使用 Lambda 函数采集 CloudTrail 日志

CloudTrail 日志记录了您 AWS 环境中所有账户相关活动的详细信息。采集这些历史数据有助于简化安全分析和故障排除工作。请阅读本文，了解如何通过 Site24x7 监控您的 CloudTrail 日志。了解更多关于 Site24x7 日志管理的信息。

创建日志配置文件

要采集 CloudTrail 日志，首先需要创建日志配置文件。导航至管理 > AppLogs > 日志配置文件 > 添加日志配置文件，然后按照以下说明操作：

1. 配置文件名称：为您的日志配置文件输入一个名称。
2. 日志类型：选择 CloudTrail logs。如果您尚未在 AWS 账户中启用 CloudTrail 日志，请按照此处的说明操作。
3. 日志来源：选择 Amazon Lambda。
4. 时区：为您的日志选择时区。
5. 单击保存。
6. 按照此处所述配置 Lambda 函数。

配置 CloudTrail 日志

• 登录 AWS 控制台，在服务下拉菜单中选择 CloudTrail。
• 单击跟踪，然后选择创建跟踪。
• 创建跟踪：为 CloudTrail 服务提供名称，并选择是否将日志传送至所有区域。
• 管理事件：选择可在您的 AWS 资源上执行的操作。
• 存储位置：创建新的 S3 存储桶，或选择用于存储日志的现有 S3 存储桶。

配置 Lambda 函数

• 在服务下拉菜单中选择 Lambda，然后选择创建函数。选择从头开始创作，为函数定义名称，并选择 Python 3.7 作为运行时。

• 权限：您可以选择现有的 IAM 角色，或从 AWS 策略模板创建新角色。在策略模板下拉菜单中选择 Amazon S3 对象只读权限，并输入角色名称。您也可以选择创建新用户角色并扩展其他服务的权限。
• 添加触发器：向下滚动选择 S3 存储桶。添加到 S3 存储桶的任何日志文件都将由 Lambda 函数发送至 Site24x7。
  
• 配置触发器
  • 存储桶：输入要采集日志的 S3 存储桶名称。
  • 事件类型：选择所有对象创建事件。
  • 单击添加。
• 在打开的窗口中，单击如图所示的 Lambda 函数：
  
• 滚动至编辑器，粘贴以下链接中提供的代码：

       https://github.com/site24x7/applogs-aws-lambda/blob/master/s3/s3-sender.py

• 输入代码后，导航至 Site24x7 Web 客户端，选择管理 > AppLogs > 日志配置文件，然后选择已创建的日志配置文件，并复制屏幕上显示的代码。

CloudTrail 日志仪表板

AppLogs 会为每种日志类型创建专属仪表板，并默认显示若干小组件。以下是 CloudTrail 日志仪表板中可用的小组件列表：

• 控制台登录
• 登录失败
• 热门服务 Top 10
• 热门事件 Top 10
• 活跃用户

相关日志类型

• CloudFront 日志
• S3 日志
• VPC Flow 日志