Amazon CloudTrail 常见问题

问：什么是 Amazon CloudTrail？

Amazon CloudTrail 是一种 Web 服务，可记录您账户上进行的活动，并将日志文件传送到您的 Amazon S3 存储桶。

问：CloudTrail 有哪些优势呢？

CloudTrail 可通过记录账户上执行的操作来提供对用户活动的可见性。CloudTrail 可记录每个操作的重要信息，包括请求的发出方、使用的服务、执行的操作、操作的参数，以及 亚马逊云科技产品返回的响应元素。这些信息能够帮助您跟踪 亚马逊云科技资源的变更情况，并帮您解决操作性问题。借助 CloudTrail，您可以更轻松地确保符合内部策略和监管标准。

问：哪些人应该使用 CloudTrail？

具有以下需求的客户应该使用 CloudTrail：需要跟踪资源变更情况、回答有关用户活动的简单问题、证明合规性、进行故障排除或执行安全分析。

问：假如我是一名新 亚马逊云科技客户或现有 亚马逊云科技客户，尚未设置 CloudTrail，我是否需要启用或进行什么设置才能查看账户活动？

不需要。您无需进行任何操作即可开始查看账户活动。您可以访问 CloudTrail 控制台或使用 Amazon CloudTrail 控制台和 Amazon CLI 查看过去 90 天的账户活动。

问：CloudTrail 事件历史记录是否会显示账户中的所有账户活动？

Amazon CloudTrail 将仅显示您要查看的当前地区在过去 90 天的 CloudTrail 事件历史记录结果，您可以在此处查看支持的 亚马逊云科技产品。这些事件仅限于包含创建、修改和删除 API 调用的管理事件和账户活动。要获取账户活动 (包括所有管理事件、数据事件和只读活动) 的完整记录，您需要配置 CloudTrail 跟踪。

问：我可以使用哪些搜索筛选条件来查看账户活动？

您可以指定时间范围以及以下其中一项属性：事件名称、用户名称、资源名称、事件源、事件 ID 和资源类型。

问：如果我没有配置跟踪，是否可以使用查找事件 CLI 命令？

可以。您可以访问 CloudTrail 控制台或使用 CloudTrail API/CLI 查看过去 90 天的账户活动。

问：通过设置 CloudTrail 并创建跟踪，我可以获得哪些额外的 CloudTrail 功能？

通过设置 CloudTrail 跟踪，您可以将自己的 CloudTrail 事件传送到 Amazon S3、Amazon CloudWatch Logs 和 Amazon CloudWatch Events。这使您能够使用多种功能来帮助归档、分析和响应 亚马逊云科技资源中发生的更改。

问：我是否可对账户中的用户进行访问限制，阻止其查看 CloudTrail 事件历史记录？

可以。CloudTrail 与 Amazon Identity and Access Management (IAM) 集成，让您可以控制对 CloudTrail 和 CloudTrail 所需的其他 亚马逊云科技资源的访问，包括限制查看和搜索账户活动的权限。为此，您可以从用户 IAM 策略中删除“cloudtrail:LookupEvents”，然后系统将阻止 IAM 用户查看账户活动。

问：在账户创建时启用 CloudTrail 事件历史记录是否会产生相关成本？

使用 CloudTrail 事件历史记录查看或搜索账户活动不会产生任何成本。

问：是否可以关闭账户的 CloudTrail 事件历史记录功能？

对于您创建的任何 CloudTrail 跟踪，您都可以停止日志记录或删除跟踪，该操作将同时停止向 S3 存储桶传送账户活动 (您指定为跟踪配置的一部分)，也将停止向 CloudWatch Logs 传送 (如经过配置)。过去 90 天的账户活动仍将存储并显示在 CloudTrail 控制台中，您可以通过 Amazon CLI 进行查看。

问：CloudTrail 支持哪些服务？

Amazon CloudTrail 可记录来自大多数 亚马逊云科技服务的账户活动和服务事件。有关支持的服务的列表，请在此处参阅 CloudTrail 支持的服务。

问：是否能够记录从 Amazon 管理控制台进行的 API 调用？

支持。CloudTrail 会记录从任何客户端进行的 API 调用。Amazon 管理控制台、Amazon 软件开发工具包、命令行工具和更高级别的 亚马逊云科技产品都会调用 Amazon API，因此，上述调用均会予以记录。

问：我的日志文件在传送到我的 Amazon S3 存储桶之前，它们会在哪里进行存储和处理？

带有地区终端节点 (EC2、RDS 等) 的服务的活动信息将在执行操作并向您的 Amazon S3 存储桶相关的地区传送该操作的同一地区进行存储和处理。带有单个终端节点 (IAM、STS 等) 的服务的操作信息将在终端节点所在的地区进行捕获，在配置 CloudTrail 跟踪的同一地区进行处理，并将传送到与您的 Amazon S3 存储桶相关联的地区。

问：什么是将跟踪应用到所有地区？

将一个跟踪应用到所有地区是指在一个分区内的所有地区创建相同的跟踪。您可以将一个跟踪应用到 亚马逊云科技-cn 分区中的所有地区。您可以在此处查看所有区域列表。每当一个新地区在 亚马逊云科技-cn 分区中推出时，CloudTrail 都会在新地区中自动创建一个与您的原跟踪设置相同的跟踪。CloudTrail 数据将被传送到 亚马逊云科技-cn 分区中的 S3 存储桶。

有关地区和分区的更多详细信息，请参阅 Amazon 资源名称和 亚马逊云科技 命名空间页面。

问：将一个跟踪应用到所有地区有什么好处？

您只需调用一次 API 或单击几次鼠标，即可在分区内的所有地区创建和管理跟踪。您将在一个 S3 存储桶或 CloudWatch Logs 日志组中收到在您的 亚马逊云科技账户中跨所有地区进行的账户活动的记录。当 亚马逊云科技发布新地区时，您无需执行任何操作即可收到包含新地区的事件历史记录的日志文件。

问：如何将一个跟踪应用到所有地区？

在 CloudTrail 控制台中的跟踪配置页面选择“yes”，将跟踪应用到所有地区。如果您使用的是软件开发工具包或 Amazon CLI，请将“IsMultiRegionTrail”设为“true”。

问：将一个跟踪应用到所有地区后会怎么样？

将一个跟踪应用到所有地区之后，CloudTrail 会通过复制相关跟踪配置在所有地区创建一个新跟踪。CloudTrail 会记录和处理每个地区中的日志文件，并将包含所有 亚马逊云科技地区的账户活动的日志文件传送到单个 S3 存储桶和单个 CloudWatch Logs 日志组。如果您指定了一个可选的 SNS 主题，CloudTrail 会将针对所有已发送日志文件的 SNS 通知发送到一个 SNS 主题中。

问：我可以将一个现有的跟踪应用到所有区域吗？

可以。您可以将一个现有跟踪应用到所有区域。在您将一个现有跟踪应用到所有区域后，CloudTrail 会在所有区域为您创建一个新跟踪。如果您之前在其他区域创建过跟踪，则可通过 CloudTrail 控制台查看、编辑和删除这些跟踪。

问：CloudTrail 将相关跟踪配置复制到所有区域需要多长时间？

通常情况下，将相关跟踪配置复制到所有区域只需不到 30 秒。

问：我可以在一个 亚马逊云科技地区中创建多少个跟踪？

在一个 亚马逊云科技地区中，您最多可以创建五个跟踪。一个应用到所有地区的跟踪会出现在每个地区中，并在每个地区中算作一个跟踪。

问：谁是委派管理员创建的组织跟踪的所有者？

管理账户将是组织级别创建的任何组织跟踪的所有者，无论该账户是由委派管理员账户还是管理账户创建。

问：我可以在一个亚马逊网络服务区域创建多少个跟踪？

在一个亚马逊云科技区域，最多可以创建五个跟踪。一个应用到所有区域的跟踪会出现在每个区域中，并在每个区域中算作一个跟踪。

问：CloudTrail 是否支持资源级别的权限？

可以。使用资源级别的权限，您可以编写精细访问控制策略，以允许或拒绝特定用户对特定跟踪的访问。有关更多详细信息，请查看 CloudTrail 文档。

问：活动日志文件可以存储多长时间？

您可以对 CloudTrail 日志文件的保留策略进行控制。默认情况下，这些日志文件可以无限期存储。您可以使用 Amazon S3 对象生命周期管理规则来定义您自己的保留策略。例如，您可以删除旧日志文件或将这些文件归档至 Amazon Glaicer。

问：一个事件中包含了哪些信息？

一个事件可包含相关活动的信息：请求的发出方、使用的服务、执行的操作、操作的参数，以及 亚马逊云科技服务返回的响应元素。有关更多详细信息，请参阅用户指南中的 CloudTrail Event Reference 部分。

问：CloudTrail 传送一个 API 调用事件需要多长时间？

一般情况下，CloudTrail 会在 API 调用后 15 分钟内传送事件。

问：CloudTrail 每隔多久会向我的 Amazon S3 存储段传送日志文件？

CloudTrail 大约每隔 5 分钟会向您的 S3 存储桶传送日志文件。如果您的账户上没有进行 API 调用，则 CloudTrail 不会传送日志文件。

问：向我的 Amazon S3 存储段传送新的日志文件时，是否会发送通知给我？

可以。您可以启用 Amazon SNS 通知，以便在传送新日志文件后立即采取行动。

问：如果我的账户已启用 CloudTrail，但我的 Amazon S3 存储段未配置正确的策略，会出现什么情况？

CloudTrail 会根据既有的 S3 存储桶策略来传送日志文件。如果存储桶策略配置错误，那么 CloudTrail 将无法传送日志文件。

问：什么是数据事件？

数据事件提供针对资源所执行的或资源本身所执行的资源（“数据层面”）操作的见解。数据事件通常是高容量活动，包括 Amazon S3 对象级别 API 和 Lambda 函数调用 API 等操作。当您配置跟踪时，系统默认禁用数据事件。要记录 CloudTrail 数据事件，您必须明确添加想收集对其所执行的活动的受支持资源或资源类型。与管理事件不同，数据事件会产生额外费用。要了解更多信息，请参阅 CloudTrail 定价。

问：如何使用数据事件？

与管理事件类似，由 Amazon CloudTrail 记录的数据事件会被传送到 S3 中。启用后，这些事件也可以在 Amazon CloudWatch Events 中使用。

问：什么是 Amazon S3 数据事件？ 如何记录这些事件？

Amazon S3 数据事件表示对 Amazon S3 对象所执行的 API 活动。要让 CloudTrail 记录这些操作，您需要在创建新跟踪或修改现有跟踪时，在数据事件部分指定 S3 存储桶。对指定 S3 存储桶中的对象所执行的任何 API 操作都会由 CloudTrail 记录下来。

问：什么是 Amazon Lambda 数据事件？ 如何记录这些事件？

Amazon Lambda 数据事件可记录 Lambda 函数的执行活动。借助 Lambda 数据事件，您可以获取有关 Lambda 函数执行的详细信息，如 IAM 用户或执行调用 API 调用操作的服务、调用时间及所执行的函数。所有 Lambda 数据事件都将传送到 Amazon S3 存储桶和 Amazon CloudWatch Events。您可以使用 Amazon CLI 或 Amazon CloudTrail 控制台打开 Amazon Lambda 数据事件的日志记录功能，并通过创建新跟踪或编辑现有跟踪选择要记录的 Lambda 函数。

问：我有多个 亚马逊云科技账户。但我想将所有账户的日志文件传送到单个 S3 存储桶中。这能实现吗？

支持。您可以将一个 S3 存储桶配置为多个账户的目标存储桶。有关详细说明，请参阅 Amazon CloudTrail 用户指南中的将多个日志文件聚合到单个 Amazon S3 存储桶部分。

问：使用带 KMS 的服务器端加密进行 CloudTrail 日志文件加密有什么优点？

通过使用 SSE-KMS 进行的 CloudTrail 日志文件加密，您可以使用 KMS 密钥对日志文件进行加密，以向传输到 Amazon S3 存储桶的 CloudTrail 日志文件增加额外的安全层。默认情况下，CloudTrail 将使用 Amazon S3 服务器端加密对传输到您的 Amazon S3 存储桶的日志文件进行加密。

问：我的应用程序可以提取和处理 CloudTrail 日志文件。我是否需要对我的应用程序进行任何更改？

借助 SSE-KMS，Amazon S3 将自动解密日志文件，这样您无需对应用程序进行任何更改。与往常一样，您需要确保您的应用程序拥有适当的权限，即 Amazon S3 GetObject 和 KMS 解密权限。

问：如何配置 CloudTrail 日志文件加密？

您可以使用 Amazon 管理控制台、Amazon CLI 或 Amazon 软件开发工具包配置日志文件加密。有关详细说明，请参阅文档。

问：使用 SSE-KMS 配置加密后，会对我收取什么费用？

使用 SSE-KMS 配置加密后，将需要向您收取标准 Amazon KMS 费用。有关详细信息，请转到 Amazon KMS 定价页面。

问：什么是 CloudTrail 日志文件完整性验证？

CloudTrail 日志文件完整性验证功能允许您确定自从将其交付到指定的 Amazon S3 存储桶后，CloudTrail 日志文件未更改、已删除还是已修改。

问：CloudTrail 日志文件完整性验证有什么优点？

您可以将日志文件完整性验证用作 IT 安全和审计流程的辅助手段。

问：如何启用 CloudTrail 日志文件完整性验证？

您可以从 Amazon 管理控制台、Amazon CLI 或 Amazon 软件开发工具包启用 CloudTrail 日志文件完整性验证功能。

问：打开日志文件完整性验证功能后会发生什么情况？

启用日志文件完整性验证功能后，CloudTrail 将会每小时传输摘要文件。摘要文件包含传输到 Amazon S3 存储桶的日志文件、这些日志文件的哈希值、上一个摘要文件的数字签名以及 Amazon S3 元数据部分中当前摘要文件的数字签名。有关摘要文件、数字签名和哈希值的更多信息，请转到 CloudTrail 文档。

问：摘要文件传输到哪里？

摘要文件将传输到日志文件传输到的相同 Amazon S3 存储桶。但是，它们传输到不同的文件夹，以便于您强制执行精细的访问控制策略。有关详细信息，请参阅 CloudTrail 文档的摘要文件结构部分。

问：如何验证 CloudTrail 传输的日志文件或摘要文件的完整性？

您可以使用 Amazon CLI 验证日志文件或摘要文件的完整性。您还可以构建自己的工具来进行验证。有关使用 Amazon CLI 验证日志文件完整性的更多详细信息，请参阅 CloudTrail 文档。

问：我将跨所有区域和多个账户的所有日志文件聚合到单个 Amazon S3 存储桶中。摘要文件是否会传输到相同 Amazon S3 存储桶？

可以。CloudTrail 将跨所有区域和多个账户将摘要文件传输到相同 Amazon S3 存储桶中。

问：什么是 Amazon CloudTrail 处理库？

Amazon CloudTrail 处理库是一个 Java 库，可以帮助您轻松构建读取和处理 CloudTrail 日志文件的应用程序。您可以从 GitHub 下载 CloudTrail 处理库。

问：CloudTrail 处理库可提供哪些功能？

CloudTrail 处理库可提供处理以下任务的功能：不断轮询 SQS 队列、读取和解析 SQS 消息、下载 S3 中存储的日志文件、以容错方式解析和序列化日志文件中的事件。有关更多信息，请查看 CloudTrail 文档中的用户指南部分。

问：启动使用 CloudTrail 处理库我需要什么软件？

您需要 Amazon-java-sdk 版本 1.9.3 和 Java 1.7 或更高版本。

问：Amazon CloudTrail 如何收费？

借助 Amazon CloudTrail，您可以免费查看和下载最近 90 天针对受支持服务的创建、修改和删除操作的账户活动。

Amazon CloudTrail 不会针对创建 CloudTrail 跟踪收取任何费用，且每个地区内管理事件的第一个副本将免费传送到您的跟踪中指定的 S3 存储桶。设置 CloudTrail 跟踪后，Amazon S3 费用按使用量计算。您需要按已发布的定价计划为该地区中记录的任何数据事件或管理事件的其他副本付费。

问：如果我只有一个跟踪包含管理事件并应用于所有区域，我是否需要付费？

不需要。管理事件的第一个副本在每个区域都是免费提供的。

问：如果对包含免费管理事件的现有跟踪启用数据事件，我是否需要付费？

可以。您仅需为数据事件付费。管理事件的第一个副本是免费提供的。

问：亚马逊云科技合作伙伴解决方案如何帮助我分析 CloudTrail 记录的事件？

有多个合作伙伴提供了集成解决方案，用于分析 CloudTrail 日志文件。这些解决方案包括变更跟踪、故障排除和安全分析等功能。有关更多信息，请参阅 CloudTrail 合作伙伴部分。

问：启用 CloudTrail 是否会影响 亚马逊云科技资源的性能，或增加 API 调用的延时？

不会。启用 CloudTrail 既不会影响 亚马逊云科技资源的性能，也不会增加 API 调用的延迟。