Gerenciamento de registros no AMS Accelerate - Guia do usuário do AMS Accelerate
Gerenciamento de registros — AWS CloudTrailGerenciamento de registros — Amazon EC2 Gerenciamento de registros — Amazon VPC Flow Logs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de registros no AMS Accelerate

O AMS Accelerate configura AWS serviços compatíveis para coletar registros. Esses registros são usados pelo AMS Accelerate para garantir a conformidade e a auditoria dos recursos em sua conta.

O AMS Accelerate fornece uma variedade de serviços operacionais para ajudar você a alcançar a excelência operacional na AWS. Para obter uma compreensão rápida de como o AMS ajuda suas equipes a alcançar a excelência operacional geral na Nuvem AWS com alguns de nossos principais recursos operacionais, incluindo suporte técnico 24 horas por dia, 7 dias por semana, monitoramento proativo, segurança, aplicação de patches, registro e backup, consulte Diagramas de arquitetura de referência do AMS.

Gerenciamento de registros — AWS CloudTrail

AWS CloudTrailé um serviço usado para governança de contas: conformidade, auditoria operacional e auditoria de risco. Com CloudTrail, você pode registrar, monitorar continuamente e reter as atividades da conta relacionadas às ações em toda a sua AWS infraestrutura.

O AMS AWS CloudTrail Accelerate exige registro para gerenciar auditorias e conformidade de todos os recursos em sua conta. Durante a integração, você pode escolher uma das seguintes opções:

  • Trilha implantada pelo AMS: se você escolher essa opção, o AMS cria, implanta e gerencia uma trilha CloudTrail multirregional em sua AWS região principal, independente de qualquer trilha existente em sua conta.

  • Traga sua própria trilha: se você optar por fornecer sua própria CloudTrail trilha de conta ou organização, deverá trabalhar com seu Cloud Architect (CA) para garantir que ele atenda às configurações necessárias para o Accelerate. Se você escolher essa opção, mas não fornecer sua própria trilha, o Accelerate implantará automaticamente sua própria CloudTrail trilha para manter a cobertura contínua de segurança e auditoria. Se você fornecer sua própria trilha posteriormente, o AMS removerá a trilha implantada para evitar redundância e custos adicionais. Essa abordagem ajuda a manter uma única CloudTrail trilha ativa em sua conta e evita custos duplicados de registro.

nota

Se sua conta tiver uma CloudTrail trilha existente e você não tiver configurado ou solicitado especificamente uma trilha gerenciada pelo AMS durante a integração, o AMS Accelerate removerá automaticamente a trilha implantada do AMS da sua conta. Isso evita registros duplicados, otimiza o uso de recursos e economiza custos adicionais.

O AMS Accelerate cria um bucket Amazon S3 para uma CloudTrail trilha implantada do Accelerate como destino de entrega de eventos e usa AWS Key Management Service ()AWS KMS criptografia. Seus eventos de trilha são acessados pelos operadores do AMS Accelerate para fins de investigação e diagnóstico. Se a conta já tiver uma CloudTrail trilha existente ativada, essa trilha é um acréscimo a essa, caso você opte por fazer com que o Accelerate implante uma trilha gerenciada pelo Accelerate durante a integração.

O AMS Accelerate implanta AWS Config regras para garantir que as trilhas de sua CloudTrail conta, incluindo uma CloudTrail trilha implantada pelo Accelerate, sejam configuradas e criptografadas corretamente. Para saber mais, consulte AWS Config. Estas são as regras usadas, apresentadas como links para a AWS documentação que as descreve:

O AMS Accelerate usa AWS KMS para criptografar os eventos registrados de uma CloudTrail trilha implantada pelo Accelerate em sua conta. Essa chave é controlada e acessível aos administradores da conta, operadores do AMS Accelerate e. CloudTrail Para obter mais informações sobre AWS KMS, consulte a documentação do produto sobre AWS Key Management Service recursos.

Acessando e auditando registros CloudTrail

CloudTrail os registros de uma CloudTrail trilha implantada pelo AMS Accelerate são armazenados em um bucket do Amazon S3 em sua conta. Os dados de trilhas armazenados no bucket do Amazon S3 são criptografados usando uma chave do AWS KMS criada CloudTrail quando os recursos são provisionados.

Os buckets do Amazon S3 utilizam um padrão de nomenclatura de ams-a aws account id -cloudtrail-AWS Region, (exemplo: ams-a123456789- -1a) e todos os eventos são armazenados com o prefixo AWS/. cloudtrail-us-east CloudTrail Todo o acesso ao bucket primário é registrado e os objetos de log são criptografados e versionados para fins de auditoria.

Para obter mais informações sobre como rastrear alterações e consultar os registros, consulteRastreando alterações em suas contas do AMS Accelerate.

Protegendo e retendo registros CloudTrail

O AMS Accelerate permite o bloqueio de objetos do Amazon S3 com o Modo de Governança para uma CloudTrail trilha implantada pelo Accelerate para garantir que os usuários não possam sobrescrever ou excluir uma versão do objeto ou alterar suas configurações de bloqueio sem permissões especiais. Para obter mais informações, consulte Bloqueio de objetos do Amazon S3.

Por padrão, todos os registros nesse bucket são mantidos indefinidamente. Se quiser alterar o período de retenção, você pode enviar uma solicitação de serviço por meio do AWS Support Centro para configurar uma política de retenção diferente.

Acessando os EC2 registros da Amazon

Você pode acessar os registros de EC2 instâncias da Amazon usando AWS Management Console o. Os registros produzidos por instâncias e AWS serviços estão disponíveis no CloudWatch Logs, que está disponível em cada conta gerenciada pelo AMS Accelerate. Para obter informações sobre como acessar seus registros, consulte a documentação de CloudWatch registros.

Retenção de registros da Amazon EC2

Por padrão EC2 , os registros de instâncias da Amazon são mantidos indefinidamente. Se quiser alterar o período de retenção, você pode enviar uma solicitação de serviço por meio do AWS Support Centro para configurar uma política de retenção diferente.

Gerenciamento de registros — Amazon EC2

O AMS Accelerate instala o CloudWatch agente em todas as EC2 instâncias da Amazon que você identificou como gerenciadas pelo AMS Accelerate. Esse agente envia registros em nível de sistema para o Amazon CloudWatch Logs. Para obter mais informações, consulte O que são Amazon CloudWatch Logs?

Os arquivos de registro a seguir são enviados para o CloudWatch Logs, em um grupo de registros com o mesmo nome do registro. Dentro de cada grupo de log, um stream de log é criado para cada EC2 instância da Amazon, nomeado de acordo com o ID da EC2 instância da Amazon.

Linux

  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

  • /var/log/audit/audit.log

  • /var/log/auth.log

  • /var/log/cloud-init-output.log

  • /var/log/cron

  • /var/log/dnf.log

  • /var/log/dpkg.log

  • /var/log/maillog

  • /var/log/messages

  • /var/log/secure

  • /var/log/spooler

  • /var/log/syslog

  • /var/log/yum.log

  • /var/log/zypper.log

Para obter mais informações, consulte Criar ou editar manualmente o arquivo de configuração do CloudWatch agente.

Windows

  • SSMAgentRegistro da Amazon

  • AmazonCloudWatchAgentLog

  • SSMErrorRegistro da Amazon

  • AmazonCloudFormationLog

  • ApplicationEventLog

  • EC2ConfigServiceEventLog

  • MicrosoftWindowsAppLockerEXEAndDLLEventRegistro

  • MicrosoftWindowsAppLockerMSIAndScriptEventLog

  • MicrosoftWindowsGroupPolicyOperationalEventLog

  • SecurityEventLog

  • SystemEventLog

Para obter mais informações, consulte Início rápido: habilite suas EC2 instâncias da Amazon executando o Windows Server 2016 para enviar registros para CloudWatch registros usando o agente de CloudWatch registros.

Gerenciamento de registros — Amazon VPC Flow Logs

Os registros de fluxo da VPC são um recurso que captura informações sobre o tráfego IP que entra e sai das interfaces de rede na sua VPC. Os dados do log de fluxo podem ser publicados nos CloudWatch registros da Amazon ou no Amazon S3. A coleta de dados do log de fluxo não afeta a taxa de transferência ou a latência da rede. Você pode criar ou excluir registros de fluxo sem nenhum impacto no desempenho da rede.

Os logs de fluxo podem ajudar em diversas tarefas, como:

  • Diagnosticando regras de grupos de segurança excessivamente restritivas

  • Monitorando o tráfego que chega à sua instância

  • Determinar a direção de entrada e saída do tráfego das interfaces de rede

Você não precisa ativar os registros de fluxo da VPC para cada VPC recém-criada nas contas do Accelerate. O AMS detectará automaticamente se uma VPC tem um registro de fluxo usando a regra - ams-nist-cis-vpcConfig flow-logs-enabled. Se os registros de fluxo da VPC não estiverem habilitados, o AMS os remediará automaticamente criando um registro de fluxo da VPC com campos personalizados. Ter esses campos adicionais permitirá que o AMS e os clientes monitorem melhor o tráfego da VPC, entendam as dependências da rede, solucionem problemas de conectividade de rede e identifiquem ameaças à rede.

Para obter informações sobre como visualizar e pesquisar registros de fluxo, consulte Trabalhar com registros de fluxo.