AWS S3存储桶日志与AWS cloudtrail

Question

AWSS3日志和AWS Cloudtrail之间有什么区别？关于cloudrail的文档,我看到了这个:

CloudTrail为AWS已提供的监控功能添加了另一个维度.它不会更改或替换您可能已在使用的日志记录功能.

Answer 1

CloudTrail跟踪基础设施变更事件的API访问,在S3中,这意味着创建,删除和修改存储桶(S3 CloudTrail文档).它非常关注修改存储桶的API方法.

S3 Server Access Logging提供Web服务器式日志记录,以访问S3存储桶中的对象.此日志记录对于对象是精细的,包括只读操作,并包括非API访问,如静态网站浏览.

Answer 2

自从提出这个问题以来，AWS 又添加了一项功能，即 CloudTrail 数据事件

目前有3个功能可用：

1. CloudTrail：它在存储桶级别Ref记录几乎所有 API 调用
2. CloudTrail 数据事件：它记录了对象级别Ref 的几乎所有 API 调用
3. S3 服务器访问：它记录了对 S3 对象的几乎所有（尽力而为的服务器日志传送）访问调用。参考

现在，2 和 3 看起来功能相似，但它们有一些差异，可能会提示用户使用其中一个或两者（在我们的例子中）！以下是我可以找到的差异：

• 两者都在不同的粒度级别上工作。例如，可以为 AWS 帐户的所有 S3 存储桶或仅为 S3 存储桶中的某些文件夹设置 CloudTrail 数据事件。而 S3 服务器访问日志将设置在单个存储桶级别
• S3 服务器访问日志似乎提供了有关 BucketOwner、HTTPStatus、ErrorCode 等日志的更全面信息。完整列表

Cloudtrail 日志中不可用但服务器访问日志中可用的信息。参考：

• 日志记录的对象大小、总时间、周转时间和 HTTP Referer 字段
• 生命周期转换、到期、恢复
• 在批量删除操作中记录密钥
• 认证失败
• CloudTrail 不会为未通过身份验证（其中提供的凭据无效）的请求提供日志。但是，它确实包含授权失败 (AccessDenied) 请求和匿名用户发出的请求的日志。
• 如果请求是由不同的 AWS 账户发出的，则仅当存储桶所有者拥有请求中的对象或拥有对对象的完全访问权限时，您才会在您的账户中看到 CloudTrail 日志。如果不是这种情况，日志将仅在请求者帐户中可见。但是，相同请求的日志将在您帐户的服务器访问日志中传送，无需任何其他要求。

AWS Support 建议可以使用 CloudTrail 日志做出决定，如果您还需要 CloudTrail 日志中没有的这些额外信息，您可以使用服务器访问日志。

Answer 3

在S3服务器访问日志上使用CloudTrail日志有两个原因：

1. 您对存储桶级活动日志记录感兴趣。CloudTrail具有此功能，而S3日志则没有。
2. 您具有涉及CloudWatch日志流的日志分析设置。基本的S3日志仅将日志事件存储到某些S3存储桶中的文件中，然后由您处理这些事件（尽管大多数日志分析服务都可以为您执行此操作）。

底线：如果您有特定的要求，请使用CloudTrail，这需要额外付费。否则，“标准” S3服务器访问日志就足够了。

从CloudTrail开发人员指南（https://docs.aws.amazon.com/AmazonS3/latest/dev/cloudtrail-logging.html）：

将CloudTrail日志与Amazon S3服务器访问日志和CloudWatch日志一起使用

您可以将AWS CloudTrail日志与Amazon S3的服务器访问日志一起使用。CloudTrail日志为您提供了有关Amazon S3存储桶级和对象级操作的详细API跟踪，而Amazon S3的服务器访问日志使您可以查看Amazon S3中数据的对象级操作。有关服务器访问日志的更多信息，请参阅Amazon S3服务器访问日志。

您还可以将CloudTrail日志与CloudWatch for Amazon S3一起使用。CloudTrail与CloudWatch日志的集成将CloudTrail捕获的S3存储桶级API活动传递到您指定的CloudWatch日志组中的CloudWatch日志流。您可以创建CloudWatch警报以监视特定的API活动，并在发生特定的API活动时接收电子邮件通知。有关用于监视特定API活动的CloudWatch警报的更多信息，请参阅《 AWS CloudTrail用户指南》。有关将CloudWatch与Amazon S3结合使用的更多信息，请参阅通过Amazon CloudWatch监控指标。