本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与 L Amazon CloudTrail ake 合作
Amazon CloudTrail Lake 允许你对自己的事件运行基于 SQL 的查询。 CloudTrail Lake 将基于行的 JSON 格式的现有事件转换为 Apache ORC
CloudTrail 湖泊事件数据存储
在创建事件数据存储时,您可以选择要包括在事件数据存储中的事件的类型。您可以创建事件数据存储以包含CloudTrail 事件(管理事件、数据事件、网络活动事件)、CloudTrail Insights 事件、Amazon Config 配置项目、Amazon Audit Manager 证据或来自外部的事件 Amazon。每个事件数据存储只能包含一个特定的事件类别(例如, Amazon Config 配置项目),因为事件架构对于事件类别是唯一的。您可以将来自组织的事件存储 Amazon Organizations 在组织事件数据存储中,包括来自多个区域和账户的事件。您还可以使用受支持的 SQL JOIN 关键字跨多个事件数据存储运行 SQL 查询。有关跨多个事件数据存储运行查询的信息,请参阅高级多表查询支持。
您可以将跟踪事件复制到新的或现有的事件数据存储中,以创建记录到跟踪的事件的 point-in-time快照。有关更多信息,请参阅 将跟踪事件复制到事件数据存储。
您可以联合事件数据存储以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据,并使用 Amazon Athena 对事件数据运行 SQL 查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储。
您可以将基于资源的策略附加到事件数据存储中,为选定的委托人提供跨账户访问权限。您可以在 CloudTrail控制台上创建或更新事件数据存储时或通过运行 Amazon CLI put-resource-policy命令来添加基于资源的策略。有关更多信息,请参阅 事件数据存储的基于资源的策略示例。
默认情况下,事件数据存储中的所有事件都由加密 CloudTrail。配置事件数据存储时,可以选择使用自己的 Amazon Key Management Service 密钥。使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。
您可以通过使用基于标签的授权来控制对事件数据存储的操作的访问。有关更多信息和示例,请参阅本指南中的示例:拒绝基于标签创建或删除事件数据存储的访问权限。
CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅Amazon CloudTrail 定价
CloudTrail Lake 支持 Amazon CloudWatch 指标,这些指标提供有关摄取的数据和存储字节的信息。有关支持的 CloudWatch 指标的更多信息,请参阅支持的 CloudWatch 指标。
注意
CloudTrail 通常在 API 调用后平均大约 5 分钟内传送事件。此时间并不能得到保证。
CloudTrail 湖泊查询
CloudTrail 与事件历史记录或运行LookupEvents中的简单键和值查找相比,Lake 查询提供了更深入、更可自定义的事件视图。一次事件历史搜索仅限于单个事件 Amazon Web Services 账户,只能返回单个事件中的事件 Amazon Web Services 区域,并且不能查询多个属性。相比之下,L CloudTrail ake 用户可以跨多个事件字段运行复杂的 SQL 查询。 CloudTrail Lake 支持所有有效的 Presto SELECT 语句和函数。如需详细了解支持的 SQL 函数和运算符,请参阅 Presto 文档网站中的函数和运算符
您可以在 L CloudTrail ake E ditor 选项卡上生成查询,方法是从头开始用 SQL 编写查询,打开已保存的查询或示例查询并对其进行编辑,或者使用查询生成器根据英语提示生成查询。有关更多信息,请参阅使用 CloudTrail 控制台创建或编辑查询 和根据自然语言提示创建 CloudTrail Lake 查询。
您可以保存 CloudTrail Lake 查询以备将来使用,还可以查看查询结果长达七天。运行查询时,您可以将查询结果保存到 Amazon S3 存储桶。
CloudTrail 控制台提供了许多示例查询,可以帮助您开始编写自己的查询。有关更多信息,请参阅 使用 CloudTrail 控制台查看示例查询。
CloudTrail 湖泊查询会产生费用。在 Lake 中运行查询时,您需要按扫描的数据量付费。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅Amazon CloudTrail 定价
CloudTrail 湖泊仪表板
您可以使用 CloudTrail Lake 控制面板查看账户中事件数据存储的事件趋势。 CloudTrail Lake 提供以下类型的仪表板:
-
托管仪表板-您可以查看托管仪表板,以查看收集管理事件、数据事件或 Insights 事件的事件数据存储的事件趋势。这些仪表板将自动提供给您,并由 CloudTrail Lake 管理。 CloudTrail 提供 14 个托管仪表板供您选择。您可以手动刷新托管仪表板。您无法修改、添加或删除这些仪表板的小组件,但是,如果您要修改微件或设置刷新计划,则可以将托管仪表板另存为自定义仪表板。
-
自定义仪表板-自定义仪表板允许您查询任何事件数据存储类型的事件。您最多可以向自定义仪表板添加 10 个微件。您可以手动刷新自定义仪表板,也可以设置刷新计划。
-
亮点仪表板 — 启用 “亮点” 仪表板可查看您账户中事件数据存储所收集的 Amazon 活动 at-a-glance概览。Highlights 控制面板由您管理 CloudTrail 并包含与您的账户相关的小部件。精彩集锦仪表板上显示的小工具对每个账户来说都是独一无二的。这些小部件可能会显示检测到的异常活动或异常。例如,您的 Highlights 控制面板可能包含跨账户访问权限总额小工具,它会显示异常跨账户活动是否有所增加。 CloudTrail 每 6 小时更新一次 “亮点” 控制面板。控制面板显示自上次更新以来的最近 24 小时的数据。
每个仪表板由一个或多个小组件组成,每个小组件代表一个 SQL 查询。
有关更多信息,请参阅 CloudTrail 湖泊仪表板。
CloudTrail 湖泊整合
您可以使用 La CloudTrail ke 集成来记录和存储来自外部的用户活动数据 Amazon;这些数据来自混合环境中的任何来源,例如本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器。在 CloudTrail Lake 中创建事件数据存储并创建用于记录活动事件的通道后,您可以调用 PutAuditEvents API 将您的应用程序活动引入其中 CloudTrail。然后,您可以使用 CloudTrail Lake 来搜索、查询和分析从您的应用程序中记录的数据。
集成还可以将来自十几个 CloudTrail合作伙伴的事件记录到您的事件数据存储中。在合作伙伴集成中,您可以创建目标事件数据存储、通道和资源策略。在您创建集成后,即可向合作伙伴提供通道 ARN。有两种类型的集成:直接集成和解决方案集成。通过直接集成,合作伙伴可以调用 PutAuditEvents API 将事件传送到您 Amazon 账户的事件数据存储。通过解决方案集成,应用程序将在您的 Amazon 账户中运行,应用程序会调用 PutAuditEvents API 将事件传送到您 Amazon 账户的事件数据存储。
有关集成的更多信息,请参阅与外部的事件源创建集成。 Amazon
其他资源
以下资源可以帮助您更好地了解 CloudTrail Lake 是什么以及如何使用它。
使用 L CloudTrail ake 实现审计日志管理现代化
(YouTube 视频) 记录来自 Amazon CloudTrail 湖中非Amazon 来源的活动事件
(YouTube 视频) 使用 La Amazon CloudTrail ke 和 Amazon Athen YouTube a 分析活动日志
(视频) 查看员工和客户身份的活动日志
(Amazon 博客) 使用 L Amazon CloudTrail ake 识别到 Amazon 服务终端节点的较旧 TLS 连接
(Amazon 博客) Arcti@@ c Wolf 如何使用 Amazon CloudTrail Lake 来简化安全和运营
(Amazon 博客)