Administración de registros en AMS Accelerate - Guía del usuario de AMS Accelerate
Administración de registros: AWS CloudTrailGestión de registros — Amazon EC2 Administración de registros: Amazon VPC Flow Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de registros en AMS Accelerate

AMS Accelerate configura los AWS servicios compatibles para recopilar registros. AMS Accelerate utiliza estos registros para garantizar el cumplimiento y la auditoría de los recursos de su cuenta.

AMS Accelerate ofrece una gama de servicios operativos para ayudarlo a alcanzar la excelencia operativa en AWS. Para comprender rápidamente cómo AMS ayuda a sus equipos a lograr la excelencia operativa general en la nube de AWS con algunas de nuestras capacidades operativas clave, como el servicio de asistencia las 24 horas, los 7 días de la semana, la supervisión proactiva, la seguridad, la aplicación de parches, el registro y la copia de seguridad, consulte los diagramas de arquitectura de referencia de AMS.

Administración de registros: AWS CloudTrail

AWS CloudTrailes un servicio que se utiliza para el control de cuentas: cumplimiento, auditoría operativa y auditoría de riesgos. Con CloudTrail él, puede registrar, monitorear continuamente y retener la actividad de la cuenta relacionada con las acciones en toda su AWS infraestructura.

AMS Accelerate requiere el AWS CloudTrail registro para gestionar las auditorías y el cumplimiento de todos los recursos de su cuenta. Durante la incorporación, puede elegir una de las siguientes opciones:

  • Ruta desplegada por AMS: si eliges esta opción, AMS crea, despliega y gestiona una ruta CloudTrail multirregional en tu AWS región principal, independientemente de las rutas existentes en tu cuenta.

  • Crea tu propia ruta: si decides proporcionar tu propia cuenta u organización CloudTrail, tendrás que trabajar con tu Cloud Architect (CA) para asegurarte de que cumple con las configuraciones requeridas para Accelerate. Si elige esta opción pero no proporciona su propio registro, Accelerate implementará automáticamente su propio CloudTrail registro para mantener una cobertura continua de seguridad y auditoría. Si proporciona su propio registro más adelante, AMS eliminará el registro desplegado para evitar redundancias y costes adicionales. Este enfoque ayuda a mantener un único registro activo en CloudTrail su cuenta y evita la duplicación de los costes de registro.

nota

Si su cuenta tiene un CloudTrail registro existente y no configuró ni solicitó específicamente un registro gestionado por AMS durante la incorporación, AMS Accelerate eliminará automáticamente el registro implementado por AMS de su cuenta. Esto evita la duplicación de registros, optimiza el uso de los recursos y ahorra costes adicionales.

AMS Accelerate crea un bucket de Amazon S3 para una CloudTrail ruta implementada por Accelerate como destino de entrega de eventos y utiliza el cifrado AWS Key Management Service (AWS KMS). Los operadores de AMS Accelerate acceden a los eventos de su ruta con fines de investigación y diagnóstico. Si la cuenta ya tiene habilitada una CloudTrail ruta existente, esta ruta se suma a la que usted eligió para que Accelerate desplegara una ruta gestionada por Accelerate durante la incorporación.

AMS Accelerate implementa AWS Config reglas para garantizar que los registros de su CloudTrail cuenta, incluido el CloudTrail registro implementado por Accelerate, estén configurados y cifrados correctamente. Para obtener más información, consulte AWS Config. Estas son las reglas utilizadas, presentadas como enlaces a la AWS documentación que las describe:

AMS Accelerate AWS KMS se utiliza para cifrar los eventos registrados para una CloudTrail ruta implementada por Accelerate en su cuenta. Esta clave está controlada por los administradores de la cuenta, los operadores de AMS Accelerate y CloudTrail. Para obtener más información sobre las AWS Key Management Service funciones AWS KMS, consulte la documentación del producto.

Acceder a los CloudTrail registros y auditarlos

CloudTrail los registros de una CloudTrail ruta implementada por AMS Accelerate se almacenan en un bucket de Amazon S3 dentro de su cuenta. Los datos de seguimiento almacenados en el bucket de Amazon S3 se cifran mediante una clave de AWS KMS que se crea cuando se aprovisionan CloudTrail los recursos.

Los buckets de Amazon S3 utilizan un patrón de nomenclatura de ams-a aws account id -cloudtrail- (ejemplo: ams-a123456789- AWS Region cloudtrail-us-east -1a) y todos los eventos se almacenan con el prefijo AWS/. CloudTrail Todos los accesos al depósito principal se registran y los objetos de registro se cifran y se les asigna una versión con fines de auditoría.

Para obtener más información sobre el seguimiento de los cambios y la consulta de los registros, consulte. Seguimiento de los cambios en sus cuentas de AMS Accelerate

Protección y conservación de los registros CloudTrail

AMS Accelerate permite el bloqueo de objetos de Amazon S3 con el modo Governance para un CloudTrail seguimiento implementado de Accelerate a fin de garantizar que los usuarios no puedan sobrescribir o eliminar una versión de un objeto ni modificar su configuración de bloqueo sin permisos especiales. Para obtener más información, consulte Bloqueo de objetos en Amazon S3.

De forma predeterminada, todos los registros de este depósito se guardan indefinidamente. Si desea cambiar el período de retención, puede enviar una solicitud de servicio a través del AWS Support Centro para configurar una política de retención diferente.

Acceder a los EC2 registros de Amazon

Puede acceder a los registros de EC2 instancias de Amazon mediante AWS Management Console. Los registros generados por las instancias y AWS los servicios están disponibles en CloudWatch Logs, que está disponible en cada cuenta gestionada por AMS Accelerate. Para obtener información sobre cómo acceder a sus registros, consulte la documentación de CloudWatch registros.

Conservar los EC2 registros de Amazon

De forma predeterminada EC2 , los registros de instancias de Amazon se guardan indefinidamente. Si quieres cambiar el período de retención, puedes enviar una solicitud de servicio a través del AWS Support Centro para configurar una política de retención diferente.

Gestión de registros — Amazon EC2

AMS Accelerate instala el CloudWatch agente en todas las EC2 instancias de Amazon que haya identificado como gestionadas por AMS Accelerate. Este agente envía registros de nivel de sistema a Amazon CloudWatch Logs. Para obtener más información, consulta ¿Qué son Amazon CloudWatch Logs?

Los siguientes archivos de registro se envían a CloudWatch Logs, a un grupo de registros con el mismo nombre que el registro. Dentro de cada grupo de registros, se crea un flujo de registros para cada EC2 instancia de Amazon, cuyo nombre se denomina de acuerdo con el ID de la EC2 instancia de Amazon.

Linux

  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

  • /.log var/log/audit/audit

  • /.log var/log/auth

  • /-init-output.log var/log/cloud

  • /var/log/cron

  • /var/log/dnf.log

  • /.log var/log/dpkg

  • /var/log/maillog

  • /var/log/messages

  • /var/log/secure

  • /var/log/spooler

  • /var/log/syslog

  • /.log var/log/yum

  • /.log var/log/zypper

Para obtener más información, consulte Crear o editar manualmente el archivo de configuración del CloudWatch agente.

Windows

  • Amazon SSMAgent Log

  • AmazonCloudWatchAgentLog

  • Amazon SSMError Log

  • AmazonCloudFormationLog

  • ApplicationEventLog

  • EC2ConfigServiceEventLog

  • MicrosoftWindowsAppLockerEXEAndDLLEventRegistro

  • MicrosoftWindowsAppLockerMSIAndScriptEventLog

  • MicrosoftWindowsGroupPolicyOperationalEventLog

  • SecurityEventLog

  • SystemEventLog

Para obtener más información, consulte Inicio rápido: habilite sus EC2 instancias de Amazon que ejecutan Windows Server 2016 para enviar registros a CloudWatch registros mediante el agente de CloudWatch registros.

Administración de registros: Amazon VPC Flow Logs

Los registros de flujo de la VPC son una función que captura información sobre el tráfico IP que entra y sale de las interfaces de red de la VPC. Los datos del registro de flujo se pueden publicar en Amazon CloudWatch Logs o Amazon S3. La recopilación de datos del registro de flujo no afecta al rendimiento ni a la latencia de la red. Puede crear o eliminar registros de flujo sin que ello afecte al rendimiento de la red.

Los logs de flujo pueden ayudarlo en una serie de tareas, tales como:

  • Diagnosticar reglas de grupos de seguridad demasiado restrictivas

  • Supervisar el tráfico que llega a su instancia

  • Determinar la dirección del tráfico hacia y desde las interfaces de red

No tiene que habilitar los registros de flujo de VPC para cada VPC recién creada en las cuentas de Accelerate. AMS detectará automáticamente si una VPC tiene un registro de flujo mediante la regla - ams-nist-cis-vpcflow-logs-enabledConfig. Si los registros de flujo de VPC no están habilitados, AMS lo solucionará automáticamente mediante la creación de un registro de flujo de VPC con campos personalizados. Tener estos campos adicionales permitirá a AMS y a los clientes monitorear mejor el tráfico de VPC, comprender las dependencias de la red, solucionar problemas de conectividad de la red e identificar las amenazas de la red.

Para obtener información sobre cómo ver y buscar registros de flujo, consulte Trabajar con registros de flujo.