运维管理

通过 AWS CloudTrail 实现 API 审计日志 - 跟踪设计与安全分析

记录所有 API 活动,通过 CloudTrail Lake 的 SQL 查询执行高级分析。介绍 Insights 自动检测异常模式以及与 EventBridge 联动的实时检测。

約 2 分で読めます

CloudTrail 概述

CloudTrail 是记录 AWS 账户 API 活动的服务。EC2 实例启动、S3 存储桶创建、IAM 策略变更等所有 API 调用都会被记录。默认免费查看过去 90 天的管理事件,创建跟踪后可无限期保存到 S3 存储桶。每个事件包含调用者的 IAM 实体、源 IP 地址、请求参数和响应元素,可精确追踪「谁在何时从何处做了什么」。事件交付延迟通常为 5 到 15 分钟,实时监控需要与 EventBridge 集成。

跟踪设计与 CloudTrail Lake

推荐使用应用于所有区域的组织跟踪。事件以 JSON 格式保存到 S3 存储桶,并通过 SSE-KMS 加密。组织跟踪从 AWS Organizations 管理账户创建,将所有成员账户的事件汇聚到一个 S3 存储桶。存储桶策略仅允许 CloudTrail 服务主体写入,并启用对象锁定防止篡改。CloudTrail Lake 在事件数据存储中最长保留 7 年(扩展保留最长 2,555 天)的事件,可通过 SQL 查询进行搜索和分析。与 Athena 不同,无需预先定义 Glue 表或设计分区——数据摄入时自动生成索引,查询响应速度快。可以即时执行「过去 30 天内创建 IAM 用户的事件」「来自特定 IP 地址的 API 调用」等查询。

数据事件与 Insights

数据事件记录 S3 对象级别的操作(GetObject、PutObject)、Lambda 函数调用和 DynamoDB 表操作。与管理事件相比事件量大幅增加,因此需要缩小目标资源范围后启用。CloudTrail Insights 自动检测管理事件的异常模式(API 调用数激增、错误率上升),并在检测到偏离正常基线的活动时生成 Insights 事件。例如,通常每天约 10 次的 RunInstances 突然被调用 1,000 次时会生成 Insights 事件。与 EventBridge 集成可实现特定 API 调用(DeleteBucket、StopLogging)的实时检测,通过 Lambda 发送告警。 CloudTrail 的基础到高级用法,可通过书籍 (Amazon)系统学习。

设计最佳实践与常见陷阱

将跟踪的 S3 存储桶放在专用账户(日志归档账户),使生产账户管理员无法删除或篡改日志。存储桶策略仅允许 PutObject,显式 Deny 删除类 API。启用日志文件完整性验证(摘要文件)可通过密码学方法检测交付后的日志篡改。常见陷阱:创建组织跟踪后未关闭成员账户的独立跟踪,导致双重计费。此外,向 CloudTrail Lake 事件数据存储重复摄入同一事件会使存储成本翻倍,需避免摄入源(组织跟踪 vs 账户级跟踪)重叠。S3 交付失败是静默发生的,因此必须监控 CloudWatch 指标(如 InsufficientS3BucketPolicy),建立日志缺失的早期检测机制。

CloudTrail Lake 与 Athena 的比较

分析存储在 S3 中的 CloudTrail 日志有两种方式:CloudTrail Lake 和 Athena + S3。CloudTrail Lake 设置简单,可立即对索引数据发起查询,按扫描量计费约 0.005 美元/GB。Athena 直接扫描 S3 上的原始日志,按扫描量计费约 5 美元/TB(转换为 Parquet 可减少数据量)。频繁执行少量调查查询时 CloudTrail Lake 更经济;需要横跨分析大量历史日志或应用自定义分区策略时 Athena 更灵活。两者并非互斥——实务中常采用 Lake 用于近期调查、Athena 用于长期趋势分析的组合。Lake 的查询结果可保存为仪表板,便于重复执行定型调查。

CloudTrail 的成本优化

管理事件的第一个跟踪免费,额外跟踪每 100,000 个事件约 2 美元。数据事件每 100,000 个事件约 0.10 美元,在 S3 读取操作频繁的环境中成本会急剧增加。CloudTrail Lake 的查询按扫描数据量计费,每 GB 约 0.005 美元。将数据事件的目标限制在高敏感性的存储桶和重要的 Lambda 函数,避免对所有资源一律启用,以控制成本。通过 S3 生命周期规则管理已存储日志的保留期,将旧日志迁移到 Glacier 降低存储成本。CloudTrail Lake 事件数据存储的保留期越长,存储费用越高,需根据合规要求选择适当的保留期(1 年、3 年或 7 年)。

总结

CloudTrail 是记录 AWS 账户所有 API 活动的审计日志服务。通过 CloudTrail Lake 执行 SQL 查询的高级分析,通过 Insights 自动检测异常 API 调用模式。通过组织跟踪集中管理所有账户的日志,通过 EventBridge 联动实现安全事件的实时检测。

相关服务

AWS CloudTrail记录和监控 AWS 账户 API 活动的服务Amazon S3具有高耐久性和可扩展性的对象存储服务Amazon GuardDuty利用机器学习的威胁检测服务

相关文章

使用 AWS Config 实现持续合规监控 - 规则评估与自动修复详解 AWS Config 的资源配置记录、Config 规则的合规评估以及自动修复操作的设置。审计日志的设计与运维 - 使用 CloudTrail 完整记录 API 活动详解使用 AWS CloudTrail 设计审计日志的方法,介绍 API 活动记录、S3 长期保存以及与 Config 联动实现合规应对。使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。

本主题的更多内容

AWS 内部时间同步机制 - Amazon Time Sync Service 与闰秒平滑处理的设计解析 AWS 自主运营的 Amazon Time Sync Service 的工作原理、基于 GPS 和原子钟的高精度时间源、通过平滑处理吸收闰秒的设计决策,以及分布式系统中时间同步的重要性。使用 AWS AppFabric 集中 SaaS 审计日志 - OCSF 标准化与 Security Lake 集成详解 AppFabric 收集 SaaS 应用审计日志、转换为 OCSF 格式标准化,以及构建分析管道的方法。使用 AWS AppConfig 实现功能开关 - 安全的配置部署与回滚通过 Linear 和 Exponential 策略对独立于代码部署的配置变更进行渐进式发布。利用 CloudWatch 告警联动的自动回滚确保安全性。架构评审 - 使用 AWS Well-Architected Tool 系统化评估工作负载详解使用 AWS Well-Architected Tool 进行工作负载架构评审。介绍基于 6 大支柱的评估、改进计划的制定以及自定义透镜的应用。审计日志的设计与运维 - 使用 CloudTrail 完整记录 API 活动详解使用 AWS CloudTrail 设计审计日志的方法,介绍 API 活动记录、S3 长期保存以及与 Config 联动实现合规应对。从 AWS 故障报告 (COE) 中学习分布式系统的教训 - 历次大规模故障如何改变了设计原则从 AWS 公开的 Correction of Errors (COE) 和故障报告中,解析 S3 故障、us-east-1 DNS 故障、Kinesis 故障等历次大规模事件的根本原因,以及它们如何改变了 AWS 的设计原则。标签设计决定运维 - AWS 资源标签策略的冷知识与实践命名规则解析 AWS 资源标签不仅是简单标记,更是成本分配、访问控制、自动化基础的原因,以及标签键命名规则、50 个上限的使用方法、标签策略的治理。AWS 服务配额为何存在 - 保护共享基础设施的多租户设计解析 AWS 服务配额(原服务限制)不仅是简单的约束,而是在多租户环境中保护其他客户的设计,从嘈杂邻居问题、软限制与硬限制的区别、配额提升申请的内部机制进行说明。

相似的文章与服务

审计日志的设计与运维 - 使用 CloudTrail 完整记录 API 活动详解使用 AWS CloudTrail 设计审计日志的方法,介绍 API 活动记录、S3 长期保存以及与 Config 联动实现合规应对。CloudTrail 看到一切 - API 调用记录机制与取证调查实践详细介绍 CloudTrail 记录 AWS API 调用的机制、管理事件与数据事件的区别、CloudTrail Lake 的 SQL 分析以及安全事件发生时的取证调查方法。AWS CloudTrail自动记录 AWS 账户内的 API 调用,追踪谁在何时做了什么的审计与安全服务用 Amazon Security Lake 构建安全数据湖 - OCSF 格式的统一分析解析 Security Lake 对 CloudTrail、VPC 流日志、Route 53 日志的自动汇聚、OCSF 标准化、与订阅者的集成。