本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用监控亚马逊 OpenSearch 服务 API 调用 Amazon CloudTrail
Amazon Service 与 Amazon CloudTrail一项 OpenSearch 服务集成,该服务可记录用户、角色或 Amazon 服务在 OpenSearch 服务中采取的操作。 CloudTrail 将 OpenSearch 服务的所有配置 API 调用捕获为事件。
注意
CloudTrail 仅捕获对配置 API 的调用,例如CreateDomain和GetUpgradeStatus。 CloudTrail不会捕获对的呼叫 OpenSearch APIs,例如_search和_bulk。有关这些调用,请参阅 在 Amazon OpenSearch 服务中监控审计日志。
捕获的呼叫包括来自 OpenSearch 服务控制台或 Amazon SDK 的呼叫。 Amazon CLI如果您创建跟踪,则可以允许将 CloudTrail 事件持续传输到 Amazon S3 存储桶,包括 OpenSearch 服务事件。如果您未配置跟踪,您仍然可以在 CloudTrail 主机上的事件历史记录中查看最新的事件。使用收集的信息 CloudTrail,您可以确定向 OpenSearch 服务部门发出的请求、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。
要了解更多信息 CloudTrail,请参阅Amazon CloudTrail 用户指南。
中的亚马逊 OpenSearch 服务信息 CloudTrail
CloudTrail 在您创建账户 Amazon Web Services 账户 时已在您的账户上启用。当 OpenSearch 服务中发生活动时,该活动会与其他 Amazon 服务 CloudTrail 事件一起记录在事件历史记录中。您可以在 Amazon Web Services 账户 账户中查看、搜索和下载最新事件。有关更多信息,请参阅使用事件历史查看 CloudTrail 事件。
要持续记录您的 Amazon Web Services 账户 账户中的事件,包括 OpenSearch 服务事件,请创建跟踪。跟踪允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。预设情况下,在控制台中创建跟踪记录时,此跟踪记录应用于所有 Amazon Web Services 区域。跟踪记录 Amazon 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 Amazon 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:
所有 OpenSearch 服务配置 API 操作均由《亚马逊 OpenSearch 服务 API 参考》记录 CloudTrail 并记录在案。
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
-
请求是使用根证书还是 Amazon Identity and Access Management (IAM) 用户凭证发出
-
请求是使用角色还是联合用户的临时安全凭证发出的
-
请求是否由其他 Amazon 服务发出
有关更多信息,请参阅 CloudTrail userIdentity 元素。
了解亚马逊 OpenSearch 服务日志文件条目
跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。一个事件表示来自任何源的一个请求,包括有关所请求的操作、操作的日期和时间、请求参数等方面的信息。 CloudTrail 日志文件不是公用 API 调用的有序堆栈跟踪,因此它们不会以任何特定顺序显示。
以下示例显示了演示该CreateDomain操作的 CloudTrail 日志条目:
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/test-user", "accountId": "123456789012", "accessKeyId": "access-key", "userName": "test-user", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-08-21T21:59:11Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2018-08-21T22:00:05Z", "eventSource": "es.amazonaws.com", "eventName": "CreateDomain", "awsRegion": "us-west-1", "sourceIPAddress": "123.123.123.123", "userAgent": "signin.amazonaws.com", "requestParameters": { "engineVersion": "OpenSearch_1.0", "clusterConfig": { "instanceType": "m4.large.search", "instanceCount": 1 }, "snapshotOptions": { "automatedSnapshotStartHour": 0 }, "domainName": "test-domain", "encryptionAtRestOptions": {}, "eBSOptions": { "eBSEnabled": true, "volumeSize": 10, "volumeType": "gp2" }, "accessPolicies": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"123456789012\"]},\"Action\":[\"es:*\"],\"Resource\":\"arn:aws:es:us-west-1:123456789012:domain/test-domain/*\"}]}", "advancedOptions": { "rest.action.multi.allow_explicit_index": "true" } }, "responseElements": { "domainStatus": { "created": true, "clusterConfig": { "zoneAwarenessEnabled": false, "instanceType": "m4.large.search", "dedicatedMasterEnabled": false, "instanceCount": 1 }, "cognitoOptions": { "enabled": false }, "encryptionAtRestOptions": { "enabled": false }, "advancedOptions": { "rest.action.multi.allow_explicit_index": "true" }, "upgradeProcessing": false, "snapshotOptions": { "automatedSnapshotStartHour": 0 }, "eBSOptions": { "eBSEnabled": true, "volumeSize": 10, "volumeType": "gp2" }, "engineVersion": "OpenSearch_1.0", "processing": true, "aRN": "arn:aws:es:us-west-1:123456789012:domain/test-domain", "domainId": "123456789012/test-domain", "deleted": false, "domainName": "test-domain", "accessPolicies": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"es:*\",\"Resource\":\"arn:aws:es:us-west-1:123456789012:domain/test-domain/*\"}]}" } }, "requestID": "12345678-1234-1234-1234-987654321098", "eventID": "87654321-4321-4321-4321-987654321098", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }