本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建记录管理事件的跟踪
对于您的第一个跟踪,我们建议您创建一个记录所有 Amazon 区域的所有管理事件且不记录任何数据事件的跟踪。管理事件的示例包含安全事件(如 IAM CreateUser 和 AttachRolePolicy 事件)、资源事件(如 RunInstances 和 CreateBucket),等等。在控制台中创建跟踪的过程中,您将创建一个 Amazon S3 存储桶,用于存储跟踪的 CloudTrail 日志文件。
注意
本教程假定您创建您的第一个跟踪。根据您 Amazon 账户中的跟踪数量以及这些跟踪的配置方式,以下过程可能会产生费用,也可能不会产生费用。 CloudTrail 将日志文件存储在 Amazon S3 存储桶中,这会产生成本。有关定价的更多信息,请参阅 Amazon CloudTrail 定价
创建跟踪
-
登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为 https://console.aws.amazon.com/cloudtrail/
。 -
在区域选择器中,选择要在其中创建跟踪的 Amazon 区域。这是跟踪的主区域。
注意
即使跟踪记录了所有 Amazon 区域的事件,主区域也是您在创建跟踪后可以查看和更新跟踪的唯一 Amazon 区域。
-
在 CloudTrail 服务主页、“跟踪” 页面或 “控制面板” 页面的 “跟踪” 部分,选择 “创建跟踪”。
-
在 Trail name (跟踪名称) 中,为您的跟踪提供一个名称,如
My-Management-Events-Trail。作为最佳实践,请使用可快速识别跟踪用途的名称。在这种情况下,您正在创建的跟踪将记录管理事件。 -
保留为我的组织中的所有账户启用的默认设置。除非您在 Organizations 中配置了账户,否则此选项将不能进行更改。
-
对于 Storage location(存储位置,选择 Create new S3 bucket(创建 S3 存储桶)以创建存储桶。创建存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择创建新的 S3 存储桶,则您的 IAM 策略需要包含
s3:PutEncryptionConfiguration操作权限,因为默认情况下,该存储桶已启用服务器端加密。为您的存储桶指定一个便于识别的名称。为了便于查找日志,请在现有存储桶中创建一个新文件夹(也称为前缀)来存储 CloudTrail 日志。
注意
Simple Storage Service(Amazon S3)存储桶的名称必须是全局唯一的。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的存储桶命名规则。
-
清除此复选框可禁用 Log file SSE-KMS encryption(日志文件 SSE-KMS 加密)。默认情况下,您将使用 SSE-S3 加密法加密日志文件。有关此设置的更多信息,请参阅对 Amazon S3 托管密钥使用服务器端加密 (SSE-S3)。
-
在 Additional settings(其他设置)中保留默认设置。
-
保留CloudWatch 日志的默认设置。目前,不要向 Amazon Logs 发送 CloudWatch 日志。
-
(可选)在标签中,将一个或多个自定义标签(键值对)添加到跟踪中。标签可以帮助您识别您的 CloudTrail 跟踪和其他资源,例如包含 CloudTrail 日志文件的 Amazon S3 存储桶。例如,您可以附加名称为
Compliance、值为Auditing的标签。注意
尽管您可以在 CloudTrail 控制台中创建跟踪时向其添加标签,也可以创建 Amazon S3 存储桶在控制台中存储日志文件,但您无法从 CloudTrail 控制台向 Amazon S3 存储桶添加标签。 CloudTrail 有关查看和更改 Simple Storage Service(Amazon S3)存储桶属性(包括向存储桶添加标签)的更多信息,请参阅 Simple Storage Service(Amazon S3)用户指南。
完成标签创建后,选择 Next(下一步)。
-
在 Choose log events(选择日志事件)页面中,选择要记录的事件类型。对于此跟踪,请保留默认值 Management events(管理事件)。在 Management events(管理事件)区域中,如果尚未选择,则选择以记录 Read(读取)和 Write(写入)两类事件。将 “排除 Amazon KMS 事件” 复选框留空,以记录所有事件。
-
保留数据事件和 Insights 事件的默认设置。此跟踪不会记录任何数据或 CloudTrail Insights 事件。选择下一步。
-
在 Review and create(审核和创建)页面上,审核您为跟踪选择的设置。对相关部分选择 Edit(编辑)以返回并进行更改。在准备好创建跟踪时,选择 Create trail(创建跟踪)。
-
Trails(跟踪)页面会在表中显示您的新跟踪记录。请注意,跟踪设置为 Multi-region trail(多区域跟踪),并且默认情况下为跟踪打开了日志记录。
后续步骤计划
现在您有了跟踪,就可以访问 Amazon 账户中持续记录的事件和活动了。这种持续记录有助于您满足 Amazon 账户的会计和审计需求。但是,你可以用 CloudTrail CloudTrail 数据做更多的事情。
-
为您的跟踪数据增加额外的安全性。 CloudTrail创建跟踪时会自动应用一定的安全级别。但是,您可以使用其他一些步骤来帮助您确保数据安全。
-
默认情况下,您在创建跟踪时创建的 Amazon S3 存储桶已应用 CloudTrail 允许将日志文件写入该存储桶的策略。该存储桶不可公开访问,但如果您的 Amazon 账户中的其他用户有权读取和写入您账户中的存储桶,则他们可能可以访问该存储桶。 Amazon 查看存储桶的策略,如果必要,进行更改以限制访问。有关更多信息,请参阅 Simple Storage Service(Amazon S3)安全文档和用于保护存储桶的示例演练。
-
传送 CloudTrail 到您的存储桶的日志文件通过亚马逊服务器端加密,使用亚马逊 S3 托管的加密密钥 (SSE-S3) 进行加密。要提供可直接管理的安全层,您可以改为使用带有 Amazon KMS托管密钥 (SSE-KMS) 的服务器端加密来处理日志文件。 CloudTrail 要将 SSE-KMS 与配合使用 CloudTrail,您需要创建并管理 KMS 密钥,也称为。Amazon KMS key有关更多信息,请参阅 使用密 Amazon KMS 钥加密 CloudTrail 日志文件 (SSE-KMS)。
-
有关其他安全计划,请查看的安全最佳实践 CloudTrail。
-
-
创建跟踪以记录数据事件。如果您想记录何时在一个或多个 Amazon S3 存储桶中添加、检索和删除对象,在 DynamoDB 表中添加、更改或删除项目,或者调用一个或 Amazon Lambda 多个函数时,这些都是数据事件。在本教程前面创建的管理事件跟踪不会记录这些类型的事件。您可以创建单独的跟踪,专门用于记录部分或全部支持的资源类型的数据事件。有关更多信息,请参阅 数据事件。
注意
记录数据事件将收取额外费用。有关更多信息,请参阅Amazon CloudTrail 定价
。 -
在您的跟踪中记录 CloudTrail 见解事件。 Amazon CloudTrail Insights 通过持续分析 CloudTrail 管理事件,帮助 Amazon 用户识别和响应与 API 调用和 API 错误率相关的异常活动。 CloudTrail Insights 使用数学模型来确定账户的 API 和服务事件活动的正常水平。它可识别正常模式之外的行为,生成 Insights 事件,并将这些事件传送到为跟踪记录选择的 S3 存储桶中的
/CloudTrail-Insight文件夹。有关 CloudTrail Insights 的更多信息,请参阅记录 Insights 事件。注意
记录 Insights 事件将收取额外费用。有关更多信息,请参阅Amazon CloudTrail 定价
。 -
设置 CloudWatch 日志警报,以便在发生某些事件时提醒您。 CloudWatch 日志允许您监控和接收捕获的特定事件的警报 CloudTrail。例如,您可以监控关键的安全和网络相关管理事件,例如安全组更改、失败的 Amazon Web Services Management Console 登录事件或者对 IAM 策略的更改。有关更多信息,请参阅 使用 Amazon CloudTrail 日志监控 CloudWatch 日志文件。
-
使用分析工具来识别 CloudTrail 日志中的趋势。尽管事件历史记录中的筛选条件可帮助您查找近期活动中的特定事件或事件类型,但它不提供搜索更长时间段内的活动的功能。要进行更深入和更复杂的分析,您可以使用 Amazon Athena。有关更多信息,请参阅 Amazon Athena 用户指南中的查询 Amazon CloudTrail 日志。