我正在努力检测在 CloudWatch 中给定区域之外执行的活动。例如,如果 InternetGateway 与 CloudWatch 事件(比如说 eu-central-1)在同一区域中创建,CloudWatch 会检测到它,但是如果它在其他地方(比如说 eu-west-1)它不会抓住事件。
但是,Cloudtrail 确实捕获了给定区域中的事件(它是跨区域激活的),正如我在该特定区域的事件历史记录中看到的那样。(让我们再说一遍 eu-west-1)。
无论创建区域如何,如何让 CloudWatch 对正在发生的事情采取行动?
CloudTrail 转到 CloudWatch Logs 时,我遇到了类似的问题。我想将 eu-west-1 的 CloudTrail 事件和 Route 53 的全局事件(似乎来自 us-east-1)接收到 CloudWatch Logs 流中,这样我就可以对我们的 AWS 账户添加一些进一步的监控和警报。
https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html上的文档非常好且易于理解,甚至提到:
笔记
适用于所有区域的跟踪将所有区域的日志文件发送到您指定的 CloudWatch Logs 日志组。
但是,我无法让它发挥作用。我还尝试让日志传递 IAM 策略更加宽松——默认策略包括流名称中的区域名称,我认为这可能会改变来自其他区域的日志——但这没有帮助。最终,即使事件正确显示在 S3 存储桶中,我也无法从 eu-west-1 外部获取任何内容以传送到 CloudWatch Logs。
我最终通过在 us-east-1 中创建第二个重复跟踪并将该区域的日志传送到该区域的 Cloudwatch Logs 来解决此问题。
您应该能够将跨区域的 cloudtrail 日志放入单个存储桶中:
从多个区域接收 CloudTrail 日志文件您可以配置 CloudTrail 以将日志文件从多个区域传送到单个账户的单个 S3 存储桶。例如,您在美国西部(俄勒冈)区域中有一条跟踪配置为将日志文件传送到 S3 存储桶和一个 CloudWatch Logs 日志组。当您将跟踪应用到所有区域时,CloudTrail 会在所有其他区域中创建一个新跟踪。该路径具有原始路径配置。CloudTrail 将日志文件传送到相同的 S3 存储桶和 CloudWatch Logs 日志组。