本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # CloudTrail 安全湖中的事件日志 AWS CloudTrail 为您提供账户的 AWS API 调用历史记录,包括使用、 AWS 管理控制台、命令行工具和某些 AWS 服务进行的 API 调用。 AWS SDKs CloudTrail 还允许您识别哪些用户和帐户呼叫 AWS APIs 了支持的服务 CloudTrail、发出呼叫的源 IP 地址以及呼叫发生的时间。有关更多信息,请参阅 [AWS CloudTrail 《用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。 Security Lake 可以收集与 S3 和 Lambda 的 CloudTrail 管理事件和 CloudTrail 数据事件相关的日志。 CloudTrail 管理事件、S3 数据事件和 Lambda 数据事件是安全湖中的三个独立来源。因此,当您将其中一个添加为摄取日志源时,它们的 [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_AwsLogSourceConfiguration.html#securitylake-Type-AwsLogSourceConfiguration-sourceName](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_AwsLogSourceConfiguration.html#securitylake-Type-AwsLogSourceConfiguration-sourceName) 会显示不同的值。管理事件(也称为控制平面事件)可让您深入了解对中的资源执行的管理操作 AWS 账户。 CloudTrail 数据事件,也称为数据平面操作,显示对您的资源或资源内部执行的资源操作 AWS 账户。这些操作通常是大规模活动。 要在 Security Lake 中收集 CloudTrail 管理事件,您必须至少有一个用于收集读取和写入 CloudTrail 管理事件的 CloudTrail多区域组织跟踪。您必须为该跟踪启用日志记录。如果您在其他服务中配置了日志记录,那么您无需更改日志记录配置即可将其添加为 Security Lake 中的日志源。Security Lake 会通过独立且重复的事件流直接从这些服务中拉取数据。 多区域跟踪可将多个区域的日志文件传输到单个 AWS 账户的单个 Amazon Simple Storage Service (Amazon S3) 桶中。如果您已经通过 CloudTrail 控制台或管理了多区域跟踪 AWS Control Tower,则无需采取进一步的操作。 + 有关创建和管理通过跟踪的信息 CloudTrail,请参阅*《AWS CloudTrail 用户指南》*中的[为组织创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)。 + 有关创建和管理通过跟踪的信息 AWS Control Tower,请参阅*《AWS Control Tower 用户指南》 AWS CloudTrail*中的[使用记录 AWS Control Tower 操作](https://docs.aws.amazon.com/controltower/latest/userguide/logging-using-cloudtrail.html)。 当您将 CloudTrail 事件添加为来源时,Security Lake 会立即开始收集您的 CloudTrail事件日志。它 CloudTrail 通过独立且重复的事件流直接使用 CloudTrail 管理和数据事件。 Security Lake 不会管理您的 CloudTrail 事件,也不会影响您的现有 CloudTrail 配置。要直接管理 CloudTrail 事件的访问和保留,必须使用 CloudTrail 服务控制台或 API。有关更多信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用 CloudTrail 事件历史记录查看事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。 以下列表提供了指向映射参考的 GitHub 存储库链接,以了解 Security Lake 如何将 CloudTrail 事件标准化为 OCSF。 ****GitHub OCSF 事件存储库 CloudTrail**** + 源版本 1 [(v1.0.0-rc.2](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.0.0-rc.2/CloudTrail)) + 源代码版本 2 [(v1.1.0)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/CloudTrail)