审计会话活动 - AWS Systems Manager

审计会话活动

除了在 Systems Manager 控制台中提供有关当前和已完成会话的信息以外,Session Manager 还提供使用 AWS CloudTrail 审计 AWS 账户中的会话活动的功能。

CloudTrail 可以捕获通过 Systems Manager 控制台、AWS Command Line Interface (AWS CLI) 和 Systems Manager SDK 进行的 API 调用。您可以在 CloudTrail 控制台查看信息,或将其存储在指定的 Amazon Simple Storage Service (Amazon S3) 存储桶中。您可以将账户的所有 CloudTrail 日志存储在一个 Amazon S3 存储桶中。有关更多信息,请参阅 使用 AWS CloudTrail 记录 AWS Systems Manager API 调用

注意

对于定期的、历史的、分析性的日志文件分析,请考虑使用 CloudTrail Lake 或您维护的表来查询 CloudTrail 日志。有关更多信息,请参阅《AWS CloudTrail 用户指南》中的查询 AWS CloudTrail 日志

使用 Amazon EventBridge 监控会话活动(控制台)

使用 EventBridge,您可以设置规则来检测 AWS 资源何时发生更改。您可以创建规则来检测组织中的用户何时启动或结束会话,然后通过 Amazon SNS 接收有关此事件的通知等。

EventBridge 对 Session Manager 的支持依赖于 CloudTrail 记录的 API 操作记录。(您可以使用 CloudTrail 与 Eventbridge 集成来响应大多数 AWS Systems Manager 事件。) EventBridge 检测不到会话中发生的未进行 API 调用的操作,如 exit 命令。

以下步骤概述了如何在发生 Session Manager API 事件(如 StartSession)时通过 Amazon Simple Notification Service (Amazon SNS) 启动通知。

要使用 Amazon EventBridge 监控会话活动(控制台),请执行以下步骤:
  1. 创建 Amazon SNS 主题,以便在发生要跟踪的 Session Manager 事件时发送通知。

    有关更多信息,请参阅《Amazon Simple Notification Service 开发人员指南》中的创建主题

  2. 创建 Eventbridge 规则来调用要跟踪的 Session Manager 事件类型的 Amazon SNS 目标。

    要了解如何创建规则,请参阅《Amazon EventBridge 用户指南》中的创建对事件作出反应的 Amazon EventBridge 规则

    遵循步骤创建规则时,请做出以下选择:

    • 对于 service(AWS 服务),选择 Systems Manager

    • 对于 Event type(事件类型),选择 AWS API Call through CloudTrail(通过 CloudTrail 进行的 API 调用)。

    • 选择特定操作,然后输入要接收其通知的一个或多个 Session Manager 命令(一次一个)。您可以选择 StartSessionResumeSessionTerminateSession。(EventBridge 不支持 Get* List*Describe* 命令。)

    • 对于 Select a target(选择一个目标),选择 SNS topic(SNS 主题)。对于 Topic (主题),选择您在步骤 1 中创建的 Amazon SNS 主题的名称。

有关更多信息,请参阅 Amazon EventBridge 用户指南Amazon Simple Notification Service 入门指南