本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用应用程序日志记录和监控 AWS CloudTrail
<a name="cloudtrail"></a>

[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) AWS 服务 可帮助您实现运营和风险审计、治理和合规性 AWS 账户。用户、角色或执行的操作将作为*事件*记录 AWS 服务 在中 CloudTrail。事件可以包括在 AWS 管理控制台、 AWS Command Line Interface (AWS CLI) AWS SDKs 和中执行的操作 APIs。

## 使用 CloudTrail
<a name="using-cloudtrail"></a>

CloudTrail 在你创建 AWS 账户 时已在你上启用。当您的活动发生时 AWS 账户，该活动会记录在 CloudTrail 事件中。您可以通过访问事件**历史记录轻松地在 CloudTrail 控制台中查看最近的事件**。

要持续记录您的活动和事件 AWS 账户，请创建*跟踪*。您可以为单个区域 AWS 区域 或所有区域创建跟踪。Trails 记录每个区域的日志文件，并 CloudTrail 可以将日志文件传送到单个整合的亚马逊简单存储服务 (Amazon S3) 存储桶。

您可以对多个跟踪进行不同的配置，以便这些跟踪仅处理和记录您指定的事件。当您想要对发生在您的应用程序中的事件和应用程序中发生的事件 AWS 账户 进行分类时，这可能很有用。

**注意**  
CloudTrail 具有验证功能，可用于确定日志文件在 CloudTrail 传送后是否被修改、删除或未更改。该功能是使用业界标准算法构建的：哈希采用 SHA-256，数字签名采用带 RSA 的 SHA-256。这使得在没有检测到的情况下修改、删除或伪造 CloudTrail 日志文件在计算上是不可行的。您可以使用 AWS CLI 在文件 CloudTrail 交付地点验证文件。有关此功能及其启用方法的更多信息，请参阅[验证 CloudTrail 日志文件完整性](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-intro.html)（CloudTrail 文档）。

## 的用例 CloudTrail
<a name="cloudtrail-use-cases"></a>
+ **合规援助** — 使用 CloudTrail 可以提供您的事件历史记录，从而帮助您遵守内部政策和监管标准 AWS 账户。
+ **安全分析** — 您可以通过将 CloudTrail 日志文件提取到日志管理和分析解决方案（例如 CloudWatch 日志、Amazon、Amazon Athena、Ama EventBridge zon Service 或其他第三方解决方案）中来执行安全分析并检测用户行为模式。 OpenSearch 
+ **数据泄露** — 您可以通过中记录的对象级 API 事件收集有关 Amazon S3 对象的活动数据来检测数据泄露。 CloudTrail收集活动数据后，您可以使用其他 AWS 服务（例如 EventBridge 和 AWS Lambda）来触发自动响应。
+ **操作问题疑难解**答-您可以使用 CloudTrail 日志文件对操作问题进行故障排除。例如，您可以快速识别环境中最近对资源所做的更改，包括 AWS 资源的创建、修改和删除。

## 的最佳实践 CloudTrail
<a name="cloudtrail-best-practices"></a>
+ 全部启用 CloudTrail AWS 区域。
+ 启用日志文件完整性验证。
+ 加密日志。
+ 将 CloudTrail 日志文件提取到 CloudWatch 日志中。
+ 集中所有 AWS 账户 和区域的日志。
+ 将生命周期策略应用于包含日志文件的 S3 存储桶。
+ 防止用户关闭登录功能 CloudTrail。在中应用以下[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP)。 AWS Organizations此 SCP 为整个组织中的 `StopLogging` 和 `DeleteTrail` 操作设置了显式拒绝规则。

  ```
  {
  "Version": "2012-10-17", 		 	 	 		 	 	 
  "Statement":
         [ 
                   { "Action": 
                       [
                       "cloudtrail:StopLogging",
                       "cloudtrail:DeleteTrail"
                        ],
                        "Resource": "*",
                        "Effect": "Deny"
                    }
          ]
  }
  ```