彙總資料事件 - AWS CloudTrail
使用主控台啟用資料事件的彙總使用 啟用資料事件的彙總 AWS CLI

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

彙總資料事件

資料事件提供在資源上執行或於資源中執行之資源操作的相關資訊。這些也稱為資料平面操作。資料事件通常是大量資料的活動。

透過在資料事件上啟用彙總,您可以有效率地監控大量資料存取模式,而無需處理大量個別事件。此功能會自動將資料事件合併為 5 分鐘摘要,顯示存取頻率、錯誤率和最常用動作等主要趨勢。例如,您不會為了了解使用模式而處理數千個個別 S3 儲存貯體存取事件,而是收到顯示最高使用者和動作的合併摘要。

您可以在建立新的線索或更新收集資料事件的現有線索時,啟用資料事件的彙總。您可以選取三個out-of-the-box範本之一或全部,以彙總資料事件:

  • API 活動,根據 API 呼叫取得 5 分鐘的資料事件摘要。使用此選項來了解您的 API 使用模式,包括頻率、呼叫者和來源。

  • 資源存取,以取得 AWS 資源上的活動模式。使用此項目來了解您的 AWS 資源如何被存取、在 5 分鐘的時段中被存取多少次、誰正在存取資源,以及正在執行哪些動作。

  • 使用者動作,根據在您帳戶中進行 API 呼叫的 IAM 主體來取得活動模式。

使用主控台啟用資料事件的彙總

若要在線索上啟用彙總,請先在建立或更新線索時選擇資料事件記錄,並設定資料事件以在線索中記錄事件。然後,在設定事件彙總步驟中,您可以從彙總範本下拉式清單中選取範本,例如 API 活動和資源存取,如以下螢幕擷取畫面所示。

CloudTrail 主控台的螢幕擷取畫面,顯示已選取 API 活動和資源存取選項的彙總範本下拉式清單

使用 啟用資料事件的彙總 AWS CLI

您可以使用 設定追蹤以彙總事件 AWS CLI。

若要查看您的線索是否正在彙總資料事件,請執行 get-event-configurations命令。

aws cloudtrail get-event-configuration --region us-east-1 --trail-name TrailName

命令會傳回線索的彙總組態。

啟用事件彙總之前,您必須先建立追蹤並在其中設定資料事件。

若要在線索上啟用事件彙總,請遵循以下步驟。追蹤會根據 API_ACTIVITYRESOURCE_ACCESS 彙總範本彙總事件。

aws cloudtrail put-event-configuration --region us-east-1 --trail TrailName \
--aggregation-configurations \
'[
    {
        "EventCategory": "Data",
        "Templates":
        [
            "API_ACTIVITY",
            "RESOURCE_ACCESS"
        ]
    }
]'

範例:API_ACTIVITY 彙總事件

以下顯示API_ACTIVITY範本的彙總事件範例:

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "62759c1a-6248-48e1-a6b3-d5fb7e6c4bc0",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "eventName",
            "statistics":
            [
                {
                    "name": "PutObject",
                    "value": 1000
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "resourceARN",
                "statistics":
                [
                    {
                        "name": "arn:aws:s3:::bucket-1",
                        "value": 800
                    },
                    {
                        "name": "arn:aws:s3:::bucket-2",
                        "value": 150
                    },
                    {
                        "name": "arn:aws:s3:::bucket-3",
                        "value": 50
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}

範例:RESOURCE_ACCESS 彙總事件

以下顯示RESOURCE_ACCESS範本的彙總事件範例:

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "2ed87efa-45c1-412d-bc38-7e0879faa6df",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "resourceARN",
            "statistics":
            [
                {
                    "name": "arn:aws:s3:::bucket-1",
                    "value": 800
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "eventName",
                "statistics":
                [
                    {
                        "name": "PutObject",
                        "value": 800
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}