Amazon S3 的日志记录选项 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon S3 的日志记录选项

您可以记录用户、角色或 Amazon 服务对 Amazon S3 资源所采取的操作,并维护日志记录以满足审计和合规性目的。为此,您可以使用服务器访问日志记录、Amazon CloudTrail 日志记录,或两者的组合。我们建议您使用 Amazon CloudTrail 为您的 Amazon S3 资源记录存储桶和对象级别操作的日志。请参阅下面几节,了解有关每个选项的更多信息:

下表列出了 Amazon CloudTrail 日志和 Amazon S3 服务器访问日志的关键属性。查看表格和注释,以确保 Amazon CloudTrail 满足您的安全要求。

日志属性 Amazon CloudTrail Amazon S3 服务器日志

可以转发到其他系统(CloudWatch Logs、CloudWatch Events)

将日志传输到多个目标(例如,将相同的日志发送到两个不同的存储桶)

对对象的子级开启日志(前缀)

跨账户日志传输(不同账户拥有的目标和源存储桶)

使用数字签名/哈希对日志文件进行一致性验证

默认/选择加密日志文件

对象操作(使用 Amazon S3 API)

存储桶操作(使用 Amazon S3 API)

日志的可搜索 UI

对象锁定参数的字段,Amazon S3 选择日志记录的属性

日志记录的 Object SizeTotal TimeTurn-Around TimeHTTP Referer 的字段

生命周期转换,过期,还原

批处理删除操作中键的日志记录

身份验证失败1

日志得到传输的账户

存储桶拥有者 2 以及请求者

仅限存储桶拥有者

Performance and Cost Amazon CloudTrail Amazon S3 Server Logs

价格

管理事件(第一次传输)免费;数据事件引发费用,此外还有日志存储

除日志存储之外,没有其他费用

日志传输的速度

每 5 分钟传输数据事件;每 15 分钟传输管理事件

几个小时内

日志格式

JSON

具有以空格分隔、新行分隔的记录的日志文件

备注:

  1. CloudTrail 对于未通过身份验证(其中,提供的凭证无效)的请求不传输日志。但是,对于授权失败的请求 (AccessDenied) 和匿名用户发出的请求,它的确包括日志。

  2. 仅当账户也拥有请求中的对象或对此对象具有完全访问权限时,S3 存储桶拥有者才接收 CloudTrail 日志。有关更多信息,请参阅 跨账户情形中的对象级操作