CloudTrail Conceptos y terminología lacustres

Los selectores de eventos avanzados determinan qué eventos incluir en un almacén de datos de eventos. Los selectores de eventos avanzados le ayudan a controlar los costos al registrar solo aquellos eventos que son importantes para usted.

En el caso de los eventos de administración, eventos de datos y eventos de actividad de la red, puede utilizar selectores de eventos avanzados para filtrar los eventos. Por ejemplo, si va a crear un almacén de datos de eventos para recopilar eventos de administración, puede filtrar los eventos de API datos de AWS Key Management Service (AWS KMS) o Amazon Relational Database Service (RDSAmazon). Por lo general, AWS KMS acciones como EncryptDecrypt, y GenerateDataKey generan más del 99 por ciento de los eventos.

En el caso de los elementos de AWS Config configuración, las pruebas de Audit Manager o los eventos ajenos a ellos AWS, los selectores de eventos avanzados solo se utilizan para incluir eventos de ese tipo en el almacén de datos de eventos.

La federación le permite ver los metadatos asociados a un almacén de datos de eventos en el catálogo de AWS Glue datos y ejecutar SQL consultas sobre los datos del evento mediante Amazon Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar.

Cuando habilita la federación de consultas de Lake, CloudTrail crea los recursos federados en su nombre y los registra. AWS Lake Formation Una vez habilitada la federación de Lake, puede consultar directamente los datos de su evento en Athena sin necesidad de realizar ningún paso adicional. Para obtener más información, consulte Federar un almacén de datos de eventos.

Cuando crea un almacén de datos de eventos, elige la opción de precio que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre precios, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

El período de retención de un almacén de datos de eventos determina cuánto tiempo se guardan los datos de eventos en el almacén de datos de eventos. CloudTrail Lake determina si se debe conservar un evento comprobando si el eventTime evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando eventTime tengan más de 90 días.

El periodo de retención predeterminado de un almacén de datos de eventos es el número predeterminado de días que los datos de eventos se conservan en el almacén de datos de eventos. Durante el periodo de retención predeterminado de un almacén de datos de eventos, el almacenamiento se incluye en los precios de incorporación sin costo adicional. Tras el período de retención predeterminado, el precio del almacenamiento es de pay-as-you-go.

El periodo máximo de retención de un almacén de datos de eventos representa el número máximo de días que puede conservar los datos en un almacén de datos de eventos.

De forma predeterminada, los almacenes de datos de eventos habilitan la protección contra la terminación, que evita que un almacén de datos de eventos se elimine accidentalmente. Para eliminar un almacén de datos de eventos con la protección contra terminación habilitada, seleccione Cambiar la protección contra terminación en el menú Acciones de la página de detalles del almacén de datos de eventos. A continuación, puede continuar con la eliminación del almacén de datos de eventos. Para obtener más información, consulte Cambio de la protección contra la terminación con la consola.

Existen dos tipos de integraciones: directas y de solución. Con las integraciones directas, el socio llama a la PutAuditEvents API operación para enviar los eventos al almacén de datos de eventos de su Cuenta de AWS propiedad. Con las integraciones de soluciones, la aplicación se ejecuta en usted Cuenta de AWS y la aplicación llama a la PutAuditEvents API operación para enviar los eventos al almacén de datos de eventos correspondiente a usted. Cuenta de AWS

Realice eventos de fuentes ajenas al AWS trabajo mediante el uso de canales para llevar a CloudTrail Lake eventos de socios externos con CloudTrail los que trabaja o de sus propias fuentes. Cuando crea un canal, elige uno o más almacenes de datos de eventos para almacenar los eventos que llegan del origen del canal. Puede cambiar los almacenes de datos de eventos de destino de un canal según sea necesario, siempre que los almacenes de datos de eventos de destino estén configurados para registrar eventos eventCategory="ActivityAuditLog". Cuando crea un canal para eventos de un socio externo, proporciona un nombre de recurso de Amazon (ARN) del canal al socio o a la aplicación de origen.

Las políticas basadas en recursos son documentos JSON de política que se adjuntan a un recurso. La política basada en recursos asociada al canal permite que el origen transmita eventos a través del canal. Si un canal no tiene una política de recursos, solo el propietario del canal puede llamar a la PutAuditEvents API operación del canal. Para obtener más información, consulte AWS CloudTrail ejemplos de políticas basadas en recursos.

CloudTrail Lake ofrece los siguientes tipos de paneles:

Los widgets son los componentes que componen un panel y proporcionan una visualización, como un gráfico de líneas o un gráfico de barras. Cada widget corresponde a una SQL consulta. Al actualizar un panel, CloudTrail ejecuta una consulta para cada widget del panel a fin de rellenar los datos del widget.