使用记录 Amazon IoT API 调用 Amazon CloudTrail - Amazon IoT Core
Amazon IoT 信息在 CloudTrail了解 Amazon IoT 日志文件条目
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用记录 Amazon IoT API 调用 Amazon CloudTrail

Amazon IoT 与 Amazon CloudTrail一项服务集成,该服务提供用户、角色或 Amazon 服务在中执行的操作的记录 Amazon IoT。 CloudTrail 将所有 API 调用捕获 Amazon IoT 为事件,包括来自 Amazon IoT 控制台的调用和对 Amazon IoT API 的代码调用。如果您创建了跟踪,则可以允许将 CloudTrail事件持续传输到 Amazon S3 存储桶,包括的事件 Amazon IoT。如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的 “事件历史记录” 中查看最新的事件。使用收集的信息 CloudTrail,您可以确定向哪个请求发出 Amazon IoT、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。

要了解更多信息 CloudTrail,请参阅Amazon CloudTrail 用户指南

Amazon IoT 信息在 CloudTrail

CloudTrail 在您创建账户 Amazon Web Services 账户 时已在您的账户上启用。当活动发生在中时 Amazon IoT,该活动会与其他 Amazon 服务 CloudTrail 事件一起记录在事件历史记录中。您可以在中查看、搜索和下载最近发生的事件 Amazon Web Services 账户。有关更多信息,请参阅使用事件历史记录查看 CloudTrail 事件

对于 Amazon Web Services 账户中的事件的持续记录(包括 Amazon IoT的事件),请创建跟踪记录。跟踪允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。默认情况下,当您在控制台中创建跟踪时,该跟踪将应用于所有 Amazon Web Services 区域跟踪。跟踪记录 Amazon 分区中所有 Amazon Web Services 区域事件并将日志文件传送到您指定的 Amazon S3 存储桶。您可以配置其他 Amazon 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅:

注意

Amazon IoT 不记录数据平面操作(设备端) CloudTrail。 CloudWatch 用于监视这些操作。

一般而言,进行更改的 Amazon IoT 控制平面操作由记录 CloudTrail。诸如CreateThingCreateKeysAndCertificate、和之类的呼叫UpdateCertificate留下 CloudTrail 条目,而诸如ListThings和之类的呼叫则ListTopicRules不是。

每个事件或日记账条目都包含有关生成请求的人员信息。身份信息可帮助您确定以下内容:

  • 请求是使用根用户凭证还是 IAM 用户凭证发出的。

  • 请求是使用角色还是联合用户的临时安全凭证发出的。

  • 请求是否由其他 Amazon 服务发出。

有关更多信息,请参阅CloudTrail 用户身份元素

Amazon IoT 操作记录在《Amazon IoT API 参考》中。 Amazon IoT 无线操作记录在《无Amazon IoT 线 API 参考》中。

了解 Amazon IoT 日志文件条目

跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件代表来自任何来源的单个请求,包括有关请求的操作、操作的日期和时间、请求参数等的信息。 CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此它们不会按任何特定顺序出现。

以下示例显示了演示该AttachPolicy操作的 CloudTrail 日志条目。


{
    "timestamp":"1460159496",
    "AdditionalEventData":"",
    "Annotation":"",
    "ApiVersion":"",
    "ErrorCode":"",
    "ErrorMessage":"",
    "EventID":"8bff4fed-c229-4d2d-8264-4ab28a487505",
    "EventName":"AttachPolicy",
    "EventTime":"2016-04-08T23:51:36Z",
    "EventType":"AwsApiCall",
    "ReadOnly":"",
    "RecipientAccountList":"",
    "RequestID":"d4875df2-fde4-11e5-b829-23bf9b56cbcd",
    "RequestParamters":{
        "principal":"arn:aws:iot:us-east-1:123456789012:cert/528ce36e8047f6a75ee51ab7beddb4eb268ad41d2ea881a10b67e8e76924d894",
        "policyName":"ExamplePolicyForIoT"
    },
    "Resources":"",
    "ResponseElements":"",
    "SourceIpAddress":"52.90.213.26",
    "UserAgent":"aws-internal/3",
    "UserIdentity":{
        "type":"AssumedRole",
        "principalId":"AKIAI44QH8DHBEXAMPLE",
        "arn":"arn:aws:sts::12345678912:assumed-role/iotmonitor-us-east-1-beta-InstanceRole-1C5T1YCYMHPYT/i-35d0a4b6",
        "accountId":"222222222222",
        "accessKeyId":"access-key-id",
        "sessionContext":{
            "attributes":{
                "mfaAuthenticated":"false",
                "creationDate":"Fri Apr 08 23:51:10 UTC 2016"
            },
            "sessionIssuer":{
                "type":"Role",
                "principalId":"AKIAI44QH8DHBEXAMPLE",
                "arn":"arn:aws:iam::123456789012:role/executionServiceEC2Role/iotmonitor-us-east-1-beta-InstanceRole-1C5T1YCYMHPYT",
                "accountId":"222222222222",
                "userName":"iotmonitor-us-east-1-InstanceRole-1C5T1YCYMHPYT"
            }
        },
        "invokedBy":{
            "serviceAccountId":"111111111111"
        }
    },
    "VpcEndpointId":""
}