本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 選取並啟用日誌來源 在安全調查之前,您需要擷取相關日誌,以追溯重建 AWS 帳戶中的活動。選取並啟用與其 AWS 帳戶工作負載相關的日誌來源。 AWS CloudTrail 是一種記錄服務,可追蹤針對擷取 AWS 服務活動 AWS 的帳戶發出的 API 呼叫。它預設為啟用,並保留 90 天的管理事件,這些事件可透過 [ CloudTrail 的事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)設施 AWS 管理主控台使用 AWS CLI、 或 AWS SDK 擷取。若要延長資料事件的保留和可見性,您需要[建立 CloudTrail Trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) 並與 Amazon S3 儲存貯體建立關聯,以及選擇性地與 CloudWatch 日誌群組建立關聯。或者,您可以建立 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html),這會保留 CloudTrail 日誌長達七年,並提供以 SQL 為基礎的查詢設施。 AWS 建議使用 VPC 的客戶分別使用 [VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)和 [Amazon Route 53 解析程式查詢日誌](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)來啟用網路流量和 DNS 日誌,並將其串流至 Amazon S3 儲存貯體或 CloudWatch 日誌群組。您可以為 VPC、子網路或網路界面建立 VPC 流程日誌。對於 VPC 流程日誌,您可以選擇啟用流程日誌以降低成本的方式和位置。 AWS CloudTrail 日誌、VPC 流程日誌和 Route 53 解析程式查詢日誌是支援 中安全調查*的基本日誌三角結構* AWS。 AWS 服務可以產生基本記錄 trifecta 未擷取的日誌,例如 Elastic Load Balancing 日誌、 AWS WAF 日誌、 AWS Config 記錄器日誌、Amazon GuardDuty 調查結果、Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌,以及 Amazon EC2 執行個體作業系統和應用程式日誌。如需記錄和監控選項的完整清單[附錄 A:雲端功能定義](appendix-a-cloud-capability-definitions.md),請參閱 。