考題解析 | 使用 Amazon Security Lake 自動從多個來源收集和管理數據
Dec 1st, 2025 by Anna
題目
A company needs to create a centralized solution to analyze log files. The company uses an organization in AWS Organizations to manage its AWS accounts. The solution must aggregate and normalize events from the following sources:
? The entire organization in Organizations
? All AWS Marketplace offerings that run in the company’s AWS accounts
? The company's on-premises systems
Which solution will meet these requirements?
A. Configure a centralized Amazon S3 bucket for the logs. Enable VPC Flow Logs, AWS CloudTrail. and Amazon Route 53 logs in all accounts. Configure all accounts to use the centralized S3 bucket. Configure AWS Glue crawlers to parse the log files. Use Amazon Athena to query the log data.
B. Configure log streams in Amazon CloudWatch Logs for the sources that need monitoring. Create log subscription filters for each log stream. Forward the messages to Amazon OpenSearch Service for analysis.
C. Set up a delegated Amazon Security Lake administrator account in Organizations. Enable and configure Security Lake for the organization. Add the accounts that need monitoring. Use Amazon Athena to query the log data.
D. Apply an SCP to configure all member accounts and services to deliver log files to a centralized Amazon S3 bucket. Use Amazon OpenSearch Service to query the centralized S3 bucket for log entries.
需求概括
一家公司需要創建一個集中式解決方案來分析日志文件���。該公司使用 AWS Organizations 中的組織來管理其 AWS 賬戶�。該解決方案必須聚合和規范化來自以下來源的事件:
? Organizations 中的整個組織
? 在該公司 AWS 賬戶中運行的所有 AWS Marketplace 產品
? 公司的本地系統
哪種解決方案能夠滿足這些要求��?
公司要創建集中式日志分析解決方案���,使用 AWS Organizations 管理賬戶�,需聚合和規范化來自組織內所有賬戶、AWS Marketplace 產品及本地系統的日志事件�����,需確定滿足要求的解決方案�����。
參考解析
技巧:排除明顯錯誤選項��,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確����。配置一個集中式的 Amazon S3 存儲桶用于存放日志。在所有賬戶中啟用 VPC Flow Logs、AWS CloudTrail 和 Amazon Route 53 日志���。配置所有賬戶使用集中式 S3 存儲桶。配置 AWS Glue 爬取程序來解析日志文件。使用 Amazon Athena 查詢日志數據。此方案雖能收集多種 AWS 服務日志到集中式 S3 存儲桶�,但未涵蓋 AWS Marketplace 產品和本地系統日志����,且需手動配置多個服務日志收集�����,操作較復雜����,無法完全滿足要求����。
B. 不正確。在 Amazon CloudWatch Logs 中為需要監控的來源配置日志流。為每個日志流創建日志訂閱過濾器。將消息轉發到 Amazon OpenSearch Service 進行分析����。該方案主要針對 AWS 服務日志���,沒有提及如何收集 AWS Marketplace 產品和本地系統日志��,不能全面聚合所有來源的日志,無法滿足要求。
C. 正確����。在 Organizations 中設置一個委托的 Amazon Security Lake 管理員賬戶�����。為組織啟用并配置 Security Lake����。添加需要監控的賬戶。使用 Amazon Athena 查詢日志數據����。Amazon Security Lake 可自動從多個來源收集安全相關數據�,包括組織內賬戶����、AWS Marketplace 產品等,能將日志集中存儲并規范化�����,使用 Athena 查詢方便,可滿足聚合和規范化所有來源日志事件的要求�。
D. 不正確���。應用 SCP 配置所有成員賬戶和服務將日志文件交付到集中式 Amazon S3 存儲桶����。使用 Amazon OpenSearch Service 查詢集中式 S3 存儲桶中的日志條目�。SCP 主要用于限制賬戶服務和操作,雖能配置日志交付到 S3,但未提及如何收集 AWS Marketplace 產品和本地系統日志����,且 OpenSearch Service 直接查詢 S3 日志條目操作較復雜�,無法很好滿足要求�。
技術總結
Amazon S3:可提供高持久性和可擴展性的對象存儲服務,能作為集中式存儲來存放日志文件,方便后續處理和分析���。
VPC Flow Logs:用于捕獲有關通過 VPC 中網絡接口的 IP 流量的信息���,可記錄網絡流量日志�,為分析網絡活動提供數據。
AWS CloudTrail:可記錄 AWS 賬戶中的 API 調用及相關活動�����,提供用戶操作和系統事件的審計跟蹤���,有助于了解賬戶活動情況�。
Amazon Route 53 logs:記錄與 DNS 查詢等相關的日志信息,對于分析域名解析等活動有幫助�。
AWS Glue crawlers:能自動探索數據源�,推斷數據模式�,創建元數據表,可用于解析日志文件�����,為后續查詢做準備���。
Amazon Athena:是一種交互式查詢服務����,可直接對存儲在 S3 等數據源中的數據進行查詢,無需預處理��,方便分析日志數據��。
Amazon CloudWatch Logs:可收集����、監控和分析日志數據��,支持創建日志流和訂閱過濾器�,便于對特定日志進行監控和處理�。
Amazon OpenSearch Service:提供強大的搜索和分析功能���,可對日志數據進行深入分析�,支持復雜的查詢和可視化。
Amazon Security Lake:可自動從多個來源收集安全相關數據,包括日志等�����,將其集中存儲并規范化���,便于進行安全分析和調查��。
Service Control Policies (SCPs):是 AWS Organizations 中的策略��,用于限制組織中成員賬戶可使用的 AWS 服務和操作,可用于配置日志交付相關設置。