本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudTrail 日誌檔案
您可以使用 CloudTrail 檔案執行更進階的任務。
-
將 CloudTrail 日誌檔案傳送至 Logs 來監控 CloudWatch 日誌檔案。
-
在帳戶之間共享日誌檔案。
-
使用 AWS CloudTrail Processing Library 在 Java 中寫入日誌處理應用程式。
-
驗證您的日誌檔案,以確認它們在 交付後未變更 CloudTrail。
當 帳戶中發生事件時, 會 CloudTrail 評估事件是否符合追蹤的設定。只有符合您追蹤設定的事件才會傳送至您的 Amazon S3 儲存貯體和 Amazon CloudWatch Logs 日誌群組。
您可以分別設定多筆追蹤,以便追蹤只處理和記錄您指定的事件。例如,一筆追蹤可以記錄唯讀資料和管理事件,以便所有的唯讀事件交付到一個 S3 儲存貯體。另一筆追蹤可以只記錄唯寫資料和管理事件,以便所有的唯寫事件交付到另一個 S3 儲存貯體。
您也可以設定您的追蹤,其中一筆追蹤記錄所有管理事件並交付到一個 S3 儲存貯體,並設定另一筆追蹤記錄所有資料事件並交付到另一個 S3 儲存貯體。
您可以設定您的追蹤記錄下列事項:
-
資料事件:這些事件可讓您深入了解對資源執行或在資源中執行的資源操作。這些也稱為資料平面操作。
-
管理事件 :管理事件可讓您查看對 AWS 帳戶中資源執行的管理操作。這些也稱為控制平面操作。管理事件也可以包含在您的帳戶中發生的非API事件。例如,當使用者登入您的帳戶時, 會 CloudTrail 記錄
ConsoleLogin事件。如需詳細資訊,請參閱擷取的非API事件 CloudTrail。 -
網路活動事件: CloudTrail 網路活動事件 (預覽中) 可讓VPC端點擁有者記錄 AWS API從私有VPC端點VPC到 的呼叫 AWS 服務。網路活動事件可讓您檢視在 內執行的資源操作VPC。
-
Insights 事件:Insights 事件會擷取在您的帳戶中偵測到的異常活動。如果您已啟用 Insights 事件,並 CloudTrail 偵測到異常活動,則 Insights 事件會記錄到追蹤的目的地 S3 儲存貯體,但會記錄到不同的資料夾中。您也可以在 CloudTrail 主控台上檢視 Insights 事件時,查看 Insights 事件的類型和事件期間。與 CloudTrail 追蹤中擷取的其他類型事件不同,只有當 CloudTrail 偵測到您帳戶API用量的變化與帳戶的一般用量模式有顯著差異時,才會記錄 Insights 事件。
Insights 事件只會針對管理 產生APIs。如需詳細資訊,請參閱使用 CloudTrail Insights。
注意
CloudTrail 通常在API呼叫後平均約 5 分鐘內傳送日誌。此時間無法保證。如需詳細資訊,請參閱 AWS CloudTrail 服務水準協議
如果您設定錯誤的追蹤 (例如,無法連線 S3 儲存貯體), CloudTrail 會嘗試將日誌檔案重新傳送至 S3 儲存貯體 30 天,而且這些 attempted-to-deliver事件會收取標準 CloudTrail 費用。若要避免支付追蹤設定錯誤費用,您需要刪除追蹤。
主題
