使用 CloudTrail 控制台查看 CloudTrail Lake 仪表板 - Amazon CloudTrail
限制先决条件 选择控制面板根据日期或时间范围筛选控制面板查看控制面板小组件的查询
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 CloudTrail 控制台查看 CloudTrail Lake 仪表板

您可以使用 CloudTrail Lake 仪表板对事件数据存储中的事件进行可视化。您可以从几种不同的控制面板类型中选择。可用于事件数据存储的控制面板类型取决于事件数据存储的高级事件选择器配置。例如,如果仪表板类型显示有关 CloudTrail 管理事件的信息,则只有当当前选定的事件数据存储收集 CloudTrail 管理事件时,您才能选择该仪表板。

每种仪表板类型都由多个小组件组成,每个小组件代表一个SQL查询。要查看小组件的查询,请选择在查询编辑器中查看和分析,以打开查询编辑器。您无法修改系统生成的用于填充小组件的查询,但可以编辑查询并在查询编辑器中运行查询以进行进一步分析。

要填充和更新控制面板,请选择运行查询。当您选择 “运行查询” 时,将代表您 CloudTrail 运行系统生成的查询。由于运行查询会产生费用,因此 CloudTrail 要求您确认与运行查询相关的成本。您只需确认此操作一次。有关 CloudTrail 定价的更多信息,请参阅CloudTrail 定价

限制

以下限制适用于当前版本。

  • 当前版本不支持自定义控制面板、小组件或查询。

  • 当前版本仅为收集事件(数据事件、管理 CloudTrail 事件)和 Insights 事件的事件数据存储提供仪表板。

  • 当前版本不支持编辑用于填充控制面板的系统生成的查询。您可以在查询编辑器选项卡上查看和编辑任何小组件的基础查询,但是,您对查询所做的任何更改都将用于控制面板之外的补充分析。

先决条件

以下先决条件适用于 Lake 控制面板。

  • 要查看和使用 Lake 仪表板,必须至少创建一个 CloudTrail Lake 事件数据存储。您可以使用控制台 Amazon CLI、或创建事件数据存储SDKs。有关使用控制台创建数据存储的信息,请参阅 使用控制台为事件创建 CloudTrail事件数据存储。有关使用创建事件数据存储的信息 Amazon CLI,请参阅使用创建、更新和管理事件数据存储 Amazon CLI

  • 要填充控制面板,请代表您 CloudTrail 运行查询。首次查看 “控制面板” 页面时, CloudTrail 会要求您确认与运行查询相关的费用。选择我同意以确认运行查询的费用。

选择控制面板

按照以下步骤选择要查看的事件数据存储和控制面板类型。

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/

  2. 在左侧导航窗格中,在 Lake 下,选择控制面板

  3. 选择要直观显示数据的事件数据存储。

  4. 选择要查看的控制面板类型。控制面板列表是根据所选事件数据存储的高级事件选择器配置填充的。

    以下是可能的控制面板类型。

    • 概览仪表板- Amazon Web Services 服务 按事件计数显示最活跃的用户和事件。 Amazon Web Services 区域您还可以查看有关 readwrite 管理事件活动、最受限制的事件以及最常出现的错误的信息。此控制面板可用于收集管理事件的事件数据存储。

    • 管理事件控制面板 – 按用户显示控制台登录事件、访问被拒事件、破坏性操作和最常出现的错误。您还可以按用户查看有关TLS版本和过时TLS调用的信息。此控制面板可用于收集管理事件的事件数据存储。

    • S3 数据事件控制面板 – 显示 S3 账户活动、访问次数最多的 S3 对象、排名靠前的 S3 用户和排名靠前的 S3 操作。此控制面板可用于收集 Amazon S3 数据事件的事件数据存储。

    • Insights 事件控制面板 - 按 Insights 类型显示 Insights 事件的总体比例、按 Insights 类型显示主要用户的服务的 Insights 事件比例以及每天的 Insights 事件数量。控制面板还包括一个小部件,可最多列出 30 天的 Insights 事件。此控制面板仅可用于收集 Insights 事件的事件数据存储。

      注意

      • 首次在源事件数据存储上启用 CloudTrail Insights 后,如果检测到异常活动,则最长可能需要 7 天 CloudTrail 才能交付第一个 Insights 事件。有关更多信息,请参阅 了解 Insights 事件传输情况

      • Insights 事件控制面板仅显示有关选定事件数据存储收集的 Insights 事件的信息,这些信息由源事件数据存储的配置决定。例如,如果您将源事件数据存储配置为在 ApiCallRateInsight 上启用 Insights 事件,而不是 ApiErrorRateInsight,则您将不会看到有关 ApiErrorRateInsight 上的 Insights 事件的信息。

  5. 选择按绝对范围相对范围筛选控制面板数据。选择绝对范围,以选择特定的日期和时间范围。选择相对范围,以选择预定义的时间范围或自定义范围。默认情况下,控制面板显示过去 24 小时的事件数据。

    注意

    CloudTrail Lake 查询会根据扫描的数据量产生费用。为了帮助控制成本,您可以在较小的时间范围内进行筛选。有关 CloudTrail 定价的更多信息,请参阅Amazon CloudTrail 定价

  6. 选择运行查询以运行控制面板小组件的查询。

根据日期或时间范围筛选控制面板

默认情况下,控制面板显示过去 24 小时的数据。您可以按绝对范围相对范围筛选控制面板。

选择绝对范围,以选择特定的日期和时间范围。

选择相对范围,以选择预定义的时间范围或自定义范围。

选择时间范围后,选择运行查询以刷新控制面板。

注意

CloudTrail Lake 查询会根据扫描的数据量产生费用。为了帮助控制成本,您可以在较小的时间范围内进行筛选。有关 CloudTrail 定价的更多信息,请参阅Amazon CloudTrail 定价

查看控制面板小组件的查询

每个控件代表一个SQL查询。要查看小组件的查询,请选择在查询编辑器中查看和分析,以打开查询编辑器。使用查询编辑器,您可以在控制面板之外进一步优化查询,然后运行查询以查看更新后的查询的结果。有关使用查询的更多信息,请参阅 使用 CloudTrail 控制台创建或编辑查询

注意

您无法修改系统为控制面板小组件生成的查询。在查询编辑器选项卡上对查询所做的任何更改,仅用于控制面板之外的进一步分析。