使用 CloudTrail 日志文件
您可为您的 CloudTrail 文件执行更高级的任务。
-
创建每区域多个跟踪记录。
-
通过将 CloudTrail 日志文件发送到 CloudWatch Logs 对其进行监控。
-
在账户间共享日志文件。
-
使用 Amazon CloudTrail Processing Library 在 Java 中编写日志处理应用程序。
-
验证您的日志文件,以确认它们在 CloudTrail 交付后未发生更改。
当事件发生在您的账户中时,CloudTrail 会评估该事件是否与您的跟踪设置匹配。只有与您的跟踪设置匹配的事件才会传送到 Simple Storage Service(Amazon S3)存储桶和 Amazon CloudWatch Logs 日志组。
您可以对多个跟踪记录进行不同的配置,以便这些跟踪记录仅处理和记录您指定的事件。例如,一个跟踪可记录只读数据事件和管理事件,以使所有只读事件传送到一个 S3 存储桶。另一个跟踪可仅记录只写数据事件和管理事件,以使所有只写事件传送到一个单独的 S3 存储桶。
您也可以配置您的跟踪记录以拥有一个跟踪记录日志并将所有管理事件传送到一个 S3 存储桶,并配置另一个跟踪记录以记录所有数据事件并将其传送到另一个 S3 存储桶。
您可以配置您的跟踪记录以记录以下内容:
-
数据事件:通过这些事件,可以了解对资源执行的或在资源内执行的资源操作。这些也称为数据层面操作。
-
管理事件:通过管理事件,可以了解对在您 Amazon 账户内的资源上执行的管理操作。这些也称为控制层面操作。管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,CloudTrail 将记录
ConsoleLogin事件。有关更多信息,请参阅CloudTrail 捕获的非 API 事件。注意
并非所有 Amazon 服务都支持 CloudTrail 事件。有关支持的服务的更多信息,请参阅 CloudTrail 支持的服务和集成。有关为特定服务记录的 API 的特定详细信息,请参阅CloudTrail 支持的服务和集成中的服务文档。
-
见解事件:见解事件捕获在您的账户中检测到的异常活动。如果已启用见解事件并且 CloudTrail 检测到异常活动,见解事件将记录到跟踪的目标 S3 存储桶,但在不同的文件夹中。在 CloudTrail 控制台上查看见解事件时,您还可以查看见解事件的类型和事件时间段。与在 CloudTrail 跟踪中捕获的其他类型的事件不同,仅在 CloudTrail 检测到账户的 API 使用情况的变化与账户的典型使用模式有显著差异时,才会记录见解事件。
仅针对 write(写入)管理 API 生成见解事件。