本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如何 CloudTrail 运作
创建 CloudTrail 事件历史记录时,您可以自动访问事件历史记录 Amazon Web Services 账户。事件历史记录提供对 Amazon Web Services 区域中过去 90 天的已记录管理事件的可查看、可搜索、可下载和不可变记录。
要持续记录 Amazon Web Services 账户 过去 90 天内的事件,请创建跟踪。
CloudTrail 事件历史
您可以前往事件历史记录页面,在 CloudTrail 控制台中轻松查看最近 90 天的管理事件。您还可以通过运行 aws cloudtrail
lookup-events 命令或 LookupEvents API 操作来查看事件历史记录。您可以针对单个属性筛选事件,来搜索 Event history(事件历史记录)中的事件。有关更多信息,请参阅 处理 CloudTrail 事件历史记录。
事件历史记录与您账户中存在的任何跟踪无关,也不会受到您对跟踪所做的配置更改的影响。
查看事件历史记录页面或运行lookup-events命令不 CloudTrail 收取任何费用。
CloudTrail 步道
跟踪是一种配置,可用于将事件传送到您指定的 Amazon S3 存储桶。您还可以使用 Amazon L CloudWatch ogs 和 Amazon 在跟踪中交付和分析事件 EventBridge。
Trails 可以记录 CloudTrail 管理事件、数据事件、网络活动事件和 Insights 事件。
您可以为您的 Amazon Web Services 账户创建多区域和单区域跟踪。
- 多区域跟踪
-
当您创建多区域跟踪时,会 CloudTrail 记录所有已启 Amazon Web Services 区域用的事件, Amazon Web Services 账户 并将 CloudTrail 事件日志文件传送到您指定的 S3 存储桶。作为最佳实践,我们建议您创建多区域跟踪,因为它可以捕获所有已启用区域的活动。使用 CloudTrail 控制台创建的所有跟踪均为多区域跟踪。您可以使用将单区域跟踪转换为多区域跟踪。 Amazon CLI有关更多信息,请参阅了解多区域跟踪和选择加入区域、使用控制台创建跟踪和将单区域跟踪转换为多区域跟踪。
- 单区域跟踪
-
创建单区域跟踪时,仅 CloudTrail 记录该区域的事件。然后,它 CloudTrail 会将事件日志文件传送到您指定的 Amazon S3 存储桶。您只能使用 Amazon CLI创建单区域跟踪。如果您创建其他单个跟踪,则可以让这些跟踪将 CloudTrail 事件日志文件传送到同一 S3 存储桶或单独的存储桶。这是您使用 Amazon CLI 或 CloudTrail API 创建跟踪时的默认选项。有关更多信息,请参阅 使用创建、更新和管理跟踪 Amazon CLI。
注意
对于这两种类型的跟踪,您可以在任何区域中指定 Amazon S3 存储桶。
如果您在中创建了组织 Amazon Organizations,则可以创建组织跟踪,记录该组织中所有 Amazon 账户的所有事件。组织跟踪可以应用于所有 Amazon 地区或当前区域。组织跟踪必须使用管理账户或委托管理员账户创建,并且在指定为应用于某个组织时,组织跟踪将自动应用于该组织中的所有成员账户。成员账户可以查看组织跟踪,但无法对其进行修改或删除。默认情况下,成员账户无权访问 Amazon S3 存储桶中组织跟踪的日志文件。
默认情况下,当您在 CloudTrail 控制台中创建跟踪时,您的事件日志文件将使用 KMS 密钥进行加密。如果您选择不启用 SSE-KMS 加密,您的事件日志将使用 Amazon S3 服务器端加密(SSE)进行加密。您可以将日志文件在 存储桶中存储任意长的时间。您也可以定义 Amazon S3 生命周期规则以自动存档或删除日志文件。如果您想接收有关日志文件传送和验证的通知,可以设置 Amazon SNS 通知。
CloudTrail 每小时多次发布日志文件,大约每 5 分钟发布一次。这些日志文件包含账户中来自支持 CloudTrail 的服务的 API 调用。有关更多信息,请参阅 CloudTrail 支持的服务和集成。
注意
CloudTrail 通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。
如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。
CloudTrail 捕获用户直接执行的操作或 Amazon 服务代表用户执行的操作。例如, Amazon CloudFormation CreateStack调用可能会导致对亚马逊、Amazon RDS EC2、Amazon EBS 或 Amazon CloudFormation 模板要求的其他服务进行额外的 API 调用。这是正常的,也是预期的行为。您可以通过 CloudTrail事件中的invokedby字段来识别操作是否由 Amazon 服务机构执行。
下表提供了有关您可以对跟踪执行的任务的信息。
| Task | 描述 |
|---|---|
|
将您的跟踪记录配置为记录只读、只写或所有管理事件。 |
|
|
您可以使用高级事件选择器来创建精细的选择器,以仅记录那些感兴趣的数据事件。使用高级事件选择器时,您可以根据 |
|
|
配置跟踪以记录网络活动事件。您可以将高级事件选择器配置为根据 |
|
|
将跟踪记录配置为记录 Insights 事件,以帮助您识别和应对与管理 API 调用相关的异常活动。 将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价 |
|
|
在跟踪上启用 CloudTrail Insights 后,您可以使用 CloudTrail 控制台或查看最多 90 天的 Insights 事件 Amazon CLI。 |
|
|
在跟踪上启用 CloudTrail Insights 后,您可以为跟踪下载包含最多 90 天的 Insights 事件的 CSV 或 JSON 文件。 |
|
|
订阅主题以接收有关将日志文件传送至您的存储桶的通知。Amazon SNS 可通过多种方式通知您,包括使用 Amazon Simple Queue Service 以编程方式通知您。 注意如果您要接收有关从所有区域传送日志文件的 SNS 通知,请为您的跟踪仅指定一个 SNS 主题。如果要以编程方式处理所有事件,请参阅 使用 CloudTrail 处理库。 |
|
|
从 S3 存储桶中查找并下载日志文件。 |
|
|
您可以将跟踪配置为将事件发送到 CloudWatch 日志。然后,您可以使用 CloudWatch 日志来监控您的账户中是否有特定 API 调用和事件。 注意如果您将多区域跟踪配置为向 CloudWatch 日志组发送事件,则会将来自所有区域的事件 CloudTrail 发送到单个日志组。 |
|
|
日志文件加密为您的日志文件提供额外的安全层。 |
|
|
日志文件完整性验证可帮助您验证日志文件自 CloudTrail 交付以来是否保持不变。 |
|
|
您可以在账户之间共享日志文件。 |
|
|
您可以将多个账户中的日志文件聚合到单个存储桶中。 |
|
|
使用与集成的合作伙伴解决方案分析您的 CloudTrail 产出 CloudTrail。合作伙伴解决方案提供了一组广泛的功能,例如,更改跟踪、故障排除和安全分析。 |
通过创建跟踪,您可以免费将正在进行的管理事件的一份副本传送到 S3 存储桶,但是 Amazon S3 会收取存储费用。 CloudTrail 有关 CloudTrail 定价的更多信息,请参阅Amazon CloudTrail 定价
CloudTrail 洞察活动
Amazon CloudTrail Insights 通过持续分析 CloudTrail 管理事件,帮助 Amazon 用户识别和响应与 API 调用率和 API 错误率相关的异常活动。 CloudTrail Insights 会分析您的 API 调用量和 API 错误率的正常模式(也称为基线),并在呼叫量或错误率超出正常模式时生成 Insights 事件。为管理层生成有关 API 调用率的 Insights 事件 APIs,为write管理层生成有关 API 错误率的 Insights 事件 APIs。read write
默认情况下, CloudTrail 跟踪和事件数据存储不记录 Insights 事件。您必须配置您的跟踪或事件数据存储以记录 Insights 事件。有关更多信息,请参阅使用 CloudTrail 控制台记录 Insights 事件 和使用记录见解事件 Amazon CLI。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价
查看跟踪和事件数据存储的 Insights 事件
CloudTrail 跟踪和事件数据存储都支持 Insights 事件,但是,查看和访问 Insights 事件的方式存在一些差异。
查看跟踪的 Insights 事件
如果您在跟踪上启用了 Insights 事件并 CloudTrail 检测到异常活动,则 Insights 事件会记录到您的跟踪的目标 S3 存储桶中的其他文件夹或前缀。在 CloudTrail 控制台上查看 Insights 事件时,您还可以查看洞察类型和事件时间段。有关更多信息,请参阅 使用控制台查看跟踪的 Insights 事件。
首次在跟踪上启用 CloudTrail Insights 后,在跟踪上启用 Insights 事件后,最多 CloudTrail 可能需要 36 小时才能开始交付 Insights 事件,前提是在此期间检测到异常活动。
查看事件数据存储的 Insights 事件
要在 L CloudTrail ake 中记录 Insights 事件,您需要一个用于记录 Insights 事件的目标事件数据存储和一个启用 Insights 并记录管理事件的源事件数据存储。有关更多信息,请参阅 使用控制台为 Insights 事件创建事件数据存储。
首次在源事件数据存储上启用 CloudTrail Insights 后,最多 CloudTrail 可能需要 7 天才能开始交付 Insights 事件,前提是在此期间检测到异常活动。
如果您在源事件数据存储上启用了 CloudTrail Insights 并 CloudTrail 检测到异常活动,则会将 Insigh CloudTrail ts 事件传送到您的目标事件数据存储。然后,您可以查询目标事件数据存储以获取有关 Insights 事件的信息,也可以选择性地将查询结果保存到 S3 存储桶。有关更多信息,请参阅使用 CloudTrail 控制台创建或编辑查询 和使用 CloudTrail 控制台查看示例查询。
您可以查看 Insights 事件仪表板,以可视化目标事件数据存储中的 Insights 事件。有关 Lake 控制面板的更多信息,请参阅CloudTrail 湖泊仪表板。
CloudTrail 频道
CloudTrail 支持与服务相关的频道。
- 服务相关通道
-
Amazon 服务可以创建与服务相关的渠道来代表您接收 CloudTrail 事件。创建 Amazon 服务相关频道的服务会为该频道配置高级事件选择器,并指定该频道是适用于所有区域还是适用于当前区域。
您可以使用CloudTrail 控制台或Amazon CLI查看由 Amazon Web Services 服务创建的任何 CloudTrail 服务相关频道的相关信息。