本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用控制台为 Insights 事件创建事件数据存储
**注意**
AWS CloudTrail 从 2026 年 5 月 31 日起,Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。
AWS CloudTrail Insights 通过持续分析 CloudTrail 管理事件,帮助 AWS 用户识别和响应与 API 调用率和 API 错误率相关的异常活动。 CloudTrail Insights 会分析您的 API 调用率和 API 错误率的正常模式(也称为*基线*),并在呼叫量或错误率超出正常模式时生成 Insights 事件。为管理层生成有关 API 调用率的 Insights 事件 APIs,为`write`管理层生成有关 API 错误率的 Insights 事件 APIs。`read` `write`
要在 L CloudTrail ake 中记录 Insights 事件,您需要一个用于记录 Insights 事件的目标事件数据存储和一个启用 Insights 并记录管理事件的源事件数据存储。
**注意**
要针对 API 调用率记录 Insights 事件,源事件数据存储必须记录 `write` 管理事件。要针对 API 错误率记录 Insights 事件,源事件数据存储必须记录 `read` 或 `write` 管理事件。
如果您在源事件数据存储上启用了 CloudTrail Insights 并 CloudTrail 检测到异常活动,则会将 Insigh CloudTrail ts 事件传送到您的目标事件数据存储。与事件数据存储中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户 API 使用情况与账户的典型使用模式明显不同时,才会记录 Insights 事件。 CloudTrail
首次在事件数据存储上启用 CloudTrail Insights 后,最多 CloudTrail 可能需要 7 天才能开始交付 Insights 事件,前提是在此期间检测到异常活动。
CloudTrail Insights 会分析事件数据存储中每个区域中发生的管理事件,并在检测到偏离基线的异常活动时生成 Insights 事件。 CloudTrail Insights 事件是在生成其支持管理事件的同一区域生成的。
对于组织事件数据存储, CloudTrail Insights 会分析组织中每个成员账户中每个区域的管理事件,并在检测到偏离账户和区域基准的异常活动时生成 Insights 事件。
在 Lake 中 CloudTrail 收取 Insights 事件需要支付额外费用。如果您同时为路径和 CloudTrail 湖泊事件数据存储启用 Insights,则需要单独付费。有关 CloudTrail 定价的信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
**Topics**
+ [
## 要创建记录 Insights 事件的目标事件数据存储
](#query-event-data-store-insights-procedure)
+ [
## 要创建启用 Insights 事件的源事件数据存储
](#query-event-data-store-cloudtrail-insights)
## 要创建记录 Insights 事件的目标事件数据存储
创建 Insights 事件数据存储时,您可以选择用于记录管理事件的现有源事件数据存储,然后指定要接收的 Insights 类型。或者,您可以在创建 Insights 事件数据存储后在新的或现有的事件数据存储上启用 Insights,然后选择此事件数据存储作为目标事件数据存储。
此过程向您演示如何创建记录 Insights 事件的目标事件数据存储。
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,打开 **Lake**(湖)子菜单,然后选择 **Event data stores**(事件数据存储)。
1. 选择 **Create event data store**(创建事件数据存储)。
1. 在 **Configure event data store**(配置事件数据存储)页面上的 **General details**(一般细节)中,输入事件数据存储的名称。名字是必填的。
1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。
可用选项如下:
+ **一年可延期保留定价**:如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go定价延长保留期。这是默认选项。
+ **默认保留期:**366 天
+ **最长保留期:**3653 天
+ **七年期保留定价**:如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。
+ **默认保留期:**2557 天
+ **最长保留期:**2557 天
1. 指定事件数据存储的保留期(以天为单位)。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,**七年期保留定价**选项的保留期可以介于 7 天到 2557 天(约七年)之间。事件数据存储将保留指定天数内的事件数据。
1. (可选)要使用启用加密 AWS Key Management Service,请选择**使用我自己的**加密 AWS KMS key。选择 “**新**建” 为您 AWS KMS key 创建,或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中,按格式指定别名`alias/`*MyAliasName*。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥策略,以允许加密和解密您的事件数据存储。有关更多信息,请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。
**注意**
要为组织事件数据存储启用 AWS Key Management Service 加密,必须使用管理账户的现有 KMS 密钥。
1. (可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证,您可以在 AWS Glue [数据目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据,并在 Athena 中对事件数据运行 SQL 查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 [联合事件数据存储](query-federation.md)。
要启用 Lake 查询联合身份验证,请选择**启用**,然后执行以下操作:
1. 选择是要创建新角色还是使用现有 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。
1. 如果您在创建新角色,请输入名称来标识该角色。
1. 如果您使用现有角色,请选择要使用的角色。该角色必须存在于您的 账户中。
1. (可选)选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如,您可以添加基于资源的策略,允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略,请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。
事件数据存储的基于资源的策略支持以下操作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
对于[组织事件数据存储](cloudtrail-lake-organizations.md), CloudTrail 创建[基于资源的默认策略,该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后(例如,注册或删除了 CloudTrail 委托管理员帐户),此策略会自动更新。
1. (可选)在 **Tags**(标签)部分中,您最多可以添加 50 个标签键对,以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问,请参阅[示例:拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的更多信息 AWS,请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。
1. 选择**下一步**以配置事件数据存储。
1. 在 **“选择事件**” 页面上,选择**AWS 事件**,然后选择 **CloudTrailInsights 事件**。
1. 在 **CloudTrail Insights 事件**中,执行以下操作。
1. 如果您要向组织的委托管理员授予对此事件数据存储的访问权限,请选择**允许委托管理员访问权**。只有当您使用 AWS Organizations 组织的管理账户登录时,此选项才可用。
1. (可选)选择用于记录管理事件的现有源事件数据存储,并指定要接收的 Insights 类型。
要添加源事件数据存储,请执行以下操作。
1. 选择**添加源事件数据存储**。
1. 选择源事件数据存储。
1. 选择要接收的 **Insights 类型**。
+ `ApiCallRateInsight`:`ApiCallRateInsight`Insights 类型根据基准 API 调用量分析每分钟汇总的只写管理 API 调用。要接收关于 `ApiCallRateInsight` 的 Insights,源事件数据存储必须记录**写入**管理事件。
+ `ApiErrorRateInsight`:`ApiErrorRateInsight`Insights 类型分析生成错误代码的管理 API 调用。如果 API 调用不成功,就会显示错误。要接收关于 `ApiErrorRateInsight` 的 Insights,源事件数据存储必须记录**写入**或**读取**管理事件。
1. 重复前两个步骤(ii 和 iii),以添加您想要接收的任何其他 Insights 类型。
1. 选择**下一步**以查看您的选择。
1. 在**查看并创建**页面上,审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时,选择**创建事件数据存储**。
1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。
1. 如果您没有在步骤 10 中选择源事件数据存储,请按照[要创建启用 Insights 事件的源事件数据存储](#query-event-data-store-cloudtrail-insights)中的步骤创建源事件数据存储。
## 要创建启用 Insights 事件的源事件数据存储
此过程向您演示如何创建启用 Insights 事件和记录管理事件的源事件数据存储。
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,打开 **Lake**(湖)子菜单,然后选择 **Event data stores**(事件数据存储)。
1. 选择 **Create event data store**(创建事件数据存储)。
1. 在 **Configure event data store**(配置事件数据存储)页面上的 **General details**(一般细节)中,输入事件数据存储的名称。名字是必填的。
1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。
可用选项如下:
+ **一年可延期保留定价**:如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go定价延长保留期。这是默认选项。
+ **默认保留期:**366 天
+ **最长保留期:**3653 天
+ **七年期保留定价**:如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。
+ **默认保留期:**2557 天
+ **最长保留期:**2557 天
1. 指定事件数据存储的保留期。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,**七年期保留定价**选项的保留期可以介于 7 天到 2557 天(约七年)之间。
CloudTrail Lake 通过检查事件是否在`eventTime`指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,`eventTime`则 CloudTrail 会删除超过 90 天的事件。
1. (可选)要使用启用加密 AWS Key Management Service,请选择**使用我自己的**加密 AWS KMS key。选择 “**新**建” 为您 AWS KMS key 创建,或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中,按格式指定别名`alias/`*MyAliasName*。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥策略,以允许加密和解密您的事件数据存储。有关更多信息,请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。
**注意**
要为组织事件数据存储启用 AWS Key Management Service 加密,必须使用管理账户的现有 KMS 密钥。
1. (可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证,您可以在 AWS Glue [数据目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据,并在 Athena 中对事件数据运行 SQL 查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 [联合事件数据存储](query-federation.md)。
要启用 Lake 查询联合身份验证,请选择**启用**,然后执行以下操作:
1. 选择是要创建新角色还是使用现有 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。
1. 如果您在创建新角色,请输入名称来标识该角色。
1. 如果您使用现有角色,请选择要使用的角色。该角色必须存在于您的 账户中。
1. (可选)选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如,您可以添加基于资源的策略,允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略,请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。
事件数据存储的基于资源的策略支持以下操作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
对于[组织事件数据存储](cloudtrail-lake-organizations.md), CloudTrail 创建[基于资源的默认策略,该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后(例如,注册或删除了 CloudTrail 委托管理员帐户),此策略会自动更新。
1. (可选)在 **Tags**(标签)部分中,您最多可以添加 50 个标签键对,以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问,请参阅[示例:拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的更多信息 AWS,请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。
1. 选择**下一步**以配置事件数据存储。
1. 在 **“选择事件**” 页面上,选择**AWS 事件**,然后选择**CloudTrail事件**。
1. 在**CloudTrail 事件**中,将**管理事件**保留为选中状态。
1. 要让您的事件数据存储收集 AWS Organizations 企业中所有账户的事件,请选择 **Enable for all accounts in my organization**(为我的企业中的所有账户启用)。您必须登录组织的管理账户,才能创建启用 Insights 解的事件数据存储。
1. 展开**其他设置**以选择是希望事件数据存储收集所有 AWS 区域事件还是仅收集当前事件 AWS 区域,并选择事件数据存储是提取事件。默认情况下,您的事件数据存储会收集您账户中所有区域的事件,并在事件创建后开始摄取事件。
1. 如果您想要仅包含在当前区域中记录的事件,选择**在我的事件数据存储中仅包含当前区域**。如果不选择此选项,则您的事件数据存储将包含来自所有区域的事件。
1. 将**摄取事件**保留为选中状态。
1. 在**简单事件收集**或**高级事件收集**之间进行选择:
+ 如果要记录所有事件、记录仅读取事件或记录仅写入事件,请选择**简单事件收集**。您也可以选择排除 AWS Key Management Service 和 Amazon RDS 数据 API 事件。
+ 如果要根据高级事件选择器字段(包括 `eventName`、`eventType`、`eventSource`、`sessionCredentialFromConsole` 和 `userIdentity.arn` 字段)的值包括或排除管理事件,请选择**高级事件收集**。
1. 如果您选择了**简单事件收集**,请选择是要记录所有事件、仅记录读取事件还是仅记录写入事件。您也可以选择排除 AWS KMS 和 Amazon RDS 数据 API 事件。
1. 如果您选择了**高级事件收集**,请进行以下选择:
1. 在**日志选择器模板**中,选择一个预定义的模板,或者选择自**定义**以基于高级事件选择器字段的值写入您自己的事件收集条件。
您可以从以下预定义模板中进行选择:
+ **记录所有事件**:选择此模板以记录所有事件。
+ **仅记录读取事件**:选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。
+ **仅记录写入事件**:选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **仅记录 AWS 管理控制台 事件**-选择此模板仅记录源自的事件 AWS 管理控制台。
+ **排除 AWS 服务 已启动的事件**-选择此模板可排除 AWS 服务 具有`eventType`关联角色的事件和使用 AWS 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`
1. (可选)在**选择器名称**中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如 “记录 AWS 管理控制台 会话中的管理事件”。选择器名称在高级事件选择器中列为 `Name`,展开 **JSON 视图**即可查看该名称。
1. 如果您选择了**自定义**,则在**高级事件选择器**中,将基于高级事件选择器字段值构建表达式。
**注意**
选择器不支持使用通配符,例如 `*`。要将多个值与单个条件匹配,可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。
1. 从下面的字段中选择。
+ **`readOnly`**:`readOnly`可以设置为**等于**值 `true` 或 `false`。当它设置为 `false` 时,事件数据存储将记录只写管理事件。只读管理事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。要同时记录**读取**和**写入**事件,请勿添加 `readOnly` 选择器。
+ **`eventName`**:`eventName`可以使用任何运算符。您可以使用它来包含或排除任何管理事件,例如 `CreateAccessPoint` 或 `GetAccessPoint`。
+ **`userIdentity.arn`**:包含或排除特定 IAM 身份所采取操作的事件。有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`sessionCredentialFromConsole`**— 包括或排除源自 AWS 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
+ **`eventSource`**:可以使用它来包含或排除特定的事件源。`eventSource` 通常为服务名称的简短形式,不含空格但会加上 `.amazonaws.com`。例如,可以设置 `eventSource` **等于** `ec2.amazonaws.com`,以便仅记录 Amazon EC2 管理事件。
+ **`eventType`**:要包括或排除的 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)。例如,可以将此字段设置为**不等于** `AwsServiceEvent`,以排除 [AWS 服务 事件](non-api-aws-service-events.md)。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。
有关如何 CloudTrail 评估多个条件的信息,请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
对于事件数据存储上的所有选择器,最多可以有 500 个值。这包括选择器的多个值的数组,例如 `eventName`。如果所有选择器均为单个值,则最多可以向选择器添加 500 个条件。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。
1. 或者,展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。
1. 选择**启用 Insights 事件捕获**。
1. 选择将记录 Insights 事件的目标事件存储。目标事件数据存储将根据该事件数据存储中的管理事件活动收集 Insights 事件。有关如何创建目标事件数据存储的信息,请参阅[要创建记录 Insights 事件的目标事件数据存储](#query-event-data-store-insights-procedure)。
1. 选择 Insights 类型。您可以选择 **API 调用率**、**API 错误率**或同时选择此两者。您必须记录**写入**管理事件,以针对 **API 调用率**记录 Insights 事件。您必须记录**读取**或**写入**管理事件,以针对 **API 错误率**记录 Insights 事件。
1. 选择**下一步**,以通过添加资源标签键和 IAM 全局条件键来丰富您的事件。
1. 在**丰富事件**中,最多可以添加 50 个资源标签键和 50 个 IAM 全局条件键,以提供有关事件的更多元数据。这有助于您对相关事件进行分类和分组。
如果您添加资源标签密钥,则 CloudTrail 将包括与 API 调用中涉及的资源关联的选定标签密钥。与已删除资源相关的 API 事件将没有资源标签。
如果您添加 IAM 全局条件密钥,则CloudTrail 将包含有关在授权过程中评估的所选条件密钥的信息,包括有关委托人、会话、网络和请求本身的其他详细信息。
有关资源标签键和 IAM 全局条件键的信息显示在事件的 `eventContext` 字段中。有关更多信息,请参阅 [通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件](cloudtrail-context-events.md)。
**注意**
如果活动包含不属于事件区域的资源, CloudTrail 则不会为该资源填充标签,因为标签检索仅限于事件区域。
1. 选择**扩展事件大小**,将事件有效载荷从 256 KB 扩展到 1 MB。当您添加资源标签键或 IAM 全局条件键时,此选项会自动启用,以确保添加的所有键都包含在事件中。
扩展事件大小有助于分析事件和对事件进行故障排除,因为只要事件有效载荷小于 1 MB,它就支持您查看以下字段的完整内容:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
有关这些字段的更多信息,请参阅[CloudTrail 记录内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
1. 选择**下一步**以查看您的选择。
1. 在**查看并创建**页面上,审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时,选择**创建事件数据存储**。
1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。
从现在开始,事件数据存储将捕获与其高级事件选择器匹配的事件。首次在源事件数据存储上启用 CloudTrail Insights 后,最多 CloudTrail 可能需要 7 天才能开始交付 Insights 事件,前提是在此期间检测到异常活动。
您可以查看 CloudTrail Lake 仪表板以可视化目标事件数据存储中的 Insights 事件。有关 Lake 控制面板的更多信息,请参阅[CloudTrail 湖泊仪表板](lake-dashboard.md)。
在 Lake 中 CloudTrail 收取 Insights 事件需要支付额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关 CloudTrail 定价的信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。