mcp/cloudtrail-mcp-server Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
mcp/cloudtrail-mcp-servermcp
用于AWS CloudTrail审计日志记录和监控的MCP服务器,提供查询结果获取、状态检查、Lake查询执行、事件数据存储列表和事件查找等工具,支持CloudTrail事件数据分析与管理。
下载次数: 0状态:社区镜像维护者:mcp仓库类型:镜像最近更新:13 天前
AWS CloudTrail MCP Server
用于AWS CloudTrail审计日志记录和监控的MCP服务器。
什么是MCP服务器?
MCP信息
| 属性 | 详情 |
|---|---|
| Docker镜像 | mcp/cloudtrail-mcp-server |
| 作者 | awslabs |
| 代码仓库 | [***] |
镜像构建信息
| 属性 | 详情 |
|---|---|
| Dockerfile | [***] |
| Docker镜像构建者 | Docker Inc. |
| Docker Scout健康评分 | !Docker Scout Health Score |
| 验证签名 | COSIGN_REPOSITORY=mcp/signatures cosign verify mcp/cloudtrail-mcp-server --key [***] |
| 许可证 | Apache License 2.0 |
可用工具(5个)
| 服务器提供的工具 | 简短描述 |
|---|---|
get_query_results | 获取已完成的CloudTrail Lake查询结果,支持分页。 |
get_query_status | 获取CloudTrail Lake查询的状态。 |
lake_query | 对CloudTrail Lake执行SQL查询,支持复杂分析和过滤。 |
list_event_data_stores | 列出可用的CloudTrail Lake事件数据存储及其功能和事件选择器。 |
lookup_events | 根据各种条件查找CloudTrail事件。 |
工具详情
工具:get_query_results
获取已完成的CloudTrail Lake查询结果,支持分页。
此工具检索先前执行的CloudTrail Lake查询的结果。它支持大型结果集的分页,允许分块获取结果。
用法:使用此工具获取已完成(状态='FINISHED')的查询结果。对于大型结果集,使用next_token获取后续页面的结果。
分页流程:
- 仅使用query_id调用get_query_results获取第一页
- 如果返回next_token,使用相同的query_id和next_token再次调用
- 重复直到next_token为null/空
返回值:
包含以下字段的QueryResult: - query_id: 查询标识符 - query_status: 查询当前状态 - query_result_rows: 本页结果 - next_token: 下一页的令牌(无更多页时为null) - query_statistics: 查询性能统计信息
| 参数 | 类型 | 描述 |
|---|---|---|
query_id | string | 要获取结果的查询ID |
max_results | string 可选 | 每页返回的最大结果数(1-50,默认:50) |
next_token | string 可选 | 用于分页获取下一页结果的令牌。使用上一次调用返回的next_token获取后续页面。 |
region | string 可选 | 要查询的AWS区域。默认为us-east-1。 |
工具:get_query_status
获取CloudTrail Lake查询的状态。
此工具检查先前启动的CloudTrail Lake查询的状态。当需要检查长时间运行的查询是否已完成或获取查询执行详情时使用。
用法:使用此工具监控CloudTrail Lake查询的进度,特别是可能需要时间完成的长时间运行的查询。
返回值:
包含以下字段的QueryStatus: - query_id: 查询标识符 - query_status: 当前状态(QUEUED、RUNNING、FINISHED、FAILED、CANCELLED、TIMED_OUT) - query_statistics: 性能和执行统计信息 - error_message: 查询失败时的错误详情
| 参数 | 类型 | 描述 |
|---|---|---|
query_id | string | 要检查状态的查询ID |
region | string 可选 | 要查询的AWS区域。默认为us-east-1。 |
工具:lake_query
对CloudTrail Lake执行SQL查询,支持复杂分析和过滤。
CloudTrail Lake允许您对CloudTrail事件运行SQL查询以进行高级分析。这比基本查找功能更强大,支持复杂过滤、聚合和分析。
分页流程: 对于大型结果集,有两种选择:
- 使用wait_for_completion=False立即获取query_id,然后使用get_query_results进行分页
- 使用wait_for_completion=True(默认)获取第一页结果,然后使用get_query_results和next_token获取其他页面
重要限制:
- CloudTrail Lake仅支持使用Trino兼容SQL语法的SELECT语句
- 不支持INSERT、UPDATE、DELETE、CREATE、DROP和其他DDL/DML操作
- 不要使用公用表表达式(CTE)
- SQL查询必须在FROM子句中包含有效的事件数据存储(EDS)ID
- 首先使用list_event_data_stores工具获取可用的EDS ID,然后在FROM子句中直接引用EDS ID
- 默认情况下,始终使用eventtime指定开始和结束时间或限制总输出
CloudTrail事件模式: 所有CloudTrail事件都包含以下可查询的关键字段:
核心字段(始终存在):
- eventTime: 请求完成时的UTC时间戳
- eventVersion: 日志格式版本(当前:1.11)
- eventSource: AWS服务名称(例如,"s3.amazonaws.com")
- eventName: API操作名称
- awsRegion: 请求发出的AWS区域
- sourceIPAddress: 请求者的IP地址
- eventID: 事件唯一GUID
- eventType: AwsApiCall、AwsServiceEvent、AwsConsoleAction、AwsConsoleSignIn、AwsVpceEvent
- eventCategory: Management、Data、NetworkActivity、Insight
用户身份对象(始终存在):
- userIdentity.type: Root、IAMUser、AssumedRole、Role、FederatedUser、Directory、AWSAccount、AWSService、IdentityCenterUser、SAMLUser、WebIdentityUser、Unknown
- userIdentity.principalId: 实体的唯一标识符
- userIdentity.arn: 主体的ARN
- userIdentity.accountId: 实体所属的账户
- userIdentity.accessKeyId: 使用的访问密钥(出于安全考虑可能为空)
- userIdentity.userName: 友好名称(可用时)
- userIdentity.invokedBy: 发出请求的AWS服务
- userIdentity.identityProvider: 外部身份提供商(SAML/Web)
- userIdentity.credentialId: 承载令牌凭证ID
- userIdentity.sessionContext: 临时凭证相关(AssumedRole、FederatedUser)
- sessionIssuer.type: 源类型(Root、IAMUser、Role)
- sessionIssuer.principalId: 颁发者的内部ID
- sessionIssuer.arn: 颁发者的ARN
- sessionIssuer.accountId: 颁发者的账户
- sessionIssuer.userName: 凭证颁发者的名称
- attributes.mfaAuthenticated: "true"/"false"(是否使用MFA)
- attributes.creationDate: 凭证颁发时间(ISO 8601)
- webIdFederationData.federatedProvider: 身份提供商名称
- webIdFederationData.attributes: 提供商特定属性
- sourceIdentity: 角色链的原始用户身份
- ec2RoleDelivery: "1.0"或"2.0"(IMDS版本)
- assumedRoot: AssumeRoot会话为True
- userIdentity.onBehalfOf: IAM Identity Center用户信息
- userId: Identity Center用户ID
- identityStoreArn: 身份存储ARN
- userIdentity.inScopeOf: 服务范围信息
- sourceArn: 调用资源ARN
- sourceAccount: 源账户ID
- issuerType: 凭证颁发者类型
- credentialsIssuedTo: 凭证目标资源
可选字段(条件存在):
- userAgent: 发出请求的客户端(最大1KB)
- errorCode: 请求失败时的AWS服务错误代码(最大1KB)
- errorMessage: 请求失败时的错误描述(最大1KB)
- requestParameters: 请求参数(对象,最大100KB)
- responseElements: 写入操作的响应元素(对象,最大100KB)
- additionalEventData: 附加事件数据(对象,最大28KB)
- requestID: 服务生成的请求标识符(最大1KB)
- apiVersion: AwsApiCall事件的API版本
- managementEvent: True表示管理事件
- readOnly: true/false表示只读操作
- resources: 访问的资源数组
- resources[].type: 资源类型(例如,"AWS::S3::Object"、"AWS::DynamoDB::Table")
- resources[].ARN: 资源ARN
- resources[].accountId: 资源所有者账户
- recipientAccountId: 接收事件的账户
- serviceEventDetails: 服务事件详情(对象,最大100KB)
- sharedEventID: 跨账户事件的共享GUID
- vpcEndpointId: VPC终端节点标识符(网络事件)
- vpcEndpointAccountId: VPC终端节点所有者账户
- addendum: 延迟/更新事件的信息
- reason: 事件延迟原因(DELIVERY_DELAY、UPDATED_DATA、SERVICE_OUTAGE)
- updatedFields: 附录更新的事件记录字段
- originalRequestID: 请求的原始唯一ID
- originalEventID: 原始事件ID
- sessionCredentialFromConsole: "true"表示来自控制台会话
- eventContext: 丰富的事件上下文(标签、IAM条件)
- requestContext: 授权期间评估的IAM条件键
- tagContext: 与资源和IAM主体关联的标签
- resourceTags: 资源标签信息数组
- resourceTags[].arn: 带标签资源的ARN
- resourceTags[].tags: 包含标签键值对的对象
- principalTags: 发出请求的IAM主体关联的标签
- resourceTags: 资源标签信息数组
- edgeDeviceDetails: 边缘设备信息(对象,最大28KB)
- tlsDetails: TLS连接信息
- tlsVersion: 使用的TLS版本
- cipherSuite: 使用的密码套件
- clientProvidedHostHeader: 客户端提供的主机名
SQL查询示例:
- SELECT eventname, count(*) FROM eds-id WHERE eventtime > '2025-01-01 00:00:00' GROUP BY eventname
- SELECT errorcode, errormessage, eventname FROM eds-id WHERE errorcode IS NOT NULL OR errormessage IS NOT NULL LIMIT 10
- SELECT eventname, resources FROM eds-id WHERE any_match(resources, x -> x.type = 'AWS::S3::Object') LIMIT 10
- SELECT useridentity.sessioncontext.sessionissuer.username FROM eds-id WHERE useridentity.type = 'AssumedRole' LIMIT 10
- SELECT sourceipaddress, count(*) FROM eds-id WHERE eventname = 'ConsoleLogin' GROUP BY sourceipaddress LIMIT 10
- SELECT eventname, filter(resources, x -> x.type = 'AWS::Lambda::Function') as lambda_resources FROM eds-id WHERE cardinality(filter(resources, x -> x.type = 'AWS::Lambda::Function')) > 0 LIMIT 5
返回值:
包含以下字段的QueryResult: - query_id: 查询的唯一标识符 - query_status: 查询当前状态 - query_result_rows: 查询成功完成时的结果(仅当wait_for_completion=True时) - next_token: 分页令牌(仅当wait_for_completion=True且结果可分页时) - query_statistics: 查询性能统计信息
| 参数 | 类型 | 描述 |
|---|---|---|
sql | string | 要在CloudTrail Lake上执行的SQL查询。重要:SQL查询的FROM子句中必须包含有效的事件数据存储(EDS)ID。首先使用list_event_data_stores工具获取可用的EDS ID。CloudTrail Lake仅支持使用Trino兼容SQL语法的SELECT语句。示例:SELECT * FROM 0233062b-51c6-4d18-8dec-a8c90da840d9 WHERE eventname = 'ConsoleLogin' |
region | string 可选 | 要查询的AWS区域。默认为us-east-1。 |
wait_for_completion | boolean 可选 | 是否等待查询完成并返回结果。如果为False,立即返回query_id,用于通过get_query_results手动获取结果。默认:True |
工具:list_event_data_stores
列出可用的CloudTrail Lake事件数据存储及其功能和事件选择器。
事件数据存储是CloudTrail Lake的存储和查询引擎。此工具帮助您了解可用的事件数据存储及其配置。
用法:使用此工具了解可用的事件数据存储及其配置。执行CloudTrail Lake查询时需要此信息。
返回值:
包含可用事件数据存储及其配置的列表
| 参数 | 类型 | 描述 |
|---|---|---|
include_details | boolean 可选 | 是否包含详细的事件选择器信息(默认:true) |
region | string 可选 | 要查询的AWS区域。默认为us-east-1。 |
工具:lookup_events
根据各种条件查找CloudTrail事件。
此工具使用LookupEvents API搜索CloudTrail事件,该API提供对过去90天管理事件的访问。您可以按时间范围过滤并搜索特定属性值。
用法:使用此工具按用户名、事件名称、资源名称等各种属性查找CloudTrail事件。这对于安全调查、故障排除和审计跟踪非常有用。
重要分页要求:
- AWS CloudTrail要求分页令牌与原始请求使用完全相同的参数
- 使用next_token时,必须提供与原始请求完全相同的start_time、end_time、attribute_key和attribute_value
- 使用响应中返回的'query_params'进行后续分页请求
返回值:
包含以下字段的字典: - events: 符合条件的CloudTrail事件列表,具有完整的CloudTrail模式 - next_token: 分页令牌(如果有更多结果) - query_params: 查询使用的参数(当next_token存在时包含分页参数)
| 参数 | 类型 | 描述 |
|---|---|---|
attribute_key | string 可选 | 要搜索的属性 |
attribute_value | string 可选 | 要在指定属性中搜索的值 |
end_time | string 可选 | 事件查找的结束时间(ISO格式或相对时间,如"1 hour ago")。重要:使用分页(next_token)时,必须提供与原始请求完全相同的end_time。 |
max_results | string 可选 | 要返回的最大事件数(1-50,默认:10) |
next_token | string 可选 | 用于分页获取下一页事件的令牌。重要:使用此令牌时,所有其他参数(start_time、end_time、attribute_key、attribute_value)必须与生成此令牌的原始请求完全匹配。 |
region | string 可选 | 要查询的AWS区域。默认为us-east-1。 |
start_time | string 可选 | 事件查找的开始时间(ISO格式或相对时间,如"1 day ago")。重要:使用分页(next_token)时,必须提供与原始请求完全相同的start_time。 |
使用此MCP服务器
json{ "mcpServers": { "awslabs-cloudtrail": { "command": "docker", "args": [ "run", "-i", "--rm", "mcp/cloudtrail-mcp-server" ] } } }
为什么使用Docker运行MCP服务器更安全?
linuxserver/code-server
linuxserver
linuxserver/code-server是VS Code服务器版Docker镜像,可在浏览器中运行完整VS Code开发环境,无需本地安装即可跨设备访问。支持全部VS Code扩展、代码同步与终端功能,适配远程开发、团队协作或低配置设备场景。镜像经linuxserver优化,兼容ARM/AMD架构,内置持久化存储与安全配置,开箱即用,轻松打造云端IDE,提升开发灵活性与效率。
728 次收藏5000万+ 次下载
19 天前更新
linuxserver/openssh-server
linuxserver
提供OpenSSH服务器服务,支持远程登录与服务器管理,具备易于部署、配置灵活的特点,适用于各类需要安全远程访问的场景。
143 次收藏1000万+ 次下载
18 天前更新
mailserver/docker-mailserver
mailserver
一个全栈且简单易用的邮件服务器,支持SMTP、IMAP协议,集成LDAP、反垃圾邮件及反病毒等功能。
260 次收藏1000万+ 次下载
21 天前更新
linuxserver/sonarr
linuxserver
由LinuxServer.io提供的Sonarr容器,是一款专为电视节目集管理设计的自动化工具,能够监控指定剧集的更新信息、自动从索引器获取下载链接并通过下载客户端(如Deluge、qBittorrent等)完成资源下载,同时支持按自定义规则整理文件结构、重命名剧集文件以保持媒体库整洁有序;LinuxServer.io作为专注于提供高质量容器化应用的团队,其构建的Sonarr容器基于轻量级Linux系统,优化了资源占用与运行稳定性,适合家庭媒体服务器或个人影视库的自动化管理场景使用。
2.1千 次收藏10亿+ 次下载
27 天前更新
airbyte/source-aws-cloudtrail
airbyte
暂无描述
1万+ 次下载
1 年前更新
linuxserver/jackett
linuxserver
这是由LinuxServer.io提供的Jackett容器,其中Jackett是一款实用的种子索引聚合工具,能够整合多个torrent追踪器的搜索结果,为qBittorrent、Deluge等各类P2P下载客户端提供统一的搜索接口,帮助用户更便捷地查找和获取所需资源;而LinuxServer.io团队凭借专业的容器化技术,确保该Jackett容器具备稳定的运行环境、简便的部署流程以及持续的更新支持,可满足用户在不同系统环境下高效使用Jackett的需求。
1.2千 次收藏10亿+ 次下载
17 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"