本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AMS Accelerate 中的日志管理
AMS Accelerate 将支持的 AWS 服务配置为收集日志。AMS Accelerate 使用这些日志来确保您的账户内资源的合规性和审计。
AMS Accelerate 提供了一系列运营服务,可帮助您在 AWS 上实现卓越运营。要快速了解 AMS 如何利用我们的一些关键运营功能(包括全天候服务台、主动监控、安全、修补、日志和备份)来帮助您的团队在 AWS 云中实现整体卓越运营,请参阅 AMS
日志管理 — AWS CloudTrail
AWS CloudTrail
AMS Acc AWS CloudTrail elerate 需要登录才能管理您账户中所有资源的审计和合规性。在入职时,您可以选择以下选项之一:
-
AMS 已部署跟踪:如果您选择此选项,AMS 将在您的主 AWS 区域创建、部署和管理 CloudTrail 多区域跟踪,独立于您账户中的任何现有跟踪。
-
自带足迹:如果您选择提供自己的账户或组织 CloudTrail跟踪,则必须与您的云架构师 (CA) 合作,确保其满足 Accelerate 所需的配置。如果您选择此选项但不提供自己的跟踪,则 Accelerate 会自动部署自己的 CloudTrail 跟踪,以保持持续的安全和审计覆盖范围。如果您稍后提供自己的跟踪,AMS 会删除其已部署的跟踪,以避免冗余和额外费用。这种方法有助于在您的账户中维护一条活跃的 CloudTrail 跟踪,并防止重复的日志成本。
注意
如果您的账户已有 CloudTrail 跟踪,并且您在入职期间没有专门配置或请求 AMS 托管跟踪,AMS Accelerate 会自动从您的账户中删除 AMS 部署的跟踪。这样可以防止重复记录,优化资源使用并节省额外成本。
AMS Accelerate 为加速部署的 CloudTrail 跟踪创建一个 Amazon S3 存储桶作为事件传送目的地,并使用 AWS Key Management Service (AWS KMS) 加密。AMS Accelerate 操作员可以访问您的跟踪事件以进行调查和诊断。如果您选择让 Accelerate 在入门期间部署 Accelerate 托管跟踪,则该账户已启用现有 CloudTrail 跟踪,则此跟踪除此之外。
AMS Accelerate 部署 AWS Config 规则来确保您的 CloudTrail 账户跟踪(包括加速部署的 CloudTrail 跟踪)得到正确设置和加密。要了解更多信息,请参阅AWS Config
multi-region-cloudtrail-enabled。 检查 AMS Acc CloudTrail elerate 的设置是否正确且配置正确。
cloud-trail-encryption-enabled。 配置 AWS CloudTrail 为使用服务器端加密 (SSE) 和 AWS KMS 客户主密钥 (CMK) 加密的检查。
cloud-trail-log-file-已启用验证。启用后,会检查是否 AWS CloudTrail 创建带有日志的已签名摘要文件。我们强烈建议您在所有跟踪上启用文件验证。
s3-bucket-default-lock-enabled。启用后,将检查 Amazon S3 存储桶是否已启用锁定。
s3-bucket-logging-enabled。启用后,将检查 Amazon S3 存储桶是否启用了日志记录。
AMS Ac AWS KMS celerate 用于加密您账户中加速部署的 CloudTrail 跟踪记录的事件。此密钥由账户管理员、AMS Accelerate 操作员和控制并可供其访问 CloudTrail。有关的更多信息 AWS KMS,请参阅AWS Key Management Service 功能
访问和审核 CloudTrail 日志
CloudTrail AMS Accelerate 部署的 CloudTrail 跟踪的日志存储在您账户中的 Amazon S3 存储桶中。存储在 Amazon S3 存储桶中的跟踪数据使用 CloudTrail 资源配置时创建的 AWS KMS 密钥进行加密。
Amazon S3 存储桶使用 ams-a-aws account idcloudtrail-AWS Region(例如:ams-a123456789--1a)的命名模式,所有事件都以 AWS/ 前缀存cloudtrail-us-east储。CloudTrail对主存储桶的所有访问都将被记录下来,并对日志对象进行加密和版本控制,以供审计。
有关跟踪更改和查询日志的更多信息,请参阅跟踪您的 AMS Accelerate 账户中的更改。
保护和保留 CloudTrail 日志
AMS Accelerate 允许使用治理模式锁定 Amazon S3 对象,用于加速部署的 CloudTrail 跟踪,以确保用户在没有特殊权限的情况下无法覆盖或删除对象版本或更改其锁定设置。有关更多信息,请参阅 Amazon S3 对象锁定。
默认情况下,此存储桶中的所有日志都将无限期保存。如果您想更改保留期,可以通过 Cent AWS 支持 er
访问亚马逊 EC2 日志
您可以使用访问 Amazon EC2 实例日志 AWS Management Console。实例和 AWS 服务生成的日志可在 CloudWatch 日志中找到,AMS Accelerate 管理的每个账户中都可用。有关访问日志的信息,请参阅 CloudWatch 日志文档。
保留 Amazon EC2 日志
默认情况下,Amazon EC2 实例日志会无限期保存。如果您想更改保留期,可以通过 Cent AWS 支持 er
日志管理 — Amazon EC2
AMS Accelerate 会在您确定为 AMS 加速托管的所有亚马逊 EC2 实例上安装 CloudWatch 代理。该代理将系统级日志发送到 Amazon CloudWatch 日志。有关信息,请参阅什么是 Amazon CloudWatch 日志?
以下日志文件将发送到 Lo CloudWatch gs,并将其发送到与日志同名的日志组中。在每个日志组中,将为每个 Amazon EC2 实例创建一个日志流,该日志流根据亚马逊 EC2 实例 ID 命名。
Linux
/var/log/amazon/ssm/amazon-ssm-agent.log
/var/log/amazon/ssm/errors.log
/var/log/audit/audit.log
/var/log/auth.log
/var/log/cloud-init-output.log
/var/log/cron
/var/log/dnf.log
/var/log/dpkg.log
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
/var/log/syslog
/var/log/yum.log
/var/log/zypper.log
有关更多信息,请参阅手动创建或编辑 CloudWatch 代理配置文件。
Windows
Amazon SSMAgent 日志
AmazonCloudWatchAgentLog
Amazon SSMError 日志
AmazonCloudFormationLog
ApplicationEventLog
EC2ConfigServiceEventLog
MicrosoftWindowsAppLockerEXEAndDLLEvent日志
MicrosoftWindowsAppLockerMSIAndScriptEventLog
MicrosoftWindowsGroupPolicyOperationalEventLog
SecurityEventLog
SystemEventLog
有关更多信息,请参阅快速入门:允许运行 Windows Server 2016 的 Amazon EC2 实例使用 CloudWatch 日志代理向 CloudWatch 日志发送日志。
日志管理 — 亚马逊 VPC 流日志
VPC 流日志是一项功能,可捕获有关进出您的 VPC 中网络接口的 IP 流量的信息。流日志数据可以发布到亚马逊 CloudWatch 日志或 Amazon S3。流日志数据收集不会影响网络吞吐量或延迟。您可以创建或删除流日志,而不会对网络性能产生任何影响。
流日志可帮助您处理多种任务,例如:
诊断过于严格的安全组规则
监控到达您的实例的流量
确定在网络接口上往返的流量的方向
您不必在加速账户中为每个新创建的 VPC 启用 VPC 流日志。AMS 将使用 ams-nist-cis-vpc-flow-logs-enabled Config 规则自动检测 VPC 是否有流日志。如果未启用 VPC 流日志,AMS 将通过创建带有自定义字段的 VPC 流日志来自动对其进行修复。增加这些字段将使 AMS 和客户能够更好地监控 VPC 流量、了解网络依赖关系、解决网络连接问题并识别网络威胁。
有关查看和搜索流日志的信息,请参阅使用流日志。
