什麼是 AWS CloudTrail? - AWS CloudTrail
存取 CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS CloudTrail?

AWS CloudTrail AWS 服務 是可協助您啟用您的 AWS 帳戶. 使用者、角色或 AWS 服務所執行的動作會記錄為中的事件 CloudTrail。事件包括在 AWS Management Console、 AWS Command Line Interface和 AWS SDK 和 API 中採取的動作。

CloudTrail 在您創建它 AWS 帳戶 時處於活動狀態。當您的活動發生時 AWS 帳戶,該活動會記錄在 CloudTrail 事件中。

CloudTrail 提供三種記錄事件的方法:

  • 事件歷史記錄事件歷史記錄提供過去 90 天發生的 AWS 區域管理事件的可檢視、可搜尋、可下載而且不可變的記錄。您可以透過篩選單個屬性搜尋事件。創建帳戶時,您將自動獲得事件歷史記錄的存取權。如需詳細資訊,請參閱 使用 CloudTrail 事件歷史記錄

    查看活動歷史記錄不 CloudTrail 收取任何費用。

  • CloudTrail LakeAWS CloudTrail Lake 是一個受管理的資料湖,用於擷取、儲存、存取和分析上的使用者和 API 活動,以 AWS 供稽核和安全用途。 CloudTrail 湖將基於行的 JSON 格式的現有事件轉換為 Apache ORC 格式。ORC 是一種單欄式儲存格式,針對快速擷取資料進行了最佳化。系統會將事件彙總到事件資料存放區中,事件資料存放區是事件的不可變集合,其依據為您透過套用進階事件選取器選取的條件。如果您選擇一年可延長保留定價選項,則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年);如果您選擇七年保留定價選項,則最多可保留 2,557 天 (約 7 年)。您可以使用為單一 AWS 帳戶 或多個事件資料倉庫建立事件 AWS 帳戶 資料倉庫 AWS Organizations。您可以將 S3 儲存貯體中的任何現有 CloudTrail 日誌匯入現有或新的事件資料存放區。您還可以使用 Lake 儀表板將熱門 CloudTrail 事件趨勢視覺化。如需詳細資訊,請參閱 工作, 由于, AWS CloudTrail 湖

    CloudTrail Lake 事件資料存放區和查詢會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。在 Lake 中執行查詢時,您需要依據掃描的資料量付費。如需有關 CloudTrail 定價和管理 Lake 成本的資訊,請參閱AWS CloudTrail 定價管理 CloudTrail 湖泊成本.

  • 追蹤追蹤可擷取 AWS 活動記錄,在 Amazon S3 儲存貯體中交付和存放這些事件,並可選擇交付到CloudWatch 日誌Amazon EventBridge。您可以輸入這些事件到您的安全監控解決方案。您也可以使用自己的第三方解決方案或解決方案 (例如 Amazon Athena) 來搜尋和分析 CloudTrail 日誌。您可以使用建立單一 AWS 帳戶 或多個 AWS 帳戶 系統線 AWS Organizations。您可以記錄 Insights 事件,以 API 呼叫量和錯誤率分析您的管理事件是否存在異常行為。如需詳細資訊,請參閱 為您的建立追蹤 AWS 帳戶

    您可以透 CloudTrail 過建立追蹤,免費將一份正在進行的管理事件副本傳遞到 S3 儲存貯體,但是 Amazon S3 儲存會產生費用。如需有關 CloudTrail 定價的詳細資訊,請參閱AWS CloudTrail 定價。如需 Amazon S3 定價的相關資訊,請參閱 Amazon S3 定價

可見度您的 AWS 帳戶活動是安全性和營運最佳實踐的關鍵方面。您可以用 CloudTrail 來檢視、搜尋、下載、封存、分析和回應 AWS 基礎結構中的帳戶活動。您可以識別誰或採取了哪些動作、採取了哪些資源處理、事件發生時間,以及其他詳細資料,以協助您分析和回應 AWS 帳戶中的活動。

您可以使用 API 整合 CloudTrail 到應用程式中、為組織自動建立追蹤或事件資料存放區、檢查您建立的事件資料存放區和追蹤的狀態,以及控制使用者檢視 CloudTrail 事件的方式。

存取 CloudTrail

您可以使用下 CloudTrail 列任何一種方式使用。

CloudTrail 控制台

請登入 AWS Management Console 並開啟 CloudTrail 主控台,網址為 https://console.aws.amazon.com/cloudtrail/

CloudTrail 控制台提供用於執行許多 CloudTrail 任務的用戶界面,例如:

  • 查看您 AWS 帳戶的最近事件和事件歷史記錄。

  • 從事件歷史記錄下載過去 90 天管理事件的過濾或完整文件。

  • 建立和編輯 CloudTrail 系統線。

  • 建立和編輯 CloudTrail Lake 事件資料存放區。

  • 對事件資料存放區執行查詢。

  • 設定 CloudTrail 追蹤,包括:

    • 為追蹤選取 Amazon S3 儲存貯體。

    • 設定前綴。

    • 設定傳送至 CloudWatch 記錄檔。

    • 使用密 AWS KMS 鑰對跟踪數據進行加密。

    • 啟用在追蹤的日誌檔案交付之後的 Amazon SNS 通知。

    • 為您的追蹤新增和管理標籤。

  • 設定 CloudTrail Lake 事件資料存放區,包括:

    • 將事件資料存放區與合 CloudTrail 作夥伴或您自己的應用程式整合,以記錄來自外部來源的事件 AWS。

    • 聯合事件資料存放區,以便從 Amazon Athena 執行查詢。

    • 使用 AWS KMS 金鑰加密事件資料存放區資料。

    • 為您的事件資料存放區新增和管理標籤。

如需有關的更多資訊 AWS Management Console,請參閱AWS Management Console

AWS CLI

這 AWS Command Line Interface 是一個統一的工具,您可以使用它 CloudTrail 來從命令行進行交互。如需詳細資訊,請參閱 AWS Command Line Interface 使用者指南如需 CloudTrail CLI 命令的完整清單,請參閱《命令參考》中的 cloudtrail 和雲路資料。AWS CLI

CloudTrail API

除了控制台和 CLI 之外,您還可以使用 CloudTrail RESTful API CloudTrail 直接進行編程。如需詳細資訊,請參閱 AWS CloudTrail API 參考資料和 CloudTrail-Data API 參考資料。

AWS 開發套件

作為使用 CloudTrail API 的替代方法,您可以使用其中一個 AWS SDK。每種開發套件皆包含多種程式設計語言與平台的程式庫與範本程式碼。SDK 提供了一種方便的方式來創建程序化訪問. CloudTrail 例如,您可以使用開發套件以密碼編譯方式來簽署請求、管理錯誤,以及自動重試請求。如需詳細資訊,請參閱要建置的工具 AWS頁面