本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 記錄 Amazon GuardDuty API 呼叫 AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

Amazon GuardDuty 已與 服務整合 AWS CloudTrail，此服務提供 GuardDuty 中使用者、角色或 AWS 服務所採取動作的記錄。CloudTrail 將 GuardDuty 的所有 API 呼叫擷取為事件，包括來自 GuardDuty 主控台的呼叫，以及來自對 GuardDuty API 發出的程式碼呼叫。如果您建立追蹤，就可以將 CloudTrail 事件持續傳送至 Amazon Simple Storage Service (Amazon S3) 儲存貯體，包括 GuardDuty 的事件。即使您未設定追蹤，依然可以透過 CloudTrail 主控台中的**事件歷史記錄**檢視最新事件。您可以利用 CloudTrail 收集的資訊來判斷向 GuardDuty 發出的請求，以及發出請求的 IP 地址、人員、時間和其他詳細資訊。

如需 CloudTrail 的相關詳細資訊，包括如何設定與啟用，請參閱*[AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)*。

## CloudTrail 中的 GuardDuty 資訊
<a name="service-name-info-in-cloudtrail"></a>

當您建立 AWS 帳戶時，會在您的帳戶上啟用 CloudTrail。當 GuardDuty 中發生支援的事件活動時，該活動會與**事件歷史記錄**中的其他 AWS 服務事件一起記錄在 CloudTrail 事件中。您可以在 AWS 帳戶中檢視、搜尋和下載最近的事件。如需詳細資訊，請參閱[使用 CloudTrail 事件歷史記錄檢視事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。

若要持續記錄您 AWS 帳戶中的事件，包括 GuardDuty 的事件，請建立追蹤。線索能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。根據預設，當您在主控台建立線索時，線索會套用到所有 區域。線索會記錄 AWS 分割區中所有區域的事件，並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。此外，您可以設定其他 AWS 服務，以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊，請參閱：
+ [建立追蹤的概觀](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支援的服務和整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [接收多個區域的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收多個帳戶的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項：
+ 是否使用根使用者或 IAM 使用者登入憑證提出該請求
+ 提出該請求時，是否使用了特定角色或聯合身分使用者的臨時安全憑證
+ 請求是否由其他 AWS 服務提出

如需更多詳細資訊，請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。

## CloudTrail 中的 GuardDuty 控制平面事件
<a name="guardduty-control-plane-events-in-cloudtrail"></a>

依預設，CloudTrail 會在 CloudTrail 檔案中將《[Amazon GuardDuty API 參考](https://docs.aws.amazon.com/guardduty/latest/APIReference/)》中提供的所有 GuardDuty API 操作記錄為事件。

## CloudTrail 中的 GuardDuty 資料事件
<a name="guardduty-data-events-in-cloudtrail"></a>

[GuardDuty 執行期監控](runtime-monitoring.md) 使用部署到 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集的 GuardDuty 安全代理程式、Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，以及 AWS Fargate （僅限 Amazon Elastic Container Service (Amazon ECS)) 任務來收集[收集的執行期事件類型](runtime-monitoring-collected-events.md)為您的 AWS 工作負載收集的附加元件 (`aws-guardduty-agent`)，然後將其傳送至 GuardDuty 以進行威脅偵測和分析。

### 記錄和監控資料事件
<a name="runtime-monitoring-add-on-cloudtrail-logs"></a>

您可以選擇性地設定 AWS CloudTrail 日誌，以檢視 GuardDuty 安全代理程式的資料事件。

若要建立和設定 CloudTrail，請參閱《AWS CloudTrail 使用指南》**中的[資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)，並遵循**在 AWS 管理主控台中使用進階事件選取器記錄資料事件**的說明進行操作。在記錄追蹤時，請務必進行下列變更：
+ 對於**資料事件類型**，選擇 **GuardDuty 偵測器**。
+ 對於**日誌選取器範本**，選擇**記錄所有事件**。
+ 展開組態的 **JSON 檢視**。它應類似於以下 JSON：

  ```
  [
    {
      "name": "",
      "fieldSelectors": [
        {
          "field": "eventCategory",
          "equals": [
            "Data"
          ]
        },
        {
          "field": "resources.type",
          "equals": [
            "AWS::GuardDuty::Detector"
          ]
        }
      ]
    }
  ]
  ```

啟用線索的選取器後，請導覽至 Amazon S3 主控台，網址為 https：//[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。您可以從在設定 CloudTrail 日誌時選擇的 S3 儲存貯體下載資料事件。