本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 的應用程式記錄和監控 AWS CloudTrail
<a name="cloudtrail"></a>

[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 是一種 AWS 服務 ，可協助您啟用 的操作和風險稽核、控管和合規 AWS 帳戶。使用者、角色或 採取的動作 AWS 服務 會在 CloudTrail 中記錄為*事件*。事件可以包含在 AWS 管理主控台、 AWS Command Line Interface (AWS CLI) 和 AWS SDKs和 APIs中採取的動作。

## 使用 CloudTrail
<a name="using-cloudtrail"></a>

建立 CloudTrail AWS 帳戶 時，會在您的 上啟用 CloudTrail。當活動在您的 中發生時 AWS 帳戶，該活動會記錄在 CloudTrail 事件中。您可以在 CloudTrail 主控台中前往**事件歷史記錄**輕鬆地檢視最近事件。

若要持續記錄 中的活動和事件 AWS 帳戶，您可以建立*追蹤*。您可以為單一 AWS 區域 或所有 區域建立線索。追蹤可記錄每個區域中的日誌檔案，CloudTrail 可以將日誌檔案交付至單一合併的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。

您可以分別設定多筆追蹤，以便追蹤只處理和記錄您指定的事件。當您想要將 中發生的事件 AWS 帳戶 與應用程式中發生的事件進行分類時，這會很有用。

**注意**  
CloudTrail 具有驗證功能，您可以使用此功能確定日誌檔案在 CloudTrail 交付後是否已修改、已刪除或保持不變。此功能以產業標準演算法建置：SHA-256 適用於進行雜湊，而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案，而無需偵測。您可以使用 AWS CLI 驗證 CloudTrail 交付檔案的位置中的檔案。如需有關此功能以及如何啟用它的詳細資訊，請參閱[驗證 CloudTrail 日誌檔案完整性](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-intro.html) (CloudTrail 文件)。

## CloudTrail 的使用案例
<a name="cloudtrail-use-cases"></a>
+ **合規協助** – 使用 CloudTrail 透過提供 中的事件歷史記錄，協助您遵守內部政策和法規標準 AWS 帳戶。
+ **安全分析** – 您可以透過將 CloudTrail 日誌檔案擷取到日誌管理和分析解決方案 (例如 CloudWatch Logs、Amazon EventBridge、Amazon Athena、Amazon OpenSearch Service 或其他第三方解決方案) 來執行安全分析並偵測使用者行為模式。
+ **資料外洩** – 您可以透過 CloudTrail 中記錄的物件層級 API 事件收集 Amazon S3 物件上的活動資料來偵測資料外洩。收集活動資料後，您可以使用其他 AWS 服務，例如 EventBridge AWS Lambda和 來觸發自動回應。
+ **操作問題疑難排解** – 您可以使用 CloudTrail 日誌檔案對操作問題進行疑難排解。例如，您可以快速識別對環境中資源所做的最新變更，包括建立、修改和刪除 AWS 資源。

## CloudTrail 的最佳實務
<a name="cloudtrail-best-practices"></a>
+ 在所有 AWS 區域中啟用 CloudTrail。
+ 啟用日誌檔案完整性驗證。
+ 加密日誌。
+ 將 CloudTrail 日誌檔案擷取到 CloudWatch Logs。
+ 集中所有 AWS 帳戶 和 區域的日誌。
+ 將生命週期政策套用至包含日誌檔案的 S3 儲存貯體。
+ 防止使用者關閉 CloudTrail 中的日誌記錄。在 中套用下列[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) AWS Organizations。此 SCP 為整個組織內的 `StopLogging` 和 `DeleteTrail` 動作設定了明確的拒絕規則。

  ```
  {
  "Version": "2012-10-17", 		 	 	 		 	 	 
  "Statement":
         [ 
                   { "Action": 
                       [
                       "cloudtrail:StopLogging",
                       "cloudtrail:DeleteTrail"
                        ],
                        "Resource": "*",
                        "Effect": "Deny"
                    }
          ]
  }
  ```