本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 驗證 CloudTrail 日誌檔案完整性
若要判斷在 CloudTrail 交付日誌檔案之後,日誌檔案是否已修改、已刪除或保持不變,您可以使用 CloudTrail 日誌檔案完整性驗證。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案,而無需偵測。您可以使用 AWS CLI 驗證 CloudTrail 交付檔案的位置中的檔案。
## 為什麼使用它?
驗證過的日誌檔案對於安全和鑑識調查十分重要。例如,驗證過的日誌檔案可讓您積極宣告日誌檔案本身尚未變更,或該特定使用者登入資料已執行特定 API 活動。CloudTrail 日誌檔案完整性驗證程序也可讓您知道日誌檔案是否已刪除或變更,或積極宣告在指定的一段期間沒有日誌檔案交付至您的帳戶。
## 運作方式
當您啟用日誌檔案完整性驗證時,CloudTrail 會為它所交付的每個日誌檔案建立一個雜湊。CloudTrail 也會在每個小時建立和交付檔案,檔案參考前一小時的日誌檔案,並包含每個日誌檔案的雜湊。此檔案稱為摘要檔案。CloudTrail 會使用公有和私有金鑰對的私有金鑰來簽署每個摘要檔案。在交付之後,您可以使用公有金鑰來驗證摘要檔案。CloudTrail 會對每個金鑰對使用不同的金鑰對 AWS 區域。
摘要檔案會交付至與您線索相關聯的 Amazon S3 儲存貯體,其與交付您 CloudTrail 日誌檔案的儲存貯體相同。如果將您的日誌檔案從所有區域或多個帳戶交付至單一 Amazon S3 儲存貯體,則 CloudTrail 會將摘要檔案從那些區域和帳戶傳遞至相同的儲存貯體。
摘要檔案和日誌檔案會分別放入不同的資料夾。將摘要檔案和日誌檔案區隔可讓您強制執行精細的安全政策,以及允許現有日誌處理解決方案來持續操作,而無需修改。每個摘要檔案也會包含先前摘要檔案的數位簽章 (如果有的話)。目前摘要檔案的簽章位在摘要檔案 Amazon S3 物件的中繼資料屬性中。如需摘要檔案內容的詳細資訊,請參閱「[CloudTrail 摘要檔案結構](cloudtrail-log-file-validation-digest-file-structure.md)」。
### 存放日誌檔案和摘要檔案
您可以將 CloudTrail 日誌檔案和摘要檔案儲存在 Amazon S3 或 Amazon Glacier 中,無限期以安全、耐用且經濟實惠的方式存放。若要強化存放在 Amazon S3 中之摘要檔案的安全性,您可以使用 [Amazon S3 MFA Delete](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingMFADelete.html)。
### 啟用驗證並驗證檔案
若要啟用日誌檔案完整性驗證,您可以使用 AWS 管理主控台 AWS CLI、 或 CloudTrail API。啟用日誌檔完整性驗證可讓 CloudTrail 將摘要日誌檔傳遞到 Amazon S3 儲存貯體,但不會驗證檔案的完整性。如需詳細資訊,請參閱[啟用 CloudTrail 的日誌檔案完整性驗證](cloudtrail-log-file-validation-enabling.md)。
若要驗證 CloudTrail 日誌檔案的完整性,您可以使用 AWS CLI 或建立您自己的解決方案。 AWS CLI 將驗證 CloudTrail 交付檔案的位置。如果您想要驗證已移至不同位置的日誌 (在 Amazon S3 或其他位置中),則可建立自己的驗證工具。
如需使用 驗證日誌的相關資訊 AWS CLI,請參閱 [使用 驗證 CloudTrail 日誌檔案完整性 AWS CLI](cloudtrail-log-file-validation-cli.md)。如需開發 CloudTrail 日誌檔案驗證之自訂實作的資訊,請參閱 [CloudTrail 日誌檔案完整性驗證的自訂實作](cloudtrail-log-file-custom-validation.md)。