AWS CloudTrail提供管理 API 调用批量日志记录,但日志非常庞大,只能查看和下载。还可以选择设置多区域或单区域的单或跨帐户“Trails”,它只能记录 a) 系统管理 API 调用,仅“读取”,仅“写入”(创建/更改)或两者; b) 对象级选定的S3存储桶(存储)API 调用和 c) 选定的Lambda(无服务器)函数 API 调用。CloudWatch Logs会暴露系统组件故障、状态变化事件等。因此前者是关于安全性的,后者是关于系统健康的,还提供指标、图表、仪表板等,包括自定义。它还允许非常舒适的日志处理和分析。这可以将Trails日志复制到CloudWatch并使用 API 获取(这是我的计划),但要复制,因为Trails始终将日志存储在S3存储桶中......在大约 5 分钟内将块压缩到具有反直觉名称的文件中目录(前缀)结构,没有人(嘿,AWS,也许是你?:D)可以改变它。此外,由于大量 i/o 和加密,这种日志存储方法的成本是托管在类似S3存储桶上的小型网站的两倍。但最重要的是,为了我的目的,这些日志很难处理:捕获创建资源的 API 调用,所以如果我找不到较低级别的方法,我必须导入CloudWatch,在那里过滤(额外费用)并导出到我的标签处理器。标记自动化无法成为低成本和低成本应用程序的一部分......所以:
- 如何跳过S3?拒绝访问存储桶策略有帮助吗?
- 是否可以在提供CloudWatch Log之前过滤不必要的事件?
准确地说:我只想记录可标记资源的创建以实现复杂的自动标记。也许它也可以在没有CloudWatch的情况下解决?
提前谢谢你,我对 AWS 日志记录不是很深入,而且时间紧迫