使用 Amazon CloudTrail Lake - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon CloudTrail Lake

Amazon CloudTrail Lake 允许您对事件运行基于 SQL 的查询。CloudTrailLake 将基于行的 JSON 格式的现有事件转换为 Apache ORC 格式。ORC 是一种针对快速检索数据进行优化的列式存储格式。事件被聚合到事件数据存储,是基于您通过应用高级事件选择器选择的条件的不可变的事件集合。您可以将事件数据保存在事件数据存储中长达七年,即 2557 天。默认情况下,事件数据将保留最长期限,即 2557 天。应用于事件数据存储的选择器用于控制哪些事件持续存在并可供您查询。CloudTrailLake 是一种审计解决方案,可以补充您的合规堆栈,并帮助您进行近乎实时的故障排除。

您可以使用 La CloudTrail ke 集成来记录和存储来自混合环境中任何来源的Amazon用户活动数据,例如本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器。在 L CloudTrail ake 中创建事件数据存储并创建用于记录活动事件的频道后,您可以调用 PutAuditEvents API 将应用程序活动纳入其中CloudTrail。然后,您可以使用 CloudTrail Lake 搜索、查询和分析从您的应用程序记录的数据。

集成还可以将来自十几个CloudTrail合作伙伴的事件记录到您的事件数据存储中。在合作伙伴集成中,您可以创建目标事件数据存储、通道和资源策略。在您创建集成后,即可向合作伙伴提供通道 ARN。有两种类型的集成:直接集成和解决方案集成。通过直接集成,合作伙伴将调用 PutAuditEvents API 以将事件传送到您的 Amazon 账户的事件数据存储中。通过解决方案集成,应用程序将在您的 Amazon 账户中运行,并且它将调用 PutAuditEvents API 将事件传送到您的 Amazon 账户的事件数据存储中。

在创建事件数据存储时,您可以选择要包括在事件数据存储中的事件的类型。您可以创建事件数据存储以包含外部CloudTrail事件、Amazon Config配置项目、Amazon Audit Manager证据或事件Amazon。每个事件数据存储只能包含一个特定事件类别(例如,Amazon Config 配置项目),因为事件架构对于事件类别是唯一的。您可以使用受支持的 SQL JOIN 关键字跨多个事件数据存储运行 SQL 查询。有关跨多个事件数据存储运行查询的信息,请参阅 高级多表查询支持

CloudTrail与事件历史记录或运行LookupEvents中简单的键和值查找相比,Lake 查询提供了更深入、更可自定义的事件视图。Event history(事件历史记录)搜索限于单个 Amazon Web Services 账户 账户,仅返回来自单个 Amazon Web Services 区域 的事件,无法查询多个属性。相比之下,L CloudTrail ake 用户可以在多个事件字段中运行复杂的标准查询语言 (SQL) 查询。CloudTrailLake 支持所有有效的 Presto SELECT 语句和函数。有关支持的 SQL 函数和运算符的更多信息,请参阅 Presto 0.280 文档网站上的函数和运算符

您可以保存 CloudTrail Lake 查询以备将来使用,并查看最多七天的查询结果。运行查询时,您可以将查询结果保存到 Amazon S3 存储桶。CloudTrailLake 还可以将来自组织的事件存储Amazon Organizations在事件数据存储中,包括来自多个区域和账户的事件。

您可以使用 CloudTrail Lake 仪表板对事件数据存储中的数据进行可视化。每个仪表板由多个小部件组成,每个小部件代表一个 SQL 查询。有关 Lake 仪表板的更多信息,请参阅查看 Lake 面板

CloudTrail不支持基于跟踪标签的授权。但您可以通过使用基于标签的授权来控制对事件数据存储的操作的访问。有关更多信息和示例,请参阅本指南中的示例:拒绝基于标签创建或删除事件数据存储的访问权限

默认情况下,事件数据存储中的所有事件均由加密CloudTrail。在配置事件数据存储时,您可以选择使用自己的 Amazon Key Management Service 密钥。使用您自己的 KMS 密钥将产生用于加密和解密的 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。

CloudTrailLake 事件数据存储在载入事件和运行查询时会产生费用。对于包含CloudTrail事件(数据和管理事件)或Amazon Config配置项目的事件数据存储,您可以选择是否希望事件数据存储在创建事件数据存储时开始接收事件,也可以随时停止提取。有关 CloudTrail Lake 定价的更多信息,请参阅Amazon CloudTrail定价

CloudTrailLake 支持 Amazon CloudWatch 指标,您可以使用这些指标来查看有关在过去一小时及其保留期内从您的事件数据存储中摄入的数据量的信息。有关支持的CloudWatch指标的更多信息,请参阅支持的 CloudWatch 指标

注意

CloudTrail通常在 API 调用后的平均大约 5 分钟内传送事件。此时间并不能得到保证。