标签: amazon-cloudtrail

有人可以帮忙吗？我需要修复该错误，以便 S3 中的 CloudTrail 日志可以发送到 Logstash ES 并在 Kibana 中查看。无法弄清楚如何将字段限制提高到更高。我的配置看起来像

input {
   s3 {
     bucket => "sample-s3bucket"
     region => "eu-west-1"
     type => "cloudtrail"
     codec => cloudtrail {}
     sincedb_path => "/tmp/logstash/cloudtrail"
     exclude_pattern => "/CloudTrail-Digest/"
     interval => 300
   }
}

filter {
    if [type] == "cloudtrail" {
        json {
            source => "message"
        }

        geoip {
            source => "sourceIPAddress"
            target => "geoip"
            add_tag => ["cloudtrail-geoip"]
        }
    }
}

output {
    elasticsearch {
      hosts => "coordinate_node:9200"
      index => 'cloudtrail-%{+YYYY.MM.dd}'
         }
    stdout {
     codec => …

我遇到一种情况，我需要获取 AWS 账户中某个用户名下发生的所有事件。

我尝试使用boto3客户端的lookup_events()功能来获取上一小时的所有事件。

但看起来有些事件没有立即更新cloudtrail。

cloudtrail我只是想知道事件在查找中是否会出现任何延迟AWS console。

我想监视任何试图从我的 CloudTrail 的 S3 存储桶中擦除日志的人。

我曾尝试使用我自己的 IAM 用户删除此存储桶上的日志之一，但 CloudTrail 本身似乎没有注意到我已从它的存储桶中删除了一个对象。

是否有特定的监控我必须激活以检查这些日志是否被可能的攻击者删除？

还有一个优点：Guard Duty 有什么方法可以检测到我环境中的此类操作吗？

提前致谢。

在 cloud-trail 中，我可以选择 CloudWatch Logs 部分下的现有日志组 CloudTrail/DefaultLogGroup。是否可以使用 cloudformation 模板完成此步骤？

Cloudtrail 默认日志可以流式传输到 elasticsearch 域，如此图所示。我如何使用 cloudformation 模板实现这一目标？

我让 CloudTrail 记录我的 SQS 队列的事件，但我看到的唯一与 SQS 相关的事件是 CreateQueue 和 DeleteQueue。我还尝试让 CloudTrail 记录 ReceiveMessage 和 SendMessage SQS 事件。根据我的研究，我发现两个答案都是可能的，并且不可能让 CloudTrail 在事件历史记录中记录 ReceiveMessage 和 SendMessage 事件，所以我很困惑哪个答案是正确的。谁能澄清这一点，如果可能的话解释一下如何做到这一点？

如何使用 Cloudtrail 获取 IAM 用户的创建者，如何从日志中获取