一般

問:什麼是 AWS CloudTrail?

AWS CloudTrail 可透過追蹤使用者活動和 API 用量,進行稽核、安全監控和操作疑難排解。CloudTrail 會記錄、持續監控並保留 AWS 基礎設施中與動作相關的帳戶活動,讓您控制儲存、分析和修復動作。

問:CloudTrail 有哪些優點?

CloudTrail 可協助您證明合規、改善安全狀態並跨區域和帳戶整合活動記錄。CloudTrail 藉由記錄帳戶上的動作,讓您清楚掌握使用者的活動情形。CloudTrail 可記錄每個動作的重要資訊,包括提出請求的人員、使用的服務、執行的動作、動作參數,以及 AWS 服務傳回的回應元素。此資訊可協助您追蹤 AWS 資源的變更情況以及排除操作問題。CloudTrail 更輕鬆地確保符合內部政策和法規標準。如需詳細資訊,請參閱 AWS 合規白皮書「大規模安全:登入 AWS」。

問:哪些人應該使用 CloudTrail?

如果需要稽核活動、監控安全或排除操作問題,您應使用 CloudTrail。

入門

問:如果我是新 AWS 客戶或尚未設定 CloudTrail 的現有 AWS 客戶,是否需要進行任何啟用或設定才能檢視帳戶活動?

否,無須額外操作便可開始檢視您的帳戶活動。您可以瀏覽 AWS CloudTrail 主控台或 AWS CLI,開始檢視最多過去 90 天的帳戶活動。

問:CloudTrail 事件歷史記錄是否會顯示帳戶內的所有帳戶活動?

AWS CloudTrail 只會顯示過去 90 天您在目前檢視區域的 CloudTrail 事件歷史記錄結果,並支援一系列 AWS 服務。這些事件僅限建立、修改及刪除 API 呼叫和帳戶活動的管理事件。如需帳戶活動的完整記錄,包括所有管理事件、資料事件及唯讀活動,您必須設定 CloudTrail 追蹤。

問:檢視帳戶活動時可使用哪些搜尋篩選條件?

您可以指定時間範圍和下列其中一項屬性:事件名稱、使用者名稱、資源名稱、事件來源、事件 ID 以及資源類型。

問:即使沒有設定追蹤,是否也可以使用查詢事件 CLI 命令?

是,您可以瀏覽 CloudTrail 主控台或使用 CloudTrail API/CLI 開始檢視過去 90 天的帳戶活動。

問:在建立追蹤之後可使用哪些額外的 CloudTrail 功能?

設定 CloudTrail 追蹤,以將 CloudTrail 事件傳送到 Amazon S3、Amazon CloudWatch Logs 及 Amazon CloudWatch Events。這可讓您利用這些功能來協助您封存、分析及回應 AWS 資源中的變更。

問:我是否可以限制使用者存取權來阻止檢視 CloudTrail 事件歷史記錄?

是,CloudTrail 與 AWS Identity and Access Management (IAM) 整合,可讓您控制對 CloudTrail 和其他 CloudTrail 所需之 AWS 資源的存取,包括限制檢視和搜尋帳戶活動的許可。 從使用者 IAM 政策移除 "cloudtrail:LookupEvents",以阻止該 IAM 使用者檢視帳戶活動。

問:建立帳戶時啟用 CloudTrail 事件歷史記錄是否會產生任何相關費用?

使用 CloudTrail 事件歷史記錄檢視或搜尋帳戶活動無須任何費用。

問:是否可以關閉帳戶的 CloudTrail 事件歷史記錄?

對於建立的任何 CloudTrail 追蹤,您都可以停止記錄或刪除這些追蹤。這也將停止將帳戶活動傳送到您指定為追蹤組態的一部分的 S3 儲存貯體,以及傳送到 CloudWatch Logs (如果已設定)。系統仍會收集過去 90 天的帳戶活動,您可以在 CloudTrail 主控台以及透過 AWS 命令列界面 (CLI) 查看這些記錄。

服務與區域支援

問:CloudTrail 支援哪些服務?

AWS CloudTrail 可記錄來自大多數 AWS 服務的帳戶活動和服務事件。如需支援的服務清單,請參閱 CloudTrail User Guide 中的 CloudTrail Supported Services

問:是否記錄來自 AWS 管理主控台的 API 呼叫?

是。CloudTrail 記錄來自任何用戶端的 API 呼叫。 AWS 管理主控台、AWS 軟體開發套件 (SDK)、命令列工具以及更高層級的 AWS 服務稱為 AWS API,因此會記錄這些呼叫。

問:我的日誌檔在傳送到 Amazon S3 儲存貯體之前會在哪裡進行儲存和處理?

含區域端點的服務 (EC2、RDS 等) 的活動資訊會在進行動作的同一區域擷取和處理,再傳送到與 Amazon S3 儲存貯體關聯的區域。含單一端點的服務 (如 IAM 和 AWS Security Token Service (STS)) 的活動資訊則在端點所在的區域擷取,而在設定 CloudTrail 追蹤的區域處理,再傳送到與 Amazon S3 儲存貯體關聯的區域。

將追蹤套用到所有區域

問:將追蹤套用到所有區域代表什麼意義?

將追蹤套用到所有 AWS 區域表示建立一個追蹤以記錄存放資料的所有區域中的 AWS 帳戶活動。此設定值也會套用到任何新增的區域。如需有關區域和分區的詳細資訊,請參閱 Amazon Resource Names and AWS Service Namespaces 頁面

問:將追蹤套用到所有區域有哪些好處?

只需呼叫一個 API 或按幾下按鍵,就能在分區中建立和管理跨所有區域的一個追蹤。您會收到傳送到一個 Amazon S3 儲存貯體或 CloudWatch 日誌群組的記錄,其中包含 AWS 帳戶在所有區域進行的帳戶活動。當 AWS 啟動一個新的區域時,您無須採取任何動作,即可收到包含新區域事件歷史記錄的日誌檔。

問:如何將追蹤套用到所有區域?

在 CloudTrail 主控台中,於追蹤組態頁面選取 yes 以套用到所有區域。如果使用 SDK 或 AWS CLI,將 IsMultiRegionTrail 設定為 true。

問:將追蹤套用到所有區域後會發生什麼情況?

將追蹤套用在所有區域後,CloudTrail 會透過複製追蹤組態來建立新的追蹤。CloudTrail 會記錄和處理每個區域中的日誌檔,並將包含跨所有 AWS 區域之帳戶活動的日誌檔,傳送到單一 Amazon S3 儲存貯體和單一 CloudWatch Logs 日誌群組。如果您已指定選用 Amazon Simple Notification Service (SNS) 主題,CloudTrail 會針對傳送到單個 SNS 主題的所有日誌檔,傳送 SNS 通知。

問:是否可以將現有的追蹤套用到所有區域?

是。您可以將現有的追蹤套用到所有區域。當您將現有追蹤套用到所有區域時,CloudTrail 會在所有區域為您建立新的追蹤。如果您之前在其他區域建立了追蹤,可以從 CloudTrail 主控台檢視、編輯和刪除那些追蹤。

問:CloudTrail 將追蹤組態複製到所有區域需要多長時間?

一般來說,複製追蹤組態到所有區域的時間少於 30 秒。

多個追蹤

問:一個 AWS 區域中可以建立多少個追蹤?

一個 AWS 區域中最多可以建立五個追蹤。套用至所有區域的追蹤存在於每個區域,它在每個區域中視為一個追蹤。

問:在 AWS 區域中建立多個追蹤有哪些好處?

使用多個追蹤,不同的利害關係人 (如安全管理員、軟體開發人員和 IT 稽核員) 可以建立並管理自己的追蹤。例如,安全管理員可以建立套用到所有區域的追蹤並使用一個 Amazon Key Management Service (KMS) 金鑰來設定加密。開發人員可以建立套用於一個區域的追蹤,針對運作問題進行疑難排解。

問:CloudTrail 是否支援資源層級許可?

是。使用資源層級許可,您可以編寫精細的存取控制政策,允許或拒絕特定使用者存取特定追蹤。如需詳細資訊,請移至 CloudTrail 文件

安全與過期

問:我如何保護 CloudTrail 日誌檔的安全?

依預設,會使用 Amazon S3 伺服器端加密 (SSE) 來加密 CloudTrail 日誌檔並置於 S3 儲存貯體中。您可以透過套用 IAM 或 S3 儲存貯體政策來控制對日誌檔的存取。您可以透過在 S3 儲存貯體上啟用 S3 多重要素驗證 (MFA) 刪除來提供多一層的安全保護。如需有關建立和更新追蹤的詳細資料,請參閱 CloudTrail 文件

問:哪裡可以下載 S3 儲存貯體政策與 SNS 主題政策的範例?

您可以從 CloudTrail S3 儲存貯體下載 S3 儲存貯體政策SNS 主題政策的範例。您需要先使用您的資訊更新範例政策,然後再將其套用至 S3 儲存貯體或 SNS 主題。

問:活動日誌檔可以存放多長時間?

您控制 CloudTrail 日誌檔的保留政策。依預設,日誌檔會無限期存放。您可以使用 Amazon S3 物件生命週期管理規則來定義自己的保留政策。例如,您可能想要刪除舊日誌檔,或將這些檔案封存到 Amazon Glacier。

事件承載、適時性和傳送頻率

問:事件包含哪些資訊?

事件包含相關活動的資訊:提出請求的人員、使用的服務、執行的動作和動作參數,以及 AWS 服務傳回的回應元素。如需詳細資訊,請參閱使用者指南中的 CloudTrail Event Reference 部分。

問:CloudTrail 交付一個 API 呼叫的事件需要多長時間?

CloudTrail 通常會在 API 呼叫後的 15 分鐘內傳送事件。

問:CloudTrail 傳送日誌檔到 Amazon S3 儲存貯體的頻率為何?

CloudTrail d大約每五分鐘向您的 Amazon S3 儲存貯體傳送日誌檔。如果您的帳戶沒有進行 API 呼叫,則 CloudTrail 不會傳送日誌檔。

問:當傳送新的日誌檔到 Amazon S3 儲存貯體時,是否會通知我?

是。您可以開啟 Amazon SNS 通知,以在傳送新日誌檔時立即採取動作。

問:如果我的帳戶已啟用 CloudTrail,但我的 Amazon S3 儲存貯體未設定正確的政策,這會出現什麼情況?

CloudTrail 會根據既有的 S3 儲存貯體政策來傳送日誌檔。如果儲存貯體政策的設定錯誤,CloudTrail 將無法無法傳送日誌檔。

資料事件

問:什麼是資料事件?

資料事件針對在資源上或資源本身內部執行的資源 (「資料平面」) 操作提供洞見。資料事件通常是高流量活動,且包含 Amazon S3 物件層級 API 和 Lambda 函數叫用 API 等操作。設定追蹤時,預設會停用資料事件。若要記錄 CloudTrail 資料事件,您必須明確新增支援的資源或想要收集其活動的資源類型。資料事件與管理事件不同,它會產生額外的費用。如需詳細資訊,請參閱 CloudTrail 定價

問:可以如何使用資料事件?

AWS CloudTrail 所記錄的資料事件會傳送到 Amazon S3,與管理事件類似。啟用之後,您也可以在 Amazon CloudWatch Events 使用這些事件。

問:什麼是 Amazon S3 資料事件? 如何記錄這些事件?

Amazon S3 資料事件代表 Amazon S3 物件上的 API 活動。若要讓 CloudTrail 記錄這些動作,您要在建立新追蹤或修改現有追蹤時於資料事件部分指定 S3 儲存貯體。CloudTrail 就會記錄指定的 S3 儲存貯體內物件的所有 API 動作。

問:什麼是 AWS Lambda 資料事件? 如何記錄這些事件?

AWS Lambda 資料事件會記錄 Lambda 函數的執行活動。使用 Lambda 資料事件可取得 Lambda 函數執行的詳細資訊,例如,叫用 API 呼叫的 IAM 使用者或服務、進行呼叫的時間以及執行了哪些函數。所有 Lambda 資料事件會交付到 Amazon S3 儲存貯體和 Amazon CloudWatch Events。使用 AWS CLI 或 AWS CloudTrail 主控台可開啟 AWS Lambda 資料事件的記錄功能,建立新追蹤或編輯現有追蹤則可選擇要記錄的 Lambda 函數。

CloudTrail Insights

問:什麼是 CloudTrail Insights 事件?

AWS CloudTrail Insights 事件有助客戶識別 AWS 帳戶內不尋常的活動,例如資源佈建尖峰、AWS Identity and Access Management (IAM) 動作暴增或定期維護活動差距。CloudTrail Insights 針對異常活動使用持續監控 CloudTrail 寫入管理事件的的機器學習 (ML) 模型。

偵測到異常活動時,CloudTrail Insights 事件會在主控台中顯示,並傳送到 Amazon CloudWatch Events、您的 Amazon S3 儲存貯體,及選擇性傳送到 Amazon CloudWatch Logs 群組。這可讓您輕鬆建立提醒,並與現有的事件管理和工作流程系統整合。

問:AWS CloudTrail Insights 有助識別哪種活動類型?

CloudTrail Insights 透過分析 AWS 帳戶及區域內的 CloudTrail 寫入管理事件,偵測不尋常活動。不尋常或異常活動的定義是 AWS API 叫用量偏離根據先前確立的操作模型或基準預期的值。CloudTrail Insights 會考量您 API 叫用中的帳戶時間趨勢,並將調整基準套用為工作負載變化,根據您的正常操作型態變化加以調整。

CloudTrail Insights 有助您偵測行為異常的指令碼或應用程式。開發人員變更開始重複迴圈或進行大量叫用意外資源(例如資料庫、資料存放區或其他函數)的指令碼或應用程式不足為奇。在月底計費週期發現成本意料外激增,或者實際發生中斷故障或中斷之前,通常不會注意到這些異常行為。CloudTrail Insights 事件可讓您察覺 AWS 帳戶中的這些變化,盡快加以改正。

問:CloudTrail Insights 與使用異常偵測的其他 AWS 服務如何彼此合作?

CloudTrail Insights 有助您識別 AWS 帳戶中不尋常的操作活動,讓您得以處理操作問題,盡量降低對營運和業務的影響。Amazon GuardDuty 著重於改善您的帳戶安全性,透過監控帳戶活動提供威脅偵測。Amazon Macie 的設計透過發現、分類和保護敏感資料,改善您帳戶的資料保護。這些服務針對您帳戶中可能衍生的不同問題類型,提供補強保護。

問:我是否需要設定 AWS CloudTrail,CloudTrail Insights 才能運作?

是。CloudTrail Insights 事件採用個別追蹤配置,因此您必須設定至少一個追蹤。您開啟 CloudTrail Insights 事件進行追蹤時,CloudTrail 會開始監控該追蹤擷取的寫入管理事件中不尋常的型態。如果 CloudTrail Insights 偵測到不尋常活動,CloudTrail Insights 事件會記錄在追蹤定義中指定的交付目的地。

問:CloudTrail Insights 監控哪些事件類型?

CloudTrail Insights 會追蹤寫入管理 API 的異常活動。

問:如何開始使用?

您可以使用主控台、CLI 或軟體開發套件,在您的帳戶中針對個別追蹤啟用 CloudTrail Insights 事件。也可以使用 AWS Organizations 主帳戶中設定的組織追蹤,針對全組織啟用 CloudTrail Insights 事件。您可以選擇追蹤定義中的選項按鈕,開啟 CloudTrail Insights 事件。

CloudTrail Lake

問:為什麼要使用 AWS CloudTrail Lake?

CloudTrail Lake 讓您能夠透過查詢 CloudTrail 記錄的所有操作來檢查事件。它可協助消除操作相依性來簡化事件日誌記錄,並提供各種工具來協助減少對跨團隊複雜資料處理管道的依賴。CloudTrail Lake 不需要您將 CloudTrail 日誌移動和擷取至其他位置,這有助於保持資料保真度,以及消除調節日誌的低速率限制。它還提供近乎即時的延遲,因為它經過最佳化可處理大量結構化日誌,使其可用於事件調查。此外,CloudTrail Lake 透過 SQL 提供熟悉的多屬性查詢體驗,並能夠排程和處理多個並行查詢。

問:此功能如何與其他 AWS 服務關聯及搭配使用?

AWS CloudTrail 是 AWS 服務中使用者活動和 API 用量的規範日誌來源。一旦日誌在 CloudTrail 中可用,您就可以充分利用 CloudTrail Lake 來檢查所有 AWS 服務的活動。您可以查詢並分析使用者活動和受影響的資源,然後使用這些資料來解決識別不良行為者和基線許可等問題。

問:如果我之前使用過追蹤,是否可以將現有 CloudTrail 日誌帶到我現有的或新的 CloudTrail Lake 事件資料存放區?

是。CloudTrail Lake 匯入功能支援從存放多個帳戶 (來自組織追蹤) 和多個 AWS 區域中日誌的 Amazon S3 儲存貯體複製 CloudTrail 日誌。您還可以從個別帳戶和單區域追蹤中匯入日誌。匯入功能還可讓您指定匯入日期範圍,以便您僅導入在 Lake 中長期儲存和分析所需的日誌子集。合併日誌後,您可以對日誌執行查詢,從啟用 Lake 後收集的最新事件,到從您的追蹤中帶來的歷史事件。

問:此匯入功能是否會影響 Amazon S3 中的原始追蹤?

匯入功能將日誌資訊從 Amazon S3 複製到 CloudTrail Lake,並將原始副本保留在 Amazon S3 中。

問:啟用 CloudTrail Lake 功能後,我可以查詢哪些 CloudTrail 事件?

您可以針對 CloudTrail 收集的任何事件類別啟用 CloudTrail Lake,具體取決於您的內部疑難排解需求。事件類別包含擷取控制平面活動 (如 CreateBucket 和 TerminateInstances) 的管理事件,以及擷取資料平面活動 (如 GetObject 和 PutObject) 的資料事件。您不需要為任何這些事件單獨訂閱試用版。您可以選擇長達 7 年的事件保留期,並且可以隨時查詢該資料。

問:啟用 CloudTrail Lake 功能後,我需要等待多長時間才能開始編寫查詢?

您幾乎可以立即開始查詢啟用該功能後發生的活動。

問:我是否可以使用 CloudTrail Lake 解決哪些常見的安全和營運使用案例?

常見使用案例包括調查安全事件,如未經授權的存取或洩露的使用者憑證,以及透過執行稽核定期確定使用者許可的基線來增強您的安全狀態。您可以執行臨時稽核以確認正確的使用者組正在對您的資源 (例如安全群組) 做出變更,並追蹤任何不符合您組織最佳實務的變更。此外,您可以追蹤對您的資源採取的動作並評估修改或刪除,以及深入了解您的 AWS 服務帳單,包括訂閱服務的 IAM 使用者。

問:如何開始使用?

所有現有和新的 AWS CloudTrail 客戶都可以透過 API 或 CloudTrail 主控台啟用該功能,立即開始使用 CloudTrail Lake 功能來執行查詢。選取 CloudTrail 主控台左側面板上的 Lake 索引標籤,然後按一下建立事件資料存放按鈕,以選擇事件保留期 (最長 7 年),並從 CloudTrail 記錄的所有事件類別 (管理和資料事件) 中選擇事件以開始使用。

此外,您可以使用範例查詢開始為常見案例編寫查詢,例如識別 AssumeRole 的授權失敗記錄,或者建立您自己的查詢來開始搜尋。

日誌檔彙總

問:我有多個 AWS 帳戶。但我想要將所有帳戶的日誌檔都傳送到單一 S3 儲存貯體。我是否可以這樣做?

是。您可以針對多個帳戶將一個 Amazon S3 儲存貯體設定為目的地。如需詳細說明,請參閱 AWS CloudTrail User Guide 中的 Aggregating Log Files to a Single Amazon S3 Bucket 部分

與 CloudWatch Logs 整合

問:什麼是 CloudTrail 與 CloudWatch Logs 整合?

CloudTrail 與 CloudWatch Logs 整合可將 CloudTrail 擷取的管理和資料事件傳送到您指定的 CloudWatch Logs 日誌群組中的 CloudWatch Logs 日誌串流。

問:CloudTrail 與 CloudWatch Logs 整合有哪些優點?

這樣的整合可讓您接收 CloudTrail 所擷取的帳戶活動的 Amazon SNS 通知。例如,您可以建立 CloudWatch 警示來監控建立、修改及刪除安全群組和網路存取控制清單 (ACL) 的 API 呼叫。

問:如何啟用 CloudTrail 與 CloudWatch Logs 的整合?

您可以透過指定 CloudWatch Logs 日誌群組和 IAM 角色,來從 CloudTrail 主控台開啟 CloudTrail 與 CloudWatch Logs 的整合。您可以使用 AWS SDK 或 AWS CLI 來開啟此整合。

問:啟用 CloudTrail 與 CloudWatch Logs 的整合時會發生什麼事?

啟用該整合後,CloudTrail 會持續傳送帳戶活動到指定的 CloudWatch Logs 日誌群組中的 CloudWatch Logs 日誌串流。CloudTrail 也會像以前一樣繼續傳送日誌到 Amazon S3 儲存貯體。

問:哪些 AWS 區域支援 CloudTrail 與 CloudWatch Logs 的整合?

支援 CloudWatch Logs 的區域均支援這類整合。如需詳細資訊,請參閱 Amazon Web Services General Reference 中的 Regions and Endpoints

問:CloudTrail 如何將包含帳戶活動的事件傳送至 CloudWatch Logs?

CloudTrail 會採用您指定的 IAM 角色,將帳戶活動傳送到 CloudWatch Logs。您可以限制 IAM 角色僅具有向 CloudWatch Logs 日誌串流提供事件所需的權限。若要檢閱 IAM 角色政策,請參閱 CloudTrail 文件的使用者指南

問:開始將 CloudTrail 與 CloudWatch Logs 整合之後會產生哪些費用?

開啟 CloudTrail 與 CloudWatch Logs 的整合後,您即產生標準 CloudWatch Logs 和 CloudWatch 費用。如需詳細資訊,請瀏覽 CloudWatch 定價頁面。

使用 AWS Key Management Service (KMS) 的 CloudTrail 日誌檔加密

問:透過 KMS 使用伺服器端加密的 CloudTrail 日誌檔加密有哪些優點?

使用 SSE-KMS 的 CloudTrail 日誌檔加密讓您能透過 KMS 金鑰來加密日誌檔,對傳送至 Amazon S3 儲存貯體的 CloudTrail 日誌檔提供多一層的安全保護。在預設情況下,CloudTrail 會使用 Amazon S3 伺服器端加密來加密傳送至 Amazon S3 儲存貯體的日誌檔。

問:我有一個可擷取和處理 CloudTrail 日誌檔的應用程式。是否需要對應用程式進行任何變更?

使用 SSE-KMS 時,Amazon S3 會自動加密日誌檔,因此您無須對應用程式進行任何變更。如往常一樣,您只需確定應用程式具有適當的許可,也就是 Amazon S3 GetObject 和 KMS Decrypt 許可。

問:如何設定 CloudTrail 日誌檔加密?

您可以使用 AWS 管理主控台,或是 AWS CLI 或 AWS 開發套件來設定日誌檔加密。如需詳細說明,請參閱文件

問:使用 SSE-KMS 設定加密需支付哪些費用?

使用 SSE-KMS 設定加密之後,您將需要支付標準 AWS KMS 費用。如需詳細資訊,請瀏覽 AWS KMS 定價頁面。

CloudTrail 日誌檔完整性驗證

問:什麼是 CloudTrail 日誌檔完整性驗證?

CloudTrail 日誌檔完整性驗證功能可讓您判斷 CloudTrail 將日誌檔傳送至指定的 Amazon S3 儲存貯體之後,CloudTrail 日誌檔是否維持不變、已刪除或已修改。

問:CloudTrail 日誌檔完整性驗證有哪些優點?

您可以將日誌檔完整性驗證做為 IT 安全和稽核程序的協助工具。

問:如何啟用 CloudTrail 日誌檔完整性驗證?

您可以從 AWS 管理主控台、AWS CLI 或 AWS 開發套件啟用 CloudTrail 日誌檔完整性驗證功能。

問:開啟日誌檔完整性驗證功能之後,會出現什麼情況?

開啟日誌檔完整性驗證功能之後,CloudTrail 將每小時傳送摘要檔。摘要檔包含以下相關資訊:傳送至 Amazon S3 儲存貯體的日誌檔、這些日誌檔的雜湊值、先前摘要檔的數位簽章,以及 Amazon S3 中繼資料部分中目前摘要檔的數位簽章。如需摘要檔、數位簽章和雜湊值的詳細資訊,請參閱 CloudTrail 文件

問:摘要檔會傳送到何處?

摘要檔和日誌檔會傳送到相同的 Amazon S3 儲存貯體,但傳送到不同的資料夾,因此您可以強制執行精細存取控制政策。如需詳細資訊,請參閱 CloudTrail 文件的摘要檔結構部分。

問:如何驗證 CloudTrail 交付的日誌檔或摘要檔完整性?

您可以使用 AWS CLI 驗證日誌檔或摘要檔的完整性,也可以建置自己的工具來執行驗證。如需使用 AWS CLI 驗證日誌檔完整性的詳細資訊,請參閱 CloudTrail 文件

問:我將所有區域和多個帳戶的日誌檔彙總至單一 Amazon S3 儲存貯體,摘要檔是否會傳送到同一個 Amazon S3 儲存貯體?

是。CloudTrail 會將所有區域和多個帳戶的摘要檔傳送到同一個 Amazon S3 儲存貯體。

AWS CloudTrail 處理程式庫

問:什麼是 AWS CloudTrail 處理程式庫?

AWS CloudTrail 處理程式庫是一個 Java 程式庫,可以協助您更輕鬆地建構用來讀取和處理 CloudTrail 日誌檔的應用程式。您可以從 GitHub 下載 CloudTrail 處理程式庫。

問:CloudTrail 處理程式庫提供何種功能?

CloudTrail 處理程式庫提供處理以下任務的功能,例如持續輪詢 SQS 佇列、讀取和剖析 Amazon Simple Queue Service (SQS) 訊息、下載 Amazon S3 中存放的日誌檔、以容錯方式剖析和序列化日誌檔事件。如需詳細資訊,請參閱 CloudTrail 文件的使用者指南部分

問:我需要何種軟體來開始使用 CloudTrail 處理程式庫?

您需要 aws-java-sdk 版本 1.9.3 和 Java 1.7 或更高版本。

定價

問:AWS CloudTrail 如何收費?

AWS CloudTrail 可讓您免費檢視、搜尋並下載過去 90 天的帳戶管理事件。您可以透過建立追蹤,免費將進行中的管理事件傳送到 Amazon S3。設定 CloudTrail 追蹤之後,會根據用量收取 Amazon S3 費用。

您可以使用追蹤傳送額外的事件副本,包括資料事件。您需支付資料事件或額外管理事件副本的費用。若要進一步了解,請參閱我們的定價頁面

問:如果管理事件只有一個追蹤,且套用到所有區域,是否需要付費?

否。每個區域中管理事件的第一個副本都是免費傳送。

問:如果我在免費管理事件的現有追蹤上啟用資料事件,是否需要付費?

是。您只需支付資料事件的費用。管理事件的第一個副本是免費傳送的。

合作夥伴

問:AWS 合作夥伴解決方案如何協助我分析 CloudTrail 記錄的事件?

多個合作夥伴可提供整合的解決方案來分析 CloudTrail 日誌檔。這些解決方案包括變更追蹤、故障診斷和安全分析等功能。如需詳細資訊,請參閱 CloudTrail 合作夥伴部分。

其他

問:啟用 CloudTrail 是否會影響我的 AWS 資源效能或增加 API 呼叫的延遲?

否。開啟 CloudTrail 對 AWS 資源的效能或 API 呼叫的延遲沒有影響。

進一步了解 AWS CloudTrail 合作夥伴

瀏覽合作夥伴頁面
準備好開始建立?
開始使用 AWS CloudTrail
還有其他問題嗎?
聯絡我們