什么是 CloudTrail
Amazon CloudTrail 是一项支持对亚马逊云科技账户进行监管、合规性检查、操作审核和风险审核的服务。借助 CloudTrail,您可以记录日志、持续监控并保留与整个亚马逊云科技基础设施中的操作相关的账户活动。CloudTrail 可提供亚马逊云科技账户活动的事件历史记录,其中包括通过亚马逊管理控制台、Amazon SDK、命令行工具和其他亚马逊云科技服务执行的操作。这一事件历史记录可以简化安全性分析、资源更改跟踪和故障排除工作。
优势
Amazon CloudTrail 可通过记录亚马逊管理控制台操作和 API 调用来提高对用户和资源活动的可见性。您可以识别调用亚马逊云科技的用户和账户、发起调用的源 IP 地址以及执行调用的时间。
借助 Amazon CloudTrail,您可以通过捕捉特定时段内您的亚马逊云科技账户中所发生更改的全面历史记录,发现安全性和操作性问题并进行故障排除。
借助 Amazon CloudTrail,您可以自动记录和存储亚马逊云科技账户中已执行操作的事件日志,从而简化合规性审核。与 Amazon CloudWatch Logs 集成后,您可以更方便地搜索所有日志数据、识别不合规事件、加快事故调查速度并加快响应审核员请求的速度。
借助 Amazon CloudTrail,您可以跟踪并自动应对威胁亚马逊云科技资源安全性的账户活动。与 Amazon CloudWatch Events 集成后,您可以定义在检测到可导致安全漏洞的事件时执行的工作流程。例如,您可以在执行可使您的存储桶公开的 CloudTrail 日志和 API 调用时创建一个工作流程,将特定策略添加到 Amazon S3 存储桶。
使用案例
安全性分析
通过将 Amazon CloudTrail 事件导入您的日志管理和分析解决方案中,您可以执行安全性分析并检测用户行为模式。
合规性协助
Amazon CloudTrail 可提供您亚马逊云科技账户中所有活动的历史记录,让您能够更轻松地确保符合内部策略和监管标准。有关更多信息,请下载亚马逊云科技合规性白皮书“规模安全性:亚马逊云科技中的日志记录”。
操作性问题故障排除
您可以利用由 Amazon CloudTrail 生成的 Amazon API 调用历史记录,对操作性问题进行故障排除。例如,您可以快速识别最近对您环境中的资源进行的更改,包括对亚马逊云科技资源 (例如 Amazon EC2 实例、Amazon VPC 安全组和 Amazon EBS 卷) 进行的创建、修改和删除。
集成
Amazon CloudWatch 日志集成
借助 Amazon CloudTrail 与 Amazon CloudWatch Logs 的集成,您可以将 CloudTrail 记录的管理事件和数据事件发送到 CloudWatch Logs。利用 CloudWatch Logs,您可以创建指标筛选器来监控事件、搜索事件,以及将事件流式传输到其他亚马逊云科技服务,例如 Amazon Lambda。
Amazon CloudWatch Events
Amazon CloudTrail 与 Amazon CloudWatch Events 集成,让您可以自动响应亚马逊云科技资源发生的更改。利用 CloudWatch Events,您可以定义要在 Amazon CloudTrail 记录特定事件时执行的操作。例如,如果 CloudTrail 记录了某个 Amazon EC2 安全组发生的更改 (如添加一项新的传入规则),那么您可以创建一项 CloudWatch Events 规则,将这一活动发送给一个 Amazon Lambda 函数。然后,Lambda 会执行某个工作流程,在 IT 帮助台系统中创建服务单。