本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解 CloudTrail 事件
CloudTrail 中的事件是 AWS 帳戶中活動的記錄。此活動可以是 CloudTrail 得以監控之 IAM 身分或服務所採取的動作。CloudTrail 事件提供透過 AWS 管理主控台、 AWS SDKs、命令列工具和其他 進行的 API 和非 API 帳戶活動的歷史記錄 AWS 服務。
CloudTrail 日誌檔案不是公有 API 呼叫的已排序堆疊追蹤,因此事件不會以任何特定順序顯示。
CloudTrail 事件有四種類型:
+ [管理事件](#cloudtrail-management-events)
+ [資料事件](#cloudtrail-data-events)
+ [網路活動事件](#cloudtrail-network-events)
+ [Insights 事件](#cloudtrail-insights-events)
根據預設,線索和事件資料會存放日誌管理事件,但不會存放資料事件、網路活動事件或 Insights 事件。
所有事件類型都使用 CloudTrail JSON 日誌格式。日誌會包含您帳戶中的資源請求資訊,例如請求的提出者、使用過的服務、執行過的動作,以及動作的參數。事件資料都包含在 `Records` 陣列中。
如需管理、資料和網路活動事件的 CloudTrail 事件記錄欄位相關資訊,請參閱 [CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)。
如需追蹤 Insights 事件的 CloudTrail 事件記錄欄位的相關資訊,請參閱 [追蹤的 Insights 事件 CloudTrail 記錄內容](cloudtrail-insights-fields-trails.md)。
如需事件資料存放區之 Insights 事件的 CloudTrail 事件記錄欄位的相關資訊,請參閱 [事件資料存放區的 Insights 事件 CloudTrail 記錄內容](cloudtrail-insights-fields-lake.md)。
## 管理事件
管理事件提供有關對 AWS 帳戶中資源執行的管理操作的資訊。這些也稱為控制平面操作**。
範例管理事件包含:
+ 設定安全性 (例如 API AWS Identity and Access Management `AttachRolePolicy` 操作)。
+ 註冊裝置 (例如,Amazon EC2 `CreateDefaultVpc` API 操作)。
+ 設定規則以路由資料 (例如,Amazon EC2 `CreateSubnet` API 操作)。
+ 設定記錄 (例如 API AWS CloudTrail `CreateTrail` 操作)。
管理事件也可以包含您帳戶中發生的非 API 事件。例如,當使用者登入您的帳戶時,CloudTrail 就會記錄 `ConsoleLogin` 事件的日誌。如需詳細資訊,請參閱[CloudTrail 擷取的非 API 事件](cloudtrail-non-api-events.md)。
根據預設,CloudTrail 追蹤和 CloudTrail Lake 事件資料會存放日誌管理事件。如需記錄管理事件的詳細資訊,請參閱 [記錄管理事件](logging-management-events-with-cloudtrail.md)。
下列範例顯示管理事件的單一日誌記錄。在這種情形中,名為 `Mary_Major` 的 IAM 使用者會執行 **aws cloudtrail start-logging** 命令來呼叫 CloudTrail [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartLogging.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartLogging.html) 動作,以便在名為 `myTrail` 的追蹤上啟動記錄程序。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLE6E4XEGITWATV6R",
"arn": "arn:aws:iam::123456789012:user/Mary_Major",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Mary_Major",
"sessionContext": {
"attributes": {
"creationDate": "2023-07-19T21:11:57Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-07-19T21:33:41Z",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "StartLogging",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging",
"requestParameters": {
"name": "myTrail"
},
"responseElements": null,
"requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932",
"eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}
```
在這個後續範例中,名為 `Paulo_Santos` 的 IAM 使用者執行 **aws cloudtrail start-event-data-store-ingestion** 命令呼叫 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartEventDataStoreIngestion.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_StartEventDataStoreIngestion.html) 動作,以便在事件資料存放區上開始擷取。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "IAMUser",
"principalId": "EXAMPLEPHCNW5EQV7NA54",
"arn": "arn:aws:iam::123456789012:user/Paulo_Santos",
"accountId": "123456789012",
"accessKeyId": "(AKIAIOSFODNN7EXAMPLE",
"userName": "Paulo_Santos",
"sessionContext": {
"attributes": {
"creationDate": "2023-07-21T21:55:30Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-07-21T21:57:28Z",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "StartEventDataStoreIngestion",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion",
"requestParameters": {
"eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41"
},
"responseElements": null,
"requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f",
"eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}
```
## 資料事件
資料事件提供在資源上執行或於資源中執行之資源操作的相關資訊。這些也稱為資料平面操作**。資料事件通常是大量資料的活動。
範例資料事件包含:
+ [S3 儲存貯體中物件的 Amazon S3 物件層級 API 活動](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) (例如,`DeleteObject`、 `GetObject`和 `PutObject` API 操作)。 S3
+ AWS Lambda 函數執行活動 ( `Invoke` API)。
+ 用於記錄 AWS外部事件的 [CloudTrail Lake 通道](query-event-data-store-integration.md)上的 CloudTrail [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) 活動。
+ 主題上的 Amazon SNS [https://docs.aws.amazon.com/sns/latest/api/API_Publish.html](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) 和 [https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html](https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html) API 操作。
下表顯示線索和事件資料存放區可用的資源類型。**資源類型 (主控台)** 欄會在主控台中顯示適當的選擇。**resources.type 值**欄會顯示您要指定的`resources.type`值,以使用 AWS CLI 或 CloudTrail APIs 在線索或事件資料存放區中包含該類型的資料事件。
對於線索,您可以使用基本或進階事件選取器,在一般用途儲存貯體、Lambda 函數和 DynamoDB 資料表 (顯示於資料表的前三列) 中記錄 Amazon S3 物件的資料事件。您只能使用進階事件選取器來記錄剩餘資料列中顯示的資源類型。
對於事件資料存放區,您只能使用進階事件選取器來包含資料事件。
### 支援的資料事件 AWS CloudTrail
****
| AWS 服務 | Description | 資源類型 (主控台) | resources.type 值 |
| --- | --- | --- | --- |
| Amazon RDS | 資料庫叢集上的 [Amazon RDS API 活動](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html#logging-using-cloudtrail-data-api.including-excluding-cloudtrail-events)。 | RDS 資料 API - 資料庫叢集 | AWS::RDS::DBCluster |
| Amazon S3 | 一般用途儲存貯體中物件的 [Amazon S3 物件層級 API 活動](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) (例如 `DeleteObject`、 `GetObject`和 `PutObject` API 操作)。 | S3 | AWS::S3::Object |
| Amazon S3 | 存取點上的 [Amazon S3 API 活動](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events)。 | S3 存取點 | AWS::S3::AccessPoint |
| Amazon S3 | 目錄儲存貯體中物件的 [Amazon S3 物件層級 API 活動](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) (例如 `DeleteObject`、 `GetObject`和 `PutObject` API 操作)。 | S3 Express | AWS::S3Express::Object |
| Amazon S3 | [Amazon S3 Object Lambda 存取點 API 活動](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events),例如對 `CompleteMultipartUpload`和 的呼叫`GetObject`。 | S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | 磁碟區上的 Amazon FSx API 活動。 | FSx 磁碟區 | AWS::FSx::Volume |
| Amazon S3 Tables | [資料表](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-create.html)上的 Amazon S3 API 活動。 | S3 資料表 | AWS::S3Tables::Table |
| Amazon S3 Tables | [資料表儲存貯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-buckets.html)體上的 Amazon S3 API 活動。 | S3 資料表儲存貯體 | AWS::S3Tables::TableBucket |
| Amazon S3 Vectors | [向量儲存貯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-buckets.html)體上的 Amazon S3 API 活動。 | S3 向量儲存貯體 | AWS::S3Vectors::VectorBucket |
| Amazon S3 Vectors | [向量索引](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-vectors-indexes.html)上的 Amazon S3 API 活動。 | S3 向量索引 | AWS::S3Vectors::Index |
| Amazon S3 on Outposts | [Outposts 上 Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-data-events) 物件層級的 API 活動。 | S3 Outposts | AWS::S3Outposts::Object |
| Amazon SNS | 平台端點上的 Amazon SNS [https://docs.aws.amazon.com/sns/latest/api/API_Publish.html](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) API 操作。 | SNS 平台端點 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 主題上的 Amazon SNS [https://docs.aws.amazon.com/sns/latest/api/API_Publish.html](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) 和 [https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html](https://docs.aws.amazon.com/sns/latest/api/API_PublishBatch.html) API 操作。 | SNS 主題 | AWS::SNS::Topic |
| Amazon SQS | 訊息上的 [Amazon SQS API 活動](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-logging-using-cloudtrail.html#sqs-data-events-in-cloud-trail)。 | SQS | AWS::SQS::Queue |
| 供應鏈 | 供應鏈 執行個體上的 API 活動。 | 供應鏈 | AWS::SCN::Instance |
| Amazon SWF | [網域](https://docs.aws.amazon.com/amazonswf/latest/developerguide/swf-dev-domains.html)上的 [Amazon SWF API 活動](https://docs.aws.amazon.com/amazonswf/latest/developerguide/ct-logging.html#cloudtrail-data-events)。 | SWF 網域 | AWS::SWF::Domain |
| AWS AppConfig | 組態操作的 [AWS AppConfig API 活動](https://docs.aws.amazon.com/appconfig/latest/userguide/logging-using-cloudtrail.html#appconfig-data-events-cloudtrail),例如呼叫 `StartConfigurationSession`和 `GetLatestConfiguration`。 | AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | AppSync GraphQL API APIs [AWS AppSync 活動](https://docs.aws.amazon.com/appsync/latest/devguide/cloudtrail-logging.html#cloudtrail-data-events)。 | AppSync GraphQL | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | 叢集資源上的 Amazon Aurora DSQL API 活動。 | Amazon Aurora DSQL | AWS::DSQL::Cluster |
| AWS B2B 資料交換 | 用於轉換器作業的 B2B 資料交換 API 活動,例如呼叫 `GetTransformerJob` 和 `StartTransformerJob`。 | B2B 資料交換 | AWS::B2BI::Transformer |
| AWS Backup | AWS Backup 在搜尋任務上搜尋資料 API 活動。 | AWS Backup 搜尋資料 APIs | AWS::Backup::SearchJob |
| Amazon Bedrock | 代理程式別名上的 [Amazon Bedrock API 活動](https://docs.aws.amazon.com/bedrock/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | Bedrock 代理程式別名 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 非同步調用上的 Amazon Bedrock API 活動。 | Bedrock 非同步調用 | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | 流程別名上的 Amazon Bedrock API 活動。 | Bedrock 流程別名 | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | 護欄上的 Amazon Bedrock API 活動。 | Bedrock 護欄 | AWS::Bedrock::Guardrail |
| Amazon Bedrock | 內嵌代理程式上的 Amazon Bedrock API 活動。 | Bedrock 調用內嵌代理程式 | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | 知識庫中的 [Amazon Bedrock API 活動](https://docs.aws.amazon.com/bedrock/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | Bedrock 知識庫 | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | 模型上的 Amazon Bedrock API 活動。 | Bedrock 模型 | AWS::Bedrock::Model |
| Amazon Bedrock | 提示上的 Amazon Bedrock API 活動。 | Bedrock 提示 | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | 工作階段上的 Amazon Bedrock API 活動。 | Bedrock 工作階段 | AWS::Bedrock::Session |
| Amazon Bedrock | 流程執行的 Amazon Bedrock API 活動。 | Bedrock 流程執行 | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | 自動推理政策上的 Amazon Bedrock API 活動。 | Bedrock 自動化推理政策 | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | 自動推理政策版本的 Amazon Bedrock API 活動。 | Bedrock 自動化推理政策版本 | AWS::Bedrock::AutomatedReasoningPolicyVersion |
| Amazon Bedrock | Amazon Bedrock 資料自動化專案 API 活動。 | **Bedrock 資料自動化專案** | `AWS::Bedrock::DataAutomationProject` |
| Amazon Bedrock | Bedrock 資料自動化調用 API 活動。 | **Bedrock 資料自動化調用** | `AWS::Bedrock::DataAutomationInvocation` |
| Amazon Bedrock | Amazon Bedrock 資料自動化設定檔 API 活動。 | **Bedrock 資料自動化設定檔** | `AWS::Bedrock::DataAutomationProfile` |
| Amazon Bedrock | Amazon Bedrock 藍圖 API 活動。 | **Bedrock 藍圖** | `AWS::Bedrock::Blueprint` |
| Amazon Bedrock | Amazon Bedrock Code-Interpreter API 活動。 | **Bedrock-AgentCore Code-Interpreter** | `AWS::BedrockAgentCore::CodeInterpreter` |
| Amazon Bedrock | Amazon Bedrock 瀏覽器 API 活動。 | **Bedrock-AgentCore 瀏覽器** | `AWS::BedrockAgentCore::Browser` |
| Amazon Bedrock | Amazon Bedrock 工作負載身分 API 活動。 | **Bedrock-AgentCore 工作負載身分** | `AWS::BedrockAgentCore::WorkloadIdentity` |
| Amazon Bedrock | Amazon Bedrock 工作負載身分目錄 API 活動。 | **Bedrock-AgentCore 工作負載身分目錄** | `AWS::BedrockAgentCore::WorkloadIdentityDirectory` |
| Amazon Bedrock | Amazon Bedrock Token Vault API 活動。 | **Bedrock-AgentCore 權杖保存庫** | `AWS::BedrockAgentCore::TokenVault` |
| Amazon Bedrock | Amazon Bedrock APIKey CredentialProvider API 活動。 | **Bedrock-AgentCore APIKey CredentialProvider** | `AWS::BedrockAgentCore::APIKeyCredentialProvider` |
| Amazon Bedrock | Amazon Bedrock 執行時間 API 活動。 | **Bedrock-AgentCore 執行期** | `AWS::BedrockAgentCore::Runtime` |
| Amazon Bedrock | Amazon Bedrock Runtime-Endpoint API 活動。 | **Bedrock-AgentCore 執行時間端點** | `AWS::BedrockAgentCore::RuntimeEndpoint` |
| Amazon Bedrock | Amazon Bedrock Gateway API 活動。 | **Bedrock-AgentCore 閘道** | `AWS::BedrockAgentCore::Gateway` |
| Amazon Bedrock | Amazon Bedrock 記憶體 API 活動。 | **Bedrock-AgentCore 記憶體** | `AWS::BedrockAgentCore::Memory` |
| Amazon Bedrock | Amazon Bedrock Oauth2 CredentialProvider API 活動。 | **Bedrock-AgentCore Oauth2 CredentialProvider** | `AWS::BedrockAgentCore::OAuth2CredentialProvider` |
| Amazon Bedrock | Amazon Bedrock 瀏覽器自訂 API 活動。 | **Bedrock-AgentCore 瀏覽器自訂** | `AWS::BedrockAgentCore::BrowserCustom` |
| Amazon Bedrock | Amazon Bedrock Code-Interpreter-Custom API 活動。 | **Bedrock-AgentCore Code-Interpreter-Custom** | `AWS::BedrockAgentCore::CodeInterpreterCustom` |
| Amazon Bedrock | Amazon Bedrock Tool API 活動。 | Bedrock 工具 | AWS::Bedrock::Tool |
| AWS Cloud Map | [命名空間](https://docs.aws.amazon.com/cloud-map/latest/api/API_Namespace.html)上的 [AWS Cloud Map API 活動](https://docs.aws.amazon.com/cloud-map/latest/dg/cloudtrail-data-events.html)。 | AWS Cloud Map 命名空間 | AWS::ServiceDiscovery::Namespace |
| AWS Cloud Map | [服務](https://docs.aws.amazon.com/cloud-map/latest/api/API_Service.html)上的 [AWS Cloud Map API 活動](https://docs.aws.amazon.com/cloud-map/latest/dg/cloudtrail-data-events.html)。 | AWS Cloud Map 服務 | AWS::ServiceDiscovery::Service |
| Amazon CloudFront | [https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_KeyValueStore.html](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_KeyValueStore.html) 上的 CloudFront API 活動。 | CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS CloudTrail | 用於記錄 AWS外部事件的 [CloudTrail Lake 通道](query-event-data-store-integration.md)上的 CloudTrail [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) 活動。 | CloudTrail 頻道 | AWS::CloudTrail::Channel |
| Amazon CloudWatch | 指標上的 [Amazon CloudWatch API 活動](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html#CloudWatch-data-plane-events)。 | CloudWatch 指標 | AWS::CloudWatch::Metric |
| Amazon CloudWatch 網路流量監控 | 監控上的 Amazon CloudWatch Network Flow Monitor API 活動。 | 網路流量監控監視器 | AWS::NetworkFlowMonitor::Monitor |
| Amazon CloudWatch 網路流量監控 | 範圍上的 Amazon CloudWatch Network Flow Monitor API 活動。 | 網路流量監控範圍 | AWS::NetworkFlowMonitor::Scope |
| Amazon CloudWatch RUM | 應用程式監視器上的 Amazon CloudWatch RUM API 活動。 | RUM 應用程式監控 | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | 分析群組上的 CodeGuru Profiler API 活動。 | CodeGuru Profiler 分析群組 | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | 自訂上的 Amazon CodeWhisperer API 活動。 | CodeWhisperer 自訂 | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | 設定檔上的 Amazon CodeWhisperer API 活動。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Amazon Cognito [身分集區](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-info-in-cloudtrail.html#identity-pools-cloudtrail-events)上的 Amazon Cognito API 活動。 | Cognito 身分池 | AWS::Cognito::IdentityPool |
| AWS Data Exchange | AWS Data Exchange 資產上的 API 活動。 | **Data Exchange 資產** | `AWS::DataExchange::Asset` |
| Amazon Data Firehose | Amazon Data Firehose 交付串流 API 活動。 | **Amazon Data Firehose** | `AWS::KinesisFirehose::DeliveryStream` |
| AWS Deadline Cloud | [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) 機群上的 API 活動。 | **Deadline Cloud 機群** | `AWS::Deadline::Fleet` |
| AWS Deadline Cloud | [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) 任務上的 API 活動。 | **Deadline Cloud 任務** | `AWS::Deadline::Job` |
| AWS Deadline Cloud | [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) 佇列上的 API 活動。 | **Deadline Cloud 佇列** | `AWS::Deadline::Queue` |
| AWS Deadline Cloud | [Deadline Cloud](https://docs.aws.amazon.com/deadline-cloud/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) 工作者上的 API 活動。 | **Deadline Cloud 工作者** | `AWS::Deadline::Worker` |
| Amazon DynamoDB | 資料表上的 [Amazon DynamoDB 項目層級 API 活動](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail) (例如 `PutItem`、 `DeleteItem`和 `UpdateItem` API 操作)。對於已啟用串流的資料表,資料事件中的 `resources` 欄位會同時包含 `AWS::DynamoDB::Stream` 和 `AWS::DynamoDB::Table`。如果您指定 `AWS::DynamoDB::Table` 作為 `resources.type`,則會根據預設同時記錄 DynamoDB 資料表和 DynamoDB 串流事件。若要排除[串流事件](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail),請在 `eventName` 欄位上新增篩選條件。 | DynamoDB | `AWS::DynamoDB::Table` |
| Amazon DynamoDB | 串流上的 [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html#ddb-data-plane-events-in-cloudtrail) API 活動。 | DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | [Amazon Elastic Block Store (EBS)](https://docs.aws.amazon.com/ebs/latest/userguide/logging-ebs-apis-using-cloudtrail.html) direct API,例如 Amazon EBS 快照上的 `PutSnapshotBlock`、`GetSnapshotBlock`,以及 `ListChangedBlocks`。 | Amazon EBS direct API | AWS::EC2::Snapshot |
| Amazon Elastic Compute Cloud | Amazon EC2 執行個體連接端點 API 活動。 | **EC2 執行個體連線端點** | `AWS::EC2::InstanceConnectEndpoint` |
| Amazon Elastic Container Service | 容器執行個體上的 Amazon Elastic Container Service API 活動。 | ECS 容器執行個體 | AWS::ECS::ContainerInstance |
| Amazon Elastic Kubernetes Service | 儀表板上的 Amazon Elastic Kubernetes Service API 活動。 | Amazon Elastic Kubernetes Service 儀表板 | AWS::EKS::Dashboard |
| Amazon EMR | 預先寫入日誌工作區上的 [Amazon EMR API 活動](https://docs.aws.amazon.com/emr/latest/ManagementGuide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | EMR 預寫日誌工作區 | AWS::EMRWAL::Workspace |
| AWS 最終使用者傳訊簡訊 | 起始身分上的[AWS 最終使用者簡訊 SMS](https://docs.aws.amazon.com/sms-voice/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活動。 | SMS 語音來源身分 | AWS::SMSVoice::OriginationIdentity |
| AWS 最終使用者傳訊簡訊 | 訊息上的最終[AWS 使用者簡訊 SMS](https://docs.aws.amazon.com/sms-voice/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活動。 | SMS 語音訊息 | AWS::SMSVoice::Message |
| AWS 最終使用者傳訊社交 | 電話號碼 IDs 上的[AWS 最終使用者傳訊社交](https://docs.aws.amazon.com/social-messaging/latest/userguide/logging-using-cloudtrail.html#cloudtrail-data-events) API 活動。 | 社交訊息電話號碼 ID | AWS::SocialMessaging::PhoneNumberId |
| AWS 最終使用者傳訊社交 | AWS Waba IDs 上的最終使用者傳訊社交 API 活動。 | 社交訊息 Waba ID | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | 環境上的 [Amazon FinSpace](https://docs.aws.amazon.com/finspace/latest/userguide/logging-cloudtrail-events.html#finspace-dataplane-events) API 活動。 | FinSpace | AWS::FinSpace::Environment |
| Amazon GameLift Streams | Amazon GameLift Streams 應用程式上的[串流 API 活動](https://docs.aws.amazon.com/gameliftstreams/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | GameLift Streams 應用程式 | AWS::GameLiftStreams::Application |
| Amazon GameLift Streams | 串流群組上的 Amazon GameLift Streams [串流 API 活動](https://docs.aws.amazon.com/gameliftstreams/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-data-events)。 | GameLift Streams 串流群組 | AWS::GameLiftStreams::StreamGroup |
| AWS Glue | AWS Glue Lake Formation 所建立資料表上的 API 活動。 | Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | [偵測器](https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html#guardduty-data-events-in-cloudtrail)的 Amazon GuardDuty API 活動。 | GuardDuty 偵測器 | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging 資料存放區上的 API 活動。 | MedicalImaging 資料存放區 | AWS::MedicalImaging::Datastore |
| AWS HealthImaging | AWS HealthImaging 映像集 API 活動。 | **MedicalImaging 影像集** | `AWS::MedicalImaging::Imageset` |
| AWS IoT | [憑證](https://docs.aws.amazon.com/iot/latest/developerguide/x509-client-certs.html)上的 [AWS IoT API 活動](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 | IoT 憑證 | AWS::IoT::Certificate |
| AWS IoT | [物件](https://docs.aws.amazon.com/iot/latest/developerguide/thing-registry.html)上的 [AWS IoT API 活動](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。 | IoT 物件 | AWS::IoT::Thing |
| AWS IoT Greengrass Version 2 | 元件版本上來自 Greengrass 核心裝置的 Greengrass [API 活動](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。Greengrass 不會記錄存取遭拒的事件。 | IoT Greengrass 元件版本 | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | 部署上來自 Greengrass 核心裝置的 Greengrass [API 活動](https://docs.aws.amazon.com/greengrass/v2/developerguide/logging-using-cloudtrail.html#greengrass-data-events-cloudtrail)。Greengrass 不會記錄存取遭拒的事件。 | IoT Greengrass 部署 | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | [資產](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAsset.html)上的 [IoT SiteWise API 活動](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | IoT SiteWise 資產 | AWS::IoTSiteWise::Asset |
| AWS IoT SiteWise | [時間序列](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_DescribeTimeSeries.html)上的 [IoT SiteWise API 活動](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/logging-using-cloudtrail.html#service-name-data-events-cloudtrail)。 | IoT SiteWise 時間序列 | AWS::IoTSiteWise::TimeSeries |
| AWS IoT SiteWise 助理 | 對話上的 Sitewise Assistant API 活動。 | Sitewise 助理對話 | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | [實體](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateEntity.html)上的 IoT TwinMaker API 活動。 | IoT TwinMaker 實體 | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | [工作區](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_CreateWorkspace.html)上的 IoT TwinMaker API 活動。 | IoT TwinMaker 工作區 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | [重新評分執行計畫](https://docs.aws.amazon.com/kendra/latest/dg/cloudtrail-intelligent-ranking.html#cloud-trail-intelligent-ranking-log-entry)上的 Amazon Kendra Intelligent Ranking API 活動。 | Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (適用於 Apache Cassandra) | 資料表上的 [Amazon Keyspaces API 活動](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html#keyspaces-in-cloudtrail-dml)。 | Cassandra 資料表 | AWS::Cassandra::Table |
| Amazon Keyspaces (適用於 Apache Cassandra) | Cassandra CDC 串流上的 Amazon Keyspaces (適用於 Apache Cassandra) API 活動。 | Cassandra CDC 串流 | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | [串流](https://docs.aws.amazon.com/streams/latest/dev/working-with-streams.html)上的 Kinesis Data Streams API 活動。 | Kinesis 串流 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | [串流消費者](https://docs.aws.amazon.com/streams/latest/dev/building-consumers.html)上的 Kinesis Data Streams API 活動。 | Kinesis 串流消費者 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | 視訊串流上的 Kinesis Video Streams API 活動,例如對 GetMedia和 的呼叫PutMedia。 | Kinesis 視訊串流 | AWS::KinesisVideo::Stream |
| Amazon Kinesis Video Streams | Kinesis Video Streams 影片訊號頻道 API 活動。 | **Kinesis 影片訊號頻道** | `AWS::KinesisVideo::SignalingChannel` |
| AWS Lambda | AWS Lambda 函數執行活動 ( `Invoke` API)。 | Lambda | AWS::Lambda::Function |
| Amazon Location Maps | Amazon Location Maps API 活動。 | 地理地圖 | AWS::GeoMaps::Provider |
| Amazon Location Places | Amazon Location Places API 活動。 | 地理位置 | AWS::GeoPlaces::Provider |
| Amazon Location Routes | Amazon Location Routes API 活動。 | 地理路由 | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | ML 模型上的Machine Learning API 活動。 | 修補 Learning MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 網路上的 Amazon Managed Blockchain API 活動。 | Managed Blockchain 網路 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Ethereum 節點上的 [Amazon Managed Blockchain](https://docs.aws.amazon.com/managed-blockchain/latest/ethereum-dev/logging-using-cloudtrail.html#ethereum-jsonrpc-logging) JSON-RPC 呼叫,例如 `eth_getBalance` 或 `eth_getBlockByNumber`。 | Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain Query | Amazon Managed Blockchain Query API 活動。 | 受管區塊鏈查詢 | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | 環境上的 Amazon MWAA API 活動。 | 受管 Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune 圖形 | Neptune 圖形上的資料 API 活動,例如查詢、演算法或向量搜尋。 | Neptune 圖形 | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | UKey 上的 Amazon One Enterprise API 活動。 | Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | 使用者上的 Amazon One Enterprise API 活動。 | Amazon One 使用者 | AWS::One::User |
| AWS Payment Cryptography | AWS Payment Cryptography 別名上的 API 活動。 | 付款密碼編譯別名 | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | AWS Payment Cryptography 金鑰上的 API 活動。 | 付款密碼編譯金鑰 | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | 行動目標應用程式上的 Amazon Pinpoint API 活動。 | 行動目標應用程式 | AWS::Pinpoint::App |
| AWS 私有 CA | AWS 私有 CA 適用於 Active Directory API 活動的連接器。 | AWS 私有 CA 適用於 Active Directory 的連接器 | AWS::PCAConnectorAD::Connector |
| AWS 私有 CA | AWS 私有 CA Connector for SCEP API 活動。 | AWS 私有 CA 適用於 SCEP 的連接器 | AWS::PCAConnectorSCEP::Connector |
| Amazon Q Apps | [Amazon Q 應用程式](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/purpose-built-qapps.html)上的資料 API 活動。 | Amazon Q 應用程式 | AWS::QApps::QApp |
| Amazon Q Apps | Amazon Q App 工作階段上的資料 API 活動。 | Amazon Q 應用程式工作階段 | AWS::QApps::QAppSession |
| Amazon Q Business | 應用程式上的 [Amazon Q Business API 活動](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 應用程式 | AWS::QBusiness::Application |
| Amazon Q Business | 資料來源上的 [Amazon Q Business API 活動](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 資料來源 | AWS::QBusiness::DataSource |
| Amazon Q Business | 索引上的 [Amazon Q Business API 活動](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business 索引 | AWS::QBusiness::Index |
| Amazon Q Business | Web 體驗上的 [Amazon Q Business API 活動](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/logging-using-cloudtrail.html#service-name-data-plane-events-cloudtrail)。 | Amazon Q Business Web 體驗 | AWS::QBusiness::WebExperience |
| Amazon Q Business | Amazon Q Business 整合 API 活動。 | **Amazon Q Business 整合** | `AWS::QBusiness::Integration` |
| Amazon Q Developer | 整合上的 Amazon Q Developer API 活動。 | Q 開發人員整合 | AWS::QDeveloper::Integration |
| Amazon Q Developer | 有關操作調查的 [Amazon Q Developer API 活動](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/logging_cw_api_calls.html#Q-Developer-Investigations-Cloudtrail)。 | AIOps 調查群組 | AWS::AIOps::InvestigationGroup |
| Amazon Quick | 動作連接器上的 Amazon Quick API 活動。 | AWS QuickSuite 動作 | AWS::Quicksight::ActionConnector |
| Amazon Quick | Amazon Quick Flow API 活動。 | **QuickSight 流程** | `AWS::QuickSight::Flow` |
| Amazon Quick | Amazon Quick FlowSession API 活動。 | **QuickSight 流程工作階段** | `AWS::QuickSight::FlowSession` |
| Amazon SageMaker AI | 端點上的 Amazon SageMaker AI [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpointWithResponseStream.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpointWithResponseStream.html)活動。 | SageMaker AI 端點 | AWS::SageMaker::Endpoint |
| Amazon SageMaker AI | 功能存放區上的 Amazon SageMaker AI API 活動。 | SageMaker AI 功能存放區 | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker AI | [實驗試驗元件](https://docs.aws.amazon.com/sagemaker/latest/dg/experiments-monitoring.html)上的 Amazon SageMaker AI API 活動。 | SageMaker AI 指標實驗試驗元件 | AWS::SageMaker::ExperimentTrialComponent |
| Amazon SageMaker AI | Amazon SageMaker AI MLflow API 活動。 | **SageMaker MLflow** | `AWS::SageMaker::MlflowTrackingServer` |
| AWS Signer | 簽署任務時的簽署者 API 活動。 | 簽署者簽署任務 | AWS::Signer::SigningJob |
| AWS Signer | 簽署設定檔時的簽署者 API 活動。 | 簽署者簽署設定檔 | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | 組態集上的 Amazon Simple Email Service (Amazon SES) API 活動。 | SES 組態設定 | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | 電子郵件身分上的 Amazon Simple Email Service (Amazon SES) API 活動。 | SES 身分 | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | 範本上的 Amazon Simple Email Service (Amazon SES) API 活動。 | SES 範本 | AWS::SES::Template |
| Amazon SimpleDB | 網域上的 Amazon SimpleDB API 活動。 | SimpleDB 網域 | AWS::SDB::Domain |
| AWS Step Functions | [Step Functions API 活動](https://docs.aws.amazon.com/step-functions/latest/dg/procedure-cloud-trail.html#cloudtrail-data-events)。 | 步驟函數 | AWS::StepFunctions::Activity |
| AWS Step Functions | [Step Functions API 在狀態機器上的活動](https://docs.aws.amazon.com/step-functions/latest/dg/procedure-cloud-trail.html#cloudtrail-data-events)。 | Step Functions 狀態機器 | AWS::StepFunctions::StateMachine |
| AWS Systems Manager | 控制頻道上的 [Systems Manager API 活動](https://docs.aws.amazon.com/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html#cloudtrail-data-events)。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | 影響評估上的 Systems Manager API 活動。 | SSM 影響評估 | AWS::SSM::ExecutionPreview |
| AWS Systems Manager | 受管節點上的 [Systems Manager API 活動](https://docs.aws.amazon.com/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html#cloudtrail-data-events)。 | Systems Manager 受管節點 | AWS::SSM::ManagedNode |
| Amazon Timestream | 資料庫上的 Amazon Timestream [https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html) API 活動。 | Timestream 資料庫 | AWS::Timestream::Database |
| Amazon Timestream | 區域端點上的 Amazon Timestream API 活動。 | Timestream 區域端點 | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | 資料庫上的 Amazon Timestream [https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_Query.html) API 活動。 | Timestream 資料表 | AWS::Timestream::Table |
| Amazon Verified Permissions | 政策存放區上的 Amazon Verified Permissions API 活動。 | Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces 精簡型客戶端 | 裝置上的 WorkSpaces 精簡型客戶端 API 活動。 | 精簡型客戶端裝置 | AWS::ThinClient::Device |
| Amazon WorkSpaces 精簡型客戶端 | 環境上的 WorkSpaces 精簡型客戶端 API 活動。 | 精簡型客戶端環境 | AWS::ThinClient::Environment |
| AWS X-Ray | [追蹤](https://docs.aws.amazon.com/xray/latest/devguide/xray-concepts.html#xray-concepts-traces)上的 [X-Ray API 活動](https://docs.aws.amazon.com/xray/latest/devguide/xray-api-cloudtrail.html#cloudtrail-data-events)。 | X-Ray 追蹤 | AWS::XRay::Trace |
| Amazon AIDevOps | 代理程式空間上的 AIDevOps API 活動。 | 客服人員空間 | AWS::AIDevOps::AgentSpace |
| Amazon AIDevOps | 關聯上的 AIDevOps API 活動。 | AIDevOps 關聯 | AWS::AIDevOps::Association |
| Amazon AIDevOps | 操作員應用程式團隊上的 AIDevOps API 活動。 | AIDevOps 運算子應用程式團隊 | AWS::AIDevOps::OperatorAppTeam |
| Amazon AIDevOps | 管道中繼資料上的 AIDevOps API 活動。 | AIDevOps 管道中繼資料 | AWS::AIDevOps::PipelineMetadata |
| Amazon AIDevOps | 服務上的 AIDevOps API 活動。 | AIDevOps 服務 | AWS::AIDevOps::Service |
| Amazon Bedrock | 進階最佳化提示任務上的 Bedrock API 活動。 | AdvancedOptimizePromptJob | AWS::Bedrock::AdvancedOptimizePromptJob |
| Amazon Bedrock AgentCore | 評估器上的 Bedrock AgentCore API 活動。 | Bedrock-AgentCore 評估器 | AWS::BedrockAgentCore::Evaluator |
| Amazon 成本最佳化 | 設定檔上的 CloudOptimization API 活動。 | CloudOptimization 設定檔 | AWS::CloudOptimization::Profile |
| Amazon 成本最佳化 | 建議的 CloudOptimization API 活動。 | CloudOptimization 建議 | AWS::CloudOptimization::Recommendation |
| Amazon GuardDuty | 惡意軟體掃描上的 GuardDuty API 活動。 | GuardDuty 惡意軟體掃描 | AWS::GuardDuty::MalwareScan |
| Amazon NovaAct | 工作流程定義的 Amazon NovaAct API 活動。 | 工作流程定義 | AWS::NovaAct::WorkflowDefinition |
| Amazon NovaAct | 工作流程執行上的 Amanzon NovaAct API 活動。 | 工作流程執行 | AWS::NovaAct::WorkflowRun |
| Amazon Redshift | 叢集上的 Redshift API 活動。 | Amazon Redshift 叢集 | AWS::Redshift::Cluster |
| Amazon Support | 租用戶上的 SupportAccess API 活動。 | SupportAccess 租用戶 | AWS::SupportAccess::Tenant |
| Amazon Support | 信任帳戶的 SupportAccess API 活動。 | SupportAccess 信任帳戶 | AWS::SupportAccess::TrustingAccount |
| Amazon Support | 信任角色的 SupportAccess API 活動。 | SupportAccess 信任角色 | AWS::SupportAccess::TrustingRole |
| Amazon 轉換 | 轉換代理程式執行個體上的 API 活動。 | 轉換代理程式執行個體 | AWS::Transform::AgentInstance |
| Amazon 轉換自訂 | 轉換行銷活動上的自訂 API 活動。 | Transform-Custom 行銷活動 | AWS::TransformCustom::Campaign |
| Amazon 轉換自訂 | 在對話上轉換自訂 API 活動。 | 轉換自訂對話 | AWS::TransformCustom::Conversation |
| Amazon 轉換自訂 | 在知識項目上轉換自訂 API 活動。 | Transform-Custom 知識項目 | AWS::TransformCustom::KnowledgeItem |
| Amazon 轉換自訂 | 轉換套件上的自訂 API 活動。 | Transform-Custom 套件 | AWS::TransformCustom::Package |
依預設,在您建立追蹤或事件資料存放區時,不會記錄資料事件。若要記錄 CloudTrail 資料事件,您必須明確地新增欲收集之活動的受支援資源或資源類型。如需詳細資訊,請參閱[使用 CloudTrail 主控台建立追蹤](cloudtrail-create-a-trail-using-the-console-first-time.md)及[使用主控台為 CloudTrail 事件建立事件資料存放區](query-event-data-store-cloudtrail.md)。
記錄資料事件需支付額外的費用。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
下列範例顯示 Amazon SNS `Publish`動作資料事件的單一日誌記錄。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::123456789012:user/Bob",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "ExampleUser"
},
"attributes": {
"creationDate": "2023-08-21T16:44:05Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-08-21T16:48:37Z",
"eventSource": "sns.amazonaws.com",
"eventName": "Publish",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
"requestParameters": {
"topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
"message": "HIDDEN_DUE_TO_SECURITY_REASONS",
"subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
"messageStructure": "json",
"messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": {
"messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
},
"requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
"eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
"readOnly": false,
"resources": [{
"accountId": "123456789012",
"type": "AWS::SNS::Topic",
"ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
}
}
```
下一個範例顯示 Amazon Cognito `GetCredentialsForIdentity`動作資料事件的單一日誌記錄。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-01-19T16:55:08Z",
"eventSource": "cognito-identity.amazonaws.com",
"eventName": "GetCredentialsForIdentity",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.4",
"userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity",
"requestParameters": {
"logins": {
"cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"responseElements": {
"credentials": {
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE",
"expiration": "Jan 19, 2023 5:55:08 PM"
},
"identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE"
},
"requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645",
"eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d",
"readOnly": false,
"resources": [{
"accountId": "111122223333",
"type": "AWS::Cognito::IdentityPool",
"ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "111122223333",
"eventCategory": "Data"
}
```
## 網路活動事件
CloudTrail 網路活動事件可讓 VPC 端點擁有者記錄使用其 VPC 端點從私有 VPC 到 的 AWS API 呼叫 AWS 服務。網路活動事件可讓您查看在 VPC 內執行的資源操作。
您可以記錄下列服務的網路活動事件:
+ AWS AppConfig
+ AWS App Mesh
+ Amazon Athena
+ AWS B2B 資料交換
+ AWS Backup gateway
+ Amazon Bedrock
+ Billing and Cost Management
+ AWS 定價計算工具
+ AWS Cost Explorer
+ AWS 雲端控制 API
+ AWS CloudHSM
+ AWS Cloud Map
+ AWS CloudFormation
+ AWS CloudTrail
+ Amazon CloudWatch
+ CloudWatch Application Signals
+ AWS CodeDeploy
+ Amazon Comprehend Medical
+ AWS Config
+ AWS 資料匯出
+ Amazon Data Firehose
+ AWS Directory Service
+ Amazon DynamoDB
+ Amazon EC2
+ Amazon Elastic Container Service
+ Amazon Elastic File System
+ Elastic Load Balancing
+ Amazon EventBridge
+ Amazon EventBridge 排程器
+ Amazon Fraud Detector
+ AWS 免費方案
+ Amazon FSx
+ AWS Glue
+ AWS HealthLake
+ AWS IoT FleetWise
+ AWS IoT Secure Tunneling
+ AWS Invoicing
+ Amazon Keyspaces (適用於 Apache Cassandra)
+ AWS KMS
+ AWS Lake Formation
+ AWS Lambda
+ AWS License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Personalize
+ Amazon Q Business
+ Amazon Rekognition
+ Amazon Relational Database Service
+ Amazon S3
**注意**
不支援 Amazon S3 [多區域存取點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRequests.html)。
+ Amazon SageMaker AI
+ AWS Secrets Manager
+ Amazon Simple Notification Service
+ Amazon Simple Queue Service
+ Amazon Simple Workflow Service
+ AWS Storage Gateway
+ AWS Systems Manager Incident Manager
+ Amazon Textract
+ Amazon Transcribe
+ Amazon Translate
+ AWS Transform
+ Amazon Verified Permissions
+ Amazon WorkMail
當您建立線索或事件資料存放區時,預設不會記錄網路活動事件。若要記錄 CloudTrail 網路活動事件,您必須明確設定要收集活動的事件來源。如需詳細資訊,請參閱[記錄網路活動事件](logging-network-events-with-cloudtrail.md)。
記錄網路活動事件需支付額外費用。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
下列範例顯示周遊 VPC 端點的成功 AWS KMS `ListKeys`事件。`vpcEndpointId` 欄位會顯示 VPC 端點的 ID。`vpcEndpointAccountId` 欄位會顯示 VPC 端點擁有者的帳戶 ID。在此範例中,請求是由 VPC 端點擁有者提出。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE:role-name",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/role-name",
"accountId": "123456789012",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-06-04T23:10:46Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-06-04T23:12:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeys",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"requestID": "16bcc089-ac49-43f1-9177-EXAMPLE23731",
"eventID": "228ca3c8-5f95-4a8a-9732-EXAMPLE60ed9",
"eventType": "AwsVpceEvent",
"recipientAccountId": "123456789012",
"sharedEventID": "a1f3720c-ef19-47e9-a5d5-EXAMPLE8099f",
"vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
"vpcEndpointAccountId": "123456789012",
"eventCategory": "NetworkActivity"
}
```
下一個範例顯示 VPC 端點政策違規的失敗 AWS KMS `ListKeys`事件。由於發生 VPC 政策違規,因此 `errorCode`和 `errorMessage` 欄位都存在。`recipientAccountId` 和 `vpcEndpointAccountId` 欄位中的帳戶 ID 相同,這表示事件已傳送至 VPC 端點擁有者。`userIdentity` 元素`accountId`中的 不是 `vpcEndpointAccountId`,這表示提出請求的使用者不是 VPC 端點擁有者。
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"accountId": "777788889999"
},
"eventTime": "2024-07-15T23:57:12Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ListKeys",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"errorCode": "VpceAccessDenied",
"errorMessage": "The request was denied due to a VPC endpoint policy",
"requestID": "899003b8-abc4-42bb-ad95-EXAMPLE0c374",
"eventID": "7c6e3d04-0c3b-42f2-8589-EXAMPLE826c0",
"eventType": "AwsVpceEvent",
"recipientAccountId": "123456789012",
"sharedEventID": "702f74c4-f692-4bfd-8491-EXAMPLEb1ac4",
"vpcEndpointId": "vpce-EXAMPLE08c1b6b9b7",
"vpcEndpointAccountId": "123456789012",
"eventCategory": "NetworkActivity"
}
```
## Insights 事件
CloudTrail Insights 事件會透過分析 CloudTrail 管理活動,擷取您的 AWS 帳戶中的異常 API 呼叫率或錯誤率活動。Insights 事件會提供相關資訊,例如關聯的 API、錯誤代碼、事件時間及統計資料,以協助您了解並針對異常活動採取行動。與 CloudTrail 追蹤或事件資料存放區中擷取的其他類型的事件不同,只有在 CloudTrail 偵測到帳戶 API 使用情況或錯誤率記錄變化,且與帳戶的一般使用模式有很大差異時,才會記錄 Insights 事件。如需詳細資訊,請參閱[使用 CloudTrail Insights](logging-insights-events-with-cloudtrail.md)。
可能產生 Insights 事件的活動範例包括:
+ 您的帳戶通常每分鐘記錄不超過 20 個 Amazon S3 `deleteBucket` API 呼叫,但是您的帳戶開始記錄到每分鐘平均 100 個 `deleteBucket` API 呼叫。異常活動開始時會記錄 Insights 事件,並記錄另一個 Insights 事件以標示異常的活動結束。
+ 您的帳戶通常每分鐘記錄 20 個 Amazon EC2 `AuthorizeSecurityGroupIngress` API 呼叫,但您的帳戶開始記錄到零個 `AuthorizeSecurityGroupIngress` 呼叫。異常活動開始時會記錄 Insights 事件,並在十分鐘後,當異常活動結束時,記錄另一個 Insights 事件以標示異常的活動結束。
+ 您的帳戶於 7 天內在 AWS Identity and Access Management API 上記錄通常少於一個的 `AccessDeniedException` 錯誤,`DeleteInstanceProfile`。您的帳戶開始在 `DeleteInstanceProfile` API 呼叫中記錄每分鐘 12 個 `AccessDeniedException` 錯誤的平均值。異常錯誤率活動開始時會記錄 Insights 事件,並記錄另一個 Insights 事件以標示異常活動的結束。
這些範例僅供說明之用。您的結果可能會根據您的使用案例而有所不同。
若要記錄 CloudTrail Insights 事件,您必須在新的或現有的追蹤或事件資料存放區上明確啟用 Insights 事件。如需建立線索的詳細資訊,請參閱 [使用 CloudTrail 主控台建立追蹤](cloudtrail-create-a-trail-using-the-console-first-time.md)。如需有關建立事件資料存放區的詳細資訊,請參閱 [使用主控台建立 Insights 事件的事件資料存放區](query-event-data-store-insights.md)。
Insights 事件會產生額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需詳細資訊,請參閱[AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
CloudTrail Insights 中會記錄兩個事件以顯示異常活動:開始事件和結束事件。下列範例顯示 Application Auto Scaling API `CompleteLifecycleAction` 被呼叫異常次數時發生的開始 Insights 事件的單一日誌記錄。對於 Insights 事件,`eventCategory` 的值為 `Insight`。`insightDetails` 區塊會識別事件狀態、來源、名稱、Insights 類型和內容,包括統計資料和歸因。如需 `insightDetails` 區塊的詳細資訊,請參閱 [追蹤的 Insights 事件 CloudTrail 記錄內容](cloudtrail-insights-fields-trails.md)。
```
{
"eventVersion": "1.08",
"eventTime": "2023-07-10T01:42:00Z",
"awsRegion": "us-east-1",
"eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "123456789012",
"sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee",
"insightDetails": {
"state": "Start",
"eventSource": "autoscaling.amazonaws.com",
"eventName": "CompleteLifecycleAction",
"insightType": "ApiCallRateInsight",
"insightContext": {
"statistics": {
"baseline": {
"average": 9.82222E-5
},
"insight": {
"average": 5.0
},
"insightDuration": 1,
"baselineDuration": 10181
},
"attributions": [{
"attribute": "userIdentityArn",
"insight": [{
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
"average": 5.0
}, {
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2",
"average": 5.0
}, {
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3",
"average": 5.0
}],
"baseline": [{
"value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1",
"average": 9.82222E-5
}]
}, {
"attribute": "userAgent",
"insight": [{
"value": "codedeploy.amazonaws.com",
"average": 5.0
}],
"baseline": [{
"value": "codedeploy.amazonaws.com",
"average": 9.82222E-5
}]
}, {
"attribute": "errorCode",
"insight": [{
"value": "null",
"average": 5.0
}],
"baseline": [{
"value": "null",
"average": 9.82222E-5
}]
}]
}
},
"eventCategory": "Insight"
}
```