AWS CloudTrail 可進行稽核、安全監控和操作疑難排解。CloudTrail 將 AWS 服務之間的使用者活動及 API 呼叫記錄為事件。CloudTrail 事件可協助您回答「誰在何時何地做了什麼?」的問題。
CloudTrail 會記錄三種事件類型:
事件歷史記錄提供 AWS 區域過去 90 天的管理事件的可檢視、可搜尋、可下載且不可變的記錄。檢視事件歷史記錄的 CloudTrail 不收取任何費用。
CloudTrail 事件歷史記錄在所有 AWS 帳戶及 AWS 服務的記錄管理事件啟用,無需任何手動設定。使用 AWS 免費方案,您可使用 CloudTrail 主控台或使用 CloudTrail 查詢事件 API 免費檢視、搜尋及下載帳戶管理事件的最近 90 天的歷史記錄。若要進一步了解,請參閱使用 CloudTrail Event 歷史記錄檢視事件。
追蹤可擷取 AWS 帳戶活動的記錄,並將這些事件傳送並存放在 Amazon S3,並可選擇性傳送至 Amazon CloudWatch Logs 以及 Amazon EventBridge。這些事件可輸入到您的安全監控解決方案。您可使用自己的第三方解決方案或 Amazon Athena 等解決方案來搜尋並分析 CloudTrail 擷取的日誌。您可使用 AWS Organizations 針對單個 AWS 帳戶,或針對多個 AWS 帳戶建立追蹤。
您可透過建立軌跡,將持續管理及資料事件傳送至 S3,也可選擇性將管理及資料事件傳送至 CloudWatch Logs。透過執行此操作,您可以獲得完整的事件詳細資訊,並可根據需要匯出及儲存事件。若要進一步了解,請參閱為 AWS 帳戶建立追蹤。
您可以驗證存放在 S3 儲存貯體的 CloudTrail 日誌檔完整性,並偵測 CloudTrail 將日誌檔傳送至 S3 儲存貯體之後,日誌檔是保持不變、已修改或已刪除。您可在 IT 安全及稽核程序使用日誌檔完整性驗證。在預設情況下,CloudTrail 會使用 S3 伺服器端加密 (SSE) 來加密傳送至指定 S3 儲存貯體的所有日誌檔。如有必要,您也可以透過 AWS Key Management Service (KMS) 金鑰來加密日誌檔,以便在 CloudTrail 日誌檔提供多一層保護。如果您有解密許可,S3 會自動解密您的日誌檔。如需詳細資訊,請參閱使用 AWS KMS 受管金鑰 (SSE-KMS) 加密 CloudTrail 日誌檔案。
您可以設定 CloudTrail,在單一位置擷取及儲存多個 AWS 區域的事件。此組態會驗證所有設定是否一致套用至現有及新啟動的區域。若要進一步了解,請參閱從多個區域接收 CloudTrail 日誌檔。
您可以設定 CloudTrail,在單一位置擷取及儲存多個 AWS 帳戶的事件。此組態會驗證所有設定是否一致套用至所有現有及新建的帳戶。若要進一步了解,請參閱建立組織追蹤。
CloudTrail Lake 是一個受管資料湖,用於擷取、儲存、存取及分析 AWS 使用者與 API 活動,以作稽核和安全性目的。您可以從 AWS 和非 AWS 來源彙總、視覺化、查詢和不變地儲存活動日誌。IT 稽核人員可以使用 CloudTrail Lake 作為所有活動的不可變記錄,以滿足稽核要求。安全管理員可以驗證使用者活動是否符合內部政策。DevOps 工程師可解決操作問題,例如 Amazon Elastic Compute Cloud (EC2) 執行個體無回應或資源被拒絕存取。
由於 CloudTrail Lake 是一個受管的稽核與安全資料湖,因此您的事件將存放在資料湖中。CloudTrail Lake 授予唯讀存取權,以防止對日誌檔進行變更。唯讀存取表示事件不可變。
透過 CloudTrail Lake,您可在活動日誌執行基於 SQL 的查詢以進行湖內稽核,也可在 CloudTrail 事件執行 SQL 查詢,以深入了解 CloudTrail Lake 儀表板的資料。此外,您可以使用 Amazon Athena,以互動方式查詢 CloudTrail Lake 可稽核日誌,以及來自其他來源的資料,而沒有移動或複寫資料的操作複雜性。例如,安全工程師可使用 Athena 將 CloudTrail Lake 中的活動日誌與 Amazon S3 中的應用程式和流量日誌關聯,以進行安全事件調查。合規與維運工程師現在可使用 Amazon QuickSight 和 Amazon Managed Grafana,視覺化 CloudTrail Lake 中的活動日誌,以進行合規、成本和用量報告。
透過 AWS CloudTrail Lake,您可以整合來自 AWS 及 AWS 外部來源的活動事件,包括來自其他雲端供應商、內部應用程式以及雲端或內部部署執行的 SaaS 應用程式的資料,而無需維護多個日誌彙總工具以及報告工具。您還可從其他 AWS 服務擷取資料,例如來自 AWS Config 的組態項目或來自 AWS Audit Manager 的稽核證據。您可使用 CloudTrail Lake API 來設定資料整合,並將事件推送至 CloudTrail Lake。若要與第三方工具整合,您可透過 CloudTrail 主控台的合作夥伴整合,只需幾個步驟即可開始從這些應用程式接收活動事件。
CloudTrail Lake 可協助您擷取及儲存來自多個區域的事件。
透過使用 CloudTrail Lake,您可擷取和儲存跨 AWS Organizations 的帳戶事件。此外,您最多可以指定三個委派的管理員帳戶,以在組織層級建立、更新、查詢或刪除組織追蹤或 CloudTrail Lake 事件資料存放區。
AWS CloudTrail Insights 事件透過持續分析 CloudTrail 管理事件,協助 AWS 使用者識別並回應與 API 呼叫和 API 錯誤率關聯的異常活動。CloudTrail Insights 會分析您的一般 API 呼叫量和 API 錯誤率的模式,也稱為基線,並在呼叫量或錯誤率超出正常模式時產生 Insights 事件。 您可在追蹤或事件資料儲存中啟用 CloudTrail Insights,以偵測異常行為和異常活動。