kong/cloudtrail-integration

镜像概述

AWS CloudTrails Integration镜像旨在简化与AWS CloudTrail服务的集成流程，提供CloudTrail日志的采集、标准化处理及多目标系统转发能力。通过容器化部署，可快速对接AWS账户，实现CloudTrail事件日志的自动化处理，适用于安全审计、合规监控及操作行为分析场景。

核心功能

• 日志采集：支持通过AWS API自动拉取CloudTrail日志，支持增量同步与全量导出，兼容多区域Trail配置
• 格式标准化：提供日志格式转换能力，支持JSON、CEF、LEEF等多种格式，适配不同下游系统要求
• 多目标集成：支持对接SIEM工具（如Splunk、Elasticsearch）、监控平台（如Prometheus、Grafana）及云存储服务（如S3、Azure Blob）
• 灵活配置：支持通过环境变量或配置文件自定义AWS认证信息、日志过滤规则及目标系统参数
• 高可用性：内置故障重试机制，支持集群部署，确保日志处理连续性

使用场景

• 安全审计：集中采集AWS账户API调用日志，追踪用户操作行为，识别异常访问与权限变更
• 合规监控：满足GDPR、SOX等合规要求，提供可追溯的操作日志记录与审计报告
• 操作分析：分析云资源操作模式，优化资源配置与成本管理，识别潜在运维风险
• 事件响应：实时转发关键操作事件至安全响应平台，加速安全事件处置流程

使用方法### 基本部署

通过docker run命令快速启动容器：

docker
docker run -d \
  --name cloudtrail-integration \
  -e AWS_ACCESS_KEY_ID="AKIAEXAMPLE" \
  -e AWS_SECRET_ACCESS_KEY="secret" \
  -e AWS_REGION="us-east-1" \
  -e TARGET_TYPE="splunk" \
  -e TARGET_ENDPOINT="https://splunk.example.com:8088" \
  -e TARGET_TOKEN="SplunkToken" \
  -v /local/config:/app/config \
  aws-cloudtrails-integration:latest

环境变量配置

高级配置（配置文件方式）

如需复杂配置，可将本地配置文件挂载至容器/app/config目录（支持JSON/YAML格式），示例config.yaml：

yaml
aws:
  access_key: "AKIAEXAMPLE"
  secret_key: "secret"
  region: "us-west-2"
  trails:
    - trail_name: "primary-trail"
      include_management_events: true
      read_write_type: "All"
target:
  type: "elk"
  endpoint: "https://elk.example.com:9200"
  index: "cloudtrail-logs"
  auth:
    username: "elk-user"
    password: "elk-pass"
log:
  format: "cef"
  include_fields: ["eventName", "userIdentity", "sourceIPAddress"]
sync:
  interval: 10
  retry_count: 3
  backoff_factor: 2

部署验证

容器启动后，可通过日志确认运行状态：

docker
docker logs aws-cloudtrail-integration

正常运行时将输出类似日志：[INFO] Successfully connected to AWS CloudTrail、[INFO] Synced 15 logs to target endpoint。