A company needs to create a centralized solution to analyze log files. The company uses an organization in AWS Organizations to manage its AWS accounts. The solution must aggregate and normalize events from the following sources:
• The entire organization in Organizations
• All AWS Marketplace offerings that run in the company’s AWS accounts
• The company's on-premises systems
Which solution will meet these requirements?
A. Configure a centralized Amazon S3 bucket for the logs. Enable VPC Flow Logs, AWS CloudTrail. and Amazon Route 53 logs in all accounts. Configure all accounts to use the centralized S3 bucket. Configure AWS Glue crawlers to parse the log files. Use Amazon Athena to query the log data.
B. Configure log streams in Amazon CloudWatch Logs for the sources that need monitoring. Create log subscription filters for each log stream. Forward the messages to Amazon OpenSearch Service for analysis.
C. Set up a delegated Amazon Security Lake administrator account in Organizations. Enable and configure Security Lake for the organization. Add the accounts that need monitoring. Use Amazon Athena to query the log data.
D. Apply an SCP to configure all member accounts and services to deliver log files to a centralized Amazon S3 bucket. Use Amazon OpenSearch Service to query the centralized S3 bucket for log entries.
C
一家公司需要创建一个集中式解决方案来分析日志文件。该公司使用 AWS Organizations 中的组织来管理其 AWS 账户。该解决方案必须聚合和规范化来自以下来源的事件:
• Organizations 中的整个组织
• 在该公司 AWS 账户中运行的所有 AWS Marketplace 产品
• 公司的本地系统
哪种解决方案能够满足这些要求?
公司要创建集中式日志分析解决方案,使用 AWS Organizations 管理账户,需聚合和规范化来自组织内所有账户、AWS Marketplace 产品及本地系统的日志事件,需确定满足要求的解决方案。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。配置一个集中式的 Amazon S3 存储桶用于存放日志。在所有账户中启用 VPC Flow Logs、AWS CloudTrail 和 Amazon Route 53 日志。配置所有账户使用集中式 S3 存储桶。配置 AWS Glue 爬取程序来解析日志文件。使用 Amazon Athena 查询日志数据。此方案虽能收集多种 AWS 服务日志到集中式 S3 存储桶,但未涵盖 AWS Marketplace 产品和本地系统日志,且需手动配置多个服务日志收集,操作较复杂,无法完全满足要求。
B. 不正确。在 Amazon CloudWatch Logs 中为需要监控的来源配置日志流。为每个日志流创建日志订阅过滤器。将消息转发到 Amazon OpenSearch Service 进行分析。该方案主要针对 AWS 服务日志,没有提及如何收集 AWS Marketplace 产品和本地系统日志,不能全面聚合所有来源的日志,无法满足要求。
C. 正确。在 Organizations 中设置一个委托的 Amazon Security Lake 管理员账户。为组织启用并配置 Security Lake。添加需要监控的账户。使用 Amazon Athena 查询日志数据。Amazon Security Lake 可自动从多个来源收集安全相关数据,包括组织内账户、AWS Marketplace 产品等,能将日志集中存储并规范化,使用 Athena 查询方便,可满足聚合和规范化所有来源日志事件的要求。
D. 不正确。应用 SCP 配置所有成员账户和服务将日志文件交付到集中式 Amazon S3 存储桶。使用 Amazon OpenSearch Service 查询集中式 S3 存储桶中的日志条目。SCP 主要用于限制账户服务和操作,虽能配置日志交付到 S3,但未提及如何收集 AWS Marketplace 产品和本地系统日志,且 OpenSearch Service 直接查询 S3 日志条目操作较复杂,无法很好满足要求。
Amazon S3:可提供高持久性和可扩展性的对象存储服务,能作为集中式存储来存放日志文件,方便后续处理和分析。
VPC Flow Logs:用于捕获有关通过 VPC 中网络接口的 IP 流量的信息,可记录网络流量日志,为分析网络活动提供数据。
AWS CloudTrail:可记录 AWS 账户中的 API 调用及相关活动,提供用户操作和系统事件的审计跟踪,有助于了解账户活动情况。
Amazon Route 53 logs:记录与 DNS 查询等相关的日志信息,对于分析域名解析等活动有帮助。
AWS Glue crawlers:能自动探索数据源,推断数据模式,创建元数据表,可用于解析日志文件,为后续查询做准备。
Amazon Athena:是一种交互式查询服务,可直接对存储在 S3 等数据源中的数据进行查询,无需预处理,方便分析日志数据。
Amazon CloudWatch Logs:可收集、监控和分析日志数据,支持创建日志流和订阅过滤器,便于对特定日志进行监控和处理。
Amazon OpenSearch Service:提供强大的搜索和分析功能,可对日志数据进行深入分析,支持复杂的查询和可视化。
Amazon Security Lake:可自动从多个来源收集安全相关数据,包括日志等,将其集中存储并规范化,便于进行安全分析和调查。
Service Control Policies (SCPs):是 AWS Organizations 中的策略,用于限制组织中成员账户可使用的 AWS 服务和操作,可用于配置日志交付相关设置。