Amazon CloudTrail 常见问题

Amazon CloudTrail 是一项 Web 服务，可记录在您的账户上进行的活动，并将日志文件传送到 Amazon S3 存储桶。

CloudTrail 可通过记录账户上执行的操作来提供对用户活动的可见性。CloudTrail 可记录每个操作的重要信息，包括请求的发出方、使用的服务、执行的操作、操作的参数，以及亚马逊云科技服务返回的响应元素。这些信息能够帮助您跟踪亚马逊云科技资源的变更情况，并帮您解决操作性问题。借助 CloudTrail，您可以更轻松地确保符合内部策略和监管标准。

具有以下需求的客户应该使用 CloudTrail：需要跟踪资源变更情况、回答有关用户活动的简单问题、证明合规性、进行故障排除或执行安全分析。

不需要。您无需进行任何操作即可开始查看账户活动。您可以访问 CloudTrail 控制台或使用 Amazon CloudTrail 控制台和 Amazon CLI 查看过去 90 天的账户活动。

Amazon CloudTrail 将仅显示您要查看的当前区域在过去 90 天的 CloudTrail 事件历史记录结果，您可以在此处查看支持的亚马逊云科技服务。这些事件仅限于包含创建、修改和删除 API 调用的管理事件和账户活动。要获取账户活动（包括所有管理事件、数据事件和只读活动）的完整记录，您需要配置 CloudTrail 跟踪。

您可以指定时间范围以及以下其中一项属性：事件名称、用户名称、资源名称、事件源、事件 ID 和资源类型。

可以。您可以访问 CloudTrail 控制台或使用 CloudTrail API/CLI 查看过去 90 天的账户活动。

通过设置 CloudTrail 跟踪，您可以将自己的 CloudTrail 事件传送到 Amazon S3、Amazon CloudWatch Logs 和 Amazon CloudWatch Events。这使您能够使用多种功能来帮助归档、分析和响应亚马逊云科技资源中发生的更改。

可以。CloudTrail 与 Amazon Identity and Access Management（IAM）集成，让您可以控制对 CloudTrail 和 CloudTrail 所需的其他亚马逊云科技资源的访问，包括限制查看和搜索账户活动的权限。为此，您可以从用户 IAM 策略中删除“cloudtrail:LookupEvents”，然后系统将阻止 IAM 用户查看账户活动。

使用 CloudTrail 事件历史记录查看或搜索账户活动不会产生任何成本。

对于您创建的任何 CloudTrail 跟踪，您都可以停止日志记录或删除跟踪，该操作将同时停止向 S3 存储桶传送账户活动（您指定为跟踪配置的一部分），也将停止向 CloudWatch Logs 传送（如经过配置）。过去 90 天的账户活动仍将存储并显示在 CloudTrail 控制台中，您可以通过亚马逊云科技 CLI 进行查看。

Amazon CloudTrail 可记录来自大多数亚马逊云科技服务的账户活动和服务事件。有关支持的服务的列表，请在此处参阅 CloudTrail 支持的服务。

可以。CloudTrail 会记录从任何客户端进行的 API 调用。Amazon 管理控制台、Amazon 软件开发工具包、命令行工具和更高级别的亚马逊云科技服务都会调用 Amazon API，因此，上述调用均会予以记录。

带有区域端点（EC2、RDS 等）的服务的活动信息将在执行操作并向您的 Amazon S3 存储桶相关的区域传送该操作的同一区域进行存储和处理。带有单个端点（IAM、STS 等）的服务的操作信息将在端点所在的区域进行捕获，在配置 CloudTrail 跟踪的同一区域进行处理，并将传送到与您的 Amazon S3 存储桶相关联的区域。

您只需调用一次 API 或单击几次鼠标，即可在分区内的所有区域创建和管理跟踪。您将在一个 S3 存储桶或 CloudWatch Logs 日志组中收到在您的亚马逊云科技账户中跨所有区域进行的账户活动的记录。当亚马逊云科技发布新区域时，您无需执行任何操作即可收到包含新区域的事件历史记录的日志文件。

在 CloudTrail 控制台中的跟踪配置页面选择“yes”，将跟踪应用到所有区域。如果您使用的是软件开发工具包或 Amazon CLI，请将“IsMultiRegionTrail”设为“true”。

将一个跟踪应用到所有区域之后，CloudTrail 会通过复制相关跟踪配置在所有区域创建一个新跟踪。CloudTrail 会记录和处理每个区域中的日志文件，并将包含所有亚马逊云科技区域的账户活动的日志文件传送到单个 S3 存储桶和单个 CloudWatch Logs 日志组。如果您指定了一个可选的 SNS 主题，CloudTrail 会将针对所有已发送日志文件的 SNS 通知发送到一个 SNS 主题中。

可以。您可以将一个现有跟踪应用到所有区域。在您将一个现有跟踪应用到所有区域后，CloudTrail 会在所有区域为您创建一个新跟踪。如果您之前在其他区域创建过跟踪，则可通过 CloudTrail 控制台查看、编辑和删除这些跟踪。

通常情况下，将相关跟踪配置复制到所有区域只需不到 30 秒。

是的，CloudTrail 现在支持为每个组织添加最多三名委派管理员。

管理账户将是组织级别创建的任何组织跟踪的所有者，无论该账户是由委派管理员账户还是管理账户创建。

在一个亚马逊云科技区域，最多可以创建五个跟踪。一个应用到所有区域的跟踪会出现在每个区域中，并在每个区域中算作一个跟踪。

可以。使用资源级别的权限，您可以编写精细访问控制策略，以允许或拒绝特定用户对特定跟踪的访问。有关更多详细信息，请查看 CloudTrail 文档。

您可以对 CloudTrail 日志文件的保留策略进行控制。默认情况下，这些日志文件可以无限期存储。您可以使用 Amazon S3 对象生命周期管理规则来定义您自己的保留策略。例如，您可以删除旧日志文件或将这些文件归档至 Amazon Glaicer。

一个事件可包含相关活动的信息：请求的发出方、使用的服务、执行的操作、操作的参数，以及亚马逊云科技服务返回的响应元素。有关更多详细信息，请参阅用户指南中的 CloudTrail Event Reference 部分。

一般情况下，CloudTrail 会在 API 调用后 15 分钟内传送事件。

CloudTrail 大约每隔 5 分钟会向您的 S3 存储桶传送日志文件。如果您的账户上没有进行 API 调用，则 CloudTrail 不会传送日志文件。

可以。您可以启用 Amazon SNS 通知，以便在传送新日志文件后立即采取行动。

CloudTrail 会根据既有的 S3 存储桶策略来传送日志文件。如果存储桶策略配置错误，那么 CloudTrail 将无法传送日志文件。

数据事件提供针对资源所执行的或资源本身所执行的资源（“数据层面”）操作的见解。数据事件通常是高容量活动，包括 Amazon S3 对象级别 API 和 Lambda 函数调用 API 等操作。当您配置跟踪时，系统默认禁用数据事件。要记录 CloudTrail 数据事件，您必须明确添加想收集对其所执行的活动的受支持资源或资源类型。与管理事件不同，数据事件会产生额外费用。要了解更多信息，请参阅 CloudTrail 定价。

与管理事件类似，由 Amazon CloudTrail 记录的数据事件会被传送到 S3 中。启用后，这些事件也可以在 Amazon CloudWatch Events 中使用。

Amazon S3 数据事件表示对 Amazon S3 对象所执行的 API 活动。要让 CloudTrail 记录这些操作，您需要在创建新跟踪或修改现有跟踪时，在数据事件部分指定 S3 存储桶。对指定 S3 存储桶中的对象所执行的任何 API 操作都会由 CloudTrail 记录下来。

Amazon Lambda 数据事件可记录 Lambda 函数的执行活动。借助 Lambda 数据事件，您可以获取有关 Lambda 函数执行的详细信息，如 IAM 用户或执行调用 API 调用操作的服务、调用时间及所执行的函数。所有 Lambda 数据事件都将传送到 Amazon S3 存储桶和 Amazon CloudWatch Events。您可以使用 Amazon CLI 或 Amazon CloudTrail 控制台打开 Amazon Lambda 数据事件的日志记录功能，并通过创建新跟踪或编辑现有跟踪选择要记录的 Lambda 函数。

可以。您可以将一个 S3 存储桶配置为多个账户的目标存储桶。有关详细说明，请参阅 Amazon CloudTrail 用户指南中的将多个日志文件聚合到单个 Amazon S3 存储桶部分。

通过使用 SSE-KMS 进行的 CloudTrail 日志文件加密，您可以使用 KMS 密钥对日志文件进行加密，以向传输到 Amazon S3 存储桶的 CloudTrail 日志文件增加额外的安全层。默认情况下，CloudTrail 将使用 Amazon S3 服务器端加密对传输到您的 Amazon S3 存储桶的日志文件进行加密。

借助 SSE-KMS，Amazon S3 将自动解密日志文件，这样您无需对应用程序进行任何更改。与往常一样，您需要确保您的应用程序拥有适当的权限，即 Amazon S3 GetObject 和 KMS 解密权限。

您可以使用 Amazon 管理控制台、Amazon CLI 或 Amazon 软件开发工具包来配置日志文件加密。有关详细说明，请参阅文档。

使用 SSE-KMS 配置加密后，将需要向您收取标准 Amazon KMS 费用。有关详细信息，请转到 Amazon KMS 定价页面。

CloudTrail 日志文件完整性验证功能允许您确定自从将其交付到指定的 Amazon S3 存储桶后，CloudTrail 日志文件未更改、已删除还是已修改。

您可以将日志文件完整性验证用作 IT 安全和审计流程的辅助手段。

您可以从 Amazon 管理控制台、Amazon CLI 或 Amazon 软件开发工具包启用 CloudTrail 日志文件完整性验证功能。

启用日志文件完整性验证功能后，CloudTrail 将会每小时传输摘要文件。摘要文件包含传输到 Amazon S3 存储桶的日志文件、这些日志文件的哈希值、上一个摘要文件的数字签名以及 Amazon S3 元数据部分中当前摘要文件的数字签名。有关摘要文件、数字签名和哈希值的更多信息，请转到 CloudTrail 文档。

摘要文件将传输到日志文件传输到的相同 Amazon S3 存储桶。但是，它们传输到不同的文件夹，以便于您强制执行精细的访问控制策略。有关详细信息，请参阅 CloudTrail 文档的摘要文件结构部分。

您可以使用 Amazon CLI 验证日志文件或摘要文件的完整性。您还可以构建自己的工具来进行验证。有关使用 Amazon CLI 验证日志文件完整性的更多详细信息，请参阅 CloudTrail 文档。

可以。CloudTrail 将跨所有区域和多个账户将摘要文件传输到相同 Amazon S3 存储桶中。

Amazon CloudTrail 处理库是一个 Java 库，可以帮助您轻松构建读取和处理 CloudTrail 日志文件的应用程序。您可以从 GitHub 下载 CloudTrail 处理库。

CloudTrail 处理库可提供处理以下任务的功能：不断轮询 SQS 队列、读取和解析 SQS 消息、下载 S3 中存储的日志文件、以容错方式解析和序列化日志文件中的事件。有关更多信息，请查看 CloudTrail 文档中的用户指南部分。

您需要 amazon-java-sdk 版本 1.9.3 和 Java 1.7 或更高版本。

借助 Amazon CloudTrail，您可以免费查看和下载最近 90 天针对受支持服务的创建、修改和删除操作的账户活动。

Amazon CloudTrail 不会针对创建 CloudTrail 跟踪收取任何费用，且每个区域内管理事件的第一个副本将免费传送到您的跟踪中指定的 S3 存储桶。设置 CloudTrail 跟踪后，Amazon S3 费用按使用量计算。您需要按已发布的定价计划为该区域中记录的任何数据事件或管理事件的其他副本付费。

不需要。管理事件的第一个副本在每个区域都是免费提供的。

可以。您仅需为数据事件付费。管理事件的第一个副本是免费提供的。

有多个合作伙伴提供了集成解决方案，用于分析 CloudTrail 日志文件。这些解决方案包括变更跟踪、故障排除和安全分析等功能。有关更多信息，请参阅 CloudTrail 合作伙伴部分。

不会。启用 CloudTrail 既不会影响亚马逊云科技资源的性能，也不会增加 API 调用的延迟。