AWS CloudTrail 是一项支持对 AWS 账户进行监管、合规性检查、操作审核和风险审核的服务。借助 CloudTrail,您可以记录日志、持续监控并保留与整个 AWS 基础设施中的操作相关的账户活动。CloudTrail 可提供 AWS 账户活动的事件历史记录,其中包括通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 产品执行的操作。这一事件历史记录可以简化安全性分析、资源更改跟踪和故障排除工作。


简化的合规性
借助 AWS CloudTrail,您可以自动记录和存储 AWS 账户中已执行操作的活动日志,从而简化合规性检查。与 Amazon CloudWatch Logs 集成后,您可以更方便地搜索所有日志数据、识别不合规事件、加快事故调查速度并加快响应审核员请求的速度。

用户与资源活动的可见性
AWS CloudTrail 可通过记录 AWS 管理控制台操作和 API 调用来提高用户和资源活动的可见性。您可以识别调用 AWS 的用户和账户、发起调用的源 IP 地址以及执行调用的时间。

安全性分析和故障排除
借助 AWS CloudTrail,您可以通过捕捉特定时段内您的 AWS 账户中所发生更改的全面历史记录,发现并解决安全性和操作性问题。

安全自动化
借助 AWS CloudTrail,您可以跟踪并自动应对威胁 AWS 资源安全性的账户活动。与 Amazon CloudWatch Events 集成后,您可以定义在检测到可导致安全漏洞的事件时执行的工作流程。例如,您可以在执行可使您的存储桶公开的 CloudTrail 日志和 API 调用时创建一个工作流程,将特定策略添加到 Amazon S3 存储桶。


始终开启
AWS CloudTrail 在所有 AWS 账户上均已启用,并从创建账户开始记录您的账户活动。您可以查看和下载账户最近 90 天的活动,以便创建、修改和删除支持的服务所执行的操作,而无需手动设置 CloudTrail。

事件历史记录
您可以查看、搜索和下载最近的 AWS 账户活动。这让您能够了解 AWS 账户资源中发生的更改,从而强化安全过程并简化操作性问题解决流程。

多地区配置
您可以配置 AWS CloudTrail,使其针对单个账户从多个地区将日志文件发送到单个 Amazon S3 存储桶。将一种配置应用到所有地区可以确保所有设置跨所有现有地区和新推出的地区实现一致应用。有关详细说明,请参阅将 CloudTrail 日志文件聚合到单个 Amazon S3 存储桶 (位于 AWS CloudTrail 用户指南中)。

管理事件
管理事件提供对您的 AWS 账户内的资源执行管理 (“控制层面”) 操作的见解。例如,您可以记录 Amazon EC2 实例的创建、删除和修改等管理操作。对于每个事件,您可以获取 AWS 账户、IAM 用户角色和发起操作的用户的 IP 地址、操作时间及所受影响的资源等详细信息。

数据事件
数据事件提供对资源本身或在其内部执行资源 (“数据层面”) 操作的见解。数据事件通常是高容量活动,包括 Amazon S3 对象级别 API 和 AWS Lambda 函数调用 API 等操作。例如,您可以记录针对 Amazon S3 对象的 API 操作并接收详细信息,如 AWS 账户、IAM 用户角色、发起人的 IP 地址、API 调用时间及其他详细信息。另外,您还可以记录 Lambda 函数的活动并接收有关 Lambda 函数执行的详细信息,如 IAM 用户或执行调用 API 调用操作的服务、调用时间及所执行的函数。


合规性协助
AWS CloudTrail 可提供您 AWS 账户中所有活动的历史记录,让您更轻松地确保符合内部策略和监管标准。有关更多信息,请下载 AWS 合规性白皮书“规模安全性:AWS 中的日志记录”。

安全性分析
通过将 AWS CloudTrail 事件导入日志管理和分析解决方案中,您可以执行安全性分析并检测用户行为模式。

操作性问题故障排除
您可以利用由 AWS CloudTrail 生成的 AWS API 调用历史记录,对操作性问题进行故障排除。例如,您可以快速识别最近对您环境中的资源进行的更改,包括对 AWS 资源 (例如 Amazon EC2 实例、Amazon VPC 安全组和 Amazon EBS 卷) 进行的创建、修改和删除。


Amazon CloudWatch Logs 集成
借助 AWS CloudTrail 与 Amazon CloudWatch Logs 的集成,您可以将 CloudTrail 记录的管理和数据事件发送到 CloudWatch Logs。利用 CloudWatch Logs,您可以创建指标筛选条件来监控事件、搜索事件,以及将事件流式传输到其他 AWS 服务,例如 AWS Lambda。 

Amazon CloudWatch Events
借助 AWS CloudTrail 与 Amazon CloudWatch Events 的集成,您可以自动响应 AWS 资源发生的更改。利用 CloudWatch Events,您可以定义要在 AWS CloudTrail 记录特定事件时执行的操作。例如,如果 CloudTrail 记录了某个 Amazon EC2 安全组发生的更改 (如添加一项新的传入规则),那么您可以创建一项 CloudWatch Events 规则,将这一活动发送给一个 AWS Lambda 函数。然后,Lambda 会执行某个工作流程,在 IT 帮助台系统中创建服务单。


使用本服务须遵循 AWS 客户协议