CloudTrail Konzepte und Terminologie von Seen - AWS CloudTrail
EreignisdatenspeicherIntegrationenAbfragenDashboard

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail Konzepte und Terminologie von Seen

In diesem Abschnitt werden die wichtigsten Konzepte und Begriffe beschrieben, die Ihnen bei der Verwendung von AWS CloudTrail Lake helfen sollen.

Ereignisdatenspeicher

Die Ereignisse werden in Ereignisdatenspeichern zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von erweiterten Ereignisselektoren auswählen.

Sie können einen Ereignisdatenspeicher erstellen, um CloudTrail Ereignisse (Verwaltungsereignisse, Datenereignisse, Netzwerkaktivitätsereignisse), CloudTrailInsights-Ereignisse, AWS Audit Manager Beweise, AWS Config Konfigurationselemente oder Ereignisse außerhalb von zu protokollieren AWS.

Anmerkung

Netzwerkaktivitätsereignisse befinden sich in der Vorschauversion für CloudTrail und können sich ändern.

Erweiterte Ereignisauswahlen

Erweiterte Ereignisselektoren bestimmen, welche Ereignisse in einen Ereignisdatenspeicher aufgenommen werden sollen. Erweiterte Ereignisselektoren helfen Ihnen, die Kosten zu kontrollieren, indem sie nur die Ereignisse protokollieren, die für Sie wichtig sind.

Für Verwaltungsereignisse, Datenereignisse und Netzwerkaktivitätsereignisse können Sie erweiterte Ereignisauswahlfunktionen verwenden, um Ereignisse zu filtern. Wenn Sie beispielsweise einen Ereignisdatenspeicher zur Erfassung von Verwaltungsereignissen erstellen, können Sie API Datenereignisse aus AWS Key Management Service (AWS KMS) oder Amazon Relational Database Service (AmazonRDS) herausfiltern. In der Regel GenerateDataKey generieren AWS KMS Aktionen wie EncryptDecrypt, und mehr als 99 Prozent der Ereignisse.

Für AWS Config Konfigurationselemente, Audit Manager Manager-Beweise oder Ereignisse außerhalb von AWS erweiterten Ereignisselektoren werden nur verwendet, um Ereignisse dieses Typs in den Ereignisdatenspeicher aufzunehmen.

Verbund

Mit Federation können Sie die mit einem Ereignisdatenspeicher verknüpften Metadaten im AWS Glue Datenkatalog anzeigen und mithilfe von Amazon Athena SQL Abfragen für die Ereignisdaten ausführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden.

Wenn Sie den Lake-Abfrageverbund aktivieren, werden die Verbundressourcen in Ihrem Namen CloudTrail erstellt und diese Ressourcen bei registriert. AWS Lake Formation Nachdem Lake-Verbund aktiviert wurde, können Sie Ihre Ereignisdaten direkt in Athena abfragen, ohne zusätzliche Schritte ausführen zu müssen. Weitere Informationen finden Sie unter Verbund für einen Ereignisdatenspeicher erstellen.

Gebührenoption

Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für den Ereignisdatenspeicher. Informationen zu Preisen erhalten Sie unter AWS CloudTrail -Preise und Verwaltung der CloudTrail Seekosten.

Aufbewahrungszeitraum

Die Aufbewahrungsdauer eines Ereignisdatenspeichers bestimmt, wie lange Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden. CloudTrail Lake bestimmt, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb der angegebenen Aufbewahrungsfrist liegt. eventTime Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie eventTime älter als 90 Tage sind.

Standardaufbewahrungsdauer

Die Standardaufbewahrungsdauer eines Ereignisdatenspeichers ist die Standardanzahl von Tagen, an denen Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden. Während der standardmäßigen Aufbewahrungsdauer eines Ereignisdatenspeichers ist der Speicherplatz ohne zusätzliche Kosten im Erfassungspreis enthalten. Nach Ablauf der standardmäßigen Aufbewahrungsfrist beträgt der Speicherpreis pay-as-you-go.

Maximale Aufbewahrungsdauer

Die maximale Aufbewahrungsdauer eines Ereignisdatenspeichers entspricht der maximalen Anzahl von Tagen, an denen Sie Daten in einem Ereignisdatenspeicher aufbewahren können.

Termination protection

Standardmäßig aktivieren Ereignisdatenspeicher den Beendigungsschutz, der verhindert, dass ein Ereignisdatenspeicher versehentlich gelöscht wird. Um einen Ereignisdatenspeicher mit aktiviertem Beendigungsschutz zu löschen, wählen Sie auf der Detailseite des Ereignisdatenspeichers im Menü Aktionen die Option Beendigungsschutz ändern aus. Anschließend können Sie mit dem Löschen des Ereignisdatenspeichers fortfahren. Weitere Informationen finden Sie unter Ändern Sie den Kündigungsschutz mit der Konsole.

Integrationen

Sie können CloudTrail Lake-Integrationen verwenden, um Benutzeraktivitätsdaten aus den folgenden Quellen zu protokollieren und zu speichern:

  • Außerhalb von AWS

  • Jede Quelle in Ihren hybriden Umgebungen, z. B. interne oder Software-as-a-Service (SaaS)-Anwendungen, die On-Premises oder in der Cloud gehostet werden, virtuelle Maschinen oder Container

Eine Integration erfordert einen Kanal für die Übertragung der Ereignisse und einen Ereignisdatenspeicher für den Empfang der Ereignisse. Nachdem Sie Ihre Integration eingerichtet haben, rufen Sie den PutAuditEventsAPIVorgang auf, in den Ihre Anwendungsaktivitäten aufgenommen werden CloudTrail sollen. Anschließend können Sie CloudTrail Lake verwenden, um die von Ihren Anwendungen protokollierten Daten zu suchen, abzufragen und zu analysieren. Weitere Informationen finden Sie unter Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS.

Integrationstyp

Es gibt zwei Arten von Integrationen: direkt und Lösung. Bei direkten Integrationen ruft der Partner den PutAuditEvents API Vorgang auf, um Ereignisse für Sie AWS-Konto in den Ereignisdatenspeicher zu übertragen. Bei Lösungsintegrationen wird die Anwendung in Ihrem ausgeführt AWS-Konto und die Anwendung ruft den PutAuditEvents API Vorgang auf, um Ereignisse für Sie in den Ereignisdatenspeicher zu übertragen. AWS-Konto

Kanäle

Organisieren Sie Ereignisse aus Quellen außerhalb der AWS Arbeit, indem Sie Kanäle verwenden, um Ereignisse von externen Partnern, die mit Ihnen zusammenarbeiten CloudTrail, oder aus Ihren eigenen Quellen nach CloudTrail Lake zu bringen. Wenn Sie einen Kanal erstellen, wählen Sie einen oder mehrere Ereignisdatenspeicher aus, um Ereignisse zu speichern, die von der Kanalquelle stammen. Sie können die Zielereignisdatenspeicher für einen Kanal nach Bedarf ändern, sofern die Zielereignisdatenspeicher so eingestellt sind, dass sie eventCategory="ActivityAuditLog"-Ereignisse protokollieren. Wenn Sie einen Channel für Events von einem externen Partner erstellen, stellen Sie dem Partner oder der Quellanwendung einen Channel Amazon Resource Name (ARN) zur Verfügung.

Ressourcenbasierte Richtlinien

Ressourcenbasierte Richtlinien sind JSON Richtliniendokumente, die Sie an eine Ressource anhängen. Die dem Kanal beigefügte ressourcenbasierte Richtlinie ermöglicht es der Quelle, Ereignisse über den Kanal zu übertragen. Wenn ein Kanal keine Ressourcenrichtlinie hat, kann nur der Kanalbesitzer den PutAuditEvents API Vorgang für den Kanal aufrufen. Weitere Informationen finden Sie unter AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien.

Abfragen

Anmerkung

Einführung einer Vorschaufunktion für CloudTrail Lake-Abfragen, die Funktionen der generativen künstlichen Intelligenz (generative KI) nutzt, um anhand einer englischen Eingabeaufforderung eine SQL Abfrage zu erstellen. Weitere Informationen finden Sie unter Erstellen Sie CloudTrail Lake-Abfragen anhand von Eingabeaufforderungen in englischer Sprache.

Abfragen in CloudTrail Lake werden in verfasst. SQL Sie können eine Abfrage auf der Registerkarte CloudTrail Lake Editor erstellen, indem Sie die Abfrage SQL von Grund auf neu schreiben oder indem Sie eine gespeicherte Abfrage oder eine Beispielabfrage öffnen und bearbeiten. Sie können eine enthaltene Beispielabfrage nicht mit Ihren Änderungen überschreiben, aber Sie können sie als neue Abfrage speichern. Weitere Informationen finden Sie unter Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail .

CloudTrail Lake unterstützt alle gültigen Presto SELECTAnweisungen und Funktionen. Weitere Informationen zu den unterstützten SQL Funktionen und Operatoren finden Sie unter Funktionen und Operatoren auf der Presto Website zur Dokumentation.

Dashboard

Mithilfe des CloudTrail Lake-Dashboards können Sie die Ereignisse in einem Ereignisdatenspeicher visualisieren und Trends wie die häufigsten Ereignisse AWS-Services, Benutzer und Fehler erkennen. Weitere Informationen finden Sie unter CloudTrail Lake-Dashboards mit der CloudTrail Konsole anzeigen.

Dashboard-Typ

Die verfügbaren Dashboard-Typen für einen Ereignisdatenspeicher hängen von der Konfiguration der erweiterten Ereignisselektoren des Ereignisdatenspeichers ab. Wenn ein Dashboard-Typ beispielsweise Informationen über CloudTrail Verwaltungsereignisse anzeigt, können Sie das Dashboard nur auswählen, wenn der aktuell ausgewählte Ereignisdatenspeicher CloudTrail Verwaltungsereignisse sammelt.

Die folgenden Dashboard-Typen sind verfügbar:

  • Übersichts-Dashboard — Zeigt die aktivsten Benutzer AWS-Regionen, und zwar AWS-Services nach Anzahl der Ereignisse. Sie können auch Informationen über die Aktivität von read- und write-Verwaltungsereignissen, die am stärksten beeinträchtigten Ereignisse und die häufigsten Fehler anzeigen. Dieses Dashboard ist für Ereignisdatenspeicher verfügbar, die Verwaltungsereignisse erfassen.

  • Dashboard für Verwaltungsereignisse – Zeigt Anmeldeereignisse auf der Konsole, Ereignisse mit Zugriffsverweigerung, destruktive Aktionen und die häufigsten Fehler pro Benutzer an. Sie können auch Informationen zu TLS Versionen und veralteten TLS Aufrufen nach Benutzern anzeigen. Dieses Dashboard ist für Ereignisdatenspeicher verfügbar, die Verwaltungsereignisse erfassen.

  • Dashboard für S3-Datenereignisse – Zeigt die Amazon-S3-Kontoaktivitäten, die am häufigsten aufgerufenen S3-Objekte, die wichtigsten S3-Benutzer und die wichtigsten S3-Aktionen an. Dieses Dashboard ist für Ereignisdatenspeicher verfügbar, die Amazon-S3-Datenaktionen erfassen.

  • Dashboard für Insights-Ereignisse – Zeigt den Gesamtanteil der Insights-Ereignisse nach Insights-Typ, den Anteil der Insights-Ereignisse nach Insights-Typ für die wichtigsten Benutzer und Services sowie die Anzahl der Insights-Ereignisse pro Tag. Das Dashboard enthält auch ein Widget, das Insights-Ereignisse für bis zu 30 Tage auflistet. Dieses Dashboard ist nur für Ereignisdatenspeicher verfügbar, die Insights-Ereignisse erfassen.

    Anmerkung

    • Nachdem Sie CloudTrail Insights zum ersten Mal im Quelldatenspeicher für Ereignisse aktiviert haben, kann es bis zu 7 Tage dauern, CloudTrail bis das erste Insights-Ereignis übermittelt wird, wenn ungewöhnliche Aktivitäten festgestellt werden. Weitere Informationen finden Sie unter Grundlegendes zur Insights-Ereignisbereitstellung.

    • Das Dashboard für Insights-Ereignisse zeigt nur Informationen zu den Insights-Ereignissen an, die vom ausgewählten Ereignisdatenspeicher erfasst wurden. Dies hängt von der Konfiguration des ursprünglichen Ereignisdatenspeicher ab. Wenn Sie beispielsweise den ursprünglichen Ereignisdatenspeicher so konfigurieren, dass Insights-Ereignisse für ApiCallRateInsight, aber nicht für ApiErrorRateInsight aktiviert werden, werden Ihnen keine Informationen über Insights-Ereignisse für ApiErrorRateInsight angezeigt.

Widgets

Widgets sind die Komponenten, aus denen ein Dashboard besteht und die eine Visualisierung ermöglichen, z. B. ein Linien- oder Balkendiagramm. Jedes Widget steht für eine zugrunde liegende Abfrage. Wenn Sie Abfragen ausführen wählen, CloudTrail wird eine vom System generierte Abfrage ausgeführt, um die Daten für jedes Widget aufzufüllen.