查看 Lake 控制面板 - Amazon CloudTrail
限制 先决条件选择控制面板根据日期或时间范围筛选控制面板查看控制面板小组件的查询
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看 Lake 控制面板

您可以使用 CloudTrail Lake 控制面板可视化事件数据存储中的事件。您可以从几种不同的控制面板类型中选择。可用于事件数据存储的控制面板类型取决于事件数据存储的高级事件选择器配置。例如,如果控制面板类型显示有关 CloudTrail 管理事件的信息,则只有当当前选定的事件数据存储收集了 CloudTrail 管理事件时,您才能选择控制面板。

每种控制面板类型都由多个小组件组成,每个小组件代表一个 SQL 查询。要查看小组件的查询,请选择在查询编辑器中查看和分析,以打开查询编辑器。您无法修改系统生成的用于填充小组件的查询,但可以编辑查询并在查询编辑器中运行查询以进行进一步分析。

要填充和更新控制面板,请选择运行查询。当您选择运行查询时,CloudTrail 会代表您运行系统生成的查询。由于运行查询会产生费用,因此 CloudTrail 会要求您确认与运行查询相关的成本。您只需确认此操作一次。有关 CloudTrail 定价的更多信息,请参阅 CloudTrail 定价

限制

以下限制适用于当前版本。

  • 当前版本不支持自定义控制面板、小组件或查询。

  • 当前版本仅为收集 CloudTrail 事件(数据事件、管理事件)和 Insights 事件的事件数据存储提供控制面板。

  • 当前版本不支持编辑用于填充控制面板的系统生成的查询。您可以在查询编辑器选项卡上查看和编辑任何小组件的基础查询,但是,您对查询所做的任何更改都将用于控制面板之外的补充分析。

先决条件

以下先决条件适用于 Lake 控制面板。

  • 要查看和使用 Lake 控制面板,您必须至少创建一个 CloudTrail Lake 事件数据存储。您可以使用控制台、Amazon CLI 或 SDK 创建事件数据存储。有关使用控制台创建数据存储的信息,请参阅 为事件创建事件数据存 CloudTrail储。有关使用 Amazon CLI 创建数据存储的信息,请参阅 使用 Amazon CLI 管理 CloudTrail Lake

  • 为了填充控制面板,CloudTrail 会代表您运行查询。首次查看控制面板页面时,CloudTrail 会要求您确认与运行查询相关的费用。选择我同意以确认运行查询的费用。

选择控制面板

按照以下步骤选择要查看的事件数据存储和控制面板类型。

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail

  2. 在左侧导航窗格中,在 Lake 下,选择控制面板

  3. 选择要直观显示数据的事件数据存储。

  4. 选择要查看的控制面板类型。控制面板列表是根据所选事件数据存储的高级事件选择器配置填充的。

    以下是可能的控制面板类型。

    • 概览控制面板 – 按事件计数显示最活跃的用户、Amazon Web Services 区域 和 Amazon Web Services。您还可以查看有关 readwrite 管理事件活动、最受限制的事件以及最常出现的错误的信息。此控制面板可用于收集管理事件的事件数据存储。

    • 管理事件控制面板 – 按用户显示控制台登录事件、访问被拒事件、破坏性操作和最常出现的错误。您还可以按用户查看有关 TLS 版本和过时的 TLS 调用的信息。此控制面板可用于收集管理事件的事件数据存储。

    • S3 数据事件控制面板 – 显示 S3 账户活动、访问次数最多的 S3 对象、排名靠前的 S3 用户和排名靠前的 S3 操作。此控制面板可用于收集 Amazon S3 数据事件的事件数据存储。

    • Insights 事件控制面板 - 按 Insights 类型显示 Insights 事件的总体比例、按 Insights 类型显示主要用户的服务的 Insights 事件比例以及每天的 Insights 事件数量。控制面板还包括一个小部件,可最多列出 30 天的 Insights 事件。此控制面板仅可用于收集 Insights 事件的事件数据存储。

      注意

      • 首次对源事件数据存储启用 CloudTrail Insights 后,如果检测到异常活动,则 CloudTrail 供传递第一个 Insights 事件可能需要最长 7 天。有关更多信息,请参阅了解 Insights 事件传输情况

      • Insights 事件控制面板仅显示有关选定事件数据存储收集的Insights 事件的信息,这些信息由源事件数据存储的配置决定。例如,如果您将源事件数据存储配置为在 ApiCallRateInsight 上启用 Insights 事件,而不是 ApiErrorRateInsight,则您将不会看到有关 ApiErrorRateInsight 上的 Insights 事件的信息。

  5. 选择按绝对范围相对范围筛选控制面板数据。选择绝对范围,以选择特定的日期和时间范围。选择相对范围,以选择预定义的时间范围或自定义范围。默认情况下,控制面板显示过去 24 小时的事件数据。

    注意

    您需按所扫描的数据量为 CloudTrail Lake 查询付费。为了帮助控制成本,您可以在较小的时间范围内进行筛选。有关 CloudTrail 定价的更多信息,请参阅 Amazon CloudTrail 定价

  6. 选择运行查询以运行控制面板小组件的查询。

根据日期或时间范围筛选控制面板

默认情况下,控制面板显示过去 24 小时的数据。您可以按绝对范围相对范围筛选控制面板。

选择绝对范围,以选择特定的日期和时间范围。

选择相对范围,以选择预定义的时间范围或自定义范围。

选择时间范围后,选择运行查询以刷新控制面板。

注意

您需按所扫描的数据量为 CloudTrail Lake 查询付费。为了帮助控制成本,您可以在较小的时间范围内进行筛选。有关 CloudTrail 定价的更多信息,请参阅 Amazon CloudTrail 定价

查看控制面板小组件的查询

每个小组件代表一个 SQL 查询。要查看小组件的查询,请选择在查询编辑器中查看和分析,以打开查询编辑器。使用查询编辑器,您可以在控制面板之外进一步优化查询,然后运行查询以查看更新后的查询的结果。有关使用查询的更多信息,请参阅 创建或编辑查询

注意

您无法修改系统为控制面板小组件生成的查询。在查询编辑器选项卡上对查询所做的任何更改,仅用于控制面板之外的进一步分析。