使用主控台建立 Insights 事件的事件資料存放區 - AWS CloudTrail
若要建立會記錄 Insights 事件的目的地事件資料存放區若要建立會啟用 Insights 事件的來源事件資料存放區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用主控台建立 Insights 事件的事件資料存放區

AWS CloudTrail Insights 透過持續分析 CloudTrail 管理事件,協助 AWS 使用者識別和回應與API通話率和API錯誤率相關的異常活動。 CloudTrail Insights 分析您的正常API通話率和API錯誤率模式,也稱為基準,並在通話量或錯誤率超出正常模式時產生 Insights 事件。系統會針對write管理 產生API呼叫率的 Insights 事件APIs,並針對 write read和管理 產生API錯誤率的 Insights 事件APIs。

若要在 CloudTrail Lake 中記錄 Insights 事件,您需要一個目標事件資料存放區,記錄 Insights 事件,以及啟用 Insights 和日誌管理事件的來源事件資料存放區。

注意

若要以API呼叫率記錄 Insights 事件,來源事件資料存放區必須記錄write管理事件。若要以API錯誤率記錄 Insights 事件,來源事件資料存放區必須記錄readwrite管理事件。

如果您在來源事件資料存放區上啟用 CloudTrail Insights,並 CloudTrail 偵測到異常活動, CloudTrail 請將 Insights 事件交付至目的地事件資料存放區。與其他在 CloudTrail 事件資料存放區中擷取的事件類型不同,只有當 CloudTrail 偵測到您帳戶API用量的變化與帳戶的典型用量模式有顯著差異時,才會記錄 Insights 事件。

在您第一次在事件資料存放區上啟用 CloudTrail Insights 之後,如果在此期間偵測到異常活動, CloudTrail 則可能需要最多 7 天的時間才能開始交付 Insights 事件。

CloudTrail Insights 會分析事件資料存放區每個區域中發生的管理事件,並在偵測到異常活動偏離基準時產生 Insights 事件。 CloudTrail Insights 事件會在與其支援管理事件產生的相同區域中產生。

對於組織事件資料存放區, CloudTrail Insights 會分析組織中每個區域每個成員帳戶的管理事件,並在偵測到異常活動時產生偏離帳戶和區域的基準的 Insights 事件。

在 CloudTrail Lake 中擷取 Insights 事件需支付額外費用。如果您同時為線索和 CloudTrail Lake 事件資料存放區啟用 Insights,則會另外收費。如需 CloudTrail 定價的相關資訊,請參閱AWS CloudTrail 定價

若要建立會記錄 Insights 事件的目的地事件資料存放區

在建立 Insights 事件資料存放區時,您可以選擇一個記錄管理事件的現有來源事件資料存放區,然後指定想要接收的 Insights 類型。或者,您也可以在建立 Insights 事件資料存放區後啟用新的或現有事件資料存放區上的 Insights,然後選擇此事件資料存放區作為目的地事件資料存放區。

此程序將向您說明如何建立記錄 Insights 事件的目的地事件資料存放區。

  1. 登入 AWS Management Console 並在 開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/

  2. 在導覽窗格中,開啟 Lake 子選單,然後選擇 Event data stores (事件資料存放區)。

  3. 選擇 Create event data store (建立事件資料存放區)。

  4. 設定事件資料存放區頁面上的一般詳細資訊中,輸入事件資料存放區的名稱。名稱為必填。

  5. 選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 AWS CloudTrail 定價管理 CloudTrail Lake 成本

    以下為可用的選項:

    • 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天後,延長保留可用於 pay-as-you-go定價。此為預設選項。

      • 預設保留期:366 天

      • 最長保留期:3,653 天

    • 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。

      • 預設保留期:2,557 天

      • 最長保留期:2,557 天

  6. 指定事件資料存放區的保留期間 (以天為單位)。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是七年保留定價選項,則可介於 7 天到 2,557 天 (約七年) 之間。事件資料存放區會在指定的天數內保留事件資料。

  7. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇使用我自己的 AWS KMS key。選擇新增以為您 AWS KMS key 建立 ,或選擇現有以使用現有KMS金鑰。在輸入KMS別名中,以 格式指定別名alias/MyAliasName。使用您自己的KMS金鑰需要編輯KMS金鑰政策,以允許加密和解密事件資料存放區。如需詳細資訊,請參閱 設定 的 AWS KMS 金鑰政策 CloudTrail。 CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰

    使用您自己的KMS金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與KMS金鑰建立關聯後,就無法移除或變更KMS金鑰。

    注意

    若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有KMS金鑰。

  8. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 Lake 查詢聯合中選擇啟用。聯合可讓您在 Data Catalog 中 AWS Glue 檢視與事件資料存放區相關聯的中繼資料,並根據 Athena 中的事件資料執行SQL查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱聯合事件資料存放區

    若要啟用 Lake 查詢聯合,請選擇啟用,然後執行下列動作:

    1. 選擇您要建立新角色或使用現有IAM角色。 AWS Lake Formation使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時, CloudTrail 會自動建立具有所需許可的角色。如果您選擇現有角色,請確認該角色的政策可提供必要的最低許可

    2. 如果您要建立新角色,請輸入名稱以識別角色。

    3. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。

  9. (選用) 選擇啟用資源政策,將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可以在事件資料存放區上執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 事件資料存放區的資源型政策範例

    資源型政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的主體,以及主體可以在事件資料存放區資源上執行的動作。

    事件資料存放區的資源型政策支援下列動作:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    對於組織事件資料存放區, 會 CloudTrail 建立預設的資源型政策,列出委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,已註冊或移除 CloudTrail 委派管理員帳戶)。

  10. (選用) 在 Tags (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需如何使用IAM政策根據標籤授權存取事件資料存放區的詳細資訊,請參閱範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。如需如何在 中使用標籤的詳細資訊 AWS,請參閱《 標記 AWS 資源使用者指南》中的標記 AWS 資源

  11. 選擇 Next (下一步) 以設定事件資料存放區。

  12. 選擇事件頁面上,選擇AWS 事件,然後選擇 CloudTrail Insights 事件

  13. CloudTrail Insights 事件中,執行下列動作。

    1. 如果您想要為組織的委派管理員授予存取此事件資料存放區的權限,則選擇允許委派管理員存取權。只有在您使用 AWS Organizations 組織的管理帳戶登入時,才能使用此選項。

    2. (選用) 選擇記錄管理事件的現有來源事件資料存放區,並指定您想要接收的 Insights 類型。

      若要新增來源事件資料存放區,請執行下列動作。

      1. 選擇新增來源事件資料存放區

      2. 選擇來源事件資料存放區。

      3. 選擇您想要接收的 Insights 類型

        • ApiCallRateInsight - ApiCallRateInsight Insights 類型會分析每分鐘彙總的僅寫入管理API呼叫,與基準API呼叫磁碟區比較。若要接收 ApiCallRateInsight 上的 Insights,來源事件資料存放區必須記錄寫入管理事件。

        • ApiErrorRateInsightApiErrorRateInsight Insights 類型會分析導致錯誤碼的管理API呼叫。如果API呼叫失敗,則會顯示錯誤。若要接收 ApiErrorRateInsight 上的 Insights,來源事件資料存放區必須記錄寫入讀取管理事件。

      4. 重複前兩個步驟 (ii 和 iii),以新增任何您想要接收的其他 Insights 類型。

  14. 選擇 Next (下一步) 以檢閱您的選項。

  15. Review and create (檢閱和建立) 頁面上,檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 Create event data store (建立事件資料存放區)。

  16. 新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

  17. 如果您在步驟 10 中未選擇來源事件資料存放區,請依照 若要建立會啟用 Insights 事件的來源事件資料存放區 中的步驟來建立一個來源事件資料存放區。

若要建立會啟用 Insights 事件的來源事件資料存放區

此程序將向您說明如何建立會啟用 Insights 事件並記錄管理事件的來源事件資料存放區。

  1. 登入 AWS Management Console 並在 開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/

  2. 在導覽窗格中,開啟 Lake 子選單,然後選擇 Event data stores (事件資料存放區)。

  3. 選擇 Create event data store (建立事件資料存放區)。

  4. 設定事件資料存放區頁面上的一般詳細資訊中,輸入事件資料存放區的名稱。名稱為必填。

  5. 選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 AWS CloudTrail 定價管理 CloudTrail Lake 成本

    以下為可用的選項:

    • 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天後,延長保留可用於 pay-as-you-go定價。此為預設選項。

      • 預設保留期:366 天

      • 最長保留期:3,653 天

    • 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。

      • 預設保留期:2,557 天

      • 最長保留期:2,557 天

  6. 指定事件資料存放區的保留期。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是七年保留定價選項,則可介於 7 天到 2,557 天 (約七年) 之間。

    CloudTrail Lake 會檢查事件eventTime的 是否在指定的保留期間內,以決定是否保留事件。例如,如果您指定 90 天的保留期間, CloudTrail 會在事件eventTime超過 90 天時將其移除。

  7. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇使用我自己的 AWS KMS key。選擇新增以為您 AWS KMS key 建立 ,或選擇現有以使用現有KMS金鑰。在輸入KMS別名中,以 格式指定別名alias/MyAliasName。使用您自己的KMS金鑰需要編輯KMS金鑰政策,以允許加密和解密事件資料存放區。如需詳細資訊,請參閱 設定 的 AWS KMS 金鑰政策 CloudTrail。 CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰

    使用您自己的KMS金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與KMS金鑰建立關聯後,就無法移除或變更KMS金鑰。

    注意

    若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有KMS金鑰。

  8. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 Lake 查詢聯合中選擇啟用。聯合可讓您在 Data Catalog 中 AWS Glue 檢視與事件資料存放區相關聯的中繼資料,並根據 Athena 中的事件資料執行SQL查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱聯合事件資料存放區

    若要啟用 Lake 查詢聯合,請選擇啟用,然後執行下列動作:

    1. 選擇您要建立新角色或使用現有IAM角色。 AWS Lake Formation使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時, CloudTrail 會自動建立具有所需許可的角色。如果您選擇現有角色,請確認該角色的政策可提供必要的最低許可

    2. 如果您要建立新角色,請輸入名稱以識別角色。

    3. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。

  9. (選用) 選擇啟用資源政策,將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可以在事件資料存放區上執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 事件資料存放區的資源型政策範例

    資源型政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的主體,以及主體可以在事件資料存放區資源上執行的動作。

    事件資料存放區的資源型政策支援下列動作:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    對於組織事件資料存放區, 會 CloudTrail 建立預設資源型政策,列出委派管理員帳戶允許在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,已註冊或移除 CloudTrail 委派管理員帳戶)。

  10. (選用) 在 Tags (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需如何使用IAM政策根據標籤授權存取事件資料存放區的詳細資訊,請參閱範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。如需如何在 中使用標籤的詳細資訊 AWS,請參閱《 標記 AWS 資源使用者指南》中的標記 AWS 資源

  11. 選擇 Next (下一步) 以設定事件資料存放區。

  12. 選擇事件頁面上,選擇AWS 事件,然後選擇CloudTrail事件

  13. CloudTrail 事件中,保留選取管理事件

  14. 若要讓事件資料存放區從 AWS Organizations 組織中的所有帳戶收集事件,請選取 Enable for all accounts in my organization (啟用我組織中的所有帳戶)。您必須登入到組織的管理帳戶,才能建立會啟用 Insights 的事件資料存放區。

  15. 展開其他設定以選擇您希望事件資料存放區收集所有事件 AWS 區域,還是僅收集目前事件 AWS 區域,並選擇事件資料存放區擷取事件。依預設,您的事件資料存放區會從帳戶的所有區域收集事件,而且會在建立時開始擷取事件。

    1. 如果您希望僅包括目前區域中記錄的事件,請選擇在我的事件資料存放區中僅包含目前區域。如果未選擇此選項,則您的事件資料存放區將包含來自所有區域的事件。

    2. 維持選取擷取事件

  16. 選擇簡易事件集合進階事件集合

    • 如果您想要記錄所有事件、僅記錄讀取事件或僅記錄寫入事件,請選擇簡單事件集合。您也可以選擇排除 AWS Key Management Service 和 Amazon RDS Data API事件。

    • 如果您想要根據進階事件選取器欄位的值包含或排除管理事件,包括 、、、 和 欄位,請選擇進階事件集合eventName eventType eventSource sessionCredentialFromConsole userIdentity.arn

  17. 如果您選擇簡易事件集合,請選擇是否要記錄所有事件、僅記錄讀取事件,或僅記錄寫入事件。您也可以選擇排除 AWS KMS 和 Amazon RDS Data API事件。

  18. 如果您選取進階事件集合,請進行下列選擇:

    1. 日誌選取器範本中,選擇範本或自訂,以根據進階事件選取器欄位值建置自訂組態。

    2. (選用) 在選取器名稱中,輸入用於識別選取器的名稱。選擇器名稱是進階事件選擇器的描述性名稱,例如「從 AWS Management Console 工作階段記錄管理事件」。選擇器名稱在進階事件選擇器Name中列為 ,如果您展開JSON檢視,則可檢視。

    3. 如果您選擇自訂,在進階事件選擇器中,會根據進階事件選擇器欄位值來建置表達式。

      注意

      選取器不支援使用萬用字元,例如 * 。若要將多個值與單一條件相符,您可以使用 StartsWithNotStartsWithEndsWith或 來NotEndsWith明確比對事件欄位的開頭或結尾。

      1. 從下列欄位選取。

        • readOnlyreadOnly可以設定為等於 true或 的值false。設定為 時false,事件資料存放區會記錄唯讀管理事件。唯讀管理事件是不會變更資源狀態的事件,例如 Get*Describe*事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 Put*Delete*Write* 事件。若要同時記錄讀取寫入事件,請勿新增readOnly選擇器。

        • eventNameeventName 可以使用任何運算子。您可以使用它來包含或排除任何管理事件,例如 CreateAccessPointGetAccessPoint

        • userIdentity.arn – 包含或排除特定IAM身分所採取動作的事件。如需詳細資訊,請參閱 CloudTrail userIdentity 元素

        • sessionCredentialFromConsole – 包含或排除源自 AWS Management Console 工作階段的事件。此欄位可以設定為等於或不等於 的值true

        • eventSource – 您可以使用它來包含或排除特定事件來源。eventSource 通常是簡短形式的服務名稱,不含空格加 .amazonaws.com。例如,您可以將eventSource等於 設定為僅ec2.amazonaws.com記錄 Amazon EC2管理事件。

        • eventTypeeventType要包含或排除的 。例如,您可以將此欄位設定為不等於AwsServiceEvent排除AWS 服務 事件

      2. 針對每個欄位,選擇 + 條件,視需要新增任意數目的條件,所有條件最多可指定 500 個值。

        如需如何 CloudTrail 評估多個條件的詳細資訊,請參閱如何 CloudTrail 評估欄位的多個條件

        注意

        對於事件資料存放區上的所有選取器,您最多可以有 500 個值。這包括一個選擇器的多個值的陣列,如 eventName。如果所有選擇器都有單個值,則最多可以有 500 個條件新增至選擇器。

      3. 選擇 + 欄位以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。

    4. 或者,展開JSON檢視,將進階事件選擇器視為JSON區塊。

  19. 選擇啟用 Insights 事件擷取

  20. 選擇將記錄 Insights 事件的目的地事件存放區。目的地事件資料存放區將依據此事件資料存放區中的管理事件活動收集 Insights 事件。如需有關如何建立目的地事件資料存放區的資訊,請參閱 若要建立會記錄 Insights 事件的目的地事件資料存放區

  21. 選擇 Insights 類型。您可以選擇API呼叫率API錯誤率或兩者。您必須記錄寫入管理事件,以記錄API呼叫率的 Insights 事件。您必須記錄讀取寫入管理事件,以記錄 Insights 事件的API錯誤率

  22. 選擇 Next (下一步) 以檢閱您的選項。

  23. Review and create (檢閱和建立) 頁面上,檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 Create event data store (建立事件資料存放區)。

  24. 新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

    從此開始,事件資料存放區將擷取與其進階事件選取器相符的事件。在您第一次在來源事件資料存放區上啟用 CloudTrail Insights 之後,如果在此期間偵測到異常活動, CloudTrail 則 可能需要最多 7 天才能開始交付 Insights 事件。

    您可以檢視 CloudTrail Lake 儀表板,將目的地事件資料存放區中的 Insights 事件視覺化。如需有關 Lake 儀表板的詳細資訊,請參閱 CloudTrail Lake 儀表板

在 CloudTrail Lake 中擷取 Insights 事件需支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需 CloudTrail 定價的相關資訊,請參閱AWS CloudTrail 定價