CloudTrail Lưu log toàn bộ API được gọi (bất kỳ qua API hay Console, SDK…), mặc định là 90 ngày, trường hợp muốn lưu lâu hơn cần export tới S3, sau đó dùng Athena để query từ S3.
CloudTrail Digest là một tính năng bổ sung của CloudTrail để tạo ra các bản tóm tắt các sự kiện quan trọng trong log của CloudTrail (modify, delete history trong CloudTrail log file)
Có thể tạo CloudTrail Trail (1 hoặc all Region) để log event tới S3 để lưu lâu hơn, S3 có thể ở account khác. Khi đó, bucket policy phải cho phép các account khác nhau.
Cloudwatch Event có thể được trigger dựa theo API được call
Event có thể được stream tới CloudWatch Log, có thể chia log thành Read/Write event
- Management event:
- Như tạo VPC, attach subnet….
- Setting mặc định on
- Data event
- Như upload object s3, Lambda function execution policy
- Setting mặc định off
CloudTrail Insight
Phải enable, phải trả tiền, phân tích liên tục và phát hiện các hoạt động bất thường như
- Tạo resource bất thường
- Đạt tới limit của service
- IAM action tăng bất thường
- Phát hiện các maintenance ảnh hưởng tới resource
Các hoạt động này sẽ xuất hiện trên CloudTrail console, S3, EventBridge