Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit AWS CloudTrail Lake arbeiten

AWS CloudTrail Mit Lake können Sie SQL-basierte Abfragen für Ihre Ereignisse ausführen. CloudTrail Lake konvertiert bestehende Ereignisse im zeilenbasierten JSON-Format in das Apache ORC-Format. ORC ist ein spaltenförmiges Speicherformat, das für den schnellen Abruf von Daten optimiert ist. Die Ereignisse werden in Ereignisdatenspeichern zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von erweiterten Ereignisselektoren auswählen. Sie können die Ereignisdaten bis zu 3 653 Tage (etwa 10 Jahre) in einem Ereignisdatenspeicher speichern, wenn Sie sich für die Preisoption mit verlängerbarer Aufbewahrung von einem Jahr entscheiden, oder bis zu 2 557 Tage (etwa 7 Jahre), wenn Sie sich für die Preisoption mit siebenjähriger Aufbewahrung entscheiden. Die Selektoren, die Sie auf einen Ereignisdatenspeicher anwenden, steuern, welche Ereignisse bestehen bleiben und für Abfragen zur Verfügung stehen. CloudTrail Lake ist eine Auditing-Lösung, die Ihren Compliance-Stack ergänzen und Sie bei der Problembehebung nahezu in Echtzeit unterstützen kann.

CloudTrail Datenspeicher für Ereignisse in Lake

Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Kategorie der Ereignisse aus, die im Ereignisdatenspeicher aufgenommen werden sollen. Sie können einen Ereignisdatenspeicher erstellen, der CloudTrail Ereignisse, CloudTrail Insights-Ereignisse, AWS Config Konfigurationselemente, AWS Audit Manager Beweise oder Ereignisse von außerhalb enthält AWS. Jeder Ereignisdatenspeicher kann nur eine bestimmte Ereigniskategorie (z. B. AWS Config Konfigurationselemente) enthalten, da das Ereignisschema für die Ereigniskategorie einzigartig ist. Sie können Ereignisse aus einer Organisation AWS Organizations in einem Ereignisdatenspeicher einer Organisation speichern, einschließlich Ereignisse aus mehreren Regionen und Konten. Mit den unterstützten SQL-JOIN-Schlüsselwörtern können Sie auch SQL-Abfragen in mehreren Ereignisdatenspeichern ausführen. Informationen zum Ausführen von Abfragen in mehreren Ereignisdatenspeichern finden Sie unter Erweiterte Unterstützung für Abfragen in mehreren Tabellen.

Sie können Trail-Ereignisse in einen neuen oder vorhandenen Ereignisdatenspeicher kopieren, um eine point-in-time Momentaufnahme der im Trail protokollierten Ereignisse zu erstellen. Weitere Informationen finden Sie unter Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher.

Sie können einen Verbund zu einem Ereignisdatenspeicher einrichten, um die mit dem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -Datenkatalog zu sehen und SQL-Abfragen über die Ereignisdaten mit Amazon Athena durchzuführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter Verbund für einen Ereignisdatenspeicher erstellen.

Standardmäßig werden alle Ereignisse in einem Ereignisdatenspeicher von CloudTrail verschlüsselt. Wenn Sie einen Ereignisdatenspeicher konfigurieren, können Sie wählen, ob Sie Ihren eigenen AWS Key Management Service Schlüssel verwenden möchten. Die Verwendung Ihres eigenen KMS-Schlüssels verursacht AWS KMS Kosten für die Verschlüsselung und Entschlüsselung. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.

Sie können den Zugriff auf Aktionen in Ereignisdatenspeichern mithilfe der Autorisierung auf Grundlage von Tags steuern. Weitere Informationen finden Sie auch unter Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags in diesem Handbuch.

Sie können CloudTrail Lake-Dashboards verwenden, um die Daten in Ihren Ereignisdatenspeichern zu visualisieren. Jedes Dashboard besteht aus mehreren Widgets und jedes Widget steht für eine SQL-Abfrage. Weitere Informationen zu Lake-Dashboards finden Sie unter CloudTrail Lake-Dashboards mit der CloudTrail Konsole anzeigen.

CloudTrail Für Ereignisdatenspeicher in Lake fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter AWS CloudTrail Preise undVerwaltung der CloudTrail Seekosten.

CloudTrail Lake unterstützt CloudWatch Amazon-Metriken, die Informationen über aufgenommene Daten und Speicherbytes liefern. Weitere Informationen zu unterstützten CloudWatch Metriken finden Sie unterUnterstützte CloudWatch Metriken.

CloudTrail Lake-Integrationen

Sie können CloudTrail Lake-Integrationen verwenden, um Benutzeraktivitätsdaten von außerhalb zu protokollieren und zu speichern AWS; aus beliebigen Quellen in Ihren Hybridumgebungen, z. B. internen oder SaaS-Anwendungen, die vor Ort oder in der Cloud gehostet werden, virtuellen Maschinen oder Containern. Nachdem Sie in CloudTrail Lake Ereignisdatenspeicher und einen Kanal zum Protokollieren von Aktivitätsereignissen erstellt haben, rufen Sie die PutAuditEvents API auf, in die Ihre Anwendungsaktivitäten aufgenommen werden. CloudTrail Anschließend können Sie CloudTrail Lake verwenden, um die von Ihren Anwendungen protokollierten Daten zu suchen, abzufragen und zu analysieren.

Integrationen können auch Ereignisse von über einem Dutzend CloudTrail Partnern in Ihren Ereignisdatenspeichern protokollieren. In einer Partnerintegration erstellen Sie Datenspeicher für Zielereignisse, einen Kanal und eine Ressourcenrichtlinie. Nachdem Sie die Integration erstellt haben, stellen Sie dem Partner den Kanal-ARN zur Verfügung. Es gibt zwei Arten von Integrationen: Direkt und Lösung. Bei direkten Integrationen ruft der Partner die PutAuditEvents API auf, um Ereignisse an den Event-Datenspeicher für Ihr AWS Konto zu übermitteln. Bei Lösungsintegrationen wird die Anwendung in Ihrem AWS Konto ausgeführt und die Anwendung ruft die PutAuditEvents API auf, um Ereignisse an den Ereignisdatenspeicher für Ihr AWS Konto zu übermitteln.

Weitere Informationen zu Integrationen finden Sie unter Erstellen einer Integration mit einer Ereignisquelle außerhalb von. AWS

CloudTrail Lake-Abfragen

CloudTrail Lake-Abfragen bieten eine umfassendere und besser anpassbare Ansicht von Ereignissen als einfache Schlüssel- und Werte-Suchen im Ereignisverlauf oder in der AusführungLookupEvents. Eine Suche im Ereignisverlauf ist auf ein einzelnes Objekt beschränkt AWS-Konto, gibt nur Ereignisse aus einem einzigen AWS-Region Objekt zurück und kann nicht mehrere Attribute abfragen. Im Gegensatz dazu können CloudTrail Lake-Benutzer komplexe SQL-Abfragen über mehrere Ereignisfelder hinweg ausführen. CloudTrail Lake unterstützt alle gültigen SELECT Presto-Anweisungen und -Funktionen. Weitere Informationen zu den unterstützten SQL-Funktionen und -Operatoren finden Sie unter Funktionen und Operatoren auf der Dokumentationswebsite für Presto.

Sie können CloudTrail Lake-Abfragen für die future Verwendung speichern und die Ergebnisse von Abfragen bis zu sieben Tage lang anzeigen. Wenn Sie Abfragen ausführen, können Sie die Abfrageergebnisse in einem Amazon S3-Bucket speichern.

Die CloudTrail Konsole bietet eine Reihe von Beispielabfragen, die Ihnen den Einstieg in das Schreiben eigener Abfragen erleichtern können. Weitere Informationen finden Sie unter Beispielabfragen mit der CloudTrail Konsole anzeigen.

CloudTrail Für Lake-Abfragen fallen Gebühren an. Wenn Sie Abfragen in Lake ausführen, zahlen Sie auf der Grundlage der Menge der gescannten Daten. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter AWS CloudTrail Preise undVerwaltung der CloudTrail Seekosten.

Weitere Ressourcen

Die folgenden Ressourcen können Ihnen helfen, besser zu verstehen, was CloudTrail Lake ist und wie Sie es nutzen können.