什麼是 AWS CloudTrail? - AWS CloudTrail
存取 CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS CloudTrail?

AWS CloudTrail AWS 服務 是可協助您啟用您的 AWS 帳戶. 使用者、角色或 AWS 服務所執行的動作會記錄為中的事件 CloudTrail。事件包括在 AWS Management Console、 AWS Command Line Interface和中執行的 AWS SDKs動作APIs。

CloudTrail 在您創建它 AWS 帳戶 時處於活動狀態。當您的活動發生時 AWS 帳戶,該活動會記錄在 CloudTrail 事件中。

CloudTrail 提供三種記錄事件的方法:

  • 事件歷史記錄事件歷史記錄提供過去 90 天發生的 AWS 區域管理事件的可檢視、可搜尋、可下載而且不可變的記錄。您可以透過篩選單個屬性搜尋事件。創建帳戶時,您將自動獲得事件歷史記錄的存取權。如需詳細資訊,請參閱 使用 CloudTrail 事件歷史記錄

    查看活動歷史記錄不 CloudTrail 收取任何費用。

  • CloudTrail LakeAWS CloudTrail Lake 是一個受管理的資料湖,用於擷取、儲存、存取和分析上的使用者和API活動,以 AWS 供稽核和安全用途。 CloudTrail 湖泊將基於行的JSON格式現有的事件轉換為 Apache ORC 格式。ORC是針對快速擷取資料進行最佳化的單欄式儲存格式。系統會將事件彙總到事件資料存放區中,事件資料存放區是事件的不可變集合,其依據為您透過套用進階事件選取器選取的條件。如果您選擇一年可延長保留定價選項,則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年);如果您選擇七年保留定價選項,則最多可保留 2,557 天 (約 7 年)。您可以使用為單一 AWS 帳戶 或多個事件資料倉庫建立事件 AWS 帳戶 資料倉庫 AWS Organizations。您可以將 S3 儲存貯體中的任何現有 CloudTrail 日誌匯入現有或新的事件資料存放區。您還可以使用 Lake 儀表板將熱門 CloudTrail 事件趨勢視覺化。如需詳細資訊,請參閱 使用 AWS CloudTrail Lake

    CloudTrail Lake 事件資料存放區和查詢會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。在 Lake 中執行查詢時,您需要依據掃描的資料量付費。如需有關 CloudTrail 定價和管理 Lake 成本的資訊,請參閱AWS CloudTrail 定價管理 CloudTrail Lake 成本.

  • 追蹤追蹤可擷取 AWS 活動記錄,在 Amazon S3 儲存貯體中交付和存放這些事件,並可選擇交付到CloudWatch 日誌Amazon EventBridge。您可以輸入這些事件到您的安全監控解決方案。您也可以使用自己的第三方解決方案或解決方案 (例如 Amazon Athena) 來搜尋和分析 CloudTrail 日誌。您可以使用建立單一 AWS 帳戶 或多個 AWS 帳戶 系統線 AWS Organizations。您可以記錄 Insights 事件,以分析您的管理事件,以了解API呼叫量中的異常行為和錯誤率。如需詳細資訊,請參閱 為您的建立追蹤 AWS 帳戶

    您可以透 CloudTrail 過建立追蹤,免費將一份正在進行的管理事件副本傳遞到 S3 儲存貯體,但是 Amazon S3 儲存會產生費用。如需有關 CloudTrail 定價的詳細資訊,請參閱AWS CloudTrail 定價。如需 Amazon S3 定價的相關資訊,請參閱 Amazon S3 定價

可見度您的 AWS 帳戶活動是安全性和營運最佳實踐的關鍵方面。您可以用 CloudTrail 來檢視、搜尋、下載、封存、分析和回應 AWS 基礎結構中的帳戶活動。您可以識別誰或採取了哪些動作、採取了哪些資源處理、事件發生時間,以及其他詳細資料,以協助您分析和回應 AWS 帳戶中的活動。

您可以使用整合 CloudTrail 至應用程式API、為組織自動建立追蹤或事件資料存放區、檢查您建立的事件資料存放區和追蹤的狀態,以及控制使用者檢視 CloudTrail 事件的方式。

存取 CloudTrail

您可以使用下 CloudTrail 列任何一種方式使用。

CloudTrail 控制台

登入 AWS Management Console 並開啟 CloudTrail 主控台,位於https://console.aws.amazon.com/cloudtrail/

CloudTrail 控制台提供用於執行許多 CloudTrail 任務的用戶界面,例如:

  • 查看您 AWS 帳戶的最近事件和事件歷史記錄。

  • 從事件歷史記錄下載過去 90 天管理事件的過濾或完整文件。

  • 建立和編輯 CloudTrail 系統線。

  • 建立和編輯 CloudTrail Lake 事件資料存放區。

  • 對事件資料存放區執行查詢。

  • 設定 CloudTrail 追蹤,包括:

    • 為追蹤選取 Amazon S3 儲存貯體。

    • 設定前綴。

    • 設定傳送至 CloudWatch 記錄檔。

    • 使用密 AWS KMS 鑰對跟踪數據進行加密。

    • 在追蹤上啟用日誌檔交付的 Amazon SNS 通知。

    • 為您的追蹤新增和管理標籤。

  • 設定 CloudTrail Lake 事件資料存放區,包括:

    • 將事件資料存放區與合 CloudTrail 作夥伴或您自己的應用程式整合,以記錄來自外部來源的事件 AWS。

    • 聯合事件資料存放區,以便從 Amazon Athena 執行查詢。

    • 使用 AWS KMS 金鑰加密事件資料存放區資料。

    • 為您的事件資料存放區新增和管理標籤。

如需有關的更多資訊 AWS Management Console,請參閱AWS Management Console

AWS CLI

這 AWS Command Line Interface 是一個統一的工具,您可以使用它 CloudTrail 來從命令行進行交互。如需詳細資訊,請參閱 AWS Command Line Interface 使用者指南如需 CloudTrail CLI命令的完整清單,請參閱《命令參考》中的 cloudtrail 和雲路資料。AWS CLI

CloudTrail APIs

除了主控台和CLI,您也可以 CloudTrail 直接使用 CloudTrail RESTfulAPIs進行程式設計。如需詳細資訊,請參閱AWS CloudTrail API參考CloudTrail-Data API 參考

AWS SDKs

作為使用的替代方法 CloudTrail API,您可以使用其中一個 AWS SDKs. 每個都SDK包含各種程式設計語言和平台的程式庫和範例程式碼。SDKs提供了一種方便的方式來創建程序化訪問 CloudTrail. 例如,您可以使用以密碼方式簽署SDKs要求、管理錯誤,以及自動重試要求。如需詳細資訊,請參閱要建置的工具 AWS頁面