Amazon S3 中的日志记录和监控
监控是保持 Amazon S3 和您的 AWS 解决方案的可靠性、可用性和性能的重要方面。我们推荐您从 AWS 解决方案的所有方面收集监控数据,以便更轻松地调试出现的多点故障。在开始监控 Amazon S3 之前,创建一个监控计划,解决以下问题:
-
监控目的是什么?
-
您将监控哪些资源?
-
监控这些资源的频率如何?
-
您将使用哪些监控工具?
-
谁负责执行监控任务?
-
出现错误时应通知谁?
有关 Amazon S3 中的日志记录和监控的更多信息,请参阅以下主题。
注意
有关将 Amazon S3 Express One Zone 存储类与目录存储桶配合使用的更多信息,请参阅 目录存储桶和 S3 Express One Zone 和目录存储桶概述。
监控是保持 Amazon S3 和您的 AWS 解决方案的可靠性、可用性和性能的重要方面。您应该从 AWS 解决方案的各个部分收集监控数据,以便您可以更轻松地调试多点故障(如果发生)。AWS 提供了多种工具来监控您的 Amazon S3 资源并对潜在事件做出响应。
- Amazon CloudWatch 警报
使用 Amazon CloudWatch 警报,您可以在指定时间段内监控某个指标。如果指标超过给定阈值,则会向 Amazon SNS 主题或 AWS Auto Scaling 策略发送通知。CloudWatch 警报将不会调用操作,因为这些操作处于特定状态。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息,请参阅 使用 Amazon CloudWatch 监控指标。
- AWS CloudTrail 日志
CloudTrail 提供了用户、角色或 AWS 服务在 Amazon S3 中所执行操作的记录。使用 CloudTrail 收集的信息,您可以确定向 Amazon S3 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息,请参阅 使用 AWS CloudTrail 记录 Amazon S3 API 调用。
- Amazon GuardDuty
-
Amazon GuardDuty 是一项威胁检测服务,可持续监控您的账户、容器、工作负载和 AWS 环境中的数据,以识别 S3 存储桶面临的潜在威胁或安全风险。GuardDuty 还提供了有关所检测到的威胁的丰富上下文信息。GuardDuty 会监控 AWS CloudTrail 管理日志中是否存在威胁,并显示与安全相关的信息。例如,GuardDuty 会将 API 请求的各个因素纳入考量,如发出请求的用户、发出请求的位置以及请求的特定 API,而这些因素在您的环境中可能存在异常。GuardDuty S3 Protection 会监控 CloudTrail 收集的 S3 数据事件,并识别您环境中所有 S3 存储桶中可能存在的异常和恶意行为。
- Amazon S3 访问日志
服务访问日志提供有关对存储桶做出的请求的详细记录。对于许多应用程序而言,服务器访问日志很有用。例如,访问日志信息可能在安全和访问权限审核方面很有用。有关更多信息,请参阅 使用服务器访问日志记录来记录请求。
- AWS Trusted Advisor
Trusted Advisor 凝聚了从为数十万 AWS 客户提供服务中总结的最佳实践。Trusted Advisor 可检查您的 AWS 环境,然后在有可能节省开支、提高系统可用性和性能或弥补安全漏洞时为您提供建议。所有 AWS 客户均有权访问五个 Trusted Advisor 检查。使用“商业”和“企业”支持计划的客户可以查看所有 Trusted Advisor 检查。
Trusted Advisor 有以下与 Amazon S3 相关的检查:
Amazon S3 存储桶的日志记录配置。
具有开放访问权限的 Amazon S3 存储桶的安全性检查。
未启用版本控制或已暂停版本控制的 Amazon S3 存储桶的容错检查。
有关更多信息,请参阅 AWS Support 用户指南中的 AWS Trusted Advisor。
下面的安全最佳实践也处理日志记录和监控:
主题
