本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon Quick Sight 中的事件响应、记录和监控 CloudTrail
<a name="incident-response-logging-and-monitoring-qs"></a>

Amazon Quick Sight 已与 AWS CloudTrail。该服务记录用户、角色或 AWS 服务在 Amazon Quick Sight 中执行的操作。 CloudTrail 将 Amazon Quick Sight 的所有 API 调用捕获为事件。捕获的调用包括来自 Amazon Quick Sight 控制台的一些调用以及对 Amazon Quick Sight API 操作的所有代码调用。如果您创建了跟踪，则可以允许将 CloudTrail 事件持续传输到 Amazon S3 存储桶，包括 Amazon Quick Sight 的事件。如果您未配置跟踪，您仍然可以在 CloudTrail 控制台的 “事件**历史记录” 中查看最新的事件**。通过收集的信息 CloudTrail，您可以确定向 Amazon Quick Sight 发出的请求、发出请求的 IP 地址、谁提出了请求、何时提出请求以及其他详细信息。

Amazon Quick Sight 本身不支持使用亚马逊 CloudWatch 或其他外部系统发出警报。但是，可以开发自定义解决方案来处理 CloudTrail 日志。

可以在 Service Healt [h Dashboard 上查看 Amazon Quick Sight 服务](https://status.aws.amazon.com/)状态。

默认情况下，传送 CloudTrail 到您的存储桶的日志文件由亚马逊[服务器端加密，使用亚马逊 S3 托管的加密密钥 (SSE-S3) 进行加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)。要提供可直接管理的安全层，您可以改为使用[服务器端加密和 KMS AWS 托管密钥 (SSE-KMS) 来处理](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html)日志文件。 CloudTrail 启用服务器端加密将使用 SSE-KMS 加密日志文件而不加密摘要文件。摘要文件使用 [Simple Storage Service（Amazon S3）托管加密密钥（SSE-S3）](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)加密。

要了解更多信息 CloudTrail，包括如何配置和启用它，请参阅[AWS CloudTrail 用户指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。

**Topics**
+ [使用 Amazon Quick Sight 记录信息 AWS CloudTrail](#logging-using-cloudtrail)
+ [使用 CloudTrail 日志跟踪非 API 事件](#logging-non-api)
+ [示例：Amazon Quick Sight 日志文件条目](#understanding-quicksight-entries)

## 使用 Amazon Quick Sight 记录信息 AWS CloudTrail
<a name="logging-using-cloudtrail"></a>


|  | 
| --- |
|    目标受众：系统管理员  | 

CloudTrail 在您创建 AWS 账户时已在您的账户上启用。当 Amazon Quick Sight 中出现支持的事件活动时，该活动会与其他 AWS 服务 CloudTrail 事件一起记录在**事件历史**记录中。您可以在自己的 AWS 账户中查看、搜索和下载最近发生的事件。有关更多信息，请参阅[使用 CloudTrail 事件历史记录查看事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。

要持续记录您的 AWS 账户中的事件，包括 Amazon Quick Sight 的事件，请创建跟踪。*跟踪*允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。默认情况下，在控制台中创建跟踪记录时，此跟踪记录应用于所有 。此跟踪记录在 AWS 分区中记录所有区域中的事件，并将日志文件传送至您指定的 Amazon S3 存储桶。此外，您可以配置其他 AWS 服务，以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息，请参阅下列内容：
+ [创建跟踪概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [接收来自多个区域的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收来自多个账户的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ 《 AWS Lake Formation 开发者指南指南》中的@@ [跨账户 CloudTrail登录 — 本主题包含在跨账户 CloudTrail日志](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html)中包含委托人身份的说明。

Amazon Quick Sight 支持将以下操作作为事件 CloudTrail 记录在日志文件中：
+ 请求是使用根凭证还是 AWS Identity and Access Management 用户凭证发出的
+ 请求是使用 IAM 角色还是联合用户的临时安全凭证发出的
+ 请求是否由其他 AWS 服务发出

有关用户身份的更多信息，请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。

默认情况下，每个 Amazon Quick Sight 日志条目都包含以下信息：
+  **userIdentity** – 用户身份

  
+  **eventTime** – 事件时间

  
+  **eventId** – 事件 Id

  
+  **readOnly** – 只读

  
+  **AWS 区域 —** AWS 区域

  
+  E@@ **ventSource（quicksight）**— 事件来源（Amazon Quick Sight）

  
+  **事件类型 AwsServiceEvent ()-事件类型（**服务事件）AWS 

  
+  **recipientAccountId （客户 AWS 账户）**-收件人账户 ID（客户 AWS 账户）

  

**注意**  
 CloudTrail 显示用户，就好`unknown`像他们是由 Amazon Quick Sight 配置的。这样显示是因为这些用户不是已知的 IAM 身份类型。

## 使用 CloudTrail 日志跟踪非 API 事件
<a name="logging-non-api"></a>

以下是可以跟踪的非 API 事件的列表。

**User management**
+  **CreateAccount**— 创建账户

  
+ **BatchCreateUser**— 创建用户

  
+ **BatchResendUserInvite**— 邀请用户

  
+ **UpdateGroups**— 更新群组

  此事件仅与企业版配合使用。

  
+ **UpdateSpiceCapacity**— 更新SPICE容量

  
+ **DeleteUser**— 删除用户

  
+ **Unsubscribe** – 取消订阅用户

  

**订阅**
+ **CreateSubscription**— 创建订阅

  
+ **UpdateSubscription**— 更新订阅

  
+ **DeleteSubscription**— 删除订阅

  

**控制面板**
+ **GetDashboard**— 获取仪表板

  
+ **CreateDashboard**— 创建仪表板

  
+ **UpdateDashboard**— 更新仪表板

  
+ **UpdateDashboardAccess**— 更新仪表板访问权限

  
+ **DeleteDashboard**— 删除仪表板

  

**分析**
+ **GetAnalysis**— 获取分析

  
+ **CreateAnalysis**— 创建分析

  
+ **UpdateAnalysisAccess**— 更新分析访问权限

  
+ **UpdateAnalysis**— 更新分析

  
  + **RenameAnalysis**— 重命名分析

    
  + **CreateVisual**— 创建视觉效果

    
  + **RenameVisual**— 重命名视觉效果

    
  + **DeleteVisual**— 删除视觉效果

    
  + **DeleteAnalysis**— 删除分析

    

**数据来源**
+ **CreateDataSource**— 创建数据源

  
  + **FlatFile**— 平面文件

    
  + **External** – 外部

    
  + **S3** – S3

    
  + I@@ **mports3 ManifestFile** — S3 清单文件

    
  + **Presto** – Presto

    
  + **RDS** – RDS

    
  + **Redshift** – Redshift（手动）

    
+ **UpdateDataSource**— 更新数据源

  
+ **DeleteDataSource**— 删除数据源

  

**数据集**
+  **CreateDataSet**— 创建数据集

  
  + **CustomSQL** – 自定义 SQL

    
  + **SQLTable**— SQL 表

    
  + **File** – CSV 或 XLSX

    
+ **UpdateDataSet**— 更新 SQL 联接数据集

  
+ **UpdateDatasetAccess**— 更新数据集访问权限

  
+ **DeleteDataSet**— 删除数据集

  
+ **Querydatabase** – 在数据集刷新期间，查询数据来源。

## 示例：Amazon Quick Sight 日志文件条目
<a name="understanding-quicksight-entries"></a>

 跟踪是一种配置，允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。一个事件表示来自任何源的一个请求，包括有关所请求的操作、操作的日期和时间、请求参数等方面的信息。 CloudTrail 日志文件不是公用 API 调用的有序堆栈跟踪，因此它们不会以任何特定顺序显示。

以下示例显示了演示该 BatchCreateUser操作的 CloudTrail 日志条目。

```
{ 
   "eventVersion":"1.05",
   "userIdentity":
	{ 
	   "type":"Root",
	   "principalId":"123456789012",
	   "arn":"arn:aws:iam::123456789012:root",
	   "accountId":"123456789012",
	   "userName":"test-username"
	},
	   "eventTime":"2017-04-19T03:16:13Z",
	   "eventSource":"quicksight.amazonaws.com",
	   "eventName":"BatchCreateUser",
	   "awsRegion":"us-west-2",
	   "requestParameters":null,
	   "responseElements":null,
	   "eventID":"e7d2382e-70a0-3fb7-9d41-a7a913422240",
	   "readOnly":false,
	   "eventType":"AwsServiceEvent",
	   "recipientAccountId":"123456789012",
	   "serviceEventDetails":
	   { 
		   "eventRequestDetails":
		   { 
				"users":
				{ 
					"test-user-11":
					{ 
						"role":"USER"
					},
					"test-user-22":
					{ 
						"role":"ADMIN"
					}
				}
			},
			"eventResponseDetails":
			{ 
			"validUsers":[ 
				],
			"InvalidUsers":[ 
				"test-user-11",
				"test-user-22"
				]
			}
	   }
   }
```