CloudTrail 的工作原理 - Amazon CloudTrail
事件历史记录CloudTrail 跟踪CloudTrail 通道
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CloudTrail 的工作原理

在您创建 Amazon 账户时,将对账户启用 CloudTrail。当您的 Amazon 账户中发生活动时,该活动将记录在 CloudTrail 事件中。您可以前往事件历史记录,在CloudTrail控制台中查看过去 90 天记录的 API 活动(管理事件)。Amazon Web Services 区域

要持续记录您的事件Amazon Web Services 账户,请创建一条线索。Trails 可以记录CloudTrail管理、数据和 Insights 事件的事件。

要开始使用CloudTrail,请参阅Amazon CloudTrail 入门教程

有关 CloudTrail 定价,请参阅 Amazon CloudTrail 定价。有关 Amazon S3 和 Amazon SNS 定价的信息,请参阅 Amazon S3 定价Amazon SNS 定价

事件历史记录

您可以通过转到事件历史记录轻松地在CloudTrail控制台中查看管理事件事件历史记录提供了过去 90 天中记录的 API 活动(管理事件)的可查看、可搜索、可下载和不可变的记录。Amazon Web Services 区域您可以针对单个属性筛选事件,来搜索 Event history(事件历史记录)中的事件。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件

CloudTrail 跟踪

您还可以创建CloudTrail跟踪来存档、分析和响应您的Amazon资源变化。Trails 可以记录CloudTrail管理事件、数据事件和 Insights 事件。

跟踪是一种配置,可用于将事件传送到您指定的 Amazon S3 存储桶。您还可以使用 Amazon CloudWatch Logs 和 Amazon 在跟踪中交付和分析事件EventBridge。您可以使用CloudTrail控制台Amazon CLI、或 CloudTrail API 创建跟踪。

您可为 Amazon 账户创建两种类型的跟踪:

适用于所有地区的线索

当您创建适用于所有区域的跟踪时,CloudTrail记录每个区域中的事件并将CloudTrail事件日志文件传送到您指定的 S3 存储桶。如果在创建适用于所有区域的跟踪后添加了一个区域,则该新区域将自动包括在内,并记录该区域中的事件。创建多区域跟踪是推荐的最佳做法,因为您可以捕获账户中所有区域的活动。您使用CloudTrail控制台创建的所有跟踪均为多区域。您可以使用更新单区域跟踪以记录所有区域。Amazon CLI有关更多信息,请参阅 在控制台中创建跟踪(基本事件选择器)将应用到一个区域的跟踪转换为应用到所有区域

适用于一个地区的线索

当您创建适用于一个区域的跟踪时,仅CloudTrail记录该区域中的事件。然后,它将CloudTrail事件日志文件传送到您指定的 Amazon S3 存储桶。您只能使用创建单区域跟踪。Amazon CLI如果您创建其他单一跟踪,则可以让这些跟踪将CloudTrail事件日志文件传输到同一 Amazon S3 存储桶或单独的存储桶。这是使用 Amazon CLI 或 CloudTrail API 创建跟踪时的默认选项。有关更多信息,请参阅使用 Amazon Command Line Interface 创建、更新和管理跟踪记录

注意

对于这两种类型的跟踪,您可以指定来自任何区域的 Amazon S3 存储桶。

从 2019 年 4 月 12 日起,只有在记录事件的Amazon区域才能查看路径。如果您创建记录所有 Amazon 区域中事件的跟踪,则它会显示在所有 Amazon 区域的控制台中。如果您创建仅记录单个 Amazon 区域中事件的日志,则可以在该 Amazon 区域中查看和管理它。

如果您已在 Amazon Organizations 中创建组织,则可以创建组织跟踪,用于记录该组织中所有 Amazon 账户的所有事件。组织追踪可以适用于所有Amazon区域或当前区域。组织跟踪必须在管理账户或委托管理员账户中创建,并且在指定为应用于某个组织时,组织跟踪将自动应用于该组织中的所有成员账户。成员账户可以查看组织跟踪,但无法对其进行修改或删除。默认情况下,成员账户无权访问 Amazon S3 存储桶中组织跟踪的日志文件。

创建跟踪后,您可以更改其配置,包括它是在一个区域还是在所有区域记录事件。要将单区域跟踪更改为全区域跟踪,反之亦然,必须运行命令。Amazon CLI update-trail还可以更改它是记录数据事件还是 CloudTrail 见解事件。更改跟踪是在一个区域还是在所有区域中记录事件会影响记录哪些事件。有关更多信息,请参阅 使用 Amazon CLI 管理跟踪记录 (Amazon CLI) 和 使用 CloudTrail 日志文件

默认情况下,跟踪中的CloudTrail事件日志文件使用 Amazon S3 服务器端加密 (SSE) 进行加密。您还可以选择使用 Amazon Key Management Service (Amazon KMS) 密钥加密您的日志文件。您可以将日志文件在 存储桶中存储任意长的时间。您也可以定义 Amazon S3 生命周期规则以自动存档或删除日志文件。如果您想接收有关日志文件传送和验证的通知,可以设置 Amazon SNS 通知。

CloudTrail每小时发布多次日志文件,大约每 5 分钟发布一次。这些日志文件包含账户中来自支持 CloudTrail 的服务的 API 调用。有关更多信息,请参阅CloudTrail支持的服务和集成

注意

CloudTrail通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。

CloudTrail 可捕获由用户直接执行或通过 Amazon 服务代表用户执行的操作。例如,Amazon CloudFormation CreateStack 调用会导致对 Amazon EC2、Amazon RDS、Amazon EBS 或其他服务进行其他的 API 调用(根据 Amazon CloudFormation 模板的要求)。这是正常的,也是预期的行为。您可以使用 CloudTrail 事件中的 invokedby 字段确定操作是否由 Amazon 服务执行。

CloudTrail 通道

CloudTrail支持服务相关渠道。

服务相关通道

Amazon服务可以创建与服务相关的渠道来代表您接收CloudTrail事件。创建Amazon服务相关频道的服务为该频道配置高级事件选择器,并指定该频道适用于所有区域还是单个区域。

使用Amazon CLI,您可以查看有关服务创建的任何CloudTrail服务相关渠道的信息。Amazon有关更多信息,请参阅 使用使用使用使用使用使用使用使用使用使用使用使用使用使用CloudTrail使用使用使用 Amazon CLI