什麼是 AWS CloudTrail? - AWS CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS CloudTrail?

AWS CloudTrail 是一種 AWS 服務,可協助您實現 AWS 帳戶的操作與風險稽核、治理和合規。使用者、角色或 AWS 服務所執行的動作會在 CloudTrail 中記錄為事件。事件會包含在 AWS Management Console、AWS Command Line Interface 以及 AWS 開發套件和 API 中採取的動作。

建立時,CloudTrail 會在您的 AWS 帳戶 中啟動,而且不需要任何shou do手動設定。AWS 帳戶 中發生活動時,該活動會記錄在 CloudTrail 事件中。

CloudTrail 提供三種記錄事件的方式:

  • 事件歷史記錄事件歷史記錄提供過去 90 天發生的 AWS 區域 管理事件的可檢視、可搜尋、可下載而且不可變的記錄。您可以透過篩選單個屬性搜尋事件。創建帳戶時,您將自動獲得事件歷史記錄的存取權。如需更多詳細資訊,請參閱 使用 CloudTrail 事件歷史記錄

    檢視事件歷史記錄不會產生 CloudTrail 費用。

  • CloudTrail LakeAWS CloudTrail Lake 是一個受管資料湖,可出於稽核與安全目的在 AWS 上擷取、儲存、存取和分析使用者及 API 活動。CloudTrail Lake 會將分列式 JSON 格式的現有事件轉換為 Apache ORC 格式。ORC 是一種單欄式儲存格式,針對快速擷取資料進行了最佳化。系統會將事件彙總到事件資料存放區中,事件資料存放區是事件的不可變集合,其依據為您透過套用進階事件選取器選取的條件。如果您選擇一年可延長保留定價選項,則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年);如果您選擇七年保留定價選項,則最多可保留 2,557 天 (約 7 年)。您可以透過使用 AWS Organizations 為單一 AWS 帳戶 或多個 AWS 帳戶 建立事件資料存放區。您可以從 S3 儲存貯體將任何現有的 CloudTrail 日誌匯入到現有的或新的事件資料存放區。您還可以使用 Lake 儀表板對熱門的 CloudTrail 事件趨勢進行視覺化呈現。如需詳細資訊,請參閱使用 AWS CloudTrail Lake建立事件資料存放區

    CloudTrail Lake 事件資料存放區和查詢會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。在 Lake 中執行查詢時,您需要依據掃描的資料量付費。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊,請參閱 AWS CloudTrail 定價管理 CloudTrail 湖泊成本

  • 追蹤追蹤會擷取 AWS 活動,傳遞並將這些事件儲存在 Amazon S3 儲存貯體中,而且還提供傳遞至 Amazon CloudWatch Logs 和 Amazon EventBridge 的選項。您可以輸入這些事件到您的安全監控解決方案。您還可以使用您自己的第三方解決方案,或 Amazon Athena 等解決方案來搜尋並分析您的 CloudTrail 日誌。您可以透過使用 AWS Organizations 為單一 AWS 帳戶 或多個 AWS 帳戶 建立追蹤。您可以記錄 Insights 事件,以 API 呼叫量和錯誤率分析您的管理事件是否存在異常行為。如需更多詳細資訊,請參閱 建立 AWS 帳戶 的追蹤

    您可以透過建立追蹤,免費將持續管理事件的一個複本從 CloudTrail 傳遞至您的 Amazon S3 儲存貯體,但這樣做會產生 Amazon S3 儲存費用。如需 CloudTrail 定價的詳細資訊,請參閱 AWS CloudTrail 定價。如需 Amazon S3 定價的相關資訊,請參閱 Amazon S3 定價

檢視 AWS 帳戶活動是安全性和操作最佳實務的重要層面。您可以使用 CloudTrail 檢視、搜尋、下載、封存、分析和回應您 AWS 基礎設施的帳戶活動。您可以識別誰或哪些項目採取哪個動作、已處理的資源、事件發生時間以及其他詳細資訊,協助您分析和回應 AWS 帳戶中的活動。

您可以使用 API 將 CloudTrail 整合到應用程式、自動建立您組織的追蹤或事件資料存放區、檢查您所建立事件資料存放區和追蹤的狀態,以及控制使用者如何檢視 CloudTrail 事件。