开发你自己的应用程序可以让你对日志记录拥有完全的控制权。有了云计算，你就会受制于服务供应商的日志记录服务选项。CloudTrail是一个监控工具，它可以跨亚马逊云计算服务提供应用程序编程接口调用的日志记录服务。

虽然CloudTrail还处于测试阶段，但是它可允许管理员设置一个线索或者记录一组特定应用程序编程接口（API）调用的日志，让他们能够更深入了解AWS云计算资源。一个API调用的日志记录项包括了API功能调用者的ID、API函数被调用的时间、调用者的源IP地址、API调用中所使用的参数以及来自于AWS的响应。相关内容项都被收录在日志文件中，而日志文件则会被发送至你所指定的AWS简单存储服务（S3）的bucket中。

因为CloudTrail日志文件被保存在一个S3的Bucket中，你可以在一个单一的bucket中聚合来自于多个账户的日志文件。你将不得不配置S3 bucket策略以授权CloudTrail对来自于多个账户的日志文件执行写操作。AWS为用户执行相关操作提供了文档。你还可以在单个bucket中收集来自于多个区域的日志文件。

监控服务会产生一条由简单通知服务传送的通知，它允许你监控日志文件何时生成。如果你正在监控若干个服务或者拥有被频繁创建的日志文件，那么你可考虑以编程的方式来处理这类通知，从而避免产生与之相关的大量数据流。CloudTrail的信息可被用于安全监控、合规性报告以及资源管理。其中，API调用的日志记录对于安全监控是特别有用的。

日志项包括：

• 一个指定调用者类型的用户ID元素，例如根用户、身份访问管理（IAM）用户、AWS服务等等；
• 一个表明是否使用临时授权证书以及如何获得证书的指示；
• 一个API调用是否来自于AWS管理控制台的通知；
• 一个指明网络联合身份是否被用于验证调用者身份的元素。

这些信息将有助于管理员理解典型的角色使用模式。例如，你可能会发现，大多数拥有管理员权限的AWS最终用户会对弹性计算云（EC2）、IAM以及关系型数据库服务（RDS）进行调用。这就成为了确定异常行为的一个基准，例如管理员运行了不寻常数量的IAM调用。这样，这个管理员有可能正在进行日常的更新管理信息，或者涉及了一些未授权的活动。

CloudTrail不会告诉你的

CloudTrail不会提供系统的性能或健康监控信息——如有必要，你可以使用亚马逊的CloudWatch。当组合使用这两种工具时，它们能够让管理者更深入地了解应用程序的性能。

当CloudWatch指出一个问题或不寻常的性能问题时，你可以查看同一时间段内CloudTrail的日志项，以便于管理员有可能确定问题的根本原因。例如，CloudWatch可能会指出EC2实例上的糟糕性能问题，而这一问题与大量的RDS API函数DescribeEvents调用相关。而进一步的调查会发现，应用程序代码中有一个bug——原本应在一个循环外调用的API函数却在循环内被调用。

手工操作日志文件或编写脚本程序从多个日志文件中聚合数据是非常费时的。很多管理员都希望把这些任务委托给第三方。亚马逊公司已与12家厂商合作提供了日志分析服务，其中包括Splunk、Loggly以及CloudCheckr。

CloudTrail可用于AWS EC2、弹性块存（EBS）、弹性MapReduce、RDS与弹性负载平衡，以及如亚马逊Kinesis这样的较新服务。总体而言，CloudTrail能够监控17项AWS服务。该项服务已在北弗吉尼亚州、俄勒冈州、北加利福尼亚州、爱尔兰以及悉尼地区提供。虽然CloudTrail是一项免费服务，但是用户使用亚马逊S3存储服务和SNS通知服务还是需要支付费用的。