如何 CloudTrail 运作 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何 CloudTrail 运作

创建 CloudTrail 事件历史记录时,您可以自动访问事件历史记录 Amazon Web Services 账户。事件历史记录提供对 Amazon Web Services 区域中过去 90 天的已记录管理事件的可查看、可搜索、可下载和不可变记录。

要持续记录 Amazon Web Services 账户 过去 90 天内的事件,请创建跟踪。

CloudTrail 事件历史记录

您可以前往事件历史记录页面,在 CloudTrail 控制台中轻松查看最近 90 天的管理事件。您还可以通过运行 aws cloudtrail lookup-events 命令或 LookupEvents API 操作来查看事件历史记录。您可以针对单个属性筛选事件,来搜索 Event history(事件历史记录)中的事件。有关更多信息,请参阅 处理 CloudTrail 事件历史记录

事件历史记录与您账户中存在的任何跟踪无关,也不会受到您对跟踪所做的配置更改的影响。

查看事件历史记录页面或运行lookup-events命令不 CloudTrail 收取任何费用。

CloudTrail 步道

跟踪是一种配置,可用于将事件传送到您指定的 Amazon S3 存储桶。您还可以使用 Amazon L CloudWatch ogs 和 Amazon 在跟踪中交付和分析事件 EventBridge。

Trails 可以记录 CloudTrail 管理事件、数据事件和 Insights 事件。

您可以为创建两种类型的跟踪 Amazon Web Services 账户:多区域跟踪和单区域跟踪。

多区域跟踪

创建多区域跟踪时,会在您工作的Amazon 分区 Amazon Web Services 区域中 CloudTrail 记录所有事件,并将 CloudTrail 事件日志文件传送到您指定的 S3 存储桶。如果在创建多区域跟踪后添加了,则会自动包含该新区域,并记录该区域中的事件。 Amazon Web Services 区域 推荐的最佳实践是创建多区域跟踪,因为您可记录您账户中的所有区域的活动。您使用 CloudTrail 控制台创建的所有跟踪都是多区域的。您可以使用将单区域跟踪转换为多区域跟踪。 Amazon CLI有关更多信息,请参阅 在控制台中创建跟踪将应用到一个区域的跟踪转换为应用到所有区域

单区域跟踪

创建单区域跟踪时,仅 CloudTrail 记录该区域的事件。然后,它 CloudTrail 会将事件日志文件传送到您指定的 Amazon S3 存储桶。您只能使用 Amazon CLI创建单区域跟踪。如果您创建其他单个跟踪,则可以让这些跟踪将 CloudTrail 事件日志文件传送到同一 S3 存储桶或单独的存储桶。这是您使用 Amazon CLI 或 CloudTrail API 创建跟踪时的默认选项。有关更多信息,请参阅 使用创建、更新和管理跟踪 Amazon CLI

注意

对于这两种类型的跟踪,您可以在任何区域中指定 Amazon S3 存储桶。

如果您在中创建了组织 Amazon Organizations,则可以创建组织跟踪,记录该组织中所有 Amazon 账户的所有事件。组织跟踪可以应用于所有 Amazon 地区或当前区域。组织跟踪必须使用管理账户或委托管理员账户创建,并且在指定为应用于某个组织时,组织跟踪将自动应用于该组织中的所有成员账户。成员账户可以看到组织记录,但不能对其进行修改或删除。默认情况下,成员账户无权访问 Amazon S3 存储桶中组织跟踪的日志文件。

默认情况下,当您在 CloudTrail 控制台中创建跟踪时,您的事件日志文件将使用 KMS 密钥进行加密。如果您选择不启用 SSE-KMS 加密,则您的事件日志将使用 Amazon S3 服务器端加密 (SSE) 进行加密。您可以将日志文件在 存储桶中存储任意长的时间。您也可以定义 Amazon S3 生命周期规则以自动存档或删除日志文件。如果您想接收有关日志文件传送和验证的通知,可以设置 Amazon SNS 通知。

CloudTrail 每小时多次发布日志文件,大约每 5 分钟发布一次。这些日志文件包含来自支持账户中的服务的 API 调用 CloudTrail。有关更多信息,请参阅 CloudTrail 支持的服务和集成

注意

CloudTrail 通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。

如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver 事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。

CloudTrail 捕获用户直接执行的操作或 Amazon 服务代表用户执行的操作。例如, Amazon CloudFormation CreateStack调用可能会导致对亚马逊 EC2、Amazon RDS、Amazon EBS 或 Amazon CloudFormation 模板要求的其他服务进行额外的 API 调用。这是正常的,也是预期的行为。您可以通过 CloudTrail事件中的invokedby字段来识别操作是否由 Amazon 服务机构执行。

下表提供了有关可以在跟踪上执行的任务的信息。

任务 描述

记录管理事件

将您的跟踪配置为记录只读、只写或所有管理事件。

记录数据事件

您可以使用高级事件选择器来创建精细的选择器,以仅记录那些感兴趣的数据事件。使用高级事件选择器时,您可以对该eventName字段进行筛选,以包含或排除特定 API 调用的记录,这有助于控制成本。

记录见解事件

将跟踪记录配置为记录 Insights 事件,以帮助您识别和应对与管理 API 调用相关的异常活动。

将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价

查看洞察活动

在跟踪上启用 CloudTrail Insights 后,您可以使用 CloudTrail 控制台或查看最多 90 天的 Insights 事件 Amazon CLI。

下载洞察活动

在跟踪上启用 CloudTrail Insights 后,您可以为跟踪下载包含最多 90 天的 Insights 事件的 CSV 或 JSON 文件。

创建并订阅 Amazon SNS 主题

订阅主题以接收有关将日志文件传送至您的存储桶的通知。Amazon SNS 可通过多种方式通知您,包括使用 Amazon Simple Queue Service 以编程方式通知您。

注意

如果您要接收有关从所有区域传送日志文件的 SNS 通知,请为您的跟踪仅指定一个 SNS 主题。如果要以编程方式处理所有事件,请参阅 使用 CloudTrail 处理库

查看您的日志文件

从 S3 存储桶中查找并下载您的日志文件。

使用 CloudWatch 日志监控事件

您可以将跟踪配置为向 L CloudWatch ogs 发送事件。然后,您可以使用 CloudWatch 日志来监控您的账户中是否有特定 API 调用和事件。

注意

如果您配置适用于所有区域的跟踪以将事件发送到 CloudWatch 日志日志组,则会将来自所有区域的事件 CloudTrail 发送到单个日志组。

启用日志加密

日志文件加密为您的日志文件提供额外的安全层。

启用日志文件完整性

日志文件完整性验证可帮助您验证日志文件自 CloudTrail 交付以来是否保持不变。

与其他人共享日志文件 Amazon Web Services 账户

您可以在账户之间共享日志文件。

汇总来自多个账户的日志

您可以将多个账户中的日志文件聚合到单个存储桶中。

使用合作伙伴解决方案

使用与集成的合作伙伴解决方案分析您的 CloudTrail 产出 CloudTrail。合作伙伴解决方案提供了一组广泛的功能,例如,更改跟踪、故障排除和安全分析。

通过创建跟踪,您可以免费将正在进行的管理事件的一份副本传送到 S3 存储桶,但是 Amazon S3 会收取存储费用。 CloudTrail 有关 CloudTrail 定价的更多信息,请参阅Amazon CloudTrail 定价。有关 Amazon S3 定价的信息,请参阅 Amazon S3 定价

CloudTrail 洞察活动

Amazon CloudTrail Insights 通过持续分析 CloudTrail 管理事件,帮助 Amazon 用户识别和响应与 API 调用和 API 错误率相关的异常活动。 CloudTrail Insights 会分析您的 API 调用量和 API 错误率的正常模式(也称为基线),并在呼叫量或错误率超出正常模式时生成 Insights 事件。针对 write 管理 API 生成的 API 调用量的 Insights 事件,以及针对 readwrite 管理 API 生成的 API 错误率的 Insights 事件。

默认情况下, CloudTrail 跟踪和事件数据存储不记录 Insights 事件。您必须配置跟踪或事件数据存储以记录 Insights 事件。有关更多信息,请参阅 使用 “记录 Insights” 事件 Amazon Web Services Management Console使用 “记录 Insights” 事件 Amazon Command Line Interface

将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅Amazon CloudTrail 定价

查看跟踪和事件数据存储的 Insights 事件

CloudTrail 跟踪和事件数据存储都支持 Insights 事件,但是,查看和访问 Insights 事件的方式存在一些差异。

查看跟踪的 Insights 事件

如果您在跟踪上启用了 Insights 事件并 CloudTrail 检测到异常活动,则 Insights 事件会记录到您的跟踪的目标 S3 存储桶中的其他文件夹或前缀。在 CloudTrail 控制台上查看 Insights 事件时,您还可以查看洞察类型和事件时间段。有关更多信息,请参阅 使用控制台查看跟踪的 CloudTrail Insights 事件

首次在跟踪上启用 CloudTrail Insights 后,如果检测到异常活动,则最长可能需要 36 小时 CloudTrail 才能交付第一个 Insights 事件。

查看事件数据存储的 Insights 事件

要在 L CloudTrail ake 中记录 Insights 事件,您需要一个用于记录 Insights 事件的目标事件数据存储和一个启用 Insights 并记录管理事件的源事件数据存储。有关更多信息,请参阅 使用控制台为 Insights 事件创建事件数据存储

首次在源事件数据存储上启用 CloudTrail Insights 后,如果检测到异常活动,则最多可能需要 7 天才能 CloudTrail 将第一个 Insights 事件传送到目标事件数据存储。

如果您在源事件数据存储上启用了 CloudTrail Insights 并 CloudTrail 检测到异常活动,则会将 Insigh CloudTrail ts 事件传送到您的目标事件数据存储。然后,您可以查询目标事件数据存储以获取有关您的 Insights 事件的信息,还可以选择将查询结果保存到 S3 存储桶中。有关更多信息,请参阅 使用 CloudTrail 控制台创建或编辑查询使用 CloudTrail 控制台查看示例查询

您可以查看 Insights 事件控制面板,以可视化目标事件数据存储中的 Insights 事件。有关 Lake 控制面板的更多信息,请参阅 使用 CloudTrail 控制台查看 CloudTrail Lake 仪表板

CloudTrail 频道

CloudTrail 支持与服务相关的频道。

服务相关通道

Amazon 服务可以创建与服务相关的渠道来代表您接收 CloudTrail 事件。创建 Amazon 服务相关频道的服务会为该频道配置高级事件选择器,并指定该频道是适用于所有区域还是适用于当前区域。

您可以使用CloudTrail 控制台Amazon CLI查看由 Amazon Web Services创建的任何 CloudTrail 服务相关频道的相关信息。