Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS CloudTrail Lake le permite ejecutar consultas basadas en SQL en sus eventos. CloudTrail Lake convierte los eventos existentes en formato JSON basado en filas al formato Apache
CloudTrail Almacena datos de eventos en Lake
Cuando crea un almacén de datos de eventos, elige el tipo de eventos que desea incluir en él. Puede crear un banco de datos de eventos para incluir CloudTrail eventos (eventos de administración, eventos de datos, eventos de actividad de la red), eventos de CloudTrail Insights, elementos de AWS Config configuración, AWS Audit Manager pruebas o eventos externos AWS. Cada banco de datos de eventos solo puede contener una categoría de eventos específica (por ejemplo, elementos de AWS Config configuración), ya que el esquema de eventos es exclusivo de la categoría de eventos. Puede almacenar los eventos de una organización AWS Organizations en un almacén de datos de eventos de la organización, incluidos los eventos de varias regiones y cuentas. También puede ejecutar consultas SQL en varios almacenes de datos de eventos mediante las palabras clave compatibles con SQL JOIN. Para obtener información acerca de cómo ejecutar consultas en varios almacenes de datos de eventos, consulte Soporte avanzado de consultas en varias tablas.
Puede copiar los eventos de la ruta a un banco de datos de eventos nuevo o existente para crear una point-in-time instantánea de los eventos registrados en la ruta. Para obtener más información, consulte Copiar eventos de registro de seguimiento en un almacén de datos de eventos.
Puede federar un almacén de datos de eventos para ver los metadatos asociados al almacén de datos de eventos en el Catálogo de datos de AWS Glue y ejecutar consultas de SQL sobre los datos de eventos con Amazon Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.
Puede adjuntar una política basada en recursos al banco de datos de su evento para proporcionar acceso multicuenta a los directores seleccionados. Puedes añadir una política basada en recursos al crear o actualizar un banco de datos de eventos en la CloudTrail consola o al ejecutar el comando. AWS CLI put-resource-policy Para obtener más información, consulte Ejemplos de políticas basadas en recursos para almacenes de datos de eventos.
De forma predeterminada, todos los eventos de un banco de datos de eventos se cifran mediante. CloudTrail Al configurar un banco de datos de eventos, puede optar por utilizar su propia AWS Key Management Service clave. El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.
Puede controlar el acceso a las acciones en los almacenes de datos de eventos mediante el uso de una autorización en función de etiquetas. Para obtener más información y ejemplos, consulte Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas en esta guía.
CloudTrail Los almacenes de datos de eventos de Lake incurren en cargos. Cuando crea un almacén de datos de eventos, debe elegir la opción de precios que desee utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el período de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios
CloudTrail Lake es compatible con CloudWatch las métricas de Amazon, que proporcionan información sobre los datos ingeridos y los bytes de almacenamiento. Para obtener más información sobre CloudWatch las métricas compatibles, consulte CloudWatch Métricas compatibles.
nota
CloudTrail normalmente, entrega los eventos en un promedio de unos 5 minutos después de una llamada a la API. No hay garantía de que suceda en este plazo.
CloudTrail Consultas de Lake
CloudTrail Las consultas de Lake ofrecen una visión más profunda y personalizable de los eventos que las simples búsquedas de claves y valores en el historial de eventos o en ejecución. LookupEvents La búsqueda en el historial de eventos se limita a una sola Cuenta de AWS, solo devuelve los eventos de una sola Región de AWS y no puede consultar varios atributos. Por el contrario, los usuarios de CloudTrail Lake pueden ejecutar consultas SQL complejas en varios campos de eventos. CloudTrail Lake admite todas las SELECT instrucciones y funciones de Presto válidas. Para obtener más información acerca de los operadores y funciones SQL compatibles, consulte Funciones y operadores
Puede crear una consulta en la pestaña CloudTrail Lake Editor escribiéndola en SQL desde cero, abriendo una consulta guardada o de muestra y editándola, o utilizando el generador de consultas para generar una consulta a partir de un mensaje en inglés. Para obtener más información, consulte Cree o edite una consulta con la consola CloudTrail y Cree consultas de CloudTrail Lake a partir de mensajes en lenguaje natural.
Puede guardar las consultas de CloudTrail Lake para usarlas en el futuro y ver los resultados de las consultas durante un máximo de siete días. Al ejecutar consultas, puede guardar los resultados de las consultas en un bucket de Amazon S3.
La CloudTrail consola proporciona varios ejemplos de consultas que pueden ayudarle a empezar a escribir sus propias consultas. Para obtener más información, consulte Vea ejemplos de consultas con la CloudTrail consola.
CloudTrail Las consultas de Lake tienen un coste. Cuando ejecuta consultas en Lake, paga según la cantidad de datos escaneados. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios
CloudTrail Paneles de control de Lake
Puede usar los paneles de CloudTrail Lake para ver las tendencias de los eventos en los almacenes de datos de eventos de su cuenta. CloudTrail Lake ofrece los siguientes tipos de paneles:
-
Paneles administrados: puede ver un panel administrado para ver las tendencias de los eventos de un almacén de datos de eventos que recopila eventos de administración, eventos de datos o eventos de Insights. Estos paneles están disponibles automáticamente y son gestionados por CloudTrail Lake. CloudTrail ofrece 14 paneles gestionados entre los que elegir. Puede actualizar manualmente los paneles gestionados. No puede modificar, añadir ni eliminar los widgets de estos paneles; sin embargo, puede guardar un panel gestionado como un panel personalizado si desea modificar los widgets o establecer un programa de actualización.
-
Paneles personalizados: los paneles personalizados le permiten consultar eventos en cualquier tipo de almacén de datos de eventos. Puede añadir hasta 10 widgets a un panel personalizado. Puedes actualizar manualmente un panel personalizado o puedes establecer un programa de actualización.
-
Paneles de información destacada: active el panel de información destacada para ver un at-a-glance resumen de la AWS actividad recopilada por los almacenes de datos de eventos de su cuenta. El panel de aspectos destacados está gestionado por tu cuenta CloudTrail e incluye widgets que son relevantes para tu cuenta. Los widgets que se muestran en el panel de Highlights son exclusivos de cada cuenta. Estos widgets podrían detectar actividad o anomalías anormales detectadas. Por ejemplo, tu panel de control de Highlights podría incluir el widget Acceso total a varias cuentas, que muestra si se produce un aumento de la actividad anormal entre cuentas. CloudTrail actualiza el panel de Highlights cada 6 horas. El panel muestra los datos de las últimas 24 horas de la última actualización.
Cada panel consta de uno o más widgets y cada widget representa una consulta SQL.
Para obtener más información, consulte CloudTrail Paneles de control de Lake.
CloudTrail Integraciones de Lake
Puede usar las integraciones de CloudTrail Lake para registrar y almacenar datos de actividad de AWS los usuarios desde fuera o desde cualquier fuente en sus entornos híbridos, como aplicaciones internas o SaaS alojadas en las instalaciones o en la nube, máquinas virtuales o contenedores. Después de crear almacenes de datos de eventos en CloudTrail Lake y crear un canal para registrar los eventos de actividad, debe llamar a la PutAuditEvents API para incorporar la actividad de su aplicación. CloudTrail Luego, puede usar CloudTrail Lake para buscar, consultar y analizar los datos que se registran desde sus aplicaciones.
Las integraciones también pueden registrar eventos en sus almacenes de datos de eventos de más de una docena de CloudTrail socios. En una integración de socios, crea almacenes de datos de eventos de destino, un canal y una política de recursos. Después de crear la integración, proporciona el ARN del canal al socio. Existen dos tipos de integraciones: directas y de solución. Con las integraciones directas, el socio utiliza la PutAuditEvents API para enviar los eventos al almacén de datos de eventos de su AWS cuenta. Con las integraciones de soluciones, la aplicación se ejecuta en su AWS cuenta y la aplicación llama a la PutAuditEvents API para enviar los eventos al almacén de datos de eventos de su AWS cuenta.
Para obtener más información sobre las integraciones, consulte Crear una integración con una fuente de eventos externa a. AWS
Recursos adicionales
Los siguientes recursos pueden ayudarte a comprender mejor qué es CloudTrail Lake y cómo puedes usarlo.
Modernice la gestión de sus registros de auditoría con CloudTrail Lake
(YouTube vídeo) Registre los eventos de actividad procedentes de AWS fuentes ajenas a AWS CloudTrail Lake
(YouTube vídeo) Analice los registros de actividad con AWS CloudTrail Lake y Amazon Athena (vídeo
) YouTube Obtenga visibilidad de los registros de actividad para las identidades de sus empleados y clientes
(AWS blog) Cómo Arctic Wolf utiliza AWS CloudTrail Lake para simplificar la seguridad y las operaciones (blog
)AWS
