AWS CloudTrail 是一项 Web 服务,用于记录账户的 AWS API 调用,并向发送日志文件。记录的信息包括 API 调用者的身份、API 调用的时间、API 调用者的源 IP 地址、请求参数以及 AWS 服务返回的响应元素。
提高了可见性
CloudTrail 通过记录 AWS API 调用,提高了对用户活动的可见性。会知道以下问题的答案,例如,特定用户在特定时间内执行了哪些操作?对于特定的资源,哪些用户在特定的时间内对它执行了操作?特定活动的源 IP 地址是什么?哪些活动因权限不足而失败?
牢靠而实惠的日志文件存储
CloudTrail 使用 Amazon S3 存储和传送日志文件,所以日志文件的存储既牢靠又经济实惠。可以使用 Amazon S3 生命周期配置规则进一步降低存储成本。例如,可以将规则定义为自动删除旧日志文件或将其归档到 Amazon Glacier,从而节省更多成本。
轻松的管理
CloudTrail 是一种完全托管型的服务;只需使用 AWS 管理控制台、命令行界面或 CloudTrail 软件开发工具包就可以为账户启动 CloudTrail,然后开始在指定的 Amazon Simple Storage Service (Amazon S3) 存储段中接收 CloudTrail 的日志文件。
日志文件传送的通知
CloudTrail 可配置为每传送一个日志文件便发布一个通知,从而使能够在日志文件送达时自动执行操作。CloudTrail 使用 Amazon Simple Notification Service (SNS) 发布通知。
多种合作伙伴解决方案可选
AlertLogic、Boundary、Loggly、Splunk 和 Sumologic 等合作伙伴都提供了集成的解决方案,用于分析 CloudTrail 日志文件。这些解决方案包括变更追踪、故障排查和安全分析等功能。
日志文件合并
CloudTrail 可配置为合并多个账户和地区的日志文件,这样多个日志文件便可以传送到一个存储段中。
及时可靠地交付
CloudTrail 利用高可用性和容错处理管道,连续地从 AWS 服务中传送事件。CloudTrail 一般会在 API 调用后 15 分钟内传送事件。
故障排除操作性或安全性问题
可以查找针对 AWS 账户捕捉的 API 活动,以此来处理故障排除操作性问题或进行安全性分析。使用 AWS CloudTrail 控制台、AWS CLI 或 AWS 软件开发工具包,可以快速轻松地解答最近 7 天中与 API 活动相关的问题并立即进行操作。
接收 API 活动的 SNS 通知
可将 CloudTrail 配置为,向指定的 CloudWatch Logs 日志组传送 API 活动。然后,可以创建 CloudWatch 警报以在发生特定 API 活动时接收 SNS 通知。
加密的日志文件
默认情况下,CloudTrail 会使用 Amazon S3 服务器端加密 (SSE) 加密交付到特定 Amazon S3 存储桶的所有日志文件。另外,还可以使用 AWS Key Management Service (KMS) 密钥加密日志文件,从而为 CloudTrail 日志文件增加一个额外的安全层。如果具有加密权限,Amazon S3 会自动加密日志文件。
日志文件完整性验证
可以验证存储在 Amazon S3 存储桶中的 CloudTrail 日志文件的完整性,并检测这些日志文件在 CloudTrail 将它们交付到 Amazon S3 存储桶后是否发生过更改、修改或删除。