CloudTrail Concepts et terminologie relatifs aux lacs - AWS CloudTrail
Magasins de données d’événementIntégrationsRequêtesTableau de bord

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CloudTrail Concepts et terminologie relatifs aux lacs

Cette section décrit les principaux concepts et termes qui vous aideront à utiliser AWS CloudTrail Lake.

Magasins de données d’événement

Les événements sont agrégés dans des magasins de données d’événement, qui sont des ensembles inaltérables d’événements basés sur des critères que vous sélectionnez en appliquant les sélecteurs d’événements avancés.

Vous pouvez créer un magasin de données d'événements pour enregistrer les CloudTrail événements (événements de gestion, événements de données, événements liés à l'activité du réseau), les événements CloudTrail Insights, les AWS Audit Manager preuves, les éléments de AWS Config configuration ou les événements extérieurs à AWS.

Note

Les événements liés à l'activité réseau sont en version préliminaire CloudTrail et sont susceptibles d'être modifiés.

Sélecteurs d’événements avancés

Les sélecteurs d’événements avancés déterminent les événements à inclure dans un magasin de données d’événement. Ils vous aident à contrôler les coûts en ne journalisant que les événements qui sont importants pour vous.

Pour les événements de gestion, les événements de données et les événements d'activité réseau, vous pouvez utiliser des sélecteurs d'événements avancés pour filtrer les événements. Par exemple, si vous créez un magasin de données d'événements pour collecter des événements de gestion, vous pouvez filtrer les événements de API données AWS Key Management Service (AWS KMS) ou Amazon Relational Database Service (RDSAmazon). Généralement, AWS KMS les actions telles que EncryptDecrypt, et GenerateDataKey génèrent plus de 99 % des événements.

Pour les éléments de AWS Config configuration, les preuves d'Audit Manager ou les événements extérieurs aux sélecteurs d' AWSévénements avancés ne sont utilisés que pour inclure des événements de ce type dans le magasin de données d'événements.

Fédération

La fédération vous permet de consulter les métadonnées associées à un magasin de données d'événements dans le catalogue de AWS Glue données et d'exécuter des SQL requêtes sur les données d'événements à l'aide d'Amazon Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger.

Lorsque vous activez la fédération de requêtes Lake, CloudTrail crée les ressources fédérées en votre nom et enregistre ces ressources auprès AWS Lake Formationde. Une fois la fédération de Lake activée, vous pouvez directement interroger les données de votre événement dans Athena sans avoir à effectuer d’étapes supplémentaires. Pour de plus amples informations, veuillez consulter Fédérer un magasin de données d’événement.

Option de tarification

Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d’informations sur la tarification, consultez Tarification d’AWS CloudTrail et Gestion des coûts CloudTrail du lac.

Période de conservation

La période de conservation d'un magasin de données d'événements détermine la durée pendant laquelle les données d'événements sont conservées dans le magasin de données d'événements. CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. eventTime Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent eventTime de plus de 90 jours.

Période de conservation par défaut

La période de conservation par défaut d’un magasin de données d’événement est le nombre de jours par défaut pendant lesquels les données d’événements sont conservées dans le magasin de données d’événement. Pendant la période de conservation par défaut d’un magasin de données d’événement, le stockage est inclus dans le prix d’ingestion sans frais supplémentaires. Après la période de conservation par défaut, le prix du stockage est fixé à pay-as-you-go.

Période de conservation maximale

La période de conservation maximale d’un magasin de données d’événement représente le nombre maximal de jours pendant lesquels vous pouvez conserver les données dans un magasin de données d’événement.

Protection de la résiliation

Par défaut, les magasins de données d’événement activent la protection contre la résiliation, qui protège un magasin de données d’événement contre toute suppression accidentelle. Pour supprimer un magasin de données d’événement avec la protection de résiliation activée, choisissez Modifier la protection contre la résiliation dans le menu Actions de la page de détails du magasin de données d’événement. Vous pouvez ensuite supprimer le magasin de données d’événement. Pour de plus amples informations, veuillez consulter Modifier la protection contre le licenciement à l'aide de la console.

Intégrations

Vous pouvez utiliser les intégrations de CloudTrail Lake pour enregistrer et stocker les données d'activité des utilisateurs provenant des sources suivantes :

  • En dehors de AWS

  • Vous pouvez journaliser et stocker les données d’activité des utilisateurs provenant des sources que vous souhaitez dans vos environnements hybrides, telles que des applications internes ou SaaS (logiciel en tant que service) hébergées sur site ou dans le cloud, des machines virtuelles ou des conteneurs

Une intégration nécessite un canal pour diffuser les événements et un magasin de données d’événement pour recevoir les événements. Après avoir configuré votre intégration, appelez l'PutAuditEventsAPIopération pour intégrer CloudTrail l'activité de votre application. Vous pouvez ensuite utiliser CloudTrail Lake pour rechercher, interroger et analyser les données enregistrées par vos applications. Pour de plus amples informations, veuillez consulter Créez une intégration avec une source d'événements en dehors de AWS.

Type d’intégration

Il existe deux types d’intégrations : directe et solution. Dans le cadre des intégrations directes, le partenaire appelle l'PutAuditEventsAPIopération pour transmettre les événements à la banque de données d'événements pour vous Compte AWS. Avec les intégrations de solutions, l'application s'exécute dans votre Compte AWS environnement et l'application appelle l'PutAuditEventsAPIopération pour transmettre les événements au magasin de données d'événements pour vous Compte AWS.

Canaux

Organisez des événements provenant de sources extérieures au AWS travail en utilisant des canaux pour diffuser dans CloudTrail Lake des événements provenant de partenaires externes qui travaillent avec CloudTrail vous ou provenant de vos propres sources. Lorsque vous créez un canal, vous sélectionnez un ou plusieurs magasins de données d’événement pour stocker les événements provenant de la source du canal. Vous pouvez modifier les magasins de données d’événement de destination d’un canal selon vos besoins, à condition qu’ils soient configurés pour journaliser les événements eventCategory="ActivityAuditLog". Lorsque vous créez une chaîne pour les événements d'un partenaire externe, vous fournissez un canal Amazon Resource Name (ARN) au partenaire ou à l'application source.

Politiques basées sur les ressources

Les politiques basées sur les ressources sont des documents JSON de stratégie que vous attachez à une ressource. La politique basée sur les ressources attachée au canal permet à la source de transmettre des événements via celui-ci. Si une chaîne n'a pas de politique de ressources, seul le propriétaire de la chaîne peut appeler l'PutAuditEventsAPIopération sur la chaîne. Pour de plus amples informations, veuillez consulter AWS CloudTrail exemples de politiques basées sur les ressources.

Requêtes

Note

Présentation d'une fonctionnalité d'aperçu pour les requêtes CloudTrail Lake qui utilise des fonctionnalités d'intelligence artificielle générative (IA générative) pour produire une SQL requête à partir d'une invite en anglais. Pour de plus amples informations, veuillez consulter Créez des requêtes CloudTrail Lake à partir d'instructions en anglais.

Les requêtes dans CloudTrail Lake sont créées dans. SQL Vous pouvez créer une requête dans l'onglet CloudTrail Lake Editor en l'écrivant à SQL partir de zéro, ou en ouvrant une requête enregistrée ou un exemple de requête et en la modifiant. Vous ne pouvez pas remplacer un exemple de requête inclus par vos modifications, mais vous pouvez l’enregistrer en tant que nouvelle requête. Pour de plus amples informations, veuillez consulter Création ou modification d'une requête à l'aide de la CloudTrail console.

CloudTrail Lake prend en charge tous les modèles valides Presto SELECTdéclarations et fonctions. Pour plus d'informations sur les SQL fonctions et les opérateurs pris en charge, consultez la section Fonctions et opérateurs sur le Presto site de documentation.

Tableau de bord

En utilisant le tableau de bord CloudTrail Lake, vous pouvez visualiser les événements dans un magasin de données d'événements et voir les tendances des événements, telles que le top Services AWS, les utilisateurs et les erreurs. Pour de plus amples informations, veuillez consulter Afficher les tableaux de bord de CloudTrail Lake avec la console CloudTrail .

Type de tableau de bord

Les types de tableaux de bord disponibles pour un magasin de données d’événement dépendent de la configuration des sélecteurs d’événements avancés du magasin de données d’événement. Par exemple, si un type de tableau de bord affiche des informations sur les événements de CloudTrail gestion, vous ne pouvez sélectionner le tableau de bord que si le magasin de données d'événements actuellement sélectionné collecte CloudTrail des événements de gestion.

Les types de tableaux de bord disponibles sont les suivants :

  • Tableau de bord d'ensemble — Affiche les utilisateurs les plus actifs Régions AWS, et Services AWS par nombre d'événements. Vous pouvez également consulter des informations sur l’activité des événements de gestion read et write, les événements les plus limités et les principales erreurs. Ce tableau de bord est disponible pour les magasins de données d’événement qui collectent des événements de gestion.

  • Tableau de bord Événements de gestion : affiche les événements de connexion à la console, les événements de refus d’accès, les actions destructrices et les principales erreurs par utilisateur. Vous pouvez également consulter des informations sur TLS les versions et les TLS appels périmés par utilisateur. Ce tableau de bord est disponible pour les magasins de données d’événement qui collectent des événements de gestion.

  • Tableau de bord Événements de données S3 : affiche l’activité du compte Amazon S3, les objets S3 les plus consultés, les principaux utilisateurs S3 et les principales actions S3. Ce tableau de bord est disponible pour les magasins de données d’événement qui collectent des événements de données Amazon S3.

  • Tableau de bord Événements Insights : affiche la proportion globale d'événements Insights par type Insights, la proportion d'événements Insights par type Insights pour les principaux utilisateurs et services, et le nombre d'événements Insights par jour. Le tableau de bord inclut également un widget qui répertorie jusqu'à 30 jours d'événements Insights. Ce tableau de bord n'est disponible que pour les entrepôts de données d'événement qui collectent des événements Insights.

    Note

    • Une fois que vous avez activé CloudTrail Insights pour la première fois dans le magasin de données d'événements source, le lancement du premier événement Insights peut prendre jusqu' CloudTrail à 7 jours, si une activité inhabituelle est détectée. Pour de plus amples informations, veuillez consulter Comprendre la diffusion d'événements Insights.

    • Le tableau de bord Événements Insights n'affiche que les informations relatives aux événements Insights collectés par l'entrepôt de données d'événement sélectionné, qui sont déterminées par la configuration de l'entrepôt de données d'événement source. Par exemple, si vous configurez le magasin de données d’événement source pour activer les événements Insights sur ApiCallRateInsight, mais pas sur ApiErrorRateInsight, vous ne verrez aucune information sur les événements Insights sur ApiErrorRateInsight.

Widgets

Les widgets sont les composants qui constituent un tableau de bord et fournissent une visualisation, telle qu’un graphique linéaire ou un graphique à barres. Chaque widget représente une requête sous-jacente. Lorsque vous choisissez Exécuter des requêtes, CloudTrail exécute une requête générée par le système pour renseigner les données de chaque widget.