- Управление и администрирование›
- AWS CloudTrail›
- Вопросы и ответы
Вопросы и ответы по AWS CloudTrail
Темы страниц
Общие вопросыОбщие вопросы
Что такое AWS CloudTrail?
CloudTrail обеспечивает аудит, мониторинг безопасности и устранение неполадок в процессе работы, отслеживая действия пользователей и использование API. CloudTrail регистрирует, постоянно отслеживает и хранит активность учетной записи в инфраструктуре AWS, имеющую отношение к действиям, позволяя контролировать хранение, анализ и исправления.
Каковы преимущества использования сервиса CloudTrail?
CloudTrail помогает вам обеспечить соответствие требованиям, укрепить безопасность и объединить записи о действиях, которые производятся в разных регионах и аккаунтах. Сервис CloudTrail позволяет осуществлять мониторинг действий пользователей в аккаунте. CloudTrail регистрирует важную информацию о каждом действии, включая имя пользователя, инициировавшего запрос, используемый сервис, выполненные действия и параметры этих действий, а также информацию о данных, возвращенных сервисом AWS. Эта информация позволяет отслеживать изменения ресурсов AWS и устранять операционные неполадки. CloudTrail упрощает обеспечение соответствия требованиям внутренних политик и нормативных стандартов. Дополнительную информацию см. в техническом описании AWS, касающемся соответствия требованиям, «Безопасность при любых масштабах: ведение журналов в AWS».
Для кого предназначен сервис CloudTrail?
Пользуйтесь CloudTrail, если требуется проводить аудит активности, отслеживать события, связанные с безопасностью, или устранять текущие неисправности.
Начало работы
Если я являюсь новым пользователем AWS или мною не выполнялась настройка CloudTrail, нужно ли мне что-либо настраивать, чтобы просматривать историю учетной записи?
Нет. Для просмотра истории аккаунта ничего настраивать не требуется. Историю учетной записи за последние 90 дней можно посмотреть в консоли AWS CloudTrail или с помощью Интерфейса командной строки AWS (AWS CLI).
В журнале событий CloudTrail отображается вся история моей учетной записи?
AWS CloudTrail показывает только журнал событий CloudTrail за последние 90 дней для текущего региона и поддерживает некоторые сервисы AWS. Этот журнал событий включает только события управления, выполненные посредством вызовов API create, modify и delete, а также историю аккаунта. Для записи полной истории аккаунта, включая события управления, события, связанные с данными, и события чтения, необходимо настроить отслеживание в CloudTrail.
Какие поисковые фильтры доступны при просмотре истории учетной записи?
Можно задать интервал времени и следующие атрибуты: event name, user name, resource name, event source, event ID и resource type.
Можно ли использовать операторы поиска в Интерфейсе командной строки AWS (AWS CLI), если отслеживание событий не настроено?
Да. Чтобы просмотреть историю учетной записи за последние 90 дней, перейдите в консоль CloudTrail или используйте API CloudTrail либо Интерфейс командной строки AWS (AWS CLI).
Какие дополнительные возможности станут доступны для создания отслеживания событий?
Настройте конфигурацию отслеживания событий в CloudTrail, чтобы сохранять события CloudTrail в Простом сервисе хранения данных Amazon (Amazon S3), журналах Amazon CloudWatch и событиях Amazon CloudWatch. Это помогает анализировать изменения доступных ресурсов AWS, реагировать на изменения и сохранять архив событий.
Можно ли ограничить доступ пользователей к просмотру журнала событий CloudTrail?
Да. CloudTrail интегрирован с Управлением идентификацией и доступом AWS (IAM). Это позволяет управлять доступом к CloudTrail и другим ресурсам AWS, которые необходимы для работы CloudTrail, включая возможность ограничить просмотр истории аккаунта и поиск по ней. Удалите строку «cloudtrail:LookupEvents» из политики пользователя IAM, чтобы запретить ему просматривать журнал действий в аккаунте.
Взимается ли плата за включение журнала событий CloudTrail при создании аккаунта?
За использование журнала CloudTrail Event плата не начисляется.
Можно ли отключить в своем аккаунте журнал событий CloudTrail?
Можно останавливать ведение журналов и удалять любые отслеживания. Также будет остановлена передача действий в аккаунте в корзину Amazon S3, которую вы включили в конфигурацию отслеживания, а также передача в журналы CloudWatch, если она была настроена. История аккаунта за последние 90 дней будет собираться в любом случае; журнал будет доступен для просмотра в консоли CloudTrail или с помощью интерфейса командной строки AWS (AWS CLI).
Поддержка сервисов и регионов
Какие сервисы поддерживает CloudTrail?
CloudTrail регистрирует историю аккаунта и сервисные события большинства сервисов AWS. Перечень поддерживаемых сервисов см. в разделе Сервисы, поддерживаемые CloudTrail руководства пользователя CloudTrail.
Записываются ли вызовы API, выполненные из Консоли управления AWS?
Да. CloudTrail записывает вызовы API, выполненные из любого клиента. Консоль управления AWS, пакеты AWS SDK, инструменты командной строки и сервисы AWS более высокого уровня выполняют вызовы API, поэтому они записываются.
Где сохраняются и обрабатываются файлы журналов перед их сохранением в корзине S3?
Информация о действиях для сервисов с региональными адресами (например, Эластичное вычислительное облако Amazon [Amazon EC2] или Служба реляционных баз данных Amazon [Amazon RDS]) собирается и обрабатывается в том же регионе, где совершается действие. Затем оно доставляется в регион, связанный с вашей корзиной S3. Информация об активности для сервисов с отдельными адресами, таких как IAM и Сервис токенов безопасности AWS (AWS STS), захватывается в регионе, где находится адрес, и обрабатывается в регионе, для которого настроено отслеживание CloudTrail, и сохраняется в том регионе, к которому привязана соответствующая корзина S3.
Применение отслеживания ко всем регионам
Что означает настройка отслеживания во всех регионах AWS?
Настройка отслеживания во всех регионах AWS означает создание конфигурации отслеживания, которая будет регистрировать историю аккаунта AWS во всех регионах, где хранятся ваши данные. Эта настройка также применяется к новым добавляемым регионам. Подробнее о регионах и разделах описано на странице об именах ресурсов Amazon и пространствах имен сервисов AWS.
Каковы преимущества применения отслеживания ко всем регионам?
Чтобы создать отслеживание по всем регионам раздела и управлять им, достаточно сделать всего один вызов API или несколько щелчков мышью. История аккаунта AWS для всех регионов будет сохраняться в одной корзине S3 или в группе журналов CloudWatch. При запуске нового региона AWS пользователь получает файлы журналов с записями действий для нового региона, не выполняя дополнительных настроек.
Как применить отслеживание ко всем регионам?
Чтобы применить отслеживание ко всем регионам, на странице настройки отслеживания в консоли CloudTrail выберите «да» для параметра применения ко всем регионам. При работе с SDK или командной строкой AWS задайте для параметра IsMultiRegionTrail значение true.
Что произойдет при применении отслеживания ко всем регионам?
При применении отслеживания ко всем регионам сервис CloudTrail создаст новое отслеживание для всех регионов путем репликации конфигурации отслеживания. CloudTrail будет записывать и обрабатывать файлы журналов в каждом из регионов и загружать эти файлы с историей аккаунта по всем регионам в одну корзину S3 и одну группу журналов CloudWatch. При дополнительном указании темы в Простом сервисе уведомлений Amazon (Amazon SNS) сервис CloudTrail будет осуществлять доставку оповещений SNS для всех файлов журналов, доставленных в отдельную тему SNS.
Можно ли применить существующее отслеживание ко всем регионам?
Да. Вы можете применить существующее отслеживание ко всем регионам. В этом случае CloudTrail создает для каждого региона новое отслеживание. Если до этого момента вы создавали варианты отслеживания в других регионах, их можно просматривать, редактировать и удалять в консоли CloudTrail.
Сколько времени занимает репликация настроек отслеживания CloudTrail во все регионы?
Репликация настроек отслеживания во все регионы обычно занимает не более 30 секунд.
Несколько отслеживаний
Сколько вариантов отслеживания можно создать в одном регионе?
В регионе можно создать до пяти вариантов отслеживания. Отслеживание, примененное ко всем регионам, существует в каждом из регионов и считается одним отслеживанием в каждом из них.
Каковы преимущества создания множества вариантов отслеживания в регионе?
Использование множества вариантов отслеживания позволяет разным заинтересованным сторонам (например, администраторам систем безопасности, разработчикам ПО и ИТ-аудиторам) создавать и использовать собственные варианты отслеживания. Например, администратор систем безопасности может создать отслеживание, применить его ко всем регионам и настроить шифрование с помощью одного ключа в Сервисе управления ключами Amazon (Amazon KMS). Разработчик может создать отслеживание для устранения ошибок в работе и применить его в одном регионе.
Поддерживает ли сервис CloudTrail разрешения на уровне ресурсов?
Да. Используя разрешения на уровне ресурсов, вы можете создать подробные политики управления доступом для разрешения или запрещения определенным пользователям доступа к конкретному отслеживанию. С подробной информацией можно ознакомиться в документации по CloudTrail.
Безопасность и срок действия
Как обеспечить безопасность файлов журналов CloudTrail?
По умолчанию файлы журнала CloudTrail зашифрованы с помощью шифрования на стороне сервера S3 (SSE) и хранятся в корзине S3. Вы можете управлять доступом к файлам журнала с помощью политик корзин IAM или S3. Вы можете создать дополнительный уровень безопасности, включив функцию S3 удаления с использованием многофакторной аутентификации (MFA) в корзине S3. Дополнительную информацию о создании и обновлении отслеживания см. в документации по CloudTrail.
Где можно загрузить образец политики для корзины S3 или темы SNS?
Образец политики корзины S3 и политики темы SNS можно загрузить из корзины CloudTrail S3. Вам нужно добавить свою информацию в образцы политик, прежде чем применять их к корзине S3 или теме SNS.
В течение какого времени можно хранить файлы журналов с записью моих действий?
Вы управляете политиками хранения для файлов журнала CloudTrail. По умолчанию срок хранения файлов журнала не ограничен. Для определения собственной политики хранения можно воспользоваться правилами управления жизненным циклом объектов для S3. Например, старые файлы журнала можно удалять или архивировать в Простом сервисе хранения данных Amazon Glacier (Amazon S3 Glacier).
Сообщения о событиях, время и периодичность сохранения
Какая именно информация о событии доступна?
Событие содержит информацию о соответствующем действии, то есть определяются имя пользователя, инициировавшего запрос, используемый сервис, выполненное действие и параметры этого действия, а также информация о данных, возвращенных сервисом AWS. Дополнительную информацию см. в справочной информации о событиях CloudTrail в руководстве пользователя.
Сколько времени занимает сохранение сервисом CloudTrail события, связанного с вызовом API?
Как правило, CloudTrail сохраняет информацию о событии в течение 5 минут после вызова API. Подробную информацию о работе CloudTrail см. здесь.
С какой периодичностью CloudTrail доставляет файлы журнала в корзину Amazon S3?
CloudTrail доставляет файлы журнала в корзину S3 приблизительно каждые 5 минут. CloudTrail не доставляет файлы журнала, если в случае вашего аккаунта не выполнены вызовы API.
Можно ли настроить получение оповещений о доставке новых файлов журналов в корзину S3?
Да. Вы можете включить оповещения Amazon SNS, чтобы сразу реагировать на доставку новых файлов журнала.
Я считаю, что в одном из моих файлов журнала есть несколько повторяющихся событий. Как узнать, какие события уникальны?
Хотя это редкость, вы можете получать файлы журналов, содержащие одно или несколько повторяющихся событий. Такие события будут иметь один и тот же идентификатор eventID. Дополнительные сведения о поле eventID см. в разделеСодержание записей CloudTrail.
Что произойдет, если включить сервис CloudTrail для аккаунта, но не настроить корзину S3 в соответствии с корректной политикой?
Сохранение файлов журналов CloudTrail выполняется в соответствии с действующими политиками корзины S3. Если политики корзины настроены некорректно, CloudTrail не сможет сохранить файлы журналов.
Можно ли получать повторяющиеся события?
Сервис CloudTrail разработан для поддержки как минимум одной доставки событий по подписке в корзины S3 клиента. В некоторых ситуациях CloudTrail может доставить одно и то же событие несколько раз. В результате клиенты могут заметить повторяющиеся события.
События, связанные с данными
Что такое события, связанные с данными?
События данных содержат сведения об операциях («плоскость данных»), выполненных с ресурсом или в рамках ресурса. Такие события часто бывают крупномасштабными и включают такие операции, как API уровня объектов S3 и API вызова функций AWS Lambda. При настройке отслеживания события, связанные с данными, по умолчанию отключены. Для регистрации событий CloudTrail, связанных с изменением данных, необходимо явным образом добавить поддерживаемые ресурсы или типы ресурсов, события в которых необходимо регистрировать. В отличие от событий управления, поддержка событий, связанных с данными, влечет за собой дополнительные расходы. С подробной информацией можно ознакомиться на странице цен на CloudTrail.
Как можно использовать события, связанные с данными?
События, связанные с данными, которые регистрируются в CloudTrail, сохраняются в S3 аналогично событиям управления. После включения регистрации эти события также будут доступны в Amazon CloudWatch Events.
Что такое события, связанные с изменением данных в S3? Как обеспечить их запись?
События, связанные с изменением данных в S3, представляют собой операции API над объектами S3. Чтобы сервис CloudTrail регистрировал эти действия, при создании новой или изменении существующей конфигурации отслеживания событий необходимо задать корзину S3 в разделе событий, связанных с данными. Любые действия API над объектами в указанной корзине S3 будут регистрироваться сервисом CloudTrail.
Что такое события, связанные с данными в Lambda? Как обеспечить их запись?
События, связанные с данными в Lambda, регистрируют операции по выполнению функций Lambda. С помощью событий данных Lambda вы можете получить подробную информацию о времени выполнения функции Lambda. Примеры времени выполнения функции Lambda показывают, какой пользователь или сервис IAM выполнил вызов Invoke API, когда был выполнен вызов и какая функция была применена. Сведения о всех событиях, связанных с данными Lambda, доставляются в корзину S3 и события CloudWatch. Включить регистрацию событий, связанных с данными в Lambda, можно с помощью интерфейса командной строки или консоли CloudTrail, а при создании новой или изменении существующей конфигурации отслеживания событий можно указать, какие функции Lambda должны регистрироваться.
События сетевой активности (предварительная версия)
Что такое события сетевой активности (предварительная версия)?
События сетевой активности фиксируют действия AWS API, выполненные с использованием адресов VPC из частного VPC в сервис AWS, и помогают вам справиться с задачами изучения сетевой безопасности. Сюда входят вызовы AWS API, которые соответствуют политике адресов VPC, и те, что получили отказ в доступе. В отличие от событий управления и данных, которые доставляются как вызывающему API, так и владельцу ресурса, события сетевой активности доставляются только владельцу адреса VPC. Чтобы записывать события сетевой активности, необходимо прямо разрешить их фиксирование при настройке отслеживания или хранилища данных событий, а также выбрать источник (-и) событий для сервисов AWS, по которым вы хотите собирать данные об активности. Можно также добавить дополнительные фильтры, такие как фильтрация по идентификатору адреса VPC или регистрация только ошибок отказа в доступе. За работу с событиями сетевой активности взимается дополнительная плата. С подробной информацией можно ознакомиться на странице цен на CloudTrail.
Чем события сетевой активности для адресов VPC отличаются от журналов сетевых потоков VPC?
Эти журналы позволяют фиксировать информацию об IP-трафике, идущем к сетевым интерфейсам и от них в VPC. Данные журнала сетевых потоков можно публиковать в следующих ресурсах: Журналы Amazon CloudWatch, Amazon S3 или Данные Amazon Firehose. События сетевой активности для адресов VPC фиксируют действия AWS API, выполняемые с использованием адресов VPC из частного VPC в сервис AWS. Так вы получаете подробную информацию о том, кто обращается к ресурсам в вашей сети, что позволяет выявлять и реагировать на непредусмотренные операции в периметре данных. Также можно просматривать журналы действий, отклоненных из-за политик адресов VPC, или использовать эти события для проверки последствий обновления существующих политик.
Делегированный администратор
Можно ли добавить в свою организацию делегированного администратора?
Да. Теперь CloudTrail поддерживает добавление до трех делегированных администраторов на каждую организацию.
Кто является владельцем данных отслеживания организации или хранилища данных событий на уровне организации, созданной делегированным администратором?
Управляющий аккаунт останется владельцем любых данных отслеживания организации или хранилищ данных событий, созданных на уровне организации, независимо от того, создан ли он аккаунтом делегированного администратора или управляющим аккаунтом.
В каких регионах доступен делегированный администратор?
На данный момент поддержка делегированного администратора для CloudTrail есть во всех регионах, где доступен сервис AWS CloudTrail. Дополнительные сведения см. в таблице регионов AWS.
CloudTrail Insights
Что такое события аналитики AWS CloudTrail?
События CloudTrail Insights помогают определять необычные действия в ваших аккаунтах AWS, например пиковые нагрузки при выделении ресурсов, всплески действий в сервисе Управления идентификацией и доступом AWS (IAM) или пробелы в периодическом обслуживании. CloudTrail Insights использует модели машинного обучения (ML), которые постоянно отслеживают события управления записью CloudTrail на предмет нетипичной активности.
При обнаружении нетипичной активности события CloudTrail Insights отображаются в консоли и передаются в события CloudWatch, корзину S3 и дополнительно – в группу журналов CloudWatch. Это упрощает создание предупреждений и интеграцию с существующими системами управления событиями и рабочими процессами.
Какой тип действий помогает определить аналитика AWS CloudTrail?
CloudTrail Insights обнаруживает необычную активность, анализируя события управления записью CloudTrail в аккаунте AWS и регионе. Необычное или нетипичное событие определяется как том вызовов API AWS, который отличается от того, что ожидается от ранее установленного рабочего шаблона или базового уровня. CloudTrail Insights адаптируется к изменениям в ваших обычных рабочих шаблонах, принимая во внимание хронологические тренды в вызовах API и применяя адаптивные базовые показатели при изменении рабочих нагрузок.
CloudTrail Insights может помочь обнаружить неправильно работающие скрипты или приложения. Иногда разработчик меняет скрипт или приложение, которое запускает повторяющийся цикл или выполняет большое количество вызовов непреднамеренных ресурсов, таких как базы данных и хранилища данных, или другие функции. Зачастую такое поведение остается незамеченным до расчетного периода пользования в конца месяца, когда обнаруживается, что расходы неожиданно увеличились либо произошло отключение или сбой. События CloudTrail Insights могут сообщить вам об этих изменениях в вашем аккаунте AWS, чтобы вы могли быстро предпринять корректирующие меры.
Как аналитика AWS CloudTrail работает с другими сервисами AWS, которые используют обнаружение аномалий?
CloudTrail Insights определяет необычную рабочую активность в ваших аккаунтах AWS, что позволяет устранять операционные неполадки, сводя к минимуму их влияние на работу и коммерческие процессы. Amazon GuardDuty направлен на повышение безопасности вашего аккаунта, обеспечивая обнаружение угроз путем мониторинга его активности. Amazon Macie разработан для улучшения защиты данных в вашем аккаунте путем обнаружения, классификации и защиты конфиденциальных данных. Эти сервисы обеспечивают дополнительную защиту от различных типов проблем, которые могут возникнуть в вашем аккаунте.
Нужно ли настраивать CloudTrail для работы Аналитики AWS CloudTrail?
Да. События CloudTrail Insights настраиваются в отдельных отслеживаниях, поэтому необходимо настроить хотя бы одно отслеживание. Когда вы включаете события CloudTrail Insights для отслеживания, CloudTrail начинает отслеживать события управления записью, фиксированные этим отслеживанием, на наличие необычных схем. Если CloudTrail Insights обнаруживает необычную активность, событие CloudTrail Insights регистрируется в пункте назначения доставки, указанном в определении отслеживания.
Какие события отслеживает аналитика AWS CloudTrail?
CloudTrail Insights отслеживает необычную активность для API управления записью.
Как начать работу с сервисом?
Вы можете включить события CloudTrail Insights в отдельных отслеживаниях в своем аккаунте, используя консоль, интерфейс командной строки (CLI) или SDK. Вы также можете включить события CloudTrail Insights в рамках своей организации, используя отслеживание для организации, настроенное в вашем аккаунте управления Организаций AWS. Вы можете включить события CloudTrail Insights, выбрав опцию в определении отслеживания.
Озеро CloudTrail
В каких случаях рекомендуется использовать озеро CloudTrail?
Озеро CloudTrail помогает изучать инциденты путем запроса всех действий, зарегистрированных CloudTrail, элементов конфигурации, записанных AWS Config, доказательств от Диспетчера аудита или событий из источника, не относящегося к AWS. Благодаря этому можно устранить операционные зависимости, а следовательно проще вести журнал проблем. Кроме того, сервис предоставляет инструменты, которые помогают меньше полагаться на сложные конвейеры обработки данных для разных команд. Для озера CloudTrail не требуется перемещать или загружать журналы CloudTrail куда бы то ни было, а значит поддерживается точность данных и отсутствуют ограничения скорости, влияющие на журналы. Сервис также оптимизирован для обработки больших структурированных журналов, за счет чего обеспечивает более легкий доступ к изучению проблем и близкую к реальному времени задержку. Он предоставляет знакомый интерфейс запросов на базе SQL с несколькими атрибутами и возможностью планирования и обработки нескольких одновременных запросов. Для пользователей, обладающих меньшим опытом в работе с SQL, доступна генерация запросов на естественном языке, помогающая создавать SQL-запросы и упрощающая анализ данных. Возможность суммировать результаты запросов с помощью искусственного интеллекта (в предварительной версии) еще больше расширяет функционал извлечения значимой информации из журналов активности и эффективного расследования инцидентов. Кроме того, предварительно отобранные и настраиваемые панели обеспечивают удобные способы визуализации и анализа данных, находящихся в хранилищах данных о событиях, непосредственно в консоли CloudTrail. За счет сочетания этих функций CloudTrail Lake позволяет эффективно расследовать инциденты и получать более глубокое представление о среде AWS, одновременно упрощая процессы управления данными.
Как этот сервис связан и взаимодействует с другими сервисами AWS?
CloudTrail – это стандартный источник журналов активности пользователей и использования API в сервисах AWS. Как только журналы становятся доступны в CloudTrail, с помощью озера CloudTrail можно проверять активность в сервисах AWS. Возможно отправлять запросы и анализировать активность пользователей и затронутые ресурсы, а также использовать эти данные для решения таких задач, как выявление злоумышленников и определение основных разрешений.
Как получать события из источников за пределами AWS, таких как пользовательские или сторонние приложения либо другие публичные облака?
Вы можете найти и добавить партнерские интеграции, чтобы начать получать события активности из этих приложений за несколько шагов с помощью консоли CloudTrail, без необходимости создавать и поддерживать пользовательские интеграции. Для источников, отличных от доступных партнерских интеграций, вы можете использовать новые API-интерфейсы CloudTrail Lake для настройки собственных интеграций и отправки событий в CloudTrail Lake. Чтобы начать работу, см. раздел Работа с озером CloudTrail в руководстве пользователя CloudTrail.
Когда рекомендуется использовать расширенный запрос AWS Config вместо озера CloudTrail для запроса единиц конфигурации из AWS Config?
Расширенный запрос AWS Config рекомендуется для клиентов, которые хотят объединять и запрашивать текущее состояние единиц конфигурации (CI) AWS Config. Благодаря этому клиенты могут управлять запасами, обеспечивать безопасность и оперативную аналитику, оптимизировать затраты и получать данные о соответствии нормативным требованиям. Расширенный запрос AWS Config предоставляется бесплатно, если вы являетесь клиентом AWS Config.
Озеро CloudTrail поддерживает выполнение запросов для единиц конфигурации AWS Config, включая конфигурацию ресурсов и историю соответствия. Анализ истории конфигурации и соответствия для ресурсов с соответствующими событиями CloudTrail помогает сделать вывод о том, кто, когда и что изменил на этих ресурсах. Такой подход помогает проводить анализ первопричин инцидентов, связанных с угрозой безопасности или несоответствием требованиям. Озеро CloudTrail рекомендуется, если вам необходимо объединять и запрашивать данные по событиям CloudTrail и историческим единицам конфигурации.
Если я разрешу загрузку элементов конфигурации из AWS Config сегодня в озеро CloudTrail, будет ли оно загружать мои исторические элементы конфигурации (созданные до формирования озера AWS CloudTrail) или собирать только недавно записанные элементы конфигурации?
Озеро CloudTrail не будет загружать единицы конфигурации AWS Config, которые были созданы до того, как оно было настроено. Вновь записанные единицы конфигурации из AWS Config на уровне аккаунта или организации будут доставлены в указанное хранилище данных событий озера CloudTrail. Эти единицы конфигурации будут доступны в озере для запроса в течение указанного периода хранения и могут быть использованы для анализа исторических данных.
Могу ли я всегда знать, какой пользователь внес определенное изменение в конфигурацию, запросив озеро CloudTrail?
Если несколько пользователей быстро пытаются изменить конфигурацию одного ресурса, может быть создана только одна единица конфигурации, которая будет соответствовать конфигурации конечного состояния ресурса. В этом и подобных сценариях может оказаться невозможным обеспечить 100 % соответствие того, какой пользователь внес какие изменения в конфигурацию, путем запроса CloudTrail и единиц конфигурации для определенного временного интервала и идентификатора ресурса.
Если раньше уже использовались отслеживания, могу ли я перенести имеющиеся Журналы CloudTrail в свое существующее или новое хранилище данных о событиях озера CloudTrail?
Да. Возможность импорта озера CloudTrail поддерживает копирование журналов CloudTrail из корзины S3, в которой хранятся журналы из разных аккаунтов (отслеживание организации) и регионов AWS. Кроме того, вы можете импортировать журналы из индивидуальных аккаунтов и отслеживаний одного региона. Возможность импорта также позволяет указать диапазон дат импорта, благодаря чему вы можете импортировать только те подмножества журналов, которые необходимы для долгосрочного хранения и анализа в озере CloudTrail. После объединения журналов вы сможете запускать к ним запросы, начиная с самых недавних событий, собранных после подключения озера CloudTrail, и заканчивая предыдущими событиями, перенесенными из ваших отслеживаний.
Влияет ли возможность импорта на оригинальное отслеживание в S3?
Возможность импорта позволяет копировать сведения журналов из S3 в озеро CloudTrail и оставлять оригинальные копии в S3 в прежнем виде.
К каким событиям CloudTrail можно отправлять запросы после подключения возможности озера CloudTrail?
Озеро CloudTrail можно подключить для любой категории событий, собранных CloudTrail, в зависимости от индивидуальных потребностей. К категориям событий относятся события управления, которые фиксируют действия в плоскости управления, в том числе CreateBucket и TerminateInstances, события данных, где регистрируются действия в плоскости данных, такие как GetObject и PutObject, а также события сетевой активности (предварительная версия), где отражаются действия API, выполняемые с помощью адресов VPC из частного VPC в сервис AWS. Отдельная подписка на отслеживание этих событий не требуется. При использовании озера CloudTrail вам необходимо выбрать между сроком хранения на один год с возможностью продления или сроком на семь лет. Это повлияет на стоимость и продолжительность хранения событий. Запросить данные можно в любое время. На панелях управления озера CloudTrail мы поддерживаем запросы к событиям CloudTrail.
Через какое время после подключения озера CloudTrail можно начать писать запросы?
Запросы к действиям, произошедшим после включения озера CloudTrail, можно отправлять почти мгновенно.
Каковы стандартные примеры использования озера CloudTrail в системах безопасности и операционных процессах?
В число распространенных примеров использования входит изучение проблем безопасности, таких как несанкционированный доступ или скомпрометированные учетные данные пользователя, а также повышение уровня безопасности за счет регулярных проверок базовых пользовательских разрешений. Можно выполнять необходимые проверки, чтобы убедиться, что правки в таких ресурсах, как группы безопасности, вносят только уполномоченные пользователи, и отслеживать любые изменения, не соответствующие рекомендациям организации. Кроме того, можно отслеживать действия, произошедшие с ресурсами, и проводить оценку изменений или удалений, а также получать более подробную информацию о платежах за сервисы AWS, включая подписавшихся на сервисы пользователей IAM.
Как начать работать с Озером CloudTrail?
Если вы текущий или новый пользователь CloudTrail, то можете немедленно начать выполнять запросы с помощью озера CloudTrail, включив его через API или консоль CloudTrail.
Выберите вкладку CloudTrail Lake (Озеро CloudTrail) на левой панели консоли CloudTrail и нажмите кнопку Create Event Data Store (Создать хранилище данных событий). При создании такого хранилища вы выбираете вариант ценообразования, который хотите использовать. Вариант ценообразования определяет стоимость загрузки событий, а также максимальный срок хранения и срок хранения по умолчанию для хранилища данных событий. Затем выберите категории событий, которые необходимо записать в журнал (события, связанные с управлением, данными и сетевой активностью). Кроме того, можно воспользоваться расширенными возможностями фильтрации событий, позволяющими контролировать, какие события CloudTrail загружаются в хранилища данных о событиях. Это поможет повысить эффективность и сократить расходы, сохраняя при этом прозрачность соответствующих действий. После настройки хранилища данных событий можно запрашивать любые хранилища данных событий, которыми клиент владеет или которыми управляет, используя запросы на основе SQL. Для пользователей, обладающих меньшим опытом в работе с SQL, доступна генерация запросов на естественном языке, помогающая создавать SQL-запросы.
Кроме того, результаты запросов можно суммировать (в режиме предварительной версии) с помощью генеративного искусственного интеллекта, что еще больше расширяет возможности извлечения аналитической информации из данных CloudTrail. Для того чтобы визуализировать данные озера CloudTrail, можно использовать предварительно отобранные панели управления, доступные непосредственно в консоли CloudTrail. Такие панели предлагают готовую визуализацию и ключевую аналитическую информацию на основе данных аудита и безопасности. Для более целенаправленного мониторинга и анализа также можно создавать собственные панели, адаптированные к конкретным потребностям.
Я создаю хранилище данных о событиях с оплатой хранения в течение семи лет. Смогу ли я перенести одно и то же хранилище данных о событиях на вариант с возможностью продления срока хранения на один год? Что происходит с моими существующими данными в хранилище данных о событиях, которые были загружены в соответствии с тарифами на хранение в течение семи лет?
Да. Вы можете изменить ценовой вариант с семилетнего срока хранения на один год с возможностью продления срока в рамках конфигурации хранилища данных событий. Существующие данные останутся доступными в хранилище данных событий в течение выбранного периода хранения. Плата за длительное хранение таких данных взиматься не будет. Однако все вновь введенные данные будут облагаться тарифами на продление срока хранения на один год как при приеме, так и при длительном хранении.
Если создать хранилище данных о событиях с возможностью продления срока хранения на один год. Смогу ли я перенести одно и то же хранилище данных о событиях на вариант с семилетним сроком хранения?
Нет. В настоящее время мы не предоставляем переход от цены хранения данных о событиях с возможностью продления срока хранения на один год к цене хранения на семь лет. Однако вы сможете отключить ведение журнала в текущем хранилище данных событий и создать новое с оплатой хранения вновь поступивших данных в течение семи лет. Вы по-прежнему сможете хранить и анализировать данные в обоих хранилищах, используя соответствующий вариант ценообразования и настроенный период хранения.
Почему срок хранения озера CloudTrail рассчитывается, исходя из времени события, а не загрузки в озеро?
CloudTrail – это озеро аудита, которое помогает клиентам удовлетворить свои потребности в сценариях использования, связанных с соблюдением нормативных требований и аудитом. Согласно требованиями программы соответствия заказчики должны хранить журналы аудита в течение определенного периода с момента их создания, независимо от того, когда они были загружены в озеро CloudTrail.
Если я перенесу историческое событие CloudTrail из S3 в озеро CloudTrail и срок сбережения в хранилище данных событий настроен на 1 год, всегда ли это событие будет храниться в озере CloudTrail в течение 1 года с момента получения?
Нет. Поскольку это историческое событие, которое посвящено прошлому, оно будет храниться в озере CloudTrail в течение 1 года, начиная с момента проведения мероприятия, то есть менее 1 года.
Какие события из озера CloudTrail можно визуализировать на панелях управления сегодня?
Предварительно отобранные панели озера CloudTrail поддерживают визуализацию управления CloudTrail, данных и событий аналитики. Кроме того, можно создавать собственные панели для визуализации данных любого типа, находящихся в хранилищах данных о событиях, что позволяет адаптировать функции анализа к конкретным потребностям.
Включены ли панели управления на уровне аккаунта или хранилища данных событий?
В настоящее время панели доступны на уровне аккаунта.
Какая плата взимается при включении панелей управления озера CloudTrail?
Панели управления Озера CloudTrail работают на основе запросов Озера CloudTrail. При включении панелей управления Озера CloudTrail будет взиматься плата за считанные данные. Подробнее см. на странице цен.
Можно ли создавать собственные панели управления уже сегодня?
Да, можно создавать собственные панели, а также устанавливать расписание их периодического обновления.
Для чего можно использовать предварительно отобранные панели управления озера CloudTrail?
В озере CloudTrail имеется набор предварительно отобранных панелей управления для решения различных задач, в том числе в области безопасности, соблюдения нормативных требований, операций и управления ресурсами. Эти готовые панели управления адаптированы для конкретных сценариев и обеспечивают немедленные преимущества в различных аспектах управления облаком:
- При мониторинге безопасности такие панели, как «Панель мониторинга безопасности», помогают отслеживать критические события в системе безопасности, включая события отказа в доступе, неудачные попытки входа и разрушительные действия.
- Для решения задач соблюдения нормативных требований «Панель действий IAM» позволяет отслеживать изменения в сущностях IAM, помогая выявлять непреднамеренные действия IAM и потенциальные проблемы в области соблюдения требований.
- Специалисты по облачным операциям могут использовать «Панель анализа ошибок» для выявления и устранения ошибок регулирования и других эксплуатационных проблем в различных сервисах.
- При управлении ресурсами «Панель изменений в ресурсах» позволяет отслеживать тенденции выделения, удаления и изменения ресурсов AWS, в том числе изменения, внесенные с помощью CloudFormation и вручную.
- Организации могут воспользоваться преимуществами «Панели деятельности организаций», которая предоставляет аналитические данные об управлении аккаунтами, шаблонах доступа и изменениях в политиках.
- Панели управления, ориентированные на конкретные сервисы, для EC2, Lambda, DynamoDB и S3 предоставляют подробную информацию об управлении этими сервисами и операциях в плоскости данных.
Агрегация файлов журналов
У меня есть несколько аккаунтов AWS. Мне хотелось бы настроить доставку файлов журнала всех аккаунтов в одну корзину S3. Это возможно?
Да. Вы можете настроить одну корзину S3 для доставки файлов для множества аккаунтов. Подробные инструкции см. в разделе об агрегации файлов журнала в одну корзину S3 руководства пользователя CloudTrail.
Интеграция с CloudWatch Logs
В чем заключается интеграция CloudTrail с журналами CloudWatch?
Интеграция сервиса CloudTrail с CloudWatch Logs позволяет сохранять регистрируемые сервисом CloudTrail события, связанные с данными и управлением, в поток журналов CloudWatch Logs указанной группы.
Каковы преимущества интеграции сервиса CloudTrail с журналами CloudWatch?
Эта интеграция позволяет получать оповещения SNS об истории аккаунта, зарегистрированной сервисом CloudTrail. Например, можно создать предупреждения CloudWatch для отслеживания вызовов API, посредством которых создаются, изменяются и удаляются группы безопасности и списки контроля доступа сети (ACL).
Как включить интеграцию сервиса CloudTrail с журналами CloudWatch?
Вы можете включить интеграцию CloudTrail с журналами CloudWatch из консоли CloudTrail, указав группу журналов CloudWatch и роль IAM. Кроме того, чтобы включить интеграцию, вы можете использовать пакеты SDK AWS и интерфейс командной строки AWS.
Что произойдет при включении интеграции сервиса CloudTrail с журналами CloudWatch?
После включения интеграции сервис CloudTrail будет постоянно доставлять историю аккаунта в поток журналов CloudWatch указанной группы. При этом, как и ранее, CloudTrail продолжит доставлять журналы в корзину S3.
В каких регионах AWS поддерживается интеграция сервиса CloudTrail с журналами CloudWatch?
Интеграция обеспечена в регионах, где поддерживаются журналы CloudWatch. См. раздел Регионы и адреса в общих справочных материалах по AWS.
Каким образом CloudTrail сохраняет события, содержащие действия в аккаунте, в журналы CloudWatch?
Сервис CloudTrail доставляет историю аккаунта в журналы CloudWatch от имени указанной вами роли IAM. Следует ограничить роль IAM, указав лишь разрешения, необходимые для доставки событий в поток журнала CloudWatch Logs. Обзор политики роли IAM см. в руководстве пользователя из документации по CloudTrail.
Какие расходы влечет за собой включение интеграции сервиса CloudTrail с журналами CloudWatch?
После включения интеграции CloudTrail с журналами CloudWatch Logs вы оплачиваете журналы CloudWatch и сервис CloudWatch по стандартным тарифам. С подробной информацией можно ознакомиться на странице цен на CloudWatch.
Шифрование файлов протоколов CloudTrail с помощью AWS KMS
Каковы преимущества шифрования файлов журнала CloudTrail на стороне сервера с помощью AWS KMS?
Шифрование файлов журналов CloudTrail с помощью SSE-KMS (с использованием ключа KMS) обеспечивает дополнительный уровень безопасности лог-файлов CloudTrail, доставляемых в корзину S3. По умолчанию CloudTrail шифрует файлы журналов, доставляемые в корзину S3, посредством шифрования S3 на стороне сервера.
У меня есть приложение для импорта и обработки лог-файлов CloudTrail. Понадобится ли вносить в него изменения?
При использовании шифрования SSE-KMS сервис S3 автоматически дешифрует файлы журнала, поэтому вносить изменения в приложение не придется. Как и всегда, необходимо убедиться, что приложение обладает соответствующими разрешениями, т. е. разрешениями S3 GetObject и AWS KMS Decrypt.
Как настроить шифрование файлов журнала CloudTrail?
Чтобы настроить шифрование файлов журнала, воспользуйтесь консолью управления AWS, интерфейсом командной строки AWS или AWS SDK. Подробные инструкции см. в документации.
Какая плата взимается за использование шифрования на стороне сервера с помощью KMS?
За использование шифрования на стороне сервера с помощью KMS взимается плата по стандартным тарифам сервиса AWS KMS. Подробнее описано на странице цен на AWS KMS.
Проверка целостности файлов журналов CloudTrail
Что представляет собой проверка целостности файлов журнала CloudTrail?
Возможность проверки целостности файлов журнала CloudTrail позволяет определить, остались ли журналы CloudTrail, сохраненные в определенной корзине S3, без изменений или же были изменены или удалены.
Для чего нужна проверка целостности файлов журнала CloudTrail?
Возможность проверки целостности файлов журналов является вспомогательным средством в процессах ИТ-безопасности и аудита.
Как включить проверку целостности файлов журнала CloudTrail?
Чтобы включить проверку целостности файлов журнала CloudTrail, воспользуйтесь консолью, интерфейсом командной строки AWS или AWS SDK.
Что происходит при включении проверки целостности файлов журнала?
После включения функции проверки целостности файлов журнала CloudTrail начнет каждый час формировать файл дайджеста. Файлы дайджеста содержат информацию о файлах журнала, которые были доставлены в вашу корзину S3, и хэш-значения для этих файлов журнала. Они также содержат цифровые подписи для предыдущего файла дайджеста и цифровую подпись для текущего файла дайджеста в разделе метаданных S3. Подробнее о файлах дайджеста, цифровых подписях и хэш-значениях см. в документации по CloudTrail.
Куда доставляются файлы дайджеста?
Файлы дайджеста доставляются в ту же корзину S3, что и файлы журнала. Но при этом они доставляются в другую папку, что позволяет точно настраивать политики доступа. Подробнее описано в разделе о структуре файлов дайджеста документации по CloudTrail.
Как проверить целостность файла журнала или файла дайджеста, сохраненного CloudTrail?
Чтобы проверить целостность файла журнала или файла дайджеста, воспользуйтесь интерфейсом командной строки AWS. Вы также можете создать собственные инструменты проверки. Подробнее о проверке целостности файлов журнала или файлов дайджеста с помощью интерфейса командной строки AWS см. в документации по CloudTrail.
Я собираю все файлы журнала из всех регионов и аккаунтов в одной корзине S3. Будут ли файлы дайджеста доставляться в ту же корзину S3?
Да. CloudTrail доставляет файлы дайджеста из всех регионов и аккаунтов в одну и ту же корзину S3.
Библиотека обработки CloudTrail
Что такое библиотека обработки CloudTrail?
Библиотека обработки CloudTrail – это библиотека Java, которая упрощает создание приложений для считывания и обработки файлов журнала CloudTrail. Библиотеку обработки CloudTrail можно загрузить на GitHub.
Какие функциональные возможности предоставляет библиотека обработки CloudTrail?
Библиотека обработки CloudTrail обеспечивает выполнение таких задач, как постоянный опрос очереди SQS, чтение и анализ сообщений Простого сервиса очередей Amazon (Amazon SQS), загрузка журналов, сохраненных в хранилище S3, отказоустойчивый анализ и последовательная обработка событий в файле журнала. Дополнительную информацию см. в соответствующем руководстве пользователя, приведенном в документации по CloudTrail.
Какое программное обеспечение потребуется для работы с библиотекой обработки CloudTrail?
Вам потребуется пакет aws-java-sdk версии 1.9.3 и Java 1.7 или более поздних версий.
Цены
Как начисляется плата за использование отслеживаний AWS CloudTrail?
CloudTrail дает возможность просматривать, находить и загружать историю событий за последние 90 дней бесплатно. Вы можете бесплатно доставить один экземпляр текущих событий управлений в S3, создавая отслеживание. После настройки отслеживания CloudTrail будет начисляться плата за хранилище S3 по факту использования.
Можно передавать дополнительные копии событий, в том числе событий данных и сетевой активности (предварительная версия), с помощью отслеживаний. С вас будет взиматься плата за события данных, события сетевой активности и дополнительные копии событий управления. С подробной информацией можно ознакомиться на странице цен.
Будет ли начисляться плата, если использовать одну конфигурацию отслеживания событий управления и применять ее ко всем регионам?
Нет. Первая копия событий, связанных с управлением, в каждом регионе предоставляется бесплатно.
Будет ли начисляться плата, если в существующей конфигурации, в которой бесплатно отслеживаются события управления, включить регистрацию событий, связанных с данными?
Да. Плата будет начисляться только за события, связанные с изменением данных. Первая копия событий, связанных с управлением, предоставляется бесплатно.
Как начисляется плата за использование озера AWS CloudTrail?
Пользуясь озером CloudTrail, вы платите и за прием, и за хранение данных, а счета выставляются в зависимости от количества принятых несжатых и хранимых сжатых данных. При создании такого хранилища вы выбираете вариант ценообразования, который хотите использовать. Вариант ценообразования определяет стоимость загрузки событий, а также максимальный срок хранения и срок хранения по умолчанию для хранилища данных событий. Стоимость запросов зависит от выбранных для анализа сжатых данных. С подробной информацией можно ознакомиться на странице цен.
Можно ли рассчитать примерное использование озера CloudTrail, если я знаю историю использования CloudTrail в отслеживаниях?
Да. Каждое событие CloudTrail в среднем занимает около 1500 байт. Применяя данное сопоставление, вы сможете оценить потребление озера CloudTrail на основе его использования в отслеживаниях в прошлом месяце по количеству событий.
Партнеры
Каким образом решения, предоставляемые партнерами AWS, помогают выполнять анализ событий, записанных сервисом CloudTrail?
Множество партнеров предлагают интегрированные решения для анализа файлов журнала CloudTrail. Эти решения включают такие возможности, как отслеживание изменений, устранение неполадок и анализ безопасности. Дополнительную информацию см. в разделе партнеров CloudTrail.
Как подключить интеграцию к озеру CloudTrail в качестве доступного источника?
Чтобы начать интеграцию, см. руководство по регистрации партнеров. Свяжитесь со своей командой разработчиков партнера или архитектором партнерских решений, чтобы обратиться к команде управления озером CloudTrail для получения дополнительной информации или ответов на дополнительные вопросы.
Прочее
Отражается ли использование сервиса CloudTrail на производительности ресурсов AWS и может ли оно увеличить время задержки при выполнении вызовов API?
Нет. Включение CloudTrail не влияет на производительность ресурсов AWS или задержку при выполнении вызовов API.