本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudTrail 記錄檔
您可以使用 CloudTrail 檔案執行更進階的工作。
-
為每個區域建立多個追蹤。
-
透過將記 CloudTrail 錄檔傳送至記錄檔來監視 CloudWatch 記錄檔。
-
在帳戶之間共享日誌檔案。
-
使用 AWS CloudTrail 處理程式庫以 Java 撰寫記錄處理應用程式。
-
驗證您的記錄檔,以確認它們在遞送之後並未變更 CloudTrail。
當您的帳戶中發生事件時,會 CloudTrail 評估事件是否符合追蹤的設定。只有符合追蹤設定的事件才會傳送到 Amazon S3 儲存貯體和 Amazon CloudWatch 日誌日誌群組。
您可以分別設定多筆追蹤,以便追蹤只處理和記錄您指定的事件。例如,一筆追蹤可以記錄唯讀資料和管理事件,以便所有的唯讀事件交付到一個 S3 儲存貯體。另一筆追蹤可以只記錄唯寫資料和管理事件,以便所有的唯寫事件交付到另一個 S3 儲存貯體。
您也可以設定您的追蹤,其中一筆追蹤記錄所有管理事件並交付到一個 S3 儲存貯體,並設定另一筆追蹤記錄所有資料事件並交付到另一個 S3 儲存貯體。
您可以設定您的追蹤記錄下列事項:
-
資料事件:這些事件可讓您深入了解對資源執行或在資源中執行的資源操作。這些也稱為資料平面操作。
-
管理事件:管理事件可讓您查看對 AWS 帳戶中資源執行的管理作業。這些也稱為控制平面操作。管理事件也可能包含您帳戶中發生的非API事件。例如,當使用者登入您的帳戶時,會 CloudTrail 記錄
ConsoleLogin事件。如需詳細資訊,請參閱 擷取的非API事件 CloudTrail。 -
Insights 事件:Insights 事件會擷取在您的帳戶中偵測到的異常活動。如果您啟用了 Insights 事件並 CloudTrail 偵測到異常活動,Insights 事件會記錄到追蹤的目的地 S3 儲存貯體,但會記錄在不同的資料夾中。您也可以在 CloudTrail 主控台上檢視 Insights 事件時,查看 Insights 事件的類型和事件期間。與 CloudTrail 追蹤中擷取的其他類型事件不同,Insights 事件只有在 CloudTrail 偵測到帳戶使用量與帳戶的一般API使用模式明顯不同時,才會記錄 Insights 事件。
只會針對管理產生深入解析事件APIs。如需詳細資訊,請參閱 記錄 Insights 事件。
注意
CloudTrail 通常會在通API話後平均約 5 分鐘內提供記錄檔。此時間無法保證。如需詳細資訊,請參閱 AWS CloudTrail 服務水準協議
如果您錯誤設定追蹤 (例如,無法連線 S3 儲存貯體), CloudTrail 將嘗試將日誌檔重新傳送到 S3 儲存貯體 30 天,而且這些 attempted-to-deliver 事件將收取標準費用。 CloudTrail 若要避免支付追蹤設定錯誤費用,您需要刪除追蹤。
主題
