AWS CloudTrail 是一项 Web 服务,用于记录账户的 AWS API 调用,并向您发送日志文件。记录的信息包括 API 调用者的身份、API 调用的时间、API 调用者的源 IP 地址、请求参数以及 AWS 服务返回的响应元素。

利用 CloudTrail,您可以获得关于账户的 AWS API 调用的历史记录,包括通过 AWS 管理控制台、AWS 软件开发工具包、命令行工具和更高级别的 AWS 服务(例如 AWS CloudFormation)进行的 API 调用。由 CloudTrail 生成的 AWS API 调用历史记录可用于安全分析、资源变更追踪以及合规性审计。


提高可见性: CloudTrail 通过记录 AWS API 调用,提高了对用户活动的可见性。您会知道以下问题的答案,例如,特定用户在特定时间内执行了哪些操作?对于特定的资源,哪些用户在特定的时间内对它执行了操作?特定活动的源 IP 地址是什么?哪些活动因权限不足而失败?

耐久和实惠的日志文件存储: CloudTrail 使用 Amazon S3 的日志文件存储和分发,所以日志文件存储耐久且价格实惠。您可以使用 Amazon S3 生命周期配置规则进一步降低存储成本。例如,您可以将规则定义为自动删除旧日志文件或将其归档到 Amazon Glacier,从而节省更多成本。

轻松的管理: CloudTrail 是一种完全托管型的服务;您只需使用 AWS 管理控制台、命令行界面或 CloudTrail 软件开发工具包就可以为您的账户启动 CloudTrail,然后开始在您指定的 Amazon Simple Storage Service (Amazon S3) 存储桶中接收 CloudTrail 的日志文件。

日志文件分发的通知: CloudTrail 可配置为每分发一个日志文件便发布一个通知,从而使您能够在日志文件送达时自动执行操作。CloudTrail 使用 Amazon Simple Notification Service (SNS) 发布通知。

日志文件合并: CloudTrail 可配置为合并多个账户和区域的日志文件,这样多个日志文件便可以分发到一个存储桶中。有关详细说明,请参阅用户指南中的 Aggregating CloudTrail Log Files to a Single Amazon S3 Bucket 部分。

及时可靠地分发: CloudTrail 利用高可用性和容错处理管道,连续地从 AWS 服务中分发事件。CloudTrail 一般会在 API 调用后 15 分钟内传送事件。

故障排除操作性或安全性问题:您可以查找针对您的 AWS 账户捕捉的 API 活动,以此来处理故障排除操作性问题或进行安全性分析。使用 AWS CloudTrail 控制台、AWS CLI 或 AWS 软件开发工具包,您可以快速轻松地解答最近 7 天中与 API 活动相关的问题并立即进行操作。更多信息请参考 CloudTrail 文档中有关查找 API 活动的部分


目前,CloudTrail 支持以下服务:

  • Amazon Elastic Compute Cloud (Amazon EC2)
  • AutoScaling
  • Elastic Load Balancing (ELB)
  • Amazon Elastic Block Store(Amazon EBS)
  • AWS Storage Gateway
  • Amazon Glacier
  • Amazon Relational Database Service (Amazon RDS)
  • Amazon ElastiCache
  • AWS Direct Connect
  • Amazon Virtual Private Cloud(Amazon VPC)
  • Amazon Simple Queue Service (Amazon SQS)
  • Amazon Simple Notification Service (Amazon SNS)
  • Amazon Simple Workflow Service (Amazon SWF)
  • AWS CloudFormation
  • AWS Identity and Access Management (AWS IAM)
  • AWS CloudTrail
  • Amazon CloudWatch
  • Amazon Elastic Map Reduce (EMR)

安全分析:您可以将 CloudTrail 生成的 AWS API 调用历史记录用作日志管理和分析解决方案的输入数据,从而执行安全分析并发现用户的行为模式。

追踪 AWS 资源的变更:您可以使用 CloudTrail 生成的 AWS API 调用历史记录来追踪 AWS 资源的变更,包括对 Amazon EC2 实例、Amazon VPC 安全组和 Amazon EBS 卷等 AWS 资源的创建、修改和删除。

合规性协助: CloudTrail 通过提供 AWS API 调用记录,可以更轻松地确保符合内部策略和监管标准。有关更多详细信息,请参阅 AWS 合规性白皮书“Security at Scale: Logging in AWS”。

对操作问题进行故障排查:您可以使用 CloudTrail 生成的 AWS API 调用历史记录来排查操作问题。例如,您可以快速识别出您环境中的资源最近有哪些更改。


使用本服务需遵循 AWS 客户协议