問:什麼是 AWS CloudTrail?
AWS CloudTrail 是一種 Web 服務,可記錄在帳戶上進行的活動,並將日誌檔傳送到您的 Amazon S3 儲存貯體。

問:CloudTrail 有哪些優點?
CloudTrail 藉由記錄帳戶上的動作,讓您清楚掌握使用者的活動情形。CloudTrail 可記錄每個動作的重要資訊,包括提出請求的人員、使用的服務、執行的動作、動作參數,以及 AWS 服務傳回的回應元素。這些資訊能夠協助您追蹤 AWS 資源的變更情況以及排除操作問題。CloudTrail 可讓您輕鬆確保內部政策和管制標準的合規性。有關更多詳細資訊,請參閱 AWS 合規白皮書 "Security at scale: Logging in AWS"。

問:哪些人應該使用 CloudTrail?
有下列需求的客戶都應該啟用 CloudTrail:需要追蹤資源變更情形、答覆有關使用者活動的簡單問題、證明合規性、故障排除或執行安全分析。


問:如果我是新 AWS 客戶或尚未設定 CloudTrail 的現有 AWS 客戶,是否需要進行任何啟用或設定才能檢視帳戶活動?
否,無須額外操作便可開始檢視您的帳戶活動。您可以瀏覽 AWS CloudTrail 主控台或 AWS CLI,開始檢視最多過去 7 天的帳戶活動。

問:CloudTrail 事件歷史記錄是否會顯示帳戶內的所有帳戶活動?
AWS CloudTrail 只會顯示過去 7 天您在目前檢視區域的 CloudTrail 事件歷史記錄結果,並支援這裡發現的 AWS 服務。這些事件僅限建立、修改及刪除 API 呼叫和帳戶活動的管理事件。如需帳戶活動的完整記錄,包括所有管理事件、資料事件及唯讀活動,您必須設定 CloudTrail 追蹤。

問:檢視帳戶活動時可使用哪些搜尋篩選條件?
您可以指定時間範圍和下列其中一項屬性:事件名稱、使用者名稱、資源名稱、事件來源、事件 ID 以及資源類型。

問:即使沒有設定追蹤,是否也可以使用查詢事件 CLI 命令?
是,您可以瀏覽 CloudTrail 主控台或使用 CloudTrail API/CLI 開始檢視過去 7 天的帳戶活動。

問:設定 CloudTrail 並建立追蹤之後可使用哪些額外的 CloudTrail 功能?
設定 CloudTrail 追蹤可將 CloudTrail 事件傳送至 Amazon S3、Amazon CloudWatch Logs 及 Amazon CloudWatch Events。您可以利用這些功能來協助您存檔、分析及回應 AWS 資源的變更。

問:是否可以限制帳戶中的使用者存取權,使他們看不到 CloudTrail 事件歷史記錄?
是,CloudTrail 與 AWS Identity and Access Management (IAM) 整合,可讓您控制對 CloudTrail 和其他 CloudTrail 所需之 AWS 資源的存取,包括限制檢視和搜尋帳戶活動的許可。您可以從使用者 IAM 政策移除 "cloudtrail:LookupEvents",即可讓 IAM 使用者無法檢視帳戶活動。

問:建立帳戶時啟用 CloudTrail 事件歷史記錄是否會產生任何相關費用?
使用 CloudTrail 事件歷史記錄檢視或搜尋帳戶活動無須任何費用。

問:是否可以關閉帳戶的 CloudTrail 事件歷史記錄?
對於您建立的任何 CloudTrail 追蹤,您可以停止記錄或刪除追蹤,這樣做會停止將帳戶活動交付至追蹤組態所指定的 S3 儲存貯體,若有設定,也會停止交付至 CloudWatch Logs。系統仍會收集過去 7 天的帳戶活動,您可以在 CloudTrail 主控台以及透過 AWS CLI 查看這些記錄。 


問:CloudTrail 支援哪些服務?
AWS CloudTrail 可記錄來自大多數 AWS 服務的帳戶活動和服務事件。如需支援的服務清單,請參閱 CloudTrail User Guide 中的 CloudTrail Supported Services

問:是否記錄來自 AWS 管理主控台的 API 呼叫?
是。CloudTrail 會記錄來自任何用戶端的 API 呼叫。AWS 管理主控台、AWS 開發套件、命令列工具和較高層級的 AWS 服務都會呼叫 AWS API,所以這些呼叫會被記錄。


問:我的日誌檔在傳送到 Amazon S3 儲存貯體之前會在哪裡進行儲存和處理?
含區域終端節點的服務 (EC2、RDS 等) 的活動資訊會在進行動作的同一區域擷取和處理,再傳送到與 Amazon S3 儲存貯體關聯的區域。含單一終端節點的服務 (IAM、STS 等) 的動作資訊則在終端節點所在的區域擷取,而在設定 CloudTrail 追蹤的區域處理,再傳送到與 Amazon S3 儲存貯體關聯的區域。


問:什麼是將追蹤套用到所有區域?
將追蹤套用到所有區域表示建立一個追蹤以記錄所有區域中的 AWS 帳戶活動。此設定值也會套用至任何新增的區域。有關區域和分區的詳細資訊,請參閱 Amazon Resource Names and AWS Service Namespaces 頁面

問:將追蹤套用到所有區域有哪些好處?
只需呼叫一個 API 或按幾下按鍵,就能在分區中建立和管理跨所有區域的一個追蹤。您會收到傳送到單一 S3 儲存貯體或 CloudWatch Logs 日誌群組的記錄,其中包含 AWS 帳戶在所有區域進行的帳戶活動。當 AWS 啟動一個新的區域時,您無須採取任何動作,即可收到包含新區域事件歷史記錄的日誌檔。

問:如何將追蹤套用到所有區域?
在 CloudTrail 主控台中,於追蹤組態頁面選取 yes 以套用到所有區域。如果使用 SDK 或 AWS CLI,將 IsMultiRegionTrail 設定為 true。

問:將追蹤套用到所有區域後會發生什麼情況?
將追蹤套用到所有區域後,CloudTrail 會透過複製追蹤組態,在所有區域中建立一個新的追蹤。CloudTrail 會記錄和處理每個區域中的日誌檔,並將包含跨所有 AWS 區域之帳戶活動的日誌檔,傳送到單一 S3 儲存貯體和單一 CloudWatch Logs 日誌群組。如果指定一個選擇性的 SNS 主題,CloudTrail 會針對傳送到單個 SNS 主題的所有日誌檔,傳送 SNS 通知。

問:是否可以將現有的追蹤套用到所有區域?
是,您可以將現有的追蹤套用到所有區域。當您將現有追蹤套用到所有區域時,CloudTrail 會在所有區域為您建立新的追蹤。如果您之前在其他區域建立了追蹤,可以從 CloudTrail 主控台檢視、編輯和刪除那些追蹤。

問:CloudTrail 將追蹤組態複製到所有區域需要多長時間?
一般來說,複製追蹤組態到所有區域的時間少於 30 秒。


問:一個 AWS 區域中可以建立多少個追蹤?
一個 AWS 區域中最多可以建立五個追蹤。套用到所有區域的追蹤存在於每個區域,它在每個區域中視為一個追蹤。

問:在 AWS 區域中建立多個追蹤有哪些好處?
使用多個追蹤,不同的利害關係人 (如安全管理員、軟體開發人員和 IT 稽核員) 可以建立並管理自己的追蹤。例如,安全管理員可以建立套用到所有區域的追蹤並使用一個 KMS 金鑰來設定加密。開發人員可以建立套用到一個區域的追蹤,針對運作問題進行故障診斷。

問:CloudTrail 是否支援資源層級許可?
是,使用資源層級許可,您可以編寫精細的存取控制政策,允許或拒絕特定使用者存取特定追蹤。有關詳細資訊,請移至 CloudTrail 文件


問:我如何保護 CloudTrail 日誌檔的安全?
預設情況下會使用 S3 伺服器端加密 (SSE) 對 CloudTrail 日誌檔進行加密,並將日誌檔放到您的 S3 儲存貯體。您可以透過套用 IAM 或 S3 儲存貯體政策來控制對日誌檔的存取。您可以透過在 S3 儲存貯體上啟用 S3 Multi Factor Authentication (MFA) 刪除來新增額外的安全層。有關建立和更新追蹤的詳細資訊,請參閱 CloudTrail 文件

問:哪裡可以下載 S3 儲存貯體政策與 SNS 主題政策的範例?
您可以從 CloudTrail S3 儲存貯體下載 S3 儲存貯體政策SNS 主題政策的範例。將範例政策套用到 S3 儲存貯體或 SNS 主題之前,請先根據您的資訊來更新範例政策。

問:活動日誌檔可以存放多長時間?
您可以控制 CloudTrail 日誌檔的保留政策。預設情況下可以無限期儲存這些日誌檔。您可以使用 Amazon S3 物件生命週期管理規則來定義自己的保留政策。例如,您可能想要刪除舊日誌檔,或將這些檔案存檔到 Amazon Glacier。


問:事件包含哪些資訊?
事件包含相關活動的資訊:提出請求的人員、使用的服務、執行的動作和動作參數,以及 AWS 服務傳回的回應元素。有關更多詳細資訊,請參閱使用者指南中的 CloudTrail Event Reference 部分。

問:CloudTrail 交付一個 API 呼叫的事件需要多長時間?
CloudTrail 通常會在 API 呼叫後的 15 分鐘內傳送事件。

問:CloudTrail 傳送日誌檔到 Amazon S3 儲存貯體的頻率為何?
CloudTrail 大約每隔 5 分鐘會傳送日誌檔到您的 S3 儲存貯體。如果您的帳戶沒有進行 API 呼叫,則 CloudTrail 不會傳送日誌檔。

問:當傳送新的日誌檔到 Amazon S3 儲存貯體時,是否會通知我?
是。您可以啟用 Amazon SNS 通知,以便在傳送新日誌檔時立即採取行動。

問:如果我的帳戶已啟用 CloudTrail,但我的 Amazon S3 儲存貯體未設定正確的政策,這會出現什麼情況?
CloudTrail 會根據既有的 S3 儲存貯體政策來傳送日誌檔。如果儲存貯體政策的設定錯誤,CloudTrail 將無法無法傳送日誌檔。


問:什麼是資料事件?
資料事件針對在資源上或資源本身內部執行的資源 (「資料平面」) 操作提供洞見。資料事件通常是高流量活動,且包含 Amazon S3 物件層級 API 和 Lambda 函數叫用 API 等操作。設定追蹤時,預設會停用資料事件。若要記錄 CloudTrail 資料事件,您必須明確新增支援的資源或想要收集其活動的資源類型。資料事件與管理事件不同,它會產生額外的費用。如需詳細資訊,請參閱 CloudTrail 定價

問:可以如何使用資料事件?
AWS CloudTrail 所記錄的資料事件會交付至 S3,和管理事件類似。啟用之後,您也可以在 Amazon CloudWatch Events 使用這些事件。

問:什麼是 Amazon S3 資料事件?如何記錄這些事件?
Amazon S3 資料事件代表 Amazon S3 物件上的 API 活動。若要讓 CloudTrail 記錄這些動作,您要在建立新追蹤或修改現有追蹤時於資料事件部分指定 S3 儲存貯體。CloudTrail 就會記錄指定的 S3 儲存貯體內物件的所有 API 動作。

問:什麼是 AWS Lambda 資料事件?如何記錄這些事件?
AWS Lambda 資料事件會記錄 Lambda 函數的執行活動。使用 Lambda 資料事件可取得 Lambda 函數執行的詳細資訊,例如,叫用 API 呼叫的 IAM 使用者或服務、進行呼叫的時間以及執行了哪些函數。所有 Lambda 資料事件會交付到 Amazon S3 儲存貯體和 Amazon CloudWatch Events。使用 AWS CLI 或 AWS CloudTrail 主控台可開啟 AWS Lambda 資料事件的記錄功能,建立新追蹤或編輯現有追蹤則可選擇要記錄的 Lambda 函數。


問:我有多個 AWS 帳戶。但我想要將所有帳戶的日誌檔都傳送到單一 S3 儲存貯體。我是否可以這樣做?
是。您可以設定一個 S3 儲存貯體作為多個帳戶的目標儲存貯體。有關詳細指示,請參閱 AWS CloudTrail User Guide 中的 Aggregating Log Files to a Single Amazon S3 Bucket 部分


問:什麼是 CloudTrail 與 CloudWatch Logs 整合?
CloudTrail 與 CloudWatch Logs 整合可將 CloudTrail 擷取的管理和資料事件傳送到您指定的 CloudWatch Logs 日誌群組中的 CloudWatch Logs 日誌串流。

問:CloudTrail 與 CloudWatch Logs 整合有哪些優點?
這樣的整合可讓您接收 CloudTrail 所擷取的帳戶活動的 SNS 通知。例如,您可以建立 CloudWatch 警示來監控建立、修改及刪除安全群組和網路 ACL 的 API 呼叫。

問:如何啟用 CloudTrail 與 CloudWatch Logs 的整合?
您可以透過指定 CloudWatch Logs 日誌群組和與IAM 角色,從 CloudTrail 主控台啟用 CloudTrail 與 CloudWatch Logs 的整合。您也可以使用 AWS 開發套件或 AWS CLI 來啟用此整合。

問:啟用 CloudTrail 與 CloudWatch Logs 的整合時會發生什麼事?
啟用該整合後,CloudTrail 會持續傳送帳戶活動到指定的 CloudWatch Logs 日誌群組中的 CloudWatch Logs 日誌串流。CloudTrail 也會像以前一樣繼續傳送日誌到 Amazon S3 儲存貯體。

問:哪些 AWS 區域支援 CloudTrail 與 CloudWatch Logs 的整合?
支援 CloudWatch Logs 的區域均支援這類整合。如需詳細資訊,請參閱 Amazon Web Services General Reference 中的 Regions and Endpoints

問:CloudTrail 如何將包含帳戶活動的事件傳送至 CloudWatch Logs?
CloudTrail 會採用您指定的 IAM 角色,將帳戶活動傳送到 CloudWatch Logs。您可以對 IAM 角色加以限制,僅提供將事件傳送到 CloudWatch Logs 日誌串流的必要權限。要查看 IAM 角色政策,請參閱 CloudTrail 文件的使用者指南

問:開始將 CloudTrail 與 CloudWatch Logs 整合之後會產生哪些費用?
當您啟用 CloudTrail 與 CloudWatch Logs 的整合之後,會產生 CloudWatch Logs 和 CloudWatch 的標準費用。有關詳細資訊,請瀏覽 CloudWatch 定價頁面。


問:透過 KMS 使用伺服器端加密的 CloudTrail 日誌檔加密有哪些優點?
使用 SSE-KMS 的 CloudTrail 日誌檔加密讓您能透過 KMS 金鑰來加密日誌檔,對傳送至 Amazon S3 儲存貯體的 CloudTrail 日誌檔提供多一層的安全保護。在預設情況下,CloudTrail 會使用 Amazon S3 伺服器端加密來加密傳送至 Amazon S3 儲存貯體的日誌檔。

問:我有一個可導入和處理 CloudTrail 日誌檔的應用程式。是否需要對應用程式進行任何變更?
使用 SSE-KMS 時,Amazon S3 會自動加密日誌檔,因此您無須對應用程式進行任何變更。如往常一樣,您只需確定應用程式具有適當的許可,也就是 Amazon S3 GetObject 和 KMS Decrypt 許可。

問:如何設定 CloudTrail 日誌檔加密?
您可以使用 AWS 管理主控台,或是 AWS CLI 或 AWS 開發套件來設定日誌檔加密。有關詳細指示,請參閱文件

問:使用 SSE-KMS 設定加密需支付哪些費用?
使用 SSE-KMS 設定加密之後,您將需要支付標準 AWS KMS 費用。有關詳細資訊,請瀏覽 AWS KMS 定價頁面。


問:什麼是 CloudTrail 日誌檔完整性驗證?
CloudTrail 日誌檔完整性驗證功能可讓您判斷 CloudTrail 將日誌檔傳送至指定的 Amazon S3 儲存貯體之後,CloudTrail 日誌檔是否維持不變、已刪除或已修改。

問:CloudTrail 日誌檔完整性驗證有哪些優點?
您可以將日誌檔完整性驗證做為 IT 安全和稽核程序的協助工具。

問:如何啟用 CloudTrail 日誌檔完整性驗證?
您可以從 AWS 管理主控台、AWS CLI 或 AWS 開發套件啟用 CloudTrail 日誌檔完整性驗證功能。

問:開啟日誌檔完整性驗證功能之後,會出現什麼情況?
開啟日誌檔完整性驗證功能之後,CloudTrail 將每小時傳送摘要檔。摘要檔包含以下相關資訊:傳送至 Amazon S3 儲存貯體的日誌檔、這些日誌檔的雜湊值、先前摘要檔的數位簽章,以及 Amazon S3 中繼資料部分中目前摘要檔的數位簽章。如需摘要檔、數位簽章和雜湊值的詳細資訊,請參閱 CloudTrail 文件

問:摘要檔會傳送到何處?
摘要檔和日誌檔會傳送到相同的 Amazon S3 儲存貯體,但傳送到不同的資料夾,因此您可以強制執行精細存取控制政策。如需詳細資訊,請參閱 CloudTrail 文件的摘要檔結構部分。

問:如何驗證 CloudTrail 交付的日誌檔或摘要檔完整性?
您可以使用 AWS CLI 驗證日誌檔或摘要檔的完整性,也可以建置自己的工具來執行驗證。有關使用 AWS CLI 驗證日誌檔完整性的詳細資訊,請參閱 CloudTrail 文件

問:我將所有區域和多個帳戶的日誌檔彙總至單一 Amazon S3 儲存貯體,摘要檔是否會傳送到同一個 Amazon S3 儲存貯體?
是。CloudTrail 會將所有區域和多個帳戶的摘要檔傳送到同一個 Amazon S3 儲存貯體。


問:什麼是 AWS CloudTrail 處理程式庫?
AWS CloudTrail 處理程式庫是一個 Java 程式庫,可以協助您更輕鬆地建構用來讀取和處理 CloudTrail 日誌檔的應用程式。您可以從 GitHub 下載 CloudTrail 處理程式庫。

問:CloudTrail 處理程式庫提供何種功能?
CloudTrail 處理程式庫提供處理以下任務的功能,例如持續輪詢 SQS 佇列、讀取和剖析 SQS 訊息、下載 S3 中儲存的日誌檔、以容錯方式剖析和序列化日誌檔中的事件。如需詳細資訊,請參閱 CloudTrail 文件的使用者指南部分

問:我需要何種軟體來開始使用 CloudTrail 處理程式庫?
您需要 aws-java-sdk 版本 1.9.3 和 Java 1.7 或更高版本。


問:AWS CloudTrail 如何收費?
AWS CloudTrail 可讓您免費檢視與下載過去 7 天的帳戶活動,這些活動包含受支援服務的建立、修改及刪除操作。

建立 CloudTrail 追蹤不會產生任何 AWS CloudTrail 費用,而且會將每個區域中的第一個管理事件副本免費傳送到追蹤中指定的 S3 儲存貯體。設定 CloudTrail 追蹤之後,會根據用量收取 Amazon S3 費用。該區域中所記錄的任何資料事件或額外的管理事件副本,則依公布的定價計劃收費。例如,如果您在相同區域內建立多區域追蹤和單區域追蹤,將會按照該區域中記錄的管理事件副本向您收費。

問:如果管理事件只有一個追蹤,且套用到所有區域,是否需要付費?
否。每個區域中管理事件的第一個副本都是免費傳送。

問:如果我在免費管理事件的現有追蹤上啟用資料事件,是否需要付費?
是。您只需支付資料事件的費用。管理事件的第一個副本是免費傳送的。


問:AWS 合作夥伴解決方案如何協助我分析 CloudTrail 記錄的事件?
有多個合作夥伴提供整合式解決方案來分析 CloudTrail 日誌檔。這些解決方案包括變更追蹤、故障診斷和安全分析等功能。如需詳細資訊,請參閱 CloudTrail 合作夥伴部分。


問:啟用 CloudTrail 是否會影響我的 AWS 資源效能或增加 API 呼叫的延遲?
否。啟用 CloudTrail 不會影響 AWS 資源的效能,也不會增加 API 呼叫的延遲。