本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解 CloudTrail 事件
中的事件 CloudTrail 是 AWS 账户中某项活动的记录。此活动可以是 IAM 身份采取的操作,也可以是可监控的 CloudTrail服务。 CloudTrail 事件提供通过 AWS 管理控制台、 AWS SDKs、、命令行工具和其他 AWS 服务工具进行的 API 和非 API 账户活动的历史记录。
CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此事件不会按任何特定顺序出现。
有四种类型 CloudTrail 的事件:
+ [管理事件](#cloudtrail-management-events)
+ [数据事件](#cloudtrail-data-events)
+ [网络活动事件](#cloudtrail-network-events)
+ [Insights 事件](#cloudtrail-insights-events)
默认情况下,跟踪和事件数据存储日志管理事件,但不存储数据事件、网络活动事件或 Insights 事件。
所有事件类型都使用 CloudTrail JSON 日志格式。日志包含有关您账户中的资源请求的信息,如谁发出请求、所使用的服务、执行的操作以及操作的参数。事件数据包含在 `Records` 数组中。
有关管理、数据和网络 CloudTrail 活动事件的事件记录字段的信息,请参阅[CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md)。
有关 CloudTrail 跟踪的 Insights 事件的事件记录字段的信息,请参阅[CloudTrail 记录路径的 Insights 事件的内容](cloudtrail-insights-fields-trails.md)。
有关 CloudTrail 事件数据存储的 Insights 事件的事件记录字段的信息,请参阅[CloudTrail 为事件数据存储记录 Insights 事件的内容](cloudtrail-insights-fields-lake.md)。
## 管理事件
管理事件提供有关对您 AWS 账户中的资源执行的管理操作的信息。这些也称为*控制层面操作*。
示例管理事件包括:
+ 配置安全性(例如, AWS Identity and Access Management `AttachRolePolicy`API 操作)。
+ 注册设备(例如,Amazon EC2 `CreateDefaultVpc` API 操作)。
+ 配置传送数据的规则(例如,Amazon EC2 `CreateSubnet` API 操作)。
+ 设置日志记录(例如, AWS CloudTrail `CreateTrail`API 操作)。
管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,会 CloudTrail 记录该`ConsoleLogin`事件。有关更多信息,请参阅 [捕获的非 API 事件 CloudTrail](cloudtrail-non-api-events.md)。
默认情况下,t CloudTrail rails 和 CloudTrail Lake 事件数据存储日志管理事件。有关记录管理事件的更多信息,请参阅 [记录管理事件](logging-management-events-with-cloudtrail.md)。
以下示例显示了管理事件的单个日志记录。在这种情况下,名为的 IAM 用户`Mary_Major`运行**aws cloudtrail start-logging**命令调用 CloudTrail [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartLogging.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartLogging.html)操作,在名为的跟踪上启动日志记录过程`myTrail`。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLE6E4XEGITWATV6R",
"arn": "arn:aws:iam::123456789012:user/Mary_Major",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Mary_Major",
"sessionContext": {
"attributes": {
"creationDate": "2023-07-19T21:11:57Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-07-19T21:33:41Z",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "StartLogging",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
"requestParameters": {
"name": "myTrail"
},
"responseElements": null,
"requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
"eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}
```
在该示例中,名为 `Paulo_Santos` 的 IAM 用户运行 **aws cloudtrail start-event-data-store-ingestion** 命令调用 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartEventDataStoreIngestion.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartEventDataStoreIngestion.html) 操作,开始对事件数据存储进行提取。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLEPHCNW5EQV7NA54",
"arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
"accountId": "123456789012",
"accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
"userName": "Paulo_Santos",
"sessionContext": {
"attributes": {
"creationDate": "2023-07-21T21:55:30Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-07-21T21:57:28Z",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "StartEventDataStoreIngestion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
"requestParameters": {
"eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
},
"responseElements": null,
"requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
"eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}
```
## 数据事件
数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为*数据层面操作*。数据事件通常是高容量活动。
示例数据事件包括:
+ S3 存储桶中对象上的 [Amazon S3 对象级 API 活动](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)(例如 `GetObject`、`DeleteObject` 和 `PutObject` API 操作)。
+ AWS Lambda 函数执行活动(`Invoke`API)。
+ CloudTrail [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)用于记录外部事件的 L [CloudTrail ake 频道](query-event-data-store-integration.md)上的活动 AWS。
+ 针对主题的 Amazon SNS [https://docs.aws.amazon.com/sns/latest/api/API_Publish.html](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) 和 [https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html](https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html) API 操作。
下表显示可用于跟踪和事件数据存储的资源类型。**资源类型(控制台)**列显示控制台中的相应选择。**resources.typ `resources.type` e 值**列显示您要使用或指定的值,以便在跟踪或事件数据存储中包含该类型的数据事件。 AWS CLI CloudTrail APIs
对于跟踪,您可以使用基本或高级事件选择器来记录通用存储桶、Lambda 函数和 DynamoDB 表中的 Amazon S3 对象的数据事件(显示在表的前三行中)。您只能使用高级事件选择器来记录其余行中显示的资源类型。
对于事件数据存储,只能使用高级事件选择器来包含数据事件。
### 支持的数据事件 AWS CloudTrail
****
| AWS 服务 | 说明 | 资源类型(控制台) | resources.type 值 |
| --- | --- | --- | --- |
| Amazon RDS | 数据库集群上的 [Amazon RDS API 活动](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html#logging-using-cloudtrail-data-api.including-excluding-cloudtrail-events)。 | RDS 数据 API:数据库集群 | AWS::RDS::DBCluster |
| Amazon S3 | 通用存储桶中对象上的 [Amazon S3 对象级 API 活动](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)(例如 `GetObject`、`DeleteObject` 和 `PutObject` API 操作)。 | S3 | AWS::S3::Object |
| Amazon S3 | 接入点上的 [Amazon S3 API 活动](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)。 | S3 接入点 | AWS::S3::AccessPoint |
| Amazon S3 | 目录存储桶中对象上的 [Amazon S3 对象级 API 活动](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)(例如 `GetObject`、`DeleteObject` 和 `PutObject` API 操作)。 | S3 Express | AWS::S3Express::Object |
| Amazon S3 | [Amazon S3 对象 Lambda 接入点 API 活动](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events),例如调用 `CompleteMultipartUpload` 和 `GetObject`。 | S3 对象 Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | 亚马逊 FSx API 在卷上的活动。 | FSx 音量 | AWS::FSx::Volume |
| Amazon S3 表 | 针对[表](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-create.html)的 Amazon S3 API 活动。 | S3 表 | AWS::S3Tables::Table |
| Amazon S3 表 | 针对[表存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-buckets.html)的 Amazon S3 API 活动。 | S3 表存储桶 | AWS::S3Tables::TableBucket |
| Amazon S3 Vectors | 针对[向量存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-buckets.html)的 Amazon S3 API 活动。 | S3 向量存储桶 | AWS::S3Vectors::VectorBucket |
| Amazon S3 Vectors | 针对[向量索引](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-indexes.html)的 Amazon S3 API 活动。 | S3 向量索引 | AWS::S3Vectors::Index |
| Amazon S3 on Outposts | [Amazon S3 on Outposts](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) 对象级别 API 活动。 | S3 Outposts | AWS::S3Outposts::Object |
| Amazon SNS | 针对平台端点的 Amazon SNS [https://docs.aws.amazon.com/sns/latest/api/API_Publish.html](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) API 操作。 | SNS 平台端点 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 针对主题的 Amazon SNS [https://docs.aws.amazon.com/sns/latest/api/API_Publish.html](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) 和 [https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html](https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html) API 操作。 | SNS 主题 | AWS::SNS::Topic |
| Amazon SQS | 消息上的 [Amazon SQS API 活动](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-logging-using-cloudtrail.html#sqs-data-events-in-cloud-trail)。 | SQS | AWS::SQS::Queue |
| 供应链 | 供应链 实例上的 API 活动。 | 供应链 | AWS::SCN::Instance |
| Amazon SWF | [域](https://docs.aws.amazon.com/amazonswf/latest/developerguide/swf-dev-domains.html)上的 [Amazon SWF API 活动](https://docs.aws.amazon.com/amazonswf/latest/developerguide/ct-logging.html#cloudtrail-data-events)。 | SWF 域 | AWS::SWF::Domain |
| AWS AppConfig | AWS AppConfig 用于配置操作的 [API 活动](https://docs.aws.amazon.com/appconfig/latest/userguide/logging-using-cloudtrail.html#appconfig-data-events-cloudtrail),例如对`StartConfigurationSession`和的调用`GetLatestConfiguration`。 | AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | AWS AppSync Graph@@ [QL 上的 AppSync AP APIs I 活动](https://docs.aws.amazon.com/appsync/latest/devguide/cloudtrail-logging.html#cloudtrail-data-events)。 | AppSync GraphQL | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | 针对集群资源的 Amazon Aurora DSQL API 活动。 | Amazon Aurora DSQL | AWS::DSQL::Cluster |
| AWS B2B 数据交换 | 用于转换器操作的 B2B 数据交换 API 活动,例如对 `GetTransformerJob` 和 `StartTransformerJob` 的调用。 | B2B 数据交换 | AWS::B2BI::Transformer |
| AWS Backup | AWS Backup 搜索数据 API 在搜索作业上的活动。 | AWS Backup 搜索数据 APIs | AWS::Backup::SearchJob |
| Amazon Bedrock | 代理别名上的 [Amazon Bedrock API 活动](https://docs.aws.amazon.com/bedrock/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | Bedrock 代理别名 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 针对异步调用的 Amazon Bedrock API 活动。 | Bedrock 异步调用 | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | 流别名上的 Amazon Bedrock API 活动。 | Bedrock 流别名 | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | 护栏上的 Amazon Bedrock API 活动。 | Bedrock 护栏 | AWS::Bedrock::Guardrail |
| Amazon Bedrock | 针对内联代理的 Amazon Bedrock API 活动。 | Bedrock 调用内联代理 | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | 知识库上的 [Amazon Bedrock API 活动](https://docs.aws.amazon.com/bedrock/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | Bedrock 知识库 | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | 模型上的 Amazon Bedrock API 活动。 | Bedrock 模型 | AWS::Bedrock::Model |
| Amazon Bedrock | 针对提示的 Amazon Bedrock API 活动。 | Bedrock 提示 | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | 针对会话的 Amazon Bedrock API 活动。 | Bedrock 会议 | AWS::Bedrock::Session |
| Amazon Bedrock | 针对流执行的 Amazon Bedrock API 活动。 | Bedrock 流执行 | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | 针对自动推理策略的 Amazon Bedrock API 活动。 | Bedrock 自动推理策略 | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | 针对自动推理策略版本的 Amazon Bedrock API 活动。 | Bedrock 自动推理策略版本 | AWS::Bedrock::AutomatedReasoningPolicyVersion |
| Amazon Bedrock | Amazon Bedrock 数据自动化项目 API 活动。 | **Bedrock 数据自动化项目** | `AWS::Bedrock::DataAutomationProject` |
| Amazon Bedrock | Bedrock 数据自动化调用 API 活动。 | **Bedrock 数据自动化调用** | `AWS::Bedrock::DataAutomationInvocation` |
| Amazon Bedrock | Amazon Bedrock 数据自动化配置文件 API 活动。 | **Bedrock 数据自动化配置文件** | `AWS::Bedrock::DataAutomationProfile` |
| Amazon Bedrock | Amazon Bedrock 蓝图 API 活动。 | **Bedrock 蓝图** | `AWS::Bedrock::Blueprint` |
| Amazon Bedrock | Amazon Bedrock 代码解释器 API 活动。 | **Bedrock-代码解释器 AgentCore ** | `AWS::BedrockAgentCore::CodeInterpreter` |
| Amazon Bedrock | Amazon Bedrock 浏览器 API 活动。 | **Bedrock-浏览器 AgentCore ** | `AWS::BedrockAgentCore::Browser` |
| Amazon Bedrock | Amazon Bedrock 工作负载身份 API 活动。 | **基石-AgentCore 工作负载身份** | `AWS::BedrockAgentCore::WorkloadIdentity` |
| Amazon Bedrock | Amazon Bedrock 工作负载身份目录 API 活动。 | **Bedrock-AgentCore 工作负载身份目录** | `AWS::BedrockAgentCore::WorkloadIdentityDirectory` |
| Amazon Bedrock | Amazon Bedrock 令牌文件库 API 活动。 | **基岩-AgentCore 代币库** | `AWS::BedrockAgentCore::TokenVault` |
| Amazon Bedrock | 亚马逊 Bedrock APIKey CredentialProvider API 活动。 | **基岩-AgentCore APIKey CredentialProvider** | `AWS::BedrockAgentCore::APIKeyCredentialProvider` |
| Amazon Bedrock | Amazon Bedrock 运行时 API 活动。 | **基岩-运行时间 AgentCore ** | `AWS::BedrockAgentCore::Runtime` |
| Amazon Bedrock | Amazon Bedrock 运行时端点 API 活动。 | **基岩-AgentCore 运行时端点** | `AWS::BedrockAgentCore::RuntimeEndpoint` |
| Amazon Bedrock | Amazon Bedrock 网关 API 活动。 | **基岩-网关 AgentCore ** | `AWS::BedrockAgentCore::Gateway` |
| Amazon Bedrock | Amazon Bedrock 内存 API 活动。 | **基岩-记忆 AgentCore ** | `AWS::BedrockAgentCore::Memory` |
| Amazon Bedrock | 亚马逊 Bedrock Oauth2 API 活动 CredentialProvider 。 | **Bedrock-AgentCore Oauth2 CredentialProvider** | `AWS::BedrockAgentCore::OAuth2CredentialProvider` |
| Amazon Bedrock | Amazon Bedrock 浏览器自定义 API 活动。 | **基岩-浏览器-自定义 AgentCore ** | `AWS::BedrockAgentCore::BrowserCustom` |
| Amazon Bedrock | 亚马逊 Bedrock Code-Interpreter-Custom API 活动。 | **基岩-代码解释器-自定义 AgentCore ** | `AWS::BedrockAgentCore::CodeInterpreterCustom` |
| Amazon Bedrock | Amazon Bedrock 工具 API 活动。 | Bedrock 工具 | AWS::Bedrock::Tool |
| AWS Cloud Map | AWS Cloud Map [命名空间](https://docs.aws.amazon.com/cloud-map/latest/api/API_Namespace.html)上的 [API 活动](https://docs.aws.amazon.com/cloud-map/latest/dg/cloudtrail-data-events.html)。 | AWS Cloud Map 命名空间 | AWS::ServiceDiscovery::Namespace |
| AWS Cloud Map | AWS Cloud Map [服务](https://docs.aws.amazon.com/cloud-map/latest/api/API_Service.html)上的 [API 活动](https://docs.aws.amazon.com/cloud-map/latest/dg/cloudtrail-data-events.html)。 | AWS Cloud Map service | AWS::ServiceDiscovery::Service |
| Amazon CloudFront | CloudFront 在 a 上的 API 活动[https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_KeyValueStore.html](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_KeyValueStore.html)。 | CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS CloudTrail | CloudTrail [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)用于记录外部事件的 L [CloudTrail ake 频道](query-event-data-store-integration.md)上的活动 AWS。 | CloudTrail 频道 | AWS::CloudTrail::Channel |
| Amazon CloudWatch | [亚马逊 CloudWatch API 在指标方面的活动](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html#CloudWatch-data-plane-events)。 | CloudWatch 指标 | AWS::CloudWatch::Metric |
| Amazon CloudWatch 网络流量监控器 | 监视器上的 Amazon CloudWatch 网络流量监控 API 活动。 | 网络流量监测仪监视器 | AWS::NetworkFlowMonitor::Monitor |
| Amazon CloudWatch 网络流量监控器 | Amazon CloudWatch 网络流量监控 API 在作用域上的活动。 | 网络流量监测仪作用域 | AWS::NetworkFlowMonitor::Scope |
| 亚马逊 CloudWatch RUM | 应用程序监视器上的 Amazon CloudWatch RUM API 活动。 | RUM 应用程序监视器 | AWS::RUM::AppMonitor |
| Amazon P CodeGuru rofiler | CodeGuru Profiler API 在性能分析组上的活动。 | CodeGuru Profiler 分析组 | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | 亚马逊 CodeWhisperer API 在自定义方面的活动。 | CodeWhisperer 定制 | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | 个人资料上的亚马逊 CodeWhisperer API 活动。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | 针对 Amazon Cognito [身份池](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-info-in-cloudtrail.html#identity-pools-cloudtrail-events)的 Amazon Cognito API 活动。 | Cognito 身份池 | AWS::Cognito::IdentityPool |
| AWS Data Exchange | AWS Data Exchange 资产上的 API 活动。 | **Data Exchange 资产** | `AWS::DataExchange::Asset` |
| Amazon Data Firehose | Amazon Data Firehose 传输流 API 活动。 | **Amazon Data Firehose** | `AWS::KinesisFirehose::DeliveryStream` |
| AWS Deadline Cloud | 实例集上的 [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud 舰队** | `AWS::Deadline::Fleet` |
| AWS Deadline Cloud | 作业上的 [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud 工作** | `AWS::Deadline::Job` |
| AWS Deadline Cloud | 队列上的 [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud queue** | `AWS::Deadline::Queue` |
| AWS Deadline Cloud | 工作程序上的 [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | **Deadline Cloud 工人** | `AWS::Deadline::Worker` |
| Amazon DynamoDB | 表上的 [Amazon DynamoDB 项目级 API 活动](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail)(例如,`PutItem`、`DeleteItem` 和 `UpdateItem` API 操作)。 对于启用了流的表,数据事件中的 `resources` 字段同时包含 `AWS::DynamoDB::Stream` 和 `AWS::DynamoDB::Table`。如果您为 `resources.type` 指定 `AWS::DynamoDB::Table`,则原定设置情况下,它将同时记录 DynamoDB 表和 DynamoDB 流事件。要排除[流事件](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail),请对 `eventName` 字段添加筛选条件。 | DynamoDB | `AWS::DynamoDB::Table` |
| Amazon DynamoDB | 针对流的 [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail) API 活动 | DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | [亚马逊 Elastic Block Store (EBS) Direc](https://docs.aws.amazon.com/ebs/latest/userguide/logging-ebs-apis-using-cloudtrail.html) t APIs,例如`PutSnapshotBlock`、`GetSnapshotBlock`和在`ListChangedBlocks`亚马逊 EBS 快照上。 | 亚马逊 EBS direct APIs | AWS::EC2::Snapshot |
| Amazon Elastic Compute Cloud | Amazon EC2 Instance Connect 端点 API 活动。 | **EC2 实例连接终端节点** | `AWS::EC2::InstanceConnectEndpoint` |
| Amazon Elastic Container Service | 对容器实例的 Amazon Elastic Container Service API 活动。 | ECS 容器实例 | AWS::ECS::ContainerInstance |
| Amazon Elastic Kubernetes Service | 对控制面板的 Amazon Elastic Kubernetes Service API 活动。 | Amazon Elastic Kubernetes Service 控制面板 | AWS::EKS::Dashboard |
| Amazon EMR | 预写日志工作区上的 [Amazon EMR API 活动](https://docs.aws.amazon.com/emr/latest/ManagementGuide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | EMR 预写日志工作空间 | AWS::EMRWAL::Workspace |
| AWS 最终用户消息 SMS | AWS 关于原始身份@@ [的最终用户消息 SMS](https://docs.aws.amazon.com/sms-voice/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动。 | SMS 语音发起身份 | AWS::SMSVoice::OriginationIdentity |
| AWS 最终用户消息 SMS | [AWS 最终用户消息 SMS](https://docs.aws.amazon.com/sms-voice/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 对消息的活动。 | 短信语音消息 | AWS::SMSVoice::Message |
| AWS 最终用户消息社交 | AWS 电话号码上的@@ [最终用户消息社交](https://docs.aws.amazon.com/social-messaging/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活动 IDs。 | 社交消息电话号码 ID | AWS::SocialMessaging::PhoneNumberId |
| AWS 最终用户消息社交 | AWS Waba IDs 上的最终用户消息社交 API 活动。 | 社交消息 Waba ID | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | 针对环境的 [Amazon FinSpace](https://docs.aws.amazon.com/finspace/latest/userguide/logging-cloudtrail-events.html#finspace-dataplane-events) API 活动 | FinSpace | AWS::FinSpace::Environment |
| 亚马逊 GameLift 直播 | Amazon GameLift [直播应用程序上的 API 活动](https://docs.aws.amazon.com/gameliftstreams/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | GameLift 直播应用程序 | AWS::GameLiftStreams::Application |
| 亚马逊 GameLift 直播 | Amazon GameLift Streams [直播直播群组上的 API 活动](https://docs.aws.amazon.com/gameliftstreams/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | GameLift 直播群组 | AWS::GameLiftStreams::StreamGroup |
| AWS Glue | AWS Glue 在 Lake Formation 创建的表格上的 API 活动。 | Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | [探测器的](https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html#guardduty-data-events-in-cloudtrail)亚马逊 GuardDuty API 活动。 | GuardDuty 探测器 | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging 数据存储上的 API 活动。 | MedicalImaging 数据存储 | AWS::MedicalImaging::Datastore |
| AWS HealthImaging | AWS HealthImaging 图像集 API 活动。 | **MedicalImaging 图像集** | `AWS::MedicalImaging::Imageset` |
| AWS IoT | AWS IoT [证书](https://docs.aws.amazon.com/iot/latest/developerguide/x509-client-certs.html)上@@ [的 API 活动](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 | IoT 证书 | AWS::IoT::Certificate |
| AWS IoT | [AWS IoT API 在[事物](https://docs.aws.amazon.com/iot/latest/developerguide/thing-registry.html)上的活动](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 | IoT 事物 | AWS::IoT::Thing |
| AWS IoT Greengrass Version 2 | 组件版本上来自 Greengrass 核心设备的 [Greengrass API 活动](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 Greengrass 不会记录访问被拒绝事件。 | IoT Greengrass 组件版本 | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | 部署上来自 Greengrass 核心设备的 [Greengrass API 活动](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 Greengrass 不会记录访问被拒绝事件。 | IoT Greengrass 部署 | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | [资产](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAsset.html)上的@@ [物联网 SiteWise API 活动](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | 物联网 SiteWise 资产 | AWS::IoTSiteWise::Asset |
| AWS IoT SiteWise | [时间序列](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html)上的@@ [物联网 SiteWise API 活动](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | 物联网 SiteWise 时间序列 | AWS::IoTSiteWise::TimeSeries |
| AWS IoT SiteWise 助手 | 对对话的 Sitewise Assistant API 活动 | Sitewise Assistant 对话 | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | [实体](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateEntity.html)上的物联网 TwinMaker API 活动。 | 物联网 TwinMaker 实体 | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | [工作空间](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateWorkspace.html)上的物联网 TwinMaker API 活动。 | 物联网 TwinMaker 工作空间 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | 针对[重新评分执行计划](https://docs.aws.amazon.com/kendra/latest/dg/cloudtrail-intelligent-ranking.html#cloud-trail-intelligent-ranking-log-entry)的 Amazon Kendra Intelligent Ranking API 活动。 | Kendra 排名 | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces(Apache Cassandra 兼容) | 表上的 [Amazon Keyspaces API 活动](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html#keyspaces-in-cloudtrail-dml)。 | Cassandra 表 | AWS::Cassandra::Table |
| Amazon Keyspaces(Apache Cassandra 兼容) | 对 Cassandra CDC 流的 Amazon Keyspaces(Apache Cassandra 兼容)API 活动。 | Cassandra CDC 流 | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | [流](https://docs.aws.amazon.com/streams/latest/dev/working-with-streams.html)上的 Kinesis Data Streams API 活动。 | Kinesis 流 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | [流使用者的](https://docs.aws.amazon.com/streams/latest/dev/building-consumers.html)上的 Kinesis Data Streams API 活动。 | Kinesis 流使用者 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | 视频流上的 Kinesis Video Streams API 活动,例如调用 GetMedia 和 PutMedia。 | Kinesis 视频流 | AWS::KinesisVideo::Stream |
| Amazon Kinesis Video Streams | Kinesis Video Streams 视频信令通道 API 活动。 | **Kinesis 视频信令通道** | `AWS::KinesisVideo::SignalingChannel` |
| AWS Lambda | AWS Lambda 函数执行活动(`Invoke`API)。 | Lambda | AWS::Lambda::Function |
| Amazon Location 映射 | Amazon Location 地图 API 活动。 | 地理地图 | AWS::GeoMaps::Provider |
| Amazon Location 位数 | Amazon Location 地点 API 活动。 | 地理地点 | AWS::GeoPlaces::Provider |
| Amazon Location 路线 | Amazon Location 路线 API 活动。 | 地理路线 | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | 机器学习模型上的机器学习 API 活动。 | 匹配学习 MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 针对网络的 Amazon Managed Blockchain API 活动。 | 托管区块链网络 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | 针对 Ethereum 节点的 [Amazon Managed Blockchain](https://docs.aws.amazon.com/managed-blockchain/latest/ethereum-dev/logging-using-cloudtrail.html#ethereum-jsonrpc-logging) JSON-RPC 调用,如 `eth_getBalance` 或 `eth_getBlockByNumber`。 | 托管区块链 | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain 查询 | Amazon Managed Blockchain 查询 API 活动。 | Managed Blockchain 查询 | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | 对环境的 Amazon MWAA API 活动。 | 托管 Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune 图形 | Neptune Graph 上的数据 API 活动,例如查询、算法或向量搜索。 | Neptune 图形 | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | Amazon One Enterprise API 在 UKey上的活动 | Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | 用户上的 Amazon One Enterprise API 活动。 | Amazon One 用户 | AWS::One::User |
| AWS Payment Cryptography | AWS Payment Cryptography 别名上的 API 活动。 | Payment Cryptography 别名 | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | AWS Payment Cryptography 密钥上的 API 活动。 | Payment Cryptography 密钥 | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | 对移动定位应用程序的 Amazon Pinpoint API 活动。 | 移动定位应用程序 | AWS::Pinpoint::App |
| AWS 私有 CA | AWS 私有 CA 活动目录 API 活动的连接器。 | AWS 私有 CA 活动目录连接器 | AWS::PCAConnectorAD::Connector |
| AWS 私有 CA | AWS 私有 CA 用于 SCEP API 活动的连接器。 | AWS 私有 CA 适用于 SCEP 的连接器 | AWS::PCAConnectorSCEP::Connector |
| Amazon Q 应用程序构建器 | [Amazon Q 应用程序构建器](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/purpose-built-qapps.html)上的数据 API 活动。 | Amazon Q 应用程序构建器 | AWS::QApps::QApp |
| Amazon Q 应用程序构建器 | 对 Amazon Q 应用程序构建器会话的数据 API 活动。 | Amazon Q 应用程序构建器会话 | AWS::QApps::QAppSession |
| Amazon Q Business | 应用程序上的 [Amazon Q Business API 活动](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 应用程序 | AWS::QBusiness::Application |
| Amazon Q Business | 数据来源上的 [Amazon Q Business API 活动](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 数据来源 | AWS::QBusiness::DataSource |
| Amazon Q Business | 索引上的 [Amazon Q Business API 活动](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 索引 | AWS::QBusiness::Index |
| Amazon Q Business | Web 体验上的 [Amazon Q Business API 活动](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business Web 体验 | AWS::QBusiness::WebExperience |
| Amazon Q Business | Amazon Q Business 集成 API 活动。 | **Amazon Q Business 集成** | `AWS::QBusiness::Integration` |
| Amazon Q 开发者版 | 对集成的 Amazon Q 开发者版 API 活动。 | Q 开发者版集成 | AWS::QDeveloper::Integration |
| Amazon Q 开发者版 | 对操作调查的 [Amazon Q 开发者版 API 活动](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html#Q-Developer-Investigations-Cloudtrail)。 | AIOps 调查组 | AWS::AIOps::InvestigationGroup |
| Amazon 快速 | 操作连接器上的 Amazon Quick API 活动。 | AWS QuickSuite 操作 | AWS::Quicksight::ActionConnector |
| Amazon 快速 | 亚马逊 Quick Flow API 活动。 | **QuickSight 流动** | `AWS::QuickSight::Flow` |
| Amazon 快速 | 亚马逊 Quick FlowSession API 活动。 | **QuickSight 流程会话** | `AWS::QuickSight::FlowSession` |
| 亚马逊 SageMaker AI | 终端节点上的亚马逊 SageMaker AI [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpointWithResponseStream.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpointWithResponseStream.html)活动。 | SageMaker AI 端点 | AWS::SageMaker::Endpoint |
| 亚马逊 SageMaker AI | 特色商店中的亚马逊 SageMaker AI API 活动。 | SageMaker AI feature store | AWS::SageMaker::FeatureGroup |
| 亚马逊 SageMaker AI | Amazon SageMaker AI API 在[实验试验组件](https://docs.aws.amazon.com/sagemaker/latest/dg/experiments-monitoring.html)上的活动。 | SageMaker AI 指标实验试用组件 | AWS::SageMaker::ExperimentTrialComponent |
| 亚马逊 SageMaker AI | 亚马逊 SageMaker AI MLflow API 活动。 | **SageMaker MLflow** | `AWS::SageMaker::MlflowTrackingServer` |
| AWS Signer | 对签名作业的签署人 API 活动。 | 签署人签名作业 | AWS::Signer::SigningJob |
| AWS Signer | 对签名配置文件的签署人 API 活动。 | 签署人签名配置文件 | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | 对配置集的 Amazon Simple Email Service(Amazon SES)API 活动。 | SES 配置集 | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | 对电子邮件身份的 Amazon Simple Email Service(Amazon SES)API 活动。 | SES 身份 | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | 对模板的 Amazon Simple Email Service(Amazon SES)API 活动。 | SES 模板 | AWS::SES::Template |
| Amazon SimpleDB | 对域的 Amazon SimpleDB API 活动。 | SimpleDB 域 | AWS::SDB::Domain |
| AWS Step Functions | 对活动的 [Step Functions API 活动](https://docs.aws.amazon.com/step-functions/latest/dg/procedure-cloud-trail.html#cloudtrail-data-events)。 | Step Function | AWS::StepFunctions::Activity |
| AWS Step Functions | 对状态机的 [Step Functions API 活动](https://docs.aws.amazon.com/step-functions/latest/dg/procedure-cloud-trail.html#cloudtrail-data-events)。 | Step Functions 状态机 | AWS::StepFunctions::StateMachine |
| AWS Systems Manager | 控制通道上的 [Systems Manager API 活动](https://docs.aws.amazon.com/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html#cloudtrail-data-events)。 | Systems Manager (系统管理员) | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | 对影响评测的 Systems Manager API 活动。 | SSM 影响评测 | AWS::SSM::ExecutionPreview |
| AWS Systems Manager | 托管节点上的 [Systems Manager API 活动](https://docs.aws.amazon.com/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html#cloudtrail-data-events)。 | Systems Manager 托管式节点 | AWS::SSM::ManagedNode |
| Amazon Timestream | 针对数据库的 Amazon Timestream [https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html) API 活动。 | Timestream 数据库 | AWS::Timestream::Database |
| Amazon Timestream | 对区域性端点的 Amazon Timestream API 活动。 | Timestream 区域性端点 | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | 针对表的 Amazon Timestream [https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html) API 活动。 | Timestream 表 | AWS::Timestream::Table |
| Amazon Verified Permissions | 针对策略存储的 Amazon Verified Permissions API 活动。 | Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces 瘦客户机 | WorkSpaces 设备上的瘦客户端 API 活动。 | 瘦客户端设备 | AWS::ThinClient::Device |
| Amazon WorkSpaces 瘦客户机 | WorkSpaces 环境中的瘦客户端 API 活动。 | 瘦客户端环境 | AWS::ThinClient::Environment |
| AWS X-Ray | [跟踪](https://docs.aws.amazon.com/xray/latest/devguide/xray-concepts.html#xray-concepts-traces)的 [X-Ray API 活动](https://docs.aws.amazon.com/xray/latest/devguide/xray-api-cloudtrail.html#cloudtrail-data-events)。 | X-Ray 跟踪 | AWS::XRay::Trace |
| Amazon AIDev Ops | AIDev代理空间上的 Ops API 活动。 | 特工空间 | AWS::AIDevOps::AgentSpace |
| Amazon AIDev Ops | AIDevOps API 关于关联的活动。 | AIDev行动协会 | AWS::AIDevOps::Association |
| Amazon AIDev Ops | AIDev运营商应用团队的 Ops API 活动。 | AIDevOps 操作员应用程序团队 | AWS::AIDevOps::OperatorAppTeam |
| Amazon AIDev Ops | AIDev管道元数据上的 Ops API 活动。 | AIDev运营管道元数据 | AWS::AIDevOps::PipelineMetadata |
| Amazon AIDev Ops | AIDevOps API 在服务上的活动。 | AIDevOps 服务 | AWS::AIDevOps::Service |
| Amazon Bedrock | 高级优化提示作业上的 Bedrock API 活动。 | AdvancedOptimizePromptJob | AWS::Bedrock::AdvancedOptimizePromptJob |
| Amazon Bedrock AgentCore | 评估者身上 AgentCore 的 Bedrock API 活动。 | Bedrock-评估者 AgentCore | AWS::BedrockAgentCore::Evaluator |
| 亚马逊成本优化 | CloudOptimization 个人资料上的 API 活动。 | CloudOptimization 配置文件 | AWS::CloudOptimization::Profile |
| 亚马逊成本优化 | CloudOptimization 针对推荐的 API 活动。 | CloudOptimization 建议 | AWS::CloudOptimization::Recommendation |
| Amazon GuardDuty | GuardDuty 恶意软件扫描时的 API 活动。 | GuardDuty 恶意软件扫描 | AWS::GuardDuty::MalwareScan |
| Amazon NovaAct | 亚马逊 NovaAct API 在工作流程定义方面的活动。 | 工作流程定义 | AWS::NovaAct::WorkflowDefinition |
| Amazon NovaAct | 工作流程运行时亚马逊 NovaAct API 活动。 | 工作流程运行 | AWS::NovaAct::WorkflowRun |
| Amazon Redshift | 集群上的 Redshift API 活动。 | 亚马逊 Redshift 集群 | AWS::Redshift::Cluster |
| Amazon Support | SupportAccess 针对租户的 API 活动。 | SupportAccess 租户 | AWS::SupportAccess::Tenant |
| Amazon Support | SupportAccess 信任账户上的 API 活动。 | SupportAccess 信任账户 | AWS::SupportAccess::TrustingAccount |
| Amazon Support | SupportAccess 信任角色上的 API 活动。 | SupportAccess 信任角色 | AWS::SupportAccess::TrustingRole |
| 亚马逊转型 | 转换代理实例上的 API 活动。 | 转换代理实例 | AWS::Transform::AgentInstance |
| Amazon 自定义转换 | 转换广告活动中的自定义 API 活动。 | 变身定制战役 | AWS::TransformCustom::Campaign |
| Amazon 自定义转换 | 转换对话中的自定义 API 活动。 | 转换-自定义对话 | AWS::TransformCustom::Conversation |
| Amazon 自定义转换 | 转换知识项上的自定义 API 活动。 | 变换-自定义知识项目 | AWS::TransformCustom::KnowledgeItem |
| Amazon 自定义转换 | 转换包上的自定义 API 活动。 | 变换-自定义软件包 | AWS::TransformCustom::Package |
默认情况下,在您创建跟踪或事件数据存储时,未记录数据事件。要记录 CloudTrail 数据事件,必须明确添加要为其收集活动的支持的资源或资源类型。有关更多信息,请参阅[使用 CloudTrail 控制台创建跟踪](cloudtrail-create-a-trail-using-the-console-first-time.md)和[使用控制台为事件创建 CloudTrail 事件数据存储](query-event-data-store-cloudtrail.md)。
记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
以下示例显示了 Amazon SNS `Publish` 操作的数据事件的单个日志记录。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::123456789012:user/Bob",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "ExampleUser"
},
"attributes": {
"creationDate": "2023-08-21T16:44:05Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-08-21T16:48:37Z",
"eventSource": "sns.amazonaws.com",
"eventName": "Publish",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
"requestParameters": {
"topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
"message": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
"messageStructure": "json",
"messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": {
"messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
},
"requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
"eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
"readOnly": false,
"resources": [{
"accountId": "123456789012",
"type": "AWS::SNS::Topic",
"ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
}
}
```
以下示例显示了 Amazon Cognito `GetCredentialsForIdentity` 操作的数据事件的单个日志记录。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetCredentialsForIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
"requestParameters": {
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
"expiration": "Jan 19, 2023 5:55:08 PM"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
"eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## 网络活动事件
CloudTrail 网络活动事件使 VPC 终端节点所有者能够记录使用其 VPC 终端节点从私有 VPC 到的 AWS API 调用 AWS 服务。通过网络活动事件,可以了解在 VPC 中执行的资源操作。
您可以记录以下服务的网络活动事件:
+ AWS AppConfig
+ AWS App Mesh
+ Amazon Athena
+ AWS B2B Data Interchange
+ AWS Backup gateway
+ Amazon Bedrock
+ 账单和成本管理
+ AWS 定价计算器
+ AWS Cost Explorer
+ AWS 云端控制 API
+ AWS CloudHSM
+ AWS Cloud Map
+ AWS CloudFormation
+ AWS CloudTrail
+ Amazon CloudWatch
+ CloudWatch 应用程序信号
+ AWS CodeDeploy
+ Amazon Comprehend Medical
+ AWS Config
+ AWS Data Exports
+ Amazon Data Firehose
+ AWS Directory Service
+ Amazon DynamoDB
+ Amazon EC2
+ Amazon Elastic Container Service
+ Amazon Elastic File System
+ Elastic Load Balancing
+ Amazon EventBridge
+ Amazon EventBridge 日程安排
+ Amazon Fraud Detector
+ AWS 免费套餐
+ Amazon FSx
+ AWS Glue
+ AWS HealthLake
+ AWS IoT FleetWise
+ AWS IoT Secure Tunneling
+ AWS 开票
+ Amazon Keyspaces(Apache Cassandra 兼容)
+ AWS KMS
+ AWS Lake Formation
+ AWS Lambda
+ AWS License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Personalize
+ Amazon Q Business
+ Amazon Rekognition
+ Amazon Relational Database Service
+ Amazon S3
**注意**
不支持 [Amazon S3 多区域接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRequests.html)。
+ 亚马逊 SageMaker AI
+ AWS Secrets Manager
+ Amazon Simple Notification Service
+ Amazon Simple Queue Service
+ Amazon Simple Workflow Service
+ AWS Storage Gateway
+ AWS Systems Manager Incident Manager
+ Amazon Textract
+ Amazon Transcribe
+ Amazon Translate
+ AWS Transform
+ Amazon Verified Permissions
+ Amazon WorkMail
默认情况下,在您创建跟踪或事件数据存储时,未记录网络活动事件。要记录 CloudTrail 网络活动事件,必须明确设置要为其收集活动的事件源。有关更多信息,请参阅 [记录网络活动事件](logging-network-events-with-cloudtrail.md)。
记录网络活动事件将收取额外费用。有关 CloudTrail 定价,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
以下示例显示了遍历 VPC 终端节点的成功 AWS KMS `ListKeys`事件。`vpcEndpointId` 字段显示 VPC 端点的 ID。`vpcEndpointAccountId` 字段显示 VPC 端点所有者的账户 ID。在此示例中,请求由 VPC 端点所有者发出。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
"accountId": "123456789012",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-06-04T23:10:46Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-06-04T23:12:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeys",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
"eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
"eventType": "AwsVpceEvent",
"recipientAccountId": "123456789012",
"sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
"vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
"vpcEndpointAccountId": "123456789012",
"eventCategory": "NetworkActivity"
}
```
下一个示例显示了违反 VPC 终端节点策略的失败 AWS KMS `ListKeys`事件。由于发生了 VPC 策略违规,因此 `errorCode` 和 `errorMessage` 字段都存在。`recipientAccountId` 和 `vpcEndpointAccountId` 字段中的账户 ID 相同,这表示事件已发送给 VPC 端点所有者。`userIdentity` 元素中的 `accountId` 不是 `vpcEndpointAccountId`,这表示发出请求的用户不是 VPC 端点所有者。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "777788889999"
},
"eventTime": "2024-07-15T23:57:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeys",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"errorCode": "VpceAccessDenied",
"errorMessage": "The request was denied due to a VPC endpoint policy",
"requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
"eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
"eventType": "AwsVpceEvent",
"recipientAccountId": "123456789012",
"sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
"vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
"vpcEndpointAccountId": "123456789012",
"eventCategory": "NetworkActivity"
}
```
## Insights 事件
CloudTrail Insights 事件通过分析 CloudTrail 管理活动来捕获您 AWS 账户中异常的 API 调用率或错误率活动。Insights 事件提供相关信息,例如关联的 API、错误代码、事件时间和统计数据,以帮助您了解异常活动并对其采取措施。与在 CloudTrail 跟踪或事件数据存储中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户 API 使用情况或错误率记录的变化与账户的典型使用模式明显不同时,才会记录 Insights 事件。有关更多信息,请参阅 [使用见 CloudTrail 解](logging-insights-events-with-cloudtrail.md)。
可能生成 Insights 事件的活动的示例包括:
+ 您的账户通常每分钟记录不超过 20 次 Amazon S3 `deleteBucket` API 调用,但是您的账户一开始就平均每分钟记录 100 次 `deleteBucket` API 调用。在异常活动开始时记录一个 Insights 事件,并记录另一个见解事件以标记异常活动的结束。
+ 您的账户通常每分钟记录 20 次对 Amazon EC2 `AuthorizeSecurityGroupIngress` API 的调用,但是您的账户开始记录对 `AuthorizeSecurityGroupIngress` 的零次调用。在异常活动开始时记录一个 Insights 事件,10 分钟后,当异常活动结束时,将记录另一个 Insights 事件以标记异常活动的结束。
+ 您的账户七天内对 AWS Identity and Access Management API、`DeleteInstanceProfile` 记录的 `AccessDeniedException` 错误通常不到一个。你的账户开始对 `DeleteInstanceProfile` API 调用每分钟平均记录 12 个 `AccessDeniedException` 错误。在异常错误率活动开始时记录一个 Insights 事件,并记录另一个 Insights 事件以标记异常活动的结束。
这些示例仅用于说明用途。根据您的使用案例,您的结果可能会有所不同。
要记录 CloudTrail Insights 事件,您必须在新的或现有的跟踪或事件数据存储上明确启用 Insights 事件。有关创建跟踪的更多信息,请参阅[使用 CloudTrail 控制台创建跟踪](cloudtrail-create-a-trail-using-the-console-first-time.md)。有关创建事件数据存储的更多信息,请参阅[使用控制台为 Insights 事件创建事件数据存储](query-event-data-store-insights.md)。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
CloudTrail Insights 中记录了两个事件以显示异常活动:开始事件和结束事件。下面的示例显示了一个启动见解事件的单个日志记录,该事件是在不寻常地多次调用 Application Auto Scaling API `CompleteLifecycleAction` 时发生的。对于见解事件,`eventCategory` 的值为 `Insight`。`insightDetails` 块标识事件状态、源、名称、见解类型和上下文,包括统计信息和归因。有关 `insightDetails` 块的更多信息,请参阅 [CloudTrail 记录路径的 Insights 事件的内容](cloudtrail-insights-fields-trails.md)。
```
{
"eventVersion": "1.08",
"eventTime": "2023-07-10T01:42:00Z",
"awsRegion": "us-east-1",
"eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
"insightDetails": {
"state": "Start",
"eventSource": "autoscaling.amazonaws.com",
"eventName": "CompleteLifecycleAction",
"insightType": "ApiCallRateInsight",
"insightContext": {
"statistics": {
"baseline": {
"average": 9.82222E-5
},
"insight": {
"average": 5.0
},
"insightDuration": 1,
"baselineDuration": 10181
},
"attributions": [{
"attribute": "userIdentityArn",
"insight": [{
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
"average": 5.0
}, {
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
"average": 5.0
}, {
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
"average": 5.0
}],
"baseline": [{
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
"average": 9.82222E-5
}]
}, {
"attribute": "userAgent",
"insight": [{
"value": "codedeploy.amazonaws.com",
"average": 5.0
}],
"baseline": [{
"value": "codedeploy.amazonaws.com",
"average": 9.82222E-5
}]
}, {
"attribute": "errorCode",
"insight": [{
"value": "null",
"average": 5.0
}],
"baseline": [{
"value": "null",
"average": 9.82222E-5
}]
}]
}
},
"eventCategory": "Insight"
}
```