本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudTrail 記錄檔
您可以對 CloudTrail 檔案執行更進階的工作。
-
為每個區域建立多個追蹤。
-
通過將日 CloudTrail 誌文件發送到 CloudWatch 日誌來監視它們。
-
在帳戶之間共享日誌檔案。
-
使用 AWS CloudTrail 處理程式庫以 Java 撰寫記錄處理應用程式。
-
驗證您的記錄檔,以確認它們在遞送之後並未變更 CloudTrail。
當您的帳戶中發生事件時,會 CloudTrail 評估事件是否符合追蹤的設定。只有符合追蹤設定的事件才會傳送到 Amazon S3 儲存貯體和 Amazon CloudWatch 日誌日誌群組。
您可以分別設定多筆追蹤,以便追蹤只處理和記錄您指定的事件。例如,一筆追蹤可以記錄唯讀資料和管理事件,以便所有的唯讀事件交付到一個 S3 儲存貯體。另一筆追蹤可以只記錄唯寫資料和管理事件,以便所有的唯寫事件交付到另一個 S3 儲存貯體。
您也可以設定您的追蹤,其中一筆追蹤記錄所有管理事件並交付到一個 S3 儲存貯體,並設定另一筆追蹤記錄所有資料事件並交付到另一個 S3 儲存貯體。
您可以設定您的追蹤記錄下列事項:
-
資料事件:這些事件可讓您深入了解對資源執行或在資源中執行的資源操作。這些也稱為資料平面操作。
-
管理事件:管理事件可讓您查看對 AWS 帳戶中資源執行的管理作業。這些也稱為控制平面操作。管理事件也可以包含您帳戶中發生的非 API 事件。例如,當使用者登入您的帳戶時,會 CloudTrail 記錄
ConsoleLogin事件。如需詳細資訊,請參閱 擷取的非 API 事件 CloudTrail。 -
Insights 事件:Insights 事件會擷取在您的帳戶中偵測到的異常活動。如果您啟用了 Insights 事件並 CloudTrail 偵測到異常活動,Insights 事件會記錄到您追蹤的目的地 S3 儲存貯體,但會記錄在不同的資料夾中。您也可以在 CloudTrail 主控台上檢視 Insights 事件時,查看 Insights 事件的類型和事件期間。與 CloudTrail 追蹤中擷取的其他類型事件不同,Insights 事件只有在 CloudTrail 偵測到帳戶 API 使用量與帳戶的典型使用模式明顯不同時,才會記錄 Insights 事件。
僅針對管理 API 產生 Insights 事件。如需詳細資訊,請參閱 記錄 Insights 事件。
注意
CloudTrail 通常會在 API 呼叫後平均約 5 分鐘內提供記錄檔。此時間無法保證。如需詳細資訊,請參閱 AWS CloudTrail 服務水準協議
如果您錯誤設定追蹤 (例如,無法連線 S3 儲存貯體), CloudTrail 將嘗試將日誌檔重新傳送到 S3 儲存貯體 30 天,而且這些 attempted-to-deliver 事件將收取標準費用。 CloudTrail 若要避免支付追蹤設定錯誤費用,您需要刪除追蹤。
主題
