CloudTrail 工作流程
- 查看 AWS 账户的事件历史记录
-
您可以通过 CloudTrail 控制台或使用 AWS CLI 查看和搜索过去 90 天由 CloudTrail 记录的事件。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件。
- 下载事件
-
您可以下载 CSV 或 JSON 文件,其中包含您的 AWS 账户过去 90 天的 CloudTrail 事件。有关更多信息,请参阅下载事件。
- 创建跟踪
-
通过跟踪,CloudTrail 可将日志文件传送至 Amazon S3 存储桶。默认情况下,在控制台中创建跟踪时,此跟踪应用于所有区域。此跟踪在 AWS 分区中记录所有区域中的事件,并将日志文件传送至您指定的 S3 存储桶。有关更多信息,请参阅为您的 AWS 账户创建跟踪。
- 创建并订阅 Amazon SNS 主题
-
订阅主题以接收有关将日志文件传送至您的存储桶的通知。Amazon SNS 可通过多种方式通知您,包括使用 Amazon Simple Queue Service 以编程方式通知您。有关信息,请参阅 为 配置 通知。
注意
如果您要接收有关从所有区域传输日志文件的 SNS 通知,请为您的跟踪仅指定一个 SNS 主题。如果要以编程方式处理所有事件,请参阅使用 CloudTrail Processing Library。
- 查看您的日志文件
-
使用 Amazon S3 检索日志文件。有关信息,请参阅获取并查看您的 CloudTrail 日志文件。
- 管理用户权限
-
使用 AWS Identity and Access Management (IAM) 管理哪些用户有权创建、配置或删除跟踪、启动和停止日志记录,以及访问包含日志文件的存储桶。有关更多信息,请参阅控制 CloudTrail 的用户权限。
- 使用 CloudWatch Logs 监控事件
-
您可以配置自己的跟踪,将事件发送到 CloudWatch Logs。然后,您可以使用 CloudWatch Logs 监控账户中的特定 API 调用和事件。有关更多信息,请参阅使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件。
注意
如果您将应用于所有区域的跟踪配置为将事件发送到 CloudWatch Logs 日志组,则 CloudTrail 会将所有区域中的事件都发送到单个日志组。
- 记录管理和数据事件
-
将您的跟踪配置为记录只读、只写或所有管理和数据事件。默认情况下,跟踪会记录 管理事件。有关更多信息,请参阅 记录跟踪的数据和管理事件。
- 启用日志加密
-
日志文件加密为您的日志文件提供额外的安全层。有关更多信息,请参阅通过 AWS KMS 托管密钥 (SSE-KMS) 加密 CloudTrail 日志文件。
- 启用日志文件完整性
-
日志文件完整性验证可帮助您验证日志文件在由 CloudTrail 传送后是否一直保持不变。有关更多信息,请参阅验证 CloudTrail 日志文件完整性。
- 与其他 AWS 账户共享日志文件
-
您可以在账户之间共享日志文件。有关更多信息,请参阅在 AWS 账户之间共享 CloudTrail 日志文件。
- 聚合多个账户中的日志
-
您可以将多个账户中的日志文件聚合到单个存储桶中。有关更多信息,请参阅从多个账户中接收 CloudTrail 日志文件。
- 使用合作伙伴解决方案
-
使用与 CloudTrail 集成的合作伙伴解决方案来分析您的 CloudTrail 输出。合作伙伴解决方案提供了一组广泛的功能,例如,更改跟踪、故障排除和安全分析。有关更多信息,请参阅 AWS CloudTrail 合作伙伴页面。