本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 CloudTrail 事件
CloudTrail 中的事件是 AWS 帳戶中活動的記錄。此活動可以是 CloudTrail 得以監控之 IAM 身分或服務所採取的動作。CloudTrail 事件提供透過 AWS Management Console、 AWS SDKs、命令列工具和其他項目進行 API 和非 API 帳戶活動的歷史記錄 AWS 服務。
CloudTrail 日誌檔案不是公有 API 呼叫的已排序堆疊追蹤,因此事件不會以任何特定順序顯示。
CloudTrail 事件有四種類型:
-
注意
網路活動事件處於 CloudTrail 的預覽版本,可能會有所變更。
根據預設,線索和事件資料會存放日誌管理事件,但不會存放資料事件、網路活動事件或 Insights 事件。
所有事件類型都使用 CloudTrail JSON 日誌格式。日誌會包含您帳戶中的資源請求資訊,例如請求的提出者、使用過的服務、執行過的動作,以及動作的參數。事件資料都包含在 Records 陣列中。
如需有關 CloudTrail 事件記錄欄位的資訊,請參閱 CloudTrail 記錄內容。
管理事件
管理事件提供在 AWS 帳戶中資源上執行的管理操作的相關資訊。這些也稱為控制平面操作。
範例管理事件包含:
-
設定安全性 (例如 API AWS Identity and Access Management
AttachRolePolicy操作)。 -
註冊裝置 (例如,Amazon EC2
CreateDefaultVpcAPI 操作)。 -
設定規則以路由資料 (例如,Amazon EC2
CreateSubnetAPI 操作)。 -
設定記錄 (例如 API AWS CloudTrail
CreateTrail操作)。
管理事件也可以包含您帳戶中發生的非 API 事件。例如,當使用者登入您的帳戶時,CloudTrail 就會記錄 ConsoleLogin 事件的日誌。如需詳細資訊,請參閱擷取的非API事件 CloudTrail。
根據預設,CloudTrail 追蹤和 CloudTrail Lake 事件資料會存放日誌管理事件。如需記錄管理事件的詳細資訊,請參閱記錄管理事件。
下列範例顯示管理事件的單一日誌記錄。在這種情形中,名為 Mary_Major 的 IAM 使用者會執行 aws cloudtrail start-logging 命令來呼叫 CloudTrail StartLogging 動作,以便在名為 myTrail 的追蹤上啟動記錄程序。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
在這個後續範例中,名為 Paulo_Santos 的 IAM 使用者執行 aws cloudtrail start-event-data-store-ingestion 命令呼叫 StartEventDataStoreIngestion 動作,以便在事件資料存放區上開始擷取。
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
資料事件
資料事件提供在資源上執行或於資源中執行之資源操作的相關資訊。這些也稱為資料平面操作。資料事件通常是大量資料的活動。
範例資料事件包含:
-
S3 儲存貯體中物件的 Amazon S3 物件層級 API 活動 (例如,
DeleteObject、GetObject和PutObjectAPI 操作)。 S3 -
AWS Lambda 函數執行活動 (
InvokeAPI)。 -
用於記錄 AWS外部事件的 CloudTrail Lake 通道上的 CloudTrail
PutAuditEvents活動。 -
主題上的 Amazon SNS
Publish和PublishBatchAPI 操作。
下表顯示可用於追蹤和事件資料存放區的資源類型。資源類型 (主控台) 欄會顯示主控台中的適當選擇。resources.type 值欄顯示您將指定使用 AWS CLI 或 CloudTrail APIs,在線索或事件資料存放區中包含該類型資料事件resources.type的值。
對於線索,您可以使用基本或進階事件選擇器,在一般用途儲存貯體、Lambda 函數和 DynamoDB 資料表中記錄 Amazon S3 物件的資料事件 (如資料表的前三列所示)。您只能使用進階事件選取器來記錄剩餘資料列中顯示的資源類型。
對於事件資料存放區,您只能使用進階事件選取器來包含資料事件。
| AWS 服務 | 描述 | 資源類型 (主控台) | resources.type 值 |
|---|---|---|---|
| Amazon DynamoDB | 資料表上的 Amazon DynamoDB 項目層級 API 活動 (例如 注意對於已啟用串流的資料表,資料事件中的 |
DynamoDB |
|
| AWS Lambda | AWS Lambda 函數執行活動 ( |
Lambda | AWS::Lambda::Function |
| Amazon S3 | 一般用途儲存貯體中物件上的 Amazon S3 物件層級 API 活動 (例如, |
S3 | AWS::S3::Object |
| AWS AppConfig | 組態操作的 AWS AppConfig API 活動,例如對 |
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | AppSync GraphQL API APIs AWS AppSync 活動。 |
AppSync GraphQL | AWS::AppSync::GraphQL |
| AWS B2B 資料交換 | 用於轉換器作業的 B2B 資料交換 API 活動,例如呼叫 |
B2B 資料交換 | AWS::B2BI::Transformer |
| AWS Backup | AWS Backup 在搜尋任務上搜尋資料 API 活動。 |
AWS Backup 搜尋資料 APIs | AWS::Backup::SearchJob |
| Amazon Bedrock | 代理程式別名上的 Amazon Bedrock API 活動。 | Bedrock 代理程式別名 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 非同步調用上的 Amazon Bedrock API 活動。 | Bedrock 非同步調用 | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | 流程別名上的 Amazon Bedrock API 活動。 | Bedrock 流程別名 | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | 護欄上的 Amazon Bedrock API 活動。 | Bedrock 護欄 | AWS::Bedrock::Guardrail |
| Amazon Bedrock | 內嵌代理程式上的 Amazon Bedrock API 活動。 | Bedrock 調用 Inline-Agent | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | 知識庫中的 Amazon Bedrock API 活動。 | Bedrock 知識庫 | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | 模型上的 Amazon Bedrock API 活動。 | Bedrock 模型 | AWS::Bedrock::Model |
| Amazon Bedrock | 提示上的 Amazon Bedrock API 活動。 | Bedrock 提示 | AWS::Bedrock::PromptVersion |
| Amazon CloudFront | KeyValueStore 上的 CloudFront API 活動。 |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS Cloud Map | 命名空間上的 AWS Cloud Map API 活動。 | AWS Cloud Map 命名空間 | |
| AWS Cloud Map | 服務上的 AWS Cloud Map API 活動。 | AWS Cloud Map 服務 | |
| AWS CloudTrail | 用於記錄 AWS外部事件的 CloudTrail Lake 通道上的 CloudTrail |
CloudTrail 頻道 | AWS::CloudTrail::Channel |
| Amazon CloudWatch | 指標上的 Amazon CloudWatch API 活動。 |
CloudWatch 指標 | AWS::CloudWatch::Metric |
| Amazon CloudWatch RUM | 應用程式監視器上的 Amazon CloudWatch RUM API 活動。 |
RUM 應用程式監控 | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | 分析群組上的 CodeGuru Profiler API 活動。 | CodeGuru Profiler 分析群組 | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | 自訂上的 Amazon CodeWhisperer API 活動。 | CodeWhisperer 自訂 | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | 設定檔上的 Amazon CodeWhisperer API 活動。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Amazon Cognito 身分集區上的 Amazon Cognito API 活動。 |
Cognito 身分池 | AWS::Cognito::IdentityPool |
| AWS Data Exchange | AWS Data Exchange 資產上的 API 活動。 |
資料交換資產 |
|
| AWS Deadline Cloud | Deadline Cloud 機群上的 API 活動。 |
Deadline Cloud 機群 |
|
| AWS Deadline Cloud | Deadline Cloud 任務上的 API 活動。 |
Deadline Cloud 任務 |
|
| AWS Deadline Cloud | Deadline Cloud 佇列上的 API 活動。 |
Deadline Cloud 佇列 |
|
| AWS Deadline Cloud | Deadline Cloud 工作者上的 API 活動。 |
Deadline Cloud 工作者 |
|
| Amazon DynamoDB | 串流上的 Amazon DynamoDB API 活動。 |
DynamoDB Streams | AWS::DynamoDB::Stream |
| AWS 最終使用者簡訊 SMS | 原始身分上的AWS 最終使用者簡訊 SMS API 活動。 | SMS 語音原始身分 | AWS::SMSVoice::OriginationIdentity |
| AWS 最終使用者簡訊 SMS | 訊息上的最終AWS 使用者簡訊 SMS API 活動。 | SMS 語音訊息 | AWS::SMSVoice::Message |
| AWS 最終使用者傳訊社交 | 電話號碼 IDs 上的AWS 最終使用者傳訊社交 API 活動。 | 社交訊息電話號碼 ID | AWS::SocialMessaging::PhoneNumberId |
| AWS 最終使用者傳訊社交 | AWS Waba IDs 上的最終使用者傳訊社交 API 活動。 | 社交訊息 Waba ID | AWS::SocialMessaging::WabaId |
| Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) direct API,例如 Amazon EBS 快照上的 |
Amazon EBS direct API | AWS::EC2::Snapshot |
| Amazon EMR | 預先寫入日誌工作區上的 Amazon EMR API 活動。 | EMR 預寫日誌工作區 | AWS::EMRWAL::Workspace |
| Amazon FinSpace | 環境上的 Amazon FinSpace API 活動。 |
FinSpace | AWS::FinSpace::Environment |
| AWS Glue | AWS Glue Lake Formation 所建立資料表上的 API 活動。 |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | 偵測器的 Amazon GuardDuty API 活動。 |
GuardDuty 偵測器 | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging API 在資料存放區上的活動。 |
MedicalImaging 資料存放區 | AWS::MedicalImaging::Datastore |
| AWS IoT | 憑證上的 AWS IoT API 活動。 |
IoT 憑證 | AWS::IoT::Certificate |
| AWS IoT | 物件上的 AWS IoT API 活動。 |
IoT 物件 | AWS::IoT::Thing |
| AWS IoT Greengrass Version 2 | 元件版本上來自 Greengrass 核心裝置的 Greengrass API 活動。 注意Greengrass 不會記錄存取遭拒的事件。 |
IoT Greengrass 元件版本 | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | 部署上來自 Greengrass 核心裝置的 Greengrass API 活動。 注意Greengrass 不會記錄存取遭拒的事件。 |
IoT Greengrass 部署 | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | IoT SiteWise 資產 | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | IoT SiteWise API 在時間序列上的活動。 https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html |
IoT SiteWise 時間序列 | AWS::IoTSiteWise::TimeSeries |
| AWS IoT SiteWise 助理 | 對話上的 Sitewise Assistant API 活動。 |
Sitewise 助理對話 | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | 實體上的 IoT TwinMaker API 活動。 |
IoT TwinMaker 實體 | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | 工作區上的 IoT TwinMaker API 活動。 |
IoT TwinMaker 工作區 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | 重新評分執行計畫上的 Amazon Kendra Intelligent Ranking API 活動。 |
Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (適用於 Apache Cassandra) | 資料表上的 Amazon Keyspaces API 活動。 | Cassandra 資料表 | AWS::Cassandra::Table |
| Amazon Kinesis Data Streams | 串流上的 Kinesis Data Streams API 活動。 | Kinesis 串流 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | 串流取用者上的 Kinesis Data Streams API 活動。 | Kinesis 串流消費者 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | Kinesis Video Streams 視訊串流上的 API 活動,例如對 GetMedia和 的呼叫PutMedia。 |
Kinesis 視訊串流 | AWS::KinesisVideo::Stream |
| Amazon Location Maps | Amazon Location Maps API 活動。 | 地理地圖 | AWS::GeoMaps::Provider |
| Amazon Location Places | Amazon Location Places API 活動。 | 地理位置 | AWS::GeoPlaces::Provider |
| Amazon Location Routes | Amazon Location Routes API 活動。 | Geo Routes | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | ML 模型上的Machine Learning API 活動。 | Maching Learning MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 網路上的 Amazon Managed Blockchain API 活動。 |
Managed Blockchain 網路 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Ethereum 節點上的 Amazon Managed Blockchain JSON-RPC 呼叫,例如 |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Managed Workflows for Apache Airflow | 環境上的 Amazon MWAA API 活動。 |
受管 Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune 圖形 | Neptune 圖形上的資料 API 活動,例如查詢、演算法或向量搜尋。 |
Neptune 圖形 | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | UKey 上的 Amazon One Enterprise API 活動。 |
Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | 使用者上的 Amazon One Enterprise API 活動。 |
Amazon One 使用者 | AWS::One::User |
| AWS Payment Cryptography | AWS Payment Cryptography 別名上的 API 活動。 | 付款密碼編譯別名 | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | AWS Payment Cryptography 金鑰上的 API 活動。 | 付款密碼編譯金鑰 | AWS::PaymentCryptography::Key |
| AWS Private CA | AWS Private CA 適用於 Active Directory API 活動的連接器。 |
AWS Private CA 適用於 Active Directory 的連接器 | AWS::PCAConnectorAD::Connector |
| AWS Private CA | AWS Private CA SCEP API 活動的連接器。 |
AWS Private CA 適用於 SCEP 的連接器 | AWS::PCAConnectorSCEP::Connector |
| Amazon Q 應用程式 | Amazon Q 應用程式上的資料 API 活動。 |
Amazon Q 應用程式 | AWS::QApps::QApp |
| Amazon Q 應用程式 | Amazon Q App 工作階段上的資料 API 活動。 |
Amazon Q 應用程式工作階段 | AWS::QApps::QAppSession |
| Amazon Q Business | 應用程式上的 Amazon Q Business API 活動。 |
Amazon Q Business 應用程式 | AWS::QBusiness::Application |
| Amazon Q Business | 資料來源上的 Amazon Q Business API 活動。 |
Amazon Q Business 資料來源 | AWS::QBusiness::DataSource |
| Amazon Q Business | 索引上的 Amazon Q Business API 活動。 |
Amazon Q Business 索引 | AWS::QBusiness::Index |
| Amazon Q Business | Web 體驗上的 Amazon Q Business API 活動。 |
Amazon Q Business Web 體驗 | AWS::QBusiness::WebExperience |
| Amazon Q Developer | 整合上的 Amazon Q Developer API 活動。 |
Q 開發人員整合 | AWS::QDeveloper::Integration |
| Amazon Q Developer | 有關操作調查的 Amazon Q Developer API 活動。 |
AIOps 調查群組 | AWS::AIOps::InvestigationGroup |
| Amazon RDS | 資料庫叢集上的 Amazon RDS API 活動。 |
RDS 資料 API - 資料庫叢集 | AWS::RDS::DBCluster |
| AWS 資源總管 | 受管檢視上的 Resource Explorer API 活動。 |
AWS 資源總管 受管檢視 | AWS::ResourceExplorer2::ManagedView |
| AWS 資源總管 | 檢視上的 Resource Explorer API 活動。 |
AWS 資源總管 檢視 | AWS::ResourceExplorer2::View |
| Amazon S3 | 存取點上的 Amazon S3 API 活動。 |
S3 存取點 | AWS::S3::AccessPoint |
| Amazon S3 | 目錄儲存貯體中物件上的 Amazon S3 物件層級 API 活動 (例如, |
S3 Express | AWS::S3Express::Object |
| Amazon S3 | Amazon S3 Object Lambda 存取點 API 活動,例如對 |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 Tables | 資料表上的 Amazon S3 API 活動。 |
S3 資料表 | AWS::S3Tables::Table |
| Amazon S3 Tables | 資料表儲存貯體上的 Amazon S3 API 活動。 |
S3 資料表儲存貯體 | AWS::S3Tables::TableBucket |
| Amazon S3 on Outposts | Outposts 上 Amazon S3 物件層級的 API 活動。 |
S3 Outposts | AWS::S3Outposts::Object |
| Amazon SageMaker AI | 端點上的 Amazon SageMaker AI InvokeEndpointWithResponseStream活動。 |
SageMaker AI 端點 | AWS::SageMaker::Endpoint |
| Amazon SageMaker AI | 功能存放區的 Amazon SageMaker AI API 活動。 |
SageMaker AI 功能存放區 | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker AI | 實驗試驗元件上的 Amazon SageMaker AI API 活動。 |
SageMaker AI 指標試驗元件 | AWS::SageMaker::ExperimentTrialComponent |
| AWS Signer | 簽署任務時的簽署者 API 活動。 |
簽署者簽署任務 | AWS::Signer::SigningJob |
| AWS Signer | 簽署設定檔時的簽署者 API 活動。 |
簽署者簽署設定檔 | AWS::Signer::SigningProfile |
| Amazon SimpleDB | 網域上的 Amazon SimpleDB API 活動。 |
SimpleDB 網域 | AWS::SDB::Domain |
| Amazon SNS | 平台端點上的 Amazon SNS |
SNS 平台端點 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 主題上的 Amazon SNS |
SNS 主題 | AWS::SNS::Topic |
| Amazon SQS | 訊息上的 Amazon SQS API 活動。 |
SQS | AWS::SQS::Queue |
| AWS Step Functions | 步驟函數 | AWS::StepFunctions::Activity |
|
| AWS Step Functions | Step Functions 狀態機器 | AWS::StepFunctions::StateMachine |
|
| AWS Supply Chain | AWS Supply Chain 執行個體上的 API 活動。 |
供應鏈 | AWS::SCN::Instance |
| Amazon SWF | SWF 網域 | AWS::SWF::Domain |
|
| AWS Systems Manager | 控制頻道上的 Systems Manager API 活動。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | 受管節點上的 Systems Manager API 活動。 | Systems Manager 受管節點 | AWS::SSM::ManagedNode |
| Amazon Timestream | 資料庫上的 Amazon Timestream Query API 活動。 |
Timestream 資料庫 | AWS::Timestream::Database |
| Amazon Timestream | 區域端點上的 Amazon Timestream API 活動。 | Timestream 區域端點 | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | 資料庫上的 Amazon Timestream Query API 活動。 |
Timestream 資料表 | AWS::Timestream::Table |
| Amazon Verified Permissions | 政策存放區上的 Amazon Verified Permissions API 活動。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces 精簡型客戶端 | 裝置上的 WorkSpaces 精簡型客戶端 API 活動。 | 精簡型客戶端裝置 | AWS::ThinClient::Device |
| Amazon WorkSpaces 精簡型客戶端 | 環境上的 WorkSpaces 精簡型客戶端 API 活動。 | 精簡型客戶端環境 | AWS::ThinClient::Environment |
| AWS X-Ray | 追蹤上的 X-Ray API 活動。 |
X-Ray 追蹤 | AWS::XRay::Trace |
依預設,在您建立追蹤或事件資料存放區時,不會記錄資料事件。若要記錄 CloudTrail 資料事件,您必須明確地新增欲收集之活動的受支援資源或資源類型。如需詳細資訊,請參閱 使用 CloudTrail 主控台建立追蹤 和 使用主控台建立事件的事件 CloudTrail資料存放區。
記錄資料事件需支付額外的費用。如需 CloudTrail 定價,請參閱 AWS CloudTrail 定價
下列範例顯示 Amazon SNS Publish動作資料事件的單一日誌記錄。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
下一個範例顯示 Amazon Cognito GetCredentialsForIdentity動作資料事件的單一日誌記錄。
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
網路活動事件
注意
網路活動事件處於 CloudTrail 的預覽版本,可能會有所變更。
CloudTrail 網路活動事件可讓 VPC 端點擁有者記錄使用其 VPC 端點從私有 VPC 到 的 AWS API 呼叫 AWS 服務。網路活動事件可讓您了解在 VPC 中執行的資源操作。
您可以為下列服務記錄網路活動事件:
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
AWS Secrets Manager
建立線索或事件資料存放區時,預設不會記錄網路活動事件。若要記錄 CloudTrail 網路活動事件,您必須明確設定要收集活動的事件來源。如需詳細資訊,請參閱記錄網路活動事件。
記錄網路活動事件需支付額外費用。如需 CloudTrail 定價,請參閱 AWS CloudTrail 定價
下列範例顯示周遊 VPC 端點的成功 AWS KMS ListKeys事件。vpcEndpointId 欄位會顯示 VPC 端點的 ID。vpcEndpointAccountId 欄位會顯示 VPC 端點擁有者的帳戶 ID。在此範例中,請求是由 VPC 端點擁有者提出。
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE:role-name", "arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "Admin" }, "attributes": { "creationDate": "2024-06-04T23:10:46Z", "mfaAuthenticated": "false" } } }, "eventTime": "2024-06-04T23:12:50Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731", "eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
下一個範例顯示 VPC 端點政策違規的失敗 AWS KMS ListKeys事件。由於發生 VPC 政策違規,因此 errorCode和 errorMessage 欄位都會存在。recipientAccountId 和 vpcEndpointAccountId欄位中的帳戶 ID 相同,表示事件已傳送至 VPC 端點擁有者。userIdentity 元素accountId中的 不是 vpcEndpointAccountId,這表示提出請求的使用者不是 VPC 端點擁有者。
{ "eventVersion": "1.09", "userIdentity": { "type": "AWSAccount", "principalId": "AKIAIOSFODNN7EXAMPLE", "accountId": "777788889999" }, "eventTime": "2024-07-15T23:57:12Z", "eventSource": "kms.amazonaws.com", "eventName": "ListKeys", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "errorCode": "VpceAccessDenied", "errorMessage": "The request was denied due to a VPC endpoint policy", "requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374", "eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0", "eventType": "AwsVpceEvent", "recipientAccountId": "123456789012", "sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4", "vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7", "vpcEndpointAccountId": "123456789012", "eventCategory": "NetworkActivity" }
Insights 事件
CloudTrail Insights 事件會透過分析 CloudTrail 管理活動,擷取您的 AWS 帳戶中的異常 API 呼叫率或錯誤率活動。Insights 事件會提供相關資訊,例如關聯的 API、錯誤代碼、事件時間及統計資料,以協助您了解並針對異常活動採取行動。與 CloudTrail 追蹤或事件資料存放區中擷取的其他類型的事件不同,只有在 CloudTrail 偵測到帳戶 API 使用情況或錯誤率記錄變化,且與帳戶的一般使用模式有很大差異時,才會記錄 Insights 事件。如需詳細資訊,請參閱使用 CloudTrail Insights。
可能產生 Insights 事件的活動範例包括:
-
您的帳戶通常每分鐘記錄不超過 20 個 Amazon S3
deleteBucketAPI 呼叫,但是您的帳戶開始記錄到每分鐘平均 100 個deleteBucketAPI 呼叫。異常活動開始時會記錄 Insights 事件,並記錄另一個 Insights 事件以標示異常的活動結束。 -
您的帳戶通常每分鐘記錄 20 個 Amazon EC2
AuthorizeSecurityGroupIngressAPI 呼叫,但您的帳戶開始記錄到零個AuthorizeSecurityGroupIngress呼叫。異常活動開始時會記錄 Insights 事件,並在十分鐘後,當異常活動結束時,記錄另一個 Insights 事件以標示異常的活動結束。 -
您的帳戶於 7 天內在 AWS Identity and Access Management API 上記錄通常少於一個的
AccessDeniedException錯誤,DeleteInstanceProfile。您的帳戶開始在DeleteInstanceProfileAPI 呼叫中記錄每分鐘 12 個AccessDeniedException錯誤的平均值。異常錯誤率活動開始時會記錄 Insights 事件,並記錄另一個 Insights 事件以標示異常活動的結束。
這些範例僅供說明之用。您的結果可能會根據您的使用案例而有所不同。
若要記錄 CloudTrail Insights 事件,您必須在新的或現有的追蹤或事件資料存放區上明確啟用 Insights 事件。如需建立線索的詳細資訊,請參閱 使用 CloudTrail 主控台建立追蹤。如需有關建立事件資料存放區的詳細資訊,請參閱 使用主控台建立 Insights 事件的事件資料存放區。
Insights 事件會產生額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需詳細資訊,請參閱 AWS CloudTrail 定價
CloudTrail Insights 中會記錄兩個事件以顯示異常活動:開始事件和結束事件。下列範例顯示 Application Auto Scaling API CompleteLifecycleAction 被呼叫異常次數時發生的開始 Insights 事件的單一日誌記錄。對於 Insights 事件,eventCategory 的值為 Insight。insightDetails 區塊會識別事件狀態、來源、名稱、Insights 類型和內容,包括統計資料和歸因。如需 insightDetails 區塊的詳細資訊,請參閱 CloudTrail 見解insightDetails元素。
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }
