凭证的源,例如 `Root`、`IAMUser` 或 `Role`。
+ `userName`:已发布会话的用户或角色的友好名称。显示的值取决于 `sessionIssuer` 身份 `type`。下表显示 `sessionIssuer type` 和 `userName` 之间的关系:
[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
+ `principalId`:已用于获取凭证的实体的内部 ID。
+ `arn`:已用于获取临时安全凭证的源(账户、IAM 用户或角色)的 ARN。
+ `accountId`:拥有已用于获取凭证的实体的账户。
+ `webIdFederationData`:如果已使用通过 [Web 身份联合验证](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_oidc.html)获取的临时安全凭证发出请求,`webIdFederationData` 会列出有关身份提供商的信息。
此元素具有以下属性:
+ `federatedProvider`:身份提供者的主体名称(例如,适用于 Login with Amazon 的 `www.amazon.com` 或适用于 Google 的 `accounts.google.com`)。
+ `attributes`:提供商报告的应用程序 ID 和用户 ID(例如,适用于 Login with Amazon 的 `www.amazon.com:app_id` 和 `www.amazon.com:user_id`)。
**注意**
省略此字段或存在此字段且值为空表示没有关于身份提供者的信息。
+ `assumedRoot`— 该值`true`用于管理账户或委托管理员呼叫时的临时会话 Amazon STS [https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRoot.html](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRoot.html)。有关更多信息,请参阅 *IAM 用户指南 CloudTrail*[中的跟踪特权任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/cloudtrail-track-privileged-tasks.html)。此为可选字段。
+ `attributes`:会话的属性。
+ `creationDate`:颁发临时安全凭证时的日期和时间。用 ISO 8601 基本表示法表示。
+ `mfaAuthenticated`:如果将凭证用于请求的根用户或 IAM 用户还通过 MFA 设备进行身份验证,则值为 `true`;否则为 `false`。
+ `sourceIdentity`:请参阅本主题中的 [Amazon STS 来源身份](#STS-API-source-identity)。`sourceIdentity` 字段出现在用户代入 IAM 角色执行操作的事件中。`sourceIdentity` 识别发出请求的原始用户身份,无论该用户的身份是 IAM 用户、IAM 角色、通过基于 SAML 的联合身份验证进行身份验证的用户,还是通过符合 OpenID Connect(OIDC)的 Web 身份联合验证进行身份验证的用户。有关配置 Amazon STS 以收集源身份信息的更多信息,请参阅 *IAM 用户指南*中的[监控和控制使用代入角色执行的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html)。
+ `ec2RoleDelivery`— `1.0` 如果凭证由 Amazon EC2 实例元数据服务版本 1 (IMDSv1) 提供,则该值为。如果凭证是使用新的 IMDS 方案提供的,则值为 `2.0`。
Amazon 亚马逊 EC2 实例元数据服务 (IMDS) 提供的证书包括 ec2: RoleDelivery IAM 上下文密钥。通过在 IAM 策略、资源策略 service-by-service或 Amazon Organizations 服务控制策略中使用上下文密钥作为条件,此上下文密钥便于在或 resource-by-resource的基础上强制使用新方案。有关更多信息,请参阅《Amazon EC2 用户指南**》中的[实例元数据和用户数据](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-instance-metadata.html)。
**可选**:True
**`invokedBy`**
当请求是由诸如 Amazon EC2 Auto Scaling 或之 Amazon Web Services 服务 类的公司提出请求时,发出请求的名称 Amazon Elastic Beanstalk。 Amazon Web Services 服务 仅当 Amazon Web Services 服务发出请求时,此字段才会出现。这包括服务使用正向访问会话 (FAS)、 Amazon Web Services 服务 委托人、服务相关角色或使用的服务角色发出的请求。 Amazon Web Services 服务
**可选**:True
**`invokedByDelegate`**
跟踪产品提供商在您的 Amazon 账户中使用临时委派访问权限发出的请求。仅当产品提供商使用委托权限发起 API 请求时,才会显示此字段。如果存在,则`invokedByDelegate`提供有关提出请求的产品提供商账户的信息。此元素具有以下属性:
+ `accountId`— 发起请求的产品提供商的 Amazon 账户 ID。
有关 CloudTrail 事件中委派访问权限的更多信息和 JSON 示例,请参阅 *IAM 用户指南*中的[临时安全证书CloudTrail 条目](https://docs.amazonaws.cn/IAM/latest/UserGuide/temporary-delegation-cloudtrail.html)。
**可选**:True
**`onBehalfOf`**
如果请求由 IAM Identity Center 调用者发出,`onBehalfOf` 会提供有关发出调用的 IAM Identity Center 用户 ID 和身份存储 ARN 的信息。此元素具有以下属性:
+ `userId`:代表其发出调用的 IAM Identity Center 用户 ID。
+ `identityStoreArn`:代表其发出调用的 IAM Identity Center 身份存储的 ARN。
**可选**:True
**`inScopeOf`**
如果请求是在范围内(例如 Lambda 或 Amazon ECS)发出的,则它会提供与请求相关的资源或证书的相关信息。 Amazon Web Services 服务此元素可以包含以下属性:
+ `sourceArn`— 调用请求的资源的 ARN。 service-to-service
+ `sourceAccount`:`sourceArn`的所有者账户 ID。它与 `sourceArn` 一起出现。
+ `issuerType`:`credentialsIssuedTo`的资源类型。例如 `AWS::Lambda::Function`。
+ `credentialsIssuedTo`:与颁发凭证的环境相关的资源。
**可选**:True
**`credentialId`**
请求的凭证 ID。只有当调用者使用持有者令牌(例如 IAM Identity Center 授权的访问令牌)时,才会设置此选项。
**可选**:True
## SAML 和 Web 联合身份验证的值 Amazon STS APIs
Amazon CloudTrail 支持使用安全断言标记语言 Amazon Security Token Service (SAML Amazon STS) 和 Web 联合身份验证进行的 logging () API 调用。当用户调用和时 [https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) APIs,会 CloudTrail 记录该呼叫[https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRoleWithSAML.html)并将事件传送到您的 Amazon S3 存储桶。
这些`userIdentity`元素 APIs 包含以下值。
**`type`**
身份类型。
+ `SAMLUser`:已使用 SAML 断言发出请求。
+ `WebIdentityUser`:已通过 Web 联合身份提供商发出请求。
**`principalId`**
已发出调用的实体的唯一标识符。
+ 对于 `SAMLUser`,这是 `saml:namequalifier` 和 `saml:sub` 密钥的组合。
+ 对于 `WebIdentityUser`,这是发布者、应用程序 ID 和用户 ID 的组合。
**`userName`**
已发出调用的身份的名称。
+ 对于 `SAMLUser`,这是 `saml:sub` 密钥。
+ 对于 `WebIdentityUser`,这是用户 ID。
**`identityProvider`**
外部身份提供者的主体名称。只有 `SAMLUser` 或 `WebIdentityUser` 类型才显示此字段。
+ 对于 `SAMLUser`,这是 SAML 断言的 `saml:namequalifier` 密钥。
+ 对于 `WebIdentityUser`,这是 Web 联合身份验证提供商的发布者名称。它可以是您配置的提供商,如下所示:
+ Amazon Cognito 的 `cognito-identity.amazon.com`
+ Login with Amazon 的 `www.amazon.com`
+ Google 的 `accounts.google.com`
+ Facebook 的 `graph.facebook.com`
下面是 `AssumeRoleWithWebIdentity` 操作的示例 `userIdentity` 元素。
```
"userIdentity": {
"type": "WebIdentityUser",
"principalId": "accounts.google.com:application-id.apps.googleusercontent.com:user-id",
"userName": "user-id",
"identityProvider": "accounts.google.com"
}
```
有关`userIdentity`元素的显示方式`SAMLUser`和`WebIdentityUser`类型的日志示例,请参阅使用[记录 IAM 和 Amazon STS API 调用 Amazon CloudTrail](https://docs.amazonaws.cn/IAM/latest/UserGuide/cloudtrail-integration.html)。
## Amazon STS 来源身份
IAM 管理员可以配置 Amazon Security Token Service 为要求用户在使用临时证书代入角色时指定其身份。`sourceIdentity` 字段出现在用户代入 IAM 角色或使用代入的角色执行任何操作的事件中。
`sourceIdentity` 字段识别发出请求的原始用户身份,无论该用户的身份是 IAM 用户、IAM 角色、使用基于 SAML 的联合身份进行身份验证的用户,还是使用符合 OpenID Connect(OIDC)的 Web 联合身份进行身份验证的用户。IAM 管理员配置后 Amazon STS,在事件 CloudTrail 记录中的以下事件和位置中记录`sourceIdentity`信息:
+ 用户身份代入角色时发出的`AssumeRoleWithSAML`、或`AssumeRoleWithWebIdentity`调用。 Amazon STS `AssumeRole` `sourceIdentity`可以在 Amazon STS 通话`requestParameters`块中找到。
+ 用户身份使用角色担任另一个角色时发出的`AssumeRoleWithSAML`、或`AssumeRoleWithWebIdentity`调用,称为[角色链](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-role-chaining)。 Amazon STS `AssumeRole` `sourceIdentity`可以在 Amazon STS 通话`requestParameters`块中找到。
+ Amazon 服务 API 调用是用户身份在担任角色并使用分配的临时凭证时进行的 Amazon STS。在服务 API 事件中,`sourceIdentity` 可以位于 `sessionContext` 数据块中。例如,如果用户身份创建新 S3 存储桶,则在 `CreateBucket` 事件的 `sessionContext` 数据块中会发生 `sourceIdentity`。
有关如何进行配置 Amazon STS 以收集源身份信息的更多信息,请参阅 *IAM 用户指南*中的[监控和控制使用代入角色执行的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_control-access_monitor.html)。有关记录到 Amazon STS 的事件的更多信息 CloudTrail,请参阅 [IAM *用户指南 Amazon CloudTrail中的使用记录 IAM* 和 Amazon STS API 调用](https://docs.amazonaws.cn/IAM/latest/UserGuide/cloudtrail-integration.html)。
下面是事件的示例代码段,其中显示了 `sourceIdentity` 字段。
**示例 `requestParameters` 部分**
在以下示例事件片段中,用户发出 Amazon STS `AssumeRole`请求并设置源身份,此处用`source-identity-value-set`表示。用户代入由角色 ARN `arn:aws:iam::123456789012:role/Assumed_Role` 表示的角色。`sourceIdentity` 字段位于事件的 `requestParameters` 数据块中。
```
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AIDAJ45Q7YFFAREXAMPLE",
"accountId": "123456789012"
},
"eventTime": "2020-04-02T18:20:53Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.64",
"userAgent": "aws-cli/1.16.96 Python/3.6.0 Windows/10 botocore/1.12.86",
"requestParameters": {
"roleArn": "arn:aws:iam::123456789012:role/Assumed_Role",
"roleSessionName": "Test1",
"sourceIdentity": "source-identity-value-set",
},
```
**示例 `responseElements` 部分**
在以下示例事件片段中,用户 Amazon STS `AssumeRole`请求代入名为`Developer_Role`的角色并设置源身份。`Admin`用户代入由角色 ARN `arn:aws:iam::111122223333:role/Developer_Role` 表示的角色。`sourceIdentity` 字段显示在事件的 `responseElements` 和 `requestParameters` 数据块中。用于代入角色的临时证书、会话令牌字符串以及代入的角色 ID、会话名称和会话 ARN 与源身份一起显示在 `responseElements` 数据块中。
```
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/Developer_Role",
"roleSessionName": "Session_Name",
"sourceIdentity": "Admin"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"expiration": "Jan 22, 2021 12:46:28 AM",
"sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz"
},
"assumedRoleUser": {
"assumedRoleId": "AROACKCEVSQ6C2EXAMPLE:Session_Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Developer_Role/Session_Name"
},
"sourceIdentity": "Admin"
}
...
```
**示例 `sessionContext` 部分**
在以下示例事件片段中,用户扮演一个名为的角色`DevRole`来调用 Amazon 服务 API。用户设置源身份,此处用表示*source-identity-value-set*。`sourceIdentity` 字段位于 `userIdentity` 数据块中,处在事件的 `sessionContext` 数据块内。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAJ45Q7YFFAREXAMPLE: Dev1",
"arn": "arn: aws: sts: : 123456789012: assumed-role/DevRole/Dev1",
"accountId": "123456789012",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAJ45Q7YFFAREXAMPLE",
"arn": "arn: aws: iam: : 123456789012: role/DevRole",
"accountId": "123456789012",
"userName": "DevRole"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-02-21T23: 46: 28Z"
},
"sourceIdentity": "source-identity-value-set"
}
}
}
```
# 捕获的非 API 事件 CloudTrail
除了记录 Amazon API 调用外,还可以 CloudTrail 捕获可能对您的 Amazon 账户造成安全性或合规性影响或可能有助于您解决操作问题的其他相关事件。
+ [Amazon Web Services 服务 事件](non-api-aws-service-events.md) — CloudTrail 支持记录非 API 服务事件。这些事件由 Amazon 服务创建,但不是由对公共 Amazon API 的请求直接触发的。对于这些事件,`eventType` 字段为 `AwsServiceEvent`。
+ [Amazon Web Services 管理控制台 登录事件](cloudtrail-event-reference-aws-console-sign-in-events.md) — CloudTrail 记录登录到 Amazon Web Services 管理控制台、 Amazon 讨论论坛和 Support Center 的 Amazon 尝试次数。所有 IAM 用户和根用户登录事件以及所有联合用户登录事件都会在中生成记录。 CloudTrail对于登录事件,`eventType` 字段为 `AwsConsoleSignIn`。
# Amazon Web Services 服务 事件
CloudTrail 支持记录非 API 服务事件。这些事件由 Amazon 服务创建,但不是由对公共 Amazon API 的请求直接触发的。对于这些事件,`eventType` 字段为 `AwsServiceEvent`。
以下是客户托管密钥在 Amazon Key Management Service (Amazon KMS) 中自动轮换时的 Amazon 服务事件场景示例。有关轮换 KMS 密钥的更多信息,请参阅[轮换 KMS 密钥](https://docs.amazonaws.cn/kms/latest/developerguide/rotate-keys.html)。
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-01-14T01:41:59Z",
"eventSource": "kms.amazonaws.com",
"eventName": "RotateKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "a24b3967-ddad-417f-9b22-2332b918db06",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"rotationType": "AUTOMATIC",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
},
"eventCategory": "Management"
}
```
# Amazon Web Services 管理控制台 登录事件
CloudTrail 记录尝试登录 Amazon Web Services 管理控制台、 Amazon 讨论论坛和 Su Amazon pport Center。所有 IAM 用户和根用户登录事件以及所有联合用户登录事件都会在 CloudTrail 日志文件中生成记录。有关查找和查看日志的信息,请参阅 [正在查找您的 CloudTrail 日志文件](get-and-view-cloudtrail-log-files.md#cloudtrail-find-log-files) 和 [正在下载您的 CloudTrail 日志文件](cloudtrail-read-log-files.md)。
您可以使用[Amazon 用户通知服务](https://docs.amazonaws.cn/notifications/latest/userguide/what-is.html)设置传递渠道以获取有关 Amazon CloudTrail 事件的通知。当事件与指定的规则匹配时,会收到通知。您可以通过多个渠道接收事件通知,包括电子邮件、[聊天应用程序中的 Amazon Q 开发者版](https://docs.amazonaws.cn/chatbot/latest/adminguide/what-is.html)聊天通知或 [Amazon Console Mobile Application](https://docs.amazonaws.cn/consolemobileapp/latest/userguide/what-is-consolemobileapp.html) 推送通知。您还可以在[控制台通知中心](https://console.amazonaws.cn/notifications/)查看通知。 用户通知服务 支持聚合,这可以减少在具体事件期间收到的通知数量。
**注意**
`ConsoleLogin` 事件中记录的区域因用户类型以及您使用全球还是区域性端点登录而异。
如果您以 root 用户身份登录,则将事件 CloudTrail 记录在 us-east-1 中。
如果您使用 IAM 用户登录并使用全局终端节点,则按如下方式 CloudTrail 记录`ConsoleLogin`事件的区域:
如果浏览器中存在账户别名 cookie,则会在以下区域之一 CloudTrail 记录`ConsoleLogin`事件:us-east-2、eu-north-1 或 ap-southeast-2。这是因为控制台代理根据用户登录位置的延迟来重定向用户。
如果浏览器中没有账户别名 cookie,则在 us-east-1 中 CloudTrail 记录该`ConsoleLogin`事件。这是因为控制台代理重定向回全局登录。
如果您使用 IAM 用户登录并使用[区域终端节点](https://docs.amazonaws.cn/general/latest/gr/rande.html#regional-endpoints),则会在终端节点的相应区域中 CloudTrail 记录`ConsoleLogin`事件。有关 Amazon 登录 终端节点的更多信息,请参阅[Amazon 登录 终端节点和配额](https://docs.amazonaws.cn/general/latest/gr/signin-service.html)。
**Topics**
+ [IAM 用户的事件记录示例](#cloudtrail-event-reference-aws-console-sign-in-events-iam-user)
+ [根用户的示例事件记录](#cloudtrail-event-reference-aws-console-sign-in-events-root)
+ [联合用户的事件记录示例](#cloudtrail-event-reference-aws-console-sign-in-events-federated-user)
## IAM 用户的事件记录示例
以下示例显示了适用于多种 IAM 用户登录方案的事件记录。
**Topics**
+ [IAM 用户,未使用 MFA 而成功登录](#cloudtrail-aws-console-sign-in-events-iam-user-success)
+ [IAM 用户,使用 MFA 成功登录](#cloudtrail-aws-console-sign-in-events-iam-user-mfa)
+ [IAM 用户,登录失败](#cloudtrail-aws-console-sign-in-events-iam-user-failure)
+ [IAM 用户,针对 MFA 的登录流程检查(单一 MFA 设备类型)](#cloudtrail-aws-console-sign-in-requires-mfa)
+ [IAM 用户,针对 MFA 的登录流程检查(多种 MFA 设备类型)](#cloudtrail-aws-console-sign-in-requires-mfa-multiple)
### IAM 用户,未使用 MFA 而成功登录
以下记录显示,名为的用户在 Amazon Web Services 管理控制台 未使用多重身份验证 (MFA) 的情况下`Anaya`成功登录。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLE6E4XEGITWATV6R",
"arn": "arn:aws:iam::999999999999:user/Anaya",
"accountId": "999999999999",
"userName": "Anaya"
},
"eventTime": "2023-07-19T21:44:40Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/console/home?hashArgs=%23&isauthcode=true&state=hashArgsFromTB_us-east-1_examplee9aba7f8",
"MobileVersion": "No",
"MFAUsed": "No"
},
"eventID": "e1bf1000-86a4-4a78-81d7-EXAMPLE83102",
"readOnly": false,
"eventType": "AwsConsoleSignIn",
"managementEvent": true,
"recipientAccountId": "999999999999",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
### IAM 用户,使用 MFA 成功登录
以下记录显示,名为的 IAM 用户 Amazon Web Services 管理控制台 使用多重身份验证 (MFA) `Anaya` 成功登录。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLE6E4XEGITWATV6R",
"arn": "arn:aws:iam::999999999999:user/Anaya",
"accountId": "999999999999",
"userName": "Anaya"
},
"eventTime": "2023-07-19T22:01:30Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/console/home?hashArgs=%23&isauthcode=true&state=hashArgsFromTB_us-east-1_examplebde32f3c9",
"MobileVersion": "No",
"MFAIdentifier": "arn:aws:iam::999999999999:mfa/mfa-device",
"MFAUsed": "Yes"
},
"eventID": "e1f76697-5beb-46e8-9cfc-EXAMPLEbde31",
"readOnly": false,
"eventType": "AwsConsoleSignIn",
"managementEvent": true,
"recipientAccountId": "999999999999",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
### IAM 用户,登录失败
以下记录显示名为 `Paulo` 的 IAM 用户的失败登录操作。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLE6E4XEGITWATV6R",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "Paulo"
},
"eventTime": "2023-07-19T22:01:20Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
"errorMessage": "Failed authentication",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Failure"
},
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/console/home?hashArgs=%23&isauthcode=true&state=hashArgsFromTB_us-east-1_examplebde32f3c9",
"MobileVersion": "No",
"MFAUsed": "Yes"
},
"eventID": "66c97220-2b7d-43b6-a7a0-EXAMPLEbae9c",
"readOnly": false,
"eventType": "AwsConsoleSignIn",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
### IAM 用户,针对 MFA 的登录流程检查(单一 MFA 设备类型)
以下显示登录过程检查 IAM 用户在登录过程中是否需要多重验证(MFA)。在此示例中,`mfaType` 值为 `U2F MFA`,表示 IAM 用户启用了单个 MFA 设备或多个相同类型的 MFA 设备(`U2F MFA`)。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLE6E4XEGITWATV6R",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "Alice"
},
"eventTime": "2023-07-19T22:01:26Z",
"eventSource": "signin.amazonaws.com",
"eventName": "CheckMfa",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
"requestParameters": null,
"responseElements": {
"CheckMfa": "Success"
},
"additionalEventData": {
"MfaType": "Virtual MFA"
},
"eventID": "7d8a0746-b2e7-44f5-9917-EXAMPLEfb77c",
"readOnly": false,
"eventType": "AwsConsoleSignIn",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
### IAM 用户,针对 MFA 的登录流程检查(多种 MFA 设备类型)
以下显示登录过程检查 IAM 用户在登录过程中是否需要多重验证(MFA)。在此示例中,`mfaType` 值为 `Multiple MFA Devices`,表示 IAM 用户启用了多种 MFA 设备类型。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLE6E4XEGITWATV6R",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "Mary"
},
"eventTime": "2023-07-19T23:10:09Z",
"eventSource": "signin.amazonaws.com",
"eventName": "CheckMfa",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
"requestParameters": null,
"responseElements": {
"CheckMfa": "Success"
},
"additionalEventData": {
"MfaType": "Multiple MFA Devices"
},
"eventID": "19bd1a1c-76b1-4806-9d8f-EXAMPLE02a96",
"readOnly": false,
"eventType": "AwsConsoleSignIn",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "signin.aws.amazon.com"
}
}
```
## 根用户的示例事件记录
以下示例显示了适用于多种 `root` 用户登录方案的事件记录。当您使用 root 用户登录时,将`ConsoleLogin`事件 CloudTrail 记录在 us-east-1 中。
**Topics**
+ [根用户,未使用 MFA 而成功登录](#cloudtrail-signin-root)
+ [根用户,使用 MFA 成功登录](#cloudtrail-signin-root-mfa)
+ [根用户,登录失败](#cloudtrail-unsuccessful-signin-root)
+ [根用户,MFA 已更改](#cloudtrail-signin-mfa-changed-root)
+ [根用户,密码已更改](#cloudtrail-root-password-changed)
### 根用户,未使用 MFA 而成功登录
以下信息显示根用户未使用多重身份验证(MFA)而成功登录的事件。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:root",
"accountId": "111122223333",
"accessKeyId": ""
},
"eventTime": "2023-07-12T13:35:31Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/console/home?hashArgs=%23&isauthcode=true&nc2=h_ct&src=header-signin&state=hashArgsFromTB_ap-southeast-2_example80afacd389",
"MobileVersion": "No",
"MFAUsed": "No"
},
"eventID": "4217cc13-7328-4820-a90c-EXAMPLE8002e6",
"readOnly": false,
"eventType": "AwsConsoleSignIn",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "signin.aws.amazon.com"
}
}
```
### 根用户,使用 MFA 成功登录
以下信息显示根用户使用多重身份验证(MFA)成功登录的事件。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "444455556666",
"arn": "arn:aws:iam::444455556666:root",
"accountId": "444455556666",
"accessKeyId": ""
},
"eventTime": "2023-07-13T03:04:43Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"LoginTo": "https://ap-southeast-1.console.aws.amazon.com/ec2/home?region=ap-southeast-1&state=hashArgs%23Instances%3Av%3D3%3B%24case%3Dtags%3Atrue%255C%2Cclient%3Afalse%3B%24regex%3Dtags%3Afalse%255C%2Cclient%3Afalse&isauthcode=true",
"MobileVersion": "No",
"MFAIdentifier": "arn:aws:iam::444455556666:mfa/root-account-mfa-device",
"MFAUsed": "Yes"
},
"eventID": "e0176723-ea76-4275-83a3-EXAMPLEf03fb",
"readOnly": false,
"eventType": "AwsConsoleSignIn",
"managementEvent": true,
"recipientAccountId": "444455556666",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "signin.aws.amazon.com"
}
}
```
### 根用户,登录失败
下面显示的是未使用 MFA 的根用户登录失败事件。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:root",
"accountId": "123456789012",
"accessKeyId": ""
},
"eventTime": "2023-07-16T04:33:40Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36",
"errorMessage": "Failed authentication",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Failure"
},
"additionalEventData": {
"LoginTo": "https://us-east-1.console.aws.amazon.com/billing/home?region=us-east-1&state=hashArgs%23%2Faccount&isauthcode=true",
"MobileVersion": "No",
"MFAUsed": "No"
},
"eventID": "f28d4329-5050-480b-8de0-EXAMPLE07329",
"readOnly": false,
"eventType": "AwsConsoleSignIn",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "signin.aws.amazon.com"
}
}
```
### 根用户,MFA 已更改
下面显示的是根用户更改多重身份验证(MFA)设置的示例事件。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:root",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE4XX3IEV4PFQTH",
"userName": "Amazon ROOT USER",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-07-15T03:51:12Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-07-15T04:37:08Z",
"eventSource": "iam.amazonaws.com",
"eventName": "EnableMFADevice",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36",
"requestParameters": {
"userName": "Amazon ROOT USER",
"serialNumber": "arn:aws:iam::111122223333:mfa/root-account-mfa-device"
},
"responseElements": null,
"requestID": "9b45cd4c-a598-41e7-9170-EXAMPLE535f0",
"eventID": "b4f18d55-d36f-49a0-afcb-EXAMPLEc026b",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
### 根用户,密码已更改
下面显示的是根用户更改密码的示例事件。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "444455556666",
"arn": "arn:aws:iam::444455556666:root",
"accountId": "444455556666",
"accessKeyId": "EXAMPLEAOTKEG44KPW5P",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-25T13:01:14Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-11-25T13:01:14Z",
"eventSource": "iam.amazonaws.com",
"eventName": "ChangePassword",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36",
"requestParameters": null,
"responseElements": null,
"requestID": "c64254c2-e4ff-49c0-900e-EXAMPLE9e6d2",
"eventID": "d059176c-4f4d-4a9e-b8d7-EXAMPLE2b7b3",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "444455556666",
"eventCategory": "Management"
}
```
## 联合用户的事件记录示例
以下示例显示了联合用户的事件记录。联邦用户将获得临时安全证书,以通过[https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html)请求访问 Amazon 资源。
以下示例显示了联合身份验证加密请求的事件。`userIdentity` 元素的 `accessKeyId` 字段中会提供原始访问密钥 ID。如果加密请求中传递了所请求的 `sessionDuration`,则 `responseElements` 中的 `accessKeyId` 字段会包含新的访问密钥 ID,否则会包含原始访问密钥 ID 的值。
**注意**
在此示例中,`mfaAuthenticated` 值是 `false`,`MFAUsed` 值是 `No`,因为请求是由联合用户发出的。只有当请求是由 IAM 用户或根用户使用 MFA 发出的时,这些字段才会设置为 true。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EXAMPLEUU4MH7OYK5ZCOA:JohnDoe",
"arn": "arn:aws:sts::123456789012:assumed-role/roleName/JohnDoe",
"accountId": "123456789012",
"accessKeyId": "originalAccessKeyID",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "EXAMPLEUU4MH7OYK5ZCOA",
"arn": "arn:aws:iam::123456789012:role/roleName",
"accountId": "123456789012",
"userName": "roleName"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-25T21:30:39Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-09-25T21:30:39Z",
"eventSource": "signin.amazonaws.com",
"eventName": "GetSigninToken",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Java/1.8.0_382",
"requestParameters": null,
"responseElements": {
"credentials": {
"accessKeyId": "accessKeyID"
},
"GetSigninToken": "Success"
},
"additionalEventData": {
"MobileVersion": "No",
"MFAUsed": "No"
},
"eventID": "1d66615b-a417-40da-a38e-EXAMPLE8c89b",
"readOnly": false,
"eventType": "AwsConsoleSignIn",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```
以下示例显示联合用户在未使用多重身份验证(MFA)的情况下成功登录的事件。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EXAMPLEPHCNW7ZCASLJOH:JohnDoe",
"arn": "arn:aws:sts::123456789012:assumed-role/RoleName/JohnDoe",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "EXAMPLEPHCNW7ZCASLJOH",
"arn": "arn:aws:iam::123456789012:role/RoleName",
"accountId": "123456789012",
"userName": "RoleName"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-09-22T16:15:47Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-09-22T16:15:47Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"MobileVersion": "No",
"MFAUsed": "No"
},
"eventID": "b73f1ec6-c064-4cd3-ba83-EXAMPLE441d7",
"readOnly": false,
"eventType": "AwsConsoleSignIn",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "us-east-1.signin.aws.amazon.com"
}
}
```