本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMS Accelerate 中的日誌管理
AMS Accelerate 會設定支援的 AWS 服務來收集日誌。AMS Accelerate 使用這些日誌,以確保您的帳戶內資源的合規性和稽核。
AMS Accelerate 提供各種營運服務,協助您在 AWS 上實現卓越營運。若要快速了解 AMS 如何透過我們的一些關鍵營運功能,包括全年無休服務台、主動監控、安全性、修補、記錄和備份,協助您的團隊在 AWS 雲端中實現整體卓越營運,請參閱 AMS 參考架構圖表
日誌管理 — AWS CloudTrail
AWS CloudTrail
AMS Accelerate 需要 AWS CloudTrail 記錄才能管理您帳戶中所有資源的稽核和合規。加入時,您可以選擇下列其中一個選項:
-
AMS 部署的線索:如果您選擇此選項,AMS 會在主要區域中建立、部署和管理 CloudTrail 多區域線索 AWS ,與您帳戶中的任何現有線索無關。
-
使用您自己的線索:如果您選擇提供自己的帳戶或組織 CloudTrail 線索,則必須與您的 Cloud Architect (CA) 合作,以確保它符合 Accelerate 所需的組態。如果您選擇此選項,但未提供自己的線索,則 Accelerate 會自動部署自己的 CloudTrail 線索,以維持持續的安全性和稽核涵蓋範圍。如果您稍後提供自己的線索,AMS 會移除其部署的線索,以避免備援和額外費用。此方法有助於在您的帳戶中維護單一作用中的 CloudTrail 追蹤,並避免重複的記錄成本。
注意
如果您的帳戶有現有的 CloudTrail 追蹤,而且您在加入期間尚未特別設定或請求 AMS 受管追蹤,AMS Accelerate 會自動從您的帳戶中移除 AMS 部署的追蹤。這可防止重複記錄、最佳化資源用量,並節省額外的成本。
AMS Accelerate 會為 Accelerate 部署的 CloudTrail 追蹤建立 Amazon S3 儲存貯體,做為事件交付目的地並使用 AWS Key Management Service (AWS KMS) 加密。AMS Accelerate 運算子會存取您的追蹤事件,以進行調查和診斷。如果帳戶已啟用現有的 CloudTrail 追蹤,如果您選擇在加入期間讓 Accelerate 部署 Accelerate 受管追蹤,則此追蹤是額外的。
AMS Accelerate 部署 AWS Config 規則以確保您的 CloudTrail 帳戶追蹤,包括 Accelerate 部署的 CloudTrail 追蹤已正確設定和加密。如需詳細資訊,請參閱 AWS Config
multi-region-cloudtrail-enabled。檢查 AMS Accelerate CloudTrail 是否使用正確的組態正確設定。
cloud-trail-encryption-enabled。檢查 AWS CloudTrail 已設定為搭配 AWS KMS 客戶主金鑰 (CMK) 加密使用伺服器端加密 (SSE)。
cloud-trail-log-file-validation-enabled。啟用時, 會檢查 是否 AWS CloudTrail 使用日誌建立已簽署的摘要檔案。我們強烈建議您在所有線索上啟用檔案驗證。
s3-bucket-default-lock-enabled。啟用時, 會檢查 Amazon S3 儲存貯體是否已啟用鎖定。
啟用 s3-bucket-logging-enabled。啟用時, 會檢查是否已為 Amazon S3 儲存貯體啟用記錄。
AMS Accelerate 使用 AWS KMS 來加密帳戶中 Accelerate 部署 CloudTrail 追蹤的記錄事件。此金鑰由帳戶管理員、AMS Accelerate 運算子和 CloudTrail 控制並可存取。如需 的詳細資訊 AWS KMS,請參閱 AWS Key Management Service 功能
存取和稽核 CloudTrail 日誌
AMS Accelerate 部署的 CloudTrail 追蹤的 CloudTrail 日誌會存放在您帳戶中的 Amazon S3 儲存貯體中。 CloudTrail 存放在 Amazon S3 儲存貯體中的追蹤資料會使用佈建 CloudTrail 資源時建立的 AWS KMS 金鑰進行加密。
Amazon S3 儲存貯體利用 ams-aaws 帳戶 id-cloudtrail-AWS 區域的命名模式 (例如:ams-a123456789-cloudtrail-us-east-1a),且所有事件都會以 AWS/CloudTrail 字首存放。系統會記錄主儲存貯體的所有存取權,並加密日誌物件並進行版本控制,以供稽核之用。
如需追蹤變更和查詢日誌的詳細資訊,請參閱 追蹤 AMS Accelerate 帳戶中的變更。
保護和保留 CloudTrail 日誌
AMS Accelerate 為 Accelerate 部署的 CloudTrail 追蹤啟用具有控管模式的 Amazon S3 物件鎖定,以確保使用者在沒有特殊許可的情況下,無法覆寫或刪除物件版本或更改其鎖定設定。如需詳細資訊,請參閱 Amazon S3 物件鎖定。
根據預設,此儲存貯體中的所有日誌都會無限期保留。如果您想要變更保留期間,您可以透過 AWS 支援 中心
存取 Amazon EC2 日誌
您可以使用 存取 Amazon EC2 執行個體日誌 AWS Management Console。執行個體 AWS 和服務產生的日誌可在 CloudWatch Logs 中使用,該日誌可在 AMS Accelerate 管理的每個帳戶中使用。如需有關存取日誌的資訊,請參閱 CloudWatch Logs 文件。
保留 Amazon EC2 日誌
根據預設,Amazon EC2 執行個體日誌會無限期保留。如果您想要變更保留期間,您可以透過 AWS 支援 中心
日誌管理 — Amazon EC2
AMS Accelerate 會在您已識別為 AMS Accelerate 受管的所有 Amazon EC2 執行個體上安裝 CloudWatch 代理程式。此代理程式會將系統層級日誌傳送至 Amazon CloudWatch Logs。如需詳細資訊,請參閱什麼是 Amazon CloudWatch Logs?
下列日誌檔案會傳送至 CloudWatch Logs,並傳送至與日誌同名的日誌群組。在每個日誌群組中,會為每個 Amazon EC2 執行個體建立日誌串流,根據 Amazon EC2 執行個體 ID 命名。
Linux
/var/log/amazon/ssm/amazon-ssm-agent.log
/var/log/amazon/ssm/errors.log
/var/log/audit/audit.log
/var/log/auth.log
/var/log/cloud-init-output.log
/var/log/cron
/var/log/dnf.log
/var/log/dpkg.log
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
/var/log/syslog
/var/log/yum.log
/var/log/zypper.log
如需詳細資訊,請參閱手動建立或編輯 CloudWatch 代理程式組態檔案。
Windows
AmazonSSMAgentLog
AmazonCloudWatchAgentLog
AmazonSSMErrorLog
AmazonCloudFormationLog
ApplicationEventLog
EC2ConfigServiceEventLog
MicrosoftWindowsAppLockerEXEAndDLLEventLog
MicrosoftWindowsAppLockerMSIAndScriptEventLog
MicrosoftWindowsGroupPolicyOperationalEventLog
SecurityEventLog
SystemEventLog
如需詳細資訊,請參閱 Quick Start:啟用執行 Windows Server 2016 的 Amazon EC2 執行個體,以使用 CloudWatch Logs 代理程式將日誌傳送至 CloudWatch Logs。
日誌管理 — Amazon VPC 流程日誌
VPC 流程日誌是一項功能,可擷取進出 VPC 中網路介面之 IP 流量的相關資訊。流程日誌資料可以發佈到 Amazon CloudWatch logs或 Amazon S3。流程日誌資料收集不會影響網路輸送量或延遲。您可以建立或刪除流程日誌,而不會影響網路效能。
流量日誌可協助您處理多項任務,例如:
診斷過於嚴格的安全群組規則
監控到達執行個體的流量
判斷網路介面往來流量的方向
您不需要為 Accelerate 帳戶中每個新建立的 VPC 啟用 VPC 流程日誌。AMS 會使用 ams-nist-cis-vpc-flow-logs-enabled Config 規則,自動偵測 VPC 是否有流程日誌。如果未啟用 VPC 流程日誌,AMS 將透過使用自訂欄位建立 VPC 流程日誌來自動修復它。擁有這些額外的欄位可讓 AMS 和客戶更妥善地監控 VPC 流量、了解網路相依性、疑難排解網路連線問題,以及識別網路威脅。
如需檢視和搜尋流程日誌的資訊,請參閱使用流程日誌。
