本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 记录网络活动事件
CloudTrail 网络活动事件使 VPC 终端节点所有者能够记录使用其 VPC 终端节点从私有 VPC 到的 AWS API 调用 AWS 服务。通过网络活动事件,可以了解在 VPC 中执行的资源操作。例如,记录网络活动事件可以帮助 VPC 端点所有者检测组织外部的凭证何时尝试访问其 VPC 端点。
您可以记录以下服务的网络活动事件:
+ AWS AppConfig
+ AWS App Mesh
+ Amazon Athena
+ AWS B2B Data Interchange
+ AWS Backup gateway
+ Amazon Bedrock
+ 账单和成本管理
+ AWS 定价计算器
+ AWS Cost Explorer
+ AWS 云端控制 API
+ AWS CloudHSM
+ AWS Cloud Map
+ AWS CloudFormation
+ AWS CloudTrail
+ 亚马逊 CloudWatch
+ CloudWatch 应用程序信号
+ AWS CodeDeploy
+ Amazon Comprehend Medical
+ AWS Config
+ AWS Data Exports
+ Amazon Data Firehose
+ AWS Directory Service
+ Amazon DynamoDB
+ Amazon EC2
+ Amazon Elastic Container Service
+ Amazon Elastic File System
+ Elastic Load Balancing
+ 亚马逊 EventBridge
+ Amazon EventBridge 日程安排
+ Amazon Fraud Detector
+ AWS 免费套餐
+ 亚马逊 FSx
+ AWS Glue
+ AWS HealthLake
+ AWS IoT FleetWise
+ AWS IoT Secure Tunneling
+ AWS 开票
+ Amazon Keyspaces(Apache Cassandra 兼容)
+ AWS KMS
+ AWS Lake Formation
+ AWS Lambda
+ AWS License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Personalize
+ Amazon Q Business
+ Amazon Rekognition
+ Amazon Relational Database Service
+ Amazon S3
**注意**
不支持 [Amazon S3 多区域接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRequests.html)。
+ 亚马逊 SageMaker AI
+ AWS Secrets Manager
+ Amazon Simple Notification Service
+ Amazon Simple Queue Service
+ Amazon Simple Workflow Service
+ AWS Storage Gateway
+ AWS Systems Manager Incident Manager
+ Amazon Textract
+ Amazon Transcribe
+ Amazon Translate
+ AWS Transform
+ Amazon Verified Permissions
+ 亚马逊 WorkMail
您可以配置跟踪和事件数据存储来记录网络活动事件。
默认情况下,跟踪和事件数据存储不记录网络活动事件。网络活动事件将收取额外费用。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
**Contents**
+ [网络活动事件的高级事件选择器字段](#logging-network-events)
+ [使用记录网络活动事件 AWS 管理控制台](#creating-network-event-selectors-with-the-console)
+ [更新现有跟踪以记录网络活动事件](#log-network-events-trail-console)
+ [更新现有事件数据存储以记录网络活动事件](#log-network-events-lake-console)
+ [使用记录网络活动事件 AWS Command Line Interface](#creating-network-event-selectors-with-the-AWS-CLI)
+ [示例:记录跟踪的网络活动事件](#logging-network-events-CLI-trail-examples)
+ [示例:记录 CloudTrail 操作的网络活动事件](#logging-network-events-CLI-trail-all-ct)
+ [示例:记录`VpceAccessDenied`的事件 AWS KMS](#logging-network-events-CLI-trail-kms)
+ [示例:记录 Amazon S3 的 `VpceAccessDenied` 事件](#logging-network-events-CLI-trail-s3)
+ [示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件](#logging-network-events-CLI-trail-ec2)
+ [示例:记录多个事件源的所有管理事件和网络活动事件](#logging-network-events-CLI-trail-multiple)
+ [示例:记录事件数据存储的网络活动事件](#logging-network-events-CLI-eds-examples)
+ [示例:记录 CloudTrail 操作的所有网络活动事件](#creating-network-events-eds-CLI-ct)
+ [示例:记录`VpceAccessDenied`的事件 AWS KMS](#creating-network-events-eds-CLI-kms)
+ [示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件](#creating-network-events-eds-CLI-ec2)
+ [示例:记录 Amazon S3 的 `VpceAccessDenied` 事件](#creating-network-events-eds-CLI-s3)
+ [示例:记录多个事件源的所有管理事件和网络活动事件](#creating-network-events-eds-CLI-multiple)
+ [使用记录事件 AWS SDKs](#logging-network-events-with-the-AWS-SDKs)
## 网络活动事件的高级事件选择器字段
您可以通过指定要记录活动的事件源来配置高级事件选择器以记录网络活动事件。您可以使用 AWS SDKs、 AWS CLI或 CloudTrail 控制台配置高级事件选择器。
记录网络活动事件需要以下高级事件选择器字段:
+ `eventCategory`:要记录网络活动事件,值必须为 `NetworkActivity`。`eventCategory` 只能使用 `Equals` 运算符。
+ `eventSource`:要记录网络活动事件的事件源。`eventSource` 只能使用 `Equals` 运算符。如果要记录多个事件源的网络活动事件,则必须为每个事件源创建单独的字段选择器。
有效值包括:
+ `aco-automation.amazonaws.com`
+ `appconfig.amazonaws.com`
+ `application-signals.amazonaws.com`
+ `appmesh.amazonaws.com`
+ `athena.amazonaws.com`
+ `b2bi.amazonaws.com`
+ `backup-gateway.amazonaws.com`
+ `bcm-data-exports.amazonaws.com`
+ `bcm-pricing-calculator.amazonaws.com`
+ `bedrock-agentcore.amazonaws.com`
+ `bedrock.amazonaws.com`
+ `billing.amazonaws.com`
+ `cassandra.amazonaws.com`
+ `ce.amazonaws.com`
+ `cloudcontrolapi.amazonaws.com`
+ `cloudformation.amazonaws.com`
+ `cloudhsm.amazonaws.com`
+ `cloudoptimization.amazonaws.com`
+ `cloudtrail.amazonaws.com`
+ `codedeploy.amazonaws.com`
+ `comprehend.amazonaws.com`
+ `comprehendmedical.amazonaws.com`
+ `config.amazonaws.com`
+ `ds.amazonaws.com`
+ `dynamodb.amazonaws.com`
+ `ec2.amazonaws.com`
+ `ecs.amazonaws.com`
+ `elasticfilesystem.amazonaws.com`
+ `elasticloadbalancing.amazonaws.com`
+ `events.amazonaws.com`
+ `firehose.amazonaws.com`
+ `frauddetector.amazonaws.com`
+ `freetier.amazonaws.com`
+ `fsx.amazonaws.com`
+ `glue.amazonaws.com`
+ `healthlake.amazonaws.com`
+ `invoicing.amazonaws.com`
+ `iot.amazonaws.com`
+ `iotfleetwise.amazonaws.com`
+ `iotsecuredtunneling.amazonaws.com`
+ `kms.amazonaws.com`
+ `lakeformation.amazonaws.com`
+ `lambda.amazonaws.com`
+ `license-manager.amazonaws.com`
+ `lookoutequipment.amazonaws.com`
+ `lookoutvision.amazonaws.com`
+ `monitoring.amazonaws.com`
+ `nova-act.amazonaws.com`
+ `personalize.amazonaws.com`
+ `qbusiness.amazonaws.com`
+ `rds.amazonaws.com`
+ `rekognition.amazonaws.com`
+ `rolesanywhere.amazonaws.com`
+ `s3.amazonaws.com`
+ `sagemaker.amazonaws.com`
+ `scheduler.amazonaws.com`
+ `secretsmanager.amazonaws.com`
+ `servicediscovery.amazonaws.com`
+ `sns.amazonaws.com`
+ `sqs.amazonaws.com`
+ `ssm-contacts.amazonaws.com`
+ `ssm.amazonaws.com`
+ `storagegateway.amazonaws.com`
+ `swf.amazonaws.com`
+ `textract.amazonaws.com`
+ `transcribe.amazonaws.com`
+ `transcribestreaming.amazonaws.com`
+ `transform-agents.amazonaws.com`
+ `transform-custom.amazonaws.com`
+ `transform.amazonaws.com`
+ `translate.amazonaws.com`
+ `user-subscriptions.amazonaws.com`
+ `verifiedpermissions.amazonaws.com`
+ `voiceid.amazonaws.com`
+ `workmail.amazonaws.com`
+ `workmailmessageflow.amazonaws.com`
以下高级事件选择器字段是可选的:
+ `eventName`:要筛选的请求操作。例如,`CreateKey` 或 `ListKeys`。`eventName` 可以使用任何运算符。
+ `errorCode`:要筛选的请求错误代码。目前,唯一有效 `errorCode` 是 `VpceAccessDenied`。您只能将 `Equals` 运算符与 `errorCode` 配合使用。
+ `vpcEndpointId`:标识操作通过的 VPC 端点。您可以将任何运算符与 `vpcEndpointId` 配合使用。
默认情况下,在您创建跟踪或事件数据存储时,未记录网络活动事件。要记录 CloudTrail 网络活动事件,必须明确配置要为其收集活动的每个事件源。
记录网络活动事件将收取额外费用。有关 CloudTrail 定价,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
## 使用记录网络活动事件 AWS 管理控制台
您可以使用控制台更新现有的跟踪或事件数据存储以记录网络活动事件。
**Topics**
+ [更新现有跟踪以记录网络活动事件](#log-network-events-trail-console)
+ [更新现有事件数据存储以记录网络活动事件](#log-network-events-lake-console)
### 更新现有跟踪以记录网络活动事件
使用以下过程更新现有跟踪以记录网络活动事件。
**注意**
记录网络活动事件将收取额外费用。有关 CloudTrail 定价,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在 CloudTrail 控制台的左侧导航窗格中,打开 T **rail** s 页面,然后选择一个跟踪名称。
1. 如果您的跟踪使用基本事件选择器记录数据事件,则需要切换到高级事件选择器来记录网络活动事件。
请按照下面的步骤切换到高级事件选择器:
1. 在**数据事件**区域中,记下当前数据事件选择器。切换到高级事件选择器将清除所有现有数据事件选择器。
1. 选择**编辑**,然后选择**切换到高级事件选择器**。
1. 使用高级事件选择器重新应用您的数据事件选择。有关更多信息,请参阅 [更新现有跟踪以使用控制台通过高级事件选择器记录数据事件](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-adv)。
1. 在**网络活动事件**中,选择**编辑**。
要记录网络活动事件,请采取以下步骤:
1. 从**网络活动事件源**中,选择网络活动事件的来源。
1. 在**记录选择器模板**中,选择一个模板。您可以选择记录所有网络活动事件、记录所有网络活动访问被拒绝的事件,或者选择**自定义**来构建自定义日志选择器以筛选多个字段(例如 `eventName` 和 `vpcEndpointId`)。
1. (可选)输入用于标识选择器的名称。选择器名称在高级事件选择器中列为 **名称**,展开 **JSON 视图**即可查看该名称。
1. 在**高级事件选择器**中,通过为**字段**、**运算符**和**值**选择值来构建表达式。如果您使用的是预定义日志模板,则可跳过此步骤。
1. 要排除或包括网络活动事件,您可以从控制台中的以下字段中进行选择。
+ **`eventName`**:您可以将任何运算符与 `eventName` 配合使用。您可以使用它来包含或排除任何事件(如 `CreateKey`)。
+ **`errorCode`**:您可以使用它来筛选错误代码。目前,唯一支持的 `errorCode` 是 `VpceAccessDenied`。
+ **`vpcEndpointId`**:标识操作通过的 VPC 端点。您可以将任何运算符与 `vpcEndpointId` 配合使用。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。
1. 要添加您想要记录网络活动事件的另一个事件源,请选择**添加网络活动事件选择器**。
1. 或者,展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。
1. 选择**保存更改**以保存您的更改。
### 更新现有事件数据存储以记录网络活动事件
按照以下过程更新现有事件数据存储以记录网络活动事件。
**注意**
您只能在事件类型的事件数据存储中记录网络活动**CloudTrail 事件**。
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在 CloudTrail 控制台左侧导航窗格的 **Lake** 下,选择**事件数据存储**。
1. 选择事件数据存储名称。
1. 在**网络活动事件**中,选择**编辑**。
要记录网络活动事件,请采取以下步骤:
1. 从**网络活动事件源**中,选择网络活动事件的来源。
1. 在**记录选择器模板**中,选择一个模板。您可以选择记录所有网络活动事件、记录所有网络活动访问被拒绝的事件,或者选择**自定义**来构建自定义日志选择器以筛选多个字段(例如 `eventName` 和 `vpcEndpointId`)。
1. (可选)输入用于标识选择器的名称。选择器名称在高级事件选择器中列为 **名称**,展开 **JSON 视图**即可查看该名称。
1. 在**高级事件选择器**中,通过为**字段**、**运算符**和**值**选择值来构建表达式。如果您使用的是预定义日志模板,则可跳过此步骤。
1. 要排除或包括网络活动事件,您可以从控制台中的以下字段中进行选择。
+ **`eventName`**:您可以将任何运算符与 `eventName` 配合使用。您可以使用它来包含或排除任何事件(如 `CreateKey`)。
+ **`errorCode`**:您可以使用它来筛选错误代码。目前,唯一支持的 `errorCode` 是 `VpceAccessDenied`。
+ **`vpcEndpointId`**:标识操作通过的 VPC 端点。您可以将任何运算符与 `vpcEndpointId` 配合使用。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。
1. 要添加您想要记录网络活动事件的另一个事件源,请选择**添加网络活动事件选择器**。
1. 或者,展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。
1. 选择**保存更改**以保存您的更改。
## 使用记录网络活动事件 AWS Command Line Interface
您可以使用 AWS CLI配置跟踪或事件数据存储以记录网络活动事件。
**Topics**
+ [示例:记录跟踪的网络活动事件](#logging-network-events-CLI-trail-examples)
+ [示例:记录事件数据存储的网络活动事件](#logging-network-events-CLI-eds-examples)
### 示例:记录跟踪的网络活动事件
您可以使用 AWS CLI配置跟踪以记录网络活动事件。运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html) 命令来为您的跟踪配置高级事件选择器。
要查看您的跟踪是否正在记录网络活动事件,请运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html) 命令。
**Topics**
+ [示例:记录 CloudTrail 操作的网络活动事件](#logging-network-events-CLI-trail-all-ct)
+ [示例:记录`VpceAccessDenied`的事件 AWS KMS](#logging-network-events-CLI-trail-kms)
+ [示例:记录 Amazon S3 的 `VpceAccessDenied` 事件](#logging-network-events-CLI-trail-s3)
+ [示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件](#logging-network-events-CLI-trail-ec2)
+ [示例:记录多个事件源的所有管理事件和网络活动事件](#logging-network-events-CLI-trail-multiple)
#### 示例:记录 CloudTrail 操作的网络活动事件
以下示例说明如何将跟踪配置为包含 CloudTrail API 操作的所有网络活动事件,例如`CreateTrail`和`CreateEventDataStore`调用。`eventSource` 字段的值是 `cloudtrail.amazonaws.com`。
```
aws cloudtrail put-event-selectors /
--trail-name TrailName /
--region region /
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
]
}
```
#### 示例:记录`VpceAccessDenied`的事件 AWS KMS
以下示例演示了如何配置跟踪以包含 AWS KMS的 `VpceAccessDenied` 事件。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `kms.amazonaws.com`。
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### 示例:记录 Amazon S3 的 `VpceAccessDenied` 事件
以下示例展示了如何配置跟踪以包含 Amazon S3 的 `VpceAccessDenied` 事件。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `s3.amazonaws.com`。
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### 示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件
以下示例演示了如何配置您的跟踪以包含特定 VPC 端点的 Amazon EC2 的 `VpceAccessDenied` 事件。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `ec2.amazonaws.com`,而将 `vpcEndpointId` 设置为感兴趣的 VPC 端点。
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
]
}
```
#### 示例:记录多个事件源的所有管理事件和网络活动事件
以下示例将跟踪配置为记录管理事件和所有 Amazon EC2 CloudTrail、、和 Amazon S3 事件源的网络活动事件。 AWS KMS AWS Secrets Manager
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
]
}
```
### 示例:记录事件数据存储的网络活动事件
您可以使用 AWS CLI配置事件数据存储以包含网络活动事件。使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) 命令创建新的事件数据存储以记录网络活动事件。使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html) 命令为现有事件数据存储更新高级事件选择器。
要查看事件数据存储是否包含网络活动事件,请运行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html) 命令。
```
aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN
```
**Topics**
+ [示例:记录 CloudTrail 操作的所有网络活动事件](#creating-network-events-eds-CLI-ct)
+ [示例:记录`VpceAccessDenied`的事件 AWS KMS](#creating-network-events-eds-CLI-kms)
+ [示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件](#creating-network-events-eds-CLI-ec2)
+ [示例:记录 Amazon S3 的 `VpceAccessDenied` 事件](#creating-network-events-eds-CLI-s3)
+ [示例:记录多个事件源的所有管理事件和网络活动事件](#creating-network-events-eds-CLI-multiple)
#### 示例:记录 CloudTrail 操作的所有网络活动事件
以下示例说明如何创建包含与 CloudTrail 操作相关的所有网络活动事件(例如对`CreateTrail`和的调用)的事件数据存储`CreateEventDataStore`。`eventSource` 字段的值设置为 `cloudtrail.amazonaws.com`。
```
aws cloudtrail create-event-data-store \
--name "EventDataStoreName" \
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
"Name": "EventDataStoreName",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 示例:记录`VpceAccessDenied`的事件 AWS KMS
以下示例说明如何创建事件数据存储以包含其中的`VpceAccessDenied`事件 AWS KMS。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `kms.amazonaws.com`。
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 示例:通过特定 VPC 端点记录 EC2 `VpceAccessDenied` 事件
以下示例演示了如何创建事件数据存储以包含特定 VPC 端点的 Amazon EC2 的 `VpceAccessDenied` 事件。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `ec2.amazonaws.com`,而将 `vpcEndpointId` 设置为感兴趣的 VPC 端点。
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 示例:记录 Amazon S3 的 `VpceAccessDenied` 事件
以下示例演示了如何创建事件数据存储以包含 Amazon S3 的 `VpceAccessDenied` 事件。此示例将 `errorCode` 字段设置为等于 `VpceAccessDenied` 事件,将 `eventSource` 字段设置为等于 `s3.amazonaws.com`。
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 示例:记录多个事件源的所有管理事件和网络活动事件
以下示例更新了当前仅记录管理事件的事件数据存储,使其也记录多个事件源的网络活动事件。要更新事件数据存储以添加新的事件选择器,请运行 `get-event-data-store` 命令以返回当前高级事件选择器。然后,运行 `update-event-data-store` 命令并传入包含当前选择器以及所有新选择器的 `--advanced-event-selectors`。要记录多个事件源的网络活动事件,请为每个要记录的事件源包含一个选择器。
```
aws cloudtrail update-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
该命令将返回以下示例输出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00"
}
```
## 使用记录事件 AWS SDKs
运行该[GetEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html)操作以查看您的跟踪是否正在记录网络活动事件。您可以通过运行[PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html)操作将跟踪配置为记录网络活动事件。有关更多信息,请参阅 [AWS CloudTrail API 参考](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/)。
运行该[GetEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventDataStore.html)操作以查看您的事件数据存储是否正在记录网络活动事件。通过运行[CreateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateEventDataStore.html)或[UpdateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html)操作并指定高级事件选择器,您可以将事件数据存储配置为包含网络活动事件。有关更多信息,请参阅 [使用创建、更新和管理事件数据存储 AWS CLI](lake-eds-cli.md) 和《AWS CloudTrail API Reference[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/)》。