本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Trusted Advisor 的监控和日志记录
监控是保持 Trusted Advisor 和您的其他 AWS 解决方案的可靠性、可用性和性能的重要方面。AWS 提供了以下一些监控工具来监控 Trusted Advisor、在出现错误时进行报告并适时自动采取措施。
+ *Amazon EventBridge* 提供近乎实时的系统事件流,这些系统事件描述了 AWS 资源中的更改。EventBridge 支持自动事件驱动型计算,因为您可以编写规则,以监控某些事件,并在这些事件发生时在其他 AWS 服务中触发自动操作。
例如,Trusted Advisor 提供 **Amazon S3 存储桶权限**检查。此检查确定您是否具有满足以下条件的存储桶:具有开放的访问权限或允许任何经过身份验证的 AWS 用户进行访问。如果存储桶权限发生变化,则 Trusted Advisor 检查的状态会发生更改。EventBridge 检测到此事件,然后向您发送通知,以便您可以采取措施。有关更多信息,请参阅 [Amazon EventBridge 用户指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)。
+ AWS Trusted Advisor 检查可确定供您降低成本、改善性能和提高 AWS 账户安全性的方法。您可以使用 EventBridge 来监控 Trusted Advisor 检查的状态。然后,您可以使用 Amazon CloudWatch 创建有关 Trusted Advisor 指标的警报。当 Trusted Advisor 检查的状态发生变化(例如,更新了资源或已达到服务配额)时,这些警报向您发出通知。
+ *AWS CloudTrail* 捕获由您的 AWS 账户或代表该账户发出的 API 调用和相关事件,并将日志文件传输到您指定的 Amazon S3 桶。您可以标识哪些用户和账户调用了 AWS、发出调用的源 IP 地址以及调用的发生时间。有关更多信息,请参阅[《AWS CloudTrail 用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
**Topics**
+ [
# 使用 Amazon 监控 AWS Trusted Advisor 检查结果 EventBridge
](cloudwatch-events-ta.md)
+ [
# 创建 Amazon CloudWatch 警报以监控 AWS Trusted Advisor 指标
](cloudwatch-metrics-ta.md)
+ [
# 使用记录 AWS Trusted Advisor 控制台操作 AWS CloudTrail
](logging-using-cloudtrail-for-aws-trusted-advisor.md)
# 使用 Amazon 监控 AWS Trusted Advisor 检查结果 EventBridge
**重要**
终止支持通知:开发者支持将于 2027 年 1 月 1 日停止。拥有 Developer Support 的客户可以继续使用其现有计划或选择在 2027 年 1 月 1 日之前的任何时候升级到 Business Support\$1。Business Support\$1 提供基于人工智能的帮助,了解您的运营背景,可全天候联系 AWS 专家,每个账户每月最低费用为29美元。有关更多信息,请参阅 “[商业支持\$1” 计划](https://aws.amazon.com/premiumsupport/plans/business-plus/)详情
终止支持通知:Business Support 将于 2027 年 1 月 1 日停止。拥有 Business Support 的客户可以继续使用其现有计划或选择在 2027 年 1 月 1 日之前的任何时候升级到 Business Support\$1。Business Support\$1 提供基于人工智能的帮助,了解您的运营背景,可全天候联系 AWS 专家,每个账户每月最低费用为29美元。有关更多信息,请参阅 “[商业支持\$1” 计划](https://aws.amazon.com/premiumsupport/plans/business-plus/)详情
终止支持通知:2027 年 1 月 1 日, AWS 将停用 Enterprise On-Ramp。在 2026 年,Enterprise On-Ramp 客户将在合同续订期间或定期批量自动升级到 AWS Enterprise Support。客户将在升级前一个月收到电子邮件通知。无需进一步操作。Enterprise Support 提供指定的 TAM 分配、15 分钟的响应时间,且 AWS 安全事件响应 无需支付额外费用,所有费用都低于 5,000 美元(低于 15,000 美元)。有关更多信息,请参阅[AWS 企业 支持 套餐详情](https://aws.amazon.com/premiumsupport/plans/enterprise/)。
有关更多信息,请参阅 [开发人员、企业和企业入口服务终止支持](support-plans-eos.md)。
开发者支持、业务支持和企业入门服务仍将在该 AWS GovCloud (US) 地区提供。
您可以使用 EventBridge 来检测何时检查 Trusted Advisor 变更状态。然后,根据您创建的规则,当状态更改为您在规则中指定的值时, EventBridge 调用一个或多个目标操作。
根据具体的状态更改,您可以发送通知、捕获状态信息、采取纠正措施、启动事件或采取其他操作。例如,如果检查状态由未检测到的问题(绿色)更改为建议的操作(红色),则可以指定以下目标类型。
+ 使用 AWS Lambda 函数将通知传递给 Slack 频道。
+ 将有关检查的数据推送到 Amazon Kinesis 流,以支持全面、实时的状态监控。
+ 将 Amazon Simple Notification Service 主题发送到您的电子邮件。
+ 获取 Amazon CloudWatch 警报操作的通知。
有关如何使用 EventBridge 和 Lambda 函数自动响应的更多信息 Trusted Advisor,请参阅中的[Trusted Advisor 工具](https://github.com/aws/Trusted-Advisor-Tools)。 GitHub
**注意**
Trusted Advisor 尽最大努力举办活动。并不总是能保证将事件传送到 EventBridge。
您必须有 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划才能创建 Trusted Advisor 检查规则。有关更多信息,请参阅 [更改 AWS 支持 计划](changing-support-plans.md)。
与全球服务一样 Trusted Advisor ,所有事件都发送到 EventBridge 美国东部(弗吉尼亚北部)地区。
按照以下步骤为创建 EventBridge 规则 Trusted Advisor。在创建事件规则之前,请执行以下操作:
+ 熟悉中的事件、规则和目标。 EventBridge有关更多信息,请参阅[什么是亚马逊 EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 在《*亚马逊 EventBridge 用户指南》*中。
+ 创建将在事件规则中使用的目标。
**要为创建 EventBridge 规则 Trusted Advisor**
1. 打开 Amazon EventBridge 控制台,网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。
1. 要更改区域,请使用页面右上角的 **Region selector**(区域选择器),然后选择 **US East (N. Virginia)**(美国东部(弗吉尼亚北部))。
1. 在导航窗格中,选择**规则**。
1. 选择 **创建规则**。
1. 在 **Define rule detail**(定义规则详细信息)页面上,输入规则名称和描述。
1. 对于 **事件总线**和 **规则类型**,保留默认值,然后选择**下一步**。
1. 在**构建事件模式**页面上,为**事件源**选择**AWS 事件或 EventBridge 合作伙伴事件**。
1. 在 **Event pattern**(事件模式)下,请保留默认值( **AWS 服务**)。
1. 对于 **AWS 服务**,选择 **Trusted Advisor**。
1. 对于 **Event type**(事件类型),选择 **Check Item Refresh Status**(检查项目刷新状态)。
1. 为检查状态选择以下选项之一:
+ 选择 **Any status**(任何状态)以创建监控任何状态更改的规则。
+ 选择 **Specific status(es)**(特定状态),然后选择要让您的规则监控的值。
+ **错误**- Trusted Advisor 建议对检查采取行动。
+ **信息**- Trusted Advisor 无法确定支票的状态。
+ **OK** — Trusted Advisor 未检测到支票存在问题。
+ **警告**- Trusted Advisor 检测检查中可能存在的问题并建议进行调查。
1. 为您的检查选择以下选项之一:
+ 选择 **Any check**(任何检查)。
+ 选择 **Specific check(s)**(特定检查),然后从列表中选择一个或多个检查名称。
1. 为 AWS 资源选择以下选项之一:
+ 选择 **Any resource ID**(任何资源 ID)来创建监控所有资源的规则。
+ 选择 **ARN 旁边的特定资源 ID**,然后输入所需的亚马逊资源名称 (ARNs)。
1. 选择**下一步**。
1. 在 **Select target(s)**(选择目标)页面中,选择您为此规则创建的目标类型,然后配置该类型所需的任何其他选项。例如,您可以将事件发送到 Amazon SQS 队列或 Amazon SNS 主题。
1. 选择**下一步**。
1. (可选)在 **Configure tags**(配置标签)页面上,添加任意标签,然后选择 **Next**(下一步)。
1. 在 **Review and create**(审查并创建)页面上,审查您的规则设置并确保其符合您的事件监控要求。
1. 选择 **创建规则**。现在,您的规则将监控 Trusted Advisor 检查结果,然后将事件发送到您指定的目标。
# 创建 Amazon CloudWatch 警报以监控 AWS Trusted Advisor 指标
AWS Trusted Advisor 刷新支票时,会将有关检查结果的指标 Trusted Advisor 发布到。 CloudWatch您可以在 CloudWatch 中查看指标。您还可以创建警报,以检测 Trusted Advisor 检查的状态变化、资源的状态变化以及服务配额使用情况(以前称为限制)。
按照此步骤为特定 Trusted Advisor 指标创建 CloudWatch 警报。
**Topics**
+ [
## 先决条件
](#prerequisites-cloudwatch-metrics)
+ [
## CloudWatch 的指标 Trusted Advisor
](#cloudwatch-metrics-dimensions-for-trusted-advisor)
+ [
## Trusted Advisor 指标和维度
](#trusted-advisor-metrics-dimensions)
## 先决条件
在为 Trusted Advisor 指标创建 CloudWatch 警报之前,请查看以下信息:
+ 了解如何 CloudWatch 使用指标和警报。有关更多信息,[请参阅 *Amazon CloudWatch 用户指南*中的 CloudWatch 工作原理](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_architecture.html)。
+ 使用 Trusted Advisor 控制台或 AWS 支持 API 刷新您的支票并获取最新的检查结果。有关更多信息,请参阅 [刷新检查结果](get-started-with-aws-trusted-advisor.md#refresh-check-results)。
**为 Trusted Advisor 指标创建 CloudWatch 警报**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 使用**区域选择器**并选择**美国东部(弗吉尼亚北部)** AWS 区域。
1. 在导航窗格中,选择**告警**。
1. 选择**创建警报**。
1. 选择**选择指标**。
1. 对于**指标**,输入一个或多个维度值,以筛选指标列表。例如,您可以输入指标名称**ServiceLimitUsage**或维度,例如 Trusted Advisor 支票名称。
**提示**
您可以搜索 **Trusted Advisor** 以列出服务的所有指标。
有关指标和维度名称的列表,请参阅 [Trusted Advisor 指标和维度](#trusted-advisor-metrics-dimensions)。
1. 在结果表中,选中指标的复选框。
在以下示例中,检查名称为 **IAM 访问密钥轮换**,指标名称为**YellowResources**。
![\[CloudWatch控制台中 IAM 密码策略检查名称 Trusted Advisor 的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/images/trusted_advisor_metrics_cloudwatch_iam_access_key_rotation.png)
1. 选择**选择指标**。
1. **在 “指定指标和条件**” 页面上,验证该页上是否显示了您选择的**指标名称**。**CheckName**
1. 对于 **Period**(期限),您可以指定当检查状态变化时您希望告警开始的时间期限,如 5 分钟。
1. 在 **Conditions**(条件)下,选择 **Static**(静态),然后指定告警启动时的告警条件。
例如,如果您选择**大于等于 >=阈值**并输入 **1** 作为阈值,这意味着告警在 Trusted Advisor 检测到至少有一个在过去 90 天内未轮换的 IAM 访问密钥时开始。
**注意**
对于**GreenChecks**、**RedChecks**、**YellowChecks**RedResources****、和**YellowResources**指标,您可以指定一个大于或等于零的任意整数的阈值。
Trusted Advisor 不会为其发送指标 **GreenResources**,这些资源 Trusted Advisor 尚未检测到任何问题。
1. 选择**下一步**。
1. 在 **Configure actions**(配置操作)页面上,对于 **Alarm state trigger**(告警状态触发器),选择 **In alarm**(告警中)。
1. 对于 **Select an SNS topic**(选择 SNS 主题),选择现有的 Amazon Simple Notification Service (Amazon SNS) 主题或创建一个主题。
![\[用于在 CloudWatch 控制台中监控 Trusted Advisor 指标的警报的通知设置屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/images/trusted_advisor_metrics_cloudwatch_SNS_topic.png)
1. 选择**下一步**。
1. 对于**名称和描述**,输入告警的名称和描述。
1. 选择**下一步**。
1. 在 **Preview and create**(预览和创建)页面上,查看告警详细信息,然后选择 **Create alarm**(创建告警)。
当**IAM 访问密钥轮换**检查变为红色 5 分钟时,您的告警将向您的 SNS 主题发送通知。
**Example : CloudWatch 警报的电子邮件通知**
以下电子邮件消息显示告警检测到 **IAM 访问密钥轮换**检查发生更改。
```
You are receiving this email because your Amazon CloudWatch Alarm "IAMAcessKeyRotationCheckAlarm" in the US East (N. Virginia) region has entered the ALARM state,
because "Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition)." at "Friday 26 March, 2021 22:49:42 UTC".
View this alarm in the AWS 管理控制台:
https://us-east-1.console.aws.amazon.com/cloudwatch/home?region=us-east-1#s=Alarms&alarm=IAMAcessKeyRotationCheckAlarm
Alarm Details:
- Name: IAMAcessKeyRotationCheckAlarm
- Description: This alarm starts when one or more AWS access keys in my AWS account have not been rotated in the last 90 days.
- State Change: INSUFFICIENT_DATA -> ALARM
- Reason for State Change: Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition).
- Timestamp: Friday 26 March, 2021 22:49:42 UTC
- AWS Account: 123456789012
- Alarm Arn: arn:aws:cloudwatch:us-east-1:123456789012:alarm:IAMAcessKeyRotationCheckAlarm
Threshold:
- The alarm is in the ALARM state when the metric is GreaterThanOrEqualToThreshold 1.0 for 300 seconds.
Monitored Metric:
- MetricNamespace: AWS/TrustedAdvisor
- MetricName: RedResources
- Dimensions: [CheckName = IAM Access Key Rotation]
- Period: 300 seconds
- Statistic: Average
- Unit: not specified
- TreatMissingData: missing
State Change Actions:
- OK:
- ALARM: [arn:aws:sns:us-east-1:123456789012:Default_CloudWatch_Alarms_Topic]
- INSUFFICIENT_DATA:
```
## CloudWatch 的指标 Trusted Advisor
您可以使用 CloudWatch 控制台或 AWS Command Line Interface (AWS CLI) 来查找可用的指标 Trusted Advisor。
有关发布指标的所有服务的命名空间、指标和维度的列表,请参阅 A *mazon CloudWatch 用户*[指南中的发布 CloudWatch 指标的AWS 服务](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/aws-services-cloudwatch-metrics.html)。
### 查看 Trusted Advisor 指标(控制台)
您可以登录 CloudWatch 控制台并查看的可用指标 Trusted Advisor。
**查看可用 Trusted Advisor 指标(控制台)**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 使用**区域选择器**并选择**美国东部(弗吉尼亚北部)** AWS 区域。
1. 在导航窗格中,选择**指标**。
1. 输入指标命名空间,例如 **TrustedAdvisor**。
1. 选择指标维度,例如**检查指标**。
1. **All metrics**(所有指标)选项卡显示命名空间中该维度的指标。您可执行以下操作:
1. 要对表进行排序,请选择列标题。
1. 要为指标绘制图表,请选中该指标旁的复选框。要选择所有指标,请选中表的标题行中的复选框。
1. 要按指标进行筛选,请选择指标名称,然后选择**添加到搜索**。
以下示例显示了**安全组 - 不受限制的特定端口**检查的结果。该检查确定了 13 个黄色资源。 Trusted Advisor 建议您调查黄色支票。
![\[该图表包含 CloudWatch 控制台中 “安全组-特定端口不受限制” 检查的两个资源指标。\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/images/trusted_advisor_metrics_cloudwatch_unrestricted_access_check_names.png)
1. (可选)要将此图表添加到 CloudWatch 仪表板,请选择**操作**,然后选择**添加到仪表板**。
有关创建图表以查看指标的更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[绘制指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_a_metric.html)图表。
### 查看 Trusted Advisor 指标 (CLI)
您可以使用 [list-Metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) AWS CLI 命令查看的可用指标。 Trusted Advisor
**Example : 列出以下各项的所有指标 Trusted Advisor**
以下示例指定要查看其所有指标的`AWS/TrustedAdvisor`命名空间 Trusted Advisor。
```
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor
```
您的输出可能与以下内容类似。
```
{
"Metrics": [
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "EBS"
},
{
"Name": "ServiceLimit",
"Value": "Magnetic (standard) volume storage (TiB)"
},
{
"Name": "Region",
"Value": "ap-northeast-2"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Overutilized Amazon EBS Magnetic Volumes"
}
],
"MetricName": "YellowResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "EBS"
},
{
"Name": "ServiceLimit",
"Value": "Provisioned IOPS"
},
{
"Name": "Region",
"Value": "eu-west-1"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "EBS"
},
{
"Name": "ServiceLimit",
"Value": "Provisioned IOPS"
},
{
"Name": "Region",
"Value": "ap-south-1"
}
],
"MetricName": "ServiceLimitUsage"
},
...
]
}
```
**Example :列出维度的所有指标**
以下示例指定 `AWS/TrustedAdvisor` 命名空间和 `Region` 维度以查看指定 AWS 区域的可用指标。
```
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --dimensions Name=Region,Value=us-east-1
```
您的输出可能与以下内容类似。
```
{
"Metrics": [
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "SES"
},
{
"Name": "ServiceLimit",
"Value": "Daily sending quota"
},
{
"Name": "Region",
"Value": "us-east-1"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "AutoScaling"
},
{
"Name": "ServiceLimit",
"Value": "Launch configurations"
},
{
"Name": "Region",
"Value": "us-east-1"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "CloudFormation"
},
{
"Name": "ServiceLimit",
"Value": "Stacks"
},
{
"Name": "Region",
"Value": "us-east-1"
}
],
"MetricName": "ServiceLimitUsage"
},
...
]
}
```
**Example :列出特定指标名称的指标**
以下示例指定 `AWS/TrustedAdvisor` 命名空间和 `RedResources` 指标名称以仅查看此指定指标的结果。
```
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --metric-name RedResources
```
您的输出可能与以下内容类似。
```
{
"Metrics": [
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Amazon RDS Security Group Access Risk"
}
],
"MetricName": "RedResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Exposed Access Keys"
}
],
"MetricName": "RedResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Large Number of Rules in an EC2 Security Group"
}
],
"MetricName": "RedResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Auto Scaling Group Health Check"
}
],
"MetricName": "RedResources"
},
...
]
}
```
## Trusted Advisor 指标和维度
有关可用于 CloudWatch 警报和图表的 Trusted Advisor 指标和维度,请参阅下表。
### Trusted Advisor 检查级别指标
您可以使用以下指标进行 Trusted Advisor 检查。
| 指标 | 说明 |
| --- | --- |
| RedResources | 处于红色状态的资源数(建议采取操作)。 |
| YellowResources | 处于黄色状态的资源数(建议调查)。 |
### Trusted Advisor 服务配额级别指标
您可以将以下指标用于 AWS 服务 配额。
| 指标 | 说明 |
| --- | --- |
| ServiceLimitUsage | 资源使用量对服务配额(以前称为限制)的百分比。 |
### 检查级别指标的维度
您可以使用以下维度进行 Trusted Advisor 检查。
| 维度 | 说明 |
| --- | --- |
| CheckName | Trusted Advisor 支票的名称。 您可以在 [Trusted Advisor 控制台](https://console.aws.amazon.com/trustedadvisor/home)或 [AWS Trusted Advisor 查看参考资料](trusted-advisor-check-reference.md) 中找到所有检查名称。 |
### 服务配额指标的维度
您可以将以下维度用于 Trusted Advisor 服务配额指标。
| 维度 | 说明 |
| --- | --- |
| Region | AWS 区域 用于服务配额。 |
| ServiceName | AWS 服务的名称。 |
| ServiceLimit | 服务配额的名称。 有关服务配额的更多信息,请参阅 *AWS 一般参考* 中 [AWS 服务 限额](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。 |
# 使用记录 AWS Trusted Advisor 控制台操作 AWS CloudTrail
Trusted Advisor 与 AWS CloudTrail一项服务集成,该服务提供用户、角色或 AWS 服务在中执行的操作的记录 Trusted Advisor。 CloudTrail 将操作捕获 Trusted Advisor 为事件。捕获的呼叫包括来自 Trusted Advisor 控制台的呼叫。如果您创建跟踪,则可以允许持续向亚马逊简单存储服务 (Amazon S3) Storage Service 存储桶传送 CloudTrail 事件,包括的事件。 Trusted Advisor如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的事件**历史记录中查看最新的事件**。使用收集的信息 CloudTrail,您可以确定向哪个请求发出 Trusted Advisor、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。
要了解更多信息 CloudTrail,包括如何配置和启用它,请参阅[AWS CloudTrail 用户指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
## Trusted Advisor 信息在 CloudTrail
CloudTrail 在您创建 AWS 账户时已在您的账户上启用。当 Trusted Advisor 控制台中出现支持的事件活动时,该活动会与其他 AWS 服务 CloudTrail 事件一起记录在**事件历史**记录中。您可以在自己的 AWS 账户中查看、搜索和下载最近发生的事件。有关更多信息,请参阅[使用事件历史记录查看 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录您 AWS 账户中的事件,包括的事件 Trusted Advisor,请创建跟踪。*跟踪*允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。预设情况下,在控制台中创建跟踪时,此跟踪应用于所有 AWS 区域。跟踪记录 AWS 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:
+ [创建跟踪概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [从多个区域接收 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[从多个账户接收 CloudTrail日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Trusted Advisor 支持将 Trusted Advisor 控制台操作的子集作为事件 CloudTrail 记录在日志文件中。 CloudTrail 记录以下操作:
+ ` [ BatchUpdateRecommendationResourceExclusion ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) `
+ `CreateEngagement`
+ `CreateEngagementAttachment`
+ `CreateEngagementCommunication`
+ `CreateExcelReport`
+ `DescribeAccount`
+ `DescribeAccountAccess`
+ `DescribeCheckItems`
+ `DescribeCheckRefreshStatuses`
+ `DescribeCheckSummaries`
+ `DescribeChecks`
+ `DescribeNotificationPreferences`
+ `DescribeOrganization`
+ `DescribeOrganizationAccounts`
+ `DescribeReports`
+ `DescribeServiceMetadata`
+ `ExcludeCheckItems`
+ `GenerateReport`
+ `GetEngagement`
+ `GetEngagementAttachment`
+ `GetEngagementType`
+ `GetExcelReport`
+ ` [ GetOrganizationRecommendation ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_GetOrganizationRecommendation.html) `
+ ` [ GetRecommendation ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_GetRecommendation.html) `
+ `IncludeCheckItems`
+ `ListAccountsForParent`
+ ` [ListChecks](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListChecks.html) `
+ `ListEngagementCommunications`
+ `ListEngagementTypes`
+ `ListEngagements`
+ ` [ ListOrganizationRecommendationAccounts ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendationAccounts.html) `
+ ` [ ListOrganizationRecommendationResources ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendationResources.html) `
+ ` [ ListOrganizationRecommendations ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendations.html) `
+ `ListOrganizationalUnitsForParent`
+ ` [ ListRecommendationResources ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListRecommendationResources.html) `
+ ` [ ListRecommendations ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListRecommendations.html) `
+ `ListRoots`
+ `RefreshCheck`
+ `SetAccountAccess`
+ `SetOrganizationAccess`
+ `UpdateEngagement`
+ `UpdateEngagementStatus`
+ `UpdateNotificationPreferences`
+ ` [ UpdateOrganizationRecommendationLifecycle ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_UpdateOrganizationRecommendationLifecycle.html) `
+ ` [ UpdateRecommendationLifecycle ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_UpdateRecommendationLifecycle.html) `
有关 Trusted Advisor 控制台操作的完整列表,请参阅[Trusted Advisor 行动](security-trusted-advisor.md#trusted-advisor-operations)。
**注意**
CloudTrail 还会在 Trusted Advisor API [参考中记录AWS 支持 API](https://docs.aws.amazon.com/awssupport/latest/APIReference/) 操作。有关更多信息,请参阅[使用记录 AWS 支持 API 调用 AWS CloudTrail](logging-using-cloudtrail.md)。
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根证书还是 AWS Identity and Access Management (IAM) 用户凭证发出。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务发出。
有关更多信息,请参阅[CloudTrail 用户身份元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 示例: Trusted Advisor 日志文件条目
跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件代表来自任何来源的单个请求,包括有关请求的操作、操作的日期和时间、请求参数等的信息。 CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此它们不会按任何特定顺序出现。
**Example : 日志条目 RefreshCheck**
以下示例显示了一个 CloudTrail 日志条目,该条目演示了 Amazon S3 存储桶版本控制检查 (IDR365s2Qddf) 的`RefreshCheck`操作。
```
{
"eventVersion":"1.04",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:user/janedoe",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"janedoe",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2020-10-21T22:06:18Z"
}
}
},
"eventTime":"2020-10-21T22:06:33Z",
"eventSource":"trustedadvisor.amazonaws.com",
"eventName":"RefreshCheck",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.127.34.136",
"userAgent":"signin.amazonaws.com",
"requestParameters":{
"checkId":"R365s2Qddf"
},
"responseElements":{
"status":{
"checkId":"R365s2Qddf",
"status":"enqueued",
"millisUntilNextRefreshable":3599993
}
},
"requestID":"d23ec729-8995-494c-8054-dedeaEXAMPLE",
"eventID":"a49d5202-560f-4a4e-b38a-02f1cEXAMPLE",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
**Example : 日志条目 UpdateNotificationPreferences**
以下示例显示了演示该`UpdateNotificationPreferences`操作的 CloudTrail 日志条目。
```
{
"eventVersion":"1.04",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:user/janedoe",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"janedoe",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2020-10-21T22:06:18Z"
}
}
},
"eventTime":"2020-10-21T22:09:49Z",
"eventSource":"trustedadvisor.amazonaws.com",
"eventName":"UpdateNotificationPreferences",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.127.34.167",
"userAgent":"signin.amazonaws.com",
"requestParameters":{
"contacts":[
{
"id":"billing",
"type":"email",
"active":false
},
{
"id":"operational",
"type":"email",
"active":false
},
{
"id":"security",
"type":"email",
"active":false
}
],
"language":"en"
},
"responseElements":null,
"requestID":"695295f3-c81c-486e-9404-fa148EXAMPLE",
"eventID":"5f923d8c-d210-4037-bd32-997c6EXAMPLE",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
**Example : 日志条目 GenerateReport**
以下示例显示了演示该`GenerateReport`操作的 CloudTrail 日志条目。此操作会为您的 AWS 组织创建报告。
```
{
"eventVersion":"1.04",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:user/janedoe",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"janedoe",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2020-11-03T13:03:10Z"
}
}
},
"eventTime":"2020-11-03T13:04:29Z",
"eventSource":"trustedadvisor.amazonaws.com",
"eventName":"GenerateReport",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.127.36.171",
"userAgent":"signin.amazonaws.com",
"requestParameters":{
"refresh":false,
"includeSuppressedResources":false,
"language":"en",
"format":"JSON",
"name":"organizational-view-report",
"preference":{
"accounts":[
],
"organizationalUnitIds":[
"r-j134"
],
"preferenceName":"organizational-view-report",
"format":"json",
"language":"en"
}
},
"responseElements":{
"status":"ENQUEUED"
},
"requestID":"bb866dc1-60af-47fd-a660-21498EXAMPLE",
"eventID":"2606c89d-c107-47bd-a7c6-ec92fEXAMPLE",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```