Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Mit AWS CloudTrail Lake arbeiten
AWS CloudTrail Mit Lake können Sie SQL-basierte Abfragen für Ihre Ereignisse ausführen. CloudTrail Lake konvertiert bestehende Ereignisse im zeilenbasierten JSON-Format in das Apache ORC-Format.
CloudTrail Datenspeicher für Ereignisse in Lake
Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Kategorie der Ereignisse aus, die im Ereignisdatenspeicher aufgenommen werden sollen. Sie können einen Ereignisdatenspeicher erstellen, der CloudTrail Ereignisse, CloudTrail Insights-Ereignisse, AWS Config Konfigurationselemente, AWS Audit Manager Beweise oder Ereignisse von außerhalb enthält AWS. Jeder Ereignisdatenspeicher kann nur eine bestimmte Ereigniskategorie (z. B. AWS Config Konfigurationselemente) enthalten, da das Ereignisschema für die Ereigniskategorie einzigartig ist. Sie können Ereignisse aus einer Organisation AWS Organizations in einem Ereignisdatenspeicher einer Organisation speichern, einschließlich Ereignisse aus mehreren Regionen und Konten. Mit den unterstützten SQL-JOIN-Schlüsselwörtern können Sie auch SQL-Abfragen in mehreren Ereignisdatenspeichern ausführen. Informationen zum Ausführen von Abfragen in mehreren Ereignisdatenspeichern finden Sie unter Erweiterte Unterstützung für Abfragen in mehreren Tabellen.
Sie können Trail-Ereignisse in einen neuen oder vorhandenen Ereignisdatenspeicher kopieren, um eine point-in-time Momentaufnahme der im Trail protokollierten Ereignisse zu erstellen. Weitere Informationen finden Sie unter Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher.
Sie können einen Verbund zu einem Ereignisdatenspeicher einrichten, um die mit dem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -Datenkatalog zu sehen und SQL-Abfragen über die Ereignisdaten mit Amazon Athena durchzuführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter Verbund für einen Ereignisdatenspeicher erstellen.
Standardmäßig werden alle Ereignisse in einem Ereignisdatenspeicher von CloudTrail verschlüsselt. Wenn Sie einen Ereignisdatenspeicher konfigurieren, können Sie wählen, ob Sie Ihren eigenen AWS Key Management Service Schlüssel verwenden möchten. Die Verwendung Ihres eigenen KMS-Schlüssels verursacht AWS KMS Kosten für die Verschlüsselung und Entschlüsselung. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
Sie können den Zugriff auf Aktionen in Ereignisdatenspeichern mithilfe der Autorisierung auf Grundlage von Tags steuern. Weitere Informationen finden Sie auch unter Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags in diesem Handbuch.
Sie können CloudTrail Lake-Dashboards verwenden, um die Daten in Ihren Ereignisdatenspeichern zu visualisieren. Jedes Dashboard besteht aus mehreren Widgets und jedes Widget steht für eine SQL-Abfrage. Weitere Informationen zu Lake-Dashboards finden Sie unter CloudTrail Lake-Dashboards mit der CloudTrail Konsole anzeigen.
CloudTrail Für Ereignisdatenspeicher in Lake fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter AWS CloudTrail Preise
CloudTrail Lake unterstützt CloudWatch Amazon-Metriken, die Informationen über aufgenommene Daten und Speicherbytes liefern. Weitere Informationen zu unterstützten CloudWatch Metriken finden Sie unterUnterstützte CloudWatch Metriken.
Anmerkung
CloudTrail übermittelt Ereignisse in der Regel innerhalb von durchschnittlich etwa 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert.
CloudTrail Lake-Integrationen
Sie können CloudTrail Lake-Integrationen verwenden, um Benutzeraktivitätsdaten von außerhalb zu protokollieren und zu speichern AWS; aus beliebigen Quellen in Ihren Hybridumgebungen, z. B. internen oder SaaS-Anwendungen, die vor Ort oder in der Cloud gehostet werden, virtuellen Maschinen oder Containern. Nachdem Sie in CloudTrail Lake Ereignisdatenspeicher und einen Kanal zum Protokollieren von Aktivitätsereignissen erstellt haben, rufen Sie die PutAuditEvents
API auf, in die Ihre Anwendungsaktivitäten aufgenommen werden. CloudTrail Anschließend können Sie CloudTrail Lake verwenden, um die von Ihren Anwendungen protokollierten Daten zu suchen, abzufragen und zu analysieren.
Integrationen können auch Ereignisse von über einem Dutzend CloudTrail Partnern in Ihren Ereignisdatenspeichern protokollieren. In einer Partnerintegration erstellen Sie Datenspeicher für Zielereignisse, einen Kanal und eine Ressourcenrichtlinie. Nachdem Sie die Integration erstellt haben, stellen Sie dem Partner den Kanal-ARN zur Verfügung. Es gibt zwei Arten von Integrationen: Direkt und Lösung. Bei direkten Integrationen ruft der Partner die PutAuditEvents
API auf, um Ereignisse an den Event-Datenspeicher für Ihr AWS Konto zu übermitteln. Bei Lösungsintegrationen wird die Anwendung in Ihrem AWS Konto ausgeführt und die Anwendung ruft die PutAuditEvents
API auf, um Ereignisse an den Ereignisdatenspeicher für Ihr AWS Konto zu übermitteln.
Weitere Informationen zu Integrationen finden Sie unter Erstellen einer Integration mit einer Ereignisquelle außerhalb von. AWS
CloudTrail Lake-Abfragen
Wir stellen eine Vorschaufunktion für CloudTrail Lake-Abfragen vor, die Funktionen der generativen künstlichen Intelligenz (generative KI) nutzt, um anhand einer Eingabeaufforderung in englischer Sprache eine SQL-Abfrage zu erstellen. Weitere Informationen finden Sie unter Erstellen Sie CloudTrail Lake-Abfragen anhand von Eingabeaufforderungen in englischer Sprache. |
CloudTrail Lake-Abfragen bieten eine umfassendere und besser anpassbare Ansicht von Ereignissen als einfache Schlüssel- und Werte-Suchen im Ereignisverlauf oder in der AusführungLookupEvents
. Eine Suche im Ereignisverlauf ist auf ein einzelnes Objekt beschränkt AWS-Konto, gibt nur Ereignisse aus einem einzigen AWS-Region Objekt zurück und kann nicht mehrere Attribute abfragen. Im Gegensatz dazu können CloudTrail Lake-Benutzer komplexe SQL-Abfragen über mehrere Ereignisfelder hinweg ausführen. CloudTrail Lake unterstützt alle gültigen SELECT
Presto-Anweisungen und -Funktionen. Weitere Informationen zu den unterstützten SQL-Funktionen und -Operatoren finden Sie unter Funktionen und Operatoren
Sie können CloudTrail Lake-Abfragen für die future Verwendung speichern und die Ergebnisse von Abfragen bis zu sieben Tage lang anzeigen. Wenn Sie Abfragen ausführen, können Sie die Abfrageergebnisse in einem Amazon S3-Bucket speichern.
Die CloudTrail Konsole bietet eine Reihe von Beispielabfragen, die Ihnen den Einstieg in das Schreiben eigener Abfragen erleichtern können. Weitere Informationen finden Sie unter Beispielabfragen mit der CloudTrail Konsole anzeigen.
CloudTrail Für Lake-Abfragen fallen Gebühren an. Wenn Sie Abfragen in Lake ausführen, zahlen Sie auf der Grundlage der Menge der gescannten Daten. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter AWS CloudTrail Preise
Weitere Ressourcen
Die folgenden Ressourcen können Ihnen helfen, besser zu verstehen, was CloudTrail Lake ist und wie Sie es nutzen können.
Modernisieren Sie Ihr Audit-Log-Management mithilfe von CloudTrail Lake
(YouTube Video) Protokollieren Sie Aktivitätsereignisse aus AWS anderen Quellen in AWS CloudTrail Lake
(YouTube Video) Analysieren Sie Aktivitätsprotokolle mit AWS CloudTrail Lake und Amazon Athena
(YouTube Video) Wie Arctic Wolf AWS CloudTrail Lake nutzt, um Sicherheit und Betrieb zu vereinfachen
(AWS Blog)