本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Security Lake 中的 CloudTrail 事件日誌 AWS CloudTrail 提供您帳戶的 AWS API 呼叫歷史記錄,包括使用 AWS 管理主控台、 AWS SDKs、命令列工具和特定 AWS 服務的 API 呼叫。CloudTrail 也可讓您識別哪些使用者和帳戶針對支援 CloudTrail 的服務呼叫 AWS APIs、呼叫的來源 IP 地址,以及呼叫的發生時間。如需詳細資訊,請參閱[「AWS CloudTrail 使用者指南」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。 Security Lake 可以收集與 S3 和 Lambda 的 CloudTrail 管理事件和 CloudTrail 資料事件相關聯的日誌。 S3 CloudTrail 管理事件、S3 資料事件和 Lambda 資料事件是 Security Lake 中的三個不同來源。因此,當您將其中一個值新增為擷取的日誌來源[https://docs.aws.amazon.com/security-lake/latest/APIReference/API_AwsLogSourceConfiguration.html#securitylake-Type-AwsLogSourceConfiguration-sourceName](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_AwsLogSourceConfiguration.html#securitylake-Type-AwsLogSourceConfiguration-sourceName)時,它們具有不同的值。管理事件也稱為控制平面事件,可讓您深入了解在 資源上執行的管理操作 AWS 帳戶。CloudTrail 資料事件也稱為資料平面操作,顯示在您 中的資源上執行的資源操作 AWS 帳戶。這些操作通常是大量活動。 若要在 Security Lake 中收集 CloudTrail 管理事件,您必須至少有一個收集讀取和寫入 CloudTrail 管理事件的 CloudTrail 多區域組織追蹤。必須針對追蹤啟用記錄。如果您在其他服務中設定了日誌記錄,則不需要變更日誌記錄組態,即可在 Security Lake 中將其新增為日誌來源。Security Lake 透過獨立且重複的事件串流,直接從這些服務提取資料。 多區域追蹤會將日誌檔案從多個區域交付至單一 Amazon Simple Storage Service (Amazon S3) 儲存貯體 AWS 帳戶。如果您已透過 CloudTrail 主控台或 管理多區域追蹤 AWS Control Tower,則不需要進一步的動作。 + 如需有關透過 CloudTrail 建立和管理追蹤的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[為組織建立追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)。 + 如需有關透過 建立和管理追蹤的資訊 AWS Control Tower,請參閱*AWS Control Tower 《 使用者指南*》中的[使用 記錄 AWS Control Tower 動作 AWS CloudTrail](https://docs.aws.amazon.com/controltower/latest/userguide/logging-using-cloudtrail.html)。 當您新增 CloudTrail 事件做為來源時,Security Lake 會立即開始收集您的 CloudTrail 事件日誌。它透過獨立且重複的事件串流,直接從 CloudTrail 取用 CloudTrail CloudTrail 管理和資料事件。 Security Lake 不會管理您的 CloudTrail 事件或影響現有的 CloudTrail 組態。若要直接管理 CloudTrail 事件的存取和保留,您必須使用 CloudTrail 服務主控台或 API。如需詳細資訊,請參閱 *AWS CloudTrail 使用者指南*中的 [使用 CloudTrail 事件歷史記錄檢視事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。 以下清單提供 GitHub 儲存庫連結至對應參考,了解 Security Lake 如何將 CloudTrail 事件標準化為 OCSF。 ****適用於 CloudTrail 事件的 GitHub OCSF 儲存庫**** + 來源版本 1 [(v1.0.0-rc.2)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.0.0-rc.2/CloudTrail) + 來源版本 2 [(v1.1.0)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/CloudTrail)