Amazon CloudTrail 功能

Amazon CloudTrail 可在账户创建时在所有亚马逊云科技账户上启用并记录您的账户活动。您可以查看和下载账户最近 90 天的活动，以便创建、修改和删除支持的服务所执行的操作，而无需手动设置 CloudTrail。

您可以查看、搜索和下载最近的亚马逊云科技账户活动。这让您能够了解亚马逊云科技账户资源中发生的更改，从而强化安全过程并简化操作性问题解决流程。

您可以配置 Amazon CloudTrail，针对单个账户从多个区域将日志文件传送到单个 Amazon S3 存储桶。将一种配置应用到所有地区可以确保所有设置跨所有现有地区和新推出的地区实现一致应用。有关详细说明，请参阅 Amazon CloudTrail 用户指南中的将 CloudTrail 日志文件聚合到单个 Amazon S3 存储桶。

您可以将 CloudTrail 配置为使用组织跟踪在单个位置捕获和存储来自多个亚马逊云科技账户的事件。此配置将验证所有设置是否一致应用于所有现有和新建账户。此外，您最多可以指定三个委派管理员账户，用于在组织级别创建、更新、查询或删除组织跟踪。

管理事件提供对您亚马逊云科技账户内资源所执行的管理（“控制层面”）操作的见解。例如，您可以记录 Amazon EC2 实例的创建、删除和修改等管理操作。对于每个事件，您可以获取亚马逊云科技账户、IAM 用户角色和发起操作的用户的 IP 地址、操作时间及所受影响的资源等详细信息。

通过在 CloudTrail 中启动数据事件日志记录，您可以记录对象级别 API 活动，并接收相关详细信息，如发送请求的人员、发送请求的地点和时间以及其他详细信息。数据事件记录对资源本身或者在资源内执行的资源操作（数据层面操作）。数据事件通常是高容量活动。CloudTrail 数据事件日志记录包括 Amazon S3 对象级别 API、Amazon Lambda 函数调用 API 和 Amazon DynamoDB 项目级别 API 等操作。例如，您可以记录所有或特定 DynamoDB 表中的 API 操作，以确定创建、读取、更新或删除了哪些项目。有关如何在 CloudTrail 中记录日志事件以及您可以记录其数据事件的资源相关的更多信息，请参阅 CloudTrail 文档中的为跟踪记录数据事件。

Amazon CloudTrail Insights 通过持续分析 CloudTrail 管理事件帮助亚马逊云科技用户识别和响应与写入 API 调用相关的异常活动。当 CloudTrail 在账户中检测到异常写入管理 API 活动时，系统将会记录 Insights 事件。如果您已启用 CloudTrail Insights 并且 CloudTrail 检测到异常活动，则系统会将 Insights 事件传送到目标 S3 存储桶中，以便进行跟踪。有关 Insights 的更多信息，请参阅《Amazon CloudTrail 用户指南》中的记录 Insights 事件以便跟踪。