Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Travailler avec AWS CloudTrail Lake
AWS CloudTrail Lake vous permet d'exécuter SQL des requêtes basées sur vos événements. CloudTrail Lake convertit les événements existants au JSON format basé sur les lignes au ORC format Apache
CloudTrail Stockages de données sur les événements du lac
Lorsque vous créez un magasin de données d’événement, vous choisissez le type d’événements à inclure dans celui-ci. Vous pouvez créer un magasin de données d'événements pour inclure des CloudTrail événements (événements de gestion, événements de données, événements liés à l'activité du réseau (en version préliminaire)), CloudTrail des événements Insights, des éléments de AWS Config configuration, des AWS Audit Manager preuves ou des événements extérieurs à AWS. Chaque banque de données d'événements ne peut contenir qu'une catégorie d'événements spécifique (par exemple, des éléments de AWS Config configuration), car le schéma d'événement est unique à la catégorie d'événements. Vous pouvez stocker les événements d'une organisation AWS Organizations dans un magasin de données d'événements d'organisation, y compris les événements provenant de plusieurs régions et comptes. Vous pouvez également exécuter des SQL requêtes dans plusieurs banques de données d'événements à l'aide des SQL JOIN mots clés pris en charge. Pour plus d’informations sur l’exécution de requêtes sur plusieurs magasins de données d’événement, consultez Prise en charge avancée des requêtes multitables.
Vous pouvez copier les événements du parcours dans un magasin de données d'événements nouveau ou existant pour créer un point-in-time instantané des événements enregistrés dans le parcours. Pour de plus amples informations, veuillez consulter Copier des événements de journal de suivi dans un magasin de données d'événement.
Vous pouvez fédérer un magasin de données d'événements pour voir les métadonnées associées au magasin de données d'événements dans le catalogue de AWS Glue données et exécuter des SQL requêtes sur les données d'événements à l'aide d'Amazon Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter Fédérer un magasin de données d’événement.
Vous pouvez associer une politique basée sur les ressources à votre banque de données d'événements afin de fournir un accès multicompte à des responsables sélectionnés. Vous pouvez ajouter une politique basée sur les ressources lorsque vous créez ou mettez à jour un magasin de données d'événements sur la CloudTrail console, ou en exécutant la AWS CLI put-resource-policy commande. Pour de plus amples informations, veuillez consulter Exemples de politiques basées sur les ressources pour les magasins de données d'événements.
Par défaut, tous les événements d'un magasin de données d'événements sont chiffrés par CloudTrail. Lorsque vous configurez un magasin de données d'événements, vous pouvez choisir d'utiliser votre propre AWS Key Management Service clé. L'utilisation de votre propre KMS clé entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé une banque de données d'événements à une KMS clé, la KMS clé ne peut pas être supprimée ou modifiée.
Vous pouvez contrôler l’accès aux actions sur les magasins de données d’événement à l’aide de l’autorisation basée sur des balises. Pour plus d’informations et d’exemples, consultez aussi Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications dans ce guide.
CloudTrail Les magasins de données sur les événements de Lake sont payants. Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir AWS CloudTrail Tarification
CloudTrail Lake prend en charge CloudWatch les métriques Amazon, qui fournissent des informations sur les données ingérées et les octets de stockage. Pour plus d'informations sur les CloudWatch métriques prises en charge, consultez CloudWatch Métriques prises en charge.
Note
CloudTrail fournit généralement des événements dans un délai moyen d'environ 5 minutes après un API appel. Ce délai n’est pas garanti.
CloudTrail Requêtes sur le lac
CloudTrail Les requêtes Lake offrent une vue plus approfondie et plus personnalisable des événements que de simples recherches de clés et de valeurs dans l'historique des événements ou en cours d'exécutionLookupEvents. Une recherche dans l'historique des événements est limitée à un seul Compte AWS, ne renvoie que les événements d'un seul Région AWSévénement et ne peut pas interroger plusieurs attributs. En revanche, les utilisateurs de CloudTrail Lake peuvent exécuter des SQL requêtes complexes sur plusieurs champs d'événements. CloudTrail Lake prend en charge toutes les SELECT instructions et fonctions Presto valides. Pour plus d'informations sur les SQL fonctions et les opérateurs pris en charge, consultez la section Fonctions et opérateurs
Vous pouvez créer une requête dans l'onglet CloudTrail Lake Editor en écrivant la requête à SQL partir de zéro, en ouvrant une requête enregistrée ou un exemple de requête et en la modifiant, ou en utilisant le générateur de requêtes pour produire une requête à partir d'une invite en anglais. Pour plus d’informations, consultez Création ou modification d'une requête avec la CloudTrail console et Créez des requêtes CloudTrail Lake à partir d'instructions en langage naturel.
Vous pouvez enregistrer les requêtes CloudTrail Lake pour une utilisation future et consulter les résultats des requêtes pendant sept jours au maximum. Lorsque vous exécutez des requêtes, vous pouvez enregistrer leurs résultats dans un compartiment Amazon S3.
La CloudTrail console fournit un certain nombre d'exemples de requêtes qui peuvent vous aider à commencer à écrire vos propres requêtes. Pour de plus amples informations, veuillez consulter Afficher des exemples de requêtes avec la CloudTrail console.
CloudTrail Les requêtes relatives au lac entraînent des frais. Lorsque vous exécutez des requêtes dans Lake, vous payez en fonction de la quantité de données analysées. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir AWS CloudTrail Tarification
CloudTrail Tableaux de bord du lac
Vous pouvez utiliser les tableaux de bord CloudTrail Lake pour voir les tendances des événements dans les magasins de données d'événements de votre compte. CloudTrail Lake propose les types de tableaux de bord suivants :
-
Tableaux de bord gérés : vous pouvez consulter un tableau de bord géré pour voir les tendances des événements d'un magasin de données d'événements qui collecte des événements de gestion, des événements de données ou des événements Insights. Ces tableaux de bord sont automatiquement mis à votre disposition et sont gérés par CloudTrail Lake. CloudTrail propose 14 tableaux de bord gérés parmi lesquels choisir. Vous pouvez actualiser manuellement les tableaux de bord gérés. Vous ne pouvez pas modifier, ajouter ou supprimer les widgets de ces tableaux de bord. Toutefois, vous pouvez enregistrer un tableau de bord géré en tant que tableau de bord personnalisé si vous souhaitez modifier les widgets ou définir un calendrier d'actualisation.
-
Tableaux de bord personnalisés : les tableaux de bord personnalisés vous permettent d'interroger des événements dans n'importe quel type de magasin de données d'événements. Vous pouvez ajouter jusqu'à 10 widgets à un tableau de bord personnalisé. Vous pouvez actualiser manuellement un tableau de bord personnalisé ou définir un calendrier d'actualisation.
-
Tableaux de bord des faits saillants : activez le tableau de bord des points forts pour afficher un at-a-glance aperçu de l' AWS activité collectée par les magasins de données d'événements de votre compte. Le tableau de bord Highlights est géré par CloudTrail et inclut des widgets adaptés à votre compte. Les widgets affichés sur le tableau de bord Highlights sont uniques à chaque compte. Ces widgets peuvent faire apparaître une activité anormale ou des anomalies détectées. Par exemple, votre tableau de bord Highlights peut inclure le widget Accès total entre comptes, qui indique s'il y a une augmentation de l'activité anormale entre comptes. CloudTrail met à jour le tableau de bord Highlights toutes les 6 heures. Le tableau de bord affiche les données des 24 dernières heures depuis la dernière mise à jour.
Chaque tableau de bord comprend un ou plusieurs widgets et chaque widget représente une SQL requête.
Pour de plus amples informations, veuillez consulter CloudTrail Tableaux de bord du lac.
Ressources supplémentaires
Les ressources suivantes peuvent vous aider à mieux comprendre ce qu'est CloudTrail Lake et comment vous pouvez l'utiliser.
Modernisez la gestion de vos journaux d'audit à l'aide de CloudTrail Lake
(YouTube vidéo) Enregistrer les événements d'activité non liés àAWS des sources dans AWS CloudTrail le lac
(YouTube vidéo) Analysez les journaux d'activité avec AWS CloudTrail Lake et Amazon Athena (vidéo
) YouTube Comment Arctic Wolf utilise AWS CloudTrail Lake pour simplifier la sécurité et les opérations
(AWS blog) Référence AWS CloudTrail API
CloudTrail Intégrations de lacs
Vous pouvez utiliser les intégrations CloudTrail Lake pour enregistrer et stocker les données d'activité des utilisateurs provenant de l'extérieur AWS, de n'importe quelle source dans vos environnements hybrides, telles que des applications internes ou SaaS hébergées sur site ou dans le cloud, des machines virtuelles ou des conteneurs. Après avoir créé des magasins de données d'événements dans CloudTrail Lake et créé un canal pour enregistrer les événements d'activité, vous les appelez PutAuditEvents API pour y intégrer CloudTrail l'activité de votre application. Vous pouvez ensuite utiliser CloudTrail Lake pour rechercher, interroger et analyser les données enregistrées par vos applications.
Les intégrations peuvent également enregistrer des événements dans vos magasins de données d'événements provenant de plus d'une douzaine de CloudTrail partenaires. Dans le cadre d'une intégration de partenaires, vous créez des stockages de données d'événement de destination, un canal et une politique de ressources. Après avoir créé l'intégration, vous fournissez le canal ARN au partenaire. Il existe deux types d’intégrations : directe et solution. Dans le cadre des intégrations directes, le partenaire appelle le PutAuditEvents API pour transmettre les événements à la banque de données d'événements de votre AWS compte. Avec les intégrations de solutions, l'application s'exécute dans votre AWS compte et l'application appelle le PutAuditEvents API pour transmettre les événements au magasin de données d'événements de votre AWS compte.
Pour plus d'informations sur les intégrations, voir Créer une intégration avec une source d'événements extérieure à. AWS
