问题标签 [amazon-cloudtrail]

我正在尝试开发一种方法来分解使用 CloudTrail 的用户/项目的 S3。CloudTrail 是否提供查看哪个 IAM 用户将特定对象上传到存储桶的功能？

更新：

我打开了一个 CloudTrail 来监视对象级活动（对于所有 s3 存储桶，包括读取和写入活动），但是，当我尝试在上面的更新中列出“PutObject”事件时，它不起作用（即列表的事件出现空白）。

更新 2

控制台中我的存储桶属性和 CloudTrail 的图像：

我目前在 AWS 上运行 elasticsearch 集群版本 6.3.1，这是我需要上传但不能 ``` 的模板文件

我尝试通过 Kibana 中的开发工具加载模板并收到以下错误

有人可以帮忙解决我需要做什么才能在版本 6 elasticsearch 上工作吗？我对弹性搜索完全陌生，只是想从 cloudtrail -> s3 -> AWS elasticsearch -> kibana 设置日志记录。

有人可以帮忙吗。我需要修复错误，以便可以将 S3 中的 CloudTrail 日志传送到 ES 的 Logstash 并在 Kibana 中查看。无法弄清楚如何将字段限制增加到更高的值。我的配置看起来像

这是我在 Logstash 机器上看到的内容limit

2018-10-04T17:49:49,883][WARN][logstash.outputs.elasticsearch] 无法将事件索引到 Elasticsearch。{:status=>400, :action=>["index", {:_id=>nil, :_index=>"cloudtrail-2018.09.27", :_type=>"doc", :_routing=>nil}, #], :response=>{"index"=>{"_index"=>"cloudtrail-2018.09.27", "_type"=>"doc", "_id"=>"lrMzQGYBOny1_iySNW6G", "status"=> 400, "error"=>{"type"=>"illegal_argument_exception", "reason"=>"已超出索引 [cloudtrail-2018.09.27] 中总字段 [1000] 的限制"}}}

提前致谢

如何更新 logstash 或 elasticsearch 模板，以便避免在 logstash 服务器上显示此 mapper_parsing_exception 错误。尝试 elk 进行 aws cloudtrail 日志记录，但似乎每一步都遇到障碍。

我也明白用 grok 完成但不知道怎么做！

第二个错误

这是我的模板和默认动态映射

映射，不知道为什么这么大

更新 1：

@Amir masud zarebidaki，谢谢。我认为 elasticsearch 会动态地进行所有映射并进行优化，这对于 elasticsearch 概念来说还是很新的。但是，我确实通过在我的过滤器中添加以下内容来消除他的日期格式错误

但不确定这样做是否正确，因为我现在丢失了一些数据，并且我在日志中出现了新的错误，形式为

如何更改映射以解决这些错误，弹性堆栈的新手

` [logstash.outputs.elasticsearch] 无法将事件索引到 Elasticsearch。{:status=>400, :action=>["index", {:_id=>nil, :_index=>"cloudtrail-2018.10.08", :_type=>"doc", :_routing=>nil}, #], :response=>{"index"=>{"_index"=>"cloudtrail-2018.10.08", "_type"=>"doc", "_id"=>"CkkQVWYBeGi09oGfr-kl", "status" =>400, "error"=>{"type"=>"mapper_parsing_exception", "reason"=>"[requestParameters.filter] 的对象映射试图将字段 [null] 解析为对象，但找到了具体值"} }}}

`这是我的aws es上的映射，我基本上是在尝试使用logstash将s3中的cloudtrail日志摄取到elasticsearch和kibana，但目前似乎没有工作。需要更多帮助并了解为什么不是所有数据都显示在 kibana 中

提前致谢。

如何更新索引映射以包含以下字段doc_as_upsert : true

我从 s3 摄取 cloudtrail 日志的 logstash 在日志上显示以下内容 Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:_id=>nil, :_index=>"cloudtrail-2018.10.08", :_type=>"doc", :_routing=>nil}, #<LogStash::Event:0x251f932>], :response=>{"index"=>{"_index"=>"cloudtrail-2018.10.08", "_type"=>"doc", "_id"=>"t2mmVWYBVQr-RbWuAQIS", "status"=>400, "error"=>{"type"=>"mapper_parsing_exception", "reason"=>"failed to parse [requestParameters.disableApiTermination]", "caused_by"=>{"type"=>"json_parse_exception", "reason"=>"Current token (START_OBJECT) not of boolean type\n at [Source: org.elasticsearch.common.bytes.BytesReference$MarkSupportingStreamInputWrapper@133a6c; line: 1, column: 1509]"}}}}}

映射是动态的，而且很长，所以不能全部放在这里，但这是我喜欢的

当我尝试使用这些更新映射时，出现以下错误

我收到错误

尝试将多个 AWS 帐户的 cloudtrail 日志从 s3 获取到 elasticsearch 中，直到现在一切都停止了。错误显示如下所示

这也是我的 logstash 配置，因为我正在使用 logstash 进行摄取

```

当 log-stash 从 ubuntu ec2 启动或重新启动时，日志被摄取几分钟然后停止

任何帮助将不胜感激。

我正在使用AWS CloudTrail 处理库从 AWS 中提取 Cloudtrail 日志。在下面的事件历史截图（取自 CloudTrail Web 控制台）中，受更改影响的存储桶的名称反映在列下：Resource name。如何使用aws-cloudtrail-processing-library. 该库返回 CloudTrail 保存日志文件的存储桶的名称，而不是受影响的存储桶（突出显示）。此外，即使从存储桶下载日志后，我也看不到此信息。

这是我的处理类的片段：

以及过滤事件的方法：

在 AWS 中，这里的链接表明支持使用 Cloudtrail 跟踪 DynamoDB 中的事件。

• https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html

但是，在说明中，没有选择在任何地方选择 DynamoDB（只有 S3 和 Lambda 选项可用），所以我正在寻找任何关于如何跟踪 DynamoDb 事件的说明。具体来说，我想知道何时删除了表。

• https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html

有没有人有运气？谢谢！

我正在尝试创建一个通过 S3 触发器使用 CloudTrail 事件的 AWS Lambda 函数。此功能会在删除 CloudWatch 日志时发出警报。事件：

'eventSource'：'logs.amazonaws.com'

和

“事件名称”：“删除日志流”

需要作为同一个事件一起被发现。我的活动中有数据，但我无法捕获和打印它。

这是我得到的结果： 代码结果

我的代码出于调试目的打印键/值。为什么'DeleteLogStream'和'logs.amazonaws.com'值没有解析出来的任何想法？

下面的示例 json 事件： https ://raw.githubusercontent.com/danielkowalski1/general-scripts/master/sampleevent