CloudTrail Lake 概念和术语
本部分介绍了可以帮助您使用 Amazon CloudTrail Lake 的关键概念和术语。
事件数据存储
事件被聚合到事件数据存储,是基于您通过应用高级事件选择器选择的条件的不可变的事件集合。
您可以创建事件数据存储以记录 CloudTrail 事件(管理事件、数据事件或网络活动事件)、CloudTrail Insights 事件、Amazon Audit Manager 证据、Amazon Config 配置项或 Amazon 之外的事件。
注意
网络活动事件是 CloudTrail 的预览版,可能会发生变化。
- 高级事件选择器
-
高级事件选择器决定在事件数据存储中包含哪些事件。高级事件选择器通过仅记录对您来说很重要的事件来帮助您控制成本。
对于管理事件、数据事件和网络活动事件,您可以使用高级事件选择器来筛选事件。例如,如果您正在创建事件数据存储来收集管理事件,则可以筛选出 Amazon Key Management Service(Amazon KMS)或 Amazon Relational Database Service(Amazon RDS)数据 API 事件。通常,诸如
Encrypt
、Decrypt
和GenerateDataKey
之类的 Amazon KMS 操作会生成超过 99% 的事件。对于 Amazon Config 配置项目、Audit Manager 证据或 Amazon 以外的事件,高级事件选择器仅用于在事件数据存储中包含该类型的事件。
- 联合身份验证
-
通过联合身份验证,您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据,并使用 Amazon Athena 对事件数据运行 SQL 查询。通过存储在 Amazon Glue 数据目录中的表元数据,Athena 查询引擎可以了解如何查找、读取和处理您要查询的数据。
当您启用 Lake 查询联合身份验证时,CloudTrail 会代表您创建联合资源并向 Amazon Lake Formation 注册这些资源。启用 Lake 联合身份验证后,您可以直接在 Athena 中查询事件数据,而无需执行任何其他步骤。有关更多信息,请参阅 联合事件数据存储。
- 定价选项
-
创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关定价的信息,请参阅 Amazon CloudTrail 定价
和管理 CloudTrail Lake 成本。 - 保留期
-
事件数据存储的保留期决定了事件数据在事件数据存储中保留的时长。CloudTrail Lake 通过检查事件的
eventTime
是否在指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,CloudTrail 将移除eventTime
超过 90 天的事件。 - 默认保留期
-
事件数据存储的默认保留期是事件数据在事件数据存储中保留的默认天数。在事件数据存储的默认保留期内,存储包含在摄取定价中,没有额外费用。在默认保留期之后,存储定价为按实际使用量付费。
- 最长保留期
-
事件数据存储的最长保留期代表您可以在事件数据存储中保留数据的最高天数。
- 终止保护
-
默认情况下,事件数据存储将启用终止保护,以防止事件数据存储被意外删除。要删除启用了终止保护的事件数据存储,请从事件数据存储详细信息页面的操作菜单中,选择更改终止保护。然后,您可以继续删除事件数据存储。有关更多信息,请参阅 使用控制台更改终止保护。
集成
您可以使用 CloudTrail Lake 集成来记录和存储来自以下源的用户活动数据:
-
在 Amazon 之外
-
混合环境中的任何来源,如本地或云中托管的内部或软件即服务(SaaS)应用程序、虚拟机或容器
集成需要一个通道来传输事件,需要一个事件数据存储来接收事件。设置集成后,调用 PutAuditEvents 操作以将您的应用程序活动摄取到 CloudTrail 中。然后,您可以使用 CloudTrail Lake 搜索、查询和分析您的应用程序中记录的数据。有关更多信息,请参阅 创建与 Amazon 外部事件源的集成。
- 集成类型
-
有两种类型的集成:直接集成和解决方案集成。通过直接集成,合作伙伴将调用
PutAuditEvents
API 操作以将事件传输到您的 Amazon Web Services 账户 的事件数据存储中。通过解决方案集成,应用程序将在您的 Amazon Web Services 账户 中运行,并且它将调用PutAuditEvents
API 操作将事件传输到您的 Amazon Web Services 账户 的事件数据存储中。 - 渠道
-
来自非 Amazon 来源的活动事件通过使用通道,将来自与 CloudTrail 配合使用的外部合作伙伴或您自己的来源的事件引入 CloudTrail Lake。在创建通道时,您可以选择一个或多个事件数据存储,用于存储来自通道来源的事件。只要将目标事件数据存储设置为记录
eventCategory="ActivityAuditLog"
事件,即可根据需要更改通道的目标事件数据存储。当您为来自外部合作伙伴的活动创建通道时,您需要向合作伙伴或来源应用程序提供通道 Amazon 资源名称(ARN)。 - 基于资源的策略
-
基于资源的策略是附加到资源的 JSON 策略文档。附加到该通道的基于资源的策略允许来源通过该通道传输事件。如果通道没有资源策略,则只有通道所有者可以针对该通道调用
PutAuditEvents
API 操作。有关更多信息,请参阅 Amazon CloudTrail 基于资源的策略示例。
查询
注意
推出适用于 CloudTrail Lake 查询的预览版功能,该功能使用生成式人工智能(生成式 AI)功能从英语提示中生成 SQL 查询。有关更多信息,请参阅 根据英语提示创建 CloudTrail Lake 查询。
CloudTrail Lake 中的查询采用 SQL 编写。您可以在 CloudTrail Lake Editor(编辑器)选项卡上构建查询,方法是从头开始用 SQL 编写查询,或者打开已保存的查询或示例查询并对其进行编辑。您无法用更改覆盖已包含的示例查询,但可以将其另存为新查询。有关更多信息,请参阅 使用 CloudTrail 控制台创建或编辑查询。
CloudTrail Lake 支持所有有效的 Presto SELECT
语句和函数。如需详细了解支持的 SQL 函数和运算符,请参阅 Presto 文档网站中的函数和运算符
控制面板
通过使用 CloudTrail Lake 控制面板,您可以可视化事件数据存储中的事件,并查看事件趋势,例如排名靠前的 Amazon Web Services 服务、用户和最常出现的错误。有关更多信息,请参阅 使用 CloudTrail 控制台查看 CloudTrail Lake 控制面板。
- 控制面板类型
-
可用于事件数据存储的控制面板类型取决于事件数据存储的高级事件选择器配置。例如,如果控制面板类型显示有关 CloudTrail 管理事件的信息,则只有当当前选定的事件数据存储收集了 CloudTrail 管理事件时,您才能选择控制面板。
以下是可以的控制面板类型:
-
概览控制面板 – 按事件计数显示最活跃的用户、Amazon Web Services 区域 和 Amazon Web Services 服务。您还可以查看有关
read
和write
管理事件活动、最受限制的事件以及最常出现的错误的信息。此控制面板可用于收集管理事件的事件数据存储。 -
管理事件控制面板 – 按用户显示控制台登录事件、访问被拒事件、破坏性操作和最常出现的错误。您还可以按用户查看有关 TLS 版本和过时的 TLS 调用的信息。此控制面板可用于收集管理事件的事件数据存储。
-
S3 数据事件控制面板 – 显示 Amazon S3 账户活动、访问次数最多的 S3 对象、排名靠前的 S3 用户和排名靠前的 S3 操作。此控制面板可用于收集 Amazon S3 数据事件的事件数据存储。
-
Insights 事件控制面板 - 按 Insights 类型显示 Insights 事件的总体比例、按 Insights 类型显示主要用户的服务的 Insights 事件比例以及每天的 Insights 事件数量。控制面板还包括一个小部件,可最多列出 30 天的 Insights 事件。此控制面板仅可用于收集 Insights 事件的事件数据存储。
注意
-
首次对源事件数据存储启用 CloudTrail Insights 后,如果检测到异常活动,则 CloudTrail 供传递第一个 Insights 事件可能需要最长 7 天。有关更多信息,请参阅 了解 Insights 事件传输情况。
-
Insights 事件控制面板仅显示有关选定事件数据存储收集的 Insights 事件的信息,这些信息由源事件数据存储的配置决定。例如,如果您将源事件数据存储配置为在
ApiCallRateInsight
上启用 Insights 事件,而不是ApiErrorRateInsight
,则您将不会看到有关ApiErrorRateInsight
上的 Insights 事件的信息。
-
-
- 小组件
-
小组件是构成控制面板并提供可视化效果的组件,例如折线图或条形图。每个小组件均代表一个基础查询。当您选择运行查询时,CloudTrail 会运行系统生成的查询来填充每个小组件的数据。