AWS CloudTrail 導入至 CloudWatch Log

昨天分享了，CloudTrail 可以導入至 S3
今天我們分享第二種方法 = > CloudTrail 導入至 CloudWatch Log
也是最常聽到的大家會使用的方法 ！

小科普：CloudWatch 能對帳號行為、資源狀態，做多元的監控、警示等等..

今天同樣會分成兩個階段

﹫第一階段：先帶大家將 ClouTrail 資料導入 CloudWatch Log
﹫第二階段：再來調整 CloudWatch Logs 保留時間

那我們就，開始吧 ～

第一階段：ClouTrail 資料導入 CloudWatch Log

進到 CloudWatch 儀表板，點選「建立線索」

填寫線索屬性

順便小小宣導一下：
任何資源的名稱建議不要亂填，需要填寫每個使用者都一看就懂的名稱，
不然資源多起來，會很難分辨 QAQ

以這邊為例，名稱就能填寫 cloudwatch-event

儲存位置可以直接新建S3 Bucket ，有能點選已經創建好的 S3 Bucket

在 CloudWatch 的欄位勾選「已啟用」

一樣的，日誌群組和IAM角色，都可以選擇「新建的」或「原有的」

選擇日誌事件

• 管理事件 >> 管理 AWS 帳號中的行為操作
  (舉例：CloudTrail)
• 資源事件 >> 對資源上或資源中執行的資源操作、API 調用
  (舉例：S3 的對象操作、Lambda 函數的調用、DynamoDB 表的項目級操作等。)
• insights 事件 >> 用於檢測帳戶中的異常活動
  (提供相關 API、錯誤代碼、統計信息)

創建完成

回到 「 CloudTrail 儀錶板 」> 「線索」，會看見剛剛新建的資訊

前往 S3 Bucekt / CloudWatch Log 確認顯示新建的資訊

第二階段：調整 CloudWatch Logs 保留時間

當我們將 Cloudtrail 導入至 CloudWatch 後，
通常期限是永久保存的，不過永久保存會產生非常多額外的費用
所以設定好後，一定要記得設定阿~ 不然就只能手動刪除了 ~

先進入剛剛創立的 CloudWatch 日誌群組中

CloudWatch > 日誌群組 > 點擊該日誌群組名稱

點選「動作」 > 「編輯保留設定」

這邊可以看到，預設的保存期限是「永久保存」

下拉選擇欲設定的「保留時間」 > 「儲存」

這邊可以選擇「最少１天」，「最多１０年」及「永久保存」的時間

調整成功

跳轉回前一頁，會發現「保留」時間已經變更成功 ！

以上分享 AWS 的黑盒子 - CloudTrail，給大家
不管是「防侵入」還是「抓戰犯」，都很好用哦~~~