问题标签 [amazon-cloudtrail]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
logging - 在 AWS CloudTrail 中获取用户登录和注销信息
我已使用 AWS 管理控制台启用 CloudTrail,Amazon S3 存储桶策略是启用 CloudTrail 时自动创建的默认策略。
我可以找到关于我的登录的日志以及所有其他偶数日志,但没有关于 log-off 的信息。我需要为此做些什么,还是根本不存在?注销不归类为事件吗?
编辑 1
我是 CloudTrail 的新手,并试图了解什么是可能的,什么是不可能的。我有一个 IAM 用户,它只能对一个存储桶进行读写访问并列出所有存储桶。使用它时,我调用了它,aws ec2 describe-instances我可以在日志中看到它errorCode: "Client.UnauthorizedOperation",但是当我执行aws s3 cporaws s3 ls并且它成功时,它没有被记录。这是创建的默认存储桶策略。
Principal这可能来自哪里以及为什么会这样——它们不是我的账户,它们是在我启用 CloudTrail 时由 AWS 创建的。这些将日志传送到我的存储桶的 AWS 账户是否应该存在?
编辑 2
从typepad 的帖子中,S3 的日志记录还没有出现。我看到的登录实际上是因为 AWS 安全令牌服务 (STS)GetSessionToken调用。如果从控制台注销,似乎没有调用 STS,因此没有生成日志。
elasticsearch - 重新解析logstash记录?修复提取物?
我正在接收一条 JSON 消息(Cloudtrail,许多对象连接在一起),当我完成过滤它时,Logstash 似乎没有正确解析消息。就好像散列被简单地转储到一个字符串中。
无论如何,这是输入和过滤器。
当我完成时,elasticsearch 条目包含一个RecordStr带有以下数据的键。它没有message字段,也没有Records字段。
请注意,这不是JSON 样式,它已被解析。(这对于 concat->split 的工作很重要)。
因此,RecordStr作为一个值,键看起来不太正确。此外,在 Kibana 中,可过滤字段包括RecordStr(无子字段)。它包括一些不再存在的条目:Records.eventVersion, Records.userIdentity.type.
这是为什么?如何获得正确的字段?
编辑 1这是输入的一部分。
这是未经修饰的 JSON。看起来文件的主体(上面)在message字段中,json提取它,我最终在Records字段中得到一个记录数组。这就是我加入并拆分它的原因——然后我得到了单独的文档,每个文档都有一个RecordStr条目。但是,模板(?)似乎不理解新结构。
amazon-web-services - 将 CloudTrail 日志导入 Logstash
我正在尝试从 CloudTrail 获取日志到 ElasticSearch 中,以便我们可以更好地了解我们的 AWS 账户中发生了什么。
我已经在我的机器(Ubuntu 14.04)上设置了 Logstash 和 ElasticSearch,并且可以将文本推stdin送到 ElasticSearch。但是,当我尝试使用 S3 输入时,没有任何内容添加到 ElasticSearch。
这是我使用的 conf 文件,我删除了我的亚马逊密钥
我已经安装了logstash-codec-cloudtrail编解码器,但文档非常稀疏。
即使使用 -v 运行 Logstash 并且没有任何内容打印到stdout. 有什么我想念的吗?
python - 谁使用 Boto 和 Python 创建了 Amazon EC2 实例?
我想知道谁创建了一个特定的实例。我正在使用 Cloud Trail 来查找统计信息,但我无法获得有关谁创建了该实例的特定统计信息。我正在使用 Python 和 Boto3 来查找详细信息。我正在使用此代码-boto3 中 Cloud trail 中的 Lookup events() 来提取有关实例的信息。
amazon-web-services - 未在 AWS CloudWatch 警报生成的消息中获取 SQS 主题中的完整信息
我已针对 CloudTrail 事件配置警报。告警的度量是当它在日志中发现实例终止的信息时触发它。该信息向 SNS 主题发送一条消息,该主题又调用 SQS。
到目前为止,这一切都在工作。但是,当我阅读 SQS 时,我只能看到警报信息,但我想获取终止实例的详细信息。例如,下面是我看到的:
但我想查看 CloudTrail 日志中的实例 ID 信息:
amazon-web-services - 我在哪里可以找到 AWS 中 EC2 实例的访问日志?
我需要检查谁创建了实例或谁停止/终止/重新启动了实例以及时间。
amazon-web-services - 无法获取 Amazon SNS 日志
以下是我使用 CLI 命令获得的日志流:
而且我还得到如下日志流:
但是在访问日志流时,我收到以下错误:
所以你能帮我看看我错在哪里或为什么会出现错误。提前致谢。
amazon-web-services - 将 AWS CloudTrail 日志获取到 Kibana
有没有更好的解决方案实现将 aws cloudtrail 日志传输到 kibana,这里我使用的是 AWS 的 ElasticSearch 服务
amazon-web-services - AWS S3 存储桶日志与 AWS cloudtrail
AWS S3 日志和 AWS CloudTrail 之间有什么区别?在 CloudTrail 的文档中,我看到了这个:
CloudTrail 为 AWS 已经提供的监控功能增加了另一个维度。它不会更改或替换您可能已经在使用的日志记录功能。
amazon-web-services - Amazon AWS:如何从实例 id 获取终止的 EC2 实例的详细信息
我们的一个 EC2 实例从正在运行的实例列表中丢失,可能它被某人意外终止了。
在 cloudtrail 事件中,我可以看到一些终止实例事件以及被终止的事件时间、用户和实例 ID。
问题是,由于实例已经终止,我无法使用实例 ID 找到这些实例的更多详细信息。
我对更多细节感兴趣,例如 ami、密钥对、标签。
有没有办法为终止的实例获取这些详细信息?