跳至主要内容

AWS CloudTrail 文档

AWS CloudTrail 旨在支持审计、安全监控和操作问题排查。CloudTrail 旨在以事件形式记录 AWS 服务中的用户活动和 API 调用。CloudTrail 事件可帮助您回答“谁在何时何地做了什么?” CloudTrail 可记录三种类型的事件:管理事件,捕获对资源的控制面板操作,比如创建或删除 Amazon Simple Storage Service(Amazon S3)存储桶。数据事件,捕获资源中的数据面板操作,比如读取或写入 Amazon S3 对象。Insights 事件,通过持续分析 CloudTrail 管理事件来帮助 AWS 用户识别和响应与 API 调用和 API 错误率相关的异常活动。

AWS CloudTrail 事件历史记录

CloudTrail 事件历史记录提供了 AWS 区域过去 90 天内管理事件的可查看、可搜索、可下载和不可变的记录。CloudTrail 事件历史记录可在账户创建时在所有 AWS 账户上启用并旨在记录您的账户活动。您可以查看、搜索和下载最近记录的账户活动来创建、修改和删除支持的服务所执行的操作,而无需手动设置 CloudTrail。

AWS CloudTrail 跟踪

跟踪旨在捕获 AWS 账户活动记录,将这些事件传输并存储在 Amazon S3 中,还可以选择传输到 Amazon CloudWatch Logs 和 Amazon EventBridge。这些事件可以馈送到您的安全监控解决方案中。您可以使用自己的第三方解决方案或 Amazon Athena 等解决方案来搜索和分析 CloudTrail 捕获的日志。您可以使用 AWS Organizations 为单个 AWS 账户或多个 AWS 账户创建跟踪。

存储和监控:您可以通过创建跟踪将正在进行的管理和数据事件传输到 Amazon S3,也可以选择将其传输到 Amazon CloudWatch Logs。这样,您就可以获得完整的事件详细信息,还可以导出和存储事件。您也可以将事件存储在 CloudTrail Lake 中。

日志文件完整性和加密验证:CloudTrail 旨在验证 Amazon S3 存储桶中存储的日志文件的完整性,并可以帮助检测自 CloudTrail 将日志文件传输到 Amazon S3 存储桶以来日志文件是否经过更改、修改或删除。您可以在 IT 安全和审计过程中进行日志文件完整性验证。CloudTrail Lake 会自动加密所有日志。

默认情况下,AWS CloudTrail 会使用 Amazon S3 服务器端加密(SSE)来加密传输到指定 Amazon S3 存储桶的所有日志文件。如有必要,您还可以使用 AWS Key Management Service(KMS)密钥对日志文件进行加密,从而为 CloudTrail 日志文件增加一层安全性。如果您具有解密权限,Amazon S3 会自动解密您的日志文件。CloudTrail Lake 授予只读访问权限,以防止对日志文件进行更改。只读访问权限意味着事件在设计上是不可变的。

多区域:您可以配置 CloudTrail 以在单个位置捕获和存储来自多个 AWS 区域的事件。您可以使用此配置将设置一致应用到现有和新推出的区域。

多账户:您可以配置 CloudTrail,以便在单个位置捕获和存储来自多个 AWS 账户的事件。您可以使用此配置将设置一致应用到所有现有和新创建的账户。

AWS CloudTrail Lake

CloudTrail Lake 是一个托管数据湖,用于捕获、存储、访问和分析 AWS 上的用户和 API 活动,以实现审计和安全目的。您可以汇总、可视化、查询和不可更改地存储来自 AWS 和非 AWS 来源的活动日志。IT 审计人员可以使用 CloudTrail Lake 作为活动的不可变记录,帮助满足审计要求。安全管理员可以使用 CloudTrail Lake 来帮助确定用户活动是否符合内部政策。DevOps 工程师可以排查操作问题,例如 Amazon Elastic Compute Cloud(EC2)实例无响应或资源被拒绝访问。 

不可变存储:由于 CloudTrail Lake 是一个托管审计和安全湖,您的事件存储在该湖中。CloudTrail Lake 授予只读访问权限,以防止对日志文件进行更改。只读访问权限意味着事件是不可变的。

查询和分析:使用 CloudTrail Lake,您可以对活动日志运行基于 SQL 的查询,以便在湖内进行审计。此外,您还可以使用 Amazon Athena 以交互方式查询您的 CloudTrail Lake 可审核日志以及其他来源的数据,而不必担心移动或复制数据的操作复杂性。

多区域配置:CloudTrail Lake 允许您捕获和存储多个区域的事件。

多账户配置:通过使用 CloudTrail Lake,您可以捕获和存储您的 AWS Organizations 中账户的事件。

AWS CloudTrail Insights

AWS CloudTrail Insights 事件通过持续分析 CloudTrail 管理事件,帮助 AWS 用户识别和响应与 API 调用和 API 错误率相关的异常活动。CloudTrail Insights 会分析您的 API 调用量和 API 错误率(也称为基准)的正常模式,并在调用量或错误率超出正常模式时生成 Insights 事件。 您可以在跟踪或事件数据存储中启用 CloudTrail Insights,以检测异常行为和异常活动。

其他信息

有关服务控制、安全特征和功能的更多信息,包括有关存储、检索、修改、限制和删除数据的信息(如适用),请参阅 https://docs.aws.amazon.com/index.html。对于 http://aws.amazon.com/agreement 上的《AWS 客户协议》或者您与 AWS 之间签订的用于管理您使用 AWS 服务的其他协议而言,这些其他信息并不构成此文档的一部分。