CloudTrail 湖泊的概念和术语 - Amazon CloudTrail
事件数据存储集成查询控制面板
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CloudTrail 湖泊的概念和术语

本节介绍可帮助您使用 L Amazon CloudTrail ake 的关键概念和术语。

事件数据存储

事件被聚合到事件数据存储,是基于您通过应用高级事件选择器选择的条件的不可变的事件集合。

您可以创建事件数据存储来记录CloudTrail 管理事件和数据事件CloudTrail Insights 事件Amazon Audit Manager 证据Amazon Config 配置项目外部的事件 Amazon

高级事件选择器

高级事件选择器决定在事件数据存储中包含哪些事件。高级事件选择器通过仅记录对您来说很重要的事件来帮助您控制成本。

对于管理事件和数据事件,您可以使用高级事件选择器来筛选事件。例如,如果您要创建事件数据存储来收集管理事件,则可以筛选出 Amazon Key Management Service (Amazon KMS) 或亚马逊关系数据库服务 (Amazon RDS) 数据 API 事件。通常,诸如EncryptDecrypt、和之类的 Amazon KMS 操作GenerateDataKey会生成超过 99% 的事件。

对于 Amazon Config 配置项目、Audit Manager 证据或之外的事件 Amazon,高级事件选择器仅用于在事件数据存储中包含该类型的事件。

联合身份验证

通过联合身份验证,您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据,并使用 Amazon Athena 对事件数据运行 SQL 查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。

启用 Lake 查询联合后,将代表您 CloudTrail 创建联合资源并向注册这些资源Amazon Lake Formation。启用 Lake 联合身份验证后,您可以直接在 Athena 中查询事件数据,而无需执行任何其他步骤。有关更多信息,请参阅 联合事件数据存储

定价选项

创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关定价的信息,请参阅 Amazon CloudTrail 定价管理 CloudTrail 湖泊成本

保留期

事件数据存储的保留期决定了事件数据在事件数据存储中保存多长时间。 CloudTrail Lake 通过检查事件是否在eventTime指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,eventTime则 CloudTrail 会删除超过 90 天的事件。

默认保留期

事件数据存储的默认保留期是事件数据在事件数据存储中保留的默认天数。在事件数据存储的默认保留期内,存储包含在摄取定价中,没有额外费用。在默认保留期过后,存储定价为 pay-as-you-go。

最长保留期

事件数据存储的最长保留期代表您可以在事件数据存储中保留数据的最高天数。

终止保护

默认情况下,事件数据存储将启用终止保护,以防止事件数据存储被意外删除。要删除启用了终止保护的事件数据存储,请从事件数据存储详细信息页面的操作菜单中,选择更改终止保护。然后,您可以继续删除事件数据存储。有关更多信息,请参阅 使用控制台更改终止保护

集成

您可以使用 CloudTrail Lake 集成来记录和存储来自以下来源的用户活动数据:

  • 在外面 Amazon

  • 混合环境中的任何来源,如本地或云中托管的内部或软件即服务(SaaS)应用程序、虚拟机或容器

集成需要一个通道来传输事件,需要一个事件数据存储来接收事件。设置集成后,调用 PutAuditEventsAPI 操作将您的应用程序活动引入其中 CloudTrail。然后,您可以使用 CloudTrail Lake 来搜索、查询和分析从您的应用程序中记录的数据。有关更多信息,请参阅 与外部的事件源创建集成 Amazon

集成类型

有两种类型的集成:直接集成解决方案集成。通过直接集成,合作伙伴将调用 PutAuditEvents API 操作以将事件传输到您的 Amazon Web Services 账户的事件数据存储中。通过解决方案集成,应用程序将在您的中运行 Amazon Web Services 账户 ,应用程序会调用 PutAuditEvents API 操作将事件传送到您的 Amazon Web Services 账户事件数据存储中。

渠道

通过使用渠道将与 CloudTrail您合作的外部合作伙伴或您自己的来源的事件引入 CloudTrail Lake,从而将来自工作之外来源的活动带入 Lake。 Amazon 在创建通道时,您可以选择一个或多个事件数据存储,用于存储来自通道来源的事件。只要将目标事件数据存储设置为记录 eventCategory="ActivityAuditLog" 事件,即可根据需要更改通道的目标事件数据存储。当您为来自外部合作伙伴的活动创建通道时,您需要向合作伙伴或来源应用程序提供通道 Amazon 资源名称(ARN)。

基于资源的策略

基于资源的策略是附加到资源的 JSON 策略文档。附加到该通道的基于资源的策略允许来源通过该通道传输事件。如果通道没有资源策略,则只有通道所有者可以针对该通道调用 PutAuditEvents API 操作。有关更多信息,请参阅 Amazon CloudTrail 基于资源的策略示例

查询

La CloudTrail ke 中的@@ 查询是用 SQL 编写的。您可以在 L CloudTrail ake E ditor 选项卡上生成查询,方法是从头开始用 SQL 编写查询,或者打开已保存的查询或示例查询并对其进行编辑。您无法用更改覆盖已包含的示例查询,但可以将其另存为新查询。有关更多信息,请参阅 创建或编辑查询

CloudTrail Lake 支持所有有效的PrestoSELECT语句和函数。如需详细了解支持的 SQL 函数和运算符,请参阅 Presto 文档网站中的函数和运算符

控制面板

通过使用 CloudTrail Lake 控制面板,您可以可视化事件数据存储中的事件,并查看事件趋势,例如热门事件 Amazon Web Services、用户和错误。有关更多信息,请参阅 查看 CloudTrail 湖泊仪表板

控制面板类型

可用于事件数据存储的控制面板类型取决于事件数据存储的高级事件选择器配置。例如,如果仪表板类型显示有关 CloudTrail 管理事件的信息,则只有当当前选定的事件数据存储收集 CloudTrail 管理事件时,您才能选择该仪表板。

以下是可以的控制面板类型:

  • 概述仪表板- Amazon Web Services 按事件计数显示最活跃的用户。 Amazon Web Services 区域您还可以查看有关 readwrite 管理事件活动、最受限制的事件以及最常出现的错误的信息。此控制面板可用于收集管理事件的事件数据存储。

  • 管理事件控制面板 – 按用户显示控制台登录事件、访问被拒事件、破坏性操作和最常出现的错误。您还可以按用户查看有关 TLS 版本和过时的 TLS 调用的信息。此控制面板可用于收集管理事件的事件数据存储。

  • S3 数据事件控制面板 – 显示 Amazon S3 账户活动、访问次数最多的 S3 对象、排名靠前的 S3 用户和排名靠前的 S3 操作。此控制面板可用于收集 Amazon S3 数据事件的事件数据存储。

  • Insights 事件控制面板 - 按 Insights 类型显示 Insights 事件的总体比例、按 Insights 类型显示主要用户的服务的 Insights 事件比例以及每天的 Insights 事件数量。控制面板还包括一个小部件,可最多列出 30 天的 Insights 事件。此控制面板仅可用于收集 Insights 事件的事件数据存储。

    注意

    • 首次在源事件数据存储上启用 CloudTrail Insights 后,如果检测到异常活动,则最长可能需要 7 天 CloudTrail 才能交付第一个 Insights 事件。有关更多信息,请参阅 了解 Insights 事件传输情况

    • Insights 事件控制面板仅显示有关选定事件数据存储收集的 Insights 事件的信息,这些信息由源事件数据存储的配置决定。例如,如果您将源事件数据存储配置为在 ApiCallRateInsight 上启用 Insights 事件,而不是 ApiErrorRateInsight,则您将不会看到有关 ApiErrorRateInsight 上的 Insights 事件的信息。

小组件

小组件是构成控制面板并提供可视化效果的组件,例如折线图或条形图。每个小组件均代表一个基础查询。当您选择 “运行查询” 时,将 CloudTrail 运行系统生成的查询来填充每个小组件的数据。