- 管理与监管›
- AWS CloudTrail›
- 常见问题
AWS CloudTrail 常见问题
一般性问题
什么是 AWS CloudTrail?
CloudTrail 通过跟踪用户活动和 API 使用,支持审计、安全监控和操作故障排除。CloudTrail 记录、持续监控和保留与您的 AWS 基础设施中操作相关的账户活动,让您能够控制存储、分析和修复操作。
CloudTrail 有哪些优势?
CloudTrail 可以帮助您证明合规性、改善安保状况,并跨区域和账户整合活动记录。CloudTrail 可通过记录账户上执行的操作来让您深入了解用户活动。CloudTrail 可记录每个操作的重要信息,包括请求的发出方、使用的服务、执行的操作、操作的参数,以及 AWS 服务返回的响应元素。这些信息能够帮助您跟踪 AWS 资源的变更情况,帮助您解决操作性问题。CloudTrail 可使您更轻松地确保符合内部策略和监管标准。有关更多详细信息,请参阅 AWS 合规性白皮书 Security at Scale: Logging in AWS。
哪些人应该使用 CloudTrail?
如果您需要审计活动、监控安全状况或对操作问题进行故障排查,请使用 CloudTrail。
入门
如果我是 AWS 的新客户或现有客户,且没有设置 CloudTrail,我是否需要启用或设置某些选项才能查看我的账户活动?
不需要。您无需进行任何操作即可查看账户活动。您可以访问 AWS CloudTrail 控制台或使用 AWS CLI 查看过去 90 天的账户活动。
CloudTrail 事件历史记录是否展示了账户内的所有账户活动?
AWS CloudTrail 将仅显示您正在查看的当前区域在过去 90 天的 CloudTrail 事件历史记录结果,并支持一系列 AWS 服务。这些事件仅限于创建、修改和删除 API 调用和账户活动的管理事件。要获取账户活动(包括所有管理事件、数据事件和只读活动)的完整记录,您必须配置 CloudTrail 跟踪。
我可以使用哪些搜索筛选条件来查看账户活动?
您可以指定时间范围和以下任一属性:事件名称、用户名称、资源名称、事件源、事件 ID 和资源类型。
如果没有配置跟踪,我是否可以使用 lookup-events CLI 命令?
可以。您可以访问 CloudTrail 控制台或使用 CloudTrail API/CLI 查看过去 90 天的账户活动。
创建跟踪后,我可以获得哪些额外的 CloudTrail 功能?
设置 CloudTrail 跟踪,将 CloudTrail 事件传送至 Amazon Simple Storage Service(Amazon S3)、Amazon CloudWatch Logs 和 Amazon CloudWatch Events。这有助于您使用多种功能来存档、分析和响应 AWS 资源中发生的更改。
我能否限制用户访问 CloudTrail 事件历史记录?
可以。CloudTrail 与 AWS Identity and Access Management(IAM)相集成,帮助您控制对 CloudTrail 和 CloudTrail 所需的其他 AWS 资源的访问。这包括限制查看和搜索账户活动的权限。从用户 IAM policy 中删除“cloudtrail:LookupEvents”,以阻止 IAM 用户查看账户活动。
在账户创建时启用 CloudTrail 事件历史记录是否会产生相关成本?
使用 CloudTrail 事件历史记录查看或搜索账户活动不会产生任何相关成本。
是否可以关闭账户的 CloudTrail 事件历史记录功能?
对于创建的任何 CloudTrail 跟踪,您可以停止记录或删除这些跟踪。这也将停止将账户活动传输到您指定为跟踪配置的一部分的 Amazon S3 存储桶,并停止传输 CloudWatch Logs(如果已配置)。过去 90 天的账户活动仍将收集并显示在 CloudTrail 控制台中,您可以通过 AWS 命令行界面(AWS CLI)进行查看。
服务和区域支持
CloudTrail 支持哪些服务?
CloudTrail 可记录来自大多数 AWS 服务的账户活动和服务事件。有关支持的服务列表,请参阅 CloudTrail 用户指南中的 CloudTrail 支持的服务。
是否能够记录从 AWS 管理控制台进行的 API 调用?
符合。CloudTrail 会记录从任何客户端进行的 API 调用。AWS 管理控制台、AWS 软件开发工具包、命令行工具和更高级别的 AWS 服务都会调用 AWS API 操作,因此上述调用均会予以记录。
日志文件在被传送到我的 S3 存储桶之前,会在哪里进行存储和处理?
具有区域端点的服务(如 Amazon Elastic Compute Cloud [Amazon EC2] 或 Amazon Relational Database Service [Amazon RDS])的活动信息将在执行操作的同一区域进行捕获和处理。然后会将其传送到与您的 S3 存储桶相关联的区域。具有单一端点的服务(如 IAM 和 AWS Security Token Service(AWS STS))的活动信息将在端点所在的区域进行捕获。然后会在配置 CloudTrail 跟踪的地区进行处理,并传送到与您的 S3 存储桶相关联的地区。
将一个跟踪应用到所有区域
将一个跟踪应用到所有 AWS 区域意味着什么?
将一个跟踪到所有 AWS 区域是指创建一个可记录存储您的数据的所有区域内 AWS 账户活动的跟踪。此设置还将应用于添加的所有新区域。有关区域和分区的更多详细信息,请参阅 Amazon 资源名称和 AWS 服务命名空间页面。
将一个跟踪应用到所有区域有什么好处?
您只需调用一次 API 或进行几次选择,即可在分区内的所有区域创建和管理跟踪。您将在一个 S3 存储桶或 CloudWatch Logs 组中收到在您的 AWS 账户中跨所有区域进行的账户活动的记录。当 AWS 发布新区域时,您无需执行任何操作即可收到包含该新区域的事件历史记录的日志文件。
如何将一个跟踪应用到所有区域?
在 CloudTrail 控制台中,在跟踪配置页面选择“是”以将其应用到所有区域。如果您使用的是软件开发工具包或 AWS CLI,请将“IsMultiRegionTrail”设为“true”。
将一个跟踪应用到所有区域后会出现什么情况?
将一个跟踪应用到所有区域之后,CloudTrail 会通过复制相关跟踪配置创建一个新跟踪。CloudTrail 将记录并处理每个区域中的日志文件,并会将包含所有区域的账户活动的日志文件传送至一个 S3 存储桶和一个 CloudWatch Logs 日志组。如果您指定了一个可选 Amazon Simple Notification Service(Amazon SNS)主题,CloudTrail 会将针对所有已发送日志文件的 Amazon SNS 通知发送到一个 SNS 主题中。
是否可以将一个现有跟踪应用到所有区域?
符合。您可以将一个现有跟踪应用到所有区域。在您将一个现有跟踪应用到所有区域后,CloudTrail 会在所有区域为您创建一个新跟踪。如果您之前已在其他区域创建跟踪,则可通过 CloudTrail 控制台查看、编辑和删除这些跟踪。
CloudTrail 将相关跟踪配置复制到所有区域需要多长时间?
通常情况下,将相关跟踪配置复制到所有区域只需不到 30 秒。
多个跟踪
在一个区域中可以创建多少个跟踪?
在一个区域中,您最多可以创建五个跟踪。应用到所有区域的跟踪会出现在每个区域中,并算作每个区域的一个跟踪。
在一个区域中创建多个跟踪有什么好处?
有了多个跟踪,安全管理员、软件开发人员和 IT 审计人员等不同利益相关者就可以创建并管理他们自己的跟踪。例如,安全管理员可以创建一个应用到所有区域的跟踪,并使用一个 Amazon Key Management Service(Amazon KMS)密钥来配置加密。开发人员可以创建一个应用到一个区域的跟踪,以便排查操作问题。
CloudTrail 是否支持资源级权限?
符合。使用资源级权限,您可以编写精细访问控制策略,以允许或拒绝特定用户访问特定跟踪。有关更多详细信息,请访问 CloudTrail 文档。
安全和过期
如何保护 CloudTrail 日志文件的安全?
默认情况下,CloudTrail 会通过 S3 服务器端加密(SSE)对 CloudTrail 日志文件进行加密,并将其放在您的 S3 存储桶中。您可以通过应用 IAM 或 S3 存储桶策略,控制对日志文件的访问。您可以通过在 S3 存储桶上启用 S3 多重身份验证(MFA)删除来添加额外的安全层。有关创建和更新跟踪的更多详细信息,请参阅 CloudTrail 文档。
在何处下载 S3 桶策略和 SNS 主题策略的示例?
活动日志文件可以存储多长时间?
您可以对应用于 CloudTrail 日志文件的保留策略进行控制。默认情况下,您可以无限期存储这些日志文件。您可以使用 S3 对象生命周期管理规则来定义您自己的保留策略。例如,您可能希望删除旧日志文件或将这些文件存档至 Amazon Simple Storage Service Glacier(Amazon S3 Glacier)。
事件消息、时间性和传送频率
一个事件中包含哪些信息?
一个事件中包含相关活动的信息:请求的发出方、使用的服务、执行的操作、操作的参数,以及 AWS 服务返回的响应元素。有关更多详细信息,请参阅用户指南中的 CloudTrail 事件参考部分。
CloudTrail 传送一个 API 调用事件需要多长时间?
一般情况下,CloudTrail 会在 API 调用后 5 分钟内传送事件。有关 CloudTrail 工作原理的更多信息,请参阅此处。
CloudTrail 每隔多久会向我的 S3 桶传送一次日志文件?
CloudTrail 大约每隔五分钟会向您的 S3 存储桶传送日志文件。如果您的账户上没有进行 API 调用,则 CloudTrail 不会传送日志文件。
在 CloudTrail 向我的 S3 桶传送新的日志文件时,是否会向我发送通知?
符合。您可以启用 Amazon SNS 通知,以便在送达新日志文件时立即采取行动。
我认为我有一个日志文件包含多个重复事件。我怎么知道哪些事件是唯一的?
尽管这种情况并不常见,但您可能会收到包含一个或多个重复事件的日志文件。重复的事件将具有相同的 eventID。有关 eventID 字段的更多信息,请参阅 CloudTrail 记录内容。
如果我的账户已启用 CloudTrail,但我的 S3 桶未配置正确的策略,会怎样?
CloudTrail 会根据既有的 S3 存储桶策略来传送日志文件。如果存储桶策略配置错误,那么 CloudTrail 将无法传送日志文件。
可以接收重复的事件吗?
CloudTrail 旨在支持向客户 S3 存储桶交付至少一次订阅事件。在某些情况下,CloudTrail 可能会多次发送同一事件。因此,客户可能会看到重复的事件。
数据事件
什么是数据事件?
通过数据事件,您可以了解对资源本身或在资源内部执行的资源(数据面板)操作。数据事件通常是高频率活动,包括诸如 S3 对象级 API 操作和 AWS Lambda 函数调用 API 等操作。配置跟踪时,数据事件默认处于停用状态。若要记录 CloudTrail 数据事件,您必须明确添加您想对其收集活动的受支持的资源或资源类型。与管理事件不同,数据事件会产生额外的成本。有关更多信息,请参阅 CloudTrail 定价。
如何使用数据事件?
与管理事件类似,由 CloudTrail 记录的数据事件会被传送到 S3 中。启用后,也可以在 Amazon CloudWatch Events 中使用这些事件。
什么是 S3 数据事件? 如何记录?
S3 数据事件表示对 S3 对象执行的 API 活动。若要让 CloudTrail 记录这些操作,请在创建新跟踪或修改现有跟踪时,在数据事件部分指定一个 S3 存储桶。对指定 S3 存储桶中的对象执行的任何 API 操作都会由 CloudTrail 记录下来。
什么是 Lambda 数据事件? 如何记录?
Lambda 数据事件用于记录 Lambda 函数的运行时活动。使用 Lambda 数据事件,您可以获得有关 Lambda 函数运行时的详细信息。Lambda 函数运行时的示例包括哪个 IAM 用户或服务进行了 Invoke API 调用、调用的时间以及应用了哪个函数。所有的 Lambda 数据事件都提供给 S3 存储桶和 CloudWatch Events。您可以使用 CLI 或 CloudTrail 控制台为 Lambda 数据事件启用日志记录,并通过创建新的跟踪或编辑现有跟踪来选择记录哪些 Lambda 函数。
网络活动事件(预览版)
什么是网络活动事件(预览版)?
网络活动事件记录使用 VPC 端点从私有 VPC 到 AWS 服务执行的 AWS API 操作,并且可以帮助您满足网络安全调查使用案例的要求。这包括成功通过 VPC 端点策略的 AWS API 调用和被拒绝访问的调用。与传递给 API 调用者和资源所有者的管理和数据事件不同,网络活动事件仅传递给 VPC 端点的所有者。要记录网络活动事件,您必须在配置跟踪或事件数据存储时明确启用它们,并选择要收集活动的 AWS 服务的事件源。您还可以添加其他筛选条件,例如按 VPC 端点 ID 进行筛选或仅记录“访问被拒绝”错误。网络活动事件会产生额外费用。有关更多信息,请参阅 CloudTrail 定价。
VPC 端点的网络活动事件与 VPC 流日志有何不同?
VPC 流日志可捕获有关进出 VPC 中网络接口的 IP 流量的信息。流日志数据可以发布到以下位置:Amazon CloudWatch Logs、Amazon S3 或 Amazon Data Firehose。VPC 端点的网络活动事件可捕获使用 VPC 端点从私有 VPC 到 AWS 服务执行的 AWS API 操作。这为您提供了有关谁在访问您的网络内资源的详细信息,让您能够更好地识别和响应数据边界内的意外操作。您可以查看由于 VPC 端点策略而被拒绝的操作的日志,或者使用这些事件来验证更新现有策略的影响。
委派管理员
我可以向我的组织添加委派管理员吗?
可以,CloudTrail 现在支持为每个组织添加最多三个委派管理员。
谁是由委派管理员创建的组织级别的组织跟踪或事件数据存储的所有者?
主账户将仍然是在组织级别创建的任何组织跟踪或事件数据存储的所有者,无论它是由委派管理员账户还是主账户创建。
哪些区域提供委派管理员支持?
目前,所有提供 AWS CloudTrail 的区域均提供对 CloudTrail 的委派管理员支持。有关更多信息,请参阅 AWS 区域表。
CloudTrail Insights
什么是 CloudTrail Insights 事件?
CloudTrail Insights 事件可帮助您识别 AWS 账户中的异常活动,例如资源预置突增、AWS Identity and Access Management(IAM)操作突增或例行维护活动缺口等。CloudTrail Insights 使用机器学习(ML)模型持续监控 CloudTrail 写入管理事件,从而发现异常活动。
检测到异常活动时,CloudTrail Insights 事件将会在控制台中显示,并发送到 CloudWatch Events、您的 S3 存储桶,并且还可以发送到 CloudWatch Logs 组。这可以更方便您创建提示并与现有的事件管理和工作流系统集成。
CloudTrail Insights 可帮助识别哪些类型的活动?
CloudTrail Insights 会通过分析 AWS 账户和区域内的 CloudTrail 写入管理事件来检测异常活动。异常活动是指 AWS API 调用的数量偏离既定操作模式或基线的预期的情形。CloudTrail Insights 会考虑基于时间的 API 调用趋势并随着工作负载的变化执行自适应的基线,从而适应正常运行模式的变化。
CloudTrail Insights 可以帮助您检测行为有误的脚本或应用程序。有时,开发人员会对脚本或应用程序做出启动无限循环的更改,或者对数据库、数据存储或其他函数等非计划资源进行大量调用。经常,除非月末结账时成本意外增加或者发生实际的停机或中断,否则这种行为不会有人注意。CloudTrail Insights 事件可帮助您了解 AWS 账户中的这些变化,从而让您可以快速采取纠正措施。
CloudTrail Insights 如何与使用异常检测功能的其他 AWS 服务配合使用?
CloudTrail Insights 可识别 AWS 账户中的异常操作活动,从而帮助您解决运营问题,减轻对运营和业务的影响。Amazon GuardDuty 关注提高账户的安全性,通过监控账户活动来提供威胁检测功能。Amazon Macie 旨在通过发现、分类和保护敏感数据,增强账户中的数据保护。这些服务针对账户中可能出现的不同类型的问题,提供了补充的保护功能。
我是否需要设置 CloudTrail 才能使用 CloudTrail Insights?
符合。CloudTrail Insights 事件是针对单个跟踪配置的,因此您必须至少设置一个跟踪。当您为某个跟踪启用 CloudTrail Insights 事件后,CloudTrail 将会开始监控该跟踪捕获的写入管理事件,从而发现异常模式。如果 CloudTrail Insights 检测到异常活动,将会在跟踪定义中指定的传输目标位置记录一个 CloudTrail Insights 事件。
CloudTrail Insights 会监控哪些种类的事件?
CloudTrail Insights 会跟踪写入管理 API 操作的异常活动。
如何开始?
您可以通过控制台、CLI 或软件开发工具包在账户中的具体跟踪上启用 CloudTrail Insights 事件。您还可以使用在您的 AWS Organizations 管理账户中配置的组织跟踪,为整个组织启用 CloudTrail Insights 事件。您可以通过选择跟踪定义中的雷达按钮,从而启用 CloudTrail Insights 事件。
CloudTrail Lake
为什么应该使用 CloudTrail Lake?
CloudTrail Lake 通过查询 CloudTrail 记录的所有操作、AWS Config 记录的配置项、来自审计管理器的证据或来自非 AWS 来源的事件来帮助您检查事件。它通过帮助消除操作依赖关系来简化事件日志记录,并提供相关工具来帮助您减少对跨团队的复杂数据处理管道的依赖。CloudTrail Lake 不要求您在其他位置移动和提取 CloudTrail 日志,这有助于保持数据保真度并减少限制日志的低速率限制。它还提供近乎实时的延迟,因为它专为处理大量结构化日志进行了微调,这使得它们可用于事件调查。它使用 SQL 提供熟悉的多属性查询体验,并能够安排和处理多个并发查询。对于 SQL 使用经验较少的用户,可以使用自然语言查询生成来帮助创建 SQL 查询,从而简化数据分析。使用 AI(预览版)汇总查询结果的能力可进一步增强您从活动日志中获得有意义的见解并有效调查事件的能力。 此外,预先整理的控制面板和自定义控制面板提供了直观的方式,以便直接在 CloudTrail 控制台内显示和分析存储在事件数据存储空间中的数据。通过结合使用这些功能,CloudTrail Lake 使您能够高效地调查事件和更深入地了解您的 AWS 环境,同时简化您的数据管理流程。
这项功能与其他 AWS 服务有什么关系?如何配合使用这些服务?
CloudTrail 是 AWS 服务中用户活动和 API 使用情况的规范日志来源。一旦 CloudTrail 中有日志,您就可以使用 CloudTrail Lake 来检查 AWS 服务中的活动。您可以查询和分析用户活动以及受影响的资源,并使用这些数据来解决相关问题,例如识别不法分子和执行权限基准测试。
如何从 AWS 以外的来源(例如自定义应用程序、第三方应用程序或其他公有云)摄取事件?
您可以使用 CloudTrail 控制台,通过几个步骤查找并添加合作伙伴集成以开始从这些应用程序接收活动事件,而无需构建和维护自定义集成。对于可用合作伙伴集成以外的来源,您可以使用新的 CloudTrail Lake API 设置您自己的集成并将事件推送到 CloudTrail Lake。要开始使用,请参阅 CloudTrail 用户指南中的使用 CloudTrail Lake。
您建议何时使用 AWS Config 高级查询(而不是 CloudTrail Lake)从 AWS Config 中查询配置项?
对于希望聚合和查询当前状态 AWS Config 配置项(CI)的客户,建议使用 AWS Config 高级查询。这有助于客户实现库存管理、安全和运营智能、成本优化和合规性数据。如果您是 AWS Config 客户,可以免费使用 AWS Config 高级查询。
CloudTrail Lake 支持 AWS Config 配置项的查询范围,包括资源配置和合规历史记录。使用相关 CloudTrail 事件分析资源的配置和合规性历史记录,有助于推断这些资源的更改者、更改时间和更改内容。这有助于分析与安全暴露或不合规相关的事件的根本原因。如果您必须在 CloudTrail 事件和历史配置项之间聚合和查询数据,建议使用 CloudTrail Lake。
如果我今天启用将 AWS Config 中的配置项摄取到 CloudTrail Lake,CloudTrail Lake 会摄取我的历史配置项(在创建 CloudTrail Lake 之前生成)还是仅收集新记录的配置项?
CloudTrail Lake 不会摄取在配置 CloudTrail Lake 之前生成的 AWS Config 配置项。AWS Config 中帐户级别或组织级别的新记录的配置项将传输到指定的 CloudTrail Lake 事件数据存储。在指定的保留期内,这些配置项将可在 Lake 中查询,并可用于历史数据分析。
通过查询 CloudTrail Lake,我是否总能知道哪个用户进行了特定的配置更改?
如果多个用户连续快速尝试对单个资源进行多次配置更改,则只会创建一个配置项,映射到资源的最终状态配置。在这种场景和类似的场景中,通过查询 CloudTrail 和特定时间范围和资源 id 的配置项,可能无法 100% 准确地提供哪个用户进行了哪些配置更改。
如果我以前使用过跟踪,是否可以将现有的 CloudTrail 日志导入现有或新的 CloudTrail Lake 事件数据存储?
符合。CloudTrail Lake 导入功能支持从 S3 存储桶复制 CloudTrail 日志,该存储桶存储来自多个账户(来自组织跟踪)和多个 AWS 区域的日志。您也可以从个别账户和单个区域跟踪导入日志。此外,使用导入功能时,您还可以指定导入的日期范围,以便仅导入需要在 CloudTrail Lake 中长期存储和进行分析的部分日志。合并日志后,您可以对日志运行查询,范围从启用 CloudTrail Lake 后收集的最新事件,到您的跟踪带来的历史事件。
这一导入功能是否会影响 S3 中的原始跟踪?
导入功能将日志信息从 S3 复制到 CloudTrail Lake,并将原始副本原样保存在 S3 中。
启用 CloudTrail Lake 功能后,我可以查询哪些 CloudTrail 事件?
您可以为 CloudTrail 收集的任何事件类别启用 CloudTrail Lake,具体取决于您的内部故障排除需求。事件类别包括用于捕获控制面板活动(如 CreateBucket 和 TerminateInstances)的管理事件、用于捕获数据面板活动(如 GetObject 和 PutObject)的数据事件,以及用于捕获使用 VPC 端点从私有 VPC 到 AWS 服务执行的 API 操作的网络活动事件(预览版)。您不需要为任何这些事件单独订阅试用版。对于 CloudTrail Lake,您需要在一年可延长留存和七年留存定价选项之间进行选择,这将影响您的成本以及事件留存期限。您可以随时查询数据。在 CloudTrail Lake 控制面板中,我们支持查询 CloudTrail 事件。
启用 CloudTrail Lake 功能后,我需要等待多长时间才能开始编写查询?
您几乎可以立即开始查询启用该功能后发生的活动。
我可以使用 CloudTrail Lake 解决哪些常见的安全和运营使用案例?
常见使用案例包括调查安全事件(例如未经授权的访问或泄露的用户凭证),以及通过执行审计以定期对用户权限执行基准测试来增强您的安全状况。您可以执行必要的审计,以确保允许合适的用户组对资源(例如安全组)进行更改,并跟踪任何不符合组织最佳实践的更改。此外,您还可以跟踪对资源执行的操作并评测修改或删除,并深入了解您的 AWS 服务账单,包括订阅服务的 IAM 用户。
如何开始使用 CloudTrail Lake?
如果您是现有和新的 CloudTrail 客户,您可以立即开始使用 CloudTrail Lake 功能来运行查询,方法是通过 API 或 CloudTrail 控制台启用此功能。
选择 CloudTrail 控制台左侧面板上的 CloudTrail Lake 选项卡,然后选择“创建事件数据存储”按钮。创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项确定摄取事件的成本以及事件数据存储的最长和默认留存期。然后,选择要记录的事件类别(管理、数据和网络活动事件)。此外,您还可以利用增强的事件筛选功能来控制将哪些 CloudTrail 事件提取到事件数据存储中,从而帮助您提高效率并降低成本,同时保持对相关活动的可见性。设置事件数据存储后,您可以使用基于 SQL 的查询来查询您拥有或管理的任何事件数据存储。对于不太熟悉 SQL 的用户,可以使用自然语言查询生成来帮助创建 SQL 查询。
此外,可以使用生成式人工智能来汇总查询结果(预览版),从而进一步增强您从 CloudTrail 数据中获取见解的能力。为了帮助可视化您的 CloudTrail Lake 数据,您可以使用 CloudTrail 控制台中直接提供的预先整理的控制面板,提供开箱即用的可见性以及来自审计和安全数据的关键见解。 要进行更有针对性的监控和分析,您还可以选择创建根据您的特定需求量身定制的自定义控制面板。
我创建了一个采用七年留存定价的事件数据存储。我能否将相同的事件数据存储迁移到一年可延长留存定价选项? 根据七年留存定价摄取的事件数据存储中的现有数据会怎样?
符合。作为事件数据存储配置的一部分,您可以将定价选项从七年留存定价更新为一年可延长留存定价。在配置的留存期内,您的现有数据将在事件数据存储中保持可用。这些数据不会产生任何延长留存费用。但是,任何新摄取的数据都将按照摄取和延长保留的一年可延长留存定价收费。
我创建了一个采用一年可延长留存定价的事件数据存储。我能否将相同的事件数据存储迁移到七年留存定价选项?
不可以。我们目前不支持将事件数据存储从一年可延长留存定价迁移到七年留存定价。但是,您可以关闭当前事件数据存储的日志记录,同时为新摄取的数据创建采用七年留存定价的新事件数据存储。您仍然可以使用相应的定价选项和配置的留存期留存和分析两个事件数据存储中的数据。
为什么 CloudTrail Lake 的留存期根据事件时间(而不是 CloudTrail Lake 的摄取时间)计算?
CloudTrail Lake 是一个审计湖,可帮助客户满足合规性和审计方面的使用案例需求。根据合规计划要求,客户需要将审核日志保留指定的持续时间(从日志生成之日起),无论日志何时被引入 CloudTrail Lake。
如果我将历史 CloudTrail 事件从 S3 摄取到 CloudTrail Lake,并且将事件数据存储留存期配置为 1 年,则该事件是否从摄取之日起 1 年内一直存储在 CloudTrail Lake 中?
不会。由于这是一个历史事件,且事件时间已过去,因此该事件将在 CloudTrail Lake 中留存,留存期为自事件时间起 1 年。因此,该事件在 CloudTrail Lake 中存储的持续时间将少于 1 年。
我现在可以在控制面板上可视化来自 CloudTrail Lake 的哪种类型的事件?
预先整理的 CloudTrail Lake 控制面板支持对 CloudTrail 管理、数据和洞察事件进行可视化。此外,您还可以灵活地创建自定义控制面板,这些控制面板可以显示存储在事件数据存储空间中的任何类型的数据,使您能够根据自己的特定需求定制分析。
控制面板是在账户级别还是在事件数据存储级别启用?
现在需要在账户级别启用控制面板。
启用 CloudTrail Lake 控制面板时会产生哪些费用?
CloudTrail Lake 控制面板由 CloudTrail Lake 查询提供支持。启用 CloudTrail Lake 控制面板后,您将为扫描的数据付费。有关更多详细信息,请参阅定价页面。
我目前可以创建自定义控制面板吗?
可以,您可以创建自己的自定义控制面板,也可以设置用来定期刷新控制面板的时间表。
预先整理的 CloudTrail Lake 控制面板支持哪些应用场景?
CloudTrail Lake 提供了一套预先整理的控制面板,可满足安全性、合规性、运营和资源管理等方面的各种应用场景的需求。这些即用型控制面板专为特定的场景量身定制,可以立即为云治理的各个方面创造价值:
- 对于安全监控,“安全监控控制面板”等控制面板可以帮助跟踪关键的安全事件,包括访问拒绝事件、登录尝试失败和破坏性操作。
- 为了支持合规性工作,可以通过“IAM 活动控制面板”了解 IAM 实体的变化,从而帮助识别意外的 IAM 操作和潜在的合规性问题。
- 云运营团队可以利用“错误分析控制面板”识别和排查服务节流错误以及服务之间的其他运营问题。
- 在资源管理方面,可以通过“资源变更控制面板”了解 AWS 资源的预置、删除和修改趋势,包括通过 CloudFormation 和手动方式进行的更改。
- 各个组织可以从“组织活动控制面板”中受益,此控制面板提供了对账户管理、访问模式和策略变更的洞察。
- 使用适用于 EC2、Lambda、DynamoDB 和 S3 并且特定于服务的控制面板,可以详细了解这些服务的管理和数据面板活动。
日志文件合并
我有多个 AWS 账户。但我希望所有账户的日志文件传送到单个 S3 存储桶中。这能实现吗?
符合。您可以配置一个 S3 存储桶作为多个账户的目标存储桶。有关详细说明,请参阅 CloudTrail 用户指南中的将日志文件聚合到单个 S3 桶中一节。
与 CloudWatch Logs 集成
什么是 CloudTrail 与 CloudWatch Logs 的集成?
CloudTrail 与 CloudWatch Logs 集成,让您可以将 CloudTrail 捕获的管理事件和数据事件传送到您指定的 CloudWatch Logs 日志组中的 CloudWatch Logs 日志流。
CloudTrail 与 CloudWatch Logs 集成有哪些优势?
这一集成可帮助您接收 CloudTrail 所捕获的账户活动的 SNS 通知。例如,您可以创建 CloudWatch 警报以监控创建、修改和删除安全组及网络访问控制列表(ACL)的 API 调用。
如何启用 CloudTrail 与 CloudWatch Logs 的集成?
您可以通过指定 CloudWatch Logs 日志组和 IAM 角色从 CloudTrail 控制台启用 CloudTrail 与 CloudWatch Logs 的集成。您还可以使用 AWS 软件开发工具包或 AWS CLI 来启用此集成。
启用 CloudTrail 与 CloudWatch Logs 的集成后,会怎样?
启用该集成后,CloudTrail 会持续向您指定的 CloudWatch Logs 日志组中的 CloudWatch Logs 日志流传送账户活动。CloudTrail 还会像以前一样继续向您的 S3 存储桶传送日志。
哪些 AWS 区域支持 CloudTrail 与 CloudWatch Logs 的集成?
支持 CloudWatch Logs 的区域均支持该集成。有关更多信息,请参阅 AWS 一般参考中的区域和端点。
CloudTrail 如何将包含账户活动的事件传送至 CloudWatch Logs?
为了将账户活动传送至 CloudWatch Logs,CloudTrail 会承担您指定的 IAM 角色。您可以对 IAM 角色加以限制,使其仅具有其所需要的将事件传送至您的 CloudWatch Logs 日志流的权限。要查看 IAM 角色策略,请前往 CloudTrail 文档的用户指南。
当我开始将 CloudTrail 与 CloudWatch Logs 集成后,要如何付费?
当您启用 CloudTrail 与 CloudWatch Logs 的集成之后,您要支付 CloudWatch Logs 和 CloudWatch 的标准费用。有关详细信息,请前往 CloudWatch 定价页面。
使用 AWS KMS 加密 CloudTrail 日志文件
使用 AWS KMS 的服务器端加密对 CloudTrail 日志文件进行加密有哪些好处?
使用 SSE-KMS 进行 CloudTrail 日志文件加密可通过 KMS 密钥加密日志文件,从而帮助您为交付到 S3 桶的 CloudTrail 日志文件添加一个额外的安全层。默认情况下,CloudTrail 会使用 S3 服务器端加密加密交付到 S3 存储桶的日志文件。
我有一个应用程序可摄取并处理 CloudTrail 日志文件。我需要对该应用程序进行任何更改吗?
借助 SSE-KMS,S3 会自动加密日志文件,因此,您无需对自己的应用程序进行任何更改。与往常一样,您必须确保应用程序拥有相应的权限,如 S3 GetObject 和 AWS KMS Decrypt 权限。
如何配置 CloudTrail 日志文件加密?
您可以使用 AWS 管理控制台、AWS CLI 或 AWS 软件开发工具包配置日志文件加密。有关详细说明,请参阅文档。
配置使用 SSE-KMS 的加密会产生哪些费用?
配置使用 SSE-KMS 的加密后,您需要支付标准的 AWS KMS 费用。有关详细信息,请前往 AWS KMS 定价页面。
CloudTrail 日志文件完整性验证
什么是 CloudTrail 日志文件完整性验证?
CloudTrail 日志文件完整性验证功能可帮助您确定 CloudTrail 日志文件在被 CloudTrail 传送到特定的 S3 存储桶后是否发生过更改、删除或修改。
使用 CloudTrail 日志文件完整性验证有哪些好处?
您可以将日志文件完整性验证用作 IT 安全和审核流程中的一个辅助手段。
如何启用 CloudTrail 日志文件完整性验证?
您可以通过控制台、AWS CLI 或 AWS 软件开发工具包启用 CloudTrail 日志文件完整性验证功能。
打开日志文件完整性验证功能后,会怎样?
打开日志文件完整性验证功能后,CloudTrail 会每小时交付一次摘要文件。摘要文件包含有关传递到 S3 存储桶的日志文件的信息以及这些日志文件的哈希值。它们还包含 S3 元数据部分中先前摘要文件的数字签名和当前摘要文件的签名。有关摘要文件、数字签名和哈希值的更多信息,请参阅 CloudTrail 文档。
摘要文件会传送到什么位置?
摘要文件交付到日志文件交付到的 S3 存储桶。但是,它们会交付到不同的文件夹,以便您实施精细的访问控制策略。有关详细信息,请参阅 CloudTrail 文档的摘要文件结构部分。
如何验证 CloudTrail 传送的日志文件或摘要文件的完整性?
您可以使用 AWS CLI 验证日志文件或摘要文件的完整性。您也可以构建自己的工具来进行验证。有关使用 AWS CLI 验证日志文件完整性的更多信息,请参阅 CloudTrail 文档。
我将所有区域和多个账户的所有日志文件集中到了一个 S3 桶中。摘要文件是否也会传送到该 S3 存储桶中?
符合。CloudTrail 会将所有区域和多个账户的摘要文件传送到该 S3 存储桶。
CloudTrail 处理库
什么是 CloudTrail 处理库?
CloudTrail 处理库是一个 Java 库,可以帮助您更轻松地构建读取和处理 CloudTrail 日志文件的应用程序。您可以从 GitHub 下载 CloudTrail 处理库。
CloudTrail 处理库可提供哪些功能?
CloudTrail 处理库可提供处理以下任务的功能,如不断轮询 SQS 队列,读取和解析 Amazon Simple Queue Service(Amazon SQS)消息。它还可以下载 S3 中存储的日志文件,并以容错方式解析和序列化日志文件事件。有关更多信息,请前往 CloudTrail 文档中的用户指南。
要开始使用 CloudTrail 处理库,我需要什么软件?
您需要 aws-java-sdk 版本 1.9.3 和 Java 1.7 或更高版本。
定价
CloudTrail 跟踪如何收费?
CloudTrail 可帮助您免费查看、搜索和下载您账户最近 90 天的管理事件。您可以通过创建跟踪将正在进行的管理事件的一个副本免费传输到 S3 中。CloudTrail 跟踪设置之后,S3 会根据您的使用情况收费。
您可以使用跟踪传输事件的额外副本,包括数据事件和网络活动事件(预览版)。您将需要为数据事件、网络活动事件以及管理事件的额外副本付费。在定价页面上了解更多信息。
如果我只有一个跟踪包含管理事件并应用于所有区域,我是否需要付费?
不需要。管理事件的第一个副本在每个区域中都是免费提供的。
如果对包含免费管理事件的现有跟踪启用数据事件,我是否需要付费?
符合。您仅需为数据事件付费。管理事件的第一个副本是免费提供的。
CloudTrail Lake 如何收费?
使用 CloudTrail Lake 时,您需要同时支付摄取和存储费用,计费基于摄取的未压缩数据量和存储的压缩数据量。创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项确定摄取事件的成本以及事件数据存储的最长和默认留存期。查询费用基于您选择分析的压缩数据。在定价页面上了解更多信息。
如果我知道自己在跟踪中的 CloudTrail 历史使用量,是否可以计算出我的估计 CloudTrail Lake 摄取使用量?
符合。每个 CloudTrail 事件的平均长度约为 1500 字节。使用此映射,您将能够根据上个月跟踪中的 CloudTrail 使用量(按事件数量)来估计 CloudTrail Lake 摄取量。
合作伙伴
AWS 合作伙伴解决方案如何帮助我分析 CloudTrail 记录的事件?
有多个合作伙伴提供了集成解决方案,用于分析 CloudTrail 日志文件。这些解决方案包括变更追踪、故障排查和安全分析等功能。有关更多信息,请参阅 CloudTrail 合作伙伴部分。
如何将 CloudTrail Lake 集成作为可用来源?
要开始集成,您可以查看合作伙伴入门指南。与您的合作伙伴开发团队或合作伙伴解决方案架构师接洽,与 CloudTrail Lake 团队联系,以进行更深入的研究或提出更多问题。
其他
启用 CloudTrail 是否会影响 AWS 资源的性能或增加 API 调用的延迟?
不会。启用 CloudTrail 既不会影响 AWS 资源的性能,也不会增加 API 调用的延时。