收集和处理日志

CloudWatch Logs 可用于监控、存储和访问来自 Amazon EC2 实例、AWS CloudTrail、Route 53 和其他来源的日志文件。请参阅将日志发布到 CloudWatch Logs 的 AWS 服务文档页面。

日志信息包括如：

• 对 Amazon S3 对象的访问进行细粒度日志记录

• 有关通过 VPC-Flow Logs 的网络流量的详细信息

• 使用 AWS Config 规则进行基于规则的配置验证和操作

• 在 CloudFront 中通过 Web 应用程序防火墙（WAF）功能对应用程序的 HTTP 访问进行筛选和监控

通过在 Amazon EC2 实例或本地服务器上安装 CloudWatch 代理，还可以将自定义应用程序指标和日志发布到 CloudWatch Logs。

可以使用 CloudWatch Logs Insights 以交互方式分析日志，进而执行查询来帮助您更高效、更有效地对运营问题作出响应。

CloudWatch Logs 可以通过配置订阅筛选器近乎实时地进行处理，并可以传送到其他服务进行自定义处理、分析或加载到其他系统，如 Amazon OpenSearch Service（OpenSearch Service）集群、Amazon Kinesis 流、Amazon Kinesis Data Firehose 流或 Lambda。

CloudWatch 指标筛选器可用于定义要在日志数据中查找的模式，将它们转换为数字 CloudWatch 指标，以及根据您的业务要求设置警报。例如，按照不使用根用户执行日常任务的 AWS 建议，可以在 CloudTrail 日志（传送到 CloudWatch Logs）上设置特定的 CloudWatch 指标筛选器来创建自定义指标，并可以配置警报，在根凭证被用来访问您的 AWS 账户时通知相关的利益攸关方。

Amazon S3 服务器访问日志、Elastic Load Balancing 访问日志、VPC 流日志和 AWS Global Accelerator 流日志等日志可以直接传送到 Amazon S3 存储桶。例如，当您启用 Amazon Simple Storage Service 服务器访问日志时，您可以获取有关向 Amazon S3; 存储桶发起的请求的详细信息。访问日志记录包含有关请求的详细信息，例如请求类型、请求中指定的资源，以及处理请求的时间和日期。有关日志消息内容的更多信息，请参阅 Amazon Simple Storage Service 开发人员指南中的 Amazon Simple Storage Service 服务器访问日志格式。服务器访问日志记录对许多应用程序都十分有用，因为它们让存储桶拥有者可以深入了解不受其控制的客户端所发出的请求的性质。默认情况下，Amazon S3 不会收集服务访问日志，但是当您启用日志记录后，Amazon S3 通常会在几小时内将访问日志传送到您的存储桶。如果您需要更快的传送速度或需要将日志传送到多个目标位置，请考虑使用 CloudTrail 日志或将 CloudTrail 日志与 Amazon S3 结合使用。通过在目标存储桶中配置默认对象加密，可以对日志进行静态加密。这些对象使用具有 Amazon S3 托管密钥（SSE-S3）或 AWS Key Management Service（AWS KMS）中存储的客户主密钥（CMK）的服务器端加密进行加密。

可以使用 Amazon Athena 查询和分析存储在 Amazon S3 存储桶中的日志。Amazon Athena 是一种交互式查询服务，借助它，您能够使用标准 SQL 分析 S3 中的数据。使用 Athena，您可以通过 ANSI SQL 运行临时查询，而无需将数据聚合或加载到 Athena 中。Athena 可以处理非结构化、半结构化和结构化数据集，并可以与 Amazon QuickSight 集成，轻松实现可视化。

日志也是自动化威胁检测的有用信息源。Amazon GuardDuty 是一项持续运行的安全监控服务，可分析和处理来自多个来源的事件，如 VPC 流日志、CloudTrail 管理事件日志、CloudTrail Amazon S3 数据事件日志和 DNS 日志。它使用威胁情报源（例如，恶意 IP 地址和域的列表）和机器学习来标识您 AWS 环境中意外的和未经授权的恶意活动。当您在某个区域启用 GuardDuty 时，它会立即开始分析您的 CloudTrail 事件日志。它通过独立的重复事件流直接从 CloudTrail 中使用 CloudTrail 管理和 Amazon S3 数据事件。