了解 CloudTrail 事件
CloudTrail 中的事件是 Amazon 账户中的活动的记录。此活动可以是 IAM 身份或可由 CloudTrail 监控的服务所执行的操作。CloudTrail 事件提供通过 Amazon Web Services 管理控制台、Amazon SDK、命令行工具和其他 Amazon Web Services 服务 执行的 API 和非 API 账户活动的历史记录。
CloudTrail 日志文件不是公用 API 调用的有序堆栈跟踪,因此事件不会按任何特定顺序显示。
CloudTrail 事件有四种类型:
默认情况下,跟踪和事件数据存储日志管理事件,但不存储数据事件、网络活动事件或 Insights 事件。
所有事件类型都使用 CloudTrail JSON 日志格式。日志包含有关您账户中的资源请求的信息,如谁发出请求、所使用的服务、执行的操作以及操作的参数。事件数据包含在 Records 数组中。
有关管理事件、数据事件和网络活动事件的 CloudTrail 事件记录字段的信息,请参阅CloudTrail 记录管理事件、数据事件和网络活动事件的内容。
有关跟踪的 Insights 事件的 CloudTrail 事件记录字段的信息,请参阅面向跟踪的 Insights 事件的 CloudTrail 记录内容。
有关事件数据存储的 Insights 事件的 CloudTrail 事件记录字段的信息,请参阅面向事件数据存储的 Insights 事件的 CloudTrail 记录内容。
管理事件
管理事件提供对您 Amazon 账户内的资源所执行管理操作的相关信息。这些也称为控制层面操作。
示例管理事件包括:
-
配置安全性(例如,Amazon Identity and Access Management
AttachRolePolicyAPI 操作)。 -
注册设备(例如,Amazon EC2
CreateDefaultVpcAPI 操作)。 -
配置传送数据的规则(例如,Amazon EC2
CreateSubnetAPI 操作)。 -
设置日志记录(例如,Amazon CloudTrail
CreateTrailAPI 操作)。
管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,CloudTrail 将记录 ConsoleLogin 事件。有关更多信息,请参阅 CloudTrail 捕获的非 API 事件。
默认情况下,CloudTrail 跟踪和 CloudTrail Lake 事件数据存储日志管理事件。有关记录管理事件的更多信息,请参阅 记录管理事件。
以下示例显示了管理事件的单个日志记录。在该事件中,名为 Mary_Major 的 IAM 用户运行 aws cloudtrail start-logging 命令调用 CloudTrail StartLogging 操作,在名为 myTrail 的跟踪上启动日志记录过程。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
在该示例中,名为 Paulo_Santos 的 IAM 用户运行 aws cloudtrail start-event-data-store-ingestion 命令调用 StartEventDataStoreIngestion 操作,开始对事件数据存储进行提取。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
数据事件
数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为数据层面操作。数据事件通常是高容量活动。
示例数据事件包括:
-
S3 存储桶中对象上的 Amazon S3 对象级 API 活动(例如
GetObject、DeleteObject和PutObjectAPI 操作)。 -
Amazon Lambda 函数执行活动 (
InvokeAPI)。 -
针对 CloudTrail Lake 通道 的 CloudTrail
PutAuditEvents活动,用于记录来自 Amazon 外部的事件。 -
针对主题的 Amazon SNS
Publish和PublishBatchAPI 操作。
下表显示可用于跟踪的资源类型。资源类型(控制台)列显示控制台中的相应选择。resources.type 值列显示您指定的 resources.type 值,以使用 Amazon CLI 或 CloudTrail API 将该类型的数据事件包含在跟踪中。
对于跟踪,您可以使用基本或高级事件选择器来记录通用存储桶、Lambda 函数和 DynamoDB 表中的 Amazon S3 对象的数据事件(显示在表的前三行中)。您只能使用高级事件选择器来记录其余行中显示的资源类型。
Amazon CloudTrail 支持的数据事件
| Amazon Web Services 服务 | 描述 | 资源类型(控制台) | resources.type 值 |
|---|---|---|---|
| Amazon RDS | 数据库集群上的 Amazon RDS API 活动。 |
RDS 数据 API - 数据库集群 | AWS::RDS::DBCluster |
| Amazon S3 | 通用存储桶中对象上的 Amazon S3 对象级 API 活动(例如 |
S3 | AWS::S3::Object |
| Amazon S3 | 接入点上的 Amazon S3 API 活动。 |
S3 接入点 | AWS::S3::AccessPoint |
| Amazon S3 | 目录存储桶中对象上的 Amazon S3 对象级 API 活动(例如 |
S3 Express | AWS::S3Express::Object |
| Amazon S3 | Amazon S3 对象 Lambda 接入点 API 活动,例如调用 |
S3 对象 Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | 针对卷的 Amazon FSx API 活动。 |
FSx 卷 | AWS::FSx::Volume |
| Amazon S3 表 | 针对表的 Amazon S3 API 活动。 |
S3 表 | AWS::S3Tables::Table |
| Amazon S3 表 | 针对表存储桶的 Amazon S3 API 活动。 |
S3 表存储桶 | AWS::S3Tables::TableBucket |
| Amazon S3 Vectors | 针对向量存储桶的 Amazon S3 API 活动。 |
S3 向量存储桶 | AWS::S3Vectors::VectorBucket |
| Amazon S3 Vectors | 针对向量索引的 Amazon S3 API 活动。 |
S3 向量索引 | AWS::S3Vectors::Index |
| Amazon S3 on Outposts | S3 Outposts | AWS::S3Outposts::Object |
|
| Amazon SNS | 针对平台端点的 Amazon SNS |
SNS 平台端点 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 针对主题的 Amazon SNS |
SNS 主题 | AWS::SNS::Topic |
| Amazon SQS | 消息上的 Amazon SQS API 活动。 |
SQS | AWS::SQS::Queue |
| Amazon Supply Chain | 实例上的 Amazon Supply Chain API 活动。 |
供应链 | AWS::SCN::Instance |
| Amazon SWF | SWF 域 | AWS::SWF::Domain |
|
| Amazon AppConfig | 用于配置操作的 Amazon AppConfig API 活动,例如调用 |
Amazon AppConfig | AWS::AppConfig::Configuration |
| Amazon AppSync | 针对 AppSync GraphQL API 的 Amazon AppSync API 活动。 |
AppSync GraphQL | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | 针对集群资源的 Amazon Aurora DSQL API 活动。 |
Amazon Aurora DSQL | AWS::DSQL::Cluster |
| Amazon B2B Data Interchange | 用于转换器操作的 B2B 数据交换 API 活动,例如对 |
B2B 数据交换 | AWS::B2BI::Transformer |
| Amazon Backup | 针对搜索作业的 Amazon Backup 搜索数据 API 活动。 |
Amazon Backup 搜索数据 API | AWS::Backup::SearchJob |
| Amazon Bedrock | 代理别名上的 Amazon Bedrock API 活动。 | Bedrock 代理别名 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 针对异步调用的 Amazon Bedrock API 活动。 | Bedrock 异步调用 | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | 流别名上的 Amazon Bedrock API 活动。 | Bedrock 流别名 | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | 护栏上的 Amazon Bedrock API 活动。 | Bedrock 护栏 | AWS::Bedrock::Guardrail |
| Amazon Bedrock | 针对内联代理的 Amazon Bedrock API 活动。 | Bedrock 调用内联代理 | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | 知识库上的 Amazon Bedrock API 活动。 | Bedrock 知识库 | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | 模型上的 Amazon Bedrock API 活动。 | Bedrock 模型 | AWS::Bedrock::Model |
| Amazon Bedrock | 针对提示的 Amazon Bedrock API 活动。 | Bedrock 提示 | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | 针对会话的 Amazon Bedrock API 活动。 | Bedrock 会议 | AWS::Bedrock::Session |
| Amazon Bedrock | 针对流执行的 Amazon Bedrock API 活动。 |
Bedrock 流执行 | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | 针对自动推理策略的 Amazon Bedrock API 活动。 |
Bedrock 自动推理策略 | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | 针对自动推理策略版本的 Amazon Bedrock API 活动。 |
Bedrock 自动推理策略版本 | AWS::Bedrock::AutomatedReasoningPolicyVersion |
Amazon Bedrock |
Amazon Bedrock 数据自动化项目 API 活动。 |
Bedrock 数据自动化项目 |
|
Amazon Bedrock |
Bedrock 数据自动化调用 API 活动。 |
Bedrock 数据自动化调用 |
|
Amazon Bedrock |
Amazon Bedrock 数据自动化配置文件 API 活动。 |
Bedrock 数据自动化配置文件 |
|
Amazon Bedrock |
Amazon Bedrock 蓝图 API 活动。 |
Bedrock 蓝图 |
|
Amazon Bedrock |
Amazon Bedrock 代码解释器 API 活动。 |
Bedrock-AgentCore 代码解释器 |
|
Amazon Bedrock |
Amazon Bedrock 浏览器 API 活动。 |
Bedrock-AgentCore 浏览器 |
|
Amazon Bedrock |
Amazon Bedrock 工作负载身份 API 活动。 |
Bedrock-AgentCore 工作负载身份 |
|
Amazon Bedrock |
Amazon Bedrock 工作负载身份目录 API 活动。 |
Bedrock-AgentCore 工作负载身份目录 |
|
Amazon Bedrock |
Amazon Bedrock 令牌文件库 API 活动。 |
Bedrock-AgentCore 令牌文件库 |
|
Amazon Bedrock |
Amazon Bedrock APIKey CredentialProvider API 活动。 |
Bedrock-AgentCore APIKey CredentialProvider |
|
Amazon Bedrock |
Amazon Bedrock 运行时 API 活动。 |
Bedrock-AgentCore 运行时 |
|
Amazon Bedrock |
Amazon Bedrock 运行时端点 API 活动。 |
Bedrock-AgentCore 运行时端点 |
|
Amazon Bedrock |
Amazon Bedrock 网关 API 活动。 |
Bedrock-AgentCore 网关 |
|
Amazon Bedrock |
Amazon Bedrock 内存 API 活动。 |
Bedrock-AgentCore 内存 |
|
Amazon Bedrock |
Amazon Bedrock Oauth2 CredentialProvider API 活动。 |
Bedrock-AgentCore Oauth2 CredentialProvider |
|
Amazon Bedrock |
Amazon Bedrock 浏览器自定义 API 活动。 |
Bedrock-AgentCore 浏览器自定义 |
|
Amazon Bedrock |
Amazon Bedrock 代码解释器自定义 API 活动。 |
Bedrock-AgentCore 代码解释器自定义 |
|
| Amazon Bedrock | Amazon Bedrock 工具 API 活动。 |
Bedrock 工具 | AWS::Bedrock::Tool |
| Amazon Cloud Map | 命名空间上的 Amazon Cloud Map API 活动。 | Amazon Cloud Map 命名空间 | |
| Amazon Cloud Map | 服务上的 Amazon Cloud Map API 活动。 | Amazon Cloud Map 服务 | |
| Amazon CloudFront | 上的 CloudFront API 活动。。KeyValueStore |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| Amazon CloudTrail | 针对 CloudTrail Lake 通道 的 CloudTrail |
CloudTrail 通道 | AWS::CloudTrail::Channel |
| Amazon CloudWatch | 指标上的 Amazon CloudWatch API 活动。 |
CloudWatch 指标 | AWS::CloudWatch::Metric |
| Amazon CloudWatch 网络流量监测仪 | 监视器上的 Amazon CloudWatch 网络流量监测仪 API 活动。 |
网络流量监测仪监视器 | AWS::NetworkFlowMonitor::Monitor |
| Amazon CloudWatch 网络流量监测仪 | 作用域上的 Amazon CloudWatch 网络流量监测仪 API 活动。 |
网络流量监测仪作用域 | AWS::NetworkFlowMonitor::Scope |
| Amazon CloudWatch RUM | 应用程序监视器上的 Amazon CloudWatch RUM API 活动。 |
RUM 应用程序监视器 | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | 对分析组的 CodeGuru Profiler API 活动。 | CodeGuru Profiler 分析组 | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | 针对自定义的 Amazon CodeWhisperer API 活动。 | CodeWhisperer 自定义 | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | 针对个人资料的 Amazon CodeWhisperer API 活动。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | 针对 Amazon Cognito 身份池的 Amazon Cognito API 活动。 |
Cognito 身份池 | AWS::Cognito::IdentityPool |
| Amazon Web Services Data Exchange | 资产上的 Amazon Web Services Data Exchange API 活动。 |
Data Exchange 资产 |
|
Amazon Data Firehose |
Amazon Data Firehose 传输流 API 活动。 |
Amazon Data Firehose |
|
| Amazon Deadline Cloud | 实例集上的 Deadline Cloud API 活动。 |
Deadline Cloud 实例集 |
|
| Amazon Deadline Cloud | 作业上的 Deadline Cloud API 活动。 |
Deadline Cloud 作业 |
|
| Amazon Deadline Cloud | 队列上的 Deadline Cloud API 活动。 |
Deadline Cloud 队列 |
|
| Amazon Deadline Cloud | 工作程序上的 Deadline Cloud API 活动。 |
Deadline Cloud 工作程序 |
|
| Amazon DynamoDB | 表上的 Amazon DynamoDB 项目级 API 活动(例如, 注意对于启用了流的表,数据事件中的 |
DynamoDB |
|
| Amazon DynamoDB | 针对流的 Amazon DynamoDB API 活动 |
DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) 直接 API,例如 Amazon EBS 快照上的 |
Amazon EBS 直接 API | AWS::EC2::Snapshot |
Amazon Elastic Compute Cloud |
Amazon EC2 Instance Connect 端点 API 活动。 |
EC2 Instance Connect 端点 |
|
| Amazon Elastic Container Service | 对容器实例的 Amazon Elastic Container Service API 活动。 |
ECS 容器实例 | AWS::ECS::ContainerInstance |
| Amazon Elastic Kubernetes Service | 对控制面板的 Amazon Elastic Kubernetes Service API 活动。 |
Amazon Elastic Kubernetes Service 控制面板 | AWS::EKS::Dashboard |
| Amazon EMR | 预写日志工作区上的 Amazon EMR API 活动。 | EMR 预写日志工作空间 | AWS::EMRWAL::Workspace |
| Amazon 最终用户消息 SMS | 发起身份上的 Amazon 最终用户消息 SMS API 活动。 | SMS 语音发起身份 | AWS::SMSVoice::OriginationIdentity |
| Amazon 最终用户消息 SMS | 对消息的 Amazon 终端用户消息发送 SMS 服务 API 活动。 | 短信语音消息 | AWS::SMSVoice::Message |
| Amazon 最终用户消息社交 | 电话号码 ID 上的 Amazon 最终用户消息社交 API 活动。 | 社交消息电话号码 ID | AWS::SocialMessaging::PhoneNumberId |
| Amazon 最终用户消息社交 | 对 Waba ID 的 Amazon 最终用户社交消息 API 活动。 | 社交消息 Waba ID | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | 针对环境的 Amazon FinSpace API 活动 |
FinSpace | AWS::FinSpace::Environment |
| Amazon GameLift Streams | 对应用程序的 Amazon GameLift Streams 流式处理 API 活动。 |
GameLift Streams 应用程序 | AWS::GameLiftStreams::Application |
| Amazon GameLift Streams | 对流组的 Amazon GameLift Streams 流式处理 API 活动。 |
GameLift Streams 流组 | AWS::GameLiftStreams::StreamGroup |
| Amazon Glue | 针对 Lake Formation 创建的表的 Amazon Glue API 活动 |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | 检测器的 Amazon GuardDuty API 活动。 |
GuardDuty 检测器 | AWS::GuardDuty::Detector |
| Amazon HealthImaging | 针对数据存储的 Amazon HealthImaging API 活动。 |
医学成像数据存储 | AWS::MedicalImaging::Datastore |
Amazon HealthImaging |
Amazon HealthImaging 映像集 API 活动。 |
MedicalImaging 映像集 |
|
| Amazon IoT | IoT 证书 | AWS::IoT::Certificate |
|
| Amazon IoT | IoT 事物 | AWS::IoT::Thing |
|
| Amazon IoT Greengrass Version 2 | 组件版本上来自 Greengrass 核心设备的 Greengrass API 活动。 注意Greengrass 不会记录访问被拒绝事件。 |
IoT Greengrass 组件版本 | AWS::GreengrassV2::ComponentVersion |
| Amazon IoT Greengrass Version 2 | 部署上来自 Greengrass 核心设备的 Greengrass API 活动。 注意Greengrass 不会记录访问被拒绝事件。 |
IoT Greengrass 部署 | AWS::GreengrassV2::Deployment |
| Amazon IoT SiteWise | IoT SiteWise 资产 | AWS::IoTSiteWise::Asset |
|
| Amazon IoT SiteWise | IoT SiteWise 时间序列 | AWS::IoTSiteWise::TimeSeries |
|
| Amazon IoT SiteWise Assistant | 对对话的 Sitewise Assistant API 活动 |
Sitewise Assistant 对话 | AWS::SitewiseAssistant::Conversation |
| Amazon IoT TwinMaker | 实体上的 IoT TwinMaker API 活动。 |
IoT TwinMaker 实体 | AWS::IoTTwinMaker::Entity |
| Amazon IoT TwinMaker | 工作区上的 IoT TwinMaker API 活动。 |
IoT TwinMaker 工作区 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra 智能排名 | 针对重新评分执行计划的 Amazon Kendra Intelligent Ranking API 活动。 |
Kendra 排名 | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces(Apache Cassandra 兼容) | 表上的 Amazon Keyspaces API 活动。 | Cassandra 表 | AWS::Cassandra::Table |
| Amazon Keyspaces(Apache Cassandra 兼容) | 对 Cassandra CDC 流的 Amazon Keyspaces(Apache Cassandra 兼容)API 活动。 |
Cassandra CDC 流 | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | 流上的 Kinesis Data Streams API 活动。 | Kinesis 流 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | 流使用者的上的 Kinesis Data Streams API 活动。 | Kinesis 流使用者 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | 视频流上的 Kinesis Video Streams API 活动,例如调用 GetMedia 和 PutMedia。 |
Kinesis 视频流 | AWS::KinesisVideo::Stream |
Amazon Kinesis Video Streams |
Kinesis Video Streams 视频信令通道 API 活动。 |
Kinesis 视频信令通道 |
|
| Amazon Lambda | Amazon Lambda 函数执行活动 ( |
Lambda: | AWS::Lambda::Function |
| Amazon Location 映射 | Amazon Location 地图 API 活动。 | 地理地图 | AWS::GeoMaps::Provider |
| Amazon Location 位数 | Amazon Location 地点 API 活动。 | 地理地点 | AWS::GeoPlaces::Provider |
| Amazon Location 路线 | Amazon Location 路线 API 活动。 | 地理路线 | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | 机器学习模型上的机器学习 API 活动。 | 机器学习 MLModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 针对网络的 Amazon Managed Blockchain API 活动。 |
托管区块链网络 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | 针对 Ethereum 节点的 Amazon Managed Blockchain JSON-RPC 调用,如 |
托管区块链 | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain 查询 | Amazon Managed Blockchain 查询 API 活动。 |
Managed Blockchain 查询 | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | 对环境的 Amazon MWAA API 活动。 |
托管 Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune 图形 | Neptune Graph 上的数据 API 活动,例如查询、算法或向量搜索。 |
Neptune 图形 | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | UKey 上的 Amazon One Enterprise API 活动。 |
Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | 用户上的 Amazon One Enterprise API 活动。 |
Amazon One 用户 | AWS::One::User |
| Amazon Payment Cryptography | 别名上的 Amazon Payment Cryptography API 活动。 | Payment Cryptography 别名 | AWS::PaymentCryptography::Alias |
| Amazon Payment Cryptography | 密钥上的 Amazon Payment Cryptography API 活动。 | Payment Cryptography 密钥 | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | 对移动定位应用程序的 Amazon Pinpoint API 活动。 |
移动定位应用程序 | AWS::Pinpoint::App |
| Amazon 私有 CA | Amazon 私有 CA Connector for Active Directory API 活动。 |
Amazon 私有 CA Connector for Active Directory | AWS::PCAConnectorAD::Connector |
| Amazon 私有 CA | 用于 SCEP API 活动的 Amazon 私有 CA 连接器。 |
Amazon 私有 CA Connector for SCEP | AWS::PCAConnectorSCEP::Connector |
| Amazon Q 应用程序构建器 | Amazon Q 应用程序构建器上的数据 API 活动。 |
Amazon Q 应用程序构建器 | AWS::QApps::QApp |
| Amazon Q 应用程序构建器 | 对 Amazon Q 应用程序构建器会话的数据 API 活动。 |
Amazon Q 应用程序构建器会话 | AWS::QApps::QAppSession |
| Amazon Q Business | 应用程序上的 Amazon Q Business API 活动。 |
Amazon Q Business 应用程序 | AWS::QBusiness::Application |
| Amazon Q Business | 数据来源上的 Amazon Q Business API 活动。 |
Amazon Q Business 数据来源 | AWS::QBusiness::DataSource |
| Amazon Q Business | 索引上的 Amazon Q Business API 活动。 |
Amazon Q Business 索引 | AWS::QBusiness::Index |
| Amazon Q Business | Web 体验上的 Amazon Q Business API 活动。 |
Amazon Q Business Web 体验 | AWS::QBusiness::WebExperience |
Amazon Q Business |
Amazon Q Business 集成 API 活动。 |
Amazon Q Business 集成 |
|
| Amazon Q 开发者版 | 对集成的 Amazon Q 开发者版 API 活动。 |
Q 开发者版集成 | AWS::QDeveloper::Integration |
| Amazon Q 开发者版 | 对操作调查的 Amazon Q 开发者版 API 活动。 |
AIOps 调查组 | AWS::AIOps::InvestigationGroup |
| Amazon Quick Suite | 对操作连接器的 Amazon Quick Suite API 活动。 |
Amazon QuickSuite 操作 | AWS::Quicksight::ActionConnector |
Amazon Quick Suite |
Amazon Quick Suite 流 API 活动。 |
AWS::QuickSight::Flow |
|
Amazon Quick Suite |
Amazon Quick Suite FlowSession API 活动。 |
AWS::QuickSight::FlowSession |
|
| Amazon SageMaker AI | 对端点的 Amazon SageMaker AI InvokeEndpointWithResponseStream 活动。 |
SageMaker AI 端点 | AWS::SageMaker::Endpoint |
| Amazon SageMaker AI | 对特征存放区的 Amazon SageMaker AI API 活动。 |
SageMaker AI 特征存放区 | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker AI | 对实验试用组件的 Amazon SageMaker AI API 活动。 |
SageMaker AI 指标实验试用组件 | AWS::SageMaker::ExperimentTrialComponent |
Amazon SageMaker AI; |
Amazon SageMaker AI MLflow API 活动。 |
SageMaker MLflow |
|
| Amazon Signer | 对签名作业的签署人 API 活动。 |
签署人签名作业 | AWS::Signer::SigningJob |
| Amazon Signer | 对签名配置文件的签署人 API 活动。 |
签署人签名配置文件 | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | 对配置集的 Amazon Simple Email Service (Amazon SES) API 活动。 |
SES 配置集 | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | 对电子邮件身份的 Amazon Simple Email Service (Amazon SES) API 活动。 |
SES 身份 | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | 对模板的 Amazon Simple Email Service (Amazon SES) API 活动。 |
SES 模板 | AWS::SES::Template |
| Amazon SimpleDB | 对域的 Amazon SimpleDB API 活动。 |
SimpleDB 域 | AWS::SDB::Domain |
| Amazon Step Functions | 对活动的 Step Functions API 活动。 |
Step Functions | AWS::StepFunctions::Activity |
| Amazon Step Functions | 对状态机的 Step Functions API 活动。 |
Step Functions 状态机 | AWS::StepFunctions::StateMachine |
| Amazon Systems Manager | 控制通道上的 Systems Manager API 活动。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| Amazon Systems Manager | 对影响评测的 Systems Manager API 活动。 | SSM 影响评测 | AWS::SSM::ExecutionPreview |
| Amazon Systems Manager | 托管节点上的 Systems Manager API 活动。 | Systems Manager 托管式节点 | AWS::SSM::ManagedNode |
| Amazon Timestream | 针对数据库的 Amazon Timestream Query API 活动。 |
Timestream 数据库 | AWS::Timestream::Database |
| Amazon Timestream | 对区域端点的 Amazon Timestream API 活动。 | Timestream 区域端点 | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | 针对表的 Amazon Timestream Query API 活动。 |
Timestream 表 | AWS::Timestream::Table |
| Amazon Verified Permissions | 针对策略存储的 Amazon Verified Permissions API 活动。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces Thin Client | 设备上的 WorkSpaces 瘦客户端 API 活动。 | 瘦客户端设备 | AWS::ThinClient::Device |
| Amazon WorkSpaces Thin Client | 环境上的 WorkSpaces 瘦客户端 API 活动。 | 瘦客户端环境 | AWS::ThinClient::Environment |
| Amazon X-Ray | X-Ray 跟踪 | AWS::XRay::Trace |
预设情况下,在您创建跟踪记录时,未记录数据事件。要记录 CloudTrail 数据事件,必须明确添加要为其收集活动的支持的资源或资源类型。有关更多信息,请参阅 使用 CloudTrail 控制台创建跟踪。
记录数据事件将收取额外费用。有关 CloudTrail 定价的信息,请参阅 Amazon CloudTrail 定价
以下示例显示了 Amazon SNS Publish 操作的数据事件的单个日志记录。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
以下示例显示了 Amazon Cognito GetCredentialsForIdentity 操作的数据事件的单个日志记录。
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
网络活动事件
CloudTrail 网络活动事件使 VPC 端点所有者能够记录使用其 VPC 端点进行的从私有 VPC 到 Amazon 的 Amazon Web Services 服务 API 调用。通过网络活动事件,可以了解在 VPC 中执行的资源操作。
您可以记录以下服务的网络活动事件:
-
Amazon AppConfig
-
Amazon App Mesh
-
Amazon Athena
-
Amazon B2B Data Interchange
-
Amazon Backup gateway
-
Amazon Bedrock
-
账单和成本管理
-
Amazon 定价计算器
-
Amazon Cost Explorer
-
Amazon 云端控制 API
-
Amazon CloudHSM
-
Amazon Cloud Map
-
Amazon CloudFormation
-
Amazon CloudTrail
-
Amazon CloudWatch
-
CloudWatch Application Signals
-
Amazon CodeDeploy
-
Amazon Comprehend Medical
-
Amazon Config
-
Amazon Data Exports
-
Amazon Data Firehose
-
Amazon Directory Service
-
Amazon DynamoDB
-
Amazon EC2
-
Amazon Elastic Container Service
-
Amazon Elastic File System
-
Elastic Load Balancing
-
Amazon EventBridge
-
Amazon EventBridge 调度器
-
Amazon Fraud Detector
-
Amazon Web Services 中国区免费套餐
-
Amazon FSx
-
Amazon Glue
-
Amazon HealthLake
-
Amazon IoT FleetWise
-
Amazon IoT Secure Tunneling
-
Amazon Web Services 开票
-
Amazon Keyspaces(Apache Cassandra 兼容)
-
Amazon KMS
-
Amazon Lake Formation
-
Amazon Lambda
-
Amazon License Manager
-
Amazon Lookout for Equipment
-
Amazon Lookout for Vision
-
Amazon Personalize
-
Amazon Q Business
-
Amazon Rekognition
-
Amazon Relational Database Service
-
Amazon S3
注意
不支持 Amazon S3 多区域接入点。
-
Amazon SageMaker AI
-
Amazon Secrets Manager
-
Amazon Simple Notification Service
-
Amazon Simple Queue Service
-
Amazon Simple Workflow Service
-
Amazon Storage Gateway
-
Amazon Systems Manager Incident Manager
-
Amazon Textract
-
Amazon Transcribe
-
Amazon Translate
-
Amazon Transform
-
Amazon Verified Permissions
-
Amazon WorkMail
默认情况下,在您创建跟踪或事件数据存储时,未记录网络活动事件。要记录 CloudTrail 网络活动事件,您必须明确设置要收集活动的事件源。有关更多信息,请参阅 记录网络活动事件。
记录网络活动事件将收取额外费用。有关 CloudTrail 定价的信息,请参阅 Amazon CloudTrail 定价
以下示例显示遍历 VPC 端点的成功 Amazon KMS ListKeys 事件。vpcEndpointId 字段显示 VPC 端点的 ID。vpcEndpointAccountId 字段显示 VPC 端点所有者的账户 ID。在此示例中,请求由 VPC 端点所有者发出。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE:role-name", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "attributes": { "creationDate": "2024-06-04T23:10:46Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-06-04T23:12:50Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731", "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
下一个示例显示了违反 VPC 端点策略的失败 Amazon KMS ListKeys 事件。由于发生了 VPC 策略违规,因此 errorCode 和 errorMessage 字段都存在。recipientAccountId 和 vpcEndpointAccountId 字段中的账户 ID 相同,这表示事件已发送给 VPC 端点所有者。userIdentity 元素中的 accountId 不是 vpcEndpointAccountId,这表示发出请求的用户不是 VPC 端点所有者。
{ "eventVersion": "1.09", "userIdentity": { "type": "AWSAccount", "principalId": "AKIAIOSFODNN7EXAMPLE", "accountId": "777788889999" }, "eventTime": "2024-07-15T23:57:12Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "errorCode": "VpceAccessDenied", "errorMessage": "The request was denied due to a VPC endpoint policy", "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374", "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
Insights 事件
CloudTrail Insights 事件会分析 CloudTrail 管理活动,从而捕获您 Amazon 账户中异常的 API 调用率或错误率活动。Insights 事件提供相关信息,例如关联的 API、错误代码、事件时间和统计数据,以帮助您了解异常活动并对其采取措施。与在 CloudTrail 跟踪记录或事件数据存储中捕获的其它类型的事件不同,仅在 CloudTrail 检测到账户的 API 使用情况或错误率记录的变化与账户的典型使用模式有显著差异时,才会记录 Insights 事件。有关更多信息,请参阅 使用 CloudTrail Insights。
可能生成 Insights 事件的活动的示例包括:
-
您的账户通常每分钟记录不超过 20 次 Simple Storage Service(Amazon S3)
deleteBucketAPI 调用,但是您的账户一开始就平均每分钟记录 100 次deleteBucketAPI 调用。在异常活动开始时记录一个 Insights 事件,并记录另一个见解事件以标记异常活动的结束。 -
您的账户通常每分钟记录 20 次对 Amazon EC2
AuthorizeSecurityGroupIngressAPI 的调用,但是您的账户开始记录对AuthorizeSecurityGroupIngress的零次调用。在异常活动开始时记录一个 Insights 事件,10 分钟后,当异常活动结束时,将记录另一个 Insights 事件以标记异常活动的结束。 -
您的账户七天内对 Amazon Identity and Access Management API、
DeleteInstanceProfile记录的AccessDeniedException错误通常不到一个。你的账户开始对DeleteInstanceProfileAPI 调用每分钟平均记录 12 个AccessDeniedException错误。在异常错误率活动开始时记录一个 Insights 事件,并记录另一个 Insights 事件以标记异常活动的结束。
这些示例仅用于说明用途。根据您的使用案例,您的结果可能会有所不同。
要记录 CloudTrail Insights 事件,必须在新的或现有的跟踪或事件数据存储上显式启用 Insights 事件。有关创建跟踪的更多信息,请参阅使用 CloudTrail 控制台创建跟踪。有关创建事件数据存储的更多信息,请参阅使用控制台为 Insights 事件创建事件数据存储。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅 Amazon CloudTrail 定价
记录两种事件以显示 CloudTrail Insights 中的异常活动:启动事件和结束事件。下面的示例显示了一个启动见解事件的单个日志记录,该事件是在不寻常地多次调用 Application Auto Scaling API CompleteLifecycleAction 时发生的。对于见解事件,eventCategory 的值为 Insight。insightDetails 块标识事件状态、源、名称、见解类型和上下文,包括统计信息和归因。有关 insightDetails 块的更多信息,请参阅 面向跟踪的 Insights 事件的 CloudTrail 记录内容。
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }