本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用 S3 儲存貯體和物件的 CloudTrail 事件記錄
您可以使用資 CloudTrail 料事件取得 Amazon S3 中儲存貯體和物件層級請求的相關資訊。若要啟用所有值區或特定值區清單的 CloudTrail 資料事件,您必須在中手動建立追蹤 CloudTrail。
注意
-
的預設設定 CloudTrail 是僅尋找管理事件。檢查以確保您已為帳戶啟用資料事件。
-
您可以使用會產生高工作負載的 S3 儲存貯體來在很短的時間內快速產生大量的日誌。請注意您選擇為忙碌值區啟用 CloudTrail 資料事件的時間長度。
CloudTrail 將 Amazon S3 資料事件日誌存放在您選擇的 S3 儲存貯體中。考慮在單獨使用存儲桶 AWS 帳戶 將您可能擁有的多個值區中的事件更好地組織到一個集中位置,以便於查詢和分析。 AWS Organizations 幫助您創建 AWS 帳戶 它與擁有您正在監視的存儲桶的帳戶相關聯。如需詳細資訊,請參閱什麼是 AWS Organizations? 在 AWS Organizations 使用者指南。
在中記錄追蹤的資料事件時 CloudTrail,您可以選擇使用進階事件選取器或基本事件選取器,來記錄儲存在一般用途值區中之物件的資料事件。若要記錄儲存在目錄值區中之物件的資料事件,您必須使用進階事件選取器。如需詳細資訊,請參閱使用記錄 AWS CloudTrail 適用於 S3 快遞一個區域。
使用進階事件選取器在 CloudTrail 主控台中建立追蹤時,您可以在資料事件區段中選擇記錄選取器範本的所有事件,以記錄所有物件層級事件。使用基本事件選取器在 CloudTrail 主控台中建立追蹤時,您可以在資料事件區段中選取 [選取帳戶中的所有 S3 儲存貯體] 核取方塊,以記錄所有物件層級事件。
注意
-
建立您的生命週期組態是最佳做法 AWS CloudTrail 資料事件儲存貯體。設定生命週期組態,在經過您認為必須稽核日誌的期間之後,定期移動日誌檔案。這麼做可降低 Athena 分析每個查詢時的資料量。如需詳細資訊,請參閱在值區上設定生命週期組態。
-
如需關於記錄格式的詳細資訊,請參閱 使用記錄 Amazon S3 API 呼叫 AWS CloudTrail。
-
如需如何查詢 CloudTrail 記錄檔的範例,請參閱 AWS 大數據部落格文章使用分析安全性、合規性和營運活動 AWS CloudTrail 和 Amazon Athena
。
使用主控台啟用儲存貯體中物件的記錄
您可以使用 Amazon S3 主控台來設定 AWS CloudTrail 追蹤記錄 S3 儲存貯體中物件的資料事件。 CloudTrail 支援記錄 Amazon S3 物件層級API操作,例如GetObject
DeleteObject
、和PutObject
。這些事件稱為資料事件。
依預設, CloudTrail 追蹤不會記錄資料事件,但您可以設定追蹤記錄您指定的 S3 儲存貯體的資料事件,或記錄所有 Amazon S3 儲存貯體的資料事件 AWS 帳戶。 如需詳細資訊,請參閱使用記錄 Amazon S3 API 呼叫 AWS CloudTrail。
CloudTrail 不會在 CloudTrail 事件歷史記錄中填入資料事件。此外,並非所有值區層級動作都會填入事件歷史記錄中 CloudTrail 。如需透過 CloudTrail 記錄追蹤的 Amazon S3 儲存貯體層級API動作的詳細資訊,請參閱。透過記錄追蹤的 Amazon S3 儲存貯體層級動作 CloudTrail 如需如何查詢 CloudTrail 記錄檔的詳細資訊,請參閱 AWS
有關使用亞馬遜 CloudWatch 日誌過濾器模式和 Amazon Athena 查詢 CloudTrail 日誌的
若要設定追蹤記錄 S3 儲存貯體的資料事件,您可以使用 AWS CloudTrail 主控台或 Amazon S3 主控台。如果您設定追蹤記錄所有 Amazon S3 儲存貯體的資料事件 AWS 帳戶,使用 CloudTrail 控制台更容易。如需使用 CloudTrail 主控台設定追蹤以記錄 S3 資料事件的相關資訊,請參閱 AWS CloudTrail 使用者指南。
重要
資料事件需支付額外的費用。如需詳細資訊,請參閱 AWS CloudTrail 定價
下列程序顯示如何使用 Amazon S3 主控台設定 CloudTrail 追蹤,以記錄 S3 儲存貯體的資料事件。
為 S3 一般用途儲存貯體或 S3 目錄儲存貯體中的物件啟用 CloudTrail 資料事件記錄
登入 AWS Management Console 並在打開 Amazon S3 控制台https://console.aws.amazon.com/s3/
。 -
在 Buckets (儲存貯體) 清單中,選擇儲存貯體名稱。
-
選擇 Properties (屬性)。
-
在 下AWS CloudTrail 資料事件,在中選擇配置 CloudTrail。
您可以建立新 CloudTrail 追蹤或重複使用現有追蹤,並設定要記錄在追蹤中的 Amazon S3 資料事件。如需如何在 CloudTrail 主控台中建立追蹤的詳細資訊,請參閱使用主控台建立和更新追蹤 AWS CloudTrail 使用者指南。如需如何在 CloudTrail 主控台中設定 Amazon S3 資料事件記錄的相關資訊,請參閱記錄 Amazon S3 物件的資料事件 AWS CloudTrail 使用者指南。
注意
如果您使用 CloudTrail 主控台或 Amazon S3 主控台設定追蹤以記錄 S3 儲存貯體的資料事件,Amazon S3 主控台會顯示該儲存貯體已啟用物件層級記錄功能。
若要停用 S3 儲存貯體中物件的 CloudTrail 資料事件記錄
登入 AWS Management Console 然後在開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/
。 -
在左側導覽窗格中,選擇追蹤。
-
選擇您已建立來記錄儲存貯體之事件的追蹤名稱。
-
在追蹤的詳細資訊窗格上,選擇右上角的停止記錄。
-
在出現的對話方塊中,選擇停止記錄。
如需在建立 S3 儲存貯體時啟用物件層級記錄日誌的資訊,請參閱「建立儲存貯體」。
如需使用 S3 儲存貯體 CloudTrail 記錄的相關資訊,請參閱下列主題:
-
使用中的 CloudTrail 記錄檔 AWS CloudTrail 使用者指南