- 管理和治理›
- AWS CloudTrail›
- 功能
AWS CloudTrail 功能
概述
全部打开
AWS CloudTrail 支持审计、安全监控和操作问题排查。CloudTrail 以事件形式记录 AWS 服务中的用户活动和 API 调用。CloudTrail 事件可帮助您回答“谁在何时何地做了什么?”
CloudTrail 记录四类事件:
- 管理事件,捕获对资源的控制面板操作,比如创建或删除 Amazon Simple Storage Service(S3)存储桶。
- 数据事件,捕获资源中的数据面板操作,比如读取或写入 Amazon S3 对象。
- 网络活动事件,捕获使用 VPC 端点从私有 VPC 到 AWS 服务所进行的操作,包括被拒绝访问的 AWS API 调用。
- Insights 事件,通过持续分析 CloudTrail 事件来帮助 AWS 用户识别和响应与 API 调用和 API 错误率相关的异常活动。
AWS CloudTrail 事件历史记录
全部打开事件历史记录提供了 AWS 区域过去 90 天内管理事件的可查看、可搜索、可下载和不可变的记录。查看事件历史记录的 CloudTrail 不收取任何费用。
CloudTrail 事件历史记录可在所有 AWS 账户上启用,并记录整个 AWS 服务的管理事件,无需任何手动设置。借助 AWS Free Tier,您可以使用 CloudTrail 控制台或 CloudTrail 查找事件 API 免费查看、搜索和下载您的账户最近 90 天的管理事件历史记录。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件。
AWS CloudTrail 轨迹
全部打开跟踪会捕获 AWS 账户活动记录,将这些事件传输并存储在 Amazon S3 中,还可以选择传输到 Amazon CloudWatch Logs 和 Amazon EventBridge。这些事件可以馈送到您的安全监控解决方案中。您可以使用自己的第三方解决方案或 Amazon Athena 等解决方案来搜索和分析 CloudTrail 捕获的日志。您可以使用 AWS Organizations 为单个 AWS 账户或多个 AWS 账户创建跟踪。
您可以通过创建跟踪将 CloudTrail 事件传输到 S3,也可以选择将其传输到 CloudWatch Logs。这样,您就可以获得完整的事件详细信息,还可以根据需要导出和存储事件。有关更多信息,请参阅为您的 AWS 账户创建跟踪。
您可以验证存储在 S3 存储桶中的 CloudTrail 日志文件的完整性,并检测自 CloudTrail 将日志文件传输到 S3 存储桶以来,日志文件是否未更改、修改或删除。您可以在 IT 安全和审计过程中进行日志文件完整性验证。默认情况下,CloudTrail 使用 S3 服务器端加密(SSE)对传输到指定 S3 存储桶的所有日志文件进行加密。如有必要,您还可以使用 AWS Key Management Service (KMS) 密钥对日志文件进行加密,从而为 CloudTrail 日志文件增加一层安全性。如果您拥有解密权限,Amazon S3 会自动解密您的日志文件。有关更多信息,请参阅使用 AWS KMS 管理的密钥(SSE-KMS)加密 CloudTrail 日志文件。
您可以配置 CloudTrail 以在单个位置捕获和存储来自多个 AWS 区域的事件。此配置证明所有设置在现有和新推出的区域一致适用。有关更多信息,请参阅从多个区域接收 CloudTrail 日志文件。
您可以配置 CloudTrail,以便在单个位置捕获和存储来自多个 AWS 账户的事件。此配置验证所有设置是否一致地适用于所有现有和新创建的账户。要了解更多信息,请参阅为组织创建跟踪。
借助 CloudTrail 数据事件聚合功能,您无需处理海量单个事件,即可高效监控大规模数据访问模式。该功能会自动将数据事件整合为 5 分钟摘要,显示访问频率、错误率、最常用操作等关键趋势。例如,无需处理数千条单个 S3 存储桶访问事件来分析使用模式,您将直接收到显示主要用户和操作的汇总摘要。这样可以轻松识别异常活动,并在需要调查时访问详细日志。无需构建和维护复杂的聚合管道,也不必因数据量庞大而牺牲可见性。
您可在任何已启用数据事件的 CloudTrail 跟踪上启用该聚合功能。
AWS CloudTrail 和 Amazon CloudWatch 直接集成
全部打开现在,您可以通过遥测启用规则将 CloudTrail 事件直接传输至 CloudWatch Logs,取代传统的按跟踪配置流程。这种简化的传输方式采用安全的服务关联通道(SLCs),确保事件可靠传输至不可变日志组,同时支持事件丰富和安全校验功能。例如,安全团队可以自动收集所有包含敏感数据的账号中的 CloudTrail 事件,然后使用集中化规则将这些事件复制到中央日志组,通过一组配置维护企业级的安全可见性。
您还可通过几个简单步骤,将历史 CloudTrail Lake 数据导入 CloudWatch Logs。在 CloudWatch Logs 中,只需指定 CloudTrail Lake 事件数据存储以及要导入数据的日期范围即可。
AWS CloudTrail Lake
全部打开CloudTrail Lake 是一个托管数据湖,用于捕获、存储、访问和分析 AWS 上的用户和 API 活动,以实现审计和安全目的。您可以汇总、可视化、查询和不可更改地存储来自 AWS 和非 AWS 来源的活动日志。IT 审计人员可以使用 CloudTrail Lake 作为所有活动的不可变记录,以满足审计要求。安全管理员可以验证用户活动是否符合内部策略。DevOps 工程师可以排查操作问题,例如 Amazon Elastic Compute Cloud(EC2)实例无响应或资源被拒绝访问。
由于 CloudTrail Lake 是一个托管审计和安全湖,因此您的事件存储在湖中。CloudTrail Lake 授予只读访问权限,以防止对日志文件进行更改。只读访问权限意味着事件是不可变的。
CloudTrail Lake 将功能强大的查询和可视化工具相结合,帮助您更深入地了解您的 AWS 活动日志。您可以直接在存储在 CloudTrail Lake 中的活动日志上运行基于 SQL 的查询,对于不太熟悉 SQL 的用户,通过基于 AI 的自然语言查询生成功能,无需编写复杂的查询即可简化分析。
为了进一步简化分析,CloudTrail Lake 包含由 AI 支持的查询结果摘要(预览版),它提供查询结果中关键见解的自然语言摘要。此功能减少了从 AWS 活动日志中提取有意义的信息所需的时间和精力。
要进行更高级的分析,您还可以使用 Amazon Athena 以交互方式查询您的 CloudTrail Lake 可审核日志以及其他来源的数据,而不必担心移动或复制数据的操作复杂性。这使安全工程师可以将 CloudTrail Lake 中的活动日志与 Amazon S3 中的应用程序和流量日志关联起来,以进行安全事件调查。合规和运营工程师可以使用 Amazon QuickSight 和 Amazon Managed Grafana 进一步可视化活动日志,以进行全面的分析和报告。
借助 AWS CloudTrail Lake,您可以整合来自 AWS 和 AWS 以外来源的活动事件,包括来自其他云提供商、内部应用程序以及在云中或本地运行的 SaaS 应用程序的数据,而无需维护多个日志聚合器和报告工具。您还可以从其他 AWS 服务中提取数据,例如来自 AWS Config 的配置项目或来自 AWS Audit Manager 的审计证据。您可以使用 CloudTrail Lake API 设置数据集成并将事件推送到 CloudTrail Lake。要与第三方工具集成,只需几步即可通过 CloudTrail 控制台中的合作伙伴集成接收来自这些应用程序的活动事件。
CloudTrail Lake 可以帮助您捕获和存储来自多个区域的事件。
通过使用 CloudTrail Lake,您可以捕获和存储您的 AWS Organizations 中账户的事件。此外,您最多可以指定三个委派管理员账户,以便在组织级别创建、更新、查询或删除组织跟踪或 CloudTrail Lake 事件数据存储。
借助 CloudTrail Lake,您可以通过资源标签和 IAM 全局条件键来丰富管理事件与数据事件。事件丰富功能让您能进一步控制可以附加到 AWS 审计记录的信息,更便捷、快速地从 CloudTrail 日志中获取可执行见解。通过 CloudTrail Lake 的查询功能和控制面板,您可以根据业务场景(包括成本分配、财务管理、运维操作及数据安全需求等)对 CloudTrail 日志进行分类、搜索和分析。例如,假设您通过资源标签标记了包含关键数据的生产环境 S3 存储桶,现在可以直接查看所有匹配这些特定标签的 CloudTrail 事件,因为相关标签信息已嵌入事件本身。无需在多个系统之间手动交叉引用即可找到这些信息。
借助 CloudTrail Lake,您可以选择将 CloudTrail 事件大小扩展至最高 1MB,从而更清楚地查看与 API 操作相关的元数据。CloudTrail 常规事件的大小上限为 256KB,系统会通过预设的字段截断逻辑确保不超出该限制。扩展事件大小后,您可以捕获更完整的事件详细信息,减少数据截断情况的发生。
AWS CloudTrail Insights
全部打开
AWS CloudTrail Insights 通过持续分析 CloudTrail 管理事件和数据事件,帮助用户识别异常 API 活动并做出响应。CloudTrail Insights 通过建立正常 API 调用量与错误率的基准,在活动偏离常规模式时生成见解事件。您可以在跟踪中为管理事件和数据事件启用 CloudTrail Insights,或者在事件数据存储中为管理事件启用该功能,以检测异常行为和非常规活动。