处理 CloudTrail 日志文件 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

处理 CloudTrail 日志文件

您可以对 CloudTrail 文件执行更高级的任务。

  • 创建每区域多个跟踪。

  • 通过将 CloudTrail 日志文件发送到 “日志” 来监控 CloudWatch 日志文件。

  • 在账户间共享日志文件。

  • 使用 Amazon CloudTrail 处理库用 Java 编写日志处理应用程序。

  • 验证您的日志文件以验证它们在交付后是否未更改 CloudTrail。

当您的账户中发生事件时, CloudTrail 会评估该事件是否与您的路径设置相匹配。只有与您的跟踪设置匹配的事件才会传输到您的 Amazon S3 存储桶和 Amazon Log CloudWatch s 日志组。

您可以对多个跟踪记录进行不同的配置,以便这些跟踪记录仅处理和记录您指定的事件。例如,一个跟踪可记录只读数据事件和管理事件,以使所有只读事件传送到一个 S3 存储桶。另一个跟踪可仅记录只写数据事件和管理事件,以使所有只写事件传送到一个单独的 S3 存储桶。

您也可以配置您的跟踪记录以拥有一个跟踪记录日志并将所有管理事件传送到一个 S3 存储桶,并配置另一个跟踪记录以记录所有数据事件并将其传送到另一个 S3 存储桶。

您可以配置您的跟踪记录以记录以下内容:

  • 数据事件:通过这些事件,可以了解对资源执行的或在资源内执行的资源操作。这些也称为数据层面操作。

  • 管理事件:管理事件可让您了解对 Amazon 账户中的资源执行的管理操作。这些也称为控制层面操作。管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,会 CloudTrail 记录该ConsoleLogin事件。有关更多信息,请参阅 捕获的非 API 事件 CloudTrail

  • Insights 事件:见解事件捕获在您的账户中检测到的异常活动。如果您启用了 Insights 事件并 CloudTrail 检测到异常活动,则 Insights 事件会记录到您的跟踪的目标 S3 存储桶中,但会记录在不同的文件夹中。在 CloudTrail 控制台上查看 Insights 事件时,您还可以查看 Insights 事件的类型和事件时间段。与 CloudTrail 跟踪中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户 API 使用情况与账户的典型使用模式明显不同时,才会记录 Insights 事件。

    仅针对管理 API 生成 Insights 事件。有关更多信息,请参阅 记录 Insights 事件

注意

CloudTrail 通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。

如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail 会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver 事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。

主题