2025年AWS认证CloudWatch日志在安全审计中的应用专题试卷及解析.pdfVIP

2025年AWS认证CLOUDWATCH日志在安全审计中的应用专题试卷及解析1

2025年AWS认证CloudWatch日志在安全审计中的应

用专题试卷及解析

2025年AWS认证CloudWatch日志在安全审计中的应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在进行AWS安全审计时，以下哪项是CloudWatchLogs最核心的功能？

A、实时监控EC2实例CPU使用率

B、存储和查询来自AWS服务的日志数据

C、自动创建EC2实例的AMI备份

D、管理IAM用户的密码策略

【答案】B

【解析】正确答案是B。CloudWatchLogs的核心功能是集中存储、监控和访问来

自AWS服务及应用程序的日志数据，这是安全审计的基础。选项A是CloudWatch

Metrics的功能；选项C是AMI的功能；选项D是IAM的功能。知识点：CloudWatch

Logs基础功能。易错点：容易将CloudWatchLogs与CloudWatchMetrics的功能混淆。

2、安全团队需要检测API调用中是否存在异常的Root账户活动，最适合的Cloud-

WatchLogs来源是？

A、VPCFlowLogs

B、CloudTrailLogs

C、ApplicationLogs

D、AWSConfigLogs

【答案】B

【解析】正确答案是B。CloudTrail专门记录AWSAPI调用历史，包括Root账户

的所有操作，是审计账户活动的主要数据源。选项A记录网络流量；选项C是应用程

序自定义日志；选项D记录资源配置变更历史。知识点：CloudTrail在安全审计中的

作用。易错点：可能误选ConfigLogs，因为它也记录变更，但不包含API调用细节。

3、为了自动检测CloudWatchLogs中的安全威胁，应该使用以下哪个服务？

A、AWSLambda

B、AmazonGuardDuty

C、AWSKMS

D、AWSWAF

【答案】B

【解析】正确答案是B。GuardDuty可以分析CloudTrailLogs和VPCFlowLogs

等数据源，自动检测恶意活动。选项A需要自行编写检测逻辑；选项C用于加密；选项

2025年AWS认证CLOUDWATCH日志在安全审计中的应用专题试卷及解析2

D用于Web应用防护。知识点：GuardDuty与日志的集成。易错点：可能认为Lambda

是唯一自动化方式，但GuardDuty提供开箱即用的威胁检测。

4、CloudWatchLogsInsights中用于统计特定IP访问次数的查询语法是？

A、statscount()bysourceIP

B、filtersourceIP=“192.168.1.1”

C、sort@timestampdesc

D、display@message

【答案】A

【解析】正确答案是A。statscount()bysourceIP是聚合统计的标准语法。选项B

用于过滤；选项C用于排序；选项D用于显示字段。知识点：CloudWatchLogsInsights

查询语法。易错点：容易混淆聚合函数(stats)和过滤函数(filter)的用法。

5、当需要长期保存安全审计日志以满足合规要求时，应该配置？

A、实时日志流

B、日志数据加密

C、日志归档到S3Glacier

D、设置日志保留期限为永久

【答案】C

【解析】正确答案是C。S3Glacier提供低成本的长期存储方案，适合合规归档。选

项A是实时传输；选项B是安全措施；选项D虽然可行但成本较高。知识点：日志生

命周期管理。易错点：可能忽略成本因素而选择永久保留。

6、CloudWatchLogs的哪个特性最适合检测异常登录模式？

A、Met