AWS CloudTrail 常见问题

一般性问题

CloudTrail 通过跟踪用户活动和 API 使用,支持审计、安全监控和操作故障排除。CloudTrail 记录、持续监控和保留与您的 AWS 基础设施中操作相关的账户活动,让您能够控制存储、分析和修复操作。

CloudTrail 可以帮助您证明合规性、改善安保状况,并跨区域和账户整合活动记录。CloudTrail 可通过记录账户上执行的操作来让您深入了解用户活动。CloudTrail 可记录每个操作的重要信息,包括请求的发出方、使用的服务、执行的操作、操作的参数,以及 AWS 服务返回的响应元素。这些信息能够帮助您跟踪 AWS 资源的变更情况,帮助您解决操作性问题。CloudTrail 可使您更轻松地确保符合内部策略和监管标准。有关更多详细信息,请参阅 AWS 合规性白皮书 Security at Scale: Logging in AWS。 

如果您需要审计活动、监控安全状况或对操作问题进行故障排查,请使用 CloudTrail。

入门

不需要。您无需进行任何操作即可查看账户活动。您可以访问 AWS CloudTrail 控制台或使用 AWS CLI 查看过去 90 天的账户活动。

AWS CloudTrail 将仅显示您正在查看的当前区域在过去 90 天的 CloudTrail 事件历史记录结果,并支持一系列 AWS 服务。这些事件仅限于创建、修改和删除 API 调用和账户活动的管理事件。要获取账户活动(包括所有管理事件、数据事件和只读活动)的完整记录,您必须配置 CloudTrail 跟踪。

您可以指定时间范围和以下任一属性:事件名称、用户名称、资源名称、事件源、事件 ID 和资源类型。

可以。您可以访问 CloudTrail 控制台或使用 CloudTrail API/CLI 查看过去 90 天的账户活动。

设置 CloudTrail 跟踪,将 CloudTrail 事件传送至 Amazon Simple Storage Service(Amazon S3)、Amazon CloudWatch Logs 和 Amazon CloudWatch Events。这有助于您使用多种功能来存档、分析和响应 AWS 资源中发生的更改。

可以。CloudTrail 与 AWS Identity and Access Management(IAM)相集成,帮助您控制对 CloudTrail 和 CloudTrail 所需的其他 AWS 资源的访问。这包括限制查看和搜索账户活动的权限。从用户 IAM policy 中删除“cloudtrail:LookupEvents”,以阻止 IAM 用户查看账户活动。

使用 CloudTrail 事件历史记录查看或搜索账户活动不会产生任何相关成本。 

对于创建的任何 CloudTrail 跟踪,您可以停止记录或删除这些跟踪。这也将停止将账户活动传输到您指定为跟踪配置的一部分的 Amazon S3 存储桶,并停止传输 CloudWatch Logs(如果已配置)。过去 90 天的账户活动仍将收集并显示在 CloudTrail 控制台中,您可以通过 AWS 命令行界面(AWS CLI)进行查看。 

服务和区域支持

CloudTrail 可记录来自大多数 AWS 服务的账户活动和服务事件。有关支持的服务列表,请参阅 CloudTrail 用户指南中的 CloudTrail 支持的服务

符合。CloudTrail 会记录从任何客户端进行的 API 调用。AWS 管理控制台、AWS 软件开发工具包、命令行工具和更高级别的 AWS 服务都会调用 AWS API 操作,因此上述调用均会予以记录。

具有区域端点的服务(如 Amazon Elastic Compute Cloud [Amazon EC2] 或 Amazon Relational Database Service [Amazon RDS])的活动信息将在执行操作的同一区域进行捕获和处理。然后会将其传送到与您的 S3 存储桶相关联的区域。具有单一端点的服务(如 IAM 和 AWS Security Token Service(AWS STS))的活动信息将在端点所在的区域进行捕获。然后会在配置 CloudTrail 跟踪的地区进行处理,并传送到与您的 S3 存储桶相关联的地区。

将一个跟踪应用到所有区域

将一个跟踪到所有 AWS 区域是指创建一个可记录存储您的数据的所有区域内 AWS 账户活动的跟踪。此设置还将应用于添加的所有新区域。有关区域和分区的更多详细信息,请参阅 Amazon 资源名称和 AWS 服务命名空间页面

您只需调用一次 API 或进行几次选择,即可在分区内的所有区域创建和管理跟踪。您将在一个 S3 存储桶或 CloudWatch Logs 组中收到在您的 AWS 账户中跨所有区域进行的账户活动的记录。当 AWS 发布新区域时,您无需执行任何操作即可收到包含该新区域的事件历史记录的日志文件。

在 CloudTrail 控制台中,在跟踪配置页面选择“是”以将其应用到所有区域。如果您使用的是软件开发工具包或 AWS CLI,请将“IsMultiRegionTrail”设为“true”。 

将一个跟踪应用到所有区域之后,CloudTrail 会通过复制相关跟踪配置创建一个新跟踪。CloudTrail 将记录并处理每个区域中的日志文件,并会将包含所有区域的账户活动的日志文件传送至一个 S3 存储桶和一个 CloudWatch Logs 日志组。如果您指定了一个可选 Amazon Simple Notification Service(Amazon SNS)主题,CloudTrail 会将针对所有已发送日志文件的 Amazon SNS 通知发送到一个 SNS 主题中。

符合。您可以将一个现有跟踪应用到所有区域。在您将一个现有跟踪应用到所有区域后,CloudTrail 会在所有区域为您创建一个新跟踪。如果您之前已在其他区域创建跟踪,则可通过 CloudTrail 控制台查看、编辑和删除这些跟踪。 

通常情况下,将相关跟踪配置复制到所有区域只需不到 30 秒。

多个跟踪

在一个区域中,您最多可以创建五个跟踪。应用到所有区域的跟踪会出现在每个区域中,并算作每个区域的一个跟踪。

有了多个跟踪,安全管理员、软件开发人员和 IT 审计人员等不同利益相关者就可以创建并管理他们自己的跟踪。例如,安全管理员可以创建一个应用到所有区域的跟踪,并使用一个 Amazon Key Management Service(Amazon KMS)密钥来配置加密。开发人员可以创建一个应用到一个区域的跟踪,以便排查操作问题。

符合。使用资源级权限,您可以编写精细访问控制策略,以允许或拒绝特定用户访问特定跟踪。有关更多详细信息,请访问 CloudTrail 文档。 

安全和过期

默认情况下,CloudTrail 会通过 S3 服务器端加密(SSE)对 CloudTrail 日志文件进行加密,并将其放在您的 S3 存储桶中。您可以通过应用 IAM 或 S3 存储桶策略,控制对日志文件的访问。您可以通过在 S3 存储桶上启用 S3 多重身份验证(MFA)删除来添加额外的安全层。有关创建和更新跟踪的更多详细信息,请参阅 CloudTrail 文档

您可以从 CloudTrail S3 存储桶下载 S3 存储桶策略SNS 主题策略的示例。在将示例策略应用于您的 S3 存储桶或 SNS 主题之前,必须先根据您的信息更新示例策略。

您可以对应用于 CloudTrail 日志文件的保留策略进行控制。默认情况下,您可以无限期存储这些日志文件。您可以使用 S3 对象生命周期管理规则来定义您自己的保留策略。例如,您可能希望删除旧日志文件或将这些文件存档至 Amazon Simple Storage Service Glacier(Amazon S3 Glacier)。

事件消息、时间性和传送频率

一个事件中包含相关活动的信息:请求的发出方、使用的服务、执行的操作、操作的参数,以及 AWS 服务返回的响应元素。有关更多详细信息,请参阅用户指南中的 CloudTrail 事件参考部分。 

一般情况下,CloudTrail 会在 API 调用后 5 分钟内传送事件。有关 CloudTrail 工作原理的更多信息,请参阅此处。   

CloudTrail 大约每隔五分钟会向您的 S3 存储桶传送日志文件。如果您的账户上没有进行 API 调用,则 CloudTrail 不会传送日志文件。 

符合。您可以启用 Amazon SNS 通知,以便在送达新日志文件时立即采取行动。 

尽管这种情况并不常见,但您可能会收到包含一个或多个重复事件的日志文件。重复的事件将具有相同的 eventID。有关 eventID 字段的更多信息,请参阅 CloudTrail 记录内容。 

CloudTrail 会根据既有的 S3 存储桶策略来传送日志文件。如果存储桶策略配置错误,那么 CloudTrail 将无法传送日志文件。 

CloudTrail 旨在支持向客户 S3 存储桶交付至少一次订阅事件。在某些情况下,CloudTrail 可能会多次发送同一事件。因此,客户可能会看到重复的事件。 

数据事件

通过数据事件,您可以了解对资源本身或在资源内部执行的资源(数据面板)操作。数据事件通常是高频率活动,包括诸如 S3 对象级 API 操作和 AWS Lambda 函数调用 API 等操作。配置跟踪时,数据事件默认处于停用状态。若要记录 CloudTrail 数据事件,您必须明确添加您想对其收集活动的受支持的资源或资源类型。与管理事件不同,数据事件会产生额外的成本。有关更多信息,请参阅 CloudTrail 定价。 

与管理事件类似,由 CloudTrail 记录的数据事件会被传送到 S3 中。启用后,也可以在 Amazon CloudWatch Events 中使用这些事件。 

S3 数据事件表示对 S3 对象执行的 API 活动。若要让 CloudTrail 记录这些操作,请在创建新跟踪或修改现有跟踪时,在数据事件部分指定一个 S3 存储桶。对指定 S3 存储桶中的对象执行的任何 API 操作都会由 CloudTrail 记录下来。 

Lambda 数据事件用于记录 Lambda 函数的运行时活动。使用 Lambda 数据事件,您可以获得有关 Lambda 函数运行时的详细信息。Lambda 函数运行时的示例包括哪个 IAM 用户或服务进行了 Invoke API 调用、调用的时间以及应用了哪个函数。所有的 Lambda 数据事件都提供给 S3 存储桶和 CloudWatch Events。您可以使用 CLI 或 CloudTrail 控制台为 Lambda 数据事件启用日志记录,并通过创建新的跟踪或编辑现有跟踪来选择记录哪些 Lambda 函数。 

网络活动事件(预览版)

网络活动事件记录使用 VPC 端点从私有 VPC 到 AWS 服务执行的 AWS API 操作,并且可以帮助您满足网络安全调查使用案例的要求。这包括成功通过 VPC 端点策略的 AWS API 调用和被拒绝访问的调用。与传递给 API 调用者和资源所有者的管理和数据事件不同,网络活动事件仅传递给 VPC 端点的所有者。要记录网络活动事件,您必须在配置跟踪或事件数据存储时明确启用它们,并选择要收集活动的 AWS 服务的事件源。您还可以添加其他筛选条件,例如按 VPC 端点 ID 进行筛选或仅记录“访问被拒绝”错误。网络活动事件会产生额外费用。有关更多信息,请参阅 CloudTrail 定价

VPC 流日志可捕获有关进出 VPC 中网络接口的 IP 流量的信息。流日志数据可以发布到以下位置:Amazon CloudWatch Logs、Amazon S3 或 Amazon Data Firehose。VPC 端点的网络活动事件可捕获使用 VPC 端点从私有 VPC 到 AWS 服务执行的 AWS API 操作。这为您提供了有关谁在访问您的网络内资源的详细信息,让您能够更好地识别和响应数据边界内的意外操作。您可以查看由于 VPC 端点策略而被拒绝的操作的日志,或者使用这些事件来验证更新现有策略的影响。 

委派管理员

可以,CloudTrail 现在支持为每个组织添加最多三个委派管理员。

主账户将仍然是在组织级别创建的任何组织跟踪或事件数据存储的所有者,无论它是由委派管理员账户还是主账户创建。

目前,所有提供 AWS CloudTrail 的区域均提供对 CloudTrail 的委派管理员支持。有关更多信息,请参阅 AWS 区域表。

CloudTrail Insights

CloudTrail Insights 事件可帮助您识别 AWS 账户中的异常活动,例如资源预置突增、AWS Identity and Access Management(IAM)操作突增或例行维护活动缺口等。CloudTrail Insights 使用机器学习(ML)模型持续监控 CloudTrail 写入管理事件,从而发现异常活动。

检测到异常活动时,CloudTrail Insights 事件将会在控制台中显示,并发送到 CloudWatch Events、您的 S3 存储桶,并且还可以发送到 CloudWatch Logs 组。这可以更方便您创建提示并与现有的事件管理和工作流系统集成。

CloudTrail Insights 会通过分析 AWS 账户和区域内的 CloudTrail 写入管理事件来检测异常活动。异常活动是指 AWS API 调用的数量偏离既定操作模式或基线的预期的情形。CloudTrail Insights 会考虑基于时间的 API 调用趋势并随着工作负载的变化执行自适应的基线,从而适应正常运行模式的变化。

CloudTrail Insights 可以帮助您检测行为有误的脚本或应用程序。有时,开发人员会对脚本或应用程序做出启动无限循环的更改,或者对数据库、数据存储或其他函数等非计划资源进行大量调用。经常,除非月末结账时成本意外增加或者发生实际的停机或中断,否则这种行为不会有人注意。CloudTrail Insights 事件可帮助您了解 AWS 账户中的这些变化,从而让您可以快速采取纠正措施。

CloudTrail Insights 可识别 AWS 账户中的异常操作活动,从而帮助您解决运营问题,减轻对运营和业务的影响。Amazon GuardDuty 关注提高账户的安全性,通过监控账户活动来提供威胁检测功能。Amazon Macie 旨在通过发现、分类和保护敏感数据,增强账户中的数据保护。这些服务针对账户中可能出现的不同类型的问题,提供了补充的保护功能。

符合。CloudTrail Insights 事件是针对单个跟踪配置的,因此您必须至少设置一个跟踪。当您为某个跟踪启用 CloudTrail Insights 事件后,CloudTrail 将会开始监控该跟踪捕获的写入管理事件,从而发现异常模式。如果 CloudTrail Insights 检测到异常活动,将会在跟踪定义中指定的传输目标位置记录一个 CloudTrail Insights 事件。

CloudTrail Insights 会跟踪写入管理 API 操作的异常活动。

您可以通过控制台、CLI 或软件开发工具包在账户中的具体跟踪上启用 CloudTrail Insights 事件。您还可以使用在您的 AWS Organizations 管理账户中配置的组织跟踪,为整个组织启用 CloudTrail Insights 事件。您可以通过选择跟踪定义中的雷达按钮,从而启用 CloudTrail Insights 事件。 

CloudTrail Lake

CloudTrail Lake 通过查询 CloudTrail 记录的所有操作、AWS Config 记录的配置项、来自审计管理器的证据或来自非 AWS 来源的事件来帮助您检查事件。它通过帮助消除操作依赖关系来简化事件日志记录,并提供相关工具来帮助您减少对跨团队的复杂数据处理管道的依赖。CloudTrail Lake 不要求您在其他位置移动和提取 CloudTrail 日志,这有助于保持数据保真度并减少限制日志的低速率限制。它还提供近乎实时的延迟,因为它专为处理大量结构化日志进行了微调,这使得它们可用于事件调查。最后,CloudTrail Lake 提供了熟悉的 SQL 多属性查询体验,并且能够调度和处理多个并发查询。您还可以使用自然语言查询生成(预览版)来帮助您分析事件,使那些不擅长 SQL 查询编写或对 CloudTrail 事件没有深入了解的用户能够轻松分析事件。

CloudTrail 是 AWS 服务中用户活动和 API 使用情况的规范日志来源。一旦 CloudTrail 中有日志,您就可以使用 CloudTrail Lake 来检查 AWS 服务中的活动。您可以查询和分析用户活动以及受影响的资源,并使用这些数据来解决相关问题,例如识别不法分子和执行权限基准测试。

您可以使用 CloudTrail 控制台,通过几个步骤查找并添加合作伙伴集成以开始从这些应用程序接收活动事件,而无需构建和维护自定义集成。对于可用合作伙伴集成以外的来源,您可以使用新的 CloudTrail Lake API 设置您自己的集成并将事件推送到 CloudTrail Lake。要开始使用,请参阅 CloudTrail 用户指南中的使用 CloudTrail Lake

对于希望聚合和查询当前状态 AWS Config 配置项(CI)的客户,建议使用 AWS Config 高级查询。这有助于客户实现库存管理、安全和运营智能、成本优化和合规性数据。如果您是 AWS Config 客户,可以免费使用 AWS Config 高级查询。 

CloudTrail Lake 支持 AWS Config 配置项的查询范围,包括资源配置和合规历史记录。使用相关 CloudTrail 事件分析资源的配置和合规性历史记录,有助于推断这些资源的更改者、更改时间和更改内容。这有助于分析与安全暴露或不合规相关的事件的根本原因。如果您必须在 CloudTrail 事件和历史配置项之间聚合和查询数据,建议使用 CloudTrail Lake。  

CloudTrail Lake 不会摄取在配置 CloudTrail Lake 之前生成的 AWS Config 配置项。AWS Config 中帐户级别或组织级别的新记录的配置项将传输到指定的 CloudTrail Lake 事件数据存储。在指定的保留期内,这些配置项将可在 Lake 中查询,并可用于历史数据分析。 

如果多个用户连续快速尝试对单个资源进行多次配置更改,则只会创建一个配置项,映射到资源的最终状态配置。在这种场景和类似的场景中,通过查询 CloudTrail 和特定时间范围和资源 id 的配置项,可能无法 100% 准确地提供哪个用户进行了哪些配置更改。

符合。CloudTrail Lake 导入功能支持从 S3 存储桶复制 CloudTrail 日志,该存储桶存储来自多个账户(来自组织跟踪)和多个 AWS 区域的日志。您也可以从个别账户和单个区域跟踪导入日志。此外,使用导入功能时,您还可以指定导入的日期范围,以便仅导入需要在 CloudTrail Lake 中长期存储和进行分析的部分日志。合并日志后,您可以对日志运行查询,范围从启用 CloudTrail Lake 后收集的最新事件,到您的跟踪带来的历史事件。

导入功能将日志信息从 S3 复制到 CloudTrail Lake,并将原始副本原样保存在 S3 中。

您可以为 CloudTrail 收集的任何事件类别启用 CloudTrail Lake,具体取决于您的内部故障排除需求。事件类别包括用于捕获控制面板活动(如 CreateBucket 和 TerminateInstances)的管理事件、用于捕获数据面板活动(如 GetObject 和 PutObject)的数据事件,以及用于捕获使用 VPC 端点从私有 VPC 到 AWS 服务执行的 API 操作的网络活动事件(预览版)。您不需要为任何这些事件单独订阅试用版。对于 CloudTrail Lake,您需要在一年可延长留存和七年留存定价选项之间进行选择,这将影响您的成本以及事件留存期限。您可以随时查询数据。在 CloudTrail Lake 控制面板中,我们支持查询 CloudTrail 事件。

您几乎可以立即开始查询启用该功能后发生的活动。

常见使用案例包括调查安全事件(例如未经授权的访问或泄露的用户凭证),以及通过执行审计以定期对用户权限执行基准测试来增强您的安全状况。您可以执行必要的审计,以确保允许合适的用户组对资源(例如安全组)进行更改,并跟踪任何不符合组织最佳实践的更改。此外,您还可以跟踪对资源执行的操作并评测修改或删除,并深入了解您的 AWS 服务账单,包括订阅服务的 IAM 用户。

如果您是现有和新的 CloudTrail 客户,您可以立即开始使用 CloudTrail Lake 功能来运行查询,方法是通过 API 或 CloudTrail 控制台启用此功能。选择 CloudTrail 控制台左侧面板上的 CloudTrail Lake 选项卡,然后选择“创建事件数据存储”按钮。创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项确定摄取事件的成本以及事件数据存储的最长和默认留存期。然后,从 CloudTrail 记录的所有事件类别(管理和数据事件)中进行事件选择,即可开始使用。

此外,为了帮助您可视化热门 CloudTrail Lake 事件,您可以开始使用 CloudTrail Lake 控制面板。CloudTrail Lake 控制面板是预先构建的,可直接在 CloudTrail 控制台中提供开箱即用的可见性以及从您的审计和安全数据中获得的重要见解。

符合。作为事件数据存储配置的一部分,您可以将定价选项从七年留存定价更新为一年可延长留存定价。在配置的留存期内,您的现有数据将在事件数据存储中保持可用。这些数据不会产生任何延长留存费用。但是,任何新摄取的数据都将按照摄取和延长保留的一年可延长留存定价收费。 

不可以。我们目前不支持将事件数据存储从一年可延长留存定价迁移到七年留存定价。但是,您可以关闭当前事件数据存储的日志记录,同时为新摄取的数据创建采用七年留存定价的新事件数据存储。您仍然可以使用相应的定价选项和配置的留存期留存和分析两个事件数据存储中的数据。

CloudTrail Lake 是一个审计湖,可帮助客户满足合规性和审计方面的使用案例需求。根据合规计划要求,客户需要将审核日志保留指定的持续时间(从日志生成之日起),无论日志何时被引入 CloudTrail Lake。

不会。由于这是一个历史事件,且事件时间已过去,因此该事件将在 CloudTrail Lake 中留存,留存期为自事件时间起 1 年。因此,该事件在 CloudTrail Lake 中存储的持续时间将少于 1 年。 

现在,CloudTrail Lake 控制面板支持 CloudTrail 管理和数据事件。

控制面板目前在账户级别启用,并将应用于该账户中启用了 CloudTrail 管理或数据事件的所有活动数据存储。

CloudTrail Lake 控制面板由 CloudTrail Lake 查询提供支持。启用 CloudTrail Lake 控制面板后,您将为扫描的数据付费。有关更多详细信息,请参阅定价页面

不可以。目前所有 CloudTrail Lake 控制面板都是经过精心设计和预定义的,无法自定义。

审计和合规工程师可以使用 CloudTrail Lake 控制面板来跟踪合规性规定的进度,例如迁移到 TLS 1.2 及更高版本。CloudTrail Lake 控制面板将帮助安全工程师密切跟踪敏感的用户活动,例如删除跟踪或重复出现访问被拒绝错误。云运营工程师可以从精心设计的控制面板上查看诸如主要服务限制错误之类的问题。

日志文件合并

符合。您可以配置一个 S3 存储桶作为多个账户的目标存储桶。有关详细说明,请参阅 CloudTrail 用户指南中的将日志文件聚合到单个 S3 桶中一节。

与 CloudWatch Logs 集成

CloudTrail 与 CloudWatch Logs 集成,让您可以将 CloudTrail 捕获的管理事件和数据事件传送到您指定的 CloudWatch Logs 日志组中的 CloudWatch Logs 日志流。

这一集成可帮助您接收 CloudTrail 所捕获的账户活动的 SNS 通知。例如,您可以创建 CloudWatch 警报以监控创建、修改和删除安全组及网络访问控制列表(ACL)的 API 调用。

您可以通过指定 CloudWatch Logs 日志组和 IAM 角色从 CloudTrail 控制台启用 CloudTrail 与 CloudWatch Logs 的集成。您还可以使用 AWS 软件开发工具包或 AWS CLI 来启用此集成。

启用该集成后,CloudTrail 会持续向您指定的 CloudWatch Logs 日志组中的 CloudWatch Logs 日志流传送账户活动。CloudTrail 还会像以前一样继续向您的 S3 存储桶传送日志。

支持 CloudWatch Logs 的区域均支持该集成。有关更多信息,请参阅 AWS 一般参考中的区域和端点

为了将账户活动传送至 CloudWatch Logs,CloudTrail 会承担您指定的 IAM 角色。您可以对 IAM 角色加以限制,使其仅具有其所需要的将事件传送至您的 CloudWatch Logs 日志流的权限。要查看 IAM 角色策略,请前往 CloudTrail 文档的用户指南

当您启用 CloudTrail 与 CloudWatch Logs 的集成之后,您要支付 CloudWatch Logs 和 CloudWatch 的标准费用。有关详细信息,请前往 CloudWatch 定价页面。 

使用 AWS KMS 加密 CloudTrail 日志文件

使用 SSE-KMS 进行 CloudTrail 日志文件加密可通过 KMS 密钥加密日志文件,从而帮助您为交付到 S3 桶的 CloudTrail 日志文件添加一个额外的安全层。默认情况下,CloudTrail 会使用 S3 服务器端加密加密交付到 S3 存储桶的日志文件。

借助 SSE-KMS,S3 会自动加密日志文件,因此,您无需对自己的应用程序进行任何更改。与往常一样,您必须确保应用程序拥有相应的权限,如 S3 GetObject 和 AWS KMS Decrypt 权限。

您可以使用 AWS 管理控制台、AWS CLI 或 AWS 软件开发工具包配置日志文件加密。有关详细说明,请参阅文档

配置使用 SSE-KMS 的加密后,您需要支付标准的 AWS KMS 费用。有关详细信息,请前往 AWS KMS 定价页面

CloudTrail 日志文件完整性验证

CloudTrail 日志文件完整性验证功能可帮助您确定 CloudTrail 日志文件在被 CloudTrail 传送到特定的 S3 存储桶后是否发生过更改、删除或修改。

您可以将日志文件完整性验证用作 IT 安全和审核流程中的一个辅助手段。

您可以通过控制台、AWS CLI 或 AWS 软件开发工具包启用 CloudTrail 日志文件完整性验证功能。

打开日志文件完整性验证功能后,CloudTrail 会每小时交付一次摘要文件。摘要文件包含有关传递到 S3 存储桶的日志文件的信息以及这些日志文件的哈希值。它们还包含 S3 元数据部分中先前摘要文件的数字签名和当前摘要文件的签名。有关摘要文件、数字签名和哈希值的更多信息,请参阅 CloudTrail 文档

摘要文件交付到日志文件交付到的 S3 存储桶。但是,它们会交付到不同的文件夹,以便您实施精细的访问控制策略。有关详细信息,请参阅 CloudTrail 文档的摘要文件结构部分。

您可以使用 AWS CLI 验证日志文件或摘要文件的完整性。您也可以构建自己的工具来进行验证。有关使用 AWS CLI 验证日志文件完整性的更多信息,请参阅 CloudTrail 文档

符合。CloudTrail 会将所有区域和多个账户的摘要文件传送到该 S3 存储桶。

CloudTrail 处理库

CloudTrail 处理库是一个 Java 库,可以帮助您更轻松地构建读取和处理 CloudTrail 日志文件的应用程序。您可以从 GitHub 下载 CloudTrail 处理库。

CloudTrail 处理库可提供处理以下任务的功能,如不断轮询 SQS 队列,读取和解析 Amazon Simple Queue Service(Amazon SQS)消息。它还可以下载 S3 中存储的日志文件,并以容错方式解析和序列化日志文件事件。有关更多信息,请前往 CloudTrail 文档中的用户指南。 

您需要 aws-java-sdk 版本 1.9.3 和 Java 1.7 或更高版本。

定价

CloudTrail 可帮助您免费查看、搜索和下载您账户最近 90 天的管理事件。您可以通过创建跟踪将正在进行的管理事件的一个副本免费传输到 S3 中。CloudTrail 跟踪设置之后,S3 会根据您的使用情况收费。

您可以使用跟踪传输事件的额外副本,包括数据事件和网络活动事件(预览版)。您将需要为数据事件、网络活动事件以及管理事件的额外副本付费。在定价页面上了解更多信息。

不需要。管理事件的第一个副本在每个区域中都是免费提供的。

符合。您仅需为数据事件付费。管理事件的第一个副本是免费提供的。 

使用 CloudTrail Lake 时,您需要同时支付摄取和存储费用,计费基于摄取的未压缩数据量和存储的压缩数据量。创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项确定摄取事件的成本以及事件数据存储的最长和默认留存期。查询费用基于您选择分析的压缩数据。在定价页面上了解更多信息。

符合。每个 CloudTrail 事件的平均长度约为 1500 字节。使用此映射,您将能够根据上个月跟踪中的 CloudTrail 使用量(按事件数量)来估计 CloudTrail Lake 摄取量。

合作伙伴

有多个合作伙伴提供了集成解决方案,用于分析 CloudTrail 日志文件。这些解决方案包括变更追踪、故障排查和安全分析等功能。有关更多信息,请参阅 CloudTrail 合作伙伴部分

要开始集成,您可以查看合作伙伴入门指南。与您的合作伙伴开发团队或合作伙伴解决方案架构师接洽,与 CloudTrail Lake 团队联系,以进行更深入的研究或提出更多问题。

其他

不会。启用 CloudTrail 既不会影响 AWS 资源的性能,也不会增加 API 调用的延时。