本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用控制台为 Insights 事件创建事件数据存储
Amazon CloudTrail Insights 通过持续分析 CloudTrail 管理事件,帮助 Amazon 用户识别和响应与API呼叫和API错误率相关的异常活动。 CloudTrail Insights 会分析您的正常API通话量和API错误率模式(也称为基线),并在呼叫量或错误率超出正常模式时生成 Insights 事件。为管理层生成有关API呼叫量的 Insights 事件APIs,为write
管理层生成有关API错误率的 Insights 事件APIs。read
write
要在 L CloudTrail ake 中记录 Insights 事件,您需要一个用于记录 Insights 事件的目标事件数据存储和一个启用 Insights 并记录管理事件的源事件数据存储。
注意
要按API呼叫量记录 Insights 事件,源事件数据存储必须记录write
管理事件。要按API错误率记录 Insights 事件,源事件数据存储必须记录read
或write
管理事件。
如果您在源事件数据存储上启用了 CloudTrail Insights 并 CloudTrail 检测到异常活动,则会将 Insigh CloudTrail ts 事件传送到您的目标事件数据存储。与 CloudTrail 事件数据存储中捕获的其他类型的事件不同,Insights 事件仅在 CloudTrail 检测到您的账户API使用量变化与账户的典型使用模式明显不同时才会被记录。
首次在事件数据存储上启用 CloudTrail Insights 后,如果检测到异常活动,则最长可能需要 7 天 CloudTrail 才能交付第一个 Insights 事件。
CloudTrail Insights 分析发生在单个区域(而不是全球区域)的管理事件。 CloudTrail Insights 事件是在生成其支持管理事件的同一区域生成的。
对于组织事件数据存储, CloudTrail 分析来自每个成员账户的管理事件,而不是分析组织所有管理事件的聚合。
在 Lake 中 CloudTrail 收取 Insights 事件需要支付额外费用。如果您同时为路径和 CloudTrail 湖泊事件数据存储启用 Insights,则需要单独付费。有关 CloudTrail 定价的信息,请参阅Amazon CloudTrail 定价
要创建记录 Insights 事件的目标事件数据存储
创建 Insights 事件数据存储时,您可以选择用于记录管理事件的现有源事件数据存储,然后指定要接收的 Insights 类型。或者,您可以在创建 Insights 事件数据存储后在新的或现有的事件数据存储上启用 Insights,然后选择此事件数据存储作为目标事件数据存储。
此过程向您演示如何创建记录 Insights 事件的目标事件数据存储。
-
登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/
。 -
在导航窗格中,打开 Lake(湖)子菜单,然后选择 Event data stores(事件数据存储)。
-
选择 Create event data store(创建事件数据存储)。
-
在 Configure event data store(配置事件数据存储)页面上的 General details(一般细节)中,输入事件数据存储的名称。名称为必填项。
-
选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 Amazon CloudTrail 定价
和 管理 CloudTrail 湖泊成本。 可用选项如下:
-
一年可延期保留定价 - 如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go定价延长保留期。这是默认选项。
-
默认保留期:366 天
-
最长保留期:3653 天
-
-
七年期保留定价 - 如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。
-
默认保留期:2557 天
-
最长保留期:2557 天
-
-
-
指定事件数据存储的保留期(以天为单位)。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,七年期保留定价选项的保留期可以介于 7 天到 2557 天(约七年)之间。事件数据存储将保留指定天数内的事件数据。
-
(可选)要使用启用加密 Amazon Key Management Service,请选择使用我自己的加密 Amazon KMS key。选择 “新建” 为您 Amazon KMS key 创建密钥,或选择 “现有” 以使用现有KMS密钥。在 “输入KMS别名” 中,指定别名,格式为
alias/
MyAliasName
。 使用自己的KMS密钥需要您编辑KMS密钥策略以允许对 CloudTrail日志进行加密和解密。有关更多信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail。 CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥。使用自己的KMS密钥会产生加密和解密的 Amazon KMS 费用。将事件数据存储与KMS密钥关联后,该密KMS钥将无法移除或更改。
注意
要为组织事件数据存储启用 Amazon Key Management Service 加密,必须使用管理账户的现有KMS密钥。
-
(可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 Lake 查询联合身份验证中选择启用。Federation 允许您在数据目录中查看与事件数据存储相关的元 Amazon Glue 数据,并对 Athena 中的事件数据运行SQL查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储。
要启用 Lake 查询联合身份验证,请选择启用,然后执行以下操作:
-
选择是要创建新角色还是使用现有IAM角色。 Amazon Lake Formation使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供所需的最低权限。
-
如果您在创建新角色,请输入名称来标识该角色。
-
如果您使用现有角色,请选择要使用的角色。角色必须存在于您的账户中。
-
-
(可选)在 Tags(标签)部分中,您最多可以添加 50 个标签键对,以帮助您对事件数据存储的访问进行识别、排序和控制。有关如何使用IAM策略根据标签授权对事件数据存储的访问权限的更多信息,请参阅示例:拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在中使用标签的更多信息 Amazon,请参阅《标记 Amazon 资源用户指南》中的为 Amazon 资源添加标签。
-
选择 Next(下一步)以配置事件数据存储。
-
在 “选择事件” 页面上,选择Amazon 事件,然后选择 CloudTrailInsights 事件。
-
在 CloudTrail Insights 事件中,执行以下操作。
-
如果您要向组织的委托管理员授予对此事件数据存储的访问权限,请选择允许委托管理员访问权。只有当您使用 Amazon Organizations 组织的管理账户登录时,此选项才可用。
-
(可选)选择用于记录管理事件的现有源事件数据存储,并指定要接收的 Insights 类型。
要添加源事件数据存储,请执行以下操作。
-
选择添加源事件数据存储。
-
选择源事件数据存储。
-
选择要接收的 Insights 类型。
-
ApiCallRateInsight
—ApiCallRateInsight
Insights 类型根据基准API呼叫量分析每分钟汇总的只写管理API呼叫。要接收关于ApiCallRateInsight
的 Insights,源事件数据存储必须记录写入管理事件。 -
ApiErrorRateInsight
—ApiErrorRateInsight
Insights 类型分析导致错误代码的管理API调用。如果API呼叫失败,则会显示错误。要接收关于ApiErrorRateInsight
的 Insights,源事件数据存储必须记录写入或读取管理事件。
-
-
重复前两个步骤(ii 和 iii),以添加您想要接收的任何其他 Insights 类型。
-
-
-
选择 Next(下一步)以查看您的选择。
-
在 Review and create(审核和重建)页面上,审核您的选择。选择 Edit(编辑)以对这节进行更改。当您准备好创建事件数据存储时,选择 Create event data store(创建事件数据存储)。
-
在事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。
-
如果您没有在步骤 10 中选择源事件数据存储,请按照 要创建启用 Insights 事件的源事件数据存储 中的步骤创建源事件数据存储。
要创建启用 Insights 事件的源事件数据存储
此过程向您演示如何创建启用 Insights 事件和记录管理事件的源事件数据存储。
-
登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/
。 -
在导航窗格中,打开 Lake(湖)子菜单,然后选择 Event data stores(事件数据存储)。
-
选择 Create event data store(创建事件数据存储)。
-
在 Configure event data store(配置事件数据存储)页面上的 General details(一般细节)中,输入事件数据存储的名称。名称为必填项。
-
选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 Amazon CloudTrail 定价
和 管理 CloudTrail 湖泊成本。 可用选项如下:
-
一年可延期保留定价 - 如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go定价延长保留期。这是默认选项。
-
默认保留期:366 天
-
最长保留期:3653 天
-
-
七年期保留定价 - 如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。
-
默认保留期:2557 天
-
最长保留期:2557 天
-
-
-
指定事件数据存储的保留期。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,七年期保留定价选项的保留期可以介于 7 天到 2557 天(约七年)之间。
CloudTrail Lake 通过检查事件是否在
eventTime
指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,eventTime
则 CloudTrail 会删除超过 90 天的事件。 -
(可选)要使用启用加密 Amazon Key Management Service,请选择使用我自己的加密 Amazon KMS key。选择 “新建” 为您 Amazon KMS key 创建密钥,或选择 “现有” 以使用现有KMS密钥。在 “输入KMS别名” 中,指定别名,格式为
alias/
MyAliasName
。 使用自己的KMS密钥需要您编辑KMS密钥策略以允许对 CloudTrail日志进行加密和解密。有关更多信息,请参阅为以下各项配置 Amazon KMS 密钥策略 CloudTrail。 CloudTrail 还支持 Amazon KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 Amazon Key Management Service 开发人员指南中的使用多区域密钥。使用自己的KMS密钥会产生加密和解密的 Amazon KMS 费用。将事件数据存储与KMS密钥关联后,该密KMS钥将无法移除或更改。
注意
要为组织事件数据存储启用 Amazon Key Management Service 加密,必须使用管理账户的现有KMS密钥。
-
(可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 Lake 查询联合身份验证中选择启用。Federation 允许您在数据目录中查看与事件数据存储相关的元 Amazon Glue 数据,并对 Athena 中的事件数据运行SQL查询。存储在 Amazon Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储。
要启用 Lake 查询联合身份验证,请选择启用,然后执行以下操作:
-
选择是要创建新角色还是使用现有IAM角色。 Amazon Lake Formation使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供所需的最低权限。
-
如果您在创建新角色,请输入名称来标识该角色。
-
如果您使用现有角色,请选择要使用的角色。角色必须存在于您的账户中。
-
-
(可选)在 Tags(标签)部分中,您最多可以添加 50 个标签键对,以帮助您对事件数据存储的访问进行识别、排序和控制。有关如何使用IAM策略根据标签授权对事件数据存储的访问权限的更多信息,请参阅示例:拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在中使用标签的更多信息 Amazon,请参阅《标记 Amazon 资源用户指南》中的为 Amazon 资源添加标签。
-
选择 Next(下一步)以配置事件数据存储。
-
在 “选择事件” 页面上,选择Amazon 事件,然后选择CloudTrail事件。
-
在CloudTrail 事件中,将管理事件保留为选中状态。
-
要让您的事件数据存储收集 Amazon Organizations 企业中所有账户的事件,请选择 Enable for all accounts in my organization(为我的企业中的所有账户启用)。您必须登录组织的管理账户,才能创建启用 Insights 解的事件数据存储。
-
展开其他设置以选择是希望事件数据存储收集所有 Amazon Web Services 区域事件还是仅收集当前事件 Amazon Web Services 区域,并选择事件数据存储是提取事件。默认情况下,您的事件数据存储会收集您账户中所有区域的事件,并在事件创建后开始摄取事件。
-
如果您想要仅包含在当前区域中记录的事件,选择在我的事件数据存储中仅包含当前区域。如果不选择此选项,则您的事件数据存储将包含来自所有区域的事件。
-
将摄取事件保留为选中状态。
-
-
选择要包含在事件数据存储中的管理事件的类型。您可以选择读取、写入或同时选择此两者。至少需要选择一个选项。
注意
要按API呼叫量记录 Insights 事件,事件数据存储必须记录
write
管理事件。要按API错误率记录 Insights 事件,事件数据存储必须记录read
或write
管理事件。 -
您可以选择从API事件RDS数据存储中排除 Amazon Key Management Service 或 Amazon Data 事件。有关这些选项的详细信息,请参阅 记录管理事件。
-
选择启用 Insights。
-
在启用 Insights 中,选择将记录 Insights 事件的目标事件存储。目标事件数据存储将根据该事件数据存储中的管理事件活动收集 Insights 事件。有关如何创建目标事件数据存储的信息,请参阅 要创建记录 Insights 事件的目标事件数据存储。
-
选择 Insights 类型。您可以选择API呼叫速率、API错误率或两者兼而有之。您必须记录写入管理事件才能记录API通话费率的 Insights 事件。您必须记录读取或写入管理事件才能记录 Insights 事件以了解API错误率。
-
选择 Next(下一步)以查看您的选择。
-
在 Review and create(审核和重建)页面上,审核您的选择。选择 Edit(编辑)以对这节进行更改。当您准备好创建事件数据存储时,选择 Create event data store(创建事件数据存储)。
-
在事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。
从现在开始,事件数据存储将捕获与其高级事件选择器匹配的事件。首次在源事件数据存储上启用 CloudTrail Insights 后,如果检测到异常活动,则最多可能需要 7 天才能 CloudTrail 将第一个 Insights 事件传送到目标事件数据存储。
您可以查看 CloudTrail Lake 仪表板以可视化目标事件数据存储中的 Insights 事件。有关 Lake 控制面板的更多信息,请参阅 使用 CloudTrail 控制台查看 CloudTrail Lake 仪表板。
在 Lake 中 CloudTrail 收取 Insights 事件需要支付额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关 CloudTrail 定价的信息,请参阅Amazon CloudTrail 定价