使用 Amazon CloudTrail Lake - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon CloudTrail Lake

Amazon CloudTrail Lake 允许您对事件运行基于 SQL 的查询。CloudTrail Lake 可将基于行的 JSON 格式的现有事件转换为 Apache ORC 格式。ORC 是一种针对快速检索数据进行优化的列式存储格式。事件被聚合到事件数据存储,是基于您通过应用高级事件选择器选择的条件的不可变的事件集合。您可以将事件数据保存在事件数据存储中长达七年,即 2557 天。默认情况下,事件数据将保留最长期限,即 2557 天。应用于事件数据存储的选择器用于控制哪些事件持续存在并可供您查询。CloudTrail Lake 是一种审计解决方案,可以补充您的合规性堆栈,并帮助您进行近乎实时的故障排除。

在创建事件数据存储时,您可以选择要包含在事件数据存储中的 Amazon 事件的类别。您可以创建事件数据存储,以包含 CloudTrail 事件或 Amazon Config 配置项目。每个事件数据存储只能包含一个事件类别(例如,Amazon Config 配置项目),因为每个事件类别的事件架构都是唯一的。您可以使用受支持的 SQL JOIN 关键字跨多个事件数据存储运行 SQL 查询。有关跨多个事件数据存储运行查询的信息,请参阅 高级多表查询支持

相比事件历史记录中的简单密钥和值查询或者运行 LookupEvents,CloudTrail Lake 查询提供更深入、更可自定义的事件视图。Event history(事件历史记录)搜索限于单个 Amazon Web Services 账户 账户,仅返回来自单个 Amazon Web Services 区域 的事件,无法查询多个属性。相比之下,CloudTrail Lake 用户可以在 CloudTrail 事件或配置项目中跨多个字段运行复杂的标准查询语言(SQL)查询。有关支持的 SQL 运算符的完整列表,请参阅 CloudTrail Lake SQL 限制

您可以保存 CloudTrail Lake 查询以供将来使用,并查看最多七天的查询结果。运行查询时,您可以将查询结果保存到 Amazon S3 存储桶。CloudTrail Lake 还可以将 Amazon Organizations 中组织的事件存储在事件数据存储中,包括存储来自多个区域和账户的事件。

CloudTrail 不支持基于跟踪标签的授权。但您可以通过使用基于标签的授权来控制对事件数据存储的操作的访问。有关更多信息和示例,请参阅本指南中的示例:拒绝基于标签创建或删除事件数据存储的访问权限

默认情况下,事件数据存储中的所有事件都由 CloudTrail 加密。在配置事件数据存储时,您可以选择使用自己的 Amazon Key Management Service 密钥。使用您自己的 KMS 密钥将产生用于加密和解密的 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。

CloudTrail Lake 事件数据存储和查询会产生 CloudTrail 费用。有关 CloudTrail Lake 定价的更多信息,请参阅 Amazon CloudTrail 定价

CloudTrail Lake 支持 Amazon CloudWatch 指标,您可以使用这些指标查看过去一小时内及在其保留期内摄取到事件数据存储中的数据量的信息。有关支持的 CloudWatch 指标的更多信息,请参阅 支持的 CloudWatch 指标

注意

CloudTrail 通常会在 API 调用后平均大约 15 分钟内传输日志。此时间并不能得到保证。