本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用主控台建立 Insights 事件的事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
AWS CloudTrail Insights 透過持續分析 CloudTrail 管理事件,協助 AWS 使用者識別和回應與 API 呼叫率和 API 錯誤率相關的異常活動。CloudTrail Insights 會分析 API 呼叫率和 API 錯誤率的正常模式,也稱為*基準*,並在呼叫量或錯誤率超出正常模式時產生 Insights 事件。API 呼叫率上的 Insights 事件會針對`write`管理 APIs產生,而 API 錯誤率上的 Insights 事件會針對 `write` `read`和管理 APIs產生。
若要在 CloudTrail Lake 中記錄 Insights 事件,您需要會記錄 Insights 事件的目的地事件資料存放區和啟用 Insights 和日誌管理事件的來源事件資料存放區。
**注意**
若要在 API 呼叫率上記錄 Insights 事件,來源事件資料存放區必須記錄`write`管理事件。若要以 API 錯誤率記錄 Insights 事件,來源事件資料存放區必須記錄`read`或`write`管理事件。
如果您已在來源事件資料存放區上啟用 CloudTrail Insights,而且 CloudTrail 偵測到異常活動,CloudTrail 會傳遞 Insights 事件至您的目的地事件資料存放區。與 CloudTrail 事件資料存放區中擷取的其他類型的事件不同,只有在 CloudTrail 偵測到帳戶 API 使用方式與帳戶的一般使用模式有很大差異時,才會加以記錄。
在您第一次在事件資料存放區上啟用 CloudTrail Insights 之後,CloudTrail 最多可能需要 7 天才能開始交付 Insights 事件,前提是在此期間偵測到異常活動。
CloudTrail Insights 會分析事件資料存放區中每個區域中發生的管理事件,並在偵測到偏離基準的異常活動時產生 Insights 事件。CloudTrail Insights 事件會在產生其支援管理事件的相同區域中產生。
對於組織事件資料存放區,CloudTrail Insights 會分析組織中每個區域每個成員帳戶的管理事件,並在偵測到異常活動偏離帳戶和區域的基準時產生 Insights 事件。
擷取 CloudTrail Lake 中的 Insights 事件需支付額外費用。如果您同時為追蹤和 CloudTrail Lake 事件資料存放區啟用 Insights,則將分別支付它們的費用。如需有關 CloudTrail 定價的資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
**Topics**
+ [若要建立會記錄 Insights 事件的目的地事件資料存放區](#query-event-data-store-insights-procedure)
+ [若要建立會啟用 Insights 事件的來源事件資料存放區](#query-event-data-store-cloudtrail-insights)
## 若要建立會記錄 Insights 事件的目的地事件資料存放區
在建立 Insights 事件資料存放區時,您可以選擇一個記錄管理事件的現有來源事件資料存放區,然後指定想要接收的 Insights 類型。或者,您也可以在建立 Insights 事件資料存放區後啟用新的或現有事件資料存放區上的 Insights,然後選擇此事件資料存放區作為目的地事件資料存放區。
此程序將向您說明如何建立記錄 Insights 事件的目的地事件資料存放區。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,開啟 **Lake** 子選單,然後選擇 **Event data stores** (事件資料存放區)。
1. 選擇 **Create event data store** (建立事件資料存放區)。
1. 在**設定事件資料存放區**頁面上的**一般詳細資訊**中,輸入事件資料存放區的名稱。名稱為必填。
1. 選擇您想用於事件資料存放區的**定價選項**。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
以下為可用的選項:
+ **一年可延長保留定價** – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天之後,延長保留將依用量計費定價。此為預設選項。
+ **預設保留期:**366 天
+ **最長保留期:**3,653 天
+ **七年保留定價** – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。
+ **預設保留期:**2,557 天
+ **最長保留期:**2,557 天
1. 指定事件資料存放區的保留期間 (以天為單位)。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是**七年保留定價**選項,則可介於 7 天到 2,557 天 (約七年) 之間。事件資料存放區會在指定的天數內保留事件資料。
1. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇**使用我自己的 AWS KMS key**。選擇**新增**以為您 AWS KMS key 建立 ,或選擇**現有**以使用現有的 KMS 金鑰。在 **Enter KMS alias** (輸入 KMS 別名) 中,指定別名,格式為 `alias/`*MyAliasName*。使用您自己的 KMS 金鑰需要您編輯 KMS 金鑰政策,以允許加密和解密您的事件資料存放區。如需詳細資訊,請參閱[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。
**注意**
若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有 KMS 金鑰。
1. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 **Lake 查詢聯合**中選擇**啟用**。聯合可讓您在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中檢視與事件資料存放區相關聯的中繼資料,並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱[聯合事件資料存放區](query-federation.md)。
若要啟用 Lake 查詢聯合,請選擇**啟用**,然後執行下列動作:
1. 選擇要建立新角色還是使用現有的 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時,CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色,請確認該角色的政策可提供[必要的最低許可](query-federation.md#query-federation-permissions-role)。
1. 如果您要建立新角色,請輸入名稱以識別角色。
1. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。
1. (選用) 選擇**啟用資源政策**,將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html),以及委託人可以對事件資料存放區資源執行的動作。
事件資料存放區的資源型政策支援下列動作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
對於[組織事件資料存放區](cloudtrail-lake-organizations.md),CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp),列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。
1. (選用) 在 **Tags** (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策,對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊,請參閱[範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。如需如何在 中使用標籤的詳細資訊 AWS,請參閱[《標記 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*使用者指南》中的標記 AWS 資源*。
1. 選擇 **Next** (下一步) 以設定事件資料存放區。
1. 在**選擇事件**頁面上,選擇 **AWS 事件**,然後選擇 **CloudTrail Insights 事件**。
1. 在 **CloudTrail Insights 事件**中,執行下列動作。
1. 如果您想要為組織的委派管理員授予存取此事件資料存放區的權限,則選擇**允許委派管理員存取權**。只有在您使用 AWS Organizations 組織的管理帳戶登入時,才能使用此選項。
1. (選用) 選擇記錄管理事件的現有來源事件資料存放區,並指定您想要接收的 Insights 類型。
若要新增來源事件資料存放區,請執行下列動作。
1. 選擇**新增來源事件資料存放區**。
1. 選擇來源事件資料存放區。
1. 選擇您想要接收的 **Insights 類型**。
+ `ApiCallRateInsight` – `ApiCallRateInsight` Insights 類型會分析針對基準 API 呼叫量彙總的每分鐘唯寫管理 API 呼叫。若要接收 `ApiCallRateInsight` 上的 Insights,來源事件資料存放區必須記錄**寫入**管理事件。
+ `ApiErrorRateInsight` – `ApiErrorRateInsight` Insights 類型會分析導致錯誤碼的管理 API 呼叫。如果 API 呼叫失敗,則顯示錯誤。若要接收 `ApiErrorRateInsight` 上的 Insights,來源事件資料存放區必須記錄**寫入**或**讀取**管理事件。
1. 重複前兩個步驟 (ii 和 iii),以新增任何您想要接收的其他 Insights 類型。
1. 選擇 **Next** (下一步) 以檢閱您的選項。
1. 在 **Review and create** (檢閱和建立) 頁面上,檢閱您的選擇。選擇 **Edit** (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 **Create event data store** (建立事件資料存放區)。
1. 新的事件資料存放區出現在**事件資料存放區**頁面上的**事件資料存放區**表格中。
1. 如果您在步驟 10 中未選擇來源事件資料存放區,請依照 [若要建立會啟用 Insights 事件的來源事件資料存放區](#query-event-data-store-cloudtrail-insights) 中的步驟來建立一個來源事件資料存放區。
## 若要建立會啟用 Insights 事件的來源事件資料存放區
此程序將向您說明如何建立會啟用 Insights 事件並記錄管理事件的來源事件資料存放區。
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。
1. 在導覽窗格中,開啟 **Lake** 子選單,然後選擇 **Event data stores** (事件資料存放區)。
1. 選擇 **Create event data store** (建立事件資料存放區)。
1. 在**設定事件資料存放區**頁面上的**一般詳細資訊**中,輸入事件資料存放區的名稱。名稱為必填。
1. 選擇您想用於事件資料存放區的**定價選項**。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
以下為可用的選項:
+ **一年可延長保留定價** – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天之後,延長保留將依用量計費定價。此為預設選項。
+ **預設保留期:**366 天
+ **最長保留期:**3,653 天
+ **七年保留定價** – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。
+ **預設保留期:**2,557 天
+ **最長保留期:**2,557 天
1. 指定事件資料存放區的保留期。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是**七年保留定價**選項,則可介於 7 天到 2,557 天 (約七年) 之間。
CloudTrail Lake 會透過檢查事件的 `eventTime` 是否在指定保留期以內,決定是否要保留該事件。例如,如果您指定的保留期為 90 天,CloudTrail 將移除 `eventTime` 早於 90 天的事件。
1. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇**使用我自己的 AWS KMS key**。選擇**新增**以為您 AWS KMS key 建立 ,或選擇**現有**以使用現有的 KMS 金鑰。在 **Enter KMS alias** (輸入 KMS 別名) 中,指定別名,格式為 `alias/`*MyAliasName*。使用您自己的 KMS 金鑰需要您編輯 KMS 金鑰政策,以允許加密和解密您的事件資料存放區。如需詳細資訊,請參閱[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。
**注意**
若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有 KMS 金鑰。
1. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 **Lake 查詢聯合**中選擇**啟用**。聯合可讓您在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中檢視與事件資料存放區相關聯的中繼資料,並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱[聯合事件資料存放區](query-federation.md)。
若要啟用 Lake 查詢聯合,請選擇**啟用**,然後執行下列動作:
1. 選擇要建立新角色還是使用現有的 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時,CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色,請確認該角色的政策可提供[必要的最低許可](query-federation.md#query-federation-permissions-role)。
1. 如果您要建立新角色,請輸入名稱以識別角色。
1. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。
1. (選用) 選擇**啟用資源政策**,將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html),以及委託人可以對事件資料存放區資源執行的動作。
事件資料存放區的資源型政策支援下列動作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
對於[組織事件資料存放區](cloudtrail-lake-organizations.md),CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp),列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。
1. (選用) 在 **Tags** (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策,對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊,請參閱[範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。如需如何在 中使用標籤的詳細資訊 AWS,請參閱[《標記 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*使用者指南》中的標記 AWS 資源*。
1. 選擇 **Next** (下一步) 以設定事件資料存放區。
1. 在**選擇事件**頁面上,選擇 **AWS 事件**,然後選擇 **CloudTrail 事件**。
1. 在 **CloudTrail 事件**中,維持選取**管理事件**。
1. 若要讓事件資料存放區從 AWS Organizations 組織中的所有帳戶收集事件,請選取 **Enable for all accounts in my organization** (啟用我組織中的所有帳戶)。您必須登入到組織的管理帳戶,才能建立會啟用 Insights 的事件資料存放區。
1. 展開**其他設定**,選擇您希望事件資料存放區收集所有事件 AWS 區域,還是僅收集目前事件 AWS 區域,然後選擇事件資料存放區是否擷取事件。依預設,您的事件資料存放區會從帳戶的所有區域收集事件,而且會在建立時開始擷取事件。
1. 如果您希望僅包括目前區域中記錄的事件,請選擇**在我的事件資料存放區中僅包含目前區域**。如果未選擇此選項,則您的事件資料存放區將包含來自所有區域的事件。
1. 維持選取**擷取事件**。
1. 選擇**簡易事件集合**或**進階事件集合**:
+ 如果您想要記錄所有事件、僅記錄讀取事件或僅記錄寫入事件,請選擇**簡單事件集合**。您也可以選擇排除 AWS Key Management Service 和 Amazon RDS Data API 事件。
+ 如果您想要根據**進階事件選取器欄位的值包含或排除管理事件,包括 、、、 和 欄位,請選擇進階事件集合**。 `eventName` `eventType` `eventSource` `sessionCredentialFromConsole` `userIdentity.arn`
1. 如果您選擇**簡易事件集合**,請選擇是否要記錄所有事件、僅記錄讀取事件,或僅記錄寫入事件。您也可以選擇排除 AWS KMS 和 Amazon RDS Data API 事件。
1. 如果您選取**進階事件集合**,請進行下列選擇:
1. 在**日誌選取器範本**中,選擇預先定義的範本,或選擇**自訂**,根據進階事件選取器欄位的值來撰寫您自己的事件收集條件。
您可以從下列預先定義的範本中選擇:
+ **記錄所有事件**:選擇此範本記錄所有事件。
+ **僅記錄讀取事件** – 選擇此範本以僅記錄讀取事件。唯讀事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。
+ **僅記錄寫入事件** – 選擇此範本僅記錄寫入事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **僅記錄 AWS 管理主控台 事件** – 選擇此範本僅記錄源自 的事件 AWS 管理主控台。
+ **排除 AWS 服務 啟動的事件** – 選擇此範本以排除具有 `eventType`之 AWS 服務 的事件`AwsServiceEvent`,以及使用連結角色 (SLRs) AWS 服務啟動的事件。
1. (選用) 在**選取器名稱**中,輸入用於識別選取器的名稱。選擇器名稱是進階事件選擇器的描述性名稱,例如「從 AWS 管理主控台 工作階段記錄管理事件」。選取器名稱會被作為 `Name` 列在進階事件選取器中,您在展開 **JSON 檢視**時可檢視該名稱。
1. 如果您選擇**自訂**,在**進階事件選取器**中,會根據進階事件選取器欄位值建立表達式。
**注意**
選取器不支援使用萬用字元,例如 `*` 。若要以單一條件比對多個值,您可以使用 `StartsWith`、`NotStartsWith`、 `EndsWith`或 `NotEndsWith`來明確比對事件欄位的開頭或結尾。
1. 從下列欄位選取。
+ **`readOnly`** – `readOnly` 可設定為**等於** `true`或 的值`false`。設定為 時`false`,事件資料存放區會記錄唯讀管理事件。唯讀管理事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。若要同時記錄**讀取**和**寫入**事件,請勿新增`readOnly`選取器。
+ **`eventName`** – `eventName` 可以使用任何運算子。您可以使用它來包含或排除任何管理事件,例如 `CreateAccessPoint`或 `GetAccessPoint`。
+ **`userIdentity.arn`** – 包含或排除特定 IAM 身分所採取動作的事件。如需更多詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`sessionCredentialFromConsole`** – 包含或排除源自 AWS 管理主控台 工作階段的事件。此欄位可以設定為**等於**或不**等於** 的值`true`。
+ **`eventSource`** – 您可以使用它來包含或排除特定事件來源。`eventSource` 通常是簡短形式的服務名稱,不含空格加 `.amazonaws.com`。例如,您可以將`eventSource`**等於 **設定為僅`ec2.amazonaws.com`記錄 Amazon EC2 管理事件。
+ **`eventType`** – 要包含或排除的 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)。例如,您可以將此欄位設定為**不等於**`AwsServiceEvent`排除[AWS 服務 事件](non-api-aws-service-events.md)。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。
如需有關 CloudTrail 如何評估多個條件的資訊,請參閱 [CloudTrail 如何評估欄位的多項條件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
對於事件資料存放區上的所有選取器,您最多可以有 500 個值。這包括一個選擇器的多個值的陣列,如 `eventName`。如果所有選擇器都有單個值,則最多可以有 500 個條件新增至選擇器。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 選擇**啟用 Insights 事件擷取**。
1. 選擇將記錄 Insights 事件的目的地事件存放區。目的地事件資料存放區將依據此事件資料存放區中的管理事件活動收集 Insights 事件。如需有關如何建立目的地事件資料存放區的資訊,請參閱 [若要建立會記錄 Insights 事件的目的地事件資料存放區](#query-event-data-store-insights-procedure)。
1. 選擇 Insights 類型。您可以選擇 **API 呼叫率**、**API 錯誤率**,或兩者。您必須記錄**寫入**管理事件,以便記錄 **API 呼叫率**的 Insights 事件。您必須記錄**讀取**或**寫入**管理事件,以便記錄 **API 錯誤率**的 Insights 事件。
1. 選擇**下一步**,透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富您的事件。
1. 在**富集事件**中,新增最多 50 個資源標籤金鑰和 50 個 IAM 全域條件金鑰,以提供事件的其他中繼資料。這可協助您分類和分組相關事件。
如果您新增資源標籤索引鍵,CloudTrail 將包含與 API 呼叫中所涉及資源相關聯的所選標籤索引鍵。與已刪除資源相關的 API 事件將不會有資源標籤。
如果您新增 IAM 全域條件金鑰,CloudTrail 將包含授權程序期間評估之所選條件金鑰的相關資訊,包括委託人、工作階段、網路和請求本身的其他詳細資訊。
資源標籤索引鍵和 IAM 全域條件索引鍵的相關資訊會顯示在事件的 `eventContext` 欄位中。如需詳細資訊,請參閱[透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富 CloudTrail 事件](cloudtrail-context-events.md)。
**注意**
如果事件包含不屬於事件區域的資源,CloudTrail 將不會填入此資源的標籤,因為標籤擷取僅限於事件區域。
1. 選擇**展開事件大小**,將事件承載從 256 KB 擴展到 1 MB。當您新增資源標籤金鑰或 IAM 全域條件金鑰時,此選項會自動啟用,以確保所有新增的金鑰都包含在事件中。
擴展事件大小有助於分析和疑難排解事件,因為它可讓您查看下列欄位的完整內容,只要事件承載小於 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
如需這些欄位的詳細資訊,請參閱 [CloudTrail 記錄內容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
1. 選擇 **Next** (下一步) 以檢閱您的選項。
1. 在 **Review and create** (檢閱和建立) 頁面上,檢閱您的選擇。選擇 **Edit** (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 **Create event data store** (建立事件資料存放區)。
1. 新的事件資料存放區出現在**事件資料存放區**頁面上的**事件資料存放區**表格中。
從此開始,事件資料存放區將擷取與其進階事件選取器相符的事件。在您第一次在來源事件資料存放區上啟用 CloudTrail Insights 之後,CloudTrail 最多可能需要 7 天才能開始交付 Insights 事件,前提是在此期間偵測到異常活動。
您可以檢視 CloudTrail Lake 儀表板,對目的地事件資料存放區內的 Insights 事件進行視覺化呈現。如需有關 Lake 儀表板的詳細資訊,請參閱 [CloudTrail Lake 儀表板](lake-dashboard.md)。
擷取 CloudTrail Lake 中的 Insights 事件需支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需有關 CloudTrail 定價的資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。