可用的托管式控制面板 - Amazon CloudTrail
安全监控控制面板IAM 活动控制面板用户活动控制面板丰富的事件控制面板错误分析控制面板EC2 活动控制面板组织活动控制面板资源更改控制面板数据事件概述控制面板Lambda 数据事件控制面板DynamoDB 数据事件控制面板S3 数据事件控制面板Insights 事件控制面板管理事件控制面板“概述”控制面板
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

可用的托管式控制面板

该部分提供有关可用的托管式控制面板的信息,并提供有关每个控制面板上的精选小组件的信息。

安全监控控制面板

此控制面板提供了以安全为重点的关键小组件的集中视图,例如排名靠前的拒绝访问事件、失败的控制台登录尝试及其关联的 IP 地址、根用户控制台登录尝试、破坏性操作、跨账户访问和其它以安全为重点的关键小组件。它提供快速的事件检测和响应,以增强您的整体安全态势。

此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:

排名靠前的拒绝访问事件

跟踪最常发生的拒绝访问事件,按 API 分组。

ConsoleLogin 尝试失败

跟踪一段时间内控制台登录尝试失败的趋势,详细介绍了 MFA 与非 MFA 验证调用方的对比。

按 IP 地址排列的失败的 ConsoleLogin 尝试

跟踪与失败的控制台登录尝试关联的 IP 地址,并按登录失败次数显示排名靠前的违规 IP 地址。

根用户 ConsoleLogin 尝试

跟踪根用户在一段时间内尝试登录控制台的频率。

破坏性操作

跟踪一段时间内的删除操作频率。

排名靠前的跨账户访问

按调用方账户 ID 和操作跟踪排名靠前的跨账户活动。

禁用 MFA 的用户

跟踪最近禁用 MFA 的用户。

最近的 EC2 SecurityGroup 和 NetworkAcl 更改

跟踪最近的 EC2 SecurityGroup 和 NetworkAcl 更改。

支持公开访问的最近 EC2 SecurityGroup 更改

跟踪具有支持公开 (0.0.0.0/0) 访问的规则的最新 EC2 安全组。

可能的 CloudTrail 禁用操作

跟踪最近可能中断 CloudTrail 日志记录的操作。

IAM 活动控制面板

该控制面板可让您查看常用的 IAM API、API 错误、对 IAM 实体的更改和主要调用方 IP 地址,从而能够识别意外的 IAM 操作和合规性问题。

此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:

排名靠前的 IAM API

跟踪最常用的 IAM API。

排名靠前的 IAM 调用方

跟踪最频繁的 IAM API 调用方。

IAM 成功与失败趋势

跟踪 IAM API 调用在一段时间内的成功和失败趋势。

排名靠前的 IAM API 错误

跟踪调用 IAM API 时最频繁的错误。

排名靠前的 AccessDenied IAM API

跟踪因拒绝访问错误而失败的最频繁的 IAM API 调用。

IAM 调用的排名靠前的 IP 地址

跟踪从中发出 IAM API 调用的排名靠前的源 IP 地址。

最近的 IAM 策略更改

跟踪对 IAM 策略的最新更改,按促进更改的特定 IAM API 操作、与策略更改关联的 IAM 资源(用户、角色或组)以及所使用的策略名称或 ARN 进行分类。

最近的 IAM 用户更改

跟踪对 IAM 用户的最新更改,按便于用户管理的特定 IAM API、受更改影响的 IAM 用户和事件时间进行分类。

排名靠前的代入的 IAM 角色

跟踪最常代入的 IAM 角色。

用户活动控制面板

该控制面板提供了对用户活动趋势的可见性,对关键领域的洞察,例如排名靠前的活跃用户、用户流量规律、出现拒绝访问错误的用户、最近的用户操作、执行破坏性活动和 IAM 策略更改的用户以及特权用户操作。它有助于检测用户意外操作和安全风险。

此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:

按用户 ARN 划分的用户活动趋势

按用户 ARN 跟踪一段时间内的用户活动趋势。

按 API 划分的用户活动趋势

跟踪 API 在一段时间内的用户活动趋势。

最近的用户活动

跟踪最新的用户操作。

出现错误的排名靠前的用户

跟踪错误数量最多的用户。

出现 AccessDenied 错误的用户

跟踪出现 AccessDenied 错误数量最多的用户。

执行破坏性操作的排名靠前的用户

跟踪执行破坏性操作数量最多的用户。

更改 IAM 策略的排名靠前的用户

跟踪经常更改 IAM 策略的 IAM 用户。

潜在的 IAM 特权用户执行的主要操作

跟踪管理员等高权限 IAM 用户最常执行的操作。

丰富的事件控制面板

此丰富的事件控制面板提供有关标记的资源、主体活动和 Amazon 全局条件键的趋势见解。这些见解可帮助您分析角色会话、请求和请求上下文中的主体中最常见的资源和主体标签分布以及常用的全局条件键。

此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:

一段时间内的丰富事件

跟踪一段时间内的丰富事件数量。

最频繁的资源标签键值对

显示丰富事件中最常用的资源标签键值对。

最常见的资源标签键值对与关联的资源和用户

显示最常用的资源标签键值对,显示哪些资源使用这些标签以及哪些用户与这些标签相关联。

最频繁的主体标签键值对

显示丰富事件中最常用的主体标签键值对。

按主体标签键值对分组的最频繁访问被拒绝操作

显示在丰富事件中按主体标签键值对分组的最频繁拒绝访问操作。

IAM 全局条件键中最频繁的主体属性

显示主体属性最常用的 IAM 全局条件键,显示其键值对和所有事件的计数。

IAM 全局条件键中最频繁的请求属性

显示请求属性最常用的 IAM 全局条件键,显示其键值对和所有事件的计数。

IAM 全局条件键中最频繁的角色会话属性

显示角色会话属性最常用的 IAM 全局条件键,显示其键值对和所有事件的计数。

错误分析控制面板

该控制面板提供了对服务、API、用户、错误代码和受限制 API 的错误趋势的全面洞察。这种可见性可以及时识别和排查潜在的可用性问题,从而实现最佳系统性能。

此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:

按服务划分的错误计数

按服务跟踪活动的错误计数。

按 API 划分的错误计数

按 API 跟踪活动的错误计数。

按错误代码划分的排名靠前的错误

按错误代码跟踪最频繁的错误。

按错误消息划分的排名靠前的错误

按错误消息跟踪最频繁的错误。

按 API 划分的排名靠前的 AccessDenied 错误

跟踪最常报告的拒绝访问错误的 API。

按 API 划分的排名靠前的受限制错误

跟踪最常报告的受限制错误的 API。

出现错误的排名靠前的用户

跟踪报告错误最频繁的用户。

EC2 活动控制面板

通过此控制面板可全面了解 EC2 管理活动,例如 API 趋势、访问错误、排名靠前的实例启动器、安全更改和网络修改。这些洞察有助于识别安全风险和运营问题。

此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:

EC2 实例管理活动概览

监控 EC2 实例管理活动在指定时间内的概览,重点关注启动、停止和终止等关键操作。

EC2 API 成功与失败趋势

跟踪 EC2 API 调用在一段时间内的成功和失败趋势。

排名靠前的 EC2 错误

跟踪在 EC2 API 调用期间发生的最常见的错误代码。

排名靠前的 EC2 AccessDenied 事件

跟踪拒绝访问错误最多的 EC2 API。

启动 EC2 实例的排名靠前的用户

跟踪在启动新 EC2 实例时最活跃的用户。

最近的 EC2 SecurityGroup 和 NetworkInterface 更改

跟踪最新的 EC2 安全组和网络接口更改。

最近的 VPC 管理和路由表更改

跟踪最新的 VPC 管理活动和路由表更改。

根用户最近的 EC2 操作

跟踪具有高权限的根用户执行的最新 EC2 操作。

组织活动控制面板

该控制面板专为组织事件数据存储而设计,可让您了解组织活动和趋势,包括对活跃成员、账户管理、访问模式、策略更改以及所利用的排名靠前的服务和 API 的洞察。

此控制面板可用于组织事件数据存储,包括以下小组件:

组织中的活动趋势

跟踪整个 Amazon Organizations 组织在一段时间内的总体活动趋势,从而了解活动水平高或低的时期。

成员账户管理摘要

跟踪组织内成员账户管理活动的分布,根据每种活动类型的数量进行分类。

组织中最常用的服务

跟踪整个组织中使用最多的 Amazon Web Services 服务。

按服务划分的最活跃账户

跟踪整个组织中使用 Amazon Web Services 服务的最活跃账户。

组织中最常用的 API

重点介绍整个组织中最常调用的 Amazon API。

最活跃的成员账户

跟踪组织内活动计数最多的成员账户。

整个组织中拒绝访问错误的趋势

跟踪组织中在一段时间内发生的拒绝访问错误的规律。

拒绝访问错误最多的账户

跟踪组织内出现拒绝访问错误次数最多的账户。

最近的服务控制策略更改

跟踪组织内对服务控制策略 (SCP) 所做的最新更改。

资源更改控制面板

此控制面板提供资源管理活动的全面视图,同时监控跨服务的预置、删除和修改趋势。它重点介绍了关键更改,包括通过 Amazon CloudFormation、手动进行的更改以及对 S3 存储桶和 KMS 访问等策略所做的更改。

此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:

资源创建和删除趋势

跟踪账户内资源在一段时间内的创建和删除情况。

执行资源创建的排名靠前的用户

跟踪最活跃地创建新资源的用户。

用于创建资源的排名靠前的 API

跟踪最常用于在账户内创建新资源的 API。

用于删除资源的排名靠前的 API

跟踪最常用于删除账户内资源的 API。

在 CloudFormation 之外创建的最新资源

跟踪在 CloudFormation 监管之外创建的新资源,重点关注未通过 CloudFormation 模板管理的更改。

使用控制台进行的最新资源更改

通过Amazon Web Services 管理控制台跟踪对资源所做的最新更改。

最新的 S3 存储桶访问权限更改

跟踪最新的 S3 存储桶访问权限更改。

最新的 KMS 密钥访问权限更改

跟踪最新的 KMS 密钥策略更改。

数据事件概述控制面板

该控制面板提供事件数据存储中数据事件的集中视图,包括整体活动趋势、排名靠前的服务、API、区域、受限制的数据面板 API 和主要数据面板用户。此控制面板有助于您监控数据面板 API 活动,以进行审计和故障排除。

此控制面板适用于收集数据事件的事件数据存储,包括以下小组件:

总体数据事件趋势

跟踪账户中在一段时间内发生的总体数据事件的趋势。

生成数据事件的排名靠前的服务

跟踪账户内产生最大数据活动量的服务。

生成数据事件的排名靠前的 API

跟踪账户内产生最大数据活动量的 API。

生成数据事件的排名靠前的区域

跟踪账户内产生最大数据活动量的区域。

排名靠前的受限制数据面板 API

跟踪账户内经常受限制的数据面板 API。

数据面板 API 的排名靠前的用户

跟踪账户中最常使用数据面板 API 的排名靠前的用户。

Lambda 数据事件控制面板

此控制面板可让您查看 Lambda 数据面板 API 活动,包括排名靠前的用户、经常调用的函数、常见 API 错误。这些洞察有助于您审计 Lambda 使用情况、检测异常并降低运营或安全风险。

此控制面板适用于收集 Lambda 数据事件的事件数据存储,包括以下小组件:

Lambda 数据面板 API 活动

跟踪账户中一段时间内 Lambda 数据面板 API 活动的趋势。

Lambda 调用成功与失败趋势

跟踪一段时间内 Lambda 调用成功和失败的趋势。

Lambda 调用的排名靠前的用户

跟踪账户中调用 Lambda 函数次数最多的用户。

调用数排名靠前的 Lambda 函数

跟踪账户内最频繁调用的 Lambda 函数。

排名前 10 的 Lambda 调用 API 错误

跟踪在 Lambda 调用 API 调用期间遇到的排名前 10 的错误。

最受限制的 Lambda 调用用户

跟踪在 Lambda 调用中遇到的限制事件数量最多的用户。

DynamoDB 数据事件控制面板

使用此控制面板可查看 DynamoDB 数据面板 API 活动,包括使用趋势、排名靠前的 API 以及涉及用户和表的限制规律。这些洞察有助于您审计 DynamoDB 使用情况、检测异常并降低运营或安全风险。

此控制面板适用于收集 DynamoDB 数据事件的事件数据存储,包括以下小组件:

DynamoDB 账户数据活动

跟踪账户中一段时间内发生的 DynamoDB 数据事件的趋势。

DynamoDB 数据面板 API 成功与失败趋势

跟踪一段时间内 DynamoDB 数据面板 API 调用成功和失败的趋势。

排名前 10 的 DynamoDB 数据面板 API

列出排名前 10 的 DynamoDB 数据面板 API 调用。

DynamoDB 数据面板 API 的排名靠前的用户

跟踪账户内对 DynamoDB 数据面板 API 调用数量最多的用户。

排名前 10 的 DynamoDB 数据面板 API 错误

跟踪调用 DynamoDB 数据面板 API 时出现的排名前 10 的错误。

DynamoDB 数据面板 API 的最受限制的用户

跟踪调用 DynamoDB 数据面板 API 时受限制最频繁的用户。

排名靠前的受限制 DynamoDB 数据面板 API

跟踪账户内经常受限制的 DynamoDB 数据面板 API。

排名靠前的受限制 DynamoDB 表

跟踪账户内受限率最高的 DynamoDB 表。

S3 数据事件控制面板

此控制面板可让您查看 S3 数据面板 API 活动,包括使用趋势、访问次数最多的 S3 对象、排名靠前的 S3 用户和排名靠前的 S3 操作。这些洞察有助于您审计 S3 使用情况、检测异常并降低运营或安全风险。

此控制面板适用于收集 Amazon S3 数据事件的事件数据存储,包括以下小组件:

S3 账户活动

跟踪 S3 账户活动。

最常访问的对象

列出最常访问的 S3 对象。

S3 排名靠前的用户

跟踪排名靠前的 S3 用户。

排名靠前的 S3 操作

跟踪排名靠前的 S3 操作。

Insights 事件控制面板

此控制面板可让您查看按类型划分的 Insights 事件的总体细分,以及生成这些事件类型的排名靠前的用户和服务。此外,它还显示了 Insights 事件的每日数量和 Insights 指标的 30 天历史视图。

注意

  • 首次对源事件数据存储启用 CloudTrail Insights 后,如果检测到异常活动,则 CloudTrail 供传递第一个 Insights 事件可能需要最长 7 天。

  • Insights 事件控制面板仅显示有关选定事件数据存储收集的 Insights 事件的信息,这些信息由源事件数据存储的配置决定。例如,如果您将源事件数据存储配置为在 ApiCallRateInsight 上启用 Insights 事件,而不是 ApiErrorRateInsight,则您将不会看到有关 ApiErrorRateInsight 上的 Insights 事件的信息。

此控制面板适用于收集 Insights 事件的事件数据存储,包括以下小组件:

洞察类型

按洞察类型跟踪事件。

按日期划分的洞察

按日期跟踪 Insights 事件。

按事件源划分的 API 调用率洞察

按事件源跟踪 API 调用率洞察。要查看此小组件的数据,必须将 Insights 事件数据存储配置为收集有关 API 调用率的洞察。

按事件源划分的 API 错误率洞察

按事件源跟踪 API 错误率洞察。要查看此小组件,必须将 Insights 事件数据存储配置为收集有关 API 错误率的洞察。

排名靠前的用户的洞察

列出请求导致 Insights 事件的排名靠前的用户。

Insights 事件

列出最近的 Insights 事件。

管理事件控制面板

此控制面板重点介绍了有关拒绝访问事件、破坏性操作、控制台登录事件、按用户排列的排名靠前的错误、TLS 版本使用情况以及用户过期 TLS 调用的洞察。

此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:

排名靠前的拒绝访问事件

跟踪导致拒绝访问错误的排名靠前的事件。

用户排名靠前的错误

跟踪用户排名靠前的错误。

控制台登录事件

显示控制台登录事件。

破坏性操作

跟踪导致破坏性行为的操作。

TLS 版本

显示 TLS 版本。

用户的已过时 TLS 调用

跟踪用户使用过时的 TLS 版本进行的调用。

“概述”控制面板

此控制面板重点介绍了有关拒绝访问事件、破坏性操作、控制台登录事件、按用户排列的排名靠前的错误、TLS 版本使用情况以及用户过期 TLS 调用的洞察。

此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:

账户活动

跟踪您账户的读写活动。

排名靠前的错误

列出最频繁发生的错误。

查看活跃区域

显示最活跃的 Amazon Web Services 区域。

排名靠前的服务

显示排名靠前的服务。

最受限制的事件

列出最受限制的事件。

主要用户

列出排名靠前的用户。