什么是 CloudTrail
Amazon CloudTrail 是一项支持对亚马逊云科技账户进行监管、合规性检查、操作审核和风险审核的服务。借助 CloudTrail,您可以记录日志、持续监控并保留与整个亚马逊云科技基础设施中的操作相关的账户活动。CloudTrail 可提供亚马逊云科技账户活动的事件历史记录,其中包括通过 Amazon 管理控制台、Amazon 开发工具包、命令行工具和其他亚马逊云科技产品执行的操作。这一事件历史记录可以简化安全性分析、资源更改跟踪和故障排除工作。
优势
用户与资源活动的可见性
Amazon CloudTrail 可通过记录 Amazon 管理控制台操作和 API 调用来提高对用户和资源活动的可见性。您可以识别调用亚马逊云科技的用户和账户、发起调用的源 IP 地址以及执行调用的时间。
安全性分析和故障排除
借助 Amazon CloudTrail,您可以通过捕捉特定时段内您的亚马逊云科技账户中所发生更改的全面历史记录,发现并解决安全性和操作性问题。
简化的合规性
借助 Amazon CloudTrail,您可以自动记录和存储亚马逊云科技账户中已执行操作的事件日志,从而简化合规性审核。与 Amazon CloudWatch Logs 集成后,您可以更方便地搜索所有日志数据、识别不合规事件、加快事故调查速度并加快响应审核员请求的速度。
安全自动化
借助 Amazon CloudTrail,您可以跟踪并自动应对威胁亚马逊云科技资源安全性的账户活动。与 Amazon CloudWatch Events 集成后,您可以定义在检测到可导致安全漏洞的事件时执行的工作流程。例如,您可以在执行可使您的存储桶公开的 CloudTrail 日志和 API 调用时创建一个工作流程,将特定策略添加到 Amazon S3 存储桶。
使用场景
集成
Amazon CloudWatch 日志集成
借助 Amazon CloudTrail 与 Amazon CloudWatch Logs 的集成,您可以将 CloudTrail 记录的管理事件和数据事件发送到 CloudWatch Logs。利用 CloudWatch Logs,您可以创建指标筛选条件来监控事件、搜索事件,以及将事件流式传输到其他亚马逊云科技服务,例如 Amazon Lambda。
Amazon CloudWatch Events
Amazon CloudTrail 与 Amazon CloudWatch Events 集成,让您可以自动响应亚马逊云科技资源发生的更改。利用 CloudWatch Events,您可以定义要在 Amazon CloudTrail 记录特定事件时执行的操作。例如,如果 CloudTrail 记录了某个 Amazon EC2 安全组发生的更改(如添加一项新的传入规则),那么您可以创建一项 CloudWatch Events 规则,将这一活动发送给一个 Amazon Lambda 函数。然后,Lambda 会执行某个工作流程,在 IT 帮助台系统中创建服务单。