选择和实施日志查询机制
在 AWS 中,可以用来查询日志的主要服务包括 CloudWatch Logs Insights(用于查询存储在 CloudWatch 日志组中的数据)和 Amazon Athena
选择日志查询工具的过程中,应考虑安全运营的人员、流程和技术方面。选择一款能够满足运营、业务和安全要求并可长期使用和维护的工具。请记住,当要扫描的日志数量保持在工具的限制范围内时,日志查询工具的工作状态最佳。由于成本或技术限制,客户拥有多款查询工具的情况并不罕见。例如,客户可能会使用第三方 SIEM 对过去 90 天的数据执行查询,但由于 SIEM 的日志提取成本较高,会使用 Athena 来执行 90 天以上的查询。无论采用何种实施方式,都要验证您的方法能够尽可能地减少充分提高运营效率所需的工具数量,尤其在安全事件调查期间。
