本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# CloudTrail 概念
本節摘要說明與 CloudTrail 相關的基本概念。
**Topics**
+ [CloudTrail 事件](#cloudtrail-concepts-events)
+ [事件歷史記錄](#cloudtrail-concepts-event-history)
+ [線索](#cloudtrail-concepts-trails)
+ [組織追蹤](#cloudtrail-concepts-trails-org)
+ [CloudTrail Lake 和事件資料存放區](#cloudtrail-concepts-lake)
+ [CloudTrail Insights](#understanding-insight-selectors)
+ [Tags (標籤)](#cloudtrail-concepts-tags)
+ [AWS Security Token Service 和 CloudTrail](#cloudtrail-concepts-sts-regionalization)
+ [全球服務事件](#cloudtrail-concepts-global-service-events)
## CloudTrail 事件
CloudTrail 中的事件是 AWS 帳戶中活動的記錄。此活動可以是 CloudTrail 得以監控之 IAM 身分或服務所採取的動作。CloudTrail 事件提供透過 AWS 管理主控台、 AWS SDKs、命令列工具和其他 AWS 服務進行的 API 和非 API 帳戶活動的歷史記錄。
CloudTrail 日誌檔案不是公有 API 呼叫的已排序堆疊追蹤,因此事件不會以任何特定順序顯示。
CloudTrail 會記錄四種類型的事件:
+ [管理事件](#cloudtrail-concepts-management-events)
+ [資料事件](#cloudtrail-concepts-data-events)
+ [網路活動事件](#cloudtrail-concepts-network-events)
+ [Insights 事件](#cloudtrail-concepts-insights-events)
所有事件類型都使用 CloudTrail JSON 日誌格式。
依預設,追蹤和事件資料存放區會記錄管理事件,但不會記錄資料或 Insights 事件。
如需如何與 CloudTrail AWS 服務 整合的資訊,請參閱 [AWS CloudTrail 的服務主題](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-list)。
### 管理事件
管理事件提供有關對 AWS 帳戶中資源執行的管理操作的資訊。這些也稱為控制平面操作**。
範例管理事件包含:
+ 設定安全性 (例如 API AWS Identity and Access Management `AttachRolePolicy` 操作)。
+ 註冊裝置 (例如,Amazon EC2 `CreateDefaultVpc` API 操作)。
+ 設定規則以路由資料 (例如,Amazon EC2 `CreateSubnet` API 操作)。
+ 設定記錄 (例如 API AWS CloudTrail `CreateTrail` 操作)。
管理事件也可以包含您帳戶中發生的非 API 事件。例如,當使用者登入您的帳戶時,CloudTrail 就會記錄 `ConsoleLogin` 事件的日誌。如需詳細資訊,請參閱[CloudTrail 擷取的非 API 事件](cloudtrail-non-api-events.md)。
根據預設,CloudTrail 追蹤和 CloudTrail Lake 事件資料會存放日誌管理事件。如需記錄管理事件的詳細資訊,請參閱 [記錄管理事件](logging-management-events-with-cloudtrail.md)。
### 資料事件
資料事件提供在資源上執行或於資源中執行之資源操作的相關資訊。這些也稱為資料平面操作**。資料事件通常是大量資料的活動。
範例資料事件包含:
+ [S3 儲存貯體中物件的 Amazon S3 物件層級 API 活動](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) (例如,`DeleteObject`、 `GetObject`和 `PutObject` API 操作)。 S3
+ AWS Lambda 函數執行活動 ( `Invoke` API)。
+ 用於記錄 AWS外部事件的 [CloudTrail Lake 通道](query-event-data-store-integration.md)上的 CloudTrail [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) 活動。
+ 主題上的 Amazon SNS [https://docs.aws.amazon.com/sns/latest/api/API_Publish.html](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) 和 [https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html](https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html) API 操作。
下表顯示線索和事件資料存放區可用的資源類型。**資源類型 (主控台)** 欄會在主控台中顯示適當的選擇。**resources.type 值**欄會顯示您要指定的`resources.type`值,以使用 AWS CLI 或 CloudTrail APIs 在線索或事件資料存放區中包含該類型的資料事件。
對於線索,您可以使用基本或進階事件選取器,在一般用途儲存貯體、Lambda 函數和 DynamoDB 資料表中記錄 Amazon S3 物件的資料事件 (如資料表的前三列所示)。您只能使用進階事件選取器來記錄剩餘資料列中顯示的資源類型。
對於事件資料存放區,您只能使用進階事件選取器來包含資料事件。
#### 支援的資料事件 AWS CloudTrail
****
| AWS 服務 | Description | 資源類型 (主控台) | resources.type 值 |
| --- | --- | --- | --- |
| Amazon RDS | 資料庫叢集上的 [Amazon RDS API 活動](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html#logging-using-cloudtrail-data-api.including-excluding-cloudtrail-events)。 | RDS 資料 API - 資料庫叢集 | AWS::RDS::DBCluster |
| Amazon S3 | 一般用途儲存貯體中物件的 [Amazon S3 物件層級 API 活動](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) (例如 `DeleteObject`、 `GetObject`和 `PutObject` API 操作)。 | S3 | AWS::S3::Object |
| Amazon S3 | 存取點上的 [Amazon S3 API 活動](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)。 | S3 存取點 | AWS::S3::AccessPoint |
| Amazon S3 | 目錄儲存貯體中物件的 [Amazon S3 物件層級 API 活動](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) (例如 `DeleteObject`、 `GetObject`和 `PutObject` API 操作)。 | S3 Express | AWS::S3Express::Object |
| Amazon S3 | [Amazon S3 Object Lambda 存取點 API 活動](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events),例如對 `CompleteMultipartUpload`和 的呼叫`GetObject`。 | S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | 磁碟區上的 Amazon FSx API 活動。 | FSx 磁碟區 | AWS::FSx::Volume |
| Amazon S3 Tables | [資料表](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-create.html)上的 Amazon S3 API 活動。 | S3 資料表 | AWS::S3Tables::Table |
| Amazon S3 Tables | [資料表儲存貯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-buckets.html)體上的 Amazon S3 API 活動。 | S3 資料表儲存貯體 | AWS::S3Tables::TableBucket |
| Amazon S3 Vectors | [向量儲存貯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-buckets.html)體上的 Amazon S3 API 活動。 | S3 向量儲存貯體 | AWS::S3Vectors::VectorBucket |
| Amazon S3 Vectors | [向量索引](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-indexes.html)上的 Amazon S3 API 活動。 | S3 向量索引 | AWS::S3Vectors::Index |
| Amazon S3 on Outposts | [Outposts 上 Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) 物件層級的 API 活動。 | S3 Outposts | AWS::S3Outposts::Object |
| Amazon SNS | 平台端點上的 Amazon SNS [https://docs.aws.amazon.com/sns/latest/api/API_Publish.html](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) API 操作。 | SNS 平台端點 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 主題上的 Amazon SNS [https://docs.aws.amazon.com/sns/latest/api/API_Publish.html](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) 和 [https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html](https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html) API 操作。 | SNS 主題 | AWS::SNS::Topic |
| Amazon SQS | 訊息上的 [Amazon SQS API 活動](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-logging-using-cloudtrail.html#sqs-data-events-in-cloud-trail)。 | SQS | AWS::SQS::Queue |
| Supply Chain | Supply Chain 執行個體上的 API 活動。 | 供應鏈 | AWS::SCN::Instance |
| Amazon SWF | [網域](https://docs.aws.amazon.com/amazonswf/latest/developerguide/swf-dev-domains.html)上的 [Amazon SWF API 活動](https://docs.aws.amazon.com/amazonswf/latest/developerguide/ct-logging.html#cloudtrail-data-events)。 | SWF 網域 | AWS::SWF::Domain |
| AWS AppConfig | 組態操作的 [AWS AppConfig API 活動](https://docs.aws.amazon.com/appconfig/latest/userguide/logging-using-cloudtrail.html#appconfig-data-events-cloudtrail),例如呼叫 `StartConfigurationSession`和 `GetLatestConfiguration`。 | AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | AppSync GraphQL API APIs [AWS AppSync 活動](https://docs.aws.amazon.com/appsync/latest/devguide/cloudtrail-logging.html#cloudtrail-data-events)。 | AppSync GraphQL | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | 叢集資源上的 Amazon Aurora DSQL API 活動。 | Amazon Aurora DSQL | AWS::DSQL::Cluster |
| AWS B2B 資料交換 | 用於轉換器作業的 B2B 資料交換 API 活動,例如呼叫 `GetTransformerJob` 和 `StartTransformerJob`。 | B2B 資料交換 | AWS::B2BI::Transformer |
| AWS Backup | AWS Backup 在搜尋任務上搜尋資料 API 活動。 | AWS Backup 搜尋資料 APIs | AWS::Backup::SearchJob |
| Amazon Bedrock | 代理程式別名上的 [Amazon Bedrock API 活動](https://docs.aws.amazon.com/bedrock/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | Bedrock 代理程式別名 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 非同步調用上的 Amazon Bedrock API 活動。 | Bedrock 非同步調用 | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | 流程別名上的 Amazon Bedrock API 活動。 | Bedrock 流程別名 | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | 護欄上的 Amazon Bedrock API 活動。 | Bedrock 護欄 | AWS::Bedrock::Guardrail |
| Amazon Bedrock | 內嵌代理程式上的 Amazon Bedrock API 活動。 | Bedrock 調用內嵌代理程式 | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | 知識庫中的 [Amazon Bedrock API 活動](https://docs.aws.amazon.com/bedrock/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | Bedrock 知識庫 | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | 模型上的 Amazon Bedrock API 活動。 | Bedrock 模型 | AWS::Bedrock::Model |
| Amazon Bedrock | 提示上的 Amazon Bedrock API 活動。 | Bedrock 提示 | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | 工作階段上的 Amazon Bedrock API 活動。 | Bedrock 工作階段 | AWS::Bedrock::Session |
| Amazon Bedrock | 流程執行上的 Amazon Bedrock API 活動。 | Bedrock 流程執行 | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | 自動推理政策上的 Amazon Bedrock API 活動。 | Bedrock 自動化推理政策 | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | 自動推理政策版本的 Amazon Bedrock API 活動。 | Bedrock 自動化推理政策版本 | AWS::Bedrock::AutomatedReasoningPolicyVersion |
| Amazon Bedrock | Amazon Bedrock 資料自動化專案 API 活動。 | **Bedrock 資料自動化專案** | `AWS::Bedrock::DataAutomationProject` |
| Amazon Bedrock | Bedrock 資料自動化調用 API 活動。 | **Bedrock 資料自動化調用** | `AWS::Bedrock::DataAutomationInvocation` |
| Amazon Bedrock | Amazon Bedrock 資料自動化設定檔 API 活動。 | **Bedrock 資料自動化設定檔** | `AWS::Bedrock::DataAutomationProfile` |
| Amazon Bedrock | Amazon Bedrock 藍圖 API 活動。 | **Bedrock 藍圖** | `AWS::Bedrock::Blueprint` |
| Amazon Bedrock | Amazon Bedrock Code-Interpreter API 活動。 | **Bedrock-AgentCore Code-Interpreter** | `AWS::BedrockAgentCore::CodeInterpreter` |
| Amazon Bedrock | Amazon Bedrock 瀏覽器 API 活動。 | **Bedrock-AgentCore 瀏覽器** | `AWS::BedrockAgentCore::Browser` |
| Amazon Bedrock | Amazon Bedrock 工作負載身分 API 活動。 | **Bedrock-AgentCore 工作負載身分** | `AWS::BedrockAgentCore::WorkloadIdentity` |
| Amazon Bedrock | Amazon Bedrock 工作負載身分目錄 API 活動。 | **Bedrock-AgentCore 工作負載身分目錄** | `AWS::BedrockAgentCore::WorkloadIdentityDirectory` |
| Amazon Bedrock | Amazon Bedrock Token Vault API 活動。 | **Bedrock-AgentCore 權杖保存庫** | `AWS::BedrockAgentCore::TokenVault` |
| Amazon Bedrock | Amazon Bedrock APIKey CredentialProvider API 活動。 | **Bedrock-AgentCore APIKey CredentialProvider** | `AWS::BedrockAgentCore::APIKeyCredentialProvider` |
| Amazon Bedrock | Amazon Bedrock 執行時間 API 活動。 | **Bedrock-AgentCore 執行期** | `AWS::BedrockAgentCore::Runtime` |
| Amazon Bedrock | Amazon Bedrock Runtime-Endpoint API 活動。 | **Bedrock-AgentCore 執行時間端點** | `AWS::BedrockAgentCore::RuntimeEndpoint` |
| Amazon Bedrock | Amazon Bedrock Gateway API 活動。 | **Bedrock-AgentCore 閘道** | `AWS::BedrockAgentCore::Gateway` |
| Amazon Bedrock | Amazon Bedrock 記憶體 API 活動。 | **Bedrock-AgentCore 記憶體** | `AWS::BedrockAgentCore::Memory` |
| Amazon Bedrock | Amazon Bedrock Oauth2 CredentialProvider API 活動。 | **Bedrock-AgentCore Oauth2 CredentialProvider** | `AWS::BedrockAgentCore::OAuth2CredentialProvider` |
| Amazon Bedrock | Amazon Bedrock 瀏覽器自訂 API 活動。 | **Bedrock-AgentCore 瀏覽器自訂** | `AWS::BedrockAgentCore::BrowserCustom` |
| Amazon Bedrock | Amazon Bedrock Code-Interpreter-Custom API 活動。 | **Bedrock-AgentCore Code-Interpreter-Custom** | `AWS::BedrockAgentCore::CodeInterpreterCustom` |
| Amazon Bedrock | Amazon Bedrock Tool API 活動。 | Bedrock 工具 | AWS::Bedrock::Tool |
| AWS Cloud Map | [命名空間](https://docs.aws.amazon.com/cloud-map/latest/api/API_Namespace.html)上的 [AWS Cloud Map API 活動](https://docs.aws.amazon.com/cloud-map/latest/dg/cloudtrail-data-events.html)。 | AWS Cloud Map 命名空間 | AWS::ServiceDiscovery::Namespace |
| AWS Cloud Map | [服務](https://docs.aws.amazon.com/cloud-map/latest/api/API_Service.html)上的 [AWS Cloud Map API 活動](https://docs.aws.amazon.com/cloud-map/latest/dg/cloudtrail-data-events.html)。 | AWS Cloud Map 服務 | AWS::ServiceDiscovery::Service |
| Amazon CloudFront | [https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_KeyValueStore.html](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_KeyValueStore.html) 上的 CloudFront API 活動。 | CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS CloudTrail | 用於記錄 AWS外部事件的 [CloudTrail Lake 通道](query-event-data-store-integration.md)上的 CloudTrail [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) 活動。 | CloudTrail 頻道 | AWS::CloudTrail::Channel |
| Amazon CloudWatch | 指標上的 [Amazon CloudWatch API 活動](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html#CloudWatch-data-plane-events)。 | CloudWatch 指標 | AWS::CloudWatch::Metric |
| Amazon CloudWatch 網路流量監控 | 監控上的 Amazon CloudWatch Network Flow Monitor API 活動。 | 網路流量監控監視器 | AWS::NetworkFlowMonitor::Monitor |
| Amazon CloudWatch 網路流量監控 | 範圍上的 Amazon CloudWatch Network Flow Monitor API 活動。 | 網路流量監控範圍 | AWS::NetworkFlowMonitor::Scope |
| Amazon CloudWatch RUM | 應用程式監視器上的 Amazon CloudWatch RUM API 活動。 | RUM 應用程式監控 | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | 分析群組上的 CodeGuru Profiler API 活動。 | CodeGuru Profiler 分析群組 | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | 自訂上的 Amazon CodeWhisperer API 活動。 | CodeWhisperer 自訂 | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | 設定檔上的 Amazon CodeWhisperer API 活動。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Amazon Cognito [身分集區](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-info-in-cloudtrail.html#identity-pools-cloudtrail-events)上的 Amazon Cognito API 活動。 | Cognito 身分池 | AWS::Cognito::IdentityPool |
| AWS Data Exchange | AWS Data Exchange 資產上的 API 活動。 | **Data Exchange 資產** | `AWS::DataExchange::Asset` |
| Amazon Data Firehose | Amazon Data Firehose 交付串流 API 活動。 | **Amazon Data Firehose** | `AWS::KinesisFirehose::DeliveryStream` |
| AWS Deadline Cloud | [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) 機群上的 API 活動。 | **Deadline Cloud 機群** | `AWS::Deadline::Fleet` |
| AWS Deadline Cloud | [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) 任務上的 API 活動。 | **Deadline Cloud 任務** | `AWS::Deadline::Job` |
| AWS Deadline Cloud | [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) 佇列上的 API 活動。 | **Deadline Cloud 佇列** | `AWS::Deadline::Queue` |
| AWS Deadline Cloud | [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) 工作者上的 API 活動。 | **Deadline Cloud 工作者** | `AWS::Deadline::Worker` |
| Amazon DynamoDB | 資料表上的 [Amazon DynamoDB 項目層級 API 活動](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail) (例如 `DeleteItem`、 `PutItem`和 `UpdateItem` API 操作)。 對於已啟用串流的資料表,資料事件中的 `resources` 欄位會同時包含 `AWS::DynamoDB::Stream` 和 `AWS::DynamoDB::Table`。如果您指定 `AWS::DynamoDB::Table` 作為 `resources.type`,則會根據預設同時記錄 DynamoDB 資料表和 DynamoDB 串流事件。若要排除[串流事件](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail),請在 `eventName` 欄位上新增篩選條件。 | DynamoDB | `AWS::DynamoDB::Table` |
| Amazon DynamoDB | 串流上的 [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail) API 活動。 | DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | [Amazon Elastic Block Store (EBS)](https://docs.aws.amazon.com/ebs/latest/userguide/logging-ebs-apis-using-cloudtrail.html) direct API,例如 Amazon EBS 快照上的 `PutSnapshotBlock`、`GetSnapshotBlock`,以及 `ListChangedBlocks`。 | Amazon EBS direct API | AWS::EC2::Snapshot |
| Amazon Elastic Compute Cloud | Amazon EC2 執行個體連接端點 API 活動。 | **EC2 執行個體連線端點** | `AWS::EC2::InstanceConnectEndpoint` |
| Amazon Elastic Container Service | 容器執行個體上的 Amazon Elastic Container Service API 活動。 | ECS 容器執行個體 | AWS::ECS::ContainerInstance |
| Amazon Elastic Kubernetes Service | 儀表板上的 Amazon Elastic Kubernetes Service API 活動。 | Amazon Elastic Kubernetes Service 儀表板 | AWS::EKS::Dashboard |
| Amazon EMR | 預先寫入日誌工作區上的 [Amazon EMR API 活動](https://docs.aws.amazon.com/emr/latest/ManagementGuide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | EMR 預寫日誌工作區 | AWS::EMRWAL::Workspace |
| AWS 最終使用者傳訊簡訊 | 起始身分上的[AWS 最終使用者簡訊 SMS](https://docs.aws.amazon.com/sms-voice/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活動。 | SMS 語音來源身分 | AWS::SMSVoice::OriginationIdentity |
| AWS 最終使用者傳訊簡訊 | 訊息上的最終[AWS 使用者簡訊 SMS](https://docs.aws.amazon.com/sms-voice/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活動。 | SMS 語音訊息 | AWS::SMSVoice::Message |
| AWS 最終使用者傳訊社交 | 電話號碼 IDs 上的[AWS 最終使用者傳訊社交](https://docs.aws.amazon.com/social-messaging/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活動。 | 社交訊息電話號碼 ID | AWS::SocialMessaging::PhoneNumberId |
| AWS 最終使用者傳訊社交 | AWS Waba IDs 上的最終使用者傳訊社交 API 活動。 | 社交訊息 Waba ID | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | 環境上的 [Amazon FinSpace](https://docs.aws.amazon.com/finspace/latest/userguide/logging-cloudtrail-events.html#finspace-dataplane-events) API 活動。 | FinSpace | AWS::FinSpace::Environment |
| Amazon GameLift Streams | 應用程式上的 Amazon GameLift Streams [串流 API 活動](https://docs.aws.amazon.com/gameliftstreams/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | GameLift Streams 應用程式 | AWS::GameLiftStreams::Application |
| Amazon GameLift Streams | 串流群組上的 Amazon GameLift Streams [串流 API 活動](https://docs.aws.amazon.com/gameliftstreams/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | GameLift Streams 串流群組 | AWS::GameLiftStreams::StreamGroup |
| AWS Glue | AWS Glue Lake Formation 所建立資料表上的 API 活動。 | Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | [偵測器](https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html#guardduty-data-events-in-cloudtrail)的 Amazon GuardDuty API 活動。 | GuardDuty 偵測器 | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging 資料存放區上的 API 活動。 | MedicalImaging 資料存放區 | AWS::MedicalImaging::Datastore |
| AWS HealthImaging | AWS HealthImaging 映像集 API 活動。 | **MedicalImaging 影像集** | `AWS::MedicalImaging::Imageset` |
| AWS IoT | [憑證](https://docs.aws.amazon.com/iot/latest/developerguide/x509-client-certs.html)上的 [AWS IoT API 活動](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 | IoT 憑證 | AWS::IoT::Certificate |
| AWS IoT | [物件](https://docs.aws.amazon.com/iot/latest/developerguide/thing-registry.html)上的 [AWS IoT API 活動](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 | IoT 物件 | AWS::IoT::Thing |
| AWS IoT Greengrass Version 2 | 元件版本上來自 Greengrass 核心裝置的 Greengrass [API 活動](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 Greengrass 不會記錄存取遭拒的事件。 | IoT Greengrass 元件版本 | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | 部署上來自 Greengrass 核心裝置的 Greengrass [API 活動](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 Greengrass 不會記錄存取遭拒的事件。 | IoT Greengrass 部署 | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | [資產](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAsset.html)上的 [IoT SiteWise API 活動](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | IoT SiteWise 資產 | AWS::IoTSiteWise::Asset |
| AWS IoT SiteWise | [時間序列](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html)上的 [IoT SiteWise API 活動](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | IoT SiteWise 時間序列 | AWS::IoTSiteWise::TimeSeries |
| AWS IoT SiteWise 助理 | 對話上的 Sitewise Assistant API 活動。 | Sitewise 助理對話 | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | [實體](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateEntity.html)上的 IoT TwinMaker API 活動。 | IoT TwinMaker 實體 | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | [工作區](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateWorkspace.html)上的 IoT TwinMaker API 活動。 | IoT TwinMaker 工作區 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | [重新評分執行計畫](https://docs.aws.amazon.com/kendra/latest/dg/cloudtrail-intelligent-ranking.html#cloud-trail-intelligent-ranking-log-entry)上的 Amazon Kendra Intelligent Ranking API 活動。 | Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (適用於 Apache Cassandra) | 資料表上的 [Amazon Keyspaces API 活動](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html#keyspaces-in-cloudtrail-dml)。 | Cassandra 資料表 | AWS::Cassandra::Table |
| Amazon Keyspaces (適用於 Apache Cassandra) | Cassandra CDC 串流上的 Amazon Keyspaces (適用於 Apache Cassandra) API 活動。 | Cassandra CDC 串流 | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | [串流](https://docs.aws.amazon.com/streams/latest/dev/working-with-streams.html)上的 Kinesis Data Streams API 活動。 | Kinesis 串流 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | [串流消費者](https://docs.aws.amazon.com/streams/latest/dev/building-consumers.html)上的 Kinesis Data Streams API 活動。 | Kinesis 串流消費者 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | 視訊串流上的 Kinesis Video Streams API 活動,例如對 GetMedia和 的呼叫PutMedia。 | Kinesis 視訊串流 | AWS::KinesisVideo::Stream |
| Amazon Kinesis Video Streams | Kinesis Video Streams 影片訊號頻道 API 活動。 | **Kinesis 影片訊號頻道** | `AWS::KinesisVideo::SignalingChannel` |
| AWS Lambda | AWS Lambda 函數執行活動 ( `Invoke` API)。 | Lambda | AWS::Lambda::Function |
| Amazon Location Maps | Amazon Location Maps API 活動。 | 地理地圖 | AWS::GeoMaps::Provider |
| Amazon Location Places | Amazon Location Places API 活動。 | 地理位置 | AWS::GeoPlaces::Provider |
| Amazon Location Routes | Amazon Location Routes API 活動。 | Geo Routes | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | ML 模型上的Machine Learning API 活動。 | 修補 Learning MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 網路上的 Amazon Managed Blockchain API 活動。 | Managed Blockchain 網路 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Ethereum 節點上的 [Amazon Managed Blockchain](https://docs.aws.amazon.com/managed-blockchain/latest/ethereum-dev/logging-using-cloudtrail.html#ethereum-jsonrpc-logging) JSON-RPC 呼叫,例如 `eth_getBalance` 或 `eth_getBlockByNumber`。 | Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain Query | Amazon Managed Blockchain Query API 活動。 | 受管區塊鏈查詢 | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | 環境上的 Amazon MWAA API 活動。 | 受管 Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune 圖形 | Neptune 圖形上的資料 API 活動,例如查詢、演算法或向量搜尋。 | Neptune 圖形 | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | UKey 上的 Amazon One Enterprise API 活動。 | Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | 使用者上的 Amazon One Enterprise API 活動。 | Amazon One 使用者 | AWS::One::User |
| AWS Payment Cryptography | AWS Payment Cryptography 別名上的 API 活動。 | 付款密碼編譯別名 | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | AWS Payment Cryptography 金鑰上的 API 活動。 | 付款密碼編譯金鑰 | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | 行動目標應用程式上的 Amazon Pinpoint API 活動。 | 行動目標應用程式 | AWS::Pinpoint::App |
| AWS 私有 CA | AWS 私有 CA 適用於 Active Directory API 活動的連接器。 | AWS 私有 CA 適用於 Active Directory 的連接器 | AWS::PCAConnectorAD::Connector |
| AWS 私有 CA | AWS 私有 CA Connector for SCEP API 活動。 | AWS 私有 CA 適用於 SCEP 的連接器 | AWS::PCAConnectorSCEP::Connector |
| Amazon Q Apps | [Amazon Q 應用程式](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/purpose-built-qapps.html)上的資料 API 活動。 | Amazon Q 應用程式 | AWS::QApps::QApp |
| Amazon Q Apps | Amazon Q App 工作階段上的資料 API 活動。 | Amazon Q 應用程式工作階段 | AWS::QApps::QAppSession |
| Amazon Q Business | 應用程式上的 [Amazon Q Business API 活動](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 應用程式 | AWS::QBusiness::Application |
| Amazon Q Business | 資料來源上的 [Amazon Q Business API 活動](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 資料來源 | AWS::QBusiness::DataSource |
| Amazon Q Business | 索引上的 [Amazon Q Business API 活動](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 索引 | AWS::QBusiness::Index |
| Amazon Q Business | Web 體驗上的 [Amazon Q Business API 活動](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business Web 體驗 | AWS::QBusiness::WebExperience |
| Amazon Q Business | Amazon Q Business 整合 API 活動。 | **Amazon Q Business 整合** | `AWS::QBusiness::Integration` |
| Amazon Q Developer | 整合上的 Amazon Q Developer API 活動。 | Q 開發人員整合 | AWS::QDeveloper::Integration |
| Amazon Q Developer | 有關操作調查的 [Amazon Q Developer API 活動](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html#Q-Developer-Investigations-Cloudtrail)。 | AIOps 調查群組 | AWS::AIOps::InvestigationGroup |
| Amazon Quick | 動作連接器上的 Amazon Quick API 活動。 | AWS QuickSuite 動作 | AWS::Quicksight::ActionConnector |
| Amazon Quick | Amazon Quick Flow API 活動。 | **QuickSight 流程** | `AWS::QuickSight::Flow` |
| Amazon Quick | Amazon Quick FlowSession API 活動。 | **QuickSight 流程工作階段** | `AWS::QuickSight::FlowSession` |
| Amazon SageMaker AI | 端點上的 Amazon SageMaker AI [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpointWithResponseStream.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpointWithResponseStream.html)活動。 | SageMaker AI 端點 | AWS::SageMaker::Endpoint |
| Amazon SageMaker AI | 功能存放區上的 Amazon SageMaker AI API 活動。 | SageMaker AI 功能存放區 | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker AI | [實驗試驗元件](https://docs.aws.amazon.com/sagemaker/latest/dg/experiments-monitoring.html)上的 Amazon SageMaker AI API 活動。 | SageMaker AI 指標實驗試驗元件 | AWS::SageMaker::ExperimentTrialComponent |
| Amazon SageMaker AI | Amazon SageMaker AI MLflow API 活動。 | **SageMaker MLflow** | `AWS::SageMaker::MlflowTrackingServer` |
| AWS Signer | 簽署任務時的簽署者 API 活動。 | 簽署者簽署任務 | AWS::Signer::SigningJob |
| AWS Signer | 簽署設定檔時的簽署者 API 活動。 | 簽署者簽署設定檔 | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | 組態集上的 Amazon Simple Email Service (Amazon SES) API 活動。 | SES 組態設定 | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | 電子郵件身分上的 Amazon Simple Email Service (Amazon SES) API 活動。 | SES 身分 | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | 範本上的 Amazon Simple Email Service (Amazon SES) API 活動。 | SES 範本 | AWS::SES::Template |
| Amazon SimpleDB | 網域上的 Amazon SimpleDB API 活動。 | SimpleDB 網域 | AWS::SDB::Domain |
| AWS Step Functions | [Step Functions API 活動](https://docs.aws.amazon.com/step-functions/latest/dg/procedure-cloud-trail.html#cloudtrail-data-events)。 | 步驟函數 | AWS::StepFunctions::Activity |
| AWS Step Functions | 在狀態機器上的 [Step Functions API 活動](https://docs.aws.amazon.com/step-functions/latest/dg/procedure-cloud-trail.html#cloudtrail-data-events)。 | Step Functions 狀態機器 | AWS::StepFunctions::StateMachine |
| AWS Systems Manager | 控制頻道上的 [Systems Manager API 活動](https://docs.aws.amazon.com/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html#cloudtrail-data-events)。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | 影響評估上的 Systems Manager API 活動。 | SSM 影響評估 | AWS::SSM::ExecutionPreview |
| AWS Systems Manager | 受管節點上的 [Systems Manager API 活動](https://docs.aws.amazon.com/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html#cloudtrail-data-events)。 | Systems Manager 受管節點 | AWS::SSM::ManagedNode |
| Amazon Timestream | 資料庫上的 Amazon Timestream [https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html) API 活動。 | Timestream 資料庫 | AWS::Timestream::Database |
| Amazon Timestream | 區域端點上的 Amazon Timestream API 活動。 | Timestream 區域端點 | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | 資料庫上的 Amazon Timestream [https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html) API 活動。 | Timestream 資料表 | AWS::Timestream::Table |
| Amazon Verified Permissions | 政策存放區上的 Amazon Verified Permissions API 活動。 | Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces 精簡型客戶端 | 裝置上的 WorkSpaces 精簡型客戶端 API 活動。 | 精簡型客戶端裝置 | AWS::ThinClient::Device |
| Amazon WorkSpaces 精簡型客戶端 | 環境上的 WorkSpaces 精簡型客戶端 API 活動。 | 精簡型客戶端環境 | AWS::ThinClient::Environment |
| AWS X-Ray | [追蹤](https://docs.aws.amazon.com/xray/latest/devguide/xray-concepts.html#xray-concepts-traces)上的 [X-Ray API 活動](https://docs.aws.amazon.com/xray/latest/devguide/xray-api-cloudtrail.html#cloudtrail-data-events)。 | X-Ray 追蹤 | AWS::XRay::Trace |
| Amazon AIDevOps | 代理程式空間上的 AIDevOps API 活動。 | 客服人員空間 | AWS::AIDevOps::AgentSpace |
| Amazon AIDevOps | 關聯上的 AIDevOps API 活動。 | AIDevOps 關聯 | AWS::AIDevOps::Association |
| Amazon AIDevOps | 操作員應用程式團隊上的 AIDevOps API 活動。 | AIDevOps 運算子應用程式團隊 | AWS::AIDevOps::OperatorAppTeam |
| Amazon AIDevOps | 管道中繼資料上的 AIDevOps API 活動。 | AIDevOps 管道中繼資料 | AWS::AIDevOps::PipelineMetadata |
| Amazon AIDevOps | 服務上的 AIDevOps API 活動。 | AIDevOps 服務 | AWS::AIDevOps::Service |
| Amazon Bedrock | 進階最佳化提示任務上的 Bedrock API 活動。 | AdvancedOptimizePromptJob | AWS::Bedrock::AdvancedOptimizePromptJob |
| Amazon Bedrock AgentCore | 評估者上的 Bedrock AgentCore API 活動。 | Bedrock-AgentCore 評估器 | AWS::BedrockAgentCore::Evaluator |
| Amazon 成本最佳化 | 設定檔上的 CloudOptimization API 活動。 | CloudOptimization 設定檔 | AWS::CloudOptimization::Profile |
| Amazon 成本最佳化 | 建議的 CloudOptimization API 活動。 | CloudOptimization 建議 | AWS::CloudOptimization::Recommendation |
| Amazon GuardDuty | 惡意軟體掃描上的 GuardDuty API 活動。 | GuardDuty 惡意軟體掃描 | AWS::GuardDuty::MalwareScan |
| Amazon NovaAct | 工作流程定義的 Amazon NovaAct API 活動。 | 工作流程定義 | AWS::NovaAct::WorkflowDefinition |
| Amazon NovaAct | 工作流程執行上的 Amanzon NovaAct API 活動。 | 工作流程執行 | AWS::NovaAct::WorkflowRun |
| Amazon Redshift | 叢集上的 Redshift API 活動。 | Amazon Redshift 叢集 | AWS::Redshift::Cluster |
| Amazon Support | 租用戶上的 SupportAccess API 活動。 | SupportAccess 租用戶 | AWS::SupportAccess::Tenant |
| Amazon Support | 信任帳戶的 SupportAccess API 活動。 | SupportAccess 信任帳戶 | AWS::SupportAccess::TrustingAccount |
| Amazon Support | 信任角色的 SupportAccess API 活動。 | SupportAccess 信任角色 | AWS::SupportAccess::TrustingRole |
| Amazon 轉換 | 轉換代理程式執行個體上的 API 活動。 | 轉換代理程式執行個體 | AWS::Transform::AgentInstance |
| Amazon 轉換自訂 | 轉換行銷活動上的自訂 API 活動。 | Transform-Custom 行銷活動 | AWS::TransformCustom::Campaign |
| Amazon 轉換自訂 | 在對話上轉換自訂 API 活動。 | 轉換自訂對話 | AWS::TransformCustom::Conversation |
| Amazon 轉換自訂 | 在知識項目上轉換自訂 API 活動。 | Transform-Custom 知識項目 | AWS::TransformCustom::KnowledgeItem |
| Amazon 轉換自訂 | 轉換套件上的自訂 API 活動。 | Transform-Custom 套件 | AWS::TransformCustom::Package |
依預設,在您建立追蹤或事件資料存放區時,不會記錄資料事件。若要記錄 CloudTrail 資料事件,您必須明確新增要收集活動的每個資源類型。如需有關記錄資料事件的詳細資訊,請參閱 [記錄資料事件](logging-data-events-with-cloudtrail.md)。
記錄資料事件需支付額外的費用。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
### 網路活動事件
CloudTrail 網路活動事件可讓 VPC 端點擁有者記錄使用其 VPC 端點從私有 VPC 到 的 AWS API 呼叫 AWS 服務。網路活動事件可讓您了解在 VPC 內執行的資源操作。
您可以記錄下列服務的網路活動事件:
+ AWS AppConfig
+ AWS App Mesh
+ Amazon Athena
+ AWS B2B 資料交換
+ AWS Backup gateway
+ Amazon Bedrock
+ Billing and Cost Management
+ AWS 定價計算工具
+ AWS Cost Explorer
+ AWS 雲端控制 API
+ AWS CloudHSM
+ AWS Cloud Map
+ AWS CloudFormation
+ AWS CloudTrail
+ Amazon CloudWatch
+ CloudWatch Application Signals
+ AWS CodeDeploy
+ Amazon Comprehend Medical
+ AWS Config
+ AWS 資料匯出
+ Amazon Data Firehose
+ AWS Directory Service
+ Amazon DynamoDB
+ Amazon EC2
+ Amazon Elastic Container Service
+ Amazon Elastic File System
+ Elastic Load Balancing
+ Amazon EventBridge
+ Amazon EventBridge 排程器
+ Amazon Fraud Detector
+ AWS 免費方案
+ Amazon FSx
+ AWS Glue
+ AWS HealthLake
+ AWS IoT FleetWise
+ AWS IoT Secure Tunneling
+ AWS Invoicing
+ Amazon Keyspaces (適用於 Apache Cassandra)
+ AWS KMS
+ AWS Lake Formation
+ AWS Lambda
+ AWS License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Personalize
+ Amazon Q Business
+ Amazon Rekognition
+ Amazon Relational Database Service
+ Amazon S3
**注意**
不支援 Amazon S3 [多區域存取點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRequests.html)。
+ Amazon SageMaker AI
+ AWS Secrets Manager
+ Amazon Simple Notification Service
+ Amazon Simple Queue Service
+ Amazon Simple Workflow Service
+ AWS Storage Gateway
+ AWS Systems Manager Incident Manager
+ Amazon Textract
+ Amazon Transcribe
+ Amazon Translate
+ AWS Transform
+ Amazon Verified Permissions
+ Amazon WorkMail
當您建立追蹤或事件資料存放區時,預設不會記錄網路活動事件。若要記錄 CloudTrail 網路活動事件,您必須明確設定要收集活動的事件來源。如需詳細資訊,請參閱[記錄網路活動事件](logging-network-events-with-cloudtrail.md)。
記錄網路活動事件需支付額外費用。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
### Insights 事件
CloudTrail Insights 事件會透過分析 CloudTrail 管理活動,擷取您的 AWS 帳戶中的異常 API 呼叫率或錯誤率活動。Insights 事件會提供相關資訊,例如關聯的 API、錯誤代碼、事件時間及統計資料,以協助您了解並針對異常活動採取行動。與 CloudTrail 追蹤或事件資料存放區中擷取的其他類型的事件不同,只有在 CloudTrail 偵測到帳戶 API 使用情況或錯誤率記錄變化,且與帳戶的一般使用模式有很大差異時,才會記錄 Insights 事件。如需詳細資訊,請參閱[使用 CloudTrail Insights](logging-insights-events-with-cloudtrail.md)。
可能產生 Insights 事件的活動範例包括:
+ 您的帳戶通常每分鐘記錄不超過 20 個 Amazon S3 `deleteBucket` API 呼叫,但是您的帳戶開始記錄到每分鐘平均 100 個 `deleteBucket` API 呼叫。異常活動開始時會記錄 Insights 事件,並記錄另一個 Insights 事件以標示異常的活動結束。
+ 您的帳戶通常每分鐘記錄 20 個 Amazon EC2 `AuthorizeSecurityGroupIngress` API 呼叫,但您的帳戶開始記錄到零個 `AuthorizeSecurityGroupIngress` 呼叫。異常活動開始時會記錄 Insights 事件,並在十分鐘後,當異常活動結束時,記錄另一個 Insights 事件以標示異常的活動結束。
+ 您的帳戶於 7 天內在 AWS Identity and Access Management API 上記錄通常少於一個的 `AccessDeniedException` 錯誤,`DeleteInstanceProfile`。您的帳戶開始在 `DeleteInstanceProfile` API 呼叫中記錄每分鐘 12 個 `AccessDeniedException` 錯誤的平均值。異常錯誤率活動開始時會記錄 Insights 事件,並記錄另一個 Insights 事件以標示異常活動的結束。
這些範例僅供說明之用。您的結果可能會根據您的使用案例而有所不同。
若要記錄 CloudTrail Insights 事件,您必須在新的或現有的追蹤或事件資料存放區上明確啟用 Insights 事件。如需建立線索的詳細資訊,請參閱 [使用 CloudTrail 主控台建立追蹤](cloudtrail-create-a-trail-using-the-console-first-time.md)。如需有關建立事件資料存放區的詳細資訊,請參閱 [使用主控台建立 Insights 事件的事件資料存放區](query-event-data-store-insights.md)。
Insights 事件會產生額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需詳細資訊,請參閱[AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
## 事件歷史記錄
CloudTrail 事件歷史記錄提供過去 90 天發生的 AWS 區域 CloudTrail 管理事件的可檢視、可搜尋、可下載而且不可變的記錄。您可以使用此歷史記錄來了解 AWS 管理主控台、 AWS SDKs、命令列工具和其他 AWS 服務中在您 AWS 帳戶中採取的動作。您可以選取要顯示的欄位,自訂事件歷史記錄在 CloudTrail 主控台中的檢視畫面。如需詳細資訊,請參閱[使用 CloudTrail 事件歷史記錄](view-cloudtrail-events.md)。
## 線索
線索是一種組態,可讓 CloudTrail 事件交付至 S3 儲存貯體,並可選擇性交付至 [CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md) 和 [Amazon EventBridge](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-eventbridge)。您可以使用線索來選擇您要交付的 CloudTrail 事件、使用 AWS KMS 金鑰加密 CloudTrail 事件日誌檔案,以及設定日誌檔案交付的 Amazon SNS 通知。如需建立及管理追蹤的詳細資訊,請參閱[為您的 建立線索 AWS 帳戶](cloudtrail-create-and-update-a-trail.md)。
### 多區域和單一區域追蹤
您可以為 建立多區域和單一區域追蹤 AWS 帳戶。
**多區域追蹤**
當您建立多區域追蹤時,CloudTrail 會在 中[啟用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)的所有 中記錄事件 AWS 區域 , AWS 帳戶 並將 CloudTrail 事件日誌檔案交付至您指定的 S3 儲存貯體。根據最佳實務,我們建議您建立多區域追蹤,因為它會擷取所有啟用區域中的活動。使用 CloudTrail 主控台建立的所有線索都是多區域線索。您可以使用 將單一區域線索轉換為多區域線索 AWS CLI。如需詳細資訊,請參閱[了解多區域追蹤和選擇加入區域](cloudtrail-multi-region-trails.md)、[使用主控台建立追蹤](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console)及[將單一區域追蹤轉換為多區域追蹤](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)。
**單一區域追蹤**
當您建立單一區域追蹤時,CloudTrail 只會記錄該區域中的事件。其接著會將 CloudTrail 事件日誌檔案交付到您指定的 Amazon S3 儲存貯體。您只能使用 AWS CLI建立單一區域追蹤。如果您建立其他單一線索,則可以讓這些線索將 CloudTrail 事件日誌檔案交付到相同的 S3 儲存貯體或單獨的儲存貯體。當您使用 AWS CLI 或 CloudTrail API 建立追蹤時,這是預設選項。如需詳細資訊,請參閱[使用 建立、更新和管理線索 AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli.md)。
**注意**
對於這兩種類型的追蹤,您可以指定來自任何區域的 Amazon S3 儲存貯體。
多區域追蹤具有下列優點:
+ 線索的組態設定會一致地套用至所有[已啟用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) AWS 區域的項目。
+ 您會從單一 Amazon S3 儲存貯 AWS 區域 體中啟用的所有 ,以及選擇性地在 CloudWatch Logs 日誌群組中接收 CloudTrail 事件。
+ 您可以從 AWS 區域 單一位置管理所有啟用的線索組態。
建立多區域追蹤時, 具有下列效果:
+ CloudTrail 會將帳戶活動的日誌檔案從所有[啟用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) AWS 區域 交付至您指定的單一 Amazon S3 儲存貯體,並選擇性地交付至 CloudWatch Logs 日誌群組。
+ 如果您為線索設定了 Amazon SNS 主題,所有啟用的日誌檔案交付 SNS 通知 AWS 區域 都會傳送至該單一 SNS 主題。
+ 您可以在所有啟用的 中看到多區域線索 AWS 區域,但您只能在建立線索的主區域中修改線索。
無論追蹤是多區域或單一區域,傳送至 Amazon EventBridge 的事件都會在每個區域的[事件匯流排](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html)中接收,而不是在單一事件匯流排中接收。
#### 每個區域的多個追蹤
如果您有不同但相關的使用者群組 (例如開發人員、安全人員和 IT 稽核員),則可以為每個區域建立多個追蹤。這可讓每個群組收到各自的日誌檔案副本。
CloudTrail 在每個區域可支援五個追蹤。多區域追蹤計為每個區域一個追蹤。
以下是具有五個線索的區域範例:
+ 您在美國西部 (加利佛尼亞北部) 區域中建立只套用至此區域的兩個追蹤。
+ 您在美國西部 (加利佛尼亞北部) 區域建立另外兩個多區域線索。
+ 您在亞太區域 (雪梨) 區域建立另一個多區域線索。此追蹤在美國西部 (加利佛尼亞北部) 區域中也以追蹤形式存在。
您可以在 CloudTrail 主控台的追蹤頁面中檢視 中的 AWS 區域 追蹤清單。 ****如需詳細資訊,請參閱[使用 CloudTrail 主控台更新線索](cloudtrail-update-a-trail-console.md)。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
## 組織追蹤
組織追蹤是一種組態,可讓管理帳戶中的 CloudTrail 事件和 AWS Organizations 組織中的所有成員帳戶交付至相同的 Amazon S3 儲存貯體、CloudWatch Logs 和 Amazon EventBridge。建立組織追蹤,有助於您為組織定義一個統一的事件記錄策略。
使用主控台建立的所有組織線索都是多區域組織線索,可從組織中每個成員帳戶中[啟用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) AWS 區域 的 記錄事件。若要在組織的所有 AWS 分割區中記錄事件,請在每個分割區中建立多區域組織追蹤。您可以使用 建立單一區域或多區域組織線索 AWS CLI。如果您建立單一區域追蹤,則只會在追蹤的 AWS 區域 (也稱為*主*區域) 中記錄活動。
雖然您的 預設 AWS 區域 會啟用大多數 AWS 帳戶,但您必須手動啟用特定區域 (也稱為*選擇加入區域*)。如需預設啟用哪些區域的資訊,請參閱《 *AWS 帳戶管理 參考指南*》中的[啟用和停用區域的考量事項](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)。如需 CloudTrail 支援的 區域清單,請參閱 [CloudTrail 支援的區域](cloudtrail-supported-regions.md)。
當您建立組織線索時,會在屬於您組織的成員帳戶中建立具有您指定名稱的線索副本。
+ 如果組織線索適用於**單一區域**,且線索的主區域**不是選擇加入區域**,則會在每個成員帳戶中的組織線索的主區域中建立線索副本。
+ 如果組織線索適用於**單一區域**,且線索的主區域**是選擇加入區域**,則會在已啟用該區域的成員帳戶中的組織線索的主區域中建立線索副本。
+ 如果組織線索是**多區域**,且線索的主區域**不是****選擇加入區域**,則會在每個成員帳戶中啟用的每個 AWS 區域 中建立線索的副本。當成員帳戶啟用選擇加入區域時,會在該區域啟用完成後,在成員帳戶的新選擇區域中建立多區域追蹤的複本。
+ 如果組織線索是**多區域**,而主要區域**是****選擇加入區域**,成員帳戶將不會將活動傳送至組織線索,除非他們選擇加入建立多區域線索 AWS 區域 的 。例如,如果您建立多區域追蹤並選擇歐洲 (西班牙) 區域作為追蹤的主要區域,則只有為其帳戶啟用歐洲 (西班牙) 區域的成員帳戶才會將其帳戶活動傳送至組織追蹤。
**注意**
即使資源驗證失敗,CloudTrail 仍會在成員帳戶中建立組織追蹤。驗證失敗的範例包括:
不正確的 Amazon S3 儲存貯體政策
不正確的 Amazon SNS 主題政策
無法交付至 CloudWatch Logs 日誌群組
使用 KMS 金鑰加密的許可不足
具有 CloudTrail 許可的成員帳戶可以透過在 CloudTrail 主控台上檢視追蹤的詳細資訊頁面,或執行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)命令,來查看組織追蹤的任何驗證失敗。
在成員帳戶中具有 CloudTrail 許可的使用者,當他們從其 AWS 帳戶登入 CloudTrail 主控台時,或當他們執行 AWS CLI 命令時,將能夠查看組織追蹤 (包括追蹤 ARN),例如 `describe-trails`(雖然成員帳戶在使用 時,必須針對組織追蹤使用 ARN,而非名稱 AWS CLI)。不過,成員帳戶中的使用者將沒有足夠的許可來刪除組織線索、開啟或關閉記錄、變更記錄的事件類型,或以任何方式變更組織線索。如需使用 AWS Organizations的詳細資訊,請參閱 [Organizations 術語與概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。如需建立與使用組織追蹤的詳細資訊,請參閱[建立組織追蹤](creating-trail-organization.md)。
## CloudTrail Lake 和事件資料存放區
CloudTrail Lake 可讓您對事件執行精細的 SQL 型查詢,並從外部來源記錄事件 AWS,包括來自您自己的應用程式,以及來自與 CloudTrail 整合的合作夥伴。您不需要在您的帳號中設定追蹤,即可使用 CloudTrail Lake。
系統會將事件彙總到事件資料存放區中,事件資料存放區是事件的不可變集合,其依據為您透過套用[進階事件選取器](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced)選取的條件。如果您選擇**一年可延長保留定價**選項,則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年);如果您選擇**七年保留定價**選項,則最多可保留 2,557 天 (約 7 年)。您可以儲存 Lake 查詢以供將來使用,並可查看最多七天的查詢結果。您也可以將查詢結果儲存至 S3 儲存貯體。CloudTrail Lake 也可以將來自組織的事件存放在事件資料存放 AWS Organizations 區中的 ,或來自多個區域和帳戶的事件。CloudTrail Lake 是稽核解決方案的一部分,可協助您執行安全調查和故障診斷。如需詳細資訊,請參閱[使用 AWS CloudTrail Lake](cloudtrail-lake.md)及[CloudTrail Lake 概念和術語](cloudtrail-lake-concepts.md)。
## CloudTrail Insights
CloudTrail Insights 透過持續分析 CloudTrail 管理事件,協助 AWS 使用者識別和回應異常數量的 API 呼叫或記錄於 API 呼叫的錯誤。Insights 事件是 `write` 管理 API 活動之異常層級或針對管理 API 活動傳回之異常層級錯誤的記錄。依預設,追蹤和事件資料存放區不會記錄 CloudTrail Insights 事件。在主控台中,您可以在建立或更新追蹤或事件資料存放區時選擇記錄 Insights 事件。當您使用 CloudTrail API 時,可以使用 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html) API 編輯現有追蹤或事件資料存放區的設定來記錄 Insights 事件。記錄 CloudTrail Insights 事件需支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需詳細資訊,請參閱 [使用 CloudTrail Insights](logging-insights-events-with-cloudtrail.md) 和 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
## Tags (標籤)
標籤是客戶定義的金鑰和選用值,可指派給 AWS 資源,例如 CloudTrail 追蹤、事件資料存放區和頻道、用於存放 CloudTrail 日誌檔案的 S3 儲存貯體、 AWS Organizations 組織和組織單位等。透過將相同的標籤新增至線索和用於存放線索日誌檔案的 S3 儲存貯體,您可以使用 更輕鬆地管理、搜尋和篩選這些資源[AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/)。您可以實作標記策略以協助您持續、有效、輕鬆地尋找和管理您的資源。如需詳細資訊,請參閱[標記 AWS 資源的最佳實務](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)。
## AWS Security Token Service 和 CloudTrail
AWS Security Token Service (AWS STS) 是一種服務,具有全域端點,也支援區域特定的端點。端點指的是用做 Web 服務請求之進入點的 URL。例如, `https://cloudtrail.us-west-2.amazonaws.com`是 AWS CloudTrail 服務的美國西部 (奧勒岡) 區域進入點。區域端點將有助於降低應用程式的延遲。
當您使用 AWS STS 區域特定的端點時,該區域中的線索只會交付在該區域中發生的 AWS STS 事件。例如,如果您要使用端點 `sts.us-west-2.amazonaws.com`,則 us-west-2 中的追蹤只會交付源自 us-west-2 的 AWS STS 事件。如需 AWS STS 區域端點的詳細資訊,請參閱《*IAM 使用者指南*》中的[AWS STS 在 AWS 區域中啟用和停用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)。
如需 AWS 區域端點的完整清單,請參閱《》中的[AWS 區域和端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)*AWS 一般參考*。如需全域 AWS STS 端點之事件的詳細資訊,請參閱 [全球服務事件](#cloudtrail-concepts-global-service-events)。
## 全球服務事件
**重要**
截至 2021 年 11 月 22 日, AWS CloudTrail 變更了線索擷取全球服務事件的方式。現在,Amazon CloudFront 建立的事件 AWS Identity and Access Management和 AWS STS 會記錄在建立它們的區域中,美國東部 (維吉尼亞北部) 區域 us-east-1。這使得 CloudTrail 如何處理這些服務與其他 AWS 全球服務一致的服務。若要繼續接收美國東部 (維吉尼亞北部) 以外的全域服務事件,請務必將使用美國東部 (維吉尼亞北部) 以外全域服務事件的*單一區域追蹤*轉換為*多區域追蹤*。如需擷取全球服務事件的詳細資訊,請參閱本節下文的「[啟用及停用全球服務事件記錄](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)」。
相反地,CloudTrail 主控台中的**事件歷史記錄**和 **aws cloudtrail lookup-events**命令會在事件發生 AWS 區域 的 中顯示這些事件。
對於大多數服務,事件會記錄在動作所發生的區域。對於 AWS Identity and Access Management (IAM) AWS STS和 Amazon CloudFront 等全域服務,事件會交付到包含全域服務的任何線索。
對於大部分的全域服務,事件會記錄在事件發生的美國東部 (維吉尼亞北部) 區域中,但部分全域服務事件會記錄在事件發生的其他區域中,例如美國東部 (俄亥俄) 區域或美國西部 (奧勒岡) 區域。
為了避免收到重複的全球服務事件,請記住下列項目:
+ 根據預設,全球服務事件會交付至使用 CloudTrail 主控台所建立的追蹤。事件會交付至追蹤的儲存貯體。
+ 如果您有多個單一區域追蹤,請考慮設定追蹤,使之只會傳遞一個追蹤的全域服務事件。如需詳細資訊,請參閱[啟用及停用全球服務事件記錄](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)。
+ 如果您將多區域追蹤轉換為單一區域追蹤,則該追蹤的全域服務事件記錄會自動關閉。同樣地,如果您將單一區域線索轉換為多區域線索,則全域服務事件記錄會自動為該線索開啟。
如需變更追蹤之全球服務事件記錄日誌的詳細資訊,請參閱 [啟用及停用全球服務事件記錄](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)。
**範例**:
1. 您在 CloudTrail 主控台中建立追蹤。根據預設,此追蹤會記錄全球服務事件。
1. 您有多個單一區域追蹤。
1. 您不需要在單一區域追蹤中包含全域服務。會交付第一個追蹤的全球服務事件。如需詳細資訊,請參閱[使用 建立、更新和管理線索 AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli.md)。
**注意**
當您使用 AWS CLI、 AWS SDKs或 CloudTrail API 建立或更新追蹤時,您可以指定是否要包含或排除追蹤的全域服務事件。您無法從 CloudTrail 主控台設定全球服務事件記錄日誌。