Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Protokollverwaltung in AMS Accelerate
AMS Accelerate konfiguriert unterstützte AWS Dienste für die Erfassung von Protokollen. Diese Protokolle werden von AMS Accelerate verwendet, um die Einhaltung der Vorschriften und die Prüfung der Ressourcen in Ihrem Konto sicherzustellen.
AMS Accelerate bietet eine Reihe von Betriebsservices, die Ihnen helfen, betriebliche Exzellenz auf AWS zu erreichen. Um schnell zu verstehen, wie AMS Ihren Teams hilft, mit einigen unserer wichtigsten operativen Funktionen, darunter Helpdesk rund um die Uhr, proaktive Überwachung, Sicherheit, Patching, Protokollierung und Sicherung, allgemeine betriebliche Exzellenz in der AWS-Cloud zu erreichen, sehen Sie sich die AMS-Referenzarchitekturdiagramme
Themen
Protokollverwaltung — AWS CloudTrail
AWS CloudTrail
AMS Accelerate erfordert eine AWS CloudTrail Protokollierung, um Audits und die Einhaltung von Vorschriften für alle Ressourcen in Ihrem Konto zu verwalten. Beim Onboarding können Sie eine der folgenden Optionen wählen:
-
Von AMS bereitgestellter Trail: Wenn Sie sich für diese Option entscheiden, erstellt, implementiert und verwaltet AMS einen Trail mit CloudTrail mehreren Regionen in Ihrer AWS Hauptregion, unabhängig von den vorhandenen Trails in Ihrem Konto.
-
Bringen Sie Ihren eigenen Trail mit: Wenn Sie sich dafür entscheiden, Ihr eigenes Konto oder Ihren eigenen CloudTrail Organisations-Trail bereitzustellen, müssen Sie mit Ihrem Cloud Architect (CA) zusammenarbeiten, um sicherzustellen, dass dieser die erforderlichen Konfigurationen für Accelerate erfüllt. Wenn Sie sich für diese Option entscheiden, aber keinen eigenen Trail bereitstellen, stellt Accelerate automatisch einen eigenen CloudTrail Trail bereit, um kontinuierliche Sicherheit und Audit-Abdeckung zu gewährleisten. Wenn Sie später Ihren eigenen Trail bereitstellen, entfernt AMS den bereitgestellten Trail, um Redundanz und zusätzliche Kosten zu vermeiden. Dieser Ansatz trägt dazu bei, einen einzigen aktiven CloudTrail Trail in Ihrem Konto zu verwalten und verhindert doppelte Logging-Kosten.
Anmerkung
Wenn Ihr Konto über einen bestehenden CloudTrail Trail verfügt und Sie beim Onboarding keinen von AMS verwalteten Trail speziell konfiguriert oder angefordert haben, entfernt AMS Accelerate den von AMS bereitgestellten Trail automatisch aus Ihrem Konto. Dies verhindert doppelte Protokollierung, optimiert die Ressourcennutzung und spart zusätzliche Kosten.
AMS Accelerate erstellt einen Amazon S3 S3-Bucket für einen von Accelerate bereitgestellten CloudTrail Trail als Ziel für die Ereigniszustellung und verwendet AWS Key Management Service (AWS KMS) -Verschlüsselung. Die Mitarbeiter von AMS Accelerate greifen zu Untersuchungs- und Diagnosezwecken auf Ihre Trail-Ereignisse zu. Wenn für das Konto bereits ein vorhandener CloudTrail Trail aktiviert ist, wird dieser Trail zusätzlich zu dem Trail hinzugefügt, falls Sie sich beim Onboarding dafür entschieden haben, dass Accelerate einen von Accelerate verwalteten Trail bereitstellen soll.
AMS Accelerate stellt mithilfe von AWS Config Regeln sicher, dass Ihre CloudTrail Konto-Trails, einschließlich eines von Accelerate bereitgestellten CloudTrail Trails, korrekt eingerichtet und verschlüsselt sind. Weitere Informationen hierzu finden Sie unter AWS Config
multi-region-cloudtrail-enabled. Überprüft, ob AMS Accelerate ordnungsgemäß mit den richtigen Konfigurationen eingerichtet CloudTrail ist.
cloud-trail-encryption-enabled. AWS CloudTrail Überprüft, ob die serverseitige Verschlüsselung (SSE) mit CMK-Verschlüsselung ( AWS KMS Customer Master Key) konfiguriert ist.
cloud-trail-log-file-Validierung aktiviert. Wenn diese Option aktiviert ist, wird überprüft, ob eine signierte Digest-Datei mit Protokollen AWS CloudTrail erstellt wird. Wir empfehlen dringend, die Dateiüberprüfung auf allen Pfaden zu aktivieren.
s-3 bucket-default-lock-enabled. Wenn diese Option aktiviert ist, wird überprüft, ob für den Amazon S3 S3-Bucket die Sperre aktiviert ist.
s-3 bucket-logging-enabled. Wenn diese Option aktiviert ist, wird geprüft, ob die Protokollierung für Amazon S3 S3-Buckets aktiviert ist.
AMS Accelerate verwendet AWS KMS , um die protokollierten Ereignisse für einen von Accelerate bereitgestellten CloudTrail Trail in Ihrem Konto zu verschlüsseln. Dieser Schlüssel wird von den Kontoadministratoren, AMS Accelerate-Betreibern und gesteuert und CloudTrail ist für diese zugänglich. Weitere Informationen AWS KMS finden Sie in der Produktdokumentation zu den AWS Key Management Service Funktionen
Zugriff auf und Prüfung von CloudTrail Protokollen
CloudTrail Protokolle für einen von AMS Accelerate bereitgestellten CloudTrail Trail werden in einem Amazon S3 S3-Bucket in Ihrem Konto gespeichert. Im Amazon S3 S3-Bucket gespeicherte Trail-Daten werden mit einem AWS-KMS-Schlüssel verschlüsselt, der bei der Bereitstellung von CloudTrail Ressourcen erstellt wird.
Amazon S3 S3-Buckets nutzen das Benennungsmuster ams-a aws account id -cloudtrail- (Beispiel: ams-a123456789- AWS Region cloudtrail-us-east -1a) und alle Ereignisse werden mit dem Präfix AWS/ gespeichert. CloudTrail Jeder Zugriff auf den primären Bucket wird protokolliert und die Protokollobjekte werden zu Prüfungszwecken verschlüsselt und versioniert.
Weitere Informationen zum Nachverfolgen von Änderungen und zum Abfragen der Protokolle finden Sie unter. Änderungen in Ihren AMS Accelerate-Konten verfolgen
Protokolle schützen und aufbewahren CloudTrail
AMS Accelerate ermöglicht das Sperren von Amazon S3 S3-Objekten mit dem Governance-Modus für einen von Accelerate bereitgestellten CloudTrail Trail, um sicherzustellen, dass Benutzer eine Objektversion nicht ohne besondere Berechtigungen überschreiben oder löschen oder deren Sperreinstellungen ändern können. Weitere Informationen finden Sie unter Amazon S3 S3-Objektsperre.
Standardmäßig werden alle Protokolle in diesem Bucket auf unbestimmte Zeit aufbewahrt. Wenn Sie den Aufbewahrungszeitraum ändern möchten, können Sie über das AWS -Support Center
Zugreifen auf EC2 Amazon-Logs
Sie können auf EC2 Amazon-Instance-Logs zugreifen, indem Sie den verwenden AWS Management Console. Von Instances und AWS Services erstellte CloudWatch Protokolle sind in Logs verfügbar, das in jedem von AMS Accelerate verwalteten Konto verfügbar ist. Informationen zum Zugriff auf Ihre Logs finden Sie in der CloudWatch Logs-Dokumentation.
Aufbewahrung von EC2 Amazon-Protokollen
EC2 Amazon-Instance-Logs werden standardmäßig auf unbestimmte Zeit aufbewahrt. Wenn Sie den Aufbewahrungszeitraum ändern möchten, können Sie über das AWS -Support Center
Protokollverwaltung — Amazon EC2
AMS Accelerate installiert den CloudWatch Agenten auf allen EC2 Amazon-Instances, die Sie als von AMS Accelerate verwaltet identifiziert haben. Dieser Agent sendet Protokolle auf Systemebene an Amazon CloudWatch Logs. Weitere Informationen finden Sie unter Was sind CloudWatch Amazon-Logs?
Die folgenden Protokolldateien werden an CloudWatch Logs in eine Protokollgruppe mit demselben Namen wie das Protokoll gesendet. Innerhalb jeder Protokollgruppe wird für jede EC2 Amazon-Instance ein Log-Stream erstellt, der nach der EC2 Amazon-Instance-ID benannt ist.
Linux
/var/log/amazon/ssm/amazon-ssm-agent.log
/var/log/amazon/ssm/errors.log
/.log var/log/audit/audit
/.log var/log/auth
/-init-output.log var/log/cloud
/var/log/cron
/var/log/dnf.log
/.log var/log/dpkg
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
/var/log/syslog
/.log var/log/yum
/.log var/log/zypper
Weitere Informationen finden Sie unter Manuelles Erstellen oder Bearbeiten der CloudWatch Agent-Konfigurationsdatei.
Windows
SSMAgentAmazon-Protokoll
AmazonCloudWatchAgentLog
SSMErrorAmazon-Protokoll
AmazonCloudFormationLog
ApplicationEventLog
EC2ConfigServiceEventLog
MicrosoftWindowsAppLockerEXEAndDLLEventLoggen
MicrosoftWindowsAppLockerMSIAndScriptEventLog
MicrosoftWindowsGroupPolicyOperationalEventLog
SecurityEventLog
SystemEventLog
Weitere Informationen finden Sie unter Schnellstart: Aktivieren Sie Ihre EC2 Amazon-Instances, auf denen Windows Server 2016 ausgeführt wird, um mithilfe des Logs-Agenten CloudWatch Logs an CloudWatch Logs zu senden.
Protokollverwaltung — Amazon VPC Flow Logs
VPC Flow Logs ist eine Funktion, die Informationen über den IP-Verkehr erfasst, der zu und von Netzwerkschnittstellen in Ihrer VPC fließt. Flow-Protokolldaten können in Amazon CloudWatch Logs oder Amazon S3 veröffentlicht werden. Die Erfassung von Flow-Protokolldaten hat keinen Einfluss auf den Netzwerkdurchsatz oder die Latenz. Sie können Flow-Protokolle erstellen oder löschen, ohne die Netzwerkleistung zu beeinträchtigen.
Mit Flow-Protokollen können Sie eine Reihe von Aufgaben ausführen, z. B.:
Diagnose zu restriktiver Sicherheitsgruppenregeln
Überwachung des Datenverkehrs, der Ihre Instance erreicht
Ermitteln der Richtung des Datenverkehrs zu und von den Netzwerkschnittstellen
Sie müssen die VPC-Flow-Logs nicht für jede neu erstellte VPC in Accelerate-Konten aktivieren. AMS erkennt anhand der Regel ams-nist-cis-vpc- flow-logs-enabled Config automatisch, ob eine VPC über ein Flow-Log verfügt. Wenn VPC-Flow-Logs nicht aktiviert sind, behebt AMS das Problem automatisch, indem es ein VPC-Flow-Protokoll mit benutzerdefinierten Feldern erstellt. Mit diesen zusätzlichen Feldern können AMS und Kunden den VPC-Verkehr besser überwachen, Netzwerkabhängigkeiten verstehen, Netzwerkverbindungsprobleme beheben und Netzwerkbedrohungen identifizieren.
Informationen zum Anzeigen und Durchsuchen von Flow-Logs finden Sie unter Arbeiten mit Flow-Logs.
