如何 CloudTrail 工作

當您建 CloudTrail 立您的 AWS 帳戶. 事件歷史記錄提供過去 90 天發生的已記錄 AWS 區域管理事件的可檢視、可搜尋、可下載而且不可變的記錄。

如需過 AWS 帳戶 去 90 天內持續的事件記錄，請建立追蹤或 CloudTrail Lake 事件資料存放區。

CloudTrail 事件歷史

您可以前往 [事件歷史記錄] 頁面，在 CloudTrail 主控台中輕鬆檢視過去 90 天的管理事件。您也可以透過執行aws cloudtrail lookup-events命令或LookupEventsAPI作業來檢視事件歷史記錄。您可以篩選單一屬性上的事件，以搜尋事件歷史記錄中的事件。如需詳細資訊，請參閱 使用 CloudTrail 事件歷史記錄。

事件歷史記錄不會連接到存在於帳戶中的任何追蹤或事件資料存放區，因此您對追蹤和事件資料存放區所做的組態變更不會對其產生影響。

檢視 [事件歷史記錄] 頁面或執行lookup-events命令無 CloudTrail 須付費。

CloudTrail 湖泊和事件資料倉庫

您可以建立事件資料存放區來記錄CloudTrail 事件 (管理事件、資料事件)、CloudTrailInsights 事件、AWS Audit Manager 證據、AWS Config 設定項目或外部的事件 AWS。

事件資料存放區可以記錄目前事件 AWS 區域，或從您 AWS 帳戶 AWS 區域 中記錄所有事件。用於從外部記錄整合事件的事件資料存放區 AWS 必須僅適用於單一區域；它們不能是多區域事件資料存放區。

如果您已在中建立組織 AWS Organizations，則可以建立一個組織事件資料存放區，以記錄該組織中所有 AWS 帳戶的所有事件。組織事件資料存放區可套用至所有 AWS 區域或目前的區域。組織事件資料存放區必須透過使用管理帳戶或委派的管理員帳戶建立，且在獲指定套用到組織時，將會自動套用到組織中的所有成員帳戶。成員帳戶無法查看組織事件資料存放區，也無法進行修改或刪除。組織事件資料存放區無法用於從外部收集事件 AWS。如需詳細資訊，請參閱 瞭解組織事件資料倉庫。

依預設，事件資料存放區中的所有事件均由加密 CloudTrail。設定事件資料存放區時，您可以選擇使用自己的資料存放區 AWS KMS key。使用您自己的KMS金鑰會產生加密和解密的 AWS KMS 成本。將事件資料倉庫與KMS金鑰相關聯後，無法移除或變更該KMS金鑰。如需詳細資訊，請參閱 使用 AWS KMS 金鑰加密 CloudTrail 記錄檔 (SSE-KMS)。

下表提供您可以在事件資料存放區上執行之工作的相關資訊。

任務	描述
檢視湖泊儀表板	您可以使用 CloudTrail Lake 儀表板來視覺化事件資料存放區中收集管理事件、S3 資料事件或 Insights 事件的事件。
記錄檔管理事件	將您的事件資料存放區設定為記錄唯讀、唯寫或所有管理事件。依預設，事件資料會儲存記錄管理事件。
記錄資料事件	設定事件資料存放區以記錄資料事件。您可以使用進階事件選取器篩選eventName、和resources.ARN欄位readOnly，以僅記錄感興趣的事件。
日誌見解事件	設定事件資料存放區以記錄 Insights 事件，以協助您識別並回應與管理API呼叫相關的異常活動。如需詳細資訊，請參閱 記錄 Insights 事件。 Insights 事件會產生額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights，則將分別支付它們的費用。如需詳細資訊，請參閱 AWS CloudTrail 定價。
複製追蹤事件	您可以將追蹤事件複製到新的或現有的事件資料存放區，以建立記錄至追蹤的事件 point-in-time 快照。
在事件資料存放區上啟用聯合	您可以聯合事件資料存放區，以在資料目錄中查看與事件資料存放區相關聯的中繼 AWS Glue 資料，並使用 Amazon Athena 對事件資料執行SQL查詢。儲存在 AWS Glue 資料目錄中的表格中繼資料可讓 Athena 查詢引擎瞭解如何尋找、讀取和處理您要查詢的資料。
停止或啟動事件資料存放區的事件擷取	您可以在收集 CloudTrail 管理和資料事件或 AWS Config 設定項目的事件資料存放區上停止和啟動事件擷取。
建立與事件來源以外的整合 AWS	您可以使用 CloudTrail Lake 整合功能，從混合式環境中的 AWS任何來源記錄和儲存使用者活動資料，例如內部部署或雲端中託管的 SaaS 應用程式、虛擬機器或容器。如需可用整合合作夥伴的資訊，請參閱 AWS CloudTrail Lake 整合。
在 CloudTrail 主控台中檢視 Lake 範例查詢	主 CloudTrail 控台提供許多範例查詢，可協助您開始撰寫自己的查詢。
建立或編輯查詢	中的查詢 CloudTrail 是在中編寫的SQL。您可以SQL從頭開始撰寫查詢，或開啟已儲存或範例查詢並進行編輯，在 CloudTrail Lake Editor 索引標籤上建立查詢。
將查詢結果儲存至 S3 儲存貯體	執行查詢時，您可以將查詢結果儲存至 S3 儲存貯體。
下載儲存的查詢結果	您可以下載包含已儲存 CloudTrail Lake 查詢結果的CSV檔案。
驗證儲存的查詢結果	您可以使用 CloudTrail 查詢結果完整性驗證來判斷查詢結果 CloudTrail 傳遞至 S3 儲存貯體後，查詢結果是否已修改、刪除或未變更。

如需 CloudTrail Lake 的更多資訊，請參閱〈〉使用 AWS CloudTrail 湖。

CloudTrail Lake 事件資料存放區和查詢會產生費用。建立事件資料存放區時，您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。在 Lake 中執行查詢時，您需要依據掃描的資料量付費。如需有關 CloudTrail 定價和管理 Lake 成本的資訊，請參閱AWS CloudTrail 定價和管理 CloudTrail 湖泊成本.

CloudTrail 小徑

追蹤是一種組態，能讓事件交付到您指定的 Amazon S3 儲存貯體。您還可以使用 Amazon CloudWatch 日誌和 Amazon 在跟踪中交付和分析事件 EventBridge。

追蹤可以記錄 CloudTrail 管理事件、資料事件和見解事件。

您可以為您的. AWS 帳戶

多區域步道

當您建立多區域追蹤時，會將事件 CloudTrail 記錄在您正 AWS 區域 在使用的AWS 分割區中的所有事件，並將 CloudTrail 事件日誌檔案傳送到您指定的 S3 儲存貯體。如果 AWS 區域 在您建立多區域追蹤後新增，則會自動包含該新區域，並記錄該區域中的事件。由於您要擷取帳戶所有區域內的活動，因此建立多區域追蹤是建議的最佳實務。您使用 CloudTrail 主控台建立的所有路徑都是多區域。您可以使用將單一區域系統軌跡轉換為多區域系統線。 AWS CLI如需詳細資訊，請參閱 在主控台中建立追蹤 及 將套用至一個區域的追蹤轉換成套用至所有區域。

單一區域步道

當您建立單一區域追蹤時，只會 CloudTrail 記錄該區域中的事件。然後，它會將 CloudTrail 事件日誌檔傳送到您指定的 Amazon S3 儲存貯體。您只能使用 AWS CLI建立單一區域追蹤。如果您建立額外的單一追蹤，您可以讓這些追蹤將 CloudTrail 事件日誌檔傳遞至相同的 S3 儲存貯體或個別儲存貯體。當您使用 AWS CLI 或建立軌跡時，這是預設選項 CloudTrail API。如需詳細資訊，請參閱 建立、更新和管理追蹤 AWS CLI。

注意

對於這兩種類型的追蹤，您可以指定來自任何區域的 Amazon S3 儲存貯體。

如果您已在中建立組織 AWS Organizations，則可以建立組織追蹤記錄該組織中所有 AWS 帳戶的所有事件。組織追蹤可套用至所有「區 AWS 域」或目前的「區域」。組織追蹤必須透過管理帳戶或委派的管理員帳戶建立，且在獲指定套用到組織時，將會自動套用到組織中的所有成員帳戶。成員帳戶可以看到組織軌跡，但無法修改或刪除它。在預設情況下，成員帳戶無法存取 Amazon S3 儲存貯體中組織追蹤的日誌檔案。

根據預設，當您在 CloudTrail 主控台中建立追蹤時，您的事件記錄檔會使用KMS金鑰加密。如果您選擇不啟用 SSE-KMS 加密，您的事件日誌會使用 Amazon S3 伺服器端加密 (SSE) 加密。您可以將日誌檔案存放在 儲存貯體中，沒有時間限制。您也可以定義 Amazon S3 生命週期規則以自動封存或刪除日誌檔案。如果您想要有關日誌檔交付和驗證的通知，可以設定 Amazon SNS 通知。

CloudTrail 每小時多次發佈記錄檔，大約每 5 分鐘一次。這些記錄檔包含API來自支援帳戶中服務的呼叫 CloudTrail。如需詳細資訊，請參閱 CloudTrail 支援的服務與整合。

注意

CloudTrail 通常會在通API話後平均約 5 分鐘內提供記錄檔。此時間無法保證。如需詳細資訊，請參閱 AWS CloudTrail 服務水準協議。

如果您錯誤設定追蹤 (例如，無法連線 S3 儲存貯體)， CloudTrail將嘗試將日誌檔重新傳送到 S3 儲存貯體 30 天，而且這些 attempted-to-deliver 事件將收取標準費用。 CloudTrail 若要避免支付追蹤設定錯誤費用，您需要刪除追蹤。

CloudTrail 捕獲用戶直接或 AWS 服務代表用戶進行的操作。例如， AWS CloudFormation CreateStack呼叫可能會根據範 AWS CloudFormation 本的要求對 Amazon EC2、Amazon RDS EBS、Amazon 或其他服務進行額外的API呼叫。這是正常且預期的行為。您可以識別動作是否由 CloudTrail事件中具有invokedby欄位的 AWS 服務採取。

下表提供您可在追蹤記錄上執行之工作的相關資訊。

任務	描述
記錄管理事件	將追蹤設定為記錄唯讀、唯寫或所有管理事件。
記錄資料事件	您可以使用進階事件選取器來建立精細的選取器，以僅記錄感興趣的資料事件。使用進階事件選取器時，您可以篩選eventName欄位以包含或排除特定API呼叫的記錄，這有助於控制成本。
日誌見解事件	設定追蹤記錄見解事件，協助您識別並回應與管理API呼叫相關的異常活動。 Insights 事件會產生額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights，則將分別支付它們的費用。如需詳細資訊，請參閱 AWS CloudTrail 定價。
查看見解事件	在追蹤上啟用 CloudTrail 深入解析之後，您可以使用主 CloudTrail 控台或 AWS CLI.
下載洞察活動	在追蹤上啟用 CloudTrail 深入解析後，您可以下載一個CSV或JSON檔案，其中最多包含過去 90 天的見解事件。
將路徑活動複製到 CloudTrail 湖泊	您可以將現有追蹤事件複製到 CloudTrail Lake 事件資料存放區，以建立記錄至追蹤的事件 point-in-time 快照。
創建並訂閱 Amazon SNS 主題	訂閱主題以接收交付到您儲存貯體之日誌檔案的相關通知。Amazon SNS 可以通過多種方式通知您，包括以編程方式使用 Amazon 簡單隊列服務。 注意 如果您想要接SNS收來自所有區域的記錄檔傳送通知，請僅為追蹤指定一個SNS主題。如果您想要透過編寫程式的方式處理所有事件，請參閱「使用 CloudTrail 處理程式庫」。
檢視您的記錄檔	從 S3 儲存貯體尋找並下載您的日誌檔。
使用 CloudWatch 記錄監控事件	您可以將追蹤設定為將事件傳送至 CloudWatch 記錄檔。然後，您可以使用 CloudWatch Logs 監控您的帳戶是否有特定的API通話和事件。 注意 如果您將套用至所有區域的追蹤設定為將事件傳送至 CloudWatch 記錄日誌群組，則會將所有區域的事件 CloudTrail 傳送至單一記錄群組。
啟用記錄檔加密	日誌檔案加密為您的日誌檔案多加一層安全性防護。
啟用記錄檔完整性	記錄檔完整性驗證可協助您確認記錄檔自 CloudTrail 傳送以來是否保持不變。
與其他人共用記錄檔 AWS 帳戶	您可以在帳戶之間共享日誌檔案。
彙總來自多個帳戶的記錄	您可以將多個帳戶的日誌檔案彙整至單一儲存貯體。
與合作夥伴解決方案	使用整合的合作夥伴解決方案分析您的 CloudTrail 輸出 CloudTrail。合作夥伴解決方案提供一組廣泛的功能，例如變更追蹤、故障診斷和安全分析。

您可以透 CloudTrail 過建立追蹤，免費將一份正在進行的管理事件副本傳遞到 S3 儲存貯體，但是 Amazon S3 儲存會產生費用。如需有關 CloudTrail 定價的詳細資訊，請參閱AWS CloudTrail 定價。如需 Amazon S3 定價的相關資訊，請參閱 Amazon S3 定價。

CloudTrail 洞察活動

AWS CloudTrail 透過持續分析 CloudTrail 管理事件，深入解析可協助 AWS 使用者識別並回應與通API話和API錯誤率相關的異常活動。 CloudTrail Insights 會分析API通話量和API錯誤率的正常模式 (也稱為基準)，並在通話量或錯誤率超出正常模式時產生 Insights 事件。系統會針對write管理產生API呼叫量上的見解事件APIs，而且會針對read和write管理產生API錯誤率的 Insights 事件APIs。

根據預設， CloudTrail 追蹤和事件資料存放區不會記錄見解事件。您必須設定追蹤或事件資料存放區，才能記錄 Insights 事件。如需詳細資訊，請參閱 記錄見解事件 AWS Management Console 及 記錄見解事件 AWS Command Line Interface。

Insights 事件會產生額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights，則將分別支付它們的費用。如需詳細資訊，請參閱 AWS CloudTrail 定價。

檢視追蹤和事件資料存放區的見解事件

CloudTrail 同時支援追蹤和事件資料存放區的 Insights 事件，不過，您檢視和存取 Insights 事件的方式有所不同。

檢視追蹤的 Insights 事件

如果您在追蹤上啟用了 Insights 事件，並 CloudTrail 偵測到異常活動，Insights 事件會記錄到目的地 S3 儲存貯體中的其他資料夾或前置詞，以供追蹤使用。您也可以在 CloudTrail 主控台上檢視 Insights 事件時，查看見解的類型和事件期間。如需詳細資訊，請參閱 使用主控台檢視追蹤的 CloudTrail 深入解析事件。

在追蹤上首次啟用「 CloudTrail 深入解析」之後，如果偵測到異常活動，最多可能需 CloudTrail 要 36 小時才能傳遞第一個「見解」事件。

檢視事件資料存放區的 Insights 事件

若要在 CloudTrail Lake 中記錄 Insights 事件，您需要記錄 Insights 事件的目標事件資料存放區，以及啟用見解和記錄管理事件的來源事件資料存放區。如需詳細資訊，請參閱 使用主控台為 Insights 事件建立事件資料存放區。

在來源事件資料存放區首次啟用 CloudTrail Insights 之後，如果偵測到異常活動，最多可能需 CloudTrail 要 7 天的時間才能將第一個 Insights 事件傳送至目的地事件資料存放區。

如果您在來源事件資料存放區上啟用了 CloudTrail Insights 並 CloudTrail 偵測到異常活動，則會將 Insights 事件 CloudTrail 傳送至目的地事件資料存放區。然後，您可以查詢目的地事件資料存放區以取得 Insights 事件的相關資訊，並可選擇性地將查詢結果儲存至 S3 儲存貯體。如需詳細資訊，請參閱 使用 CloudTrail 主控台建立或編輯查詢 及 使用 CloudTrail 主控台檢視範例查詢。

您可以檢視「見解事件」儀表板，以視覺化方式呈現目標事件資料存放區中的見解事件。如需有關 Lake 儀表板的詳細資訊，請參閱 使用 CloudTrail 主控台檢視 CloudTrail Lake 儀表板。

CloudTrail 渠道

CloudTrail 支援兩種類型的通道：

CloudTrail Lake 與外部事件來源整合的管道 AWS

CloudTrail Lake 使用頻道將活動從外部與外部合作夥伴合作 CloudTrail，或從您自己的來源帶 AWS 入 CloudTrail Lake。建立通道時，您可以選擇一或多個事件資料存放區，以儲存從通道來源到達的事件。只要目的地事件資料存放區設定為記錄活動事件，您就可以視需要變更通道的目的地事件資料存放區。當您建立來自外部合作夥伴的活動通道時，您會提供通道ARN給合作夥伴或來源應用程式。連接至通道的資源政策允許來源透過通道傳輸事件。如需詳細資訊，請參閱〈AWS CloudTrail API參考〉CreateChannel中的建立與事件來源以外的整合 AWS和。

服務連結通道

AWS 服務可以建立與服務連結的頻道，以代表您接收 CloudTrail 事件。建立 AWS 服務連結通道的服務會為頻道設定進階事件選取器，並指定該頻道是否適用於所有區域或目前的區域。

您可以使用CloudTrail 控制台或AWS CLI查看有關由 AWS 服務創建的任何 CloudTrail 服務鏈接渠道的信息。