使用 Amazon CloudTrail Lake - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon CloudTrail Lake

Amazon CloudTrail Lake 允许您对事件运行基于 SQL 的查询。事件被聚合到事件数据存储,这是基于您通过应用高级事件选择器所选择的标准的不可改变的事件集合。您可以在事件数据存储中保存事件数据长达七年,或 2555 天。默认情况下,事件数据将保留最长时间,即 2555 天。应用于事件数据存储的选择器用于控制哪些事件持续存在并可供您查询。CloudTrail Lake 是一种审计解决方案,可以补充您的合规性堆栈,并帮助您进行实时故障排除。

相比事件历史记录中的简单密钥和值查询或者运行 LookupEvents,CloudTrail Lake 查询提供更深入、更可自定义的事件视图。事件历史记录搜索限于单个 Amazon 账户,仅返回来自单个区域的事件,无法查询多个属性。相比之下,CloudTrail Lake 用户可以在 CloudTrail 事件中跨多个字段运行复杂的标准查询语言(SQL)查询。CloudTrail Lake 可以将企业中的信息聚合到单个可搜索的事件数据存储中,然后一次跨所有区域进行搜索。有关支持的 SQL 运算符的完整列表,请参阅 CloudTrail Lake SQL 限制

您可以保存 Lake 查询以供将来使用,并查看最多七天的查询结果。CloudTrail Lake 还可以将 Amazon Organizations 中企业的事件存储在事件数据存储中,包括存储来自多个区域和账户的事件。

尽管 CloudTrail 不支持基于跟踪记录标签的授权,但是您可以通过使用基于标签的授权来控制对事件数据存储操作的访问权限。有关更多信息和示例,请参阅本指南中的示例:拒绝基于标签创建或删除事件数据存储的访问权限

CloudTrail Lake 事件数据存储和查询会产生 CloudTrail 费用。有关 CloudTrail Lake 定价的更多信息,请参阅 Amazon CloudTrail 定价