AWS CloudTrail Nedir? Yeni Başlayanlar İçin Kapsamlı Rehber

<div class="toc"> <h3>İçindekiler</h3> <ul> <li><a href="#cloudtrail-nedir">CloudTrail Nedir?</a></li> <li><a href="#nasil-calisir">Nasıl Çalışır?</a></li> <li><a href="#olay-turleri">Olay Türleri</a></li> <li><a href="#event-history-vs-trails">Event History ve Trails Arasındaki Fark</a></li> <li><a href="#pratik-ornek">Pratik Örnek: Bir Olayı İnceleme</a></li> <li><a href="#fiyatlandirma">Fiyatlandırma</a></li> <li><a href="#sss">Sıkça Sorulan Sorular (SSS)</a></li> </ul> </div> <h2 id="cloudtrail-nedir">CloudTrail Nedir?</h2> <p>AWS CloudTrail, AWS hesabınız için bir güvenlik kamerası (CCTV) gibi çalışır. Arka planda sessizce çalışır ve tüm API çağrılarını ve kullanıcı aktivitelerini kaydeder. Kimin, ne zaman, hangi kaynağa eriştiğini detaylı bir şekilde görebilmenizi sağlar.</p> <h2 id="nasil-calisir">Nasıl Çalışır?</h2> <p>CloudTrail'in çalışma mantığı oldukça basittir:</p> <ol> <li><strong>Kayıt:</strong> Hesabınızda yapılan her API çağrısını (konsol, CLI veya SDK aracılığıyla) yakalar.</li> <li><strong>Depolama:</strong> Bu kayıtları (logları) belirlediğiniz bir S3 bucket'ına veya CloudWatch Logs'a gönderir.</li> <li><strong>Entegrasyon:</strong> CloudWatch Events veya EventBridge ile entegre olarak belirli olaylara (örneğin "root kullanıcısı giriş yaptı") otomatik tepkiler verebilir.</li> </ol> <h2 id="olay-turleri">Olay Türleri</h2> <p>CloudTrail olayları (events) üç ana kategoriye ayrılır:</p> <h3 id="yonetim-olaylari">1. Yönetim Olayları (Management Events)</h3> <p>Kontrol düzlemi (control plane) işlemleridir. Örneğin:</p> <ul> <li>Bir EC2 instance başlatmak (<code>RunInstances</code>)</li> <li>Bir S3 bucket oluşturmak (<code>CreateBucket</code>)</li> <li>IAM kullanıcısı oluşturmak</li> </ul> <p>Bu olaylar varsayılan olarak kaydedilir ve ilk iz (trail) için ücretsizdir.</p> <h3 id="veri-olaylari">2. Veri Olayları (Data Events)</h3> <p>Veri düzlemi (data plane) işlemleridir. Kaynakların içindeki verilere erişimi kapsar. Örneğin:</p> <ul> <li>S3 bucket içindeki bir dosyayı okumak (<code>GetObject</code>)</li> <li>Lambda fonksiyonunu çağırmak (<code>Invoke</code>)</li> </ul> <p>Bu olaylar çok yüksek hacimli olabilir, varsayılan olarak kapalıdır ve ek ücrete tabidir.</p> <h3 id="icgoru-olaylari">3. İçgörü Olayları (Insights Events)</h3> <p>Anormallikleri tespit etmek içindir. Örneğin, normalde dakikada 5 kez yapılan bir API çağrısı aniden 500 kere yapılırsa, CloudTrail Insights bunu bir anormallik olarak kaydeder.</p> <h2 id="event-history-vs-trails">Event History ve Trails Arasındaki Fark</h2> <p>Yeni başlayanların en çok karıştırdığı iki kavram:</p> <ul> <li><strong>Event History:</strong> Son 90 günlük yönetim olaylarını ücretsiz olarak görüntüleyebileceğiniz, varsayılan olarak açık olan bir penceredir. Sadece görüntüleme ve basit filtreleme yapabilirsiniz.</li> <li><strong>Trail (İz):</strong> Olayları 90 günden daha uzun süre saklamak, S3'e arşivlemek, CloudWatch ile analiz etmek veya Veri Olaylarını da yakalamak istiyorsanız bir "Trail" oluşturmanız gerekir.</li> </ul> <h2 id="pratik-ornek">Pratik Örnek: Bir Olayı İnceleme</h2> <p>Aşağıda, bir kullanıcının AWS konsoluna giriş yapmasıyla oluşan tipik bir CloudTrail yönetim olayı (Management Event) örneği bulunmaktadır:</p> <pre><code class="language-json"> { "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDAEXAMPLE", "arn": "arn:aws:iam::123456789012:user/ornek-kullanici", "accountId": "123456789012", "userName": "ornek-kullanici" }, "eventTime": "2024-05-15T10:00:00Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.0", "userAgent": "Mozilla/5.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" } } </code></pre> <p>Bu log sayesinde kimin (<code>userName</code>), ne zaman (<code>eventTime</code>), hangi IP adresinden (<code>sourceIPAddress</code>) giriş yaptığını görebilirsiniz.</p> <h2 id="fiyatlandirma">Fiyatlandırma</h2> <p>CloudTrail fiyatlandırması şöyledir:</p> <ul> <li><strong>Yönetim Olayları:</strong> İlk trail kopyası ücretsizdir. Ek kopyalar ücretlidir.</li> <li><strong>Veri Olayları:</strong> İşlenen 100.000 olay başına ücretlendirilir.</li> <li><strong>Insights Olayları:</strong> Analiz edilen olay sayısına göre ücretlendirilir.</li> </ul> <h2 id="sss">Sıkça Sorulan Sorular (SSS)</h2> <div class="faq-section"> <h3>CloudTrail loglarını ne kadar süre saklayabilirim?</h3> <p>Event History'de 90 gün. Ancak bir Trail oluşturup S3'e gönderirseniz, S3 yaşam döngüsü kurallarına göre (örneğin Glacier'a taşıyarak) yıllarca saklayabilirsiniz.</p> <h3>CloudTrail performansı etkiler mi?</h3> <p>Hayır, CloudTrail asenkron çalışır ve uygulamalarınızın performansını (latency) etkilemez.</p> <h3>Hangi olaylar kaydedilmez?</h3> <p>Bazı yüksek hacimli veya hassas servislerin (örneğin bazı CloudWatch metrikleri veya STS çağrıları) tüm detayları kaydedilmeyebilir. Detaylar için <a href="https://docs.aws.amazon.com/cloudtrail/">AWS dokümantasyonunu</a> inceleyin.</p> </div> <p>Daha fazla bilgi için <a href="/tech/aws-consultancy">AWS Danışmanlık</a> hizmetlerimizi veya <a href="/tech/kubernetes-consultancy">Kubernetes Danışmanlık</a> çözümlerimizi inceleyebilirsiniz. Ayrıca ana sayfamızdan <a href="/">DevOpsN</a> hakkındaki tüm gelişmeleri takip edebilirsiniz.</p> <p><em>Kaynak / Source: https://awsfundamentals.com/blog/aws-cloudtrail-introduction</em></p>