本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 什麼是 AWS CloudTrail？
<a name="cloudtrail-user-guide"></a>

**提示**  
如果您使用 CloudTrail 資料事件，您可以透過 [Cloud Operations Enablement 研討會和事件系列](https://aws-experience.com/amer/smb/events/series/Cloud-Operations-Enablement)來學習進階監控技術。

AWS CloudTrail 是一種 AWS 服務 ，可協助您啟用 的操作和風險稽核、控管和合規 AWS 帳戶。使用者、角色或 AWS 服務所執行的動作會在 CloudTrail 中記錄為事件。事件包括在 AWS 管理主控台 AWS Command Line Interface、 和 AWS SDKs和 APIs中採取的動作。

CloudTrail 提供三種記錄事件的方式：
+ **事件歷史記錄** – **事件歷史記錄**提供過去 90 天發生的 AWS 區域管理事件的可檢視、可搜尋、可下載而且不可變的記錄。您可以透過篩選單個屬性搜尋事件。創建帳戶時，您將自動獲得**事件歷史記錄**的存取權。如需詳細資訊，請參閱[使用 CloudTrail 事件歷史記錄](view-cloudtrail-events.md)。

  檢視**事件歷史記錄**不會產生 CloudTrail 費用。
+ **CloudTrail Lake** – [AWS CloudTrail Lake](cloudtrail-lake.md) 是受管資料湖，用於擷取、儲存、存取和分析 上的使用者和 API 活動， AWS 以用於稽核和安全性目的。CloudTrail Lake 會將分列式 JSON 格式的現有事件轉換為 [Apache ORC](https://orc.apache.org/) 格式。ORC 是一種單欄式儲存格式，針對快速擷取資料進行了最佳化。系統會將事件彙總到事件資料存放區中，事件資料存放區是事件的不可變集合，其依據為您透過套用*進階事件選取器*選取的條件。如果您選擇**一年可延長保留定價**選項，則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年)；如果您選擇**七年保留定價**選項，則最多可保留 2,557 天 (約 7 年)。您可以使用 為單一 AWS 帳戶 或多個 建立事件資料存放區 AWS 帳戶 AWS Organizations。您可以從 S3 儲存貯體將任何現有的 CloudTrail 日誌匯入到現有的或新的事件資料存放區。您還可以使用 [Lake 儀表板](lake-dashboard.md)對熱門的 CloudTrail 事件趨勢進行視覺化呈現。如需詳細資訊，請參閱[使用 AWS CloudTrail Lake](cloudtrail-lake.md)。

  CloudTrail Lake 事件資料存放區和查詢會產生費用。建立事件資料存放區時，您可以選擇要用於事件資料存放區的[定價選項](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。在 Lake 中執行查詢時，您需要依據掃描的資料量付費。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊，請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/) 和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
+ **線索** – *線索*會擷取 AWS 活動記錄，交付這些事件並將其儲存在 Amazon S3 儲存貯體中，並選擇性交付至 [CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md) 和 [Amazon EventBridge](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-eventbridge)。您可以輸入這些事件到您的安全監控解決方案。您還可以使用您自己的第三方解決方案，或 Amazon Athena 等解決方案來搜尋並分析您的 CloudTrail 日誌。您可以使用 為單一 AWS 帳戶 或多個 建立線索 AWS 帳戶 AWS Organizations。您可以[記錄 Insights 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-insights-events-with-cloudtrail.html)，以分析 API 呼叫率和錯誤率中異常行為的管理事件。如需詳細資訊，請參閱[為您的 建立線索 AWS 帳戶](cloudtrail-create-and-update-a-trail.md)。

  您可以透過建立線索，從 CloudTrail 免費將一份持續管理事件的副本交付至 S3 儲存貯體，不過，需要支付 Amazon S3 儲存費用。如需 CloudTrail 定價的詳細資訊，請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。如需 Amazon S3 定價的相關資訊，請參閱 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)。

您 AWS 帳戶活動的可見性是安全和操作最佳實務的關鍵層面。您可以使用 CloudTrail 來檢視、搜尋、下載、封存、分析和回應整個 AWS 基礎設施的帳戶活動。您可以識別誰或什麼採取了哪些動作、採取了哪些資源、事件發生的時間，以及其他詳細資訊，以協助您分析和回應 AWS 帳戶中的活動。

您可以使用 API 將 CloudTrail 整合到應用程式、自動建立您組織的追蹤或事件資料存放區、檢查您所建立事件資料存放區和追蹤的狀態，以及控制使用者如何檢視 CloudTrail 事件。

## 存取 CloudTrail
<a name="cloudtrail-accessing"></a>

您可以透過下列任何方式使用 CloudTrail。

**Topics**
+ [CloudTrail 主控台](#cloudtrail-accessing-console)
+ [AWS CLI](#cloudtrail-accessing-cli)
+ [CloudTrail API](#cloudtrail-accessing-api)
+ [AWS SDKs](#cloudtrail-accessing-sdk)

### CloudTrail 主控台
<a name="cloudtrail-accessing-console"></a>

登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。

CloudTrail 主控台提供用於執行許多 CloudTrail 任務的使用者介面，例如：
+ 檢視您 AWS 帳戶的最新事件和事件歷史記錄。
+ 從**事件歷史記錄**下載過去 90 天管理事件的篩選或完整檔案。
+ 建立和編輯 CloudTrail 追蹤。
+ 建立和編輯 CloudTrail Lake 事件資料存放區。
+ 對事件資料存放區執行查詢。
+ 設定 CloudTrail 追蹤，包含：
  + 為追蹤選取 Amazon S3 儲存貯體。
  + 設定前綴。
  + 設定交付至 CloudWatch Logs。
  + 使用 AWS KMS 金鑰來加密追蹤資料。
  + 啟用在追蹤的日誌檔案交付之後的 Amazon SNS 通知。
  + 為您的追蹤新增和管理標籤。
+ 設定 CloudTrail Lake 事件資料存放區，包括：
  + 將事件資料存放區與 CloudTrail 合作夥伴或您自己的應用程式整合，以記錄來自 外部來源的事件 AWS。
  + 聯合事件資料存放區以從 Amazon Athena 執行查詢。
  + 使用 AWS KMS 金鑰加密事件資料存放區資料。
  + 為您的事件資料存放區新增和管理標籤。

如需 的詳細資訊 AWS 管理主控台，請參閱 [AWS 管理主控台](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/learn-whats-new.html)。

### AWS CLI
<a name="cloudtrail-accessing-cli"></a>

 AWS Command Line Interface 是一個統一的工具，您可以用來從命令列與 CloudTrail 互動。如需詳細資訊，請參閱[「AWS Command Line Interface 使用者指南」](https://docs.aws.amazon.com/cli/latest/userguide/)。如需 CloudTrail CLI 命令的完整清單，請參閱《 *AWS CLI 命令參考*》中的 [cloudtrail](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/) 和 [cloudtrail-data](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail-data/)。

### CloudTrail API
<a name="cloudtrail-accessing-api"></a>

除了主控台和 CLI 之外，您也可以使用 CloudTrail RESTful API 直接編寫 CloudTrail。如需詳細資訊，請參閱 [AWS CloudTrail API 參考](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/Welcome.html)和 [CloudTrail-Data API 參考](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/Welcome.html)。

### AWS SDKs
<a name="cloudtrail-accessing-sdk"></a>

除了使用 CloudTrail API 之外，您也可以使用其中一個 AWS SDKs。每種開發套件皆包含多種程式設計語言與平台的程式庫與範本程式碼。開發套件提供便捷方法來建立對 CloudTrail 的程式化存取。例如，您可以使用開發套件以密碼編譯方式來簽署請求、管理錯誤，以及自動重試請求。如需詳細資訊，請參閱[建置工具頁面 AWS](https://aws.amazon.com/developer/tools/)。