AWS – CloudTrail 详细介绍

CloudTrail是记录AWS 账户下的活动和事件，这便于提供了关于谁、在何时、在哪里以及使用了哪些资源的详细信息，对于安全审计、合规性检查、资源变更跟踪等方面非常有用。

所有的Trail都会记录到S3 bucket当中。Event History可以query trail记录，但是只能query最近90天的记录而已，如果想要query超过90天的数据，就需要使用Athena查询S3当中的数据。

由于trail会一直保存数据在S3 bucket当中，会使到使用的storage越来越多，所以可以在S3当中设置lifecycle，把太久的记录给删除了。

Trail分为Management Events，Data Events 和 Insights Event

Management Events

• 记录了AWS resources的行为记录，例如创建、删除、修改AWS资源（如EC2实例、S3存储桶、IAM用户等）的操作。
• 这些事件帮助您了解谁、什么时候、以及如何修改了您的AWS环境。

Data Events

• 数据事件记录了对AWS resources的数据访问操作，例如读取S3对象、获取RDS数据库快照等。
• 与management events不同，数据事件关注的是数据的实际使用和访问，而不是资源的管理本身
• 这些事件允许您监控和审计谁访问了您的数据，以及数据访问发生的时间和方式。

Insights Events

• Insights events是CloudTrail中的高级事件类型，可以帮助您识别潜在的安全问题和操作问题。
• 这些事件使用AWS的机器学习算法和分析来检测和报告异常活动，例如不寻常的API调用、潜在的安全漏洞等。
• Insights events可以帮助您实时发现和响应可能的安全事件或操作问题，提升AWS环境的安全性和合规性。
• inaccurate resource provisioning
• hitting service limits
• Bursts ofAWS lAM actions
• Gaps in periodic maintenance activity