AWS CloudTrail 常見問答集

一般問題

CloudTrail 可透過追蹤使用者活動和 API 用量,進行稽核、安全監控和操作疑難排解。CloudTrail 會記錄、持續監控並保留 AWS 基礎設施中與動作相關的帳戶活動,讓您控制儲存、分析和修復動作。

CloudTrail 可協助您證明合規、改善安全狀態並跨區域和帳戶整合活動記錄。CloudTrail 藉由記錄帳戶上的動作,讓您清楚掌握使用者的活動情形。CloudTrail 可記錄每個動作的重要資訊,包括提出請求的人員、使用的服務、執行的動作、動作參數,以及 AWS 服務傳回的回應元素。此資訊可協助您追蹤 AWS 資源的變更情況以及排除操作問題。CloudTrail 更輕鬆地確保符合內部政策和法規標準。如需詳細資訊,請參閱 AWS 合規白皮書大規模安全:登入 AWS。 

如果需要稽核活動、監控安全或排除操作問題,請使用 CloudTrail。

開始使用

否,無須額外操作便可開始檢視您的帳戶活動。您可以瀏覽 AWS CloudTrail 主控台或 AWS CLI,開始檢視最多過去 90 天的帳戶活動。

AWS CloudTrail 只會顯示過去 90 天您在目前檢視區域的 CloudTrail 事件歷史記錄結果,並支援一系列 AWS 服務。這些事件僅限建立、修改及刪除 API 呼叫和帳戶活動的管理事件。如需帳戶活動的完整記錄,包括所有管理事件、資料事件及唯讀活動,您必須設定 CloudTrail 追蹤。

您可以指定時間範圍和下列其中一項屬性:事件名稱、使用者名稱、資源名稱、事件來源、事件 ID 以及資源類型。

是,您可以瀏覽 CloudTrail 主控台或使用 CloudTrail API/CLI 開始檢視過去 90 天的帳戶活動。

設定 CloudTrail 追蹤,以將 CloudTrail 事件傳送到 Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch Logs 及 Amazon CloudWatch Events。這可協助您利用這些功能來封存、分析及回應 AWS 資源中的變更。

是,CloudTrail 與 AWS Identity and Access Management (IAM) 整合,可協助您控制對 CloudTrail 和其他 CloudTrail 所需之 AWS 資源的存取。這包括限制檢視和搜尋帳戶活動的許可。從使用者 IAM 政策移除 "cloudtrail:LookupEvents",以阻止該 IAM 使用者檢視帳戶活動。

使用 CloudTrail 事件歷史記錄檢視或搜尋帳戶活動無須任何費用。 

對於建立的任何 CloudTrail 追蹤,您都可以停止記錄或刪除這些追蹤。這也將停止將帳戶活動傳送到您指定為追蹤組態的一部分的 Amazon S3 儲存貯體,以及傳送到 CloudWatch Logs (如果已設定)。系統仍會收集過去 90 天的帳戶活動,您可以在 CloudTrail 主控台以及透過 AWS Command Line Interface (AWS CLI) 查看這些記錄。 

服務與區域支援

CloudTrail 可記錄來自大多數 AWS 服務的帳戶活動和服務事件。如需支援的服務清單,請參閱《CloudTrail 使用者指南》中的 CloudTrail 支援服務

是。CloudTrail 記錄來自任何用戶端的 API 呼叫。AWS 管理主控台、AWS SDK、命令列工具以及更高層級的 AWS 服務稱為 AWS API 操作,因此會記錄這些呼叫。

具有區域端點 (例如 Amazon Elastic Compute Cloud [Amazon EC2] 或 Amazon Relational Database Service [Amazon RDS]) 的服務活動資訊在執行操作時會在同一區域擷取和處理。然後會將其傳送至與您的 S3 儲存貯體關聯的區域。IAM 和 AWS Security Token Service (AWS STS) 等具有單一端點的服務的活動資訊會在端點所在區域擷取。然後在設定 CloudTrail 追蹤的區域進行處理,並傳送至與您的 S3 儲存貯體關聯的區域。

將追蹤套用到所有區域

將追蹤套用到所有 AWS 區域表示建立一個追蹤以記錄存放資料的所有區域中的 AWS 帳戶活動。此設定值也會套用到任何新增的區域。如需有關區域和分區的詳細資訊,請參閱 Amazon 資源名稱和 AWS 服務命名空間頁面

只需呼叫一個 API 或按幾個選項,就能在分區中建立和管理跨所有區域的一個追蹤。您會收到傳送至單一 S3 儲存貯體或 CloudWatch Logs 群組的記錄,其中包含 AWS 帳戶在所有區域進行的帳戶活動。當 AWS 啟動一個新的區域時,您無須採取任何動作,即可收到包含新區域事件歷史記錄的日誌檔。

在 CloudTrail 主控台中,於追蹤組態頁面選取 yes 以套用到所有區域。如果使用 SDK 或 AWS CLI,將 IsMultiRegionTrail 設定為 true。 

將追蹤套用在所有區域後,CloudTrail 會透過複製追蹤組態來建立新的追蹤。CloudTrail 會記錄和處理每個區域中的日誌檔,並將包含跨所有區域之帳戶活動的日誌檔,傳送至單一 S3 儲存貯體和單一 CloudWatch Logs 日誌群組。如果您已指定選用 Amazon Simple Notification Service (Amazon SNS) 主題,CloudTrail 會針對傳送至單一 SNS 主題的所有日誌檔,來傳送 Amazon SNS 通知。

是。您可以將現有的追蹤套用到所有區域。當您將現有追蹤套用到所有區域時,CloudTrail 會在所有區域為您建立新的追蹤。如果您之前在其他區域建立了追蹤,可以從 CloudTrail 主控台檢視、編輯和刪除那些追蹤。 

一般來說,複製追蹤組態到所有區域的時間少於 30 秒。

多個追蹤

一個區域中最多可以建立五個追蹤。套用至所有區域的追蹤存在於每個區域,它在每個區域中視為一個追蹤。

使用多個追蹤,不同的利害關係人 (如安全管理員、軟體開發人員和 IT 稽核員) 可以建立並管理自己的追蹤。例如,安全管理員可以建立套用到所有區域的追蹤並使用一個 Amazon Key Management Service (Amazon KMS) 金鑰來設定加密。開發人員可以建立套用於一個區域的追蹤,針對運作問題進行疑難排解。

是。使用資源層級許可,您可以編寫精細的存取控制政策,允許或拒絕特定使用者存取特定追蹤。如需詳細資訊,請移至 CloudTrail 文件。 

安全與過期

依預設,會使用 S3 伺服器端加密 (SSE) 來加密 CloudTrail 檔案並置於 S3 儲存貯體中。您可以透過套用 IAM 或 S3 儲存貯體政策來控制對日誌檔的存取。您可以透過在 S3 儲存貯體上啟用 S3 多重要素驗證 (MFA) 刪除來提供多一層的安全保護。如需有關建立和更新追蹤的詳細資料,請參閱 CloudTrail 文件

您可以從 CloudTrail S3 儲存貯體下載 S3 儲存貯體政策SNS 主題政策的範例。您必須先使用您的資訊更新範例政策,然後再將其套用至 S3 儲存貯體或 SNS 主題。

您控制 CloudTrail 日誌檔的保留政策。依預設,日誌檔會無限期存放。您可以使用 S3 物件生命週期管理規則來定義自己的保留政策。例如,您可能想要刪除舊日誌檔,或將這些檔案封存到 Amazon Simple Storage Service Glacier (Amazon S3 Glacier)。

事件訊息、適時性和傳送頻率

事件包含相關活動的資訊:提出請求的人員、使用的服務、執行的動作和動作參數,以及 AWS 服務傳回的回應元素。如需詳細資訊,請參閱使用者指南中的 CloudTrail 時間參考部分。 

CloudTrail 通常會在 API 呼叫後的 5 分鐘內傳送事件。如需更多有關 CloudTrail 如何運作的資訊,請參閱這裡。   

CloudTrail 大約每五分鐘向您的 S3 儲存貯體傳送日誌檔。如果您的帳戶沒有進行 API 呼叫,則 CloudTrail 不會傳送日誌檔。 

是。您可以開啟 Amazon SNS 通知,以在傳送新日誌檔時立即採取動作。 

雖然不常見,但您可能會收到包含一個或多個重複事件的日誌檔案。重複的事件將具有相同的 eventID。如需 eventID 欄位的詳細資訊,請參閱 CloudTrail 記錄內容。 

CloudTrail 會根據既有的 S3 儲存貯體政策來傳送日誌檔。如果儲存貯體政策的設定錯誤,CloudTrail 將無法無法傳送日誌檔。 

CloudTrail 旨在支援將至少一個已訂閱事件交付到客戶 S3 儲存貯體。在某些情況下,CloudTrail 可能會多次交付相同的事件。因此,客戶可能會注意到重複的事件。 

資料事件

資料事件針對在資源上或資源本身內部執行的資源 (「資料平面」) 操作提供洞見。資料事件通常是高流量活動,且包含 S3 物件層級 API 操作和 AWS Lambda 函數叫用 API 等操作。設定追蹤時,預設會停用資料事件。若要記錄 CloudTrail 資料事件,您必須明確新增支援的資源或想要收集其活動的資源類型。資料事件與管理事件不同,它會產生額外的費用。如需詳細資訊,請參閱 CloudTrail 定價。 

CloudTrail 所記錄的資料事件會傳送至 S3,和管理事件類似。啟用之後,您也可以在 Amazon CloudWatch Events 使用這些事件。 

S3 資料事件代表 S3 物件上的 API 活動。若要讓 CloudTrail 記錄這些動作,您要在建立新追蹤或修改現有追蹤時於資料事件部分指定 S3 儲存貯體。CloudTrail 就會記錄指定的 S3 儲存貯體內物件的所有 API 動作。 

Lambda 資料事件會記錄 Lambda 函數的執行時間活動。使用 Lambda 資料事件,您可以取得有關 Lambda 函數執行時間的詳細資訊。Lambda 函數執行時間的範例包括哪個 IAM 使用者或服務進行了 Invoke API 呼叫、何時進行呼叫,以及套用了哪個函數。所有 Lambda 資料事件會交付到 S3 儲存貯體和 CloudWatch Events。使用 CLI 或 CloudTrail 主控台可開啟 Lambda 資料事件的記錄功能,建立新追蹤或編輯現有追蹤則可選擇要記錄的 Lambda 函數。 

網路活動事件 (預覽版)

網路活動事件記錄私有 VPC 中 VPC 端點向 AWS 服務發出的 AWS API 動作,並可協助您滿足網路安全調查需求。這些事件包括已成功通過 VPC 端點政策的 AWS API 呼叫,以及被拒絕的 AWS API 呼叫。管理和資料事件會同時傳遞給 API 呼叫者和資源擁有者,而網路活動事件僅傳遞給 VPC 端點的擁有者。若要記錄網路活動事件,您必須在設定追蹤或事件資料儲存時,明確啟用該功能,並選擇要收集活動的 AWS 服務的事件來源。您也可以新增其他篩選條件,例如按 VPC 端點 ID 進行篩選或僅記錄「存取遭拒」錯誤。網路活動事件會產生額外費用。如需詳細資訊,請參閱 CloudTrail 定價

VPC 流程日誌可讓您記錄 VPC 中進出網路界面的 IP 流量相關資訊。流程日誌資料可以發布到以下位置:Amazon CloudWatch Logs、Amazon S3 或 Amazon Data Firehose。VPC 端點的網路活動事件記錄私有 VPC 中 VPC 端點向 AWS 服務發出的 AWS API 動作。您能夠從中了解誰在存取您網路中的資源,從而更好地識別和回應資料邊界內的意外動作。您可以檢視被 VPC 端點政策所拒絕動作的日誌,或利用這些事件來驗證更新現有政策產生的影響。 

委派管理員

是,CloudTrail 現在支援為每個組織新增最多三個委派管理員。

管理帳戶仍將為在組織層級建立的任何組織追蹤或事件資料儲存的擁有者,無論其為委派管理員帳戶還是由管理帳號所建立。

目前,對 CloudTrail 的委派管理員支援在所有提供 AWS CloudTrail 的區域均可用。如需詳細資訊,請參閱 AWS 區域表。

CloudTrail Insights

CloudTrail Insights 事件可協助您識別 AWS 帳戶內不尋常的活動,例如資源佈建尖峰、AWS Identity and Access Management (IAM) 動作暴增或定期維護活動差距。CloudTrail Insights 針對異常活動使用持續監控 CloudTrail 寫入管理事件的的機器學習 (ML) 模型。

偵測到異常活動時,CloudTrail Insights 事件會在主控台中顯示,並傳送到 CloudWatch Events、您的 S3 儲存貯體,及選擇性傳送到 CloudWatch Logs 群組。這可讓您更輕鬆地建立提醒,並與現有的事件管理和工作流程系統整合。

CloudTrail Insights 透過分析 AWS 帳戶及區域內的 CloudTrail 寫入管理事件,偵測不尋常活動。不尋常或異常活動的定義是 AWS API 叫用量偏離根據先前確立的操作模型或基準預期的值。CloudTrail Insights 會考量您 API 叫用中的帳戶時間趨勢,並將調整基準套用為工作負載變化,根據您的正常操作型態變化加以調整。

CloudTrail Insights 有助您偵測行為異常的指令碼或應用程式。有時,開發人員會變更開始重複迴圈或進行大量叫用意外資源 (例如資料庫、資料存放區或其他函數) 的指令碼或應用程式。在月底計費週期發現成本意料外激增,或者實際發生中斷故障或中斷之前,通常不會注意到這些異常行為。CloudTrail Insights 事件可讓您察覺 AWS 帳戶中的這些變化,盡快加以改正。

CloudTrail Insights 可識別 AWS 帳戶中不尋常的操作活動,能協助您處理操作問題,盡量降低對營運和業務的影響。Amazon GuardDuty 著重於改善您的帳戶安全性,透過監控帳戶活動提供威脅偵測。Amazon Macie 的設計透過發現、分類和保護敏感資料,改善您帳戶的資料保護。這些服務針對您帳戶中可能衍生的不同問題類型,提供補強保護。

是。CloudTrail Insights 事件採用個別追蹤配置,因此您必須設定至少一個追蹤。您開啟 CloudTrail Insights 事件進行追蹤時,CloudTrail 會開始監控該追蹤擷取的寫入管理事件中不尋常的型態。如果 CloudTrail Insights 偵測到不尋常活動,CloudTrail Insights 事件會記錄在追蹤定義中指定的交付目的地。

CloudTrail Insights 會追蹤寫入管理 API 操作的異常活動。

您可以使用主控台、CLI 或軟體開發套件,在您的帳戶中針對個別追蹤啟用 CloudTrail Insights 事件。也可以使用 AWS Organizations 管理帳戶中設定的組織追蹤,針對全組織啟用 CloudTrail Insights 事件。您可以選擇追蹤定義中的選項按鈕,開啟 CloudTrail Insights 事件。 

CloudTrail Lake

CloudTrail Lake 可協助您檢查事件,方法是查詢 CloudTrail 記錄的所有動作、AWS Config 記錄的設定項目、Audit Manager 提供的證據或來自非 AWS 來源的事件。它可協助消除操作相依性來簡化事件日誌記錄,並提供各種工具來協助減少對跨團隊複雜資料處理管道的依賴。CloudTrail Lake 不需要您將 CloudTrail 日誌移動和擷取至其他位置,這有助於保持資料保真度,以及減少調節日誌的低速率限制。它還提供近乎即時的延遲,因為它經過微調可處理大量結構化日誌,使其可用於事件調查。最後,CloudTrail Lake 透過 SQL 提供熟悉的多屬性查詢體驗,並能夠排程和處理多個並行查詢。您也可以使用自然語言查詢產生 (預覽版) 來協助您分析事件,從而為非撰寫 SQL 查詢的專家或對 CloudTrail 事件沒有深入了解的使用者提供支援。

CloudTrail 是 AWS 服務中使用者活動和 API 用量的規範日誌來源。一旦日誌在 CloudTrail 中可用,您就可以善用 CloudTrail Lake 來檢查 AWS 服務的活動。您可以查詢並分析使用者活動和受影響的資源,然後使用這些資料來解決識別不良行為者和基線許可等問題。

您可以使用 CloudTrail 主控台並透過幾個步驟來尋找並新增合作夥伴整合,以開始從這些應用程式接收活動事件,且無需建置並維護自訂整合。對於可用合作夥伴整合以外的來源,您可以使用新的 CloudTrail Lake API 來設定您自己的整合,並將事件推送至 CloudTrail Lake。若要開始使用,請參閱在 CloudTrail 使用者指南中使用 CloudTrail Lake

若客戶想要彙總和查詢目前狀態的 AWS Config 組態項目 (CI),建議使用 AWS Config 進階查詢。這可在庫存管理、安全和營運智慧、成本最佳化以及合規資料方面為客戶提供協助。如果您是 AWS Config 客戶,可免費使用 AWS Config 進階查詢。 

CloudTrail Lake 支援 AWS Config 組態項目的查詢覆蓋,包括資源組態和合規歷史記錄。分析包含相關 CloudTrail 事件的資源組態和合規歷史記錄,有助於推斷何人、何時對這些資源做出了變更,以及做出哪些變更。這有助於對與安全風險或不合規相關事件進行根本原因分析。如果您必須跨 CloudTrail 事件和歷史記錄組態項目彙總和查詢資料,建議使用 CloudTrail Lake。  

CloudTrail Lake 不會擷取在設定 CloudTrail Lake 之前產生的 AWS Config 組態項目。AWS Config 在帳戶層級或組織層級新記錄的組態項目,會傳送至指定的 CloudTrail Lake 事件資料存放區。這些組態項目可在指定的保留期間內於 Lake 中提供查詢,並可用於進行歷史資料分析。 

如果多個使用者連續快速地嘗試對單一資源進行多個組態變更,則只能建立一個組態項目來映射至資源的最終狀態組態。在這種情況和類似情況下,可能無法透過查詢特定時間範圍和資源 ID 的 CloudTrail 和組態項目,來提供關於哪個使用者進行了哪些組態變更的 100% 關聯性。

是。CloudTrail Lake 匯入功能支援從存放多個帳戶 (來自組織追蹤) 和多個 AWS 區域中日誌的 S3 儲存貯體複製 CloudTrail 日誌。您還可以從個別帳戶和單區域追蹤中匯入日誌。匯入功能還可讓您指定匯入日期範圍,以便您僅導入在 CloudTrail Lake 中長期儲存和分析所需的日誌子集。合併日誌後,您可以對日誌執行查詢,從啟用 CloudTrail Lake 後收集的最新事件,到從您的追蹤中帶來的歷史事件。

匯入功能將日誌資訊從 S3 複製到 CloudTrail Lake,並將原始副本保留在 S3 中。

您可以針對 CloudTrail 收集的任何事件類別啟用 CloudTrail Lake,具體取決於您的內部疑難排解需求。事件類別包含記錄控制平面活動 (如 CreateBucket 和 TerminateInstances) 的管理事件;記錄資料平面活動 (如 GetObject 和 PutObject) 的資料事件;以及記錄使用私有 VPC 中 VPC 端點向 AWS 服務發出的 AWS API 動作的網路活動事件 (預覽版)。您不需要為任何這些事件單獨訂閱試用版。對於 CloudTrail Lake,您需要在一年可延長保留和七年保留定價選項之間進行選擇,價格將影響您的成本以及活動保留的持續時間。您可以隨時查詢資料。在 CloudTrail Lake 儀表板中,我們支援查詢 CloudTrail 事件。

您幾乎可以立即開始查詢啟用該功能後發生的活動。

常見使用案例包括調查安全事件,如未經授權的存取或洩露的使用者憑證,以及透過執行稽核定期確定使用者許可的基線來增強您的安全狀態。您可以執行必要稽核以確認正確的使用者組正在對您的資源 (例如安全群組) 做出變更,並追蹤任何不符合您組織最佳實務的變更。此外,您可以追蹤對您的資源採取的動作並評估修改或刪除,以及深入了解您的 AWS 服務帳單,包括訂閱服務的 IAM 使用者。

無論您是現有還是新的 CloudTrail 客戶,都可以透過 API 或 CloudTrail 主控台啟用該功能,立即開始使用 CloudTrail Lake 功能來執行查詢。選取 CloudTrail 主控台左側面板上的 CloudTrail Lake 標籤,然後選取「建立事件資料存放區」按鈕。建立事件資料存放區時,您可以選擇用於事件資料儲存區的定價選項。定價選項決定擷取事件的成本,以及事件資料儲存的最長和預設的保留期間。然後,從 CloudTrail 記錄的所有事件類別 (管理和資料事件) 中選擇事件以開始。

此外,為了協助您視覺化最熱門的 CloudTrail Lake 事件,您可以開始使用 CloudTrail Lake 儀表板。CloudTrail Lake 儀表板是預先建置的儀表板,可直接在 CloudTrail 主控台中提供即時可觀察性,並從稽核和安全資料中提供最佳洞察。

是。您可以將定價選項從七年保留定價更新為一年可延長保留定價,作為事件資料存放區設定的一部分。您現有的資料將在設定的保留期間內保留在事件資料存放區中。此資料不會產生任何延長保留費用。但是,任何新擷取的資料都會依據擷取和延長保留的一年延長保留定價收費。 

不可以。我們目前不支援將事件資料存放區從一年可延長保留定價移轉到七年保留定價。但是,您可關閉目前事件資料存放區的日誌,同時建立新事件資料存放區,並針對新擷取的資料保留定價為七年。您仍然可以使用各自的定價選項和設定的保留期間,保留和分析兩個事件資料存放區中的資料。

CloudTrail Lake 是一個稽核湖,可幫助客戶滿足其在合規和稽核方面的使用案例需求。根據他們的合規計劃授權,客戶需要自產生日誌的指定期間,保留稽核日誌,無論它們何時被擷取到 CloudTrail Lake。

不。由於這是有一個過去事件時間的歷史事件,因此自過去的事件時間開始,此活動將保留在 CloudTrail Lake,而保留期間為 1 年。因此,該活動將儲存在 CloudTrail Lake 的時間期限將不到 1 年。 

如今,CloudTrail Lake 儀表板支援 CloudTrail 管理和資料事件。

儀表板目前已在帳戶層級啟用,並將套用至該帳戶中啟用 CloudTrail 管理或資料事件的所有作用中資料存放區。

CloudTrail Lake 儀表板由 CloudTrail Lake 查詢提供支援。啟用 CloudTrail Lake 儀表板時,將會向您收取掃描的資料費用。請參閱定價頁面了解詳細資訊。

不可以。如今,所有 CloudTrail Lake 儀表板都經過精心策劃和預先定義,而且無法進行自訂。

稽核和合規工程師可以使用 CloudTrail Lake 儀表板追蹤合規性任務的進度,例如遷移至 TLS 1.2 及更新版本。CloudTrail Lake 儀表板將協助安全工程師密切追蹤敏感的使用者活動,例如刪除追蹤或重複存取遭拒錯誤。雲端操作工程師可以從經策管的儀表板取得問題的可見性,例如熱門服務限流錯誤。

日誌檔彙總

是。您可以針對多個帳戶將單一 S3 儲存貯體設定為目的地。如需詳細說明,請參閱《CloudTrail 使用者指南》中的 將日誌檔彙總至單一 S3 儲存貯體部分。

與 CloudWatch Logs 整合

CloudTrail 與 CloudWatch Logs 整合可將 CloudTrail 擷取的管理和資料事件傳送到您指定的 CloudWatch Logs 日誌群組中的 CloudWatch Logs 日誌串流。

這樣的整合可協助您接收 CloudTrail 所擷取的帳戶活動的 SNS 通知。例如,您可以建立 CloudWatch 警示來監控建立、修改及刪除安全群組和網路存取控制清單 (ACL) 的 API 呼叫。

您可以透過指定 CloudWatch Logs 日誌群組和 IAM 角色,來從 CloudTrail 主控台開啟 CloudTrail 與 CloudWatch Logs 的整合。您可以使用 AWS SDK 或 AWS CLI 來開啟此整合。

啟用該整合後,CloudTrail 會持續傳送帳戶活動到指定的 CloudWatch Logs 日誌群組中的 CloudWatch Logs 日誌串流。CloudTrail 也會像以前一樣繼續傳送日誌到 S3 儲存貯體。

支援 CloudWatch Logs 的區域均支援這類整合。如需詳細資訊,請參閱 AWS 一般參考資料中的區域和端點

CloudTrail 會採用您指定的 IAM 角色,將帳戶活動傳送到 CloudWatch Logs。您可以限制 IAM 角色僅具有向 CloudWatch Logs 日誌串流提供事件所需的權限。若要檢閱 IAM 角色政策,請參閱 CloudTrail 文件的使用者指南

開啟 CloudTrail 與 CloudWatch Logs 的整合後,您即產生標準 CloudWatch Logs 和 CloudWatch 費用。如需詳細資訊,請瀏覽 CloudWatch 定價頁面。 

使用 AWS KMS 的 CloudTrail 日誌檔加密

使用 SSE-KMS 的 CloudTrail 日誌檔加密可協助您透過 KMS 金鑰來加密日誌檔,對傳送至 S3 儲存貯體的 CloudTrail 日誌檔提供多一層的安全保護。在預設情況下,CloudTrail 會使用 S3 伺服器端加密來加密傳送至 S3 儲存貯體的日誌檔。

使用 SSE-KMS 時,S3 會自動加密日誌檔,因此您無須對應用程式進行任何變更。如往常一樣,您必須確定應用程式具有適當的許可,例如 S3 GetObject 和 AWS KMS Decrypt 許可。

您可以使用 AWS 管理主控台,或是 AWS CLI 或 AWS 開發套件來設定日誌檔加密。如需詳細說明,請參閱文件

使用 SSE-KMS 設定加密之後,您將需要支付標準 AWS KMS 費用。如需詳細資訊,請瀏覽 AWS KMS 定價頁面。

CloudTrail 日誌檔完整性驗證

CloudTrail 日誌檔完整性驗證功能可協助您判斷 CloudTrail 將日誌檔傳送至指定的 S3 儲存貯體之後,CloudTrail 日誌檔是否維持不變、已刪除或已修改。

您可以將日誌檔完整性驗證做為 IT 安全和稽核程序的協助工具。

您可以從主控台、AWS CLI 或 AWS 開發套件啟用 CloudTrail 日誌檔完整性驗證功能。

開啟日誌檔完整性驗證功能之後,CloudTrail 將每小時傳送摘要檔。摘要檔案包含有關傳送至 S3 儲存貯體的日誌檔資訊,以及這些日誌檔的雜湊值。此外,它們還在 S3 中繼資料部分包含了先前摘要檔案的數位簽章,以及目前摘要檔案的數位簽章。如需摘要檔、數位簽章和雜湊值的詳細資訊,請參閱 CloudTrail 文件

摘要檔和日誌檔會傳送到相同的 S3 儲存貯體,但傳送到不同的資料夾,因此您可以強制執行精細存取控制政策。如需詳細資訊,請參閱 CloudTrail 文件的摘要檔結構部分。

您可以使用 AWS CLI 驗證日誌檔或摘要檔的完整性,也可以建置自己的工具來執行驗證。如需使用 AWS CLI 驗證日誌檔完整性的詳細資訊,請參閱 CloudTrail 文件

是。CloudTrail 會將所有區域和多個帳戶的摘要檔傳送到同一個 S3 儲存貯體。

CloudTrail 處理程式庫

CloudTrail 處理程式庫是一個 Java 程式庫,可以協助您更輕鬆地建構用來讀取和處理 CloudTrail 日誌檔的應用程式。您可以從 GitHub 下載 CloudTrail 處理程式庫。

CloudTrail 處理程式庫提供處理以下任務的功能,例如持續輪詢 SQS 佇列及讀取和剖析 Amazon Simple Queue Service (Amazon SQS) 訊息,此外還可以下載 S3 中存放的日誌檔、以容錯方式剖析和序列化日誌檔事件。如需詳細資訊,請參閱 CloudTrail 文件的使用者指南。 

您需要 aws-java-sdk 版本 1.9.3 和 Java 1.7 或更高版本。

定價

CloudTrail 可協助您免費檢視、搜尋並下載過去 90 天的帳戶管理事件。您可以透過建立追蹤,免費將進行中的管理事件傳送到 S3。設定 CloudTrail 追蹤之後,會根據用量收取 S3 費用。

您可以使用追蹤傳送額外的事件複本,包括資料事件和網路活動事件 (預覽版)。您需要為資料事件、網路活動事件和管理事件的額外複本付費。在定價頁面上進一步了解。

否。每個區域中管理事件的第一個副本都是免費傳送。

是。您只需支付資料事件的費用。管理事件的第一個副本是免費傳送的。 

針對 CloudTrail Lake,您需同時為擷取和儲存付費,且帳單是根據擷取的未壓縮資料量,以及儲存的壓縮資料量計費。建立事件資料存放區時,您可以選擇用於事件資料儲存區的定價選項。定價選項決定擷取事件的成本,以及事件資料儲存的最長和預設的保留期間。查詢費用是根據您選擇分析的壓縮資料而定。在定價頁面上進一步了解。

是。每個 CloudTrail 事件平均約為 1500 個位元組。您可使用此映射根據過去一個月在追蹤中的 CloudTrail 使用情況,按事件數量估計 CloudTrail Lake 的擷取量。

合作夥伴

多個合作夥伴可提供整合的解決方案來分析 CloudTrail 日誌檔。這些解決方案包括變更追蹤、故障診斷和安全分析等功能。如需詳細資訊,請參閱 CloudTrail 合作夥伴部分。

若要開始處理整合,請參閱合作夥伴布設指南。與您的合作夥伴開發團隊或合作夥伴解決方案架構師互動,以聯絡 CloudTrail Lake 團隊並深入瞭解內容或詢問進一步的問題。

其他

否。開啟 CloudTrail 對 AWS 資源的效能或 API 呼叫的延遲沒有影響。