本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何 CloudTrail 运作
创建 CloudTrail **事件历史记录时,您可以自动访问事件历史记录** AWS 账户。**事件历史记录**提供对 AWS 区域中过去 90 天的已记录管理事件的可查看、可搜索、可下载和不可变记录。
要持续记录 AWS 账户 过去 90 天内的事件,请创建跟踪或 CloudTrail Lake 事件数据存储。
**Topics**
+ [CloudTrail 事件历史](#how-cloudtrail-works-eventhistory)
+ [CloudTrail 湖泊和事件数据存储](#how-cloudtrail-works-lake)
+ [CloudTrail 湖泊仪表板](#how-cloudtrail-works-lake-dashboards)
+ [CloudTrail 步道](#how-cloudtrail-works-trails)
+ [CloudTrail 洞察活动](#how-cloudtrail-works-insights)
+ [CloudTrail 频道](#how-cloudtrail-works-channels)
## CloudTrail 事件历史
您可以前往事件**历史记录页面,在 CloudTrail 控制台中轻松查看最近 90 天的管理事件**。您还可以通过运行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html) 命令或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html) API 操作来查看事件历史记录。您可以针对单个属性筛选事件,来搜索**事件历史记录**中的事件。有关更多信息,请参阅 [处理 CloudTrail 事件历史记录](view-cloudtrail-events.md)。
**事件历史记录**与您账户中存在的任何跟踪或事件数据存储无关,也不会受到您对跟踪和事件数据存储所做的配置更改的影响。
查看**事件历史记录**页面或运行`lookup-events`命令不 CloudTrail 收取任何费用。
## CloudTrail 湖泊和事件数据存储
您可以创建事件数据存储来记录[CloudTrail 事件(管理事件](query-event-data-store-cloudtrail.md)、数据事件、网络活动事件)、[CloudTrailInsights 事件](query-event-data-store-insights.md)、[AWS Audit Manager 证据](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)、[AWS Config 配置项目](query-event-data-store-config.md)或[外部的事件 AWS](event-data-store-integration-events.md)。
事件数据存储可以记录您 AWS 账户 AWS 区域 中当前 AWS 区域事件或全部事件。用于从外部记录**集成**事件的事件数据存储 AWS 必须仅用于单个区域;它们不能是多区域事件数据存储。
如果您在中创建了组织 AWS Organizations,则可以创建一个*组织事件数据存储*,用于记录该组织中所有 AWS 账户的所有事件。组织事件数据存储可以应用于所有 AWS 区域或当前区域。组织事件数据存储必须使用管理账户或委托管理员账户创建,并且在指定为应用于某个组织时,事件数据存储将自动应用于该组织中的所有成员账户。成员账户无法查看组织事件数据存储,也无法对其进行修改或删除。组织事件数据存储不能用于从外部收集事件 AWS。有关更多信息,请参阅 [了解组织事件数据存储](cloudtrail-lake-organizations.md)。
默认情况下,事件数据存储中的所有事件都由加密 CloudTrail。在配置事件数据存储时,您可以选择使用自己的 AWS KMS key。使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。有关更多信息,请参阅 [使用密 AWS KMS 钥加密 CloudTrail 日志文件、摘要文件和事件数据存储 (SSE-KMS)](encrypting-cloudtrail-log-files-with-aws-kms.md)。
下表提供了有关您可以对事件数据存储执行的任务的信息。
| Task | 说明 |
| --- | --- |
| [查看和创建控制面板](lake-dashboard.md) | 您可以使用 CloudTrail Lake 仪表板查看账户中事件数据存储的事件趋势。您可以查看托管仪表板,创建自定义仪表板,并启用 Highli **g** hts 仪表板以查看由 CloudTrail Lake 策划和管理的事件数据的亮点。 |
| [记录管理事件](logging-management-events-with-cloudtrail.md) | 将您的事件数据存储配置为记录只读、只写或所有管理事件。默认情况下,事件数据存储会记录管理事件。 您可以根据以下高级事件选择器字段筛选管理事件:`eventName`、`eventSource`、`eventType`、`readOnly`、`sessionCredentialFromConsole` 和 `userIdentity.arn`。 |
| [记录数据事件](logging-data-events-with-cloudtrail.md) | 您可以使用[高级事件选择器](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html)来创建精细的选择器,以仅记录那些感兴趣的数据事件。例如,您可以根据 `eventName` 字段进行筛选,以包含或排除特定 API 调用的记录,这有助于控制成本。有关更多信息,请参阅 [使用高级事件选择器筛选数据事件](filtering-data-events.md)。 |
| [记录网络活动事件](logging-network-events-with-cloudtrail.md) | 配置事件数据存储以记录网络活动事件。您可以使用高级事件选择器根据 `eventName`、`errorCode` 和 `vpcEndpointId` 字段进行筛选,以仅记录感兴趣的事件。 |
| [记录 Insights 事件](query-event-data-store-insights.md) | 将事件数据存储配置为记录 Insights 事件,以帮助您识别和应对与管理 API 调用相关的异常活动。有关更多信息,请参阅 [使用见 CloudTrail 解](logging-insights-events-with-cloudtrail.md)。 将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。 |
| [复制跟踪事件](cloudtrail-copy-trail-to-lake-eds.md) | 您可以将跟踪事件复制到[新的](scenario-lake-import.md)或[现有](cloudtrail-copy-trail-events-lake.md)的事件数据存储中,以创建记录到跟踪的事件的 point-in-time快照。 |
| [在事件数据存储上启用联合身份验证](query-federation.md) | 您可以联合事件数据存储以在数据[目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据,并使用 Amazon Athena 对事件数据运行 SQL 查询。 AWS Glue 存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。 |
| [停止或开始事件数据存储上的事件引入](query-eds-stop-ingestion.md) | 您可以在收集 CloudTrail 管理和数据事件或 AWS Config 配置项目的事件数据存储上停止和启动事件摄取。 |
| [创建与 AWS外部事件源的集成](query-event-data-store-integration.md) | 您可以使用 La CloudTrail ke *集成*来记录和存储来自外部的用户活动数据 AWS;这些数据来自混合环境中的任何来源,例如本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器。有关可用集成合作伙伴的信息,请参阅 [AWS CloudTrail Lake 集成](https://aws.amazon.com/cloudtrail/partners/)。 |
| [在 CloudTrail 控制台中查看 Lake 示例查询](lake-console-queries.md) | CloudTrail 控制台提供了许多示例查询,可以帮助您开始编写自己的查询。 |
| [创建或编辑查询](query-create-edit-query.md) | 中的查询 CloudTrail 是用 SQL 编写的。您可以在 L CloudTrail ake E **ditor** 选项卡上生成查询,方法是从头开始用 SQL 编写查询,或者打开已保存的查询或示例查询并对其进行编辑。 |
| [将查询结果保存到 S3 存储桶](query-run-query.md#scenario-lake-save-queries) | 运行查询时,您可以将查询结果保存到 S3 存储桶。 |
| [下载已保存的查询结果](view-download-cloudtrail-lake-query-results.md#cloudtrail-download-lake-query-results) | 您可以下载包含已保存的 L CloudTrail ake 查询结果的 CSV 文件。 |
| [验证已保存的查询结果](cloudtrail-query-results-validation.md) | 在将 CloudTrail 查询结果 CloudTrail 传送到 S3 存储桶后,您可以使用查询结果完整性验证来确定查询结果是被修改、删除还是未更改。 |
有关 CloudTrail Lake 的更多信息,请参阅[与 L AWS CloudTrail ake 合作](cloudtrail-lake.md)。
CloudTrail 湖泊事件数据存储和查询会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的[定价选项](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。在 Lake 中运行查询时,您需要按扫描的数据量付费。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。
## CloudTrail 湖泊仪表板
您可以使用 CloudTrail Lake 仪表板查看账户中事件数据存储的事件趋势。 CloudTrail Lake 提供以下类型的仪表板:
+ **托管的控制面板**:可以查看托管的控制面板,以查看收集管理事件、数据事件或 Insights 事件的事件数据存储的事件趋势。这些仪表板将自动提供给您,并由 CloudTrail Lake 管理。 CloudTrail 提供 14 个托管仪表板供您选择。您可以手动刷新托管的控制面板。您无法修改、添加或移除这些控制面板的小组件,但是,如果要修改小组件或设置刷新计划,则可以将托管的控制面板另存为自定义控制面板。
+ **自定义控制面板**:自定义控制面板可让您查询任何事件数据存储类型中的事件。最多可以向自定义控制面板添加 10 个小组件。可以手动刷新自定义控制面板,也可以设置刷新计划。
+ **亮点仪表板** — 启用 “亮点” 仪表板可查看您账户中事件数据存储所收集的 AWS 活动 at-a-glance概览。Highlights 控制面板由您管理 CloudTrail 并包含与您的账户相关的小部件。“要点”控制面板上显示的小组件对于每个账户都是独一无二的。这些小组件可能会显示检测到的异常活动或异常。例如,您的 Highlights 控制面板可能包含**跨账户访问权限总额小工具**,它会显示异常跨账户活动是否有所增加。 CloudTrail 每 6 小时更新一次 “亮点” 控制面板。控制面板显示自上次更新以来最近 24 小时的数据。
每个控制面板由一个或多个小组件组成,每个小组件代表一个 SQL 查询。
有关更多信息,请参阅 [CloudTrail 湖泊仪表板](lake-dashboard.md)。
## CloudTrail 步道
*跟踪*是一种配置,可用于将事件传送到您指定的 Amazon S3 存储桶。[您还可以使用 Amazon L [ CloudWatch ogs 和 Amazon](send-cloudtrail-events-to-cloudwatch-logs.md) 在跟踪中交付和分析事件 EventBridge。](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-eventbridge)
Trails 可以记录 CloudTrail 管理事件、数据事件、网络活动事件和 Insights 事件。
您可以为您的 AWS 账户创建多区域和单区域跟踪。
**多区域跟踪**
当您创建多区域跟踪时,会 CloudTrail 记录所有[已启 AWS 区域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)用的事件, AWS 账户 并将 CloudTrail 事件日志文件传送到您指定的 S3 存储桶。作为最佳实践,我们建议您创建多区域跟踪,因为它能够捕获所有已启用区域中的活动。使用 CloudTrail 控制台创建的所有跟踪均为多区域跟踪。您可以使用将单区域跟踪转换为多区域跟踪。 AWS CLI有关更多信息,请参阅 [了解多区域跟踪和选择加入区域](cloudtrail-multi-region-trails.md)、[使用控制台创建跟踪](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console) 和 [将单区域跟踪转换为多区域跟踪](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)。
**单区域跟踪**
创建单区域跟踪时,仅 CloudTrail 记录该区域的事件。然后,它 CloudTrail 会将事件日志文件传送到您指定的 Amazon S3 存储桶。您只能使用 AWS CLI创建单区域跟踪。如果您创建其他单个跟踪,则可以让这些跟踪将 CloudTrail 事件日志文件传送到同一 S3 存储桶或单独的存储桶。这是您使用 AWS CLI 或 CloudTrail API 创建跟踪时的默认选项。有关更多信息,请参阅 [使用创建、更新和管理跟踪 AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli.md)。
**注意**
对于这两种类型的跟踪,您可以在任何区域中指定 Amazon S3 存储桶。
如果您在中创建了组织 AWS Organizations,则可以创建*组织跟踪*,记录该组织中所有 AWS 账户的所有事件。组织跟踪可以应用于所有 AWS 地区或当前区域。组织跟踪必须使用管理账户或委托管理员账户创建,并且在指定为应用于某个组织时,组织跟踪将自动应用于该组织中的所有成员账户。成员账户可以查看组织跟踪,但无法对其进行修改或删除。默认情况下,成员账户无权访问 Amazon S3 存储桶中组织跟踪的日志文件。
默认情况下,当您在 CloudTrail 控制台中创建跟踪时,您的事件日志文件和摘要文件将使用 KMS 密钥进行加密。如果您选择不启用 **SSE-KMS 加密**,您的事件日志文件和摘要文件将使用 Amazon S3 服务器端加密(SSE)进行加密。您可以将日志文件在 存储桶中存储任意长的时间。您也可以定义 Amazon S3 生命周期规则以自动存档或删除日志文件。如果您想接收有关日志文件传送和验证的通知,可以设置 Amazon SNS 通知。
CloudTrail 每小时多次发布日志文件,大约每 5 分钟发布一次。这些日志文件包含账户中来自支持 CloudTrail 的服务的 API 调用。有关更多信息,请参阅 [CloudTrail 支持的服务和集成](cloudtrail-aws-service-specific-topics.md)。
**注意**
CloudTrail 通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。有关更多信息,请参阅 [AWS CloudTrail 服务等级协议](https://aws.amazon.com/cloudtrail/sla)。
如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。
CloudTrail 捕获用户直接执行的操作或 AWS 服务代表用户执行的操作。例如, CloudFormation `CreateStack`调用可能会导致对亚马逊 EC2、Amazon RDS、Amazon EBS 或 CloudFormation 模板要求的其他服务进行额外的 API 调用。这是正常的,也是预期的行为。您可以通过 CloudTrail事件中的`invokedby`字段来识别操作是否由 AWS 服务机构执行。
下表提供了有关您可以对跟踪执行的任务的信息。
| Task | 说明 |
| --- | --- |
| [记录管理事件](logging-management-events-with-cloudtrail.md) | 将您的跟踪记录配置为记录只读、只写或所有管理事件。 |
| [记录数据事件](logging-data-events-with-cloudtrail.md) | 您可以使用[高级事件选择器](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html)来创建精细的选择器,以仅记录那些感兴趣的数据事件。例如,您可以根据 `eventName` 字段进行筛选,以包含或排除特定 API 调用的记录,这有助于控制成本。有关更多信息,请参阅 [使用高级事件选择器筛选数据事件](filtering-data-events.md)。 |
| [记录网络活动事件](logging-network-events-with-cloudtrail.md) | 配置跟踪以记录网络活动事件。您可以将高级事件选择器配置为根据 `eventName`、`errorCode` 和 `vpcEndpointId` 字段进行筛选,以仅记录感兴趣的事件。 |
| [记录 Insights 事件](logging-insights-events-with-cloudtrail.md) | 将跟踪记录配置为记录 Insights 事件,以帮助您识别和应对与管理 API 调用相关的异常活动。 将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。 |
| [查看 Insights 事件](view-insights-events.md) | 在跟踪上启用 CloudTrail Insights 后,您可以使用 CloudTrail 控制台或查看最多 90 天的 Insights 事件 AWS CLI。 |
| [下载 Insights 事件](view-insights-events-console.md#downloading-insights-events) | 在跟踪上启用 CloudTrail Insights 后,您可以为跟踪下载包含最多 90 天的 Insights 事件的 CSV 或 JSON 文件。 |
| [将追踪事件复制到 CloudTrail Lake](cloudtrail-copy-trail-to-lake.md) | 您可以将现有跟踪事件复制到 CloudTrail Lake 事件数据存储中,以创建记录到跟踪的事件的 point-in-time快照。 |
| [创建并订阅 Amazon SNS 主题](configure-sns-notifications-for-cloudtrail.md) | 订阅主题以接收有关将日志文件传送至您的存储桶的通知。Amazon SNS 可通过多种方式通知您,包括使用 Amazon Simple Queue Service 以编程方式通知您。 如果您要接收有关从所有区域传送日志文件的 SNS 通知,请为您的跟踪仅指定一个 SNS 主题。如果要以编程方式处理所有事件,请参阅 [使用 CloudTrail 处理库](use-the-cloudtrail-processing-library.md)。 |
| [查看您的日志文件](get-and-view-cloudtrail-log-files.md) | 从 S3 存储桶中查找并下载日志文件。 |
| [使用 CloudWatch 日志监控事件](monitor-cloudtrail-log-files-with-cloudwatch-logs.md) | 您可以将跟踪配置为向 L CloudWatch ogs 发送事件。然后,您可以使用 CloudWatch 日志来监控您的账户中是否有特定 API 调用和事件。 如果您将多区域跟踪配置为将事件发送到 CloudWatch 日志日志组,则会将来自所有区域的事件 CloudTrail 发送到单个日志组。 |
| [启用 SSE-KMS 加密](encrypting-cloudtrail-log-files-with-aws-kms.md) | 使用 KMS 密钥加密日志文件和摘要文件可为您的 CloudTrail 数据提供额外的安全保护。 |
| [启用日志文件完整性](cloudtrail-log-file-validation-intro.md) | 日志文件完整性验证可帮助您验证日志文件自 CloudTrail 交付以来是否保持不变。 |
| [与其他 AWS 账户共享日志文件](cloudtrail-sharing-logs.md) | 您可以在账户之间共享日志文件。 |
| [聚合多个账户中的日志](cloudtrail-receive-logs-from-multiple-accounts.md) | 您可以将多个账户中的日志文件聚合到单个存储桶中。 |
| [使用合作伙伴解决方案](https://aws.amazon.com/cloudtrail/partners/) | 使用与集成的合作伙伴解决方案分析您的 CloudTrail 产出 CloudTrail。合作伙伴解决方案提供了一组广泛的功能,例如,更改跟踪、故障排除和安全分析。 |
通过创建跟踪,您可以免费将正在进行的管理事件的一份副本传送到 S3 存储桶,但是 Amazon S3 会收取存储费用。 CloudTrail 有关 CloudTrail 定价的更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。有关 Amazon S3 定价的信息,请参阅 [Amazon S3 定价](https://aws.amazon.com/s3/pricing/)。
## CloudTrail 洞察活动
AWS CloudTrail Insights 通过持续分析 CloudTrail 管理事件,帮助 AWS 用户识别和响应与 API 调用率和 API 错误率相关的异常活动。 CloudTrail Insights 会分析您的 API 调用量和 API 错误率的正常模式(也称为*基线*),并在呼叫量或错误率超出正常模式时生成 Insights 事件。为管理层生成有关 API 调用率的 Insights 事件 APIs,为`write`管理层生成有关 API 错误率的 Insights 事件 APIs。`read` `write`
默认情况下, CloudTrail 跟踪和事件数据存储不记录 Insights 事件。您必须配置您的跟踪或事件数据存储以记录 Insights 事件。有关更多信息,请参阅[使用 CloudTrail 控制台记录 Insights 事件](insights-events-enable.md)和[使用记录见解事件 AWS CLI](insights-events-CLI-enable.md)。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
### 查看跟踪和事件数据存储的 Insights 事件
CloudTrail 跟踪和事件数据存储都支持 Insights 事件,但是,查看和访问 Insights 事件的方式存在一些差异。
**查看跟踪的 Insights 事件**
如果您在跟踪上启用了 Insights 事件并 CloudTrail 检测到异常活动,则 Insights 事件会记录到您的跟踪的目标 S3 存储桶中的其他文件夹或前缀。在 CloudTrail 控制台上查看 Insights 事件时,您还可以查看洞察类型和事件时间段。有关更多信息,请参阅 [使用控制台查看跟踪的 Insights 事件](view-insights-events-console.md)。
首次在跟踪上启用 CloudTrail Insights 后,在跟踪上启用 Insights 事件后,最多 CloudTrail 可能需要 36 小时才能开始交付 Insights 事件,前提是在此期间检测到异常活动。
**查看事件数据存储的 Insights 事件**
要在 L CloudTrail ake 中记录 Insights 事件,您需要一个用于记录 Insights 事件的目标事件数据存储和一个启用 Insights 并记录管理事件的源事件数据存储。有关更多信息,请参阅 [使用控制台为 Insights 事件创建事件数据存储](query-event-data-store-insights.md)。
首次在源事件数据存储上启用 CloudTrail Insights 后,最多 CloudTrail 可能需要 7 天才能开始交付 Insights 事件,前提是在此期间检测到异常活动。
如果您在源事件数据存储上启用了 CloudTrail Insights 并 CloudTrail 检测到异常活动,则会将 Insigh CloudTrail ts 事件传送到您的目标事件数据存储。然后,您可以查询目标事件数据存储以获取有关 Insights 事件的信息,也可以选择性地将查询结果保存到 S3 存储桶。有关更多信息,请参阅[使用 CloudTrail 控制台创建或编辑查询](query-create-edit-query.md)和[使用 CloudTrail 控制台查看示例查询](lake-console-queries.md)。
您可以查看 **Insights 事件**控制面板来可视化目标事件数据存储中的 Insights 事件。有关 Lake 控制面板的更多信息,请参阅[CloudTrail 湖泊仪表板](lake-dashboard.md)。
## CloudTrail 频道
CloudTrail 支持两种类型的*频道*:
** CloudTrail Lake 与 Lake 以外的事件源集成的渠道 AWS**
CloudTrail Lake 使用*渠道*将与您合作的外部合作伙伴或您自己的来源的外部活动带 AWS CloudTrail入 CloudTrail Lake。在创建通道时,您可以选择一个或多个事件数据存储,用于存储来自通道来源的事件。只要将目标事件数据存储设置为记录活动事件,即可根据需要更改通道的目标事件数据存储。当您为来自外部合作伙伴的活动创建通道时,您需要向合作伙伴或来源应用程序提供通道 ARN。附加到该通道的资源策略允许来源通过该通道传输事件。有关更多信息,请参阅《*AWS CloudTrail API 参考*》中的[与外部的事件源创建集成 AWS](query-event-data-store-integration.md)和[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateChannel.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateChannel.html)。
**服务相关通道**
AWS 服务可以创建与服务相关的渠道来代表您接收 CloudTrail 事件。创建 AWS 服务相关频道的服务会为该频道配置高级事件选择器,并指定该频道是适用于所有区域还是适用于当前区域。
您可以使用[CloudTrail 控制台](cloudtrail-service-linked-channels.md#viewing-service-linked-channels-console)或[AWS CLI](cloudtrail-service-linked-channels.md#viewing-service-linked-channels-cli)查看由 AWS 服务创建的任何 CloudTrail 服务相关频道的相关信息。