使用 Amazon CloudTrail Lake - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon CloudTrail Lake

Amazon CloudTrailLake 允许你对自己的事件运行基于 SQL 的查询。 CloudTrail Lake 将基于行的 JSON 格式的现有事件转换为 Apache ORC 格式。ORC 是一种针对快速检索数据进行优化的列式存储格式。事件被聚合到事件数据存储,是基于您通过应用高级事件选择器选择的条件的不可变的事件集合。如果您选择一年可延期保留定价选项,则可以将事件数据在事件数据存储中最多保留 3653 天(大约 10 年);如果您选择七年保留定价选项,则最多可以保留 2557 天(大约 7 年)。您应用于事件数据存储的选择器控制哪些事件会持续存在并可供您查询。 CloudTrail Lake 是一种审计解决方案,可以补充您的合规堆栈,并帮助您进行近乎实时的故障排除。

CloudTrail 湖泊事件数据存储

在创建事件数据存储时,您可以选择要包括在事件数据存储中的事件的类型。您可以创建事件数据存储以包含来自外部CloudTrail 的事件、CloudTrail Insights 事件、Amazon Config配置项目、Amazon Audit Manager证据或事件Amazon。每个事件数据存储只能包含一个特定事件类别(例如,Amazon Config 配置项目),因为事件架构对于事件类别是唯一的。不变可以将 Amazon Organizations 中组织的事件存储在组织事件数据存储中,包括存储来自多个区域和账户的事件。您还可以使用受支持的 SQL JOIN 关键字跨多个事件数据存储运行 SQL 查询。有关跨多个事件数据存储运行查询的信息,请参阅 高级多表查询支持

您可以将跟踪事件复制到新的或现有的事件数据存储中,以创建记录到跟踪的事件的 point-in-time 快照。有关更多信息,请参阅 将跟踪事件复制到事件数据存储

您可以联合事件数据存储以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据,并使用 Amazon Athena 对事件数据运行 SQL 查询。通过存储在 Amazon Glue 数据目录中的表元数据,Athena 查询引擎可以了解如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储

默认情况下,事件数据存储中的所有事件都由加密 CloudTrail。在配置事件数据存储时,您可以选择使用自己的 Amazon Key Management Service 密钥。使用您自己的 KMS 密钥将产生用于加密和解密的 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。

您可以通过使用基于标签的授权来控制对事件数据存储的操作的访问。有关更多信息和示例,请参阅本指南中的示例:拒绝基于标签创建或删除事件数据存储的访问权限

您可以使用 CloudTrail Lake 仪表板对事件数据存储中的数据进行可视化。每个控制面板由多个小组件组成,每个小组件代表一个 SQL 查询。有关 Lake 控制面板的更多信息,请参阅 查看 Lake 控制面板

CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅Amazon CloudTrail定价管理 CloudTrail 湖泊成本

CloudTrail Lake 支持 Amazon CloudWatch 指标,这些指标提供有关摄取的数据和存储字节的信息。有关支持的 CloudWatch 指标的更多信息,请参阅支持的 CloudWatch 指标

注意

CloudTrail 通常在 API 调用后平均大约 5 分钟内传送事件。此时间并不能得到保证。

CloudTrail 湖泊整合

您可以使用 La CloudTrail ke 集成来记录和存储来自外部的用户活动数据Amazon;这些数据来自混合环境中的任何来源,例如本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器。在 CloudTrail Lake 中创建事件数据存储并创建用于记录活动事件的通道后,您可以调用 PutAuditEvents API 将您的应用程序活动引入其中 CloudTrail。然后,您可以使用 CloudTrail Lake 来搜索、查询和分析从您的应用程序中记录的数据。

集成还可以将来自十几个 CloudTrail合作伙伴的事件记录到您的事件数据存储中。在合作伙伴集成中,您可以创建目标事件数据存储、通道和资源策略。在您创建集成后,即可向合作伙伴提供通道 ARN。有两种类型的集成:直接集成和解决方案集成。通过直接集成,合作伙伴将调用 PutAuditEvents API 以将事件传送到您的 Amazon 账户的事件数据存储中。通过解决方案集成,应用程序将在您的 Amazon 账户中运行,并且它将调用 PutAuditEvents API 将事件传送到您的 Amazon 账户的事件数据存储中。

有关集成的更多信息,请参阅创建与 Amazon 外部事件源的集成

CloudTrail 湖泊查询

CloudTrail 与事件历史记录或运行LookupEvents中的简单键和值查找相比,Lake 查询提供了更深入、更可自定义的事件视图。Event history(事件历史记录)搜索限于单个 Amazon Web Services 账户 账户,仅返回来自单个 Amazon Web Services 区域 的事件,无法查询多个属性。相比之下,L CloudTrail ake 用户可以跨多个事件字段运行复杂的 SQL 查询。 CloudTrail Lake 支持所有有效的 Presto SELECT 语句和函数。如需详细了解支持的 SQL 函数和运算符,请参阅 Presto 文档网站中的函数和运算符

您可以保存 CloudTrail Lake 查询以备将来使用,还可以查看查询结果长达七天。运行查询时,您可以将查询结果保存到 Amazon S3 存储桶。

CloudTrail 控制台提供了许多示例查询,可以帮助您开始编写自己的查询。有关更多信息,请参阅 查看 CloudTrail 控制台中的示例查询

CloudTrail 湖泊查询会产生费用。在 Lake 中运行查询时,您需要按扫描的数据量付费。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅Amazon CloudTrail定价管理 CloudTrail 湖泊成本