Gestione dei log in AMS Accelerate - Guida utente di AMS Accelerate
Gestione dei log — AWS CloudTrailGestione dei registri — Amazon EC2 Gestione dei log — Amazon VPC Flow Logs

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dei log in AMS Accelerate

AMS Accelerate configura i AWS servizi supportati per raccogliere i log. Questi registri vengono utilizzati da AMS Accelerate per garantire la conformità e il controllo delle risorse all'interno dell'account.

AMS Accelerate offre una gamma di servizi operativi per aiutarti a raggiungere l'eccellenza operativa su AWS. Per comprendere rapidamente come AMS aiuta i tuoi team a raggiungere l'eccellenza operativa complessiva nel cloud AWS con alcune delle nostre funzionalità operative chiave, tra cui helpdesk 24 ore su 24, 7 giorni su 7, monitoraggio proattivo, sicurezza, patching, registrazione e backup, consulta i diagrammi dell'architettura di riferimento di AMS.

Gestione dei log — AWS CloudTrail

AWS CloudTrailè un servizio utilizzato per la governance degli account: conformità, controllo operativo e controllo dei rischi. Con CloudTrail, puoi registrare, monitorare continuamente e conservare le attività dell'account relative alle azioni sull'infrastruttura AWS .

AMS Accelerate richiede AWS CloudTrail la registrazione per gestire gli audit e la conformità per tutte le risorse del tuo account. Durante l'onboarding, puoi scegliere una delle seguenti opzioni:

  • Percorso distribuito da AMS: se scegli questa opzione, AMS crea, distribuisce e gestisce un percorso CloudTrail multiregionale nella tua AWS regione principale, indipendentemente dai percorsi esistenti nel tuo account.

  • Porta il tuo percorso personale: se scegli di fornire il CloudTrail percorso del tuo account o della tua organizzazione, devi collaborare con Cloud Architect (CA) per assicurarti che soddisfi le configurazioni richieste per Accelerate. Se scegli questa opzione ma non fornisci il tuo percorso, Accelerate implementa automaticamente il proprio CloudTrail percorso per mantenere una copertura continua di sicurezza e audit. Se in un secondo momento fornisci la tua traccia personale, AMS rimuove la traccia utilizzata per evitare ridondanze e costi aggiuntivi. Questo approccio aiuta a mantenere un unico CloudTrail percorso attivo nell'account ed evita la duplicazione dei costi di registrazione.

Nota

Se il tuo account dispone di un CloudTrail percorso esistente e non hai specificamente configurato o richiesto un percorso gestito da AMS durante l'onboarding, AMS Accelerate rimuove automaticamente il percorso distribuito da AMS dal tuo account. In questo modo si evitano registrazioni duplicate, si ottimizza l'utilizzo delle risorse e si risparmiano costi aggiuntivi.

AMS Accelerate crea un bucket Amazon S3 per un CloudTrail percorso distribuito da Accelerate come destinazione di distribuzione degli eventi e utilizza AWS Key Management Service la crittografia ().AWS KMS Gli operatori di AMS Accelerate accedono ai tuoi eventi trail per scopi di indagine e diagnosi. Se sull'account è già abilitato un CloudTrail trail esistente, questo percorso si aggiunge a quello, se hai scelto di fare in modo che Accelerate implementasse un percorso gestito da Accelerate durante l'onboarding.

AMS Accelerate implementa AWS Config regole per garantire che i percorsi dei tuoi CloudTrail account, incluso un Accelerate deployed CloudTrail trail, siano configurati e crittografati correttamente. Per ulteriori informazioni, consulta AWS Config. Queste sono le regole utilizzate, presentate come collegamenti alla AWS documentazione che le descrive:

  • multi-region-cloudtrail-enabled. Verifica che AMS Accelerate CloudTrail sia configurato correttamente con le configurazioni corrette.

  • cloud-trail-encryption-enabled. Verifica che AWS CloudTrail sia configurato per utilizzare la crittografia lato server (SSE) con la crittografia AWS KMS Customer Master Key (CMK).

  • cloud-trail-log-file-abilitato alla convalida. Se abilitato, verifica che AWS CloudTrail crei un file digest firmato con registri. Ti consigliamo vivamente di abilitare la convalida dei file su tutti i percorsi.

  • s-3. bucket-default-lock-enabled Se abilitato, verifica che il bucket Amazon S3 abbia il blocco abilitato.

  • s3 -. bucket-logging-enabled Se abilitato, verifica se la registrazione è abilitata per i bucket Amazon S3.

AMS Accelerate lo utilizza AWS KMS per crittografare gli eventi registrati per un percorso distribuito da CloudTrail Accelerate nel tuo account. Questa chiave è controllata ed è accessibile dagli amministratori degli account, dagli operatori di AMS Accelerate e. CloudTrail Per ulteriori informazioni AWS KMS, consulta la documentazione relativa AWS Key Management Service alle caratteristiche del prodotto.

Accesso e controllo dei log CloudTrail

CloudTrail i log per un CloudTrail percorso distribuito da AMS Accelerate sono archiviati in un bucket Amazon S3 all'interno del tuo account. I dati di trail archiviati nel bucket Amazon S3 sono crittografati utilizzando una chiave AWS KMS creata al momento del provisioning delle risorse. CloudTrail

I bucket Amazon S3 sfruttano un modello di denominazione ams-a aws account id-cloudtrail-AWS Region, (esempio: ams-a123456789- -1a) e tutti gli eventi sono archiviati con il prefisso AWS/. cloudtrail-us-east CloudTrail Tutti gli accessi al bucket primario vengono registrati e gli oggetti di registro vengono crittografati e versionati per scopi di controllo.

Per ulteriori informazioni sulla registrazione delle modifiche e sull'interrogazione dei log, consulta. Monitoraggio delle modifiche nei tuoi account AMS Accelerate

Protezione e conservazione dei registri CloudTrail

AMS Accelerate consente il blocco degli oggetti di Amazon S3 con la modalità Governance per un CloudTrail percorso distribuito da Accelerate per garantire che gli utenti non possano sovrascrivere o eliminare una versione dell'oggetto o modificarne le impostazioni di blocco senza autorizzazioni speciali. Per ulteriori informazioni, consulta Amazon S3 object locking.

Per impostazione predefinita, tutti i log in questo bucket vengono conservati a tempo indeterminato. Se desideri modificare il periodo di conservazione, puoi inviare una richiesta di servizio tramite il Supporto AWS Centro per impostare una politica di conservazione diversa.

Accesso ai EC2 log di Amazon

Puoi accedere ai log delle EC2 istanze di Amazon utilizzando. AWS Management Console I log prodotti da istanze e AWS servizi sono disponibili in CloudWatch Logs, disponibile in ogni account gestito da AMS Accelerate. Per informazioni sull'accesso ai log, consulta la documentazione dei log. CloudWatch

Conservazione dei log di Amazon EC2

Per impostazione predefinita, i log delle EC2 istanze di Amazon vengono conservati a tempo indeterminato. Se desideri modificare il periodo di conservazione, puoi inviare una richiesta di servizio tramite il Supporto AWS Centro per impostare una politica di conservazione diversa.

Gestione dei registri — Amazon EC2

AMS Accelerate installa l' CloudWatch agente su tutte le EC2 istanze Amazon che hai identificato come gestite da AMS Accelerate. Questo agente invia log a livello di sistema ad Amazon Logs. CloudWatch Per informazioni, consulta Cosa sono gli Amazon CloudWatch Logs?

I seguenti file di log vengono inviati a CloudWatch Logs, in un gruppo di log con lo stesso nome del log. All'interno di ogni gruppo di log, viene creato un flusso di log per ogni EC2 istanza Amazon, denominato in base all'ID dell' EC2 istanza Amazon.

Linux

  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

  • /.log var/log/audit/audit

  • /.log var/log/auth

  • /-init-output.log var/log/cloud

  • /var/log/cron

  • /var/log/dnf.log

  • /.log var/log/dpkg

  • /var/log/maillog

  • /var/log/messages

  • /var/log/secure

  • /var/log/spooler

  • /var/log/syslog

  • /.log var/log/yum

  • /.log var/log/zypper

Per ulteriori informazioni, vedere Creare o modificare manualmente il file di configurazione CloudWatch dell'agente.

Windows

  • SSMAgentRegistro Amazon

  • AmazonCloudWatchAgentLog

  • SSMErrorRegistro Amazon

  • AmazonCloudFormationLog

  • ApplicationEventLog

  • EC2ConfigServiceEventLog

  • MicrosoftWindowsAppLockerEXEAndDLLEventRegistro

  • MicrosoftWindowsAppLockerMSIAndScriptEventLog

  • MicrosoftWindowsGroupPolicyOperationalEventLog

  • SecurityEventLog

  • SystemEventLog

Per ulteriori informazioni, consulta Quick Start: abilitare le EC2 istanze Amazon che eseguono Windows Server 2016 per inviare log a log utilizzando CloudWatch Logs Agent. CloudWatch

Gestione dei log — Amazon VPC Flow Logs

VPC Flow Logs è una funzionalità che acquisisce informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete del tuo VPC. I dati dei log di flusso possono essere pubblicati su Amazon CloudWatch logs o Amazon S3. La raccolta dei dati dei log di flusso non influisce sulla velocità effettiva o sulla latenza della rete. È possibile creare o eliminare i log di flusso senza alcun impatto sulle prestazioni della rete.

I log di flusso possono essere utili per diverse attività, ad esempio:

  • Diagnosi delle regole eccessivamente restrittive del gruppo di sicurezza

  • Monitoraggio del traffico che raggiunge l'istanza

  • Identificazione della direzione del traffico da e verso le interfacce di rete

Non è necessario abilitare i log di flusso VPC per ogni VPC appena creato negli account Accelerate. AMS rileverà automaticamente se un VPC ha un log di flusso utilizzando la regola - ams-nist-cis-vpcConfig. flow-logs-enabled Se i log di flusso VPC non sono abilitati, AMS correggerà automaticamente il problema creando un log di flusso VPC con campi personalizzati. La disponibilità di questi campi aggiuntivi consentirà ad AMS e ai clienti di monitorare meglio il traffico VPC, comprendere le dipendenze della rete, risolvere i problemi di connettività di rete e identificare le minacce di rete.

Per informazioni sulla visualizzazione e la ricerca dei log di flusso, consulta Lavorare con i log di flusso.