本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用记录亚马逊 GuardDuty API 调用 Amazon CloudTrail
GuardDuty Amazon 与 Amazon CloudTrail一项服务集成,该服务可记录用户、角色或 Amazon 服务在中执行的操作 GuardDuty。 CloudTrail 将所有 API 调用捕获 GuardDuty 为事件,包括来自 GuardDuty 控制台的调用和对的代码调用 GuardDuty APIs。如果您创建跟踪,则可以允许持续向亚马逊简单存储服务 (Amazon S3) Storage Service 存储桶传送 CloudTrail 事件,包括的事件。 GuardDuty如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的 “事件**历史记录” 中查看最新的事件**。使用收集到的信息 CloudTrail,您可以确定向哪个请求发出 GuardDuty、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。
有关更多信息 CloudTrail,包括如何配置和启用它,请参阅《*[Amazon CloudTrail 用户指南》](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/)*。
## GuardDuty 信息在 CloudTrail
CloudTrail 在您创建 Amazon 账户时已在您的账户上启用。当支持的事件活动发生在中时 GuardDuty,该活动会与其他 Amazon 服务 CloudTrail 事件一起记录在**事件历史**记录中。您可以在自己的 Amazon 账户中查看、搜索和下载最近发生的事件。有关更多信息,请参阅[使用事件历史查看 CloudTrail 事件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录您 Amazon 账户中的事件,包括的事件 GuardDuty,请创建跟踪。跟踪允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。预设情况下,在控制台中创建跟踪时,此跟踪应用于所有 区域。跟踪记录 Amazon 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 Amazon 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅:
+ [创建跟踪概览](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [接收来自多个地区的 CloudTrail 日志文件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收来自多个账户的 CloudTrail 日志文件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根用户凭证发出,还是使用 IAM 用户的登录凭证发出。
+ 请求是使用角色还是联合用户的临时安全凭证发出的
+ 请求是否由其他 Amazon 服务发出
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## GuardDuty 控制飞机事件 CloudTrail
默认情况下,将 [Amazon GuardDuty API 参考中提供的所有 GuardDuty API](https://docs.amazonaws.cn/guardduty/latest/APIReference/) 操作作为事件 CloudTrail 记录在 CloudTrail 文件中。
## GuardDuty 中的数据事件 CloudTrail
[GuardDuty 运行时监控](runtime-monitoring.md)使用部署到您的亚马逊 Elastic Kubernetes Service (Amazon EKS) 集群、亚马逊弹性计算云 (Amazon EC2) 实例 Amazon Fargate 和(仅限亚马逊弹性容器服务 (Amazon ECS))任务 GuardDuty的安全代理来收集针对您的工作负载收集的`aws-guardduty-agent`附加组件 ()[收集的运行时事件类型](runtime-monitoring-collected-events.md),然后将其发送到 Amazon 进行威胁检测和分析。 GuardDuty
### 记录和监控数据事件
您可以选择配置日 Amazon CloudTrail 志,以查看 GuardDuty 安全代理的数据事件。
要创建和配置 CloudTrail,请参阅*Amazon CloudTrail 用户指南*中的[数据事件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events),并按照中有关使用**高级事件选择器记录数据事件的说明进行**操作。 Amazon Web Services 管理控制台记录跟踪时,请确保进行以下更改:
+ 对于**数据事件类型**,选择**GuardDuty探测器**。
+ 对于**日志选择器模板**,请选择**记录所有事件**。
+ 展开 **JSON 视图**进行配置。应该类似于以下 JSON:
```
[
{
"name": "",
"fieldSelectors": [
{
"field": "eventCategory",
"equals": [
"Data"
]
},
{
"field": "resources.type",
"equals": [
"AWS::GuardDuty::Detector"
]
}
]
}
]
```
启用跟踪选择器后,导航至 Amazon S3 控制台,网址为[https://console.aws.amazon.com/s3/](https://console.amazonaws.cn/s3/)。您可以从配置 CloudTrail 日志时选择的 S3 存储桶下载数据事件。