CloudTrail 工作流

您可以通过 CloudTrail 控制台或使用 Amazon CLI 查看和搜索过去 90 天由 CloudTrail 记录的事件。有关更多信息，请参阅 处理 CloudTrail 事件历史记录。

您可以下载 CSV 或 JSON 文件，其中包含您的 Amazon 账户过去 90 天的 CloudTrail 事件。有关更多信息，请参阅下载事件。

通过跟踪记录，CloudTrail 可将日志文件传送至 Simple Storage Service（Amazon S3）存储桶。默认情况下，在控制台中创建跟踪时，此跟踪应用于所有 区域。跟踪会记录 Amazon 分区中来自所有区域的事件，并将日志文件传送至指定的 S3 存储桶。有关更多信息，请参阅为您的 Amazon Web Services 账户 创建跟踪。

将您的跟踪记录配置为记录只读、只写或所有管理和数据事件。默认情况下，跟踪记录会记录管理事件。有关更多信息，请参阅 记录管理事件 和 记录数据事件：

将跟踪记录配置为记录见解事件，以帮助您识别和应对与 管理 API 调用相关的异常活动。有关更多信息，请参阅记录 Insights 事件。

将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights，则需要单独付费。有关更多信息，请参阅Amazon CloudTrail 定价。

对跟踪记录启用 CloudTrail 见解后，您可以使用 CloudTrail 控制台或 Amazon CLI 查看最多 90 天的见解事件。有关更多信息，请参阅查看跟踪的 CloudTrail Insights 事件。

对跟踪启用 CloudTrail Insights 后，您可以下载 CSV 或 JSON 文件，其中包含您的跟踪过去 90 天的 Insights 事件。有关更多信息，请参阅下载见解事件。

订阅主题以接收有关将日志文件传送至您的存储桶的通知。Amazon SNS 可通过多种方式通知您，包括使用 Amazon Simple Queue Service 以编程方式通知您。有关信息，请参阅 为 CloudTrail 配置 Amazon SNS 通知。

使用 Simple Storage Service（Amazon S3）检索日志文件。有关信息，请参阅 获取并查看您的 CloudTrail 日志文件。

您可以将跟踪记录配置为将事件发送到 CloudWatch Logs。然后，您可以使用 CloudWatch Logs 监控账户中的特定 API 调用和事件。有关更多信息，请参阅使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件。

日志文件加密为您的日志文件提供额外的安全层。有关更多信息，请参阅使用密 Amazon KMS 钥加密 CloudTrail 日志文件 (SSE-KMS)。

日志文件完整性验证可帮助您验证日志文件在由 CloudTrail 传送后是否一直保持不变。有关更多信息，请参阅验证 CloudTrail 日志文件完整性。

您可以在账户之间共享日志文件。有关更多信息，请参阅在 Amazon 账户之间共享 CloudTrail 日志文件。

您可以将多个账户中的日志文件聚合到单个存储桶中。有关更多信息，请参阅接收来自多个账户的 CloudTrail 日志文件。

使用 Amazon Identity and Access Management（IAM）管理哪些用户有权创建、配置或删除跟踪记录、启动和停止日志记录，以及访问包含日志文件的存储桶。有关更多信息，请参阅授予CloudTrail 管理权限。

您可以注册委托管理员来管理贵组织的 CloudTrail 跟踪。有关更多信息，请参阅组织的委托管理员。

使用与 CloudTrail 集成的合作伙伴解决方案来分析您的 CloudTrail 输出。合作伙伴解决方案提供了一组广泛的功能，例如，更改跟踪、故障排除和安全分析。有关更多信息，请参阅 Amazon CloudTrail 合作伙伴页面。