选择并启用日志源 - AWS 安全事件响应 用户指南

选择并启用日志源

进行安全调查之前,您需要捕获相关日志,以便以回溯方式重建 AWS 账户中的活动。选择并启用与其 AWS 账户工作负载相关的日志源。

AWS CloudTrail 是一项日志记录服务,可跟踪针对 AWS 账户捕获 AWS 服务活动所进行的 API 调用。它在默认情况下启用,管理事件保留 90 天,可以使用 AWS Management Console、AWS CLI 或 AWS SDK 通过 CloudTrail 事件历史记录工具检索这些事件。为了更长久地保留和了解数据事件,您需要创建 CloudTrail 跟踪并将其与 Amazon S3 存储桶关联,也可以选择与 CloudWatch 日志组关联。或者,您可以创建 CloudTrail Lake,这可保留 CloudTrail 日志最多七年,并提供基于 SQL 的查询工具。

AWS 建议使用 VPC 的客户分别使用 VPC 流日志Amazon Route 53 Resolver 查询日志启用网络流量和 DNS 日志,并将其流式传输到 Amazon S3 存储桶或 CloudWatch 日志组。您可以为 VPC、子网或网络接口创建 VPC 流日志。对于 VPC 流日志,您可以选择启用流日志的方式和位置,以降低成本。

AWS CloudTrail 日志、VPC 流日志和 Route 53 解析器查询日志是支持 AWS 中安全调查的基本日志记录三要素

AWS 服务可以生成基本日志记录三要素未捕获到的日志,如弹性负载均衡日志、AWS WAF 日志、AWS Config 记录器日志、Amazon GuardDuty 调查发现、Amazon Elastic Kubernetes Service(Amazon EKS)审计日志,以及 Amazon EC2 实例操作系统和应用程序日志。有关日志记录和监控选项的完整列表,请参阅附录 A:云功能定义