本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
選取並實作日誌的查詢機制
在 中 AWS,您可以用來查詢日誌的主要服務是存放在 CloudWatch 日誌群組中的資料的 CloudWatch Logs Insights,以及存放在 Amazon S3 中的資料的 Amazon Athena
選取日誌查詢工具的過程中應該考慮安全營運的人員、程序和技術層面。選取可滿足營運、業務和安全需求,且長期可存取和可維護的工具。請記住,將要掃描的日誌數目維持在日誌查詢工具限制之內,以便以最佳狀態運作。由於成本或技術限制,客戶擁有多個查詢工具並不常見。例如,客戶可能會使用第三方 SIEM 來執行過去 90 天的查詢,並使用 Athena 執行超過 90 天的查詢,因為 SIEM 的日誌擷取成本。無論實作為何,請確認您的方法能將最大化營運效率所需的工具數量降至最低,尤其是在安全事件調查期間。
