本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為 S3 儲存貯體和物件啟用 CloudTrail 事件記錄
您可以使用 CloudTrail 資料事件來取得 Amazon S3 中儲存貯體和物件層級請求的相關資訊。若要針對所有儲存貯體或特定儲存貯體清單啟用 CloudTrail 資料事件,您必須在 CloudTrail 中手動建立線索。
注意
-
CloudTrail 的預設設定是只尋找管理事件。檢查以確保您已為帳戶啟用資料事件。
-
您可以使用會產生高工作負載的 S3 儲存貯體來在很短的時間內快速產生大量的日誌。請小心選擇為忙碌的儲存貯體啟用 CloudTrail 資料事件多久。
CloudTrail 會在您選擇的 S3 儲存貯體中存放 Amazon S3 資料事件日誌。考慮在單獨的 中使用儲存貯體 AWS 帳戶 ,將您可能擁有的多個儲存貯體的事件更妥善地組織到中央位置,以便於查詢和分析。 AWS Organizations 可協助您建立 AWS 帳戶 ,該 會連結到您監控的儲存貯體擁有的帳戶。如需詳細資訊,請參閱AWS Organizations 《 使用者指南》中的什麼是 AWS Organizations?。
當您在 CloudTrail 中記錄追蹤的資料事件時,您可以選擇使用進階事件選取器或基本事件選取器來記錄儲存在一般用途儲存貯體中物件的資料事件。若要記錄儲存在目錄儲存貯體中物件的資料事件,您必須使用進階事件選取器。如需詳細資訊,請參閱使用適用於 S3 Express One Zone 的 AWS CloudTrail 記錄。
當您使用進階事件選取器在 CloudTrail 主控台中建立追蹤時,您可以針對日誌選取器範本選擇記錄所有事件來記錄所有物件層級事件。當您使用基本事件選取器在 CloudTrail 主控台中建立追蹤時,您可以在資料事件區段中選取在您的帳戶中選取所有 S3 儲存貯體核取方塊來記錄所有物件層級事件。
注意
-
這是為您的 AWS CloudTrail 資料事件儲存貯體建立生命週期組態的最佳實務。設定生命週期組態,在經過您認為必須稽核日誌的期間之後,定期移動日誌檔案。這麼做可降低 Athena 分析每個查詢時的資料量。如需詳細資訊,請參閱設定儲存貯體的 S3 生命週期組態。
-
如需關於記錄格式的詳細資訊,請參閱 使用 記錄 Amazon S3 API 呼叫 AWS CloudTrail。
-
如需有關如何查詢 CloudTrail 日誌的範例,請參閱 AWS 大數據部落格文章《使用 AWS CloudTrail 和 Amazon Athena 來分析安全、合規和營運活動》
。
使用主控台啟用儲存貯體中物件的記錄
您可以使用 Amazon S3 主控台來設定 AWS CloudTrail 追蹤,以記錄 S3 儲存貯體中物件的資料事件。CloudTrail 支援記錄 GetObject、DeleteObject 與 PutObject 等 Amazon S3 物件層級 API 操作。這些事件稱為資料事件。
根據預設,CloudTrail 追蹤不會記錄資料事件,但您可以設定追蹤來記錄指定 S3 儲存貯體的資料事件,或記錄 AWS 帳戶中所有 Amazon S3 儲存貯體的資料事件。如需詳細資訊,請參閱使用 記錄 Amazon S3 API 呼叫 AWS CloudTrail。
CloudTrail 不會在 CloudTrail 事件歷程記錄中填入資料事件。此外,並非所有的儲存貯體層級動作都會填入 CloudTrail 事件歷程記錄中。如需有關 CloudTrail 記錄追蹤的 Amazon S3 儲存貯體層級 API 動作的詳細資訊,請參閱 CloudTrail 日誌記錄所追蹤的 Amazon S3 儲存貯體層級動作。如需有關查詢 CloudTrail 日誌的詳細資訊,請參閱關於使用 Amazon CloudWatch Logs 篩選條件模式及使用 Amazon Athena 查詢 CloudTrail 日誌
注意
如果您使用 記錄資料活動 AWS CloudTrail,則 Amazon S3 DeleteObjects資料事件的事件記錄會同時包含該操作中刪除的每個物件DeleteObjects的事件和DeleteObject事件。您可以從事件記錄中排除已刪除物件的其他可見性。如需詳細資訊,請參閱AWS CloudTrail 《 使用者指南》中AWS CLI 篩選資料事件的範例。
若要設定追蹤來記錄 S3 儲存貯體的資料事件,您可以使用 AWS CloudTrail 主控台或 Amazon S3 主控台。如果您要設定線索來記錄 中所有 Amazon S3 儲存貯體的資料事件 AWS 帳戶,則使用 CloudTrail 主控台會更輕鬆。如需使用 CloudTrail 主控台設定追蹤來記錄 S3 資料事件的相關資訊,請參閱《AWS CloudTrail 使用者指南》中的資料事件。
重要
資料事件需支付額外的費用。如需詳細資訊,請參閱 AWS CloudTrail 定價
下列程序示範如何使用 Amazon S3 主控台設定 CloudTrail 線索,以記錄 S3 儲存貯體的資料事件。
為 S3 一般用途儲存貯體或 S3 目錄儲存貯體中的物件啟用 CloudTrail 資料事件記錄
登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/s3/
開啟 Amazon S3 主控台。 -
在 Buckets (儲存貯體) 清單中,選擇儲存貯體名稱。
-
選擇 Properties (屬性)。
-
在 AWS CloudTrail data events (AWS CloudTrail 資料事件) 下,選擇 Configure in CloudTrail (在 CloudTrail 中設定)。
您可以建立新的 CloudTrail 追蹤或重複使用現有的追蹤,並設定要在追蹤中記錄的 Amazon S3 資料事件。如需如何在 CloudTrail 主控台中建立追蹤的相關資訊,請參閱《AWS CloudTrail 使用者指南》中的使用主控台建立和更新追蹤。如需有關如何在 CloudTrail 主控台中設定 Amazon S3 資料事件記錄的資訊,請參閱《AWS CloudTrail 使用者指南》中的記錄 Amazon S3 物件的資料事件。
注意
如果您是使用 CloudTrail 主控台或 Amazon S3 主控台設定線索來記錄 S3 儲存貯體的資料事件,則 Amazon S3 主控台會顯示儲存貯體已啟用物件層級記錄日誌。
停用 S3 儲存貯體中物件的 CloudTrail 資料事件記錄日誌
登入 AWS Management Console 並開啟位於 https://https://console.aws.amazon.com/cloudtrail/
的 CloudTrail 主控台。 -
在左側導覽窗格中,選擇追蹤。
-
選擇您已建立來記錄儲存貯體之事件的追蹤名稱。
-
在追蹤的詳細資訊窗格上,選擇右上角的停止記錄。
-
在出現的對話方塊中,選擇停止記錄。
如需在建立 S3 儲存貯體時啟用物件層級記錄日誌的資訊,請參閱「建立一般用途儲存貯體」。
如需使用 S3 儲存貯體進行 CloudTrail 記錄的詳細資訊,請參閱下列主題:
-
《AWS CloudTrail 使用者指南》中的使用 CloudTrail 日誌檔案
