日誌記錄和事件

AWS CloudTrail – AWS CloudTrail 是一種支援您 AWS 帳戶的管控、合規、作業稽核和風險稽核的服務。使用 CloudTrail 可以記錄、持續監控和保留 AWS 基礎設施中所有與動作相關的帳戶活動。CloudTrail 可提供 AWS 帳戶活動的事件歷史記錄，包括透過 AWS Management Console、AWS 開發套件、命令列工具及其他 AWS 服務所採取的動作。這個事件歷史記錄簡化了安全分析、資源變更追蹤和故障排除的程序。

驗證過的日誌檔案對於安全和鑑識調查十分重要。若要判斷日誌檔案在 CloudTrail 傳遞後是否已被修改、刪除或保持不變，您可使用 CloudTrail 日誌檔案完整性驗證。此功能以產業標準演算法而內建：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這使得 CloudTrail 日誌檔案無法透過運算方式來修改、刪除或偽造，而不被偵測出來。

預設情況下，由 CloudTrail 傳送到您的儲存貯體的日誌檔案，會透過 Amazon 伺服器端加密進行加密。您可以選擇將 AWS Key Management Service (AWS KMS) 受管金鑰 (SSE-KMS) 用於 CloudTrail 日誌檔案。

Amazon CloudWatch Events – Amazon CloudWatch Events 提供近乎即時的系統事件串流，說明 AWS 資源的變動情形，或是何時 AWS CloudTrail 發佈 API 呼叫。使用您可以快速設定的簡單規則，您可以比對事件並將它們路由到一或多個目標函數或串流。CloudWatch Events 在營運變更時會查覺到。CloudWatch Events 會回應這些操作變更並視需要進行修正動作，透過傳送訊息以回應環境、啟用功能、執行變更和擷取狀態資訊。某些安全服務 (如 Amazon GuardDuty) 會以 CloudWatch Events 的形式產生輸出。

AWS Config – AWS Config 是一種可讓您評估、稽核和評判 AWS 資源的組態的服務。Config 會持續不斷地監控和記錄您的 AWS 資源組態，並可依據所需的組態自動評估記錄的組態。使用 Config，您可以手動或自動檢視組態變更以及 AWS 資源之間的關係。您可以查看詳細的資源組態歷史記錄，也可依據內部準則指定的組態來判斷整體合規情況。這可讓您簡化合規稽核、安全分析、變更管理和操作故障診斷的程序。

Amazon S3 存取日誌 – 如果您將敏感資訊存放在 Amazon S3 儲存貯體中，則可以啟用 S3 存取日誌來記錄這些資料的每次上傳、下載和修改。此日誌獨立於記錄儲存貯體本身變更 (例如變更存取政策和生命週期政策) 的 CloudTrail 日誌，且是後者的補充。

Amazon CloudWatch Logs – 您可以使用 Amazon CloudWatch Logs，從您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中使用 CloudWatch Logs 代理程式監控、存放和存取日誌檔案 (如作業系統、應用程式和自訂日誌檔案)。此外，Amazon CloudWatch Logs 還可以擷取來自 AWS CloudTrail、Amazon Route 53 DNS 查詢、VPC 流程日誌、Lambda 函數及其他來源的日誌。然後，您可以從 CloudWatch Logs 擷取關聯的日誌資料。

Amazon VPC Flow Logs – VPC 流程日誌讓您可以擷取有關往返 VPC 網路界面 IP 流量的資訊。建立流量日誌之後，您可以在 Amazon CloudWatch Logs 中檢視及擷取其資料。VPC 流程日誌可協助您處理多項任務。例如，您可以使用流程日誌來為特定流量沒有觸達執行個體的原因進行故障診斷，有助您診斷限制性過高的安全群組規則。您也可以使用流程日誌做為安全工具，來監控執行個體的流量。

AWS WAF 日誌 – AWS WAF 現在支援對服務檢查的所有 Web 請求進行完整記錄。您可將這些記錄存放在 Amazon S3 供合規與稽核所需之用，並將其用於偵錯和其他鑑識用途。這些記錄有助於讓您了解特定規則觸發的原因，以及特定 Web 請求封鎖的原因。您還可以把日誌與 SIEM 和日誌分析工具整合。

其他 AWS 日誌 – 隨著創新的步伐，我們幾乎每天都會為客戶部署新功能，這表示有數十個 AWS 服務提供日誌記錄和監控功能。如需每個 AWS 服務所提供功能的相關資訊，請參閲該服務的 AWS 文件。