本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如何 CloudTrail 运作
当您创建时,您将自动获得对 CloudTrail 事件历史记录的访问权限 Amazon Web Services 账户。事件历史记录提供对 Amazon Web Services 区域中过去 90 天的已记录管理事件的可查看、可搜索、可下载和不可变记录。
要持续记录您的 Amazon Web Services 账户 过去 90 天的事件,请创建跟踪。
CloudTrail 事件历史记录页面
您可以转到 CloudTrail 控制台中的事件历史记录页面,轻松查看过去 90 天的管理事件。您还可以通过运行 aws cloudtrail
lookup-events 命令或 LookupEvents API 操作来查看事件历史记录。您可以针对单个属性筛选事件,来搜索 Event history(事件历史记录)中的事件。有关更多信息,请参阅 处理 CloudTrail 事件历史记录。
事件历史记录与您账户中存在的任何跟踪无关,也不会受到您对跟踪所做的配置更改的影响。
查看事件历史记录页面或运行lookup-events命令不 CloudTrail 收取任何费用。
CloudTrail 跟踪
跟踪是一种配置,可用于将事件传送到您指定的 Amazon S3 存储桶。您还可以使用 Amazon L CloudWatch ogs 和 Amazon 在跟踪中交付和分析事件 EventBridge。
跟踪可以记录 CloudTrail 管理事件、数据事件、网络活动事件和 Insights 事件。
您可以为您的 Amazon Web Services 账户创建多区域和单区域跟踪。
- 多区域跟踪
-
当您创建多区域跟踪时,会 CloudTrail 记录您已启用的所有事件 Amazon Web Services 区域 , Amazon Web Services 账户 并将 CloudTrail 事件日志文件传输到您指定的 S3 存储桶。作为最佳实践,我们建议您创建多区域跟踪,因为它可以捕获所有已启用区域的活动。使用 CloudTrail 控制台创建的所有跟踪均具有多区域属性。您可以通过使用将单区域跟踪转换为多区域跟踪。 Amazon CLI有关更多信息,请参阅了解多区域跟踪和选择加入区域、使用控制台创建跟踪和将单区域跟踪转换为多区域跟踪。
- 单区域跟踪
-
当您创建单区域跟踪时,仅 CloudTrail 记录该区域中的事件。然后,它 CloudTrail 会将事件日志文件传送到您指定的 Amazon S3 存储桶。您只能使用 Amazon CLI创建单区域跟踪。如果您另外创建了单个跟踪,可以让这些跟踪将 CloudTrail 事件日志文件传送到同一个 S3 存储桶或单独的存储桶。这是使用 Amazon CLI 或 CloudTrail API 创建跟踪时的默认选项。有关更多信息,请参阅 使用创建、更新和管理跟踪 Amazon CLI。
注意
对于这两种类型的跟踪,您可以在任何区域中指定 Amazon S3 存储桶。
如果您已在中创建组织 Amazon Organizations,则可以创建组织跟踪,用于记录该组织中所有 Amazon 账户的所有事件。组织跟踪可以应用于所有 Amazon 区域或当前区域。组织跟踪必须使用管理账户或委托管理员账户创建,并且在指定为应用于某个组织时,组织跟踪将自动应用于该组织中的所有成员账户。成员账户可以查看组织跟踪,但无法对其进行修改或删除。默认情况下,成员账户无权访问 Amazon S3 存储桶中组织跟踪的日志文件。
默认情况下,当您在 CloudTrail 控制台中创建跟踪时,您的事件日志文件和摘要文件将使用 KS 密钥加密。如果您选择不启用 SSE-KS 加密,您的事件日志文件和摘要文件将使用 Amazon S3 服务器端加密(SSE)进行加密。您可以将日志文件在 存储桶中存储任意长的时间。您也可以定义 Amazon S3 生命周期规则以自动存档或删除日志文件。如果您想接收有关日志文件传送和验证的通知,可以设置 Amazon SNS 通知。
CloudTrail 一小时内会多次发布日志文件,通常约每 5 分钟发布一次。这些日志文件包含账户中来自支持 CloudTrail 的服务的 API 调用。有关更多信息,请参阅 CloudTrail 支持的服务和集成。
注意
CloudTrail 通常会在 API 调用后平均大约 5 分钟内传输日志。此时间并不能得到保证。
如果您错误配置了跟踪(例如,无法访问 S3 存储桶), CloudTrail将尝试将日志文件重新传输到您的 S3 存储桶,持续 30 天,而这些 attempted-to-deliver事件将按标准费用收取。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。
CloudTrail 捕获由用户直接执行或通过 Amazon 服务代表用户执行的操作。例如, Amazon CloudFormation CreateStack调用会导致对 Amazon、Amazon RDS EC2、Amazon EBS 或其他服务进行其他的 API 调用(根据 Amazon CloudFormation 模板的要求)。这是正常的,也是预期的行为。您可以通过 CloudTrail事件中的invokedby字段确定操作是否由 Amazon 服务执行。
下表提供了有关您可以对跟踪执行的任务的信息。
| Task | 描述 |
|---|---|
|
将您的跟踪记录配置为记录只读、只写或所有管理事件。 |
|
|
您可以使用高级事件选择器来创建精细的选择器,以仅记录那些感兴趣的数据事件。例如,您可以根据 |
|
|
配置跟踪以记录网络活动事件。您可以将高级事件选择器配置为根据 |
|
|
将跟踪记录配置为记录 Insights 事件,以帮助您识别和应对与管理 API 调用相关的异常活动。 将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价 |
|
|
对跟踪启用 CloudTrail Insights 后,您可以使用 CloudTrail 控制台或查看最多 90 天的 Insights 事件 Amazon CLI。 |
|
|
对跟踪启用 CloudTrail Insights 后,您可以下载 CSV 或 JSON 文件,其中包含您的跟踪过去 90 天的 Insights 事件。 |
|
|
订阅主题以接收有关将日志文件传送至您的存储桶的通知。Amazon SNS 可通过多种方式通知您,包括使用 Amazon Simple Queue Service 以编程方式通知您。 注意如果您要接收有关从所有区域传送日志文件的 SNS 通知,请为您的跟踪仅指定一个 SNS 主题。如果要以编程方式处理所有事件,请参阅 使用 CloudTrail 处理库。 |
|
|
从 S3 存储桶中查找并下载日志文件。 |
|
|
您可以将跟踪 CloudWatch 记录配置为将事件发送到 Logs。然后,您可以使用 CloudWatch Logs 监控账户中的特定 API 调用和事件。 注意如果您将多区域跟踪配置为将事件发送到 Lo CloudWatch gs 日志组, CloudTrail 会将所有区域中的事件都发送到单个日志组。 |
|
|
使用 KMS 密钥加密日志文件和摘要文件可为您的 CloudTrail 数据提供额外的安全保护。 |
|
|
日志文件完整性验证可帮助您验证日志文件在 CloudTrail 传送后是否一直保持不变。 |
|
|
您可以在账户之间共享日志文件。 |
|
|
您可以将多个账户中的日志文件聚合到单个存储桶中。 |
|
|
使用与集成的合作伙伴解决方案来分析您的 CloudTrail 输出 CloudTrail。合作伙伴解决方案提供了一组广泛的功能,例如,更改跟踪、故障排除和安全分析。 |
通过创建跟踪,您可以从 CloudTrail 免费向您的 S3 存储桶传送一份正在进行的管理事件的副本,但会收取 Amazon S3 存储费用。有关 CloudTrail 定价的更多信息,请参阅Amazon CloudTrail 定价
CloudTrail Insigh 事件
Amazon CloudTrail 通过持续分析 CloudTrail 管理事件,Insights 可帮助 Amazon 用户识别和应对与 API 调用率相关的异常活动和 API 错误率。 CloudTrail Insights 可分析 API 调用量和 API 错误率的正常模式,又称为基准,当调用量或错误率超出正常模式范围时生成 Insights 事件。针对管理层生成的 API 调用率的 Insights 事件 APIs,以及针对write管理层生成的 API 错误率的 Insights 事件 APIs。read write
默认情况下, CloudTrail 跟踪和事件数据存储不记录 Insights 事件。您必须配置您的跟踪或事件数据存储以记录 Insights 事件。有关更多信息,请参阅使用 CloudTrail 控制台记录 Insights 事件和使用记录见解事件 Amazon CLI。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价
查看跟踪和事件数据存储的 Insights 事件
CloudTrail 跟踪和事件数据存储都支持 Insights 事件,但是,查看和访问 Insights 事件的方式存在一些差异。
查看跟踪的 Insights 事件
如果已对跟踪启用 Insights 事件并 CloudTrail 检测到异常活动,见解事件将记录到跟踪的目标 S3 存储桶中的不同文件夹或前缀中。在 CloudTrail 控制台上查看 Insights 事件时,您还可以查看见解的类型和事件时间段。有关更多信息,请参阅 使用控制台查看跟踪的 Insights 事件。
首次对跟踪启用 CloudTrail Insights 后, CloudTrail 如果在此期间检测到异常活动,则可能需要最长 36 个小时才能开始交付 Insights 事件。
查看事件数据存储的 Insights 事件
要在 L CloudTrail ake 中记录 Insights 事件,您需要有一个用于记录 Insights 事件的目标事件数据存储和一个用于启用 Insights 事件和记录管理事件的源事件数据存储。有关更多信息,请参阅 使用控制台为 Insights 事件创建事件数据存储。
首次对源事件数据存储启用 CloudTrail Insights 后, CloudTrail 可能需要最长 7 天才能开始传送 Insights 事件,前提是在此期间检测到异常活动。
如果已对源事件数据存储启用 CloudTrail Insights 并 CloudTrail 检测到异常活动,会将 Insigh CloudTrail ts 事件传递到您的目标事件数据存储中。然后,您可以查询目标事件数据存储以获取有关 Insights 事件的信息,也可以选择性地将查询结果保存到 S3 存储桶。有关更多信息,请参阅使用 CloudTrail 控制台创建或编辑查询和使用 CloudTrail 控制台查看示例查询。
您可以使用 Insights 事件控制面板来可视化目标事件数据存储中的 Insights 事件。有关 Lake 控制面板的更多信息,请参阅CloudTrail Lake 控制。
CloudTrail 通道
CloudTrail 支持服务相关通道。
- 服务相关通道
-
Amazon 服务可以创建服务相关通道以代表您接收 CloudTrail 事件。创建 Amazon 服务相关通道的服务为该通道配置高级事件选择器,并指定该通道是适用于所有区域还是适用于当前区域。
您可以使用CloudTrail 控制台或Amazon CLI查看由 Amazon Web Services 服务创建的任何 CloudTrail 服务相关频道的相关信息。