CloudTrail هي أداة تدقيق ومراقبة الامتثال والحوكمة مصممة لمراقبة سجل حساب AWS الخاص بك وللاحتفاظ بسجلات مفصلة لجميع الأحداث. يمكنك استخدام سجل الأحداث هذا لتبسيط التحليل الأمني واكتشاف أي نشاط غير عادي في حسابك.
باستخدام CloudTrail
يمكنك استخدام CloudTrail لمراقبة آخر 90 يومًا مجانًا. ومع ذلك ، إذا كنت ترغب في الاحتفاظ بسجلات ممتدة ، فستحتاج إلى دفع رسوم تخزين S3 المرتبطة بالإضافة إلى رسوم رمزية لكل 100000 حدث تم تسجيله.ومع ذلك ، فهي رخيصة نسبيًا ، ولا يضر البدء بها.
CloudTrail يسجل تلقائيًا آخر 90 يومًا ، لذا ستتمكن من التوجه إلى CloudTrail Console وعرض أحدث السجلات في حسابك. على الشاشة الرئيسية ، سترى أحدث الأحداث:
ضمن "سجل الأحداث" في الشريط الجانبي ، ستتمكن من عرض القائمة الكاملة للأحداث ، بترتيب زمني.
هذه كمية كبيرة من البيانات ، لذا قد ترغب في التصفية لما تبحث عنه تمامًا. إذا كنت تقوم بتدقيق حسابات موظفين معينة ، فيمكنك التصفية حسب اسم المستخدم أو مفتاح الوصول إلى AWS ، أو عوامل أخرى مثل عنوان IP المصدر وأنواع الموارد. يمكنك أيضًا التركيز على نطاقات زمنية محددة.
إذا قمت بالنقر فوق حدث ، يمكنك عرض جميع البيانات التي تم جمعها لهذا الحدث. بعضها بسيط ، مثل "ConsoleLogin" ، الذي يتتبع أوقات تسجيل الدخول لمستخدمين مختلفين. البعض الآخر أكثر تحديدًا ، وسيظهر المزيد من التفاصيل حول إجراء API الأساسي.
يمكنك عرض بيانات JSON الكاملة للحدث باستخدام الزر "عرض الحدث".
إنشاء مسار
إذا كنت تريد الاحتفاظ بالسجلات لمدة تزيد عن 90 يومًا ، أو الاحتفاظ بسجلات ممتدة لأحداث بيانات S3 و Lambda ، فيمكنك إنشاء مسار. ضع في اعتبارك أنك ستتحمل رسوم بيانات لتخزين سجلات S3 ، بالإضافة إلى رسوم لكل 100000 حدث مسجّل.
من "المسارات" في الشريط الجانبي ، أنشئ مسارًا جديدًا. لديك خيار استخدام هذا المسار لكل منطقة ، بالإضافة إلى تطبيقه على كل حساب في مؤسسة AWS. يمكنك أيضًا تحديد أنواع الأحداث المراد تسجيلها ، بالإضافة إلى تمكين CloudTrail Insights لهذا المسار.
القسم التالي هو "أحداث البيانات" ، والذي يمكن استخدامه للاحتفاظ بالسجلات الممتدة على حاويات S3 أو وظائف Lambda. بالنسبة إلى S3 ، ستسجل CloudTrail العمليات على مستوى الحاوية ، مثل PutObject. بالنسبة إلى Lambda ، ستسجل CloudTrail أي استدعاء لوظيفة Lambda المحددة. يمكنك تمكين هذا لجميع الحاويات ، أو تحديد واحد من خلال ARN.
أخيرًا ، ستحتاج إلى مستودع جديد أو موجود للاحتفاظ بالأحداث. يمكنك استخدام هذا لتتبع مقدار البيانات التي يستخدمها مسارك.
ستبقى الأحداث التي تم تسجيلها بواسطة الممر في سجل الحدث إلى أجل غير مسمى. باستخدام الممر ، يمكنك تنشيط CloudTrail Insights من علامة التبويب "Insights" في الشريط الجانبي:
سيستغرق هذا ما يصل إلى 36 ساعة لتحليل المسار الخاص بك ، وبمجرد الانتهاء من ذلك ، ستتمكن من تصفح النتائج.
إذا كنت تريد ، يمكنك أيضًا إعداد CloudTrail لإرسال الأحداث إلى CloudWatch Logs ، أو استخدامها مع Elasticsearch لمراقبة أكثر تفصيلاً.
