日志记录和事件

AWS CloudTrail – AWS CloudTrail 是一项服务，支持对 AWS 账户进行监管、合规性检查、操作审计和风险审计。借助 CloudTrail，您可以跨 AWS 基础设施记录、持续监控和保留与操作相关的账户活动。CloudTrail 可提供 AWS 账户活动的事件历史记录，包括通过 AWS Management Console、AWS 软件开发工具包、命令行工具和其他 AWS 服务执行的操作。事件历史记录简化了安全分析、资源更改跟踪和故障排除。

在安全和事故调查中，经验证的日志文件非常重要。要确定在 CloudTrail 交付后日志文件是否被修改、删除或未进行更改，您可以使用 CloudTrail 日志文件完整性验证。该功能是使用业界标准算法构建的：哈希采用 SHA-256，数字签名采用带 RSA 的 SHA-256。这样，要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。

默认情况下，CloudTrail 传送到存储桶的日志文件通过 Amazon 服务器端加密进行加密。您可以选择对 CloudTrail 日志文件使用 AWS Key Management Service（AWS KMS）托管密钥（SSE-KMS）。

Amazon CloudWatch Events – Amazon CloudWatch Events 提供近乎实时的系统事件流，描述 AWS 资源中的变化或 AWS CloudTrail 何时发布 API 调用。通过使用可快速设置的简单规则，您可以匹配事件并将事件路由到一个或多个目标函数或流。CloudWatch Events 会在发生操作更改时感知到这些更改。CloudWatch Events 可以对这些操作更改作出响应并在必要时采取纠正措施，方式是发送消息以响应环境、激活函数、进行更改并捕获状态信息。一些安全服务（例如 Amazon GuardDuty）会以 CloudWatch Events 形式生成输出。

AWS Config – AWS Config 服务可以帮助您评估、审计和评价您的 AWS 资源配置。Config 持续监控和记录您的 AWS 资源配置，并支持您自动依据配置需求评估记录的配置。借助 Config，您可以手动或自动查看 AWS 资源之间的配置和关系更改。您可以查看详细的资源配置历史记录，并判断您的配置在整体上是否符合内部指南中所指定的配置要求。如此一来，您将能够简化合规性审计、安全性分析、变更管理和操作故障排除。

Amazon S3 访问日志 – 如果您将敏感信息存储在 Amazon S3 存储桶中，则可以启用 S3 访问日志来记录对该数据的每次上传、下载和修改。此日志与记录存储桶本身更改（例如更改访问策略和生命周期策略）的 CloudTrail 日志是分开的，也是 CloudTrail 日志的补充。

Amazon CloudWatch Logs – 您可以使用 Amazon CloudWatch Logs，借助 CloudWatch Logs 代理从 Amazon Elastic Compute Cloud（Amazon EC2）实例监控、存储和访问您的日志文件（例如操作系统、应用程序和自定义日志文件）。此外，Amazon CloudWatch Logs 可以捕获来自 AWS CloudTrail、Amazon Route 53 DNS 查询、VPC 流日志、Lambda 函数和其他来源的日志。然后，您可以从 CloudWatch Logs 检索关联的日志数据。

Amazon VPC 流日志 – 使用 VPC 流日志，您可以捕获有关传入和传出 VPC 中网络接口的 IP 流量的信息。创建流日志后，您可以在 Amazon CloudWatch Logs 中查看和检索其数据。VPC 流日志可帮助您处理多种任务。例如，您可以使用流日志排查特定流量未到达实例的原因，从而帮助您诊断限制过于严格的安全组规则。您还可以使用流日志作为安全工具来监控到达您的实例的流量。

AWS WAF 日志 – AWS WAF 现在支持完整记录该服务检测到的所有 Web 请求。您可以将这些日志存储在 Amazon S3 中，以满足合规性与审计需求，以及将它们用于调试和额外取证。这些日志可以帮助您了解为什么会触发某些规则和阻止某些 Web 请求。您还可以将这些日志与 SIEM 和日志分析工具集成。

其他 AWS 日志 – 随着创新的推进，我们几乎每天都在继续为客户部署新的特性和功能，这意味着有数十种 AWS 服务提供日志记录和监控功能。有关各项 AWS 服务提供的特性的信息，请参阅该服务的 AWS 文档。