AWS CloudTrail 支持审计、安全监控和操作问题排查。CloudTrail 以事件形式记录 AWS 服务中的用户活动和 API 调用。CloudTrail 事件可帮助您回答“谁在何时何地做了什么?”
CloudTrail 记录三种类型的事件:
事件历史记录提供了 AWS 区域过去 90 天内管理事件的可查看、可搜索、可下载和不可变的记录。查看事件历史记录的 CloudTrail 不收取任何费用。
CloudTrail 事件历史记录可在所有 AWS 账户上启用,并记录整个 AWS 服务的管理事件,无需任何手动设置。借助 AWS Free Tier,您可以使用 CloudTrail 控制台或 CloudTrail 查找事件 API 免费查看、搜索和下载您的账户最近 90 天的管理事件历史记录。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件。
跟踪会捕获 AWS 账户活动记录,将这些事件传输并存储在 Amazon S3 中,还可以选择传输到 Amazon CloudWatch Logs 和 Amazon EventBridge。这些事件可以馈送到您的安全监控解决方案中。您可以使用自己的第三方解决方案或 Amazon Athena 等解决方案来搜索和分析 CloudTrail 捕获的日志。您可以使用 AWS Organizations 为单个 AWS 账户或多个 AWS 账户创建跟踪。
您可以通过创建跟踪将正在进行的管理和数据事件传输到 S3,也可以选择将其传输到 CloudWatch Logs。这样,您就可以获得完整的事件详细信息,还可以根据需要导出和存储事件。有关更多信息,请参阅为您的 AWS 账户创建跟踪。
您可以验证存储在 S3 存储桶中的 CloudTrail 日志文件的完整性,并检测自 CloudTrail 将日志文件传输到 S3 存储桶以来,日志文件是否未更改、修改或删除。您可以在 IT 安全和审计过程中进行日志文件完整性验证。默认情况下,CloudTrail 使用 S3 服务器端加密 (SSE) 对传输到指定 S3 存储桶的所有日志文件进行加密。如有必要,您还可以使用 AWS Key Management Service (KMS) 密钥对日志文件进行加密,从而为 CloudTrail 日志文件增加一层安全性。如果您拥有解密权限,Amazon S3 会自动解密您的日志文件。有关更多信息,请参阅使用 AWS KMS 管理的密钥(SSE-KMS)加密 CloudTrail 日志文件。
您可以配置 CloudTrail 以在单个位置捕获和存储来自多个 AWS 区域的事件。此配置证明所有设置在现有和新推出的区域一致适用。有关更多信息,请参阅从多个区域接收 CloudTrail 日志文件。
您可以配置 CloudTrail,以便在单个位置捕获和存储来自多个 AWS 账户的事件。此配置验证所有设置是否一致地适用于所有现有和新创建的账户。有关更多信息,请参阅为组织创建跟踪。
CloudTrail Lake 是一个托管数据湖,用于捕获、存储、访问和分析 AWS 上的用户和 API 活动,以实现审计和安全目的。您可以汇总、可视化、查询和不可更改地存储来自 AWS 和非 AWS 来源的活动日志。IT 审计人员可以使用 CloudTrail Lake 作为所有活动的不可变记录,以满足审计要求。安全管理员可以验证用户活动是否符合内部策略。DevOps 工程师可以排查操作问题,例如 Amazon Elastic Compute Cloud (EC2) 实例无响应或资源被拒绝访问。
由于 CloudTrail Lake 是一个托管审计和安全湖,因此您的事件存储在湖中。CloudTrail Lake 授予只读访问权限,以防止对日志文件进行更改。只读访问权限意味着事件是不可变的。
借助 CloudTrail Lake,您可以对活动日志运行基于 SQL 的查询,以便在湖中进行审计,也可以对 CloudTrail 事件运行 SQL 查询,以更深入地了解 CloudTrail Lake 控制面板中的数据。此外,您还可以使用 Amazon Athena 以交互方式查询您的 CloudTrail Lake 可审核日志以及其他来源的数据,而不必担心移动或复制数据的操作复杂性。例如,安全工程师现在可以使用 Athena 将 CloudTrail Lake 中的活动日志与 Amazon S3 中的应用程序和流量日志关联起来,以进行安全事件调查。合规和运营工程师现在可以使用 Amazon QuickSight 和 Amazon Managed Grafana 可视化 CloudTrail Lake 中的活动日志,以报告合规性、成本和使用情况。
借助 AWS CloudTrail Lake,您可以整合来自 AWS 和 AWS 以外来源的活动事件,包括来自其他云提供商、内部应用程序以及在云中或本地运行的 SaaS 应用程序的数据,而无需维护多个日志聚合器和报告工具。您还可以从其他 AWS 服务中提取数据,例如来自 AWS Config 的配置项目或来自 AWS Audit Manager 的审计证据。您可以使用 CloudTrail Lake API 设置数据集成并将事件推送到 CloudTrail Lake。要与第三方工具集成,只需几步即可通过 CloudTrail 控制台中的合作伙伴集成接收来自这些应用程序的活动事件。
CloudTrail Lake 可以帮助您捕获和存储来自多个区域的事件。
通过使用 CloudTrail Lake,您可以捕获和存储您的 AWS Organizations 中账户的事件。此外,您最多可以指定三个委派管理员账户,以便在组织级别创建、更新、查询或删除组织跟踪或 CloudTrail Lake 事件数据存储。
AWS CloudTrail Insights 事件通过持续分析 CloudTrail 管理事件,帮助 AWS 用户识别和响应与 API 调用和 API 错误率相关的异常活动。CloudTrail Insights 会分析您的 API 调用量和 API 错误率(也称为基准)的正常模式,并在调用量或错误率超出正常模式时生成 Insights 事件。 您可以在跟踪或事件数据存储中启用 CloudTrail Insights,以检测异常行为和异常活动。