CloudTrail Lake 概念和术语 - Amazon CloudTrail
事件数据存储集成查询控制面板
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

CloudTrail Lake 概念和术语

本部分介绍了可以帮助您使用 Amazon CloudTrail Lake 的关键概念和术语。

事件数据存储

事件被聚合到事件数据存储,是基于您通过应用高级事件选择器选择的条件的不可变的事件集合。

您可以创建事件数据存储以记录 CloudTrail 事件(管理事件、数据事件或网络活动事件)、CloudTrail Insights 事件Amazon Audit Manager 证据Amazon Config 配置项Amazon 之外的事件

高级事件选择器

高级事件选择器决定在事件数据存储中包含哪些事件。高级事件选择器通过仅记录对您来说很重要的事件来帮助您控制成本。

对于管理事件、数据事件和网络活动事件,您可以使用高级事件选择器来筛选事件。例如,如果您正在创建事件数据存储来收集管理事件,则可以筛选出 Amazon Key Management Service(Amazon KMS)或 Amazon Relational Database Service(Amazon RDS)数据 API 事件。通常,诸如 EncryptDecryptGenerateDataKey 之类的 Amazon KMS 操作会生成超过 99% 的事件。

对于 Amazon Config 配置项目、Audit Manager 证据或 Amazon 以外的事件,高级事件选择器仅用于在事件数据存储中包含该类型的事件。

联合身份验证

通过联合身份验证,您可以在 Amazon Glue 数据目录中查看与事件数据存储相关的元数据,并使用 Amazon Athena 对事件数据运行 SQL 查询。通过存储在 Amazon Glue 数据目录中的表元数据,Athena 查询引擎可以了解如何查找、读取和处理您要查询的数据。

当您启用 Lake 查询联合身份验证时,CloudTrail 会代表您创建联合资源并向 Amazon Lake Formation 注册这些资源。启用 Lake 联合身份验证后,您可以直接在 Athena 中查询事件数据,而无需执行任何其他步骤。有关更多信息,请参阅 联合事件数据存储

定价选项

创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关定价的信息,请参阅 Amazon CloudTrail 定价管理 CloudTrail Lake 成本

保留期

事件数据存储的保留期决定了事件数据在事件数据存储中保留的时长。CloudTrail Lake 通过检查事件的 eventTime 是否在指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,CloudTrail 将移除 eventTime 超过 90 天的事件。

默认保留期

事件数据存储的默认保留期是事件数据在事件数据存储中保留的默认天数。在事件数据存储的默认保留期内,存储包含在摄取定价中,没有额外费用。在默认保留期之后,存储定价为按实际使用量付费。

最长保留期

事件数据存储的最长保留期代表您可以在事件数据存储中保留数据的最高天数。

终止保护

默认情况下,事件数据存储将启用终止保护,以防止事件数据存储被意外删除。要删除启用了终止保护的事件数据存储,请从事件数据存储详细信息页面的操作菜单中,选择更改终止保护。然后,您可以继续删除事件数据存储。有关更多信息,请参阅 使用控制台更改终止保护

集成

您可以使用 CloudTrail Lake 集成来记录和存储来自以下源的用户活动数据:

  • 在 Amazon 之外

  • 混合环境中的任何来源,如本地或云中托管的内部或软件即服务(SaaS)应用程序、虚拟机或容器

集成需要一个通道来传输事件,需要一个事件数据存储来接收事件。设置集成后,调用 PutAuditEvents 操作以将您的应用程序活动摄取到 CloudTrail 中。然后,您可以使用 CloudTrail Lake 搜索、查询和分析您的应用程序中记录的数据。有关更多信息,请参阅 创建与 Amazon 外部事件源的集成

集成类型

有两种类型的集成:直接集成解决方案集成。通过直接集成,合作伙伴将调用 PutAuditEvents API 操作以将事件传输到您的 Amazon Web Services 账户 的事件数据存储中。通过解决方案集成,应用程序将在您的 Amazon Web Services 账户 中运行,并且它将调用 PutAuditEvents API 操作将事件传输到您的 Amazon Web Services 账户 的事件数据存储中。

渠道

来自非 Amazon 来源的活动事件通过使用通道,将来自与 CloudTrail 配合使用的外部合作伙伴或您自己的来源的事件引入 CloudTrail Lake。在创建通道时,您可以选择一个或多个事件数据存储,用于存储来自通道来源的事件。只要将目标事件数据存储设置为记录 eventCategory="ActivityAuditLog" 事件,即可根据需要更改通道的目标事件数据存储。当您为来自外部合作伙伴的活动创建通道时,您需要向合作伙伴或来源应用程序提供通道 Amazon 资源名称(ARN)。

基于资源的策略

基于资源的策略是附加到资源的 JSON 策略文档。附加到该通道的基于资源的策略允许来源通过该通道传输事件。如果通道没有资源策略,则只有通道所有者可以针对该通道调用 PutAuditEvents API 操作。有关更多信息,请参阅 Amazon CloudTrail 基于资源的策略示例

查询

CloudTrail Lake 中的查询采用 SQL 编写。可以在 CloudTrail Lake 编辑器选项卡上构建查询,方法是从头开始使用 SQL 编写查询,打开保存的查询或示例查询并进行编辑,或者使用查询生成器根据英语语言提示生成查询。有关更多信息,请参阅使用 CloudTrail 控制台创建或编辑查询根据自然语言提示创建 CloudTrail Lake 查询

CloudTrail Lake 支持所有有效的 Trino SELECT 语句和函数。如需详细了解支持的 SQL 函数和运算符,请参阅 Trino 文档网站中的函数和运算符

控制面板

通过使用 CloudTrail Lake 控制面板,您可以可视化事件数据存储中的事件,并查看事件趋势,例如排名靠前的 Amazon Web Services 服务、用户和错误。有关更多信息,请参阅 CloudTrail Lake 控制面板

控制面板类型

CloudTrail Lake 提供以下类型的控制面板:

  • 托管式控制面板 – 可以查看托管式控制面板,以查看收集管理事件、数据事件或 Insights 事件的事件数据存储的事件趋势。这些控制面板可自动供您使用,并由 CloudTrail Lake 管理。CloudTrail 提供 14 个托管式控制面板以供选择。您可以手动刷新托管式控制面板。您无法修改、添加或移除这些控制面板的小组件,但是,如果要修改小组件或设置刷新计划,则可以将托管式控制面板另存为自定义控制面板。

  • 自定义控制面板 – 自定义控制面板可让您查询任何事件数据存储类型中的事件。最多可以向自定义控制面板添加 10 个小组件。可以手动刷新自定义控制面板,也可以设置刷新计划。

  • “要点”控制面板:启用“要点”控制面板,以便一目了然地查看由账户中的事件数据存储收集的 Amazon 活动的概览。“要点”控制面板由 CloudTrail 管理,包括与您的账户相关的小组件。“要点”控制面板上显示的小组件对于每个账户都是独一无二的。这些小组件可能会显示检测到的异常活动或异常。例如,您的“要点”控制面板可能包含跨账户访问总量小组件,它显示异常跨账户活动是否增加。CloudTrail 每 6 小时更新一次“要点”控制面板。控制面板显示自上次更新以来最近 24 小时的数据。

小组件

小组件是构成控制面板并提供可视化效果的组件,例如折线图或条形图。每个小组件都对应一个 SQL 查询。当您刷新控制面板时,CloudTrail 会为控制面板上的每个小组件运行一个查询,以填充小组件的数据。