Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Trabajando con AWS CloudTrail Lake
AWS CloudTrail Lake le permite ejecutar consultas basadas en SQL en sus eventos. CloudTrail Lake convierte los eventos existentes en formato JSON basado en filas al formato Apache
CloudTrail Almacena datos de eventos en Lake
Cuando crea un almacén de datos de eventos, elige el tipo de eventos que desea incluir en él. Puede crear un banco de datos de eventos para incluir CloudTrail eventos, eventos de CloudTrail Insights, elementos de AWS Config configuración, AWS Audit Manager pruebas o eventos externos AWS. Cada banco de datos de eventos solo puede contener una categoría de eventos específica (por ejemplo, elementos de AWS Config configuración), ya que el esquema de eventos es exclusivo de la categoría de eventos. Puede almacenar los eventos de una organización AWS Organizations en un almacén de datos de eventos de la organización, incluidos los eventos de varias regiones y cuentas. También puede ejecutar consultas SQL en varios almacenes de datos de eventos mediante las palabras clave compatibles con SQL JOIN. Para obtener información acerca de cómo ejecutar consultas en varios almacenes de datos de eventos, consulte Soporte avanzado de consultas en varias tablas.
Puede copiar los eventos de la ruta a un banco de datos de eventos nuevo o existente para crear una point-in-time instantánea de los eventos registrados en la ruta. Para obtener más información, consulte Copiar eventos de registro de seguimiento en un almacén de datos de eventos.
Puede federar un almacén de datos de eventos para ver los metadatos asociados al almacén de datos de eventos en el Catálogo de datos de AWS Glue y ejecutar consultas de SQL sobre los datos de eventos con Amazon Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.
De forma predeterminada, todos los eventos de un almacén de datos de eventos se cifran mediante CloudTrail. Al configurar un banco de datos de eventos, puede optar por utilizar su propia AWS Key Management Service clave. El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.
Puede controlar el acceso a las acciones en los almacenes de datos de eventos mediante el uso de una autorización en función de etiquetas. Para obtener más información y ejemplos, consulte Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas en esta guía.
Puede usar los paneles de CloudTrail Lake para visualizar los datos de sus almacenes de datos de eventos. Cada panel consta de varios widgets y cada widget representa una consulta SQL. Para obtener más información acerca de los paneles de Lake, consulte Vea los tableros de CloudTrail Lake con la consola CloudTrail .
CloudTrail Los almacenes de datos de eventos de Lake incurren en cargos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios
CloudTrail Lake es compatible con CloudWatch las métricas de Amazon, que proporcionan información sobre los datos ingeridos y los bytes de almacenamiento. Para obtener más información sobre CloudWatch las métricas compatibles, consulte CloudWatch Métricas compatibles.
nota
CloudTrail normalmente, entrega los eventos en un promedio de unos 5 minutos después de una llamada a la API. No hay garantía de que suceda en este plazo.
CloudTrail Integraciones de Lake
Puede usar las integraciones de CloudTrail Lake para registrar y almacenar datos de actividad de AWS los usuarios desde fuera o desde cualquier fuente en sus entornos híbridos, como aplicaciones internas o SaaS alojadas en las instalaciones o en la nube, máquinas virtuales o contenedores. Después de crear almacenes de datos de eventos en CloudTrail Lake y crear un canal para registrar los eventos de actividad, debe llamar a la PutAuditEvents API para incorporar la actividad de su aplicación. CloudTrail Luego, puede usar CloudTrail Lake para buscar, consultar y analizar los datos que se registran desde sus aplicaciones.
Las integraciones también pueden registrar eventos en sus almacenes de datos de eventos de más de una docena de CloudTrail socios. En una integración de socios, crea almacenes de datos de eventos de destino, un canal y una política de recursos. Después de crear la integración, proporciona el ARN del canal al socio. Existen dos tipos de integraciones: directas y de solución. Con las integraciones directas, el socio utiliza la PutAuditEvents API para enviar los eventos al almacén de datos de eventos de su AWS cuenta. Con las integraciones de soluciones, la aplicación se ejecuta en su AWS cuenta y la aplicación llama a la PutAuditEvents API para enviar los eventos al almacén de datos de eventos de su AWS cuenta.
Para obtener más información sobre las integraciones, consulte Crear una integración con una fuente de eventos externa a. AWS
CloudTrail Consultas de Lake
| Presentamos una función de vista previa para las consultas de CloudTrail Lake que utiliza capacidades de inteligencia artificial generativa (IA generativa) para producir una consulta SQL a partir de un mensaje en inglés. Para obtener más información, consulte Cree consultas de CloudTrail Lake a partir de mensajes en inglés. |
CloudTrail Las consultas de Lake ofrecen una visión más profunda y personalizable de los eventos que las simples búsquedas de claves y valores en el historial de eventos o en ejecución. LookupEvents La búsqueda en el historial de eventos se limita a una sola Cuenta de AWS, solo devuelve los eventos de una sola Región de AWS y no puede consultar varios atributos. Por el contrario, los usuarios de CloudTrail Lake pueden ejecutar consultas SQL complejas en varios campos de eventos. CloudTrail Lake admite todas las SELECT instrucciones y funciones de Presto válidas. Para obtener más información acerca de los operadores y funciones SQL compatibles, consulte Funciones y operadores
Puede guardar las consultas de CloudTrail Lake para usarlas en el futuro y ver los resultados de las consultas durante un máximo de siete días. Al ejecutar consultas, puede guardar los resultados de las consultas en un bucket de Amazon S3.
La CloudTrail consola proporciona varios ejemplos de consultas que pueden ayudarle a empezar a escribir sus propias consultas. Para obtener más información, consulte Vea ejemplos de consultas con la CloudTrail consola.
CloudTrail Las consultas de Lake tienen un coste adicional. Cuando ejecuta consultas en Lake, paga según la cantidad de datos escaneados. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios
Recursos adicionales de
Los siguientes recursos pueden ayudarlo a comprender mejor qué es CloudTrail Lake y cómo puede usarlo.
Modernice la gestión de sus registros de auditoría con CloudTrail Lake
(YouTube vídeo) Registre los eventos de actividad procedentes de AWS fuentes ajenas a AWS CloudTrail Lake
(YouTube vídeo) Analice los registros de actividad con AWS CloudTrail Lake y Amazon Athena (vídeo
) YouTube Cómo Arctic Wolf utiliza AWS CloudTrail Lake para simplificar la seguridad y las operaciones (blog
)AWS
