• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 使用 Amazon CloudTrail 记录 Amazon Systems Manager API 调用
Amazon Systems Manager 与 [Amazon CloudTrail](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 集成,后者是提供用户、角色或 Amazon Web Services 服务 所执行操作记录的服务。CloudTrail 将 Systems Manager 的所有 API 调用作为事件捕获。捕获的调用包含来自 Systems Manager 控制台和代码的 Systems Manager API 操作调用。借助通过 CloudTrail 收集的信息,您可以确定向 Systems Manager 发出哪些请求、发出请求的 IP 地址、请求的发出时间以及其他详细信息。
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根用户凭证还是用户凭证发出的。
+ 请求是否代表 IAM Identity Center 用户发出。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 Amazon Web Services 服务 发出。
当您创建账户并可以自动访问 CloudTrail **事件历史记录**时,CloudTrail 在您的 Amazon Web Services 账户 中处于活动状态。CloudTrail **事件历史记录**提供对 Amazon Web Services 区域 中过去 90 天的已记录管理事件的可查看、可搜索、可下载和不可变记录。有关更多信息,请参阅《Amazon CloudTrail 用户指南》的[使用 CloudTrail 事件历史记录](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/view-cloudtrail-events.html)**。查看**事件历史记录**不会收取 CloudTrail 费用。
要持续记录您的 Amazon Web Services 账户 过去 90 天的事件,请创建跟踪或 [CloudTrail Lake](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-lake.html) 事件数据存储。
**CloudTrail 跟踪**
通过*跟踪记录*,CloudTrail 可将日志文件传送至 Amazon S3 存储桶。使用 Amazon Web Services 管理控制台 创建的所有跟踪均具有多区域属性。您可以通过使用 Amazon CLI 创建单区域或多区域跟踪。建议创建多区域跟踪,因为您可记录您账户中的所有 Amazon Web Services 区域 的活动。如果您创建单区域跟踪,则只能查看跟踪的 Amazon Web Services 区域 中记录的事件。有关跟踪的更多信息,请参阅《Amazon CloudTrail 用户指南》**中的[为您的 Amazon Web Services 账户 创建跟踪](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)和[为组织创建跟踪](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/creating-trail-organization.html)。
通过创建跟踪,您可以从 CloudTrail 免费向您的 Amazon S3 存储桶传送一份正在进行的管理事件的副本,但会收取 Amazon S3 存储费用。有关 CloudTrail 定价的更多信息,请参阅 [Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。有关 Amazon S3 定价的信息,请参阅 [Amazon S3 定价](https://www.amazonaws.cn/s3/pricing/)。
**CloudTrail Lake 事件数据存储**
*CloudTrail Lake* 允许您对事件运行基于 SQL 的查询。CloudTrail Lake 可将基于行的 JSON 格式的现有事件转换为 [Apache ORC](https://orc.apache.org/) 格式。ORC 是一种针对快速检索数据进行优化的列式存储格式。事件将被聚合到*事件数据存储*中,它是基于您通过应用[高级事件选择器](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors)选择的条件的不可变的事件集合。应用于事件数据存储的选择器用于控制哪些事件持续存在并可供您查询。有关 CloudTrail Lake 的更多信息,请参阅《Amazon CloudTrail 用户指南》**中的[使用 Amazon CloudTrail Lake](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-lake.html)。
CloudTrail Lake 事件数据存储和查询会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的[定价选项](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option)。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价的更多信息,请参阅 [Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
## CloudTrail 中的 Systems Manager 数据事件
[数据事件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)可提供对资源或在资源中所执行资源操作(例如,创建或打开控制通道)的相关信息。这些也称为数据面板操作。数据事件通常是高容量活动。默认情况下,CloudTrail 不记录数据事件。CloudTrail **事件历史记录**不记录数据事件。
记录数据事件将收取额外费用。有关 CloudTrail 定价的更多信息,请参阅 [Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)。
您可以使用 CloudTrail 控制台、Amazon CLI 或 CloudTrail API 操作来记录 Systems Manager 资源类型的数据事件。有关如何记录数据事件的更多信息,请参阅《Amazon CloudTrail 用户指南》**中的[使用 Amazon Web Services 管理控制台 记录数据事件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console)和[使用 Amazon Command Line Interface 记录数据事件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI)。
下表列出了您可以为其记录数据事件的 Systems Manager 资源类型。**数据事件类型(控制台)**列显示可从 CloudTrail 控制台上的**数据事件类型**列表中选择的值。**resources.type 值**列显示了您在使用 Amazon CLI 或 CloudTrail API 配置高级事件选择器时需要指定的 `resources.type` 值。**记录到 CloudTrail 的数据 API** 列显示了针对该资源类型记录到 CloudTrail 的 API 调用。
| 数据事件类型(控制台) | resources.type 值 | 记录至 CloudTrail 的数据 API |
| --- | --- | --- |
| Systems Manager (系统管理员) | AWS::SSMMessages::ControlChannel | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html) 有关更多信息,请参阅《Service Authorization Reference**》中的 [Actions defined by Amazon Message Gateway Service](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonmessagegatewayservice.html#amazonmessagegatewayservice-actions-as-permissions)。 |
| Systems Manager 托管式节点 | AWS::SSM::ManagedNode | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html)有关 `RequestManagedInstanceRoleToken` 操作的更多信息,请参阅 [使用硬件指纹验证混合激活的计算机](ssm-agent-technical-details.md#fingerprint-validation) |
您可以将高级事件选择器配置为在 `eventName`、`readOnly` 和 `resources.ARN` 字段上进行筛选,从而仅记录那些对您很重要的事件。有关这些字段的更多信息,请参阅《Amazon CloudTrail API 参考》**中的 [https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)。
## CloudTrail 中的 Systems Manager 管理事件
[管理事件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)提供对您的 Amazon Web Services 账户 内资源所执行管理操作的相关信息。这些也称为控制面板操作。默认情况下,CloudTrail 会记录管理事件。
Systems Manager 将所有控制面板操作将作为管理事件记录到 CloudTrail。Systems Manager API 操作记录在 [Amazon Systems Manager API 参考](https://docs.amazonaws.cn/systems-manager/latest/APIReference/Welcome.html)中。例如,对 `CreateMaintenanceWindows`、`PutInventory`、`SendCommand` 和 `StartSession` 操作的调用将在 CloudTrail 日志文件中生成条目。有关设置 CloudTrail 来监控 Systems Manager API 调用的示例,请参阅 [使用 Amazon EventBridge 监控会话活动(控制台)](session-manager-auditing.md#session-manager-auditing-eventbridge-events)。
## Systems Manager 事件示例
一个事件表示一个来自任何源的请求,包括有关所请求的 API 操作、操作的日期和时间、请求参数等方面的信息。CloudTrail 日志文件不是公用 API 调用的有序堆栈跟踪,因此事件不会按任何特定顺序显示。
**Topics**
+ [管理事件示例](#monitoring-cloudtrail-logs-log-entries-example-mgmt)
+ [数据事件示例](#monitoring-cloudtrail-logs-log-entries-example-data)
### 管理事件示例
**示例 1:`DeleteDocument`**
以下示例显示了一个 CloudTrail 事件,用于演示对美国东部(俄亥俄州)区域(us-east-2)中名为 `example-Document` 的文档执行的 `DeleteDocument` 操作。
```
{
"eventVersion": "1.04",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11",
"arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-03-06T20:19:16Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/example-role",
"accountId": "123456789012",
"userName": "example-role"
}
}
},
"eventTime": "2018-03-06T20:30:12Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "DeleteDocument",
"awsRegion": "us-east-2",
"sourceIPAddress": "203.0.113.11",
"userAgent": "example-user-agent-string",
"requestParameters": {
"name": "example-Document"
},
"responseElements": null,
"requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE",
"eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE",
"resources": [
{
"ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document",
"accountId": "123456789012"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
**示例 2:`StartConnection`**
以下示例显示了一个在美国东部(俄亥俄州)区域(us-east-2)使用 Fleet Manager 启动 RDP 连接的用户的 CloudTrail 事件。底层 API 操作是 `StartConnection`。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId": "123456789012",
"userName": "exampleRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-12-13T14:57:05Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2021-12-13T16:50:41Z",
"eventSource": "ssm-guiconnect.amazonaws.com",
"eventName": "StartConnection",
"awsRegion": "us-east-2",
"sourceIPAddress": "34.230.45.60",
"userAgent": "example-user-agent-string",
"requestParameters": {
"AuthType": "Credentials",
"Protocol": "RDP",
"ConnectionType": "SessionManager",
"InstanceId": "i-02573cafcfEXAMPLE"
},
"responseElements": {
"ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE",
"ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE",
"ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE",
"requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE"
},
"requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE",
"eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
### 数据事件示例
**示例 1:`CreateControlChannel`**
以下示例显示了一个 CloudTrail 事件,该事件演示了 `CreateControlChannel` 操作。
```
{
"eventVersion":"1.08",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AKIAI44QH8DHBEXAMPLE",
"arn":"arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId":"123456789012",
"accessKeyId":"AKIAI44QH8DHBEXAMPLE",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AKIAI44QH8DHBEXAMPLE",
"arn":"arn:aws:iam::123456789012:role/exampleRole",
"accountId":"123456789012",
"userName":"exampleRole"
},
"attributes":{
"creationDate":"2023-05-04T23:14:50Z",
"mfaAuthenticated":"false"
}
}
},
"eventTime":"2023-05-04T23:53:55Z",
"eventSource":"ssm.amazonaws.com",
"eventName":"CreateControlChannel",
"awsRegion":"us-east-1",
"sourceIPAddress":"192.0.2.0",
"userAgent":"example-agent",
"requestParameters":{
"channelId":"44295c1f-49d2-48b6-b218-96823EXAMPLE",
"messageSchemaVersion":"1.0",
"requestId":"54993150-0e8f-4142-aa54-3438EXAMPLE",
"userAgent":"example-agent"
},
"responseElements":{
"messageSchemaVersion":"1.0",
"tokenValue":"Value hidden due to security reasons.",
"url":"example-url"
},
"requestID":"54993150-0e8f-4142-aa54-3438EXAMPLE",
"eventID":"a48a28de-7996-4ca1-a3a0-a51fEXAMPLE",
"readOnly":false,
"resources":[
{
"accountId":"123456789012",
"type":"AWS::SSMMessages::ControlChannel",
"ARN":"arn:aws:ssmmessages:us-east-1:123456789012:control-channel/44295c1f-49d2-48b6-b218-96823EXAMPLE"
}
],
"eventType":"AwsApiCall",
"managementEvent":false,
"recipientAccountId":"123456789012",
"eventCategory":"Data"
}
```
**示例 2:`RequestManagedInstanceRoleToken`**
以下示例显示了一个 CloudTrail 事件,该事件演示了 `RequestManagedInstanceRoleToken` 操作。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "123456789012:aws:ec2-instance:i-02854e4bEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/aws:ec2-instance/i-02854e4bEXAMPLE",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "123456789012:aws:ec2-instance",
"arn": "arn:aws:iam::123456789012:role/aws:ec2-instance",
"accountId": "123456789012",
"userName": "aws:ec2-instance"
},
"attributes": {
"creationDate": "2023-08-27T03:34:46Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2023-08-27T03:37:15Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "RequestManagedInstanceRoleToken",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Apache-HttpClient/UNAVAILABLE (Java/1.8.0_362)",
"requestParameters": {
"fingerprint": "i-02854e4bf85EXAMPLE"
},
"responseElements": null,
"requestID": "2582cced-455b-4189-9b82-7b48EXAMPLE",
"eventID": "7f200508-e547-4c27-982d-4da0EXAMLE",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::SSM::ManagedNode",
"ARN": "arn:aws:ec2:us-east-1:123456789012:instance/i-02854e4bEXAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data"
}
```
有关 CloudTrail 记录内容的信息,请参阅《Amazon CloudTrail 用户指南》**中的 [CloudTrail 记录内容](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。