Amazon CodeCatalyst 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 如何从 CodeCatalyst 迁移。
使用日志记录监控事件和 API 调用
在 Amazon CodeCatalyst 中,空间的管理事件由 AWS CloudTrail 收集,并记录在空间的计费账户的跟踪记录中。CloudTrail 日志记录是管理 CodeCatalyst 事件的日志记录的主要方法,次要方法是在 CodeCatalyst 中查看事件日志记录。
账户中的事件使用为 AWS 账户设置的跟踪记录和指定存储桶进行记录。
下图说明了空间的所有管理事件如何记录到计费账户的 CloudTrail 中,而账户连接/计费事件和 AWS 资源事件将记录到相应账户的 CloudTrail 中。
下图说明了以下步骤:
-
创建空间后,AWS 账户将连接到该空间并被指定为计费账户。使用的跟踪记录是在 CloudTrail 中为计费账户创建的跟踪记录,其中记录了空间事件。CloudTrail 捕获由 CodeCatalyst 空间或代表 CodeCatalyst 空间发出的 API 调用和相关事件,并将日志文件传输到您指定的 S3 存储桶。如果计费账户更改为另一个 AWS 账户,则空间事件将记录在该账户的跟踪记录和存储桶中。有关 CloudTrail 记录的 CodeCatalyst 管理事件的更多信息,请参阅 CloudTrail 中的 CodeCatalyst 信息。
-
已连接到空间的其他账户(包括计费账户)会记录账户连接和计费事件的部分事件。为已针对该账户部署的 AWS 资源生成账户事件的 CodeCatalyst 工作流也会记录在 AWS 账户的跟踪记录和存储桶中。CloudTrail 捕获由 CodeCatalyst 空间或代表 CodeCatalyst 空间发出的 API 调用和相关事件,并将日志文件传输到您指定的 S3 存储桶。有关 CloudTrail 记录的 CodeCatalyst 管理事件的更多信息,请参阅 使用事件日志记录访问已记录的事件。
-
您还可以使用 AWS CLI 通过 list-event-logs 命令监控空间中特定时间内的 CodeCatalyst 操作。有关更多信息,请参阅《Amazon CodeCatalyst API Reference Guide》。您必须具有空间管理员角色才能调用空间中 CodeCatalyst 操作的事件列表。有关更多信息,请参阅 使用事件日志记录访问已记录的事件。
注意
ListEventLogs保证给定空间中最近 30 天的事件。您还可以在 AWS CloudTrail 控制台中查看和检索 CodeCatalyst 在过去 90 天内的管理事件的列表,方法是查看事件历史记录,或者创建跟踪记录以创建和维护超过 90 天的事件记录。有关更多信息,请参阅使用 CloudTrail 事件历史记录和使用 CloudTrail 跟踪记录。
注意
部署到 CodeCatalyst 工作流的已连接账户中的 AWS 资源不会记录到 CodeCatalyst 空间的 CloudTrail 日志记录中。例如,CodeCatalyst 资源包括空间或项目。AWS 资源包括 Amazon ECS 服务或 Lambda 函数。您必须为将资源部署到其中的每个 AWS 账户单独配置 CloudTrail 日志记录。
以下是可在 CodeCatalyst 中实施的一个事件监控流程。
Mary Major 是 CodeCatalyst 空间的空间管理员,她在 CodeCatalyst 中查看 CloudTrail 中记录的空间级和项目级资源的所有管理事件。请参阅 CloudTrail 中的 CodeCatalyst 信息以查看 CloudTrail 中记录的示例事件。
对于在 CodeCatalyst 中创建的资源(例如开发环境),Mary 会查看空间的计费账户中的事件历史记录,并调查项目成员已在 CodeCatalyst 中创建开发环境的事件。该事件为创建开发环境的用户提供身份存储 IAM 身份类型和 AWS 构建者 ID 的凭证。对于通过 CodeCatalyst 中的工作流部署的在 AWS 中创建的资源(例如,用于无服务器部署的 Lambda 函数),AWS 账户拥有者可以查看与用于工作流部署操作的单独 AWS 账户(也是 CodeCatalyst 的已连接账户)关联的跟踪记录的事件历史记录。
为了展开进一步调查,Mary 还可以使用 AWS CLI 中的 list-event-logs 命令查看空间中所有 CodeCatalyst API 的事件。
