AWS CloudTrail¶

采集 AWS CloudTrail 日志数据

Logging¶

CloudTrail 会记录管理事件、数据事件、网络活动事件和 Insights 事件。例如：

管理事件：也称为控制面板操作，是对 AWS 账户中的资源执行的管理操作，例如创建、修改或删除 Amazon S3 存储桶、启动或终止 Amazon EC2 实例等。同时，还包括非 API 事件，如用户登录账户的控制台登录事件。
数据事件：即数据层面操作，是对资源本身或在资源内执行的操作，通常是高容量活动。例如 Amazon S3 对象级别 API 操作（如 GetObject 和 PutObject）、Amazon Lambda 函数调用 API、Amazon DynamoDB 项目级别 API 操作等，可记录对特定 DynamoDB 表中项目的创建、读取、更新或删除操作。
网络活动事件：用于记录使用 VPC 端点从私有 VPC 到 AWS 服务执行的 API 操作，包括成功通过 VPC 端点策略的 AWS API 调用和被拒绝访问的调用。VPC 端点所有者可通过该日志查看因 VPC 端点策略而被拒绝的操作日志，或确定数据边界之外的行为者是否尝试访问 S3 存储桶中的数据。
洞察事件：CloudTrail Insights 会持续分析 CloudTrail 管理事件，当检测到与写入 API 调用相关的异常活动时，会记录 Insights 也就是洞察事件，并将其传送到目标 S3 存储桶、CloudWatch Events 或 CloudWatch Logs 组，以便用户跟踪和响应异常情况。

要将AWS CloudTrail日志写入 S3 存储桶，可按以下步骤配置开通：

创建 S3 存储桶：在 AWS 管理控制台进入 S3 服务，创建一个专用存储桶（建议使用唯一名称并启用版本控制），确保桶策略允许 CloudTrail 写入日志（可在创建跟踪时自动生成策略）。
创建 CloudTrail 跟踪：进入 CloudTrail 控制台，点击“创建跟踪”，设置跟踪名称，选择“应用于所有区域”或指定区域。
配置日志存储：在“存储位置”中选择“现有 S3 存储桶”或创建新桶，指定存储桶名称。
设置高级选项（可选）：如启用多区域跟踪、配置日志文件验证、设置 CloudWatch Logs 集成等。
完成创建：确认配置后点击“创建跟踪”，系统会自动向指定 S3 存储桶授予必要权限，后续 CloudTrail 捕获的 API 活动日志将写入该桶（路径格式通常为AWSLogs/<账户ID>/CloudTrail/<区域>/<年份>/<月份>/<日期>/）。配置完成后，可在 S3 存储桶中查看生成的日志文件，这些文件以 JSON 格式存储，包含详细的 API 调用记录。

观测云已内置了 CloudTrail 日志解析，可以在【日志】 - 【Pipelines】 - 【Pipeline 官方库】 - 选择 CloudTrail ，添加类型为 中心 Pipeline，保存即可，对新上报数据生效。