AWS CloudTrail のアイコン

AWS CloudTrail 经典2013年〜

记录和监控 AWS 账户 API 活动的服务

阅读约需 1 分钟

它能做什么

AWS CloudTrail 是一项记录 AWS 账户内所有 API 调用(操作)的服务。详细记录谁、在什么时间、从哪个 IP 地址、对哪个资源执行了什么操作。记录的日志保存在 S3 存储桶中,可用于安全审计、合规应对和故障排除。

使用场景

用于安全事件调查中确定“谁在什么时候修改了安全组”,以及合规审计中提交“过去 90 天的 IAM 策略变更历史”等场景。还用于调查意外资源删除的原因和检测未授权访问。

日常类比

可以将其比作大楼的监控摄像头。监控摄像头 24 小时记录谁在什么时候进出大楼、访问了哪个房间。CloudTrail 就是 AWS 账户的监控摄像头,记录所有操作。就像出问题时回放录像一样,可以通过查看 CloudTrail 日志来确定原因。

什么是 CloudTrail

AWS CloudTrail 是一项记录 AWS 账户内活动的审计日志服务。AWS 管理控制台的操作、AWS CLI 的命令执行、使用 SDK 的 API 调用等所有操作都会作为事件被记录。CloudTrail 默认启用,可以免费查看过去 90 天的事件历史。

事件类型

CloudTrail 记录三种类型的事件。管理事件记录资源的创建、变更、删除等操作(如启动 EC2 实例、修改 IAM 策略等)。数据事件记录在资源上执行的数据操作(如 S3 对象的读写、Lambda 函数的调用等)。洞察事件自动检测并记录与正常情况不同的异常活动模式。

创建跟踪与长期保存

默认的事件历史仅保留 90 天。如需长期保存,需要创建“跟踪(Trail)”将日志持续传送到 S3 存储桶。创建跟踪后,管理事件会自动保存到 S3。数据事件和洞察事件需要在跟踪设置中明确启用。还可以将日志发送到 CloudWatch Logs,实现实时告警设置。 关于创建跟踪与长期保存的技术背景,可以参考相关书籍(Amazon)

开始使用

CloudTrail 在所有 AWS 账户中默认启用。在 CloudTrail 控制台的“事件历史”中可以立即查看过去 90 天的操作历史。如需长期保存或记录数据事件,请从“创建跟踪”指定 S3 存储桶来设置跟踪。如需集中管理整个组织的日志,请创建与 AWS Organizations 联动的组织跟踪。

注意事项

  • 默认事件历史仅保留 90 天。如合规要求需要长期保存,请创建跟踪保存到 S3
  • 数据事件(S3 对象操作、Lambda 调用等)需要在跟踪中明确启用才会记录。记录大量数据事件会增加成本,请缩小目标资源范围
  • 为防止 CloudTrail 日志被篡改,请启用日志文件完整性验证并设置 S3 存储桶的 MFA Delete
共有するXB!

相关服务

Amazon CloudWatch 图标Amazon CloudWatch提供 AWS 资源和应用程序的监控、日志管理和告警的服务AWS Config 图标AWS Config记录和评估 AWS 资源配置变更并持续监控合规性的服务Amazon GuardDuty 图标Amazon GuardDuty利用机器学习的威胁检测服务AWS Security Hub 图标AWS Security Hub集中管理 AWS 安全状态和合规性的服务

相关文章

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。AWS 内部时间同步机制 - Amazon Time Sync Service 与闰秒平滑处理的设计解析 AWS 自主运营的 Amazon Time Sync Service 的工作原理、基于 GPS 和原子钟的高精度时间源、通过平滑处理吸收闰秒的设计决策,以及分布式系统中时间同步的重要性。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。审计日志的设计与运维 - 使用 CloudTrail 完整记录 API 活动详解使用 AWS CloudTrail 设计审计日志的方法,介绍 API 活动记录、S3 长期保存以及与 Config 联动实现合规应对。通过 AWS CloudTrail 实现 API 审计日志 - 跟踪设计与安全分析记录所有 API 活动,通过 CloudTrail Lake 的 SQL 查询执行高级分析。介绍 Insights 自动检测异常模式以及与 EventBridge 联动的实时检测。

本分类的更多服务

AWS AppFabric 图标AWS AppFabric 新服务标准化并集中聚合 SaaS 应用程序审计日志的服务AWS AppConfig 图标AWS AppConfig 专业安全部署和管理应用程序配置的服务AWS Chatbot 图标AWS Chatbot 专业在 Slack 和 Microsoft Teams 中接收 AWS 资源通知并进行操作的交互式代理AWS CloudFormation 图标AWS CloudFormation 经典通过模板以代码方式定义和配置 AWS 资源的 IaC 服务Amazon CloudWatch 图标Amazon CloudWatch 经典提供 AWS 资源和应用程序的监控、日志管理和告警的服务AWS Config 图标AWS Config 经典记录和评估 AWS 资源配置变更并持续监控合规性的服务AWS Control Tower 图标AWS Control Tower 专业自动化多账户环境设置和治理的服务Amazon CloudWatch RUM 图标Amazon CloudWatch RUM 专业通过真实用户监控收集 Web 应用程序客户端性能和错误数据的服务

相似的文章与服务

通过 AWS CloudTrail 实现 API 审计日志 - 跟踪设计与安全分析记录所有 API 活动,通过 CloudTrail Lake 的 SQL 查询执行高级分析。介绍 Insights 自动检测异常模式以及与 EventBridge 联动的实时检测。审计日志的设计与运维 - 使用 CloudTrail 完整记录 API 活动详解使用 AWS CloudTrail 设计审计日志的方法,介绍 API 活动记录、S3 长期保存以及与 Config 联动实现合规应对。CloudTrail 看到一切 - API 调用记录机制与取证调查实践详细介绍 CloudTrail 记录 AWS API 调用的机制、管理事件与数据事件的区别、CloudTrail Lake 的 SQL 分析以及安全事件发生时的取证调查方法。AWS CloudTrail自动记录 AWS 账户内的 API 调用,追踪谁在何时做了什么的审计与安全服务AWS 事件响应工具链 - 从 CloudTrail 到 Security Hub 的集成调查平台解析 CloudTrail、Config、Detective、Security Hub 组合而成的 AWS 事件响应工具链,并与 Azure Sentinel 的调查方法进行比较。