Amazon S3 中的日志记录和监控
监控是保持 Amazon S3 和您的 Amazon 解决方案的可靠性、可用性和性能的重要方面。我们推荐您从 Amazon 解决方案的所有方面收集监控数据,以便更轻松地调试出现的多点故障。在开始监控 Amazon S3 之前,创建一个监控计划,解决以下问题:
-
监控目的是什么?
-
您将监控哪些资源?
-
监控这些资源的频率如何?
-
您将使用哪些监控工具?
-
谁负责执行监控任务?
-
出现错误时应通知谁?
有关 Amazon S3 中的日志记录和监控的更多信息,请参阅以下主题。
注意
有关将 Amazon S3 Express One Zone 存储类与目录存储桶配合使用的更多信息,请参阅 S3 Express One Zone 和使用目录存储桶。
监控是保持 Amazon S3 和您的 Amazon 解决方案的可靠性、可用性和性能的重要方面。您应该从 Amazon 解决方案的各个部分收集监控数据,以便您可以更轻松地调试多点故障(如果发生)。Amazon 提供了多种工具来监控您的 Amazon S3 资源并对潜在事件做出响应。
- Amazon CloudWatch 警报
-
使用 Amazon CloudWatch 警报,您可以在指定时间段内监控某个指标。如果指标超过给定阈值,则会向 Amazon SNS 主题或 Amazon Auto Scaling 策略发送通知。CloudWatch 警报将不会调用操作,因为这些操作处于特定状态。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。有关更多信息,请参阅 使用 Amazon CloudWatch 监控指标。
- Amazon CloudTrail 日志
-
CloudTrail 提供了用户、角色或 Amazon 服务在 Amazon S3 中所执行操作的记录。使用 CloudTrail 收集的信息,您可以确定向 Amazon S3 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。有关更多信息,请参阅 使用 Amazon CloudTrail 记录 Amazon S3 API 调用。
- Amazon GuardDuty
-
Amazon GuardDuty 是一项威胁检测服务,可持续监控您的账户、容器、工作负载和 Amazon 环境中的数据,以识别 S3 存储桶面临的潜在威胁或安全风险。GuardDuty 还提供了有关所检测到的威胁的丰富上下文信息。GuardDuty 会监控 Amazon CloudTrail 管理日志中是否存在威胁,并显示与安全相关的信息。例如,GuardDuty 会将 API 请求的各个因素纳入考量,如发出请求的用户、发出请求的位置以及请求的特定 API,而这些因素在您的环境中可能存在异常。GuardDuty S3 Protection 会监控 CloudTrail 收集的 S3 数据事件,并识别您环境中所有 S3 存储桶中可能存在的异常和恶意行为。
- Amazon S3 访问日志
-
服务访问日志提供有关对存储桶做出的请求的详细记录。对于许多应用程序而言,服务器访问日志很有用。例如,访问日志信息可能在安全和访问权限审核方面很有用。有关更多信息,请参阅 使用服务器访问日志记录来记录请求。
- Amazon Trusted Advisor
-
Trusted Advisor 凝聚了从为数十万 Amazon 客户提供服务中总结的最佳实践。Trusted Advisor 可检查您的 Amazon 环境,然后在有可能节省开支、提高系统可用性和性能或弥补安全漏洞时为您提供建议。所有 Amazon 客户均有权访问五个 Trusted Advisor 检查。使用“商业”和“企业”支持计划的客户可以查看所有 Trusted Advisor 检查。
Trusted Advisor 有以下与 Amazon S3 相关的检查:
-
Amazon S3 存储桶的日志记录配置。
-
具有开放访问权限的 Amazon S3 存储桶的安全性检查。
-
未启用版本控制或已暂停版本控制的 Amazon S3 存储桶的容错检查。
有关更多信息,请参阅 Amazon Web Services 支持 用户指南中的 Amazon Trusted Advisor。
-
- Amazon S3 Storage Lens 存储统计管理工具
-
Amazon S3 Storage Lens 存储统计管理工具是一项云存储分析功能,您可以使用它在整个组织范围内了解对象存储的使用情况和活动。您可以使用 S3 Storage Lens 存储统计管理工具指标生成摘要见解,例如,了解整个组织中有多少存储空间,或增长最快的桶和前缀是哪些。您还可以使用 S3 Storage Lens 存储统计管理工具指标来识别成本优化机会,实施数据保护和安全最佳实践,并提高应用程序工作负载的性能。
S3 Storage Lens 存储统计管理工具聚合您的指标,并在 Amazon S3 控制台的存储桶页上的“账户快照”部分中显示此信息。S3 Storage Lens 存储统计管理工具还提供了一个交互式控制面板,您可以使用它来可视化见解和趋势,标记异常值,并接收有关优化存储成本和应用数据保护最佳实践的建议。控制面板提供深入分析选项,用于在组织、账户、Amazon Web Services 区域、存储类、存储桶、前缀或 Storage Lens 组级别生成和可视化见解。有关更多信息,请参阅 了解 Amazon S3 Storage Lens 存储统计管理工具。
- Amazon S3 清单
-
Amazon S3 清单会生成一个对象和元数据列表,您可以使用它们来查询和管理您的对象。您可以使用此清单报告来生成细粒度数据,例如对象大小、上次修改日期、加密状态和其它字段。这些报告每天或每周都可用,可自动提供最新的列表。
例如,出于业务、合规性和法规要求,您可以使用 Amazon S3 清单来审计和报告对象的复制和加密状态。您还可以使用 Amazon S3 清单来简化和加快业务工作流和大数据任务,这可以有计划地取代 Amazon S3 同步
List
API 操作。Amazon S3 清单不使用List
API 操作来审计对象,且不会影响存储桶的请求速率。有关更多信息,请参阅 使用 S3 清单对数据进行编目和分析。 - Amazon S3 事件通知
-
通过 Amazon S3 事件通知功能,您可以在 S3 存储桶中发生某些事件时接收通知。要启用通知,请添加一个通知配置,该配置标识您希望 Amazon S3 发布的事件。有关更多信息,请参阅 Amazon S3 事件通知。
- Amazon S3 和 Amazon X-Ray
-
Amazon X-Ray 与 Amazon S3 集成以跟踪更新应用程序 S3 存储桶的上游请求。如果某项服务使用 X-Ray SDK 跟踪请求,则 Amazon S3 可以将跟踪标头发送给 Λ、Amazon SQS 和 Amazon SNS 等下游事件订阅用户。X-Ray 支持跟踪消息以实现 Amazon S3 事件通知。您可以使用 X-Ray 跟踪地图查看 Amazon S3 与应用程序所用其他服务之间的连接。有关更多信息,请参阅 Amazon S3 and X-Ray。
下面的安全最佳实践也处理日志记录和监控: