使用 Amazon Quick Sight 中的事件响应、记录和监控 CloudTrail - Amazon Quick Suite
使用 Amazon Quick Sight 记录信息 AWS CloudTrail使用 CloudTrail 日志跟踪非 API 事件示例:Amazon Quick Sight 日志文件条目

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Quick Sight 中的事件响应、记录和监控 CloudTrail

Amazon Quick Sight 已与 AWS CloudTrail。该服务记录用户、角色或 AWS 服务在 Amazon Quick Sight 中执行的操作。 CloudTrail 将 Amazon Quick Sight 的所有 API 调用捕获为事件。捕获的调用包括来自 Amazon Quick Sight 控制台的一些调用以及对 Amazon Quick Sight API 操作的所有代码调用。如果您创建了跟踪,则可以允许将 CloudTrail 事件持续传输到 Amazon S3 存储桶,包括 Amazon Quick Sight 的事件。如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的 “事件历史记录” 中查看最新的事件。通过收集的信息 CloudTrail,您可以确定向 Amazon Quick Sight 发出的请求、发出请求的 IP 地址、谁提出了请求、何时提出请求以及其他详细信息。

Amazon Quick Sight 本身不支持使用亚马逊 CloudWatch 或其他外部系统发出警报。但是,可以开发自定义解决方案来处理 CloudTrail 日志。

可以在 Service Healt h Dashboard 上查看 Amazon Quick Sight 服务状态。

默认情况下,传送 CloudTrail 到您的存储桶的日志文件由亚马逊服务器端加密,使用亚马逊 S3 托管的加密密钥 (SSE-S3) 进行加密。要提供可直接管理的安全层,您可以改为使用服务器端加密和 KMS AWS 托管密钥 (SSE-KMS) 来处理日志文件。 CloudTrail 启用服务器端加密将使用 SSE-KMS 加密日志文件而不加密摘要文件。摘要文件使用 Simple Storage Service(Amazon S3)托管加密密钥(SSE-S3)加密。

要了解更多信息 CloudTrail,包括如何配置和启用它,请参阅AWS CloudTrail 用户指南

使用 Amazon Quick Sight 记录信息 AWS CloudTrail

   目标受众:系统管理员 

CloudTrail 在您创建 AWS 账户时已在您的账户上启用。当 Amazon Quick Sight 中出现支持的事件活动时,该活动会与其他 AWS 服务 CloudTrail 事件一起记录在事件历史记录中。您可以在自己的 AWS 账户中查看、搜索和下载最近发生的事件。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件

要持续记录您的 AWS 账户中的事件,包括 Amazon Quick Sight 的事件,请创建跟踪。跟踪允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。预设情况下,在控制台中创建跟踪记录时,此跟踪记录应用于所有。此跟踪记录在 AWS 分区中记录所有区域中的事件,并将日志文件传送至您指定的 Simple Storage Service(Amazon S3)存储桶。此外,您可以配置其他 AWS 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:

Amazon Quick Sight 支持将以下操作作为事件 CloudTrail 记录在日志文件中:

  • 请求是使用根凭证还是 AWS Identity and Access Management 用户凭证发出的

  • 请求是使用 IAM 角色还是联合用户的临时安全凭证发出的

  • 请求是否由其他 AWS 服务发出

有关用户身份的更多信息,请参阅 CloudTrail userIdentity 元素

默认情况下,每个 Amazon Quick Sight 日志条目都包含以下信息:

  • userIdentity – 用户身份

  • eventTime – 事件时间

  • eventId – 事件 Id

  • readOnly – 只读

  • AWS 区域 区域 —

  • E@@ ventSource(quicksight)— 事件来源(Amazon Quick Sight)

  • 事件类型 AwsServiceEvent ()-事件类型(服务事件)AWS

  • recipientAccountId (客户 AWS 账户)-收件人账户 ID(客户 AWS 账户)

注意

CloudTrail 显示用户,就好unknown像他们是由 Amazon Quick Sight 配置的。这样显示是因为这些用户不是已知的 IAM 身份类型。

使用 CloudTrail 日志跟踪非 API 事件

以下是可以跟踪的非 API 事件的列表。

User management

  • CreateAccount— 创建账户

  • BatchCreateUser— 创建用户

  • BatchResendUserInvite— 邀请用户

  • UpdateGroups— 更新群组

    此事件仅与企业版配合使用。

  • UpdateSpiceCapacity— 更新SPICE容量

  • DeleteUser— 删除用户

  • Unsubscribe – 取消订阅用户

订阅

  • CreateSubscription— 创建订阅

  • UpdateSubscription— 更新订阅

  • DeleteSubscription— 删除订阅

控制面板

  • GetDashboard— 获取仪表板

  • CreateDashboard— 创建仪表板

  • UpdateDashboard— 更新仪表板

  • UpdateDashboardAccess— 更新仪表板访问权限

  • DeleteDashboard— 删除仪表板

分析

  • GetAnalysis— 获取分析

  • CreateAnalysis— 创建分析

  • UpdateAnalysisAccess— 更新分析访问权限

  • UpdateAnalysis— 更新分析

    • RenameAnalysis— 重命名分析

    • CreateVisual— 创建视觉效果

    • RenameVisual— 重命名视觉效果

    • DeleteVisual— 删除视觉效果

    • DeleteAnalysis— 删除分析

数据来源

  • CreateDataSource— 创建数据源

    • FlatFile— 平面文件

    • External – 外部

    • S3 – S3

    • I@@ mports3 ManifestFile — S3 清单文件

    • Presto – Presto

    • RDS – RDS

    • Redshift – Redshift(手动)

  • UpdateDataSource— 更新数据源

  • DeleteDataSource— 删除数据源

数据集

  • CreateDataSet— 创建数据集

    • CustomSQL – 自定义 SQL

    • SQLTable— SQL 表

    • File – CSV 或 XLSX

  • UpdateDataSet— 更新 SQL 联接数据集

  • UpdateDatasetAccess— 更新数据集访问权限

  • DeleteDataSet— 删除数据集

  • Querydatabase – 在数据集刷新期间,查询数据来源。

示例:Amazon Quick Sight 日志文件条目

跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。一个事件表示来自任何源的一个请求,包括有关所请求的操作、操作的日期和时间、请求参数等方面的信息。 CloudTrail 日志文件不是公用 API 调用的有序堆栈跟踪,因此它们不会以任何特定顺序显示。

以下示例显示了演示该 BatchCreateUser操作的 CloudTrail 日志条目。

{ 
   "eventVersion":"1.05",
   "userIdentity":
	{ 
	   "type":"Root",
	   "principalId":"123456789012",
	   "arn":"arn:aws:iam::123456789012:root",
	   "accountId":"123456789012",
	   "userName":"test-username"
	},
	   "eventTime":"2017-04-19T03:16:13Z",
	   "eventSource":"quicksight.amazonaws.com",
	   "eventName":"BatchCreateUser",
	   "awsRegion":"us-west-2",
	   "requestParameters":null,
	   "responseElements":null,
	   "eventID":"e7d2382e-70a0-3fb7-9d41-a7a913422240",
	   "readOnly":false,
	   "eventType":"AwsServiceEvent",
	   "recipientAccountId":"123456789012",
	   "serviceEventDetails":
	   { 
		   "eventRequestDetails":
		   { 
				"users":
				{ 
					"test-user-11":
					{ 
						"role":"USER"
					},
					"test-user-22":
					{ 
						"role":"ADMIN"
					}
				}
			},
			"eventResponseDetails":
			{ 
			"validUsers":[ 
				],
			"InvalidUsers":[ 
				"test-user-11",
				"test-user-22"
				]
			}
	   }
   }