我正在努力检测CloudWatch中给定区域之外执行的活动。例如,如果在与CloudWatch事件相同的区域中创建InternetGateway(假设为eu-central-1),CloudWatch会检测到它,但是如果它在其他地方(比如说eu-west-1)则不会抓住这个事件。
但是,Cloudtrail确实捕获了给定区域中的事件(它在不同区域激活),因为我可以在此特定区域的事件历史记录中看到它。 (让我们再说eu-west-1)。
无论创建区域如何,我如何让CloudWatch对正在发生的事情采取行动?
答案 0 :(得分:1)
您应该能够将跨区域cloudtrail日志放入一个存储桶中:
从多个区域接收CloudTrail日志文件您可以将CloudTrail配置为将来自多个区域的日志文件传递到 单个帐户的单个S3存储桶。例如,你有一个踪迹 在美国西部(俄勒冈州)区域,配置为传递日志文件 到S3存储桶和CloudWatch Logs日志组。申请时 跟踪到所有地区,CloudTrail在所有其他地区创建了新的路径 区域。此路径具有原始路径配置。 CloudTrail 将日志文件传递到相同的S3存储桶和CloudWatch Logs日志 基。
答案 1 :(得分:1)
我将CloudTrail转到CloudWatch Logs时遇到类似的问题。我想将eu-west-1和Route 53的全局事件的CloudTrail事件(似乎来自us-east-1)都接收到CloudWatch Logs流中,以便为我们的AWS账户添加一些进一步的监视和警报。
https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html上的文档非常好,并且易于遵循,甚至提到:
注意
适用于所有区域的跟踪会将日志文件从所有区域发送到您指定的CloudWatch Logs日志组。
但是,我无法使它正常工作。我还尝试使日志传送IAM策略更宽松-默认策略在流名称中包括区域名称,我认为这可能会更改其他区域的日志-但这无济于事。最终,即使事件已正确出现在S3存储桶中,我也无法从eu-west-1外部获得任何东西传递给CloudWatch Logs。
我最终通过在us-east-1中创建第二条重复记录并将该区域的日志传送到该区域的Cloudwatch Logs来解决此问题。