gpt4 book ai didi

amazon-web-services - DeleteObject 的 AWS S3 日志?

转载 作者:行者123 更新时间:2023-12-03 19:25:33 25 4
gpt4 key购买 nike

如何使用 CloudTrail 或 CloudWatch 等 AWS 服务来检查哪个用户执行了事件 DeleteObject ?

我可以使用 S3 事件向 SNS 发送删除事件,以通知电子邮件地址已从 S3 存储桶中删除特定文件,但 该消息不包含执行此操作的用户名 .

我可以使用 CloudTrail 将与一个 S3 存储桶相关的所有事件记录到另一个存储桶,但我进行了测试并记录了许多详细信息,只有事件 PutObject但不是 DeleteObject .

有什么简单的方法可以监控 S3 存储桶以找出哪个用户删除了哪个文件?

Upate 19 Aug



按照下面 Walt 的回答,我能够记录 DeleteObject事件。但是,我只能获取 requestParameters.key
的文件名( PutObject ) ,但不适用于 DeleteObjects .
| # | @timestamp | userIdentity.arn | eventName | requestParameters.key |
| - | ---------- | ---------------- | --------- | --------------------- |
| 1 | 2019-08-19T09:21:09.041-04:00 | arn:aws:iam::ID:user/me | DeleteObjects |
| 2 | 2019-08-19T09:18:35.704-04:00 | arn:aws:iam::ID:user/me | PutObject |test.txt |

看起来其他人也遇到了同样的问题,AWS 正在解决这个问题: https://forums.aws.amazon.com/thread.jspa?messageID=799831

最佳答案

这是我的设置。

Detail instructions on setting up CloudTrail in the console.设置 CloudTrail 时,请仔细检查这 2 个选项。

您正在记录 S3 写入。您可以对所有 S3 存储桶或仅对您感兴趣的存储桶执行此操作。您也不需要启用读取日志来回答这个问题。
enter image description here

您正在向 CloudWatch Logs 发送事件
enter image description here

如果您对 S3 写入日志进行了更改,则可能需要稍等片刻。如果您还没有吃过早餐、午餐、小吃或晚餐,现在将是一个好时机。

如果您使用的默认 CloudWatch 日志组与我上面指向 CloudWatch Insight Logs search 的链接相同应该为你工作。

这是一个查询,将向您显示所有 S3 DeleteObject 调用。如果链接失效

  • 进入 CloudWatch 控制台。
  • 选择左侧的 Logs->Insights。
  • 为您在上面指定的“选择日志组”输入值。
  • 在查询字段中输入此内容。
  • fields @timestamp, userIdentity.arn, eventName, requestParameters.bucketName, requestParameters.key
    | filter eventSource == "s3.amazonaws.com"
    | filter eventName == "DeleteObject"
    | sort @timestamp desc
    | limit 20

    如果您在过去 30 分钟内有任何 CloudTrail S3 删除对象调用,则将显示最近 20 个事件。

    关于amazon-web-services - DeleteObject 的 AWS S3 日志?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57515257/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com