本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用记录 API 调用 AWS CloudTrail
AWS 故障注入服务 (AWS FIS) 与 AWS CloudTrail一项服务集成,该服务提供用户、角色或 AWS 服务在 AWS FIS 中采取的操作的记录。 CloudTrail 将 AWS FIS 的所有 API 调用捕获为事件。捕获的调用包括来自 FIS 控制台的调用和对 AWS FI AWS S API 操作的代码调用。如果您创建跟踪,则可以允许将 CloudTrail 事件持续传输到 Amazon S3 存储桶,包括 AWS FIS 的事件。如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的 “事件**历史记录” 中查看最新的事件**。使用收集的信息 CloudTrail,您可以确定向 AWS FIS 发出的请求、发出请求的 IP 地址、谁提出了请求、何时提出请求以及其他详细信息。
要了解更多信息 CloudTrail,请参阅《[AWS CloudTrail 用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
## 使用 CloudTrail
CloudTrail 在您创建账户 AWS 账户 时已在您的账户上启用。当 AWS FIS 中发生活动时,该活动会与其他 AWS 服务 CloudTrail 事件一起记录在**事件历史**记录中。您可以在中查看、搜索和下载最近发生的事件 AWS 账户。有关更多信息,请参阅[使用事件历史记录查看 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录您的 AWS 账户事件(包括 AWS FIS 的事件),请创建跟踪。*跟踪*允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。默认情况下,当您在控制台中创建跟踪时,该跟踪将应用于所有 AWS 区域。跟踪记录 AWS 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:
+ [为您的 AWS 账户创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [接收来自多个区域的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收来自多个账户的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
所有 AWS FIS 操作均由《故障注入服务 API 参考》记录 CloudTrail 并记录在《[AWS 故障注入服务 API 参考](https://docs.aws.amazon.com/fis/latest/APIReference/)》中。有关在目标资源上执行的实验操作,请查看拥有该资源的服务的 API 参考文档。例如,有关在亚马逊 EC2 实例上执行的操作,请参阅亚马[逊 EC2 API 参考](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/)。
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根凭证还是用户凭证发出的。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务发出。
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 了解 AWS FIS 日志文件条目
跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件代表来自任何来源的单个请求,包括有关请求的操作、操作的日期和时间、请求参数等的信息。 CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此它们不会按任何特定的顺序出现。
以下是调用 AWS FIS `StopExperiment` 操作的 CloudTrail 日志条目示例。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE:jdoe",
"arn": "arn:aws:sts::111122223333:assumed-role/example/jdoe",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/example",
"accountId": "111122223333",
"userName": "example"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2020-12-03T09:40:42Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2020-12-03T09:44:20Z",
"eventSource": "fis.amazonaws.com",
"eventName": "StopExperiment",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.51.100.25",
"userAgent": "Boto3/1.22.9 Python/3.8.13 Linux/5.4.186-113.361.amzn2int.x86_64 Botocore/1.25.9",
"requestParameters": {
"clientToken": "1234abc5-6def-789g-012h-ijklm34no56p",
"experimentTemplateId": "ABCDE1fgHIJkLmNop",
"tags": {}
},
"responseElements": {
"experiment": {
"actions": {
"exampleAction1": {
"actionId": "aws:ec2:stop-instances",
"duration": "PT10M",
"state": {
"reason": "Initial state",
"status": "pending"
},
"targets": {
"Instances": "exampleTag1"
}
},
"exampleAction2": {
"actionId": "aws:ec2:stop-instances",
"duration": "PT10M",
"state": {
"reason": "Initial state",
"status": "pending"
},
"targets": {
"Instances": "exampleTag2"
}
}
},
"creationTime": 1605788649.95,
"endTime": 1606988660.846,
"experimentTemplateId": "ABCDE1fgHIJkLmNop",
"id": "ABCDE1fgHIJkLmNop",
"roleArn": "arn:aws:iam::111122223333:role/AllowFISActions",
"startTime": 1605788650.109,
"state": {
"reason": "Experiment stopped",
"status": "stopping"
},
"stopConditions": [
{
"source": "aws:cloudwatch:alarm",
"value": "arn:aws:cloudwatch:us-east-1:111122223333:alarm:example"
}
],
"tags": {},
"targets": {
"ExampleTag1": {
"resourceTags": {
"Example": "tag1"
},
"resourceType": "aws:ec2:instance",
"selectionMode": "RANDOM(1)"
},
"ExampleTag2": {
"resourceTags": {
"Example": "tag2"
},
"resourceType": "aws:ec2:instance",
"selectionMode": "RANDOM(1)"
}
}
}
},
"requestID": "1abcd23e-f4gh-567j-klm8-9np01q234r56",
"eventID": "1234a56b-c78d-9e0f-g1h2-34jk56m7n890",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
以下是 AWS FIS 在包含 FIS 操作的实验中调用的 API 操作的示例 CloudTrail 日志条目。`aws:ssm:send-command` AWS `userIdentity` 元素反映了使用临时凭证发出的请求,此凭证可通过代入角色获得。`userName` 会显示代入角色的名称。实验的 ID EXP21n T17 WMz a6dNugz 出现在假设角色的 ARN 中并`principalId`作为其一部分出现。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROATZZZ4JPIXUEXAMPLE:EXP21nT17WMzA6dnUgz",
"arn": "arn:aws:sts::111122223333:assumed-role/AllowActions/EXP21nT17WMzA6dnUgz",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROATZZZ4JPIXUEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/AllowActions",
"accountId": "111122223333",
"userName": "AllowActions"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-05-30T13:23:19Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "fis.amazonaws.com"
},
"eventTime": "2022-05-30T13:23:19Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "ListCommands",
"awsRegion": "us-east-2",
"sourceIPAddress": "fis.amazonaws.com",
"userAgent": "fis.amazonaws.com",
"requestParameters": {
"commandId": "51dab97f-489b-41a8-a8a9-c9854955dc65"
},
"responseElements": null,
"requestID": "23709ced-c19e-471a-9d95-cf1a06b50ee6",
"eventID": "145fe5a6-e9d5-45cc-be25-b7923b950c83",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```