日志记录和事件

AWS CloudTrail：AWS CloudTrail 服务支持对 AWS 账户进行治理、合规、运营审计和风险审计。借助 CloudTrail，您可以记录、持续监控和保留与跨 AWS 服务操作相关的账户活动。CloudTrail 提供 AWS 账户活动的事件历史记录，包括通过 AWS Management Console、AWS SDK、命令行工具和其他 AWS 服务执行的操作。该事件历史记录简化了安全分析、资源变更跟踪和故障排除工作。CloudTrail 记录了两种不同类型的 AWS API 操作：

AWS Config：AWS Config 服务使客户能够评测、审计和评估 AWS Config 资源的配置。AWS 可以持续监控和记录客户的 AWS 资源配置，并让其能够依据配置需求自动评估记录的配置。借助 AWS Config，客户可以手动或自动查看配置更改以及 AWS 资源之间的关系、详细的资源配置历史记录，并判断配置在整体上是否符合客户指南中所指定的配置要求。这可以简化合规性审核、安全性分析、变更管理和操作故障排除。

Amazon EventBridge：Amazon EventBridge 可提供近乎实时的系统事件流，这些系统事件描述了 AWS 资源中的更改，或者 AWS CloudTrail 发布 API 调用的时间。通过使用可快速设置的简单规则，您可以匹配事件并将事件路由到一个或多个目标函数或流。EventBridge 可在发生操作更改时感知到这些更改。EventBridge 可以响应这些操作更改并在必要时采取纠正措施，方式是发送消息以响应环境、激活函数、进行更改并捕获状态信息。一些安全服务（如 Amazon GuardDuty），以 EventBridge 事件的形式生成输出。许多安全服务还提供向 Amazon S3 发送输出的选项。

Amazon S3 访问日志：如果敏感信息存储在 Amazon S3 存储桶中，客户可以启用 Amazon S3 访问日志来记录相关数据的每次上传、下载和修改。该日志独立于 CloudTrail 日志（并作额外补充），CloudTrail 日志可用于记录存储桶本身的更改（例如更改访问策略和生命周期策略）。需要注意的是，访问日志记录会以最大努力进行传输。针对已正确配置了日志记录的存储桶的大多数请求会导致传输一条日志记录。因此不能保证服务器日志记录的完整性和即时性。

Amazon CloudWatch Logs：客户可以通过 Amazon CloudWatch Logs 代理监控、存储和访问来自 Amazon EC2 实例上运行的操作系统、应用程序和其他来源的日志文件。CloudWatch Logs 可以作为 AWS CloudTrail、Route 53 DNS 查询、VPC 流日志、Lambda 函数等的目的地。客户随后可以从 CloudWatch Logs 中检索关联的日志数据。

Amazon VPC 流日志：VPC 流日志使客户能够捕获有关在 VPC 中传入和传出网络接口的 IP 流量的信息。启用流日志后，可以将其流式传输到 Amazon CloudWatch Logs 和 Amazon S3。VPC 流日志可帮助客户完成诸多任务，例如排查特定流量无法到达实例的原因、诊断过于严格的安全组规则，以及将其用作监控 EC2 实例流量的安全工具。使用最新版本的 VPC 流日志记录可获取最全面的字段信息。

AWS WAF 日志：AWS WAF 支持完整记录该服务检查的所有 Web 请求。客户可将其存储在 Amazon S3 中，以满足合规和审计要求，以及用于调试和取证。这些日志可帮助客户确定规则触发和 Web 请求被阻止的根本原因。日志可与第三方 SIEM 和日志分析工具集成。

Route 53 Resolver 查询日志：Route 53 Resolver 查询日志便于您记录 Amazon Virtual Private Cloud（Amazon VPC）内资源发出的所有 DNS 查询。无论是 Amazon EC2 实例、AWS Lambda 函数还是容器，只要其位于 Amazon VPC 中且发出 DNS 查询，此功能都会将其记录下来；之后您就能够探索并更好地理解应用程序的运行情况。

其他 AWS 日志：AWS 将持续为客户发布包含新日志记录和监控功能的服务特性与功能。有关每项 AWS 服务可用功能的信息，请参阅我们的公共文档。