- 管理與管控›
- AWS CloudTrail›
- 常見問答集
AWS CloudTrail 常見問答集
一般問題
什麼是 AWS CloudTrail?
CloudTrail 可透過追蹤使用者活動和 API 用量,進行稽核、安全監控和操作疑難排解。CloudTrail 會記錄、持續監控並保留 AWS 基礎設施中與動作相關的帳戶活動,讓您控制儲存、分析和修復動作。
CloudTrail 有哪些優點?
CloudTrail 可協助您證明合規、改善安全狀態並跨區域和帳戶整合活動記錄。CloudTrail 藉由記錄帳戶上的動作,讓您清楚掌握使用者的活動情形。CloudTrail 可記錄每個動作的重要資訊,包括提出請求的人員、使用的服務、執行的動作、動作參數,以及 AWS 服務傳回的回應元素。此資訊可協助您追蹤 AWS 資源的變更情況以及排除操作問題。CloudTrail 更輕鬆地確保符合內部政策和法規標準。如需詳細資訊,請參閱 AWS 合規白皮書大規模安全:登入 AWS。
哪些人應使用 CloudTrail?
如果需要稽核活動、監控安全或排除操作問題,請使用 CloudTrail。
開始使用
如果我是新 AWS 客戶或尚未設定 CloudTrail 的現有 AWS 客戶,是否需要進行任何啟用或設定才能檢視帳戶活動?
否,無須額外操作便可開始檢視您的帳戶活動。您可以瀏覽 AWS CloudTrail 主控台或 AWS CLI,開始檢視最多過去 90 天的帳戶活動。
CloudTrail 事件歷史記錄是否會顯示帳戶內的所有帳戶活動?
AWS CloudTrail 只會顯示過去 90 天您在目前檢視區域的 CloudTrail 事件歷史記錄結果,並支援一系列 AWS 服務。這些事件僅限建立、修改及刪除 API 呼叫和帳戶活動的管理事件。如需帳戶活動的完整記錄,包括所有管理事件、資料事件及唯讀活動,您必須設定 CloudTrail 追蹤。
檢視帳戶活動時可使用哪些搜尋篩選條件?
您可以指定時間範圍和下列其中一項屬性:事件名稱、使用者名稱、資源名稱、事件來源、事件 ID 以及資源類型。
即使沒有設定追蹤,是否也可以使用查詢事件 CLI 命令?
是,您可以瀏覽 CloudTrail 主控台或使用 CloudTrail API/CLI 開始檢視過去 90 天的帳戶活動。
在建立追蹤之後可使用哪些額外的 CloudTrail 功能?
設定 CloudTrail 追蹤,以將 CloudTrail 事件傳送到 Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch Logs 及 Amazon CloudWatch Events。這可協助您利用這些功能來封存、分析及回應 AWS 資源中的變更。
我是否可以限制使用者存取權來阻止檢視 CloudTrail 事件歷史記錄?
是,CloudTrail 與 AWS Identity and Access Management (IAM) 整合,可協助您控制對 CloudTrail 和其他 CloudTrail 所需之 AWS 資源的存取。這包括限制檢視和搜尋帳戶活動的許可。從使用者 IAM 政策移除 "cloudtrail:LookupEvents",以阻止該 IAM 使用者檢視帳戶活動。
建立帳戶時啟用 CloudTrail 事件歷史記錄是否會產生任何相關費用?
使用 CloudTrail 事件歷史記錄檢視或搜尋帳戶活動無須任何費用。
是否可以關閉帳戶的 CloudTrail 事件歷史記錄?
對於建立的任何 CloudTrail 追蹤,您都可以停止記錄或刪除這些追蹤。這也將停止將帳戶活動傳送到您指定為追蹤組態的一部分的 Amazon S3 儲存貯體,以及傳送到 CloudWatch Logs (如果已設定)。系統仍會收集過去 90 天的帳戶活動,您可以在 CloudTrail 主控台以及透過 AWS Command Line Interface (AWS CLI) 查看這些記錄。
服務與區域支援
CloudTrail 支援哪些服務?
CloudTrail 可記錄來自大多數 AWS 服務的帳戶活動和服務事件。如需支援的服務清單,請參閱《CloudTrail 使用者指南》中的 CloudTrail 支援服務。
是否記錄來自 AWS 管理主控台的 API 呼叫?
是。CloudTrail 記錄來自任何用戶端的 API 呼叫。AWS 管理主控台、AWS SDK、命令列工具以及更高層級的 AWS 服務稱為 AWS API 操作,因此會記錄這些呼叫。
我的日誌檔在傳送到 S3 儲存貯體之前會在哪裡進行儲存和處理?
具有區域端點 (例如 Amazon Elastic Compute Cloud [Amazon EC2] 或 Amazon Relational Database Service [Amazon RDS]) 的服務活動資訊在執行操作時會在同一區域擷取和處理。然後會將其傳送至與您的 S3 儲存貯體關聯的區域。IAM 和 AWS Security Token Service (AWS STS) 等具有單一端點的服務的活動資訊會在端點所在區域擷取。然後在設定 CloudTrail 追蹤的區域進行處理,並傳送至與您的 S3 儲存貯體關聯的區域。
將追蹤套用到所有區域
將追蹤套用到所有 AWS 區域代表什麼意義?
將追蹤套用到所有 AWS 區域表示建立一個追蹤以記錄存放資料的所有區域中的 AWS 帳戶活動。此設定值也會套用到任何新增的區域。如需有關區域和分區的詳細資訊,請參閱 Amazon 資源名稱和 AWS 服務命名空間頁面。
將追蹤套用到所有區域有哪些好處?
只需呼叫一個 API 或按幾個選項,就能在分區中建立和管理跨所有區域的一個追蹤。您會收到傳送至單一 S3 儲存貯體或 CloudWatch Logs 群組的記錄,其中包含 AWS 帳戶在所有區域進行的帳戶活動。當 AWS 啟動一個新的區域時,您無須採取任何動作,即可收到包含新區域事件歷史記錄的日誌檔。
如何將追蹤套用到所有區域?
在 CloudTrail 主控台中,於追蹤組態頁面選取 yes 以套用到所有區域。如果使用 SDK 或 AWS CLI,將 IsMultiRegionTrail 設定為 true。
將追蹤套用到所有區域後會發生什麼情況?
將追蹤套用在所有區域後,CloudTrail 會透過複製追蹤組態來建立新的追蹤。CloudTrail 會記錄和處理每個區域中的日誌檔,並將包含跨所有區域之帳戶活動的日誌檔,傳送至單一 S3 儲存貯體和單一 CloudWatch Logs 日誌群組。如果您已指定選用 Amazon Simple Notification Service (Amazon SNS) 主題,CloudTrail 會針對傳送至單一 SNS 主題的所有日誌檔,來傳送 Amazon SNS 通知。
是否可以將現有的追蹤套用到所有區域?
是。您可以將現有的追蹤套用到所有區域。當您將現有追蹤套用到所有區域時,CloudTrail 會在所有區域為您建立新的追蹤。如果您之前在其他區域建立了追蹤,可以從 CloudTrail 主控台檢視、編輯和刪除那些追蹤。
CloudTrail 將追蹤組態複製到所有區域需要多長時間?
一般來說,複製追蹤組態到所有區域的時間少於 30 秒。
多個追蹤
一個區域中可以建立多少個追蹤?
一個區域中最多可以建立五個追蹤。套用至所有區域的追蹤存在於每個區域,它在每個區域中視為一個追蹤。
在區域中建立多個追蹤有哪些好處?
使用多個追蹤,不同的利害關係人 (如安全管理員、軟體開發人員和 IT 稽核員) 可以建立並管理自己的追蹤。例如,安全管理員可以建立套用到所有區域的追蹤並使用一個 Amazon Key Management Service (Amazon KMS) 金鑰來設定加密。開發人員可以建立套用於一個區域的追蹤,針對運作問題進行疑難排解。
CloudTrail 是否支援資源層級許可?
是。使用資源層級許可,您可以編寫精細的存取控制政策,允許或拒絕特定使用者存取特定追蹤。如需詳細資訊,請移至 CloudTrail 文件。
安全與過期
我如何保護 CloudTrail 日誌檔的安全?
依預設,會使用 S3 伺服器端加密 (SSE) 來加密 CloudTrail 檔案並置於 S3 儲存貯體中。您可以透過套用 IAM 或 S3 儲存貯體政策來控制對日誌檔的存取。您可以透過在 S3 儲存貯體上啟用 S3 多重要素驗證 (MFA) 刪除來提供多一層的安全保護。如需有關建立和更新追蹤的詳細資料,請參閱 CloudTrail 文件。
哪裡可以下載 S3 儲存貯體政策與 SNS 主題政策的範例?
活動日誌檔可以存放多長時間?
您控制 CloudTrail 日誌檔的保留政策。依預設,日誌檔會無限期存放。您可以使用 S3 物件生命週期管理規則來定義自己的保留政策。例如,您可能想要刪除舊日誌檔,或將這些檔案封存到 Amazon Simple Storage Service Glacier (Amazon S3 Glacier)。
事件訊息、適時性和傳送頻率
事件包含哪些資訊?
事件包含相關活動的資訊:提出請求的人員、使用的服務、執行的動作和動作參數,以及 AWS 服務傳回的回應元素。如需詳細資訊,請參閱使用者指南中的 CloudTrail 時間參考部分。
CloudTrail 交付一個 API 呼叫的事件需要多長時間?
CloudTrail 通常會在 API 呼叫後的 5 分鐘內傳送事件。如需更多有關 CloudTrail 如何運作的資訊,請參閱這裡。
CloudTrail 傳送日誌檔到 S3 儲存貯體的頻率為何?
CloudTrail 大約每五分鐘向您的 S3 儲存貯體傳送日誌檔。如果您的帳戶沒有進行 API 呼叫,則 CloudTrail 不會傳送日誌檔。
當傳送新的日誌檔到 S3 儲存貯體時,是否會通知我?
是。您可以開啟 Amazon SNS 通知,以在傳送新日誌檔時立即採取動作。
我認為自己的其中一個日誌檔案有多個重複事件。我如何知道哪些事件是唯一的?
雖然不常見,但您可能會收到包含一個或多個重複事件的日誌檔案。重複的事件將具有相同的 eventID。如需 eventID 欄位的詳細資訊,請參閱 CloudTrail 記錄內容。
如果我的帳戶已啟用 CloudTrail,但我的 S3 儲存貯體未設定正確的政策,這會出現什麼情況?
CloudTrail 會根據既有的 S3 儲存貯體政策來傳送日誌檔。如果儲存貯體政策的設定錯誤,CloudTrail 將無法無法傳送日誌檔。
是否可以接收重複的事件?
CloudTrail 旨在支援將至少一個已訂閱事件交付到客戶 S3 儲存貯體。在某些情況下,CloudTrail 可能會多次交付相同的事件。因此,客戶可能會注意到重複的事件。
資料事件
什麼是資料事件?
可以如何使用資料事件?
CloudTrail 所記錄的資料事件會傳送至 S3,和管理事件類似。啟用之後,您也可以在 Amazon CloudWatch Events 使用這些事件。
什麼是 S3 資料事件? 如何記錄這些事件?
S3 資料事件代表 S3 物件上的 API 活動。若要讓 CloudTrail 記錄這些動作,您要在建立新追蹤或修改現有追蹤時於資料事件部分指定 S3 儲存貯體。CloudTrail 就會記錄指定的 S3 儲存貯體內物件的所有 API 動作。
什麼是 Lambda 資料事件? 如何記錄這些事件?
Lambda 資料事件會記錄 Lambda 函數的執行時間活動。使用 Lambda 資料事件,您可以取得有關 Lambda 函數執行時間的詳細資訊。Lambda 函數執行時間的範例包括哪個 IAM 使用者或服務進行了 Invoke API 呼叫、何時進行呼叫,以及套用了哪個函數。所有 Lambda 資料事件會交付到 S3 儲存貯體和 CloudWatch Events。使用 CLI 或 CloudTrail 主控台可開啟 Lambda 資料事件的記錄功能,建立新追蹤或編輯現有追蹤則可選擇要記錄的 Lambda 函數。
網路活動事件 (預覽版)
什麼是網路活動事件 (預覽版)?
網路活動事件記錄私有 VPC 中 VPC 端點向 AWS 服務發出的 AWS API 動作,並可協助您滿足網路安全調查需求。這些事件包括已成功通過 VPC 端點政策的 AWS API 呼叫,以及被拒絕的 AWS API 呼叫。管理和資料事件會同時傳遞給 API 呼叫者和資源擁有者,而網路活動事件僅傳遞給 VPC 端點的擁有者。若要記錄網路活動事件,您必須在設定追蹤或事件資料儲存時,明確啟用該功能,並選擇要收集活動的 AWS 服務的事件來源。您也可以新增其他篩選條件,例如按 VPC 端點 ID 進行篩選或僅記錄「存取遭拒」錯誤。網路活動事件會產生額外費用。如需詳細資訊,請參閱 CloudTrail 定價。
VPC 端點的網路活動事件與 VPC 流程日誌有何不同?
VPC 流程日誌可讓您記錄 VPC 中進出網路界面的 IP 流量相關資訊。流程日誌資料可以發布到以下位置:Amazon CloudWatch Logs、Amazon S3 或 Amazon Data Firehose。VPC 端點的網路活動事件記錄私有 VPC 中 VPC 端點向 AWS 服務發出的 AWS API 動作。您能夠從中了解誰在存取您網路中的資源,從而更好地識別和回應資料邊界內的意外動作。您可以檢視被 VPC 端點政策所拒絕動作的日誌,或利用這些事件來驗證更新現有政策產生的影響。
委派管理員
是否可以在我的組織中新增一個委派管理員嗎?
是,CloudTrail 現在支援為每個組織新增最多三個委派管理員。
誰是委派管理員在組織層級建立的組織追蹤或事件資料存放區的擁有者?
管理帳戶仍將為在組織層級建立的任何組織追蹤或事件資料儲存的擁有者,無論其為委派管理員帳戶還是由管理帳號所建立。
委派管理員支援在哪些區域可用?
目前,對 CloudTrail 的委派管理員支援在所有提供 AWS CloudTrail 的區域均可用。如需詳細資訊,請參閱 AWS 區域表。
CloudTrail Insights
什麼是 CloudTrail Insights 事件?
CloudTrail Insights 事件可協助您識別 AWS 帳戶內不尋常的活動,例如資源佈建尖峰、AWS Identity and Access Management (IAM) 動作暴增或定期維護活動差距。CloudTrail Insights 針對異常活動使用持續監控 CloudTrail 寫入管理事件的的機器學習 (ML) 模型。
偵測到異常活動時,CloudTrail Insights 事件會在主控台中顯示,並傳送到 CloudWatch Events、您的 S3 儲存貯體,及選擇性傳送到 CloudWatch Logs 群組。這可讓您更輕鬆地建立提醒,並與現有的事件管理和工作流程系統整合。
CloudTrail Insights 有助識別哪種活動類型?
CloudTrail Insights 透過分析 AWS 帳戶及區域內的 CloudTrail 寫入管理事件,偵測不尋常活動。不尋常或異常活動的定義是 AWS API 叫用量偏離根據先前確立的操作模型或基準預期的值。CloudTrail Insights 會考量您 API 叫用中的帳戶時間趨勢,並將調整基準套用為工作負載變化,根據您的正常操作型態變化加以調整。
CloudTrail Insights 有助您偵測行為異常的指令碼或應用程式。有時,開發人員會變更開始重複迴圈或進行大量叫用意外資源 (例如資料庫、資料存放區或其他函數) 的指令碼或應用程式。在月底計費週期發現成本意料外激增,或者實際發生中斷故障或中斷之前,通常不會注意到這些異常行為。CloudTrail Insights 事件可讓您察覺 AWS 帳戶中的這些變化,盡快加以改正。
CloudTrail Insights 與使用異常偵測的其他 AWS 服務如何彼此合作?
CloudTrail Insights 可識別 AWS 帳戶中不尋常的操作活動,能協助您處理操作問題,盡量降低對營運和業務的影響。Amazon GuardDuty 著重於改善您的帳戶安全性,透過監控帳戶活動提供威脅偵測。Amazon Macie 的設計透過發現、分類和保護敏感資料,改善您帳戶的資料保護。這些服務針對您帳戶中可能衍生的不同問題類型,提供補強保護。
我是否需要設定 CloudTrail,CloudTrail Insights 才能運作?
是。CloudTrail Insights 事件採用個別追蹤配置,因此您必須設定至少一個追蹤。您開啟 CloudTrail Insights 事件進行追蹤時,CloudTrail 會開始監控該追蹤擷取的寫入管理事件中不尋常的型態。如果 CloudTrail Insights 偵測到不尋常活動,CloudTrail Insights 事件會記錄在追蹤定義中指定的交付目的地。
CloudTrail Insights 監控哪些事件類型?
CloudTrail Insights 會追蹤寫入管理 API 操作的異常活動。
我該如何開始?
您可以使用主控台、CLI 或軟體開發套件,在您的帳戶中針對個別追蹤啟用 CloudTrail Insights 事件。也可以使用 AWS Organizations 管理帳戶中設定的組織追蹤,針對全組織啟用 CloudTrail Insights 事件。您可以選擇追蹤定義中的選項按鈕,開啟 CloudTrail Insights 事件。
CloudTrail Lake
為什麼要使用 CloudTrail Lake?
CloudTrail Lake 可協助您檢查事件,方法是查詢 CloudTrail 記錄的所有動作、AWS Config 記錄的設定項目、Audit Manager 提供的證據或來自非 AWS 來源的事件。它可協助消除操作相依性來簡化事件日誌記錄,並提供各種工具來協助減少對跨團隊複雜資料處理管道的依賴。CloudTrail Lake 不需要您將 CloudTrail 日誌移動和擷取至其他位置,這有助於保持資料保真度,以及減少調節日誌的低速率限制。它還提供近乎即時的延遲,因為它經過微調可處理大量結構化日誌,使其可用於事件調查。該服務使用 SQL 提供熟悉的多屬性查詢體驗,並且能夠排程和處理多個並行查詢。對於 SQL 使用經驗較少的使用者,可以使用自然語言查詢產生功能來協助建立 SQL 查詢,簡化資料分析。使用 AI 彙總查詢結果的功能 (預覽版) 進一步增強您從活動日誌中取得有意義洞見並高效調查事件的能力。 此外,預先精選和自訂儀表板可提供直覺的方式,來視覺化和分析直接在 CloudTrail 主控台內事件資料存放區中儲存的資料。透過結合這些功能,CloudTrail Lake 讓您能夠高效調查事件並獲得對 AWS 環境的深入洞察,同時簡化資料管理流程。
此功能如何與其他 AWS 服務關聯與搭配使用?
CloudTrail 是 AWS 服務中使用者活動和 API 用量的規範日誌來源。一旦日誌在 CloudTrail 中可用,您就可以善用 CloudTrail Lake 來檢查 AWS 服務的活動。您可以查詢並分析使用者活動和受影響的資源,然後使用這些資料來解決識別不良行為者和基線許可等問題。
如何從 AWS 以外的來源擷取事件,例如自訂應用程式、第三方應用程式或其他公有雲端?
您可以使用 CloudTrail 主控台並透過幾個步驟來尋找並新增合作夥伴整合,以開始從這些應用程式接收活動事件,且無需建置並維護自訂整合。對於可用合作夥伴整合以外的來源,您可以使用新的 CloudTrail Lake API 來設定您自己的整合,並將事件推送至 CloudTrail Lake。若要開始使用,請參閱在 CloudTrail 使用者指南中使用 CloudTrail Lake。
何時建議使用 AWS Config 進階查詢,而不是使用 CloudTrail Lake 從 AWS Config 查詢組態項目?
若客戶想要彙總和查詢目前狀態的 AWS Config 組態項目 (CI),建議使用 AWS Config 進階查詢。這可在庫存管理、安全和營運智慧、成本最佳化以及合規資料方面為客戶提供協助。如果您是 AWS Config 客戶,可免費使用 AWS Config 進階查詢。
CloudTrail Lake 支援 AWS Config 組態項目的查詢覆蓋,包括資源組態和合規歷史記錄。分析包含相關 CloudTrail 事件的資源組態和合規歷史記錄,有助於推斷何人、何時對這些資源做出了變更,以及做出哪些變更。這有助於對與安全風險或不合規相關事件進行根本原因分析。如果您必須跨 CloudTrail 事件和歷史記錄組態項目彙總和查詢資料,建議使用 CloudTrail Lake。
如果現在將組態項目從 AWS Config 擷取至 CloudTrail Lake,CloudTrail Lake 會協助我的歷史設定項目 (在建立 CloudTrail Lake 之前產生),還是僅收集新記錄的設定項目?
CloudTrail Lake 不會擷取在設定 CloudTrail Lake 之前產生的 AWS Config 組態項目。AWS Config 在帳戶層級或組織層級新記錄的組態項目,會傳送至指定的 CloudTrail Lake 事件資料存放區。這些組態項目可在指定的保留期間內於 Lake 中提供查詢,並可用於進行歷史資料分析。
是否可以始終透過查詢 CloudTrail Lake,來了解哪個使用者進行了特定的組態變更?
如果多個使用者連續快速地嘗試對單一資源進行多個組態變更,則只能建立一個組態項目來映射至資源的最終狀態組態。在這種情況和類似情況下,可能無法透過查詢特定時間範圍和資源 ID 的 CloudTrail 和組態項目,來提供關於哪個使用者進行了哪些組態變更的 100% 關聯性。
如果我之前使用過追蹤,是否可以將現有 CloudTrail 日誌帶到我現有的或新的 CloudTrail Lake 事件資料存放區?
是。CloudTrail Lake 匯入功能支援從存放多個帳戶 (來自組織追蹤) 和多個 AWS 區域中日誌的 S3 儲存貯體複製 CloudTrail 日誌。您還可以從個別帳戶和單區域追蹤中匯入日誌。匯入功能還可讓您指定匯入日期範圍,以便您僅導入在 CloudTrail Lake 中長期儲存和分析所需的日誌子集。合併日誌後,您可以對日誌執行查詢,從啟用 CloudTrail Lake 後收集的最新事件,到從您的追蹤中帶來的歷史事件。
此匯入功能是否會影響 S3 中的原始追蹤?
匯入功能將日誌資訊從 S3 複製到 CloudTrail Lake,並將原始副本保留在 S3 中。
啟用 CloudTrail Lake 功能後,我可以查詢哪些 CloudTrail 事件?
您可以針對 CloudTrail 收集的任何事件類別啟用 CloudTrail Lake,具體取決於您的內部疑難排解需求。事件類別包含記錄控制平面活動 (如 CreateBucket 和 TerminateInstances) 的管理事件;記錄資料平面活動 (如 GetObject 和 PutObject) 的資料事件;以及記錄使用私有 VPC 中 VPC 端點向 AWS 服務發出的 AWS API 動作的網路活動事件 (預覽版)。您不需要為任何這些事件單獨訂閱試用版。對於 CloudTrail Lake,您需要在一年可延長保留和七年保留定價選項之間進行選擇,價格將影響您的成本以及活動保留的持續時間。您可以隨時查詢資料。在 CloudTrail Lake 儀表板中,我們支援查詢 CloudTrail 事件。
啟用 CloudTrail Lake 功能後,我需要等待多長時間才能開始編寫查詢?
您幾乎可以立即開始查詢啟用該功能後發生的活動。
我是否可以使用 CloudTrail Lake 解決哪些常見的安全和營運使用案例?
常見使用案例包括調查安全事件,如未經授權的存取或洩露的使用者憑證,以及透過執行稽核定期確定使用者許可的基線來增強您的安全狀態。您可以執行必要稽核以確認正確的使用者組正在對您的資源 (例如安全群組) 做出變更,並追蹤任何不符合您組織最佳實務的變更。此外,您可以追蹤對您的資源採取的動作並評估修改或刪除,以及深入了解您的 AWS 服務帳單,包括訂閱服務的 IAM 使用者。
如何開始使用 CloudTrail Lake?
無論您是現有還是新的 CloudTrail 客戶,都可以透過 API 或 CloudTrail 主控台啟用該功能,立即開始使用 CloudTrail Lake 功能來執行查詢。
選取 CloudTrail 主控台左側面板上的 CloudTrail Lake 標籤,然後選取「建立事件資料存放區」按鈕。建立事件資料存放區時,您可以選擇用於事件資料儲存區的定價選項。定價選項決定擷取事件的成本,以及事件資料儲存的最長和預設的保留期間。然後,選取要記錄的事件類別 (管理、資料和網路活動事件)。此外,您還可以利用增強的事件篩選功能來控制將哪些 CloudTrail 事件擷取到您的事件資料存放區中,從而協助您提高效率並降低成本,同時保持相關活動的可見性。設定事件資料存放區後,您可以使用 SQL 式查詢對自己擁有或管理的任何事件資料存放區進行查詢。對於不熟悉 SQL 的使用者,可以使用自然語言查詢產生功能來協助建立 SQL 查詢。
此外,您可以使用生成式 AI 來彙總查詢結果 (預覽版),進一步增強您從 CloudTrail 資料取得洞見的能力。為協助視覺化您的 CloudTrail Lake 資料,您可以使用 CloudTrail 主控台中直接提供的預先精選儀表板,從稽核和安全資料中取得即用的可見性和關鍵洞見。 若要進行更有針對性的監控和分析,您還可以選擇根據您的特定需求建立自訂儀表板。
我建立具有七年保留定價的事件資料存放區。我可以將相同的事件資料儲存遷移到一年可延長保留定價選項嗎? 我根據七年保留定價所擷取的事件資料存放區中現有資料會發生什麼情況?
是。您可以將定價選項從七年保留定價更新為一年可延長保留定價,作為事件資料存放區設定的一部分。您現有的資料將在設定的保留期間內保留在事件資料存放區中。此資料不會產生任何延長保留費用。但是,任何新擷取的資料都會依據擷取和延長保留的一年延長保留定價收費。
我建立了一個事件資料存放區,並具有一年可延長保留定價。我可以將相同的事件資料存放區遷移到七年保留定價選項嗎?
不可以。我們目前不支援將事件資料存放區從一年可延長保留定價移轉到七年保留定價。但是,您可關閉目前事件資料存放區的日誌,同時建立新事件資料存放區,並針對新擷取的資料保留定價為七年。您仍然可以使用各自的定價選項和設定的保留期間,保留和分析兩個事件資料存放區中的資料。
為什麼 CloudTrail Lake 的保留期間是根據事件時間計算,而不是根據 CloudTrail Lake 的擷取時間?
CloudTrail Lake 是一個稽核湖,可幫助客戶滿足其在合規和稽核方面的使用案例需求。根據他們的合規計劃授權,客戶需要自產生日誌的指定期間,保留稽核日誌,無論它們何時被擷取到 CloudTrail Lake。
如果我將歷史 CloudTrail 事件從 S3 擷取到 CloudTrail Lake,並將事件資料存放區保留期設定為 1 年,此事件是否會自擷取時間起,始終儲存在 CloudTrail Lake 1 年?
不。由於這是有一個過去事件時間的歷史事件,因此自過去的事件時間開始,此活動將保留在 CloudTrail Lake,而保留期間為 1 年。因此,該活動將儲存在 CloudTrail Lake 的時間期限將不到 1 年。
我現在可以在儀表板上以視覺化方式呈現 CloudTrail Lake 中的哪些類型事件?
CloudTrail Lake 的預先精選儀表板支援 CloudTrail 管理、資料和洞察事件的視覺化。此外,您可以靈活地建立自訂儀表板,而這些儀表板可視覺化儲存在事件資料存放區中的任何類型的資料,從而讓您根據特定需求量身打造分析。
是否在帳戶層級或事件資料存放區層級啟用儀表板?
如今,儀表板已在帳戶層級啟用。
啟用 CloudTrail Lake 儀表板時會產生哪些費用?
CloudTrail Lake 儀表板由 CloudTrail Lake 查詢提供支援。啟用 CloudTrail Lake 儀表板時,將會向您收取掃描的資料費用。請參閱定價頁面了解詳細資訊。
目前是否可立即建立自訂儀表板?
是的,您可以建立自己的自訂儀表板,也可以設定排程以定期予以重新整理。
CloudTrail Lake 預先精選儀表板支援哪些使用案例?
CloudTrail Lake 提供一套預先精選儀表板,可滿足安全性、合規性、營運和資源管理等各種使用案例的需求。這些立即可用的儀表板針對特定情境量身打造,可在雲端治理的各個方面提供即時價值:
- 對於安全監控,「安全監控儀表板」等儀表板可協助追蹤關鍵的安全事件,包括存取遭拒事件、登入嘗試失敗和破壞性動作。
- 為支援合規工作,「IAM 活動儀表板」提供了對 IAM 實體變更的可見性,幫助識別意外的 IAM 動作和潛在的合規問題。
- 雲端維運團隊可以利用「錯誤分析儀表板」來識別限流錯誤和其他跨服務的操作問題,並對其進行疑難排解。
- 對於資源管理,「資源變更儀表板」提供了跨 AWS 資源的佈建、刪除和修改趨勢的可見性,包括透過 CloudFormation 和手動進行的變更。
- 組織可以受益於「組織活動儀表板」,該儀表板提供對帳戶管理、存取模式和政策變更的洞察。
- 適用於 EC2、Lambda、DynamoDB 和 S3 的服務特定儀表板,提供對這些服務的管理和資料平面活動的詳細可見性。
日誌檔彙總
我有多個 AWS 帳戶。但我想要將所有帳戶的日誌檔都傳送到單一 S3 儲存貯體。我是否可以這樣做?
是。您可以針對多個帳戶將單一 S3 儲存貯體設定為目的地。如需詳細說明,請參閱《CloudTrail 使用者指南》中的 將日誌檔彙總至單一 S3 儲存貯體部分。
與 CloudWatch Logs 整合
什麼是 CloudTrail 與 CloudWatch Logs 整合?
CloudTrail 與 CloudWatch Logs 整合可將 CloudTrail 擷取的管理和資料事件傳送到您指定的 CloudWatch Logs 日誌群組中的 CloudWatch Logs 日誌串流。
CloudTrail 與 CloudWatch Logs 整合有哪些優點?
這樣的整合可協助您接收 CloudTrail 所擷取的帳戶活動的 SNS 通知。例如,您可以建立 CloudWatch 警示來監控建立、修改及刪除安全群組和網路存取控制清單 (ACL) 的 API 呼叫。
如何啟用 CloudTrail 與 CloudWatch Logs 的整合?
您可以透過指定 CloudWatch Logs 日誌群組和 IAM 角色,來從 CloudTrail 主控台開啟 CloudTrail 與 CloudWatch Logs 的整合。您可以使用 AWS SDK 或 AWS CLI 來開啟此整合。
啟用 CloudTrail 與 CloudWatch Logs 的整合時會發生什麼事?
啟用該整合後,CloudTrail 會持續傳送帳戶活動到指定的 CloudWatch Logs 日誌群組中的 CloudWatch Logs 日誌串流。CloudTrail 也會像以前一樣繼續傳送日誌到 S3 儲存貯體。
哪些 AWS 區域支援 CloudTrail 與 CloudWatch Logs 的整合?
支援 CloudWatch Logs 的區域均支援這類整合。如需詳細資訊,請參閱 AWS 一般參考資料中的區域和端點。
CloudTrail 如何將包含帳戶活動的事件傳送至 CloudWatch Logs?
CloudTrail 會採用您指定的 IAM 角色,將帳戶活動傳送到 CloudWatch Logs。您可以限制 IAM 角色僅具有向 CloudWatch Logs 日誌串流提供事件所需的權限。若要檢閱 IAM 角色政策,請參閱 CloudTrail 文件的使用者指南。
開始將 CloudTrail 與 CloudWatch Logs 整合之後會產生哪些費用?
開啟 CloudTrail 與 CloudWatch Logs 的整合後,您即產生標準 CloudWatch Logs 和 CloudWatch 費用。如需詳細資訊,請瀏覽 CloudWatch 定價頁面。
使用 AWS KMS 的 CloudTrail 日誌檔加密
透過 AWS KMS 使用伺服器端加密的 CloudTrail 日誌檔加密有哪些優點?
使用 SSE-KMS 的 CloudTrail 日誌檔加密可協助您透過 KMS 金鑰來加密日誌檔,對傳送至 S3 儲存貯體的 CloudTrail 日誌檔提供多一層的安全保護。在預設情況下,CloudTrail 會使用 S3 伺服器端加密來加密傳送至 S3 儲存貯體的日誌檔。
我有一個可導入和處理 CloudTrail 日誌檔的應用程式。是否需要對應用程式進行任何變更?
使用 SSE-KMS 時,S3 會自動加密日誌檔,因此您無須對應用程式進行任何變更。如往常一樣,您必須確定應用程式具有適當的許可,例如 S3 GetObject 和 AWS KMS Decrypt 許可。
如何設定 CloudTrail 日誌檔加密?
您可以使用 AWS 管理主控台,或是 AWS CLI 或 AWS 開發套件來設定日誌檔加密。如需詳細說明,請參閱文件。
使用 SSE-KMS 設定加密需支付哪些費用?
使用 SSE-KMS 設定加密之後,您將需要支付標準 AWS KMS 費用。如需詳細資訊,請瀏覽 AWS KMS 定價頁面。
CloudTrail 日誌檔完整性驗證
什麼是 CloudTrail 日誌檔完整性驗證?
CloudTrail 日誌檔完整性驗證功能可協助您判斷 CloudTrail 將日誌檔傳送至指定的 S3 儲存貯體之後,CloudTrail 日誌檔是否維持不變、已刪除或已修改。
CloudTrail 日誌檔完整性驗證有哪些優點?
您可以將日誌檔完整性驗證做為 IT 安全和稽核程序的協助工具。
如何啟用 CloudTrail 日誌檔完整性驗證?
您可以從主控台、AWS CLI 或 AWS 開發套件啟用 CloudTrail 日誌檔完整性驗證功能。
開啟日誌檔完整性驗證功能之後,會出現什麼情況?
開啟日誌檔完整性驗證功能之後,CloudTrail 將每小時傳送摘要檔。摘要檔案包含有關傳送至 S3 儲存貯體的日誌檔資訊,以及這些日誌檔的雜湊值。此外,它們還在 S3 中繼資料部分包含了先前摘要檔案的數位簽章,以及目前摘要檔案的數位簽章。如需摘要檔、數位簽章和雜湊值的詳細資訊,請參閱 CloudTrail 文件。
摘要檔會傳送到何處?
摘要檔和日誌檔會傳送到相同的 S3 儲存貯體,但傳送到不同的資料夾,因此您可以強制執行精細存取控制政策。如需詳細資訊,請參閱 CloudTrail 文件的摘要檔結構部分。
如何驗證 CloudTrail 交付的日誌檔或摘要檔完整性?
您可以使用 AWS CLI 驗證日誌檔或摘要檔的完整性,也可以建置自己的工具來執行驗證。如需使用 AWS CLI 驗證日誌檔完整性的詳細資訊,請參閱 CloudTrail 文件。
我將所有區域和多個帳戶的日誌檔彙總至單一 S3 儲存貯體。摘要檔是否會傳送到同一個 S3 儲存貯體?
是。CloudTrail 會將所有區域和多個帳戶的摘要檔傳送到同一個 S3 儲存貯體。
CloudTrail 處理程式庫
什麼是 CloudTrail 處理程式庫?
CloudTrail 處理程式庫是一個 Java 程式庫,可以協助您更輕鬆地建構用來讀取和處理 CloudTrail 日誌檔的應用程式。您可以從 GitHub 下載 CloudTrail 處理程式庫。
CloudTrail 處理程式庫提供何種功能?
CloudTrail 處理程式庫提供處理以下任務的功能,例如持續輪詢 SQS 佇列及讀取和剖析 Amazon Simple Queue Service (Amazon SQS) 訊息,此外還可以下載 S3 中存放的日誌檔、以容錯方式剖析和序列化日誌檔事件。如需詳細資訊,請參閱 CloudTrail 文件的使用者指南。
我需要何種軟體來開始使用 CloudTrail 處理程式庫?
您需要 aws-java-sdk 版本 1.9.3 和 Java 1.7 或更高版本。
定價
CloudTrail 追蹤如何收費?
CloudTrail 可協助您免費檢視、搜尋並下載過去 90 天的帳戶管理事件。您可以透過建立追蹤,免費將進行中的管理事件傳送到 S3。設定 CloudTrail 追蹤之後,會根據用量收取 S3 費用。
您可以使用追蹤傳送額外的事件複本,包括資料事件和網路活動事件 (預覽版)。您需要為資料事件、網路活動事件和管理事件的額外複本付費。在定價頁面上進一步了解。
如果管理事件只有一個追蹤,且套用到所有區域,是否需要付費?
否。每個區域中管理事件的第一個副本都是免費傳送。
如果我在免費管理事件的現有追蹤上啟用資料事件,是否需要付費?
是。您只需支付資料事件的費用。管理事件的第一個副本是免費傳送的。
CloudTrail Lake 如何收費?
針對 CloudTrail Lake,您需同時為擷取和儲存付費,且帳單是根據擷取的未壓縮資料量,以及儲存的壓縮資料量計費。建立事件資料存放區時,您可以選擇用於事件資料儲存區的定價選項。定價選項決定擷取事件的成本,以及事件資料儲存的最長和預設的保留期間。查詢費用是根據您選擇分析的壓縮資料而定。在定價頁面上進一步了解。
如果我知道我在追蹤中的歷史 CloudTrail 使用情況,是否可以計算我預估的 CloudTrail Lake 擷取量?
是。每個 CloudTrail 事件平均約為 1500 個位元組。您可使用此映射根據過去一個月在追蹤中的 CloudTrail 使用情況,按事件數量估計 CloudTrail Lake 的擷取量。
合作夥伴
AWS 合作夥伴解決方案如何協助我分析 CloudTrail 記錄的事件?
多個合作夥伴可提供整合的解決方案來分析 CloudTrail 日誌檔。這些解決方案包括變更追蹤、故障診斷和安全分析等功能。如需詳細資訊,請參閱 CloudTrail 合作夥伴部分。
我該如何將整合布設至 CloudTrail Lake 並作為可用的來源?
若要開始處理整合,請參閱合作夥伴布設指南。與您的合作夥伴開發團隊或合作夥伴解決方案架構師互動,以聯絡 CloudTrail Lake 團隊並深入瞭解內容或詢問進一步的問題。
其他
啟用 CloudTrail 是否會影響我的 AWS 資源效能或增加 API 呼叫的延遲?
否。開啟 CloudTrail 對 AWS 資源的效能或 API 呼叫的延遲沒有影響。