本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 与 L Amazon CloudTrail ake 合作
**注意**
Amazon CloudTrail 从 2026 年 5 月 31 日起,Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。
Amazon CloudTrail Lake 允许您对事件运行基于 SQL 的查询。 CloudTrail Lake 将基于行的 JSON 格式的现有事件转换为 [Apache ORC](https://orc.apache.org/) 格式。ORC 是一种针对快速检索数据进行优化的列式存储格式。事件被聚合到事件数据存储,是基于您通过应用[高级事件选择器](cloudtrail-lake-concepts.md#adv-event-selectors)选择的条件的不可变的事件集合。如果您选择**一年可延期保留定价**选项,则可以将事件数据在事件数据存储中最多保留 3653 天(大约 10 年);如果您选择**七年保留定价**选项,则最多可以保留 2557 天(大约 7 年)。您应用于事件数据存储的选择器控制哪些事件会持续存在并可供您查询。 CloudTrail Lake 是一种审计解决方案,可以补充您的合规堆栈,并帮助您进行近乎实时的故障排除。
## CloudTrail 湖泊事件数据存储
在创建事件数据存储时,您可以选择要包括在事件数据存储中的事件的类型。您可以创建事件数据存储以包含[CloudTrail 事件(管理事件](query-event-data-store-cloudtrail.md)、数据事件、网络活动事件)、[CloudTrail Insights 事件](query-event-data-store-insights.md)、[Amazon Config 配置项目](query-event-data-store-config.md)、[Amazon Audit Manager 证据](https://docs.amazonaws.cn/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)或[来自外部的事](event-data-store-integration-events.md)件 Amazon。每个事件数据存储只能包含一个特定的事件类别(例如, Amazon Config 配置项目),因为[事件架构](query-supported-event-schemas.md)对于事件类别是唯一的。您可以将来自组织的事件存储 Amazon Organizations 在[组织事件数据存储](cloudtrail-lake-organizations.md)中,包括来自多个区域和账户的事件。您还可以使用受支持的 SQL JOIN 关键字跨多个事件数据存储运行 SQL 查询。有关跨多个事件数据存储运行查询的信息,请参阅[高级多表查询支持](query-limitations.md#query-advanced-multi-table)。
您可以将跟踪事件复制到新的或现有的事件数据存储中,以创建记录到跟踪的事件的 point-in-time快照。有关更多信息,请参阅 [将跟踪事件复制到事件数据存储](cloudtrail-copy-trail-to-lake-eds.md)。
您可以联合事件数据存储以在 Amazon Glue [数据目录](https://docs.amazonaws.cn/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据,并使用 Amazon Athena 对事件数据运行 SQL 查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 [联合事件数据存储](query-federation.md)。
您可以将基于资源的策略附加到事件数据存储,以便为选定的主体提供跨账户访问权限。您可以在 CloudTrail控制台上创建或更新事件数据存储时或通过运行 Amazon CLI `put-resource-policy`命令来添加基于资源的策略。有关更多信息,请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
默认情况下,事件数据存储中的所有事件都由加密 CloudTrail。配置事件数据存储时,可以选择使用自己的 Amazon Key Management Service 密钥。使用自己的 KMS 密钥会产生加密和解密 Amazon KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。
您可以通过使用基于标签的授权来控制对事件数据存储的操作的访问。有关更多信息和示例,请参阅本指南中的[示例:拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。
CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的[定价选项](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。
CloudTrail Lake 支持 Amazon CloudWatch 指标,这些指标提供有关摄取的数据和存储字节的信息。有关支持的 CloudWatch 指标的更多信息,请参阅[支持的 CloudWatch 指标](cloudtrail-lake-cloudwatch-metrics.md)。
**注意**
CloudTrail 通常在 API 调用后平均大约 5 分钟内传送事件。此时间并不能得到保证。
## CloudTrail 湖泊查询
CloudTrail 与事件**历史记录或运行`LookupEvents`中的简单键和值查找相比,Lake 查询提供了更深入、更可自定义的事件**视图。一次**事件历史**搜索仅限于单个事件 Amazon Web Services 账户,只能返回单个事件中的事件 Amazon Web Services 区域,并且不能查询多个属性。相比之下,L CloudTrail ake 用户可以跨多个事件字段运行复杂的 SQL 查询。 CloudTrail Lake 支持所有有效的 Trino `SELECT` 语句和函数。如需详细了解支持的 SQL 函数和运算符,请参阅 Trino 文档网站中的[函数和运算符](https://trino.io/docs/current/functions.html)。
您可以在 L CloudTrail ake E **ditor** 选项卡上生成查询,方法是从头开始用 SQL 编写查询,打开已保存的查询或示例查询并对其进行编辑,或者使用查询生成器根据英语提示生成查询。有关更多信息,请参阅[使用 CloudTrail 控制台创建或编辑查询](query-create-edit-query.md)和[根据自然语言提示创建 CloudTrail Lake 查询](lake-query-generator.md)。
您可以保存 CloudTrail Lake 查询以备将来使用,还可以查看查询结果最长七天。运行查询时,您可以将查询结果保存到 Amazon S3 存储桶。
CloudTrail 控制台提供了许多示例查询,可以帮助您开始编写自己的查询。有关更多信息,请参阅 [使用 CloudTrail 控制台查看示例查询](lake-console-queries.md)。
CloudTrail 湖泊查询会产生费用。在 Lake 中运行查询时,您需要按扫描的数据量付费。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅[Amazon CloudTrail 定价](https://www.amazonaws.cn/cloudtrail/pricing/)和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。
## CloudTrail 湖泊仪表板
您可以使用 CloudTrail Lake 控制面板查看账户中事件数据存储的事件趋势。 CloudTrail Lake 提供以下类型的仪表板:
+ **托管的控制面板**:可以查看托管的控制面板,以查看收集管理事件、数据事件或 Insights 事件的事件数据存储的事件趋势。这些仪表板将自动提供给您,并由 CloudTrail Lake 管理。 CloudTrail 提供 14 个托管仪表板供您选择。您可以手动刷新托管的控制面板。您无法修改、添加或移除这些控制面板的小组件,但是,如果要修改小组件或设置刷新计划,则可以将托管的控制面板另存为自定义控制面板。
+ **自定义控制面板**:自定义控制面板可让您查询任何事件数据存储类型中的事件。最多可以向自定义控制面板添加 10 个小组件。可以手动刷新自定义控制面板,也可以设置刷新计划。
+ **亮点仪表板** — 启用 “亮点” 仪表板可查看您账户中事件数据存储所收集的 Amazon 活动 at-a-glance概览。Highlights 控制面板由您管理 CloudTrail 并包含与您的账户相关的小部件。“要点”控制面板上显示的小组件对于每个账户都是独一无二的。这些小组件可能会显示检测到的异常活动或异常。例如,您的 Highlights 控制面板可能包含**跨账户访问权限总额小工具**,它会显示异常跨账户活动是否有所增加。 CloudTrail 每 6 小时更新一次 “亮点” 控制面板。控制面板显示自上次更新以来最近 24 小时的数据。
每个控制面板由一个或多个小组件组成,每个小组件代表一个 SQL 查询。
有关更多信息,请参阅 [CloudTrail 湖泊仪表板](lake-dashboard.md)。
## CloudTrail 湖泊整合
您可以使用 La CloudTrail ke *集成*来记录和存储来自外部的用户活动数据 Amazon;这些数据来自混合环境中的任何来源,例如本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器。在 CloudTrail Lake 中创建事件数据存储并创建用于记录活动事件的通道后,您可以调用 `PutAuditEvents` API 将您的应用程序活动引入其中 CloudTrail。然后,您可以使用 CloudTrail Lake 来搜索、查询和分析从您的应用程序中记录的数据。
集成还可以将来自十几个 CloudTrail合作伙伴的事件记录到您的事件数据存储中。在合作伙伴集成中,您可以创建目标事件数据存储、通道和资源策略。在您创建集成后,即可向合作伙伴提供通道 ARN。有两种类型的集成:直接集成和解决方案集成。通过直接集成,合作伙伴可以调用 `PutAuditEvents` API 将事件传送到您 Amazon 账户的事件数据存储。通过解决方案集成,应用程序将在您的 Amazon 账户中运行,应用程序会调用 `PutAuditEvents` API 将事件传送到您 Amazon 账户的事件数据存储。
有关集成的更多信息,请参阅[与外部的事件源创建集成。 Amazon](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/query-event-data-store-integration.html)
## 其他资源
以下资源可以帮助您更好地了解 CloudTrail Lake 是什么以及如何使用它。
+ [使用 L CloudTrail ake 实现审计日志管理现代化](https://www.youtube.com/watch?v=aLkecCsHhxw)(YouTube 视频)
+ [记录来自 Amazon CloudTrail 湖中非Amazon 来源的活动事件](https://www.youtube.com/watch?v=gF0FLdegQKM)(YouTube 视频)
+ [使用 La Amazon CloudTrail ke 和 Amazon Athen YouTube a 分析活动日志](https://www.youtube.com/watch?v=cOeZaJt_k-w)(视频)
+ [查看员工和客户身份的活动日志](https://www.amazonaws.cn/blogs/mt/get-visibility-into-the-activity-logs-for-your-workforce-and-customer-identities/)(Amazon 博客)
+ [使用 L Amazon CloudTrail ake 识别到 Amazon 服务终端节点的较旧 TLS 连接](https://www.amazonaws.cn/blogs/mt/using-aws-cloudtrail-lake-to-identify-older-tls-connections-to-aws-service-endpoints/)(Amazon 博客)
+ Arcti@@ [c Wolf 如何使用 Amazon CloudTrail Lake 来简化安全和运营](https://www.amazonaws.cn/blogs/mt/how-arctic-wolf-uses-aws-cloudtrail-lake-to-simplify-security-and-operations/)(Amazon 博客)
+ [CloudTrail 湖 FAQs](https://www.amazonaws.cn/cloudtrail/faqs/#CloudTrail_Lake)
+ [Amazon CloudTrail API 引用](https://docs.amazonaws.cn/awscloudtrail/latest/APIReference/Welcome.html)
+ [Amazon CloudTrail 数据 API 参考](https://docs.amazonaws.cn/awscloudtraildata/latest/APIReference/Welcome.html)
+ [Amazon CloudTrail 合作伙伴入职指南](https://docs.amazonaws.cn/awscloudtrail/latest/partner-onboarding/cloudtrail-lake-partner-onboarding.html)