使用 AWS CloudTrail 日誌監控 S3 on Outposts

Amazon S3 on Outposts 已與 AWS CloudTrail 整合，這項服務可提供由使用者、角色或 S3 on Outposts 中 AWS 服務所採取之動作的記錄。您可以使用 AWS CloudTrail 來取得 S3 on Outposts 儲存貯體層級和物件層級請求的相關資訊，以稽核和記錄 S3 on Outposts 事件活動。若要針對所有 Outposts 儲存貯體或特定 Outposts 儲存貯體清單啟用 CloudTrail 資料事件，您必須在 CloudTrail 中手動建立追蹤。如需 CloudTrail 日誌檔項目的詳細資訊，請參閱 S3 on Outposts 日誌檔項目。

注意

• 這是為您的 AWS CloudTrail 資料事件 Outposts 儲存貯體建立生命週期政策的最佳實務。設定生命週期政策，在您需要稽核日誌檔的時段之後，定期移除這些日誌檔。這麼做可降低 Amazon Athena 針對每個查詢分析的資料量。如需詳細資訊，請參閱「設定儲存貯體的生命週期組態」。

• 如需有關如何查詢 CloudTrail 日誌的範例，請參閱 AWS 大數據部落格文章《使用 AWS CloudTrail 和 Amazon Athena 來分析安全、合規和營運活動》。

針對 S3 on Outposts 儲存貯體中的物件啟用 CloudTrail 記錄

您可以使用 Amazon S3 主控台設定 AWS CloudTrail 追蹤，以記錄 Amazon S3 on Outposts 儲存貯體中物件的資料事件。CloudTrail 支援記錄 GetObject、DeleteObject 與 PutObject 等 S3 on Outposts 物件層級 API 操作。這些事件稱為資料事件。

根據預設，CloudTrail 追蹤不會記錄資料事件。不過，您可以設定追蹤來記錄所指定之 S3 on Outposts 儲存貯體的資料事件，或記錄 AWS 帳戶中所有 S3 on Outposts 儲存貯體的資料事件。如需詳細資訊，請參閱「使用記錄 Amazon S3 API 呼叫 AWS CloudTrail」。

CloudTrail 不會在 CloudTrail 事件歷程記錄中填入資料事件。此外，並非所有的 S3 on Outposts 儲存貯體層級 API 操作都會填入 CloudTrail 事件歷史記錄中。如需如何查詢 CloudTrail 日誌的詳細資訊，請參閱 AWS 知識中心上的使用 Amazon CloudWatch Logs 篩選模式及使用 Amazon Athena 查詢 CloudTrail 日誌。

若要設定追蹤來記錄 S3 on Outposts 儲存貯體的資料事件，您可以使用 AWS CloudTrail 主控台或 Amazon S3 主控台。如果您要設定追蹤來記錄 AWS 帳戶中所有 S3 on Outposts 儲存貯體的資料事件，則使用 CloudTrail 主控台會比較容易。如需使用 CloudTrail 主控台設定追蹤來記錄 S3 on Outposts 資料事件的相關資訊，請參閱《AWS CloudTrail 使用者指南》中的資料事件。

重要

資料事件需支付額外的費用。如需詳細資訊，請參閱 AWS CloudTrail 定價。

下列程序示範如何使用 Amazon S3 主控台設定 CloudTrail 追蹤，以記錄 S3 on Outposts 儲存貯體的資料事件。

注意

建立儲存貯體的 AWS 帳戶擁有該儲存貯體，且是唯一可以設定要傳送到 AWS CloudTrail 的 S3 on Outposts 資料事件的帳戶。

針對 S3 on Outposts 儲存貯體中的物件啟用 CloudTrail 資料事件記錄

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

2. 在左側導覽窗格中，選擇 Outposts buckets (Outposts 儲存貯體)。

3. 選擇您要使用 CloudTrail 記錄其資料事件的 Outposts 儲存貯體名稱。

4. 選擇 Properties (屬性)。

5. 在 AWS CloudTrail 資料事件區段中，然後選擇在 CloudTrail 中設定。

   AWS CloudTrail 主控台隨即開啟。

   您可以建立新的 CloudTrail 追蹤或重複使用現有的追蹤，並設定要在追蹤中記錄的 S3 on Outposts 資料事件。

6. 在 CloudTrail 主控台儀表板頁面上，選擇建立追蹤。

7. 在步驟 1 選擇追蹤屬性頁面上，提供追蹤的名稱、選擇 S3 儲存貯體來存放追蹤記錄、指定您想要的任何其他設定，然後選擇下一步。

8. 在步驟 2 選擇日誌事件頁面的事件類型下，選擇資料事件。

   針對資料事件類型，選擇 S3 Outposts。選擇 Next (下一步)。

   注意

   • 當您建立追蹤，並針對 S3 on Outposts 並設定資料事件記錄時，必須正確地指定資料事件類型。

     • 如果您使用 CloudTrail 主控台，請針對資料事件類型選擇 S3 Outposts。如需如何在 CloudTrail 主控台中建立追蹤的相關資訊，請參閱《AWS CloudTrail 使用者指南》中的使用主控台建立和更新追蹤。如需如何在 CloudTrail 主控台中設定 S3 on Outposts 資料事件記錄的相關資訊，請參閱《AWS CloudTrail 使用者指南》中的記錄 Amazon S3 物件的資料事件。

     • 如果您使用AWS Command Line Interface (AWS CLI) 或 AWS SDK，請將 resources.type 欄位設定為 AWS::S3Outposts::Object。如需如何使用 AWS CLI 記錄 S3 on Outposts 資料事件的詳細資訊，請參閱《AWS CloudTrail 使用者指南》中的記錄 S3 on Outposts 事件。

   • 如果您使用 CloudTrail 主控台或 Amazon S3 主控台設定追蹤，來記錄 S3 on Outposts 儲存貯體的資料事件，則 Amazon S3 主控台會顯示儲存貯體已啟用物件層級記錄。

9. 在步驟 3 檢閱並建立頁面上，檢閱您設定的追蹤屬性和日誌事件。然後，選擇建立追蹤。

針對 S3 on Outposts 儲存貯體中的物件停用 CloudTrail 資料事件記錄

1. 請登入 AWS Management Console，開啟位於 https://console.aws.amazon.com/cloudtrail/ 的 CloudFront 主控台。

2. 在左側導覽窗格中，選擇追蹤。

3. 選擇您已建立來記錄 S3 on Outposts 儲存貯體之事件的追蹤名稱。

4. 在追蹤的詳細資訊窗格上，選擇右上角的停止記錄。

5. 在出現的對話方塊中，選擇停止記錄。