本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 記錄網路活動事件
CloudTrail 網路活動事件可讓 VPC 端點擁有者記錄使用其 VPC 端點從私有 VPC 到 的 AWS API 呼叫 AWS 服務。網路活動事件可讓您了解 VPC 內執行的資源操作。例如,記錄網路活動事件可協助 VPC 端點擁有者偵測組織外部的登入資料何時嘗試存取其 VPC 端點。
您可以記錄下列服務的網路活動事件:
+ AWS AppConfig
+ AWS App Mesh
+ Amazon Athena
+ AWS B2B 資料交換
+ AWS Backup gateway
+ Amazon Bedrock
+ Billing and Cost Management
+ AWS 定價計算工具
+ AWS Cost Explorer
+ AWS 雲端控制 API
+ AWS CloudHSM
+ AWS Cloud Map
+ AWS CloudFormation
+ AWS CloudTrail
+ Amazon CloudWatch
+ CloudWatch Application Signals
+ AWS CodeDeploy
+ Amazon Comprehend Medical
+ AWS Config
+ AWS 資料匯出
+ Amazon Data Firehose
+ AWS Directory Service
+ Amazon DynamoDB
+ Amazon EC2
+ Amazon Elastic Container Service
+ Amazon Elastic File System
+ Elastic Load Balancing
+ Amazon EventBridge
+ Amazon EventBridge 排程器
+ Amazon Fraud Detector
+ AWS 免費方案
+ Amazon FSx
+ AWS Glue
+ AWS HealthLake
+ AWS IoT FleetWise
+ AWS IoT Secure Tunneling
+ AWS Invoicing
+ Amazon Keyspaces (適用於 Apache Cassandra)
+ AWS KMS
+ AWS Lake Formation
+ AWS Lambda
+ AWS License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Personalize
+ Amazon Q Business
+ Amazon Rekognition
+ Amazon Relational Database Service
+ Amazon S3
**注意**
不支援 Amazon S3 [多區域存取點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRequests.html)。
+ Amazon SageMaker AI
+ AWS Secrets Manager
+ Amazon Simple Notification Service
+ Amazon Simple Queue Service
+ Amazon Simple Workflow Service
+ AWS Storage Gateway
+ AWS Systems Manager Incident Manager
+ Amazon Textract
+ Amazon Transcribe
+ Amazon Translate
+ AWS Transform
+ Amazon Verified Permissions
+ Amazon WorkMail
您可以同時設定線索和事件資料存放區,以記錄網路活動事件。
根據預設,線索和事件資料存放區不會記錄網路活動事件。網路活動事件需支付額外費用。如需詳細資訊,請參閱[AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
**Contents**
+ [網路活動事件的進階事件選取器欄位](#logging-network-events)
+ [使用 記錄網路活動事件 AWS 管理主控台](#creating-network-event-selectors-with-the-console)
+ [更新現有的線索以記錄網路活動事件](#log-network-events-trail-console)
+ [更新現有的事件資料存放區以記錄網路活動事件](#log-network-events-lake-console)
+ [使用 記錄網路活動事件 AWS Command Line Interface](#creating-network-event-selectors-with-the-AWS-CLI)
+ [範例:記錄線索的網路活動事件](#logging-network-events-CLI-trail-examples)
+ [範例:記錄 CloudTrail 操作的網路活動事件](#logging-network-events-CLI-trail-all-ct)
+ [範例: 的日誌`VpceAccessDenied`事件 AWS KMS](#logging-network-events-CLI-trail-kms)
+ [範例:Amazon S3 的日誌`VpceAccessDenied`事件](#logging-network-events-CLI-trail-s3)
+ [範例:記錄特定 VPC 端點上的 EC2 `VpceAccessDenied`事件](#logging-network-events-CLI-trail-ec2)
+ [範例:記錄多個事件來源的所有管理事件和網路活動事件](#logging-network-events-CLI-trail-multiple)
+ [範例:記錄事件資料存放區的網路活動事件](#logging-network-events-CLI-eds-examples)
+ [範例:記錄 CloudTrail 操作的所有網路活動事件](#creating-network-events-eds-CLI-ct)
+ [範例: 的日誌`VpceAccessDenied`事件 AWS KMS](#creating-network-events-eds-CLI-kms)
+ [範例:記錄特定 VPC 端點上的 EC2 `VpceAccessDenied`事件](#creating-network-events-eds-CLI-ec2)
+ [範例:Amazon S3 的日誌`VpceAccessDenied`事件](#creating-network-events-eds-CLI-s3)
+ [範例:記錄多個事件來源的所有管理事件和網路活動事件](#creating-network-events-eds-CLI-multiple)
+ [使用 AWS SDKs 記錄事件](#logging-network-events-with-the-AWS-SDKs)
## 網路活動事件的進階事件選取器欄位
您可以指定要記錄活動的事件來源,藉此設定進階事件選取器來記錄網路活動事件。您可以使用 AWS SDKs AWS CLI或 CloudTrail 主控台來設定進階事件選取器。
記錄網路活動事件時,需要下列進階事件選取器欄位:
+ `eventCategory` – 若要記錄網路活動事件,值必須為 `NetworkActivity`。 `eventCategory` 只能使用 `Equals` 運算子。
+ `eventSource` – 您要記錄網路活動事件的事件來源。 `eventSource` 只能使用 `Equals` 運算子。如果您想要記錄多個事件來源的網路活動事件,您必須為每個事件來源建立個別的欄位選擇器。
有效值包含:
+ `aco-automation.amazonaws.com`
+ `appconfig.amazonaws.com`
+ `application-signals.amazonaws.com`
+ `appmesh.amazonaws.com`
+ `athena.amazonaws.com`
+ `b2bi.amazonaws.com`
+ `backup-gateway.amazonaws.com`
+ `bcm-data-exports.amazonaws.com`
+ `bcm-pricing-calculator.amazonaws.com`
+ `bedrock-agentcore.amazonaws.com`
+ `bedrock.amazonaws.com`
+ `billing.amazonaws.com`
+ `cassandra.amazonaws.com`
+ `ce.amazonaws.com`
+ `cloudcontrolapi.amazonaws.com`
+ `cloudformation.amazonaws.com`
+ `cloudhsm.amazonaws.com`
+ `cloudoptimization.amazonaws.com`
+ `cloudtrail.amazonaws.com`
+ `codedeploy.amazonaws.com`
+ `comprehend.amazonaws.com`
+ `comprehendmedical.amazonaws.com`
+ `config.amazonaws.com`
+ `ds.amazonaws.com`
+ `dynamodb.amazonaws.com`
+ `ec2.amazonaws.com`
+ `ecs.amazonaws.com`
+ `elasticfilesystem.amazonaws.com`
+ `elasticloadbalancing.amazonaws.com`
+ `events.amazonaws.com`
+ `firehose.amazonaws.com`
+ `frauddetector.amazonaws.com`
+ `freetier.amazonaws.com`
+ `fsx.amazonaws.com`
+ `glue.amazonaws.com`
+ `healthlake.amazonaws.com`
+ `invoicing.amazonaws.com`
+ `iot.amazonaws.com`
+ `iotfleetwise.amazonaws.com`
+ `iotsecuredtunneling.amazonaws.com`
+ `kms.amazonaws.com`
+ `lakeformation.amazonaws.com`
+ `lambda.amazonaws.com`
+ `license-manager.amazonaws.com`
+ `lookoutequipment.amazonaws.com`
+ `lookoutvision.amazonaws.com`
+ `monitoring.amazonaws.com`
+ `nova-act.amazonaws.com`
+ `personalize.amazonaws.com`
+ `qbusiness.amazonaws.com`
+ `rds.amazonaws.com`
+ `rekognition.amazonaws.com`
+ `rolesanywhere.amazonaws.com`
+ `s3.amazonaws.com`
+ `sagemaker.amazonaws.com`
+ `scheduler.amazonaws.com`
+ `secretsmanager.amazonaws.com`
+ `servicediscovery.amazonaws.com`
+ `sns.amazonaws.com`
+ `sqs.amazonaws.com`
+ `ssm-contacts.amazonaws.com`
+ `ssm.amazonaws.com`
+ `storagegateway.amazonaws.com`
+ `swf.amazonaws.com`
+ `textract.amazonaws.com`
+ `transcribe.amazonaws.com`
+ `transcribestreaming.amazonaws.com`
+ `transform-agents.amazonaws.com`
+ `transform-custom.amazonaws.com`
+ `transform.amazonaws.com`
+ `translate.amazonaws.com`
+ `user-subscriptions.amazonaws.com`
+ `verifiedpermissions.amazonaws.com`
+ `voiceid.amazonaws.com`
+ `workmail.amazonaws.com`
+ `workmailmessageflow.amazonaws.com`
下列進階事件選取器欄位為選用:
+ `eventName` – 您要篩選的請求動作。例如, `CreateKey`或 `ListKeys`。 `eventName` 可以使用任何運算子。
+ `errorCode` – 您要篩選的請求錯誤代碼。目前,唯一有效的`errorCode`是 `VpceAccessDenied`。您只能搭配 使用 `Equals`運算子`errorCode`。
+ `vpcEndpointId` – 識別操作通過的 VPC 端點。您可以搭配 使用任何運算子`vpcEndpointId`。
當您建立追蹤或事件資料存放區時,預設不會記錄網路活動事件。若要記錄 CloudTrail 網路活動事件,您必須明確設定要收集活動的每個事件來源。
記錄網路活動事件需支付額外費用。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
## 使用 記錄網路活動事件 AWS 管理主控台
您可以使用 主控台更新現有的線索或事件資料存放區,以記錄網路活動事件。
**Topics**
+ [更新現有的線索以記錄網路活動事件](#log-network-events-trail-console)
+ [更新現有的事件資料存放區以記錄網路活動事件](#log-network-events-lake-console)
### 更新現有的線索以記錄網路活動事件
使用下列程序更新現有的線索,以記錄網路活動事件。
**注意**
記錄網路活動事件需支付額外費用。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在 CloudTrail 主控台的左導覽窗格中,開啟**追蹤**頁面,選擇追蹤名稱。
1. 如果您的線索使用基本事件選取器記錄資料事件,您將需要切換到進階事件選取器來記錄網路活動事件。
採取下列步驟切換到進階事件選取器:
1. 在**資料事件**區域中,記下目前的資料事件選取器。切換到進階事件選取器將清除任何現有的資料事件選取器。
1. 選擇**編輯**,然後選擇**切換到進階事件選取器**。
1. 使用進階事件選取器重新套用您的資料事件選取項目。如需詳細資訊,請參閱[使用主控台更新現有的線索,以使用進階事件選取器記錄資料事件](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-adv)。
1. 在**網路活動事件**中,選擇**編輯**。
若要記錄網路活動事件,請執行下列步驟:
1. 從**網路活動事件來源**中,選擇網路活動事件的來源。
1. 在**日誌選取器範本**中,選擇範本。您可以選擇記錄所有網路活動事件、記錄所有網路活動存取遭拒的事件,或選擇**自訂**以建置自訂日誌選取器來篩選多個欄位,例如 `eventName`和 `vpcEndpointId`。
1. (選用) 輸入名稱以識別選取器。選擇器名稱在進階事件選擇器中列為**名稱**,如果您展開 **JSON 檢視**,則可檢視。
1. 在**進階事件選取器**中,選擇**欄位**、**運算子**和**值**的值來建置表達式。如果您使用預先定義的日誌範本,則可略過此步驟。
1. 對於排除或包含網路活動事件,您可以在 主控台中選擇下列欄位。
+ **`eventName`** – 您可以將任何運算子與 搭配使用`eventName`。您可以使用它來包含或排除任何事件,例如 `CreateKey`。
+ **`errorCode`** – 您可以使用它來篩選錯誤碼。目前,唯一支援的`errorCode`是 `VpceAccessDenied`。
+ **`vpcEndpointId`** – 識別操作通過的 VPC 端點。您可以搭配 使用任何運算子`vpcEndpointId`。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。
1. 若要新增要記錄網路活動事件的其他事件來源,請選擇**新增網路活動事件選取器**。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 選擇**儲存變更**,以儲存您所做的變更。
### 更新現有的事件資料存放區以記錄網路活動事件
使用下列程序更新現有的事件資料存放區,以記錄網路活動事件。
**注意**
您只能在 **CloudTrail 事件類型的事件資料存放區上記錄網路活動事件**。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在 CloudTrail 主控台的左側導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇事件資料存放區名稱。
1. 在**網路活動事件**中,選擇**編輯**。
若要記錄網路活動事件,請執行下列步驟:
1. 從**網路活動事件來源**中,選擇網路活動事件的來源。
1. 在**日誌選取器範本**中,選擇範本。您可以選擇記錄所有網路活動事件、記錄所有網路活動存取遭拒的事件,或選擇**自訂**以建置自訂日誌選取器來篩選多個欄位,例如 `eventName`和 `vpcEndpointId`。
1. (選用) 輸入名稱以識別選取器。選擇器名稱在進階事件選擇器中列為**名稱**,如果您展開 **JSON 檢視**,則可檢視。
1. 在**進階事件選取器**中,選擇**欄位**、**運算子**和**值**的值來建置表達式。如果您使用預先定義的日誌範本,則可略過此步驟。
1. 對於排除或包含網路活動事件,您可以在 主控台中選擇下列欄位。
+ **`eventName`** – 您可以將任何運算子與 搭配使用`eventName`。您可以使用它來包含或排除任何事件,例如 `CreateKey`。
+ **`errorCode`** – 您可以使用它來篩選錯誤碼。目前,唯一支援的`errorCode`是 `VpceAccessDenied`。
+ **`vpcEndpointId`** – 識別操作通過的 VPC 端點。您可以搭配 使用任何運算子`vpcEndpointId`。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。
1. 若要新增您要記錄網路活動事件的其他事件來源,請選擇**新增網路活動事件選取器**。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 選擇**儲存變更**,以儲存您所做的變更。
## 使用 記錄網路活動事件 AWS Command Line Interface
您可以設定追蹤或事件資料存放區,以使用 記錄網路活動事件 AWS CLI。
**Topics**
+ [範例:記錄線索的網路活動事件](#logging-network-events-CLI-trail-examples)
+ [範例:記錄事件資料存放區的網路活動事件](#logging-network-events-CLI-eds-examples)
### 範例:記錄線索的網路活動事件
您可以使用 設定追蹤記錄網路活動事件 AWS CLI。執行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-event-selectors.html)命令來設定追蹤的進階事件選取器。
若要查看您的線索是否正在記錄網路活動事件,請執行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-selectors.html)命令。
**Topics**
+ [範例:記錄 CloudTrail 操作的網路活動事件](#logging-network-events-CLI-trail-all-ct)
+ [範例: 的日誌`VpceAccessDenied`事件 AWS KMS](#logging-network-events-CLI-trail-kms)
+ [範例:Amazon S3 的日誌`VpceAccessDenied`事件](#logging-network-events-CLI-trail-s3)
+ [範例:記錄特定 VPC 端點上的 EC2 `VpceAccessDenied`事件](#logging-network-events-CLI-trail-ec2)
+ [範例:記錄多個事件來源的所有管理事件和網路活動事件](#logging-network-events-CLI-trail-multiple)
#### 範例:記錄 CloudTrail 操作的網路活動事件
下列範例示範如何設定您的線索,以包含 CloudTrail API 操作的所有網路活動事件,例如 `CreateTrail`和 `CreateEventDataStore`呼叫。`eventSource` 欄位的值為 `cloudtrail.amazonaws.com`。
```
aws cloudtrail put-event-selectors /
--trail-name TrailName /
--region region /
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
]
}
```
#### 範例: 的日誌`VpceAccessDenied`事件 AWS KMS
下列範例顯示如何設定您的線索以包含 `VpceAccessDenied`的事件 AWS KMS。此範例會將 `errorCode` 欄位設定為等於 `VpceAccessDenied` 事件,而 `eventSource` 欄位設定為等於 `kms.amazonaws.com`。
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events through VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### 範例:Amazon S3 的日誌`VpceAccessDenied`事件
下列範例顯示如何設定您的線索以包含 Amazon S3 `VpceAccessDenied`的事件。此範例會將 `errorCode` 欄位設定為等於 `VpceAccessDenied` 事件,而 `eventSource` 欄位設定為等於 `s3.amazonaws.com`。
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
]
}
```
#### 範例:記錄特定 VPC 端點上的 EC2 `VpceAccessDenied`事件
下列範例示範如何設定您的線索,以包含特定 VPC 端點的 Amazon EC2 `VpceAccessDenied`事件。此範例會設定等於`VpceAccessDenied`事件`errorCode`的欄位、等於 `eventSource`的欄位`ec2.amazonaws.com`,以及`vpcEndpointId`等於感興趣的 VPC 端點。
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
]
}
```
#### 範例:記錄多個事件來源的所有管理事件和網路活動事件
下列範例會設定追蹤記錄 CloudTrail AWS KMS AWS Secrets Manager、Amazon EC2 和 Amazon S3 事件來源的管理事件和所有網路活動事件。
```
aws cloudtrail put-event-selectors \
--region region /
--trail-name TrailName /
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
]
}
```
### 範例:記錄事件資料存放區的網路活動事件
您可以使用 將事件資料存放區設定為包含網路活動事件 AWS CLI。使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html)命令建立新的事件資料存放區,以記錄網路活動事件。使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/update-event-data-store.html) 命令來為現有的事件資料存放區更新進階事件選取器。
若要查看您的事件資料存放區是否包含網路活動事件,請執行 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-event-data-store.html)命令。
```
aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN
```
**Topics**
+ [範例:記錄 CloudTrail 操作的所有網路活動事件](#creating-network-events-eds-CLI-ct)
+ [範例: 的日誌`VpceAccessDenied`事件 AWS KMS](#creating-network-events-eds-CLI-kms)
+ [範例:記錄特定 VPC 端點上的 EC2 `VpceAccessDenied`事件](#creating-network-events-eds-CLI-ec2)
+ [範例:Amazon S3 的日誌`VpceAccessDenied`事件](#creating-network-events-eds-CLI-s3)
+ [範例:記錄多個事件來源的所有管理事件和網路活動事件](#creating-network-events-eds-CLI-multiple)
#### 範例:記錄 CloudTrail 操作的所有網路活動事件
下列範例示範如何建立事件資料存放區,其中包含與 CloudTrail 操作相關的所有網路活動事件,例如對 `CreateTrail`和 的呼叫`CreateEventDataStore`。`eventSource` 欄位的值設定為 `cloudtrail.amazonaws.com`。
```
aws cloudtrail create-event-data-store \
--name "EventDataStoreName" \
--advanced-event-selectors '[
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
"Name": "EventDataStoreName",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Audit all CloudTrail API calls over VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 範例: 的日誌`VpceAccessDenied`事件 AWS KMS
下列範例示範如何建立事件資料存放區以包含 `VpceAccessDenied`的事件 AWS KMS。此範例會將 `errorCode` 欄位設定為等於 `VpceAccessDenied` 事件,而 `eventSource` 欄位設定為等於 `kms.amazonaws.com`。
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events over VPC endpoints",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 範例:記錄特定 VPC 端點上的 EC2 `VpceAccessDenied`事件
下列範例示範如何建立事件資料存放區,以包含特定 VPC 端點的 Amazon EC2 `VpceAccessDenied`事件。此範例會設定等於`VpceAccessDenied`事件`errorCode`的欄位、等於 `eventSource`的欄位`ec2.amazonaws.com`,以及`vpcEndpointId`等於感興趣的 VPC 端點。
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
},
{
"Field": "vpcEndpointId",
"Equals": ["vpce-example8c1b6b9b7"]
}
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied EC2 events over a specific VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
},
{
"Field": "vpcEndpointId",
"Equals": [
"vpce-example8c1b6b9b7"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 範例:Amazon S3 的日誌`VpceAccessDenied`事件
下列範例示範如何建立事件資料存放區,以包含 Amazon S3 `VpceAccessDenied`的事件。此範例會將 `errorCode` 欄位設定為等於 `VpceAccessDenied` 事件,而 `eventSource` 欄位設定為等於 `s3.amazonaws.com`。
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log S3 access denied network activity events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
#### 範例:記錄多個事件來源的所有管理事件和網路活動事件
下列範例會更新目前僅記錄管理事件的事件資料存放區,以記錄多個事件來源的網路活動事件。若要更新事件資料存放區以新增事件選取器,請執行 `get-event-data-store`命令以傳回目前的進階事件選取器。然後,執行 `update-event-data-store`命令並傳入 `--advanced-event-selectors` ,其中包含目前的選擇器和任何新的選擇器。若要記錄多個事件來源的網路活動事件,請針對您要記錄的每個事件來源包含一個選擇器。
```
aws cloudtrail update-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--advanced-event-selectors '[
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["Management"]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["cloudtrail.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["ec2.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["s3.amazonaws.com"]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["secretsmanager.amazonaws.com"]
}
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Log all management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
},
{
"Name": "Log all network activity events for CloudTrail APIs",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"cloudtrail.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for EC2",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"ec2.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for KMS",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for S3",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"s3.amazonaws.com"
]
}
]
},
{
"Name": "Log all network activity events for Secrets Manager",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"secretsmanager.amazonaws.com"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-11-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-11-20T21:00:17.820000+00:00"
}
```
## 使用 AWS SDKs 記錄事件
執行 [GetEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html) 操作,查看您的線索是否正在記錄網路活動事件。您可以執行 [PutEventSelectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html) 操作,將線索設定為記錄網路活動事件。如需詳細資訊,請參閱 [AWS CloudTrail API 參考](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/)。
執行 [GetEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventDataStore.html) 操作,查看您的事件資料存放區是否正在記錄網路活動事件。您可以透過執行 [CreateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateEventDataStore.html) 或 [UpdateEventDataStore](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateEventDataStore.html) 操作並指定進階事件選取器,將事件資料存放區設定為包含網路活動事件。如需詳細資訊,請參閱[使用 建立、更新和管理事件資料存放區 AWS CLI](lake-eds-cli.md)和 [AWS CloudTrail API 參考](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/)。