本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 CloudTrail 日志文件
您可为您的 CloudTrail 文件执行更高级的任务。
-
通过将 CloudTrail 日志文件发送到 CloudWatch Logs 对其进行监控。
-
在账户间共享日志文件。
-
使用 Amazon CloudTrail Processing Library 在 Java 中编写日志处理应用程序。
-
验证您的日志文件,以确认它们在 CloudTrail 交付后未发生更改。
当事件发生在您的账户中时,CloudTrail 会评估该事件是否与您的跟踪设置匹配。只有与您的跟踪设置匹配的事件才会传送到 Simple Storage Service(Amazon S3)存储桶和 Amazon CloudWatch Logs 日志组。
您可以对多个跟踪记录进行不同的配置,以便这些跟踪记录仅处理和记录您指定的事件。例如,一个跟踪可记录只读数据事件和管理事件,以使所有只读事件传送到一个 S3 存储桶。另一个跟踪可仅记录只写数据事件和管理事件,以使所有只写事件传送到一个单独的 S3 存储桶。
您也可以配置您的跟踪记录以拥有一个跟踪记录日志并将所有管理事件传送到一个 S3 存储桶,并配置另一个跟踪记录以记录所有数据事件并将其传送到另一个 S3 存储桶。
您可以配置您的跟踪记录以记录以下内容:
-
数据事件:通过这些事件,可以了解对资源执行的或在资源内执行的资源操作。这些也称为数据层面操作。
-
管理事件:通过管理事件,可以了解对在您 Amazon 账户内的资源上执行的管理操作。这些也称为控制层面操作。管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,CloudTrail 将记录
ConsoleLogin
事件。有关更多信息,请参阅 CloudTrail 捕获的非 API 事件。 -
网络活动事件:CloudTrail 网络活动事件(预览版)使 VPC 端点所有者能够记录使用其 VPC 端点从私有 VPC 到 Amazon Web Services 服务 进行的 Amazon API 调用。通过网络活动事件,可以了解在 VPC 中执行的资源操作。
-
Insights 事件:见解事件捕获在您的账户中检测到的异常活动。如果已启用 Insights 事件并且 CloudTrail 检测到异常活动,Insights 事件将记录到跟踪的目标 S3 存储桶,但在不同的文件夹中。在 CloudTrail 控制台上查看 Insights 事件时,您还可以查看 Insights 事件的类型和事件时间段。与在 CloudTrail 跟踪中捕获的其他类型的事件不同,仅在 CloudTrail 检测到账户的 API 使用情况的变化与账户的典型使用模式有显著差异时,才会记录 Insights 事件。
仅针对管理 API 生成 Insights 事件。有关更多信息,请参阅 使用见 CloudTrail 解。
注意
CloudTrail 通常会在 API 调用后平均大约 5 分钟内传输日志。此时间并不能得到保证。
如果您错误配置了跟踪(例如,无法访问 S3 存储桶),CloudTrail 将尝试将日志文件重新传输到您的 S3 存储桶,持续 30 天,而这些尝试传输的事件将按标准的 CloudTrail 费用收取。为避免配置错误的跟踪产生费用,您需要删除跟踪。