AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

CloudTrail 工作流程

查看 AWS 账户的事件历史记录

您可以通过 CloudTrail 控制台或使用 AWS CLI 查看和搜索过去 90 天由 CloudTrail 记录的事件。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件

下载事件

您可以下载 CSV 或 JSON 文件,其中包含您的 AWS 账户过去 90 天的 CloudTrail 事件。有关更多信息,请参阅下载事件

创建跟踪

通过跟踪,CloudTrail 可将日志文件传送至 Amazon S3 存储桶。默认情况下,在控制台中创建跟踪时,此跟踪应用于所有区域。此跟踪在 AWS 分区中记录所有区域中的事件,并将日志文件传送至您指定的 S3 存储桶。有关更多信息,请参阅为您的 AWS 账户创建跟踪

创建并订阅 Amazon SNS 主题

订阅主题以接收有关将日志文件传送至您的存储桶的通知。Amazon SNS 可通过多种方式通知您,包括使用 Amazon Simple Queue Service 以编程方式通知您。有关信息,请参阅 为 配置 通知

注意

如果您要接收有关从所有区域传输日志文件的 SNS 通知,请为您的跟踪仅指定一个 SNS 主题。如果要以编程方式处理所有事件,请参阅使用 CloudTrail Processing Library

查看您的日志文件

使用 Amazon S3 检索日志文件。有关信息,请参阅获取并查看您的 CloudTrail 日志文件

管理用户权限

使用 AWS Identity and Access Management (IAM) 管理哪些用户有权创建、配置或删除跟踪、启动和停止日志记录,以及访问包含日志文件的存储桶。有关更多信息,请参阅控制 CloudTrail 的用户权限

使用 CloudWatch Logs 监控事件

您可以配置自己的跟踪,将事件发送到 CloudWatch Logs。然后,您可以使用 CloudWatch Logs 监控账户中的特定 API 调用和事件。有关更多信息,请参阅使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件

注意

如果您将应用于所有区域的跟踪配置为将事件发送到 CloudWatch Logs 日志组,则 CloudTrail 会将所有区域中的事件都发送到单个日志组。

记录管理和数据事件

将您的跟踪配置为记录只读、只写或所有管理和数据事件。默认情况下,跟踪会记录 管理事件。有关更多信息,请参阅 记录跟踪的数据和管理事件

启用日志加密

日志文件加密为您的日志文件提供额外的安全层。有关更多信息,请参阅通过 AWS KMS 托管密钥 (SSE-KMS) 加密 CloudTrail 日志文件

启用日志文件完整性

日志文件完整性验证可帮助您验证日志文件在由 CloudTrail 传送后是否一直保持不变。有关更多信息,请参阅验证 CloudTrail 日志文件完整性

与其他 AWS 账户共享日志文件

您可以在账户之间共享日志文件。有关更多信息,请参阅在 AWS 账户之间共享 CloudTrail 日志文件

聚合多个账户中的日志

您可以将多个账户中的日志文件聚合到单个存储桶中。有关更多信息,请参阅从多个账户中接收 CloudTrail 日志文件

使用合作伙伴解决方案

使用与 CloudTrail 集成的合作伙伴解决方案来分析您的 CloudTrail 输出。合作伙伴解决方案提供了一组广泛的功能,例如,更改跟踪、故障排除和安全分析。有关更多信息,请参阅 AWS CloudTrail 合作伙伴页面。