Các tính năng của AWS CloudTrail

Lịch sử sự kiện cung cấp bản ghi có thể xem được, có thể tìm kiếm, có thể tải xuống và không thể thay đổi về các sự kiện quản lý trong 90 ngày qua trong Khu vực AWS. Không mất phí CloudTrail khi xem Lịch sử sự kiện.

Lịch sử sự kiện CloudTrail được bật trên tất cả các tài khoản AWS và các sự kiện quản lý bản ghi trên các dịch vụ AWS mà không cần thiết lập thủ công. Với Bậc miễn phí của AWS, bạn có thể xem, tìm kiếm và tải xuống miễn phí lịch sử các sự kiện quản lý tài khoản của mình trong 90 ngày gần đây nhất bằng bảng điều khiển CloudTrail hoặc bằng cách sử dụng API sự kiện tra cứu CloudTrail. Để tìm hiểu thêm, vui lòng tham khảo Xem sự kiện trong lịch sử sự kiện CloudTrail.

Biên bản lưu trữ ghi lại các hoạt động tài khoản AWS thành bản ghi, gửi và lưu trữ những sự kiện này trong Amazon S3, với tùy chọn gửi tới Bản ghi Amazon CloudWatch và Amazon EventBridge. Những sự kiện này có thể được đưa vào các giải pháp giám sát bảo mật của bạn. Bạn có thể sử dụng các giải pháp của bên thứ ba hoặc các giải pháp như Amazon Athena để tìm kiếm và phân tích bản ghi được CloudTrail ghi lại. Bạn có thể tạo dấu vết cho một tài khoản AWS duy nhất hoặc cho nhiều tài khoản AWS bằng Tổ chức AWS.

Bạn có thể gửi các sự kiện CloudTrail tới S3 và chọn gửi tới Bản ghi CloudWatch bằng cách tạo các dấu vết. Bằng cách này, bạn sẽ có được đầy đủ chi tiết sự kiện và có thể xuất cũng như lưu trữ các sự kiện theo ý muốn. Để tìm hiểu thêm, vui lòng tham khảo Tạo biên bản lưu trữ cho tài khoản AWS của bạn.

Bạn có thể xác thực tính toàn vẹn của các tệp bản ghi CloudTrail được lưu trữ trong vùng lưu trữ S3 của mình và phát hiện xem các tệp bản ghi đó có nguyên vẹn, bị sửa đổi hoặc bị xóa hay không kể từ khi CloudTrail gửi chúng đến vùng lưu trữ S3 của bạn. Bạn có thể sử dụng tính năng xác thực tính toàn vẹn của tệp bản ghi trong các quy trình kiểm tra và bảo mật CNTT của mình. Theo mặc định, CloudTrail sẽ mã hóa tất cả các tệp bản ghi được gửi đến vùng lưu trữ S3 đã chỉ định của bạn bằng cách sử dụng mã hóa phía máy chủ (SSE) S3. Nếu cần, bạn cũng có thể thêm một lớp bảo mật vào tệp bản ghi CloudTrail của mình bằng cách mã hóa tệp bản ghi bằng khóa của Dịch vụ quản lý khóa của AWS (KMS). Nếu bạn có quyền giải mã, S3 sẽ tự động giải mã các tệp bản ghi của bạn. Để biết thêm thông tin, vui lòng tham khảo Mã hóa tệp bản ghi CloudTrail bằng các khóa được AWS KMS quản lý (SSE-KMS).

Bạn có thể định cấu hình CloudTrail để ghi lại và lưu trữ các sự kiện từ nhiều Khu vực AWS tại một vị trí duy nhất. Cấu hình này xác nhận rằng tất cả các cài đặt được áp dụng nhất quán trên các Khu vực hiện tại và mới được ra mắt. Để tìm hiểu thêm, vui lòng tham khảo Nhận tệp bản ghi CloudTrail từ nhiều Khu vực.

Bạn có thể định cấu hình CloudTrail để ghi lại và lưu trữ các sự kiện từ nhiều tài khoản AWS tại một vị trí duy nhất. Cấu hình này xác minh rằng tất cả các cài đặt được áp dụng nhất quán trên tất cả các tài khoản hiện có và mới được tạo. Để tìm hiểu thêm, vui lòng tham khảo Tạo biên bản lưu trữ cho một tổ chức.

Hồ CloudTrail là hồ dữ liệu được quản lý để ghi lại, lưu trữ, truy cập và phân tích hoạt động của người dùng và API trên AWS cho mục đích kiểm tra và bảo mật. Bạn có thể tổng hợp, trực quan hóa, truy vấn và lưu trữ bất biến bản ghi hoạt động của mình từ cả nguồn AWS và không phải AWS. Các bên kiểm tra CNTT có thể sử dụng Hồ CloudTrail làm bản ghi bất biến về mọi hoạt động nhằm đáp ứng các yêu cầu về kiểm tra. Quản trị viên bảo mật có thể xác minh rằng hoạt động của người dùng phù hợp với các chính sách nội bộ. Các kỹ sư DevOps có thể khắc phục sự cố hoạt động như phiên bản Đám mây điện toán linh hoạt của Amazon (EC2) không phản hồi hoặc nguồn bị từ chối truy cập. 

Do Hồ CloudTrail là một hồ kiểm tra và bảo mật được quản lý, các sự kiện của bạn sẽ được lưu trữ trong hồ. Hồ CloudTrail cấp quyền truy cập chỉ đọc để ngăn chặn các thay đổi đối với tệp bản ghi. Quyền truy cập chỉ đọc có nghĩa là các sự kiện mang tính bất biến.

Hồ CloudTrail giúp bạn có được thông tin chuyên sâu chi tiết hơn về bản ghi hoạt động AWS của mình thông qua sự kết hợp của các công cụ truy vấn và trực quan hóa mạnh mẽ. Bạn có thể chạy các truy vấn dựa trên SQL trực tiếp trên bản ghi hoạt động được lưu trữ trong Hồ CloudTrail và đối với người dùng ít quen thuộc với SQL, tính năng tạo truy vấn bằng ngôn ngữ tự nhiên dựa trên AI giúp đơn giản hóa việc phân tích mà không cần phải viết các truy vấn phức tạp.

Để hợp lý hóa hơn nữa việc phân tích, Hồ CloudTrail bao gồm tóm tắt kết quả truy vấn dựa trên AI (ở dạng xem trước), cung cấp các bản tóm tắt bằng ngôn ngữ tự nhiên về thông tin chuyên sâu chính từ kết quả truy vấn của bạn. Tính năng này giúp giảm thời gian và công sức cần thiết để trích xuất thông tin có ý nghĩa từ bản ghi hoạt động AWS của bạn. 

Để có được phân tích nâng cao hơn, bạn có thể sử dụng Amazon Athena để truy vấn tương tác các bản ghi có thể kiểm tra của Hồ CloudTrail của mình song song với dữ liệu từ các nguồn khác mà không gặp phải sự phức tạp về vận hành của việc di chuyển hoặc sao chép dữ liệu. Điều này cho phép các kỹ sư bảo mật tìm mối tương quan giữa các bản ghi hoạt động trong Hồ CloudTrail với bản ghi ứng dụng và lưu lượng truy cập trong Amazon S3 để điều tra sự cố bảo mật. Các kỹ sư tuân thủ và vận hành có thể trực quan hóa hơn nữa bản ghi hoạt động với Amazon QuickSight và Grafana được quản lý của Amazon để có được phân tích và báo cáo toàn diện.

Với Hồ AWS CloudTrail, bạn có thể hợp nhất các sự kiện hoạt động từ AWS và các nguồn bên ngoài AWS — bao gồm dữ liệu từ các nhà cung cấp đám mây khác, ứng dụng nội bộ và ứng dụng SaaS chạy trên đám mây hoặc tại chỗ — mà không cần phải duy trì nhiều công cụ báo cáo và tổng hợp bản ghi. Bạn cũng có thể tải nhập dữ liệu từ các dịch vụ AWS khác, chẳng hạn như mục cấu hình từ AWS Config hoặc bằng chứng kiểm tra từ Trình quản lý kiểm tra AWS. Bạn có thể sử dụng API Hồ CloudTrail để thiết lập tích hợp dữ liệu của mình và đẩy các sự kiện đến Hồ CloudTrail. Để tích hợp với các công cụ của bên thứ ba, bạn có thể bắt đầu nhận sự kiện hoạt động từ các ứng dụng này trong một vài bước thông qua tích hợp đối tác trong bảng điều khiển CloudTrail.

Hồ CloudTrail giúp bạn ghi lại và lưu trữ các sự kiện từ nhiều Khu vực.

Bằng cách sử dụng Hồ CloudTrail, bạn có thể ghi lại và lưu trữ sự kiện cho các tài khoản trên toàn Tổ chức AWS của mình. Ngoài ra, bạn có thể chỉ định tối đa ba tài khoản quản trị viên được ủy quyền để tạo, cập nhật, truy vấn hoặc xóa các dấu vết tổ chức hoặc kho dữ liệu sự kiện Hồ CloudTrail ở cấp tổ chức.