CloudTrail 工作流

您可以通过 CloudTrail 控制台或使用 Amazon CLI 查看和搜索过去 90 天由 CloudTrail 记录的事件。有关更多信息，请参阅 使用 CloudTrail 事件历史记录查看事件。

您可以下载 CSV 或 JSON 文件，其中包含您的 Amazon 账户过去 90 天的 CloudTrail 事件。有关更多信息，请参阅 下载事件 或 下载见解事件。

您可以下载包含已保存的 CloudTrail Lake 查询结果的 CSV 文件。有关更多信息，请参阅 下载 CloudTrail Lake 保存的查询结果。

通过跟踪记录，CloudTrail 可将日志文件传送至 Simple Storage Service（Amazon S3）存储桶。默认情况下，在控制台中创建跟踪记录时，此跟踪记录应用于所有区域。此跟踪在 Amazon 分区中记录所有区域中的事件，并将日志文件传送至您指定的 S3 存储桶。有关更多信息，请参阅 为您的 Amazon Web Services 账户 创建跟踪。

订阅主题以接收有关将日志文件传送至您的存储桶的通知。Amazon SNS 可通过多种方式通知您，包括使用 Amazon Simple Queue Service 以编程方式通知您。有关信息，请参阅 为 CloudTrail 配置 Amazon SNS 通知。

使用 Simple Storage Service（Amazon S3）检索日志文件。有关信息，请参阅 获取并查看您的 CloudTrail 日志文件。

使用 Amazon Identity and Access Management（IAM）管理哪些用户有权创建、配置或删除跟踪记录、启动和停止日志记录，以及访问包含日志文件的存储桶。有关更多信息，请参阅控制 CloudTrail 的用户权限。

您可以将跟踪记录配置为将事件发送到 CloudWatch Logs。然后，您可以使用 CloudWatch Logs 监控账户中的特定 API 调用和事件。有关更多信息，请参阅使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件。

将您的跟踪记录配置为记录只读、只写或所有管理和数据事件。默认情况下，跟踪记录会记录管理事件。有关更多信息，请参阅使用 CloudTrail 日志文件。

将跟踪记录配置为记录见解事件，以帮助您识别和应对与 write 管理 API 调用相关的异常活动。如果您的跟踪记录配置为记录只读管理事件或不记录管理事件，则无法启用 CloudTrail 见解事件日志记录。有关更多信息，请参阅记录跟踪记录的见解事件。

日志文件加密为您的日志文件提供额外的安全层。有关更多信息，请参阅通过 Amazon KMS 密钥 (SSE-KMS) 加密 CloudTrail 日志文件。

日志文件完整性验证可帮助您验证日志文件在由 CloudTrail 传送后是否一直保持不变。有关更多信息，请参阅验证 CloudTrail 日志文件完整性。

CloudTrail Lake 允许您对事件运行基于 SQL 的精细查询。事件被聚合到事件数据存储，是基于您通过应用高级事件选择器选择的条件的不可变的事件集合。您可以在事件数据存储中保存事件数据长达七年。CloudTrail Lake 是审计解决方案的一部分，可帮助您执行安全调查和故障排除。有关更多信息，请参阅使用 Amazon CloudTrail Lake。

您可以将现有跟踪事件复制到 CloudTrail Lake 事件数据存储中，以创建记录到跟踪的事件时间点快照。有关更多信息，请参阅将跟踪事件复制到 CloudTrail Lake。

运行查询时，您可以将查询结果保存到 S3 存储桶。有关更多信息，请参阅运行查询并保存查询结果。

您可以在账户之间共享日志文件。有关更多信息，请参阅在 Amazon 账户之间共享 CloudTrail 日志文件。

您可以将多个账户中的日志文件聚合到单个存储桶中。有关更多信息，请参阅从多个账户接收 CloudTrail 日志文件 为其他账户调用的数据事件修订存储桶拥有者账户 ID。

您可以注册委托管理员来管理贵组织的 CloudTrail 跟踪和事件数据存储。有关更多信息，请参阅组织的委托管理员。

使用与 CloudTrail 集成的合作伙伴解决方案来分析您的 CloudTrail 输出。合作伙伴解决方案提供了一组广泛的功能，例如，更改跟踪、故障排除和安全分析。有关更多信息，请参阅 Amazon CloudTrail 合作伙伴页面。