Travailler avec AWS CloudTrail Lake - AWS CloudTrail
CloudTrail Stockages de données sur les événements du lacCloudTrail Intégrations de lacsCloudTrail Requêtes sur le lacRessources supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Travailler avec AWS CloudTrail Lake

AWS CloudTrail Lake vous permet d'exécuter SQL des requêtes basées sur vos événements. CloudTrail Lake convertit les événements existants au JSON format basé sur les lignes au ORC format Apache. ORCest un format de stockage en colonnes optimisé pour une extraction rapide des données. Les événements sont agrégés dans des magasins de données d’événement, qui sont des ensembles inaltérables d’événements basés sur des critères que vous sélectionnez en appliquant les sélecteurs d’événements avancés. Vous pouvez conserver les données d’événement dans une banque de données d’événement jusqu’à 3 653 jours (environ 10 ans) si vous choisissez l’option de tarification de rétention extensible d’un an, ou jusqu’à 2 557 jours (environ 7 ans) si vous choisissez l’option de tarification de rétention de sept ans. Les sélecteurs que vous appliquez à une banque de données d'événements contrôlent les événements qui persistent et que vous pouvez interroger. CloudTrail Lake est une solution d'audit qui peut compléter votre système de conformité et vous aider à résoudre les problèmes en temps quasi réel.

CloudTrail Stockages de données sur les événements du lac

Lorsque vous créez un magasin de données d’événement, vous choisissez le type d’événements à inclure dans celui-ci. Vous pouvez créer un magasin de données d'événements pour inclure des CloudTrail événements (événements de gestion, événements de données, événements liés à l'activité du réseau (en version préliminaire)), CloudTrail des événements Insights, des éléments de AWS Config configuration, des AWS Audit Manager preuves ou des événements extérieurs à AWS. Chaque banque de données d'événements ne peut contenir qu'une catégorie d'événements spécifique (par exemple, des éléments de AWS Config configuration), car le schéma d'événement est unique à la catégorie d'événements. Vous pouvez stocker les événements d'une organisation AWS Organizations dans un magasin de données d'événements d'organisation, y compris les événements provenant de plusieurs régions et comptes. Vous pouvez également exécuter des SQL requêtes dans plusieurs banques de données d'événements à l'aide des SQL JOIN mots clés pris en charge. Pour plus d’informations sur l’exécution de requêtes sur plusieurs magasins de données d’événement, consultez Prise en charge avancée des requêtes multitables.

Vous pouvez copier les événements du parcours dans un magasin de données d'événements nouveau ou existant pour créer un point-in-time instantané des événements enregistrés dans le parcours. Pour de plus amples informations, veuillez consulter Copier des événements de journal de suivi dans un magasin de données d'événement.

Vous pouvez fédérer un magasin de données d'événements pour voir les métadonnées associées au magasin de données d'événements dans le catalogue de AWS Glue données et exécuter des SQL requêtes sur les données d'événements à l'aide d'Amazon Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter Fédérer un magasin de données d’événement.

Par défaut, tous les événements d'un magasin de données d'événements sont chiffrés par CloudTrail. Lorsque vous configurez un magasin de données d'événements, vous pouvez choisir d'utiliser votre propre AWS Key Management Service clé. L'utilisation de votre propre KMS clé entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé une banque de données d'événements à une KMS clé, la KMS clé ne peut pas être supprimée ou modifiée.

Vous pouvez contrôler l’accès aux actions sur les magasins de données d’événement à l’aide de l’autorisation basée sur des balises. Pour plus d’informations et d’exemples, consultez aussi Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications dans ce guide.

Vous pouvez utiliser les tableaux de bord CloudTrail Lake pour visualiser les données de vos magasins de données d'événements. Chaque tableau de bord est composé de plusieurs widgets et chaque widget représente une SQL requête. Pour de plus amples informations sur le tableau de bord Lake, veuillez consulter Afficher les tableaux de bord de CloudTrail Lake avec la console CloudTrail .

CloudTrail Les magasins de données sur les événements de Lake sont payants. Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir AWS CloudTrail Tarification etGestion des coûts CloudTrail du lac.

CloudTrail Lake prend en charge CloudWatch les métriques Amazon, qui fournissent des informations sur les données ingérées et les octets de stockage. Pour plus d'informations sur les CloudWatch métriques prises en charge, consultez CloudWatch Métriques prises en charge.

Note

CloudTrail fournit généralement des événements dans un délai moyen d'environ 5 minutes après un API appel. Ce délai n’est pas garanti.

CloudTrail Intégrations de lacs

Vous pouvez utiliser les intégrations CloudTrail Lake pour enregistrer et stocker les données d'activité des utilisateurs provenant de l'extérieur AWS, de n'importe quelle source dans vos environnements hybrides, telles que des applications internes ou SaaS hébergées sur site ou dans le cloud, des machines virtuelles ou des conteneurs. Après avoir créé des magasins de données d'événements dans CloudTrail Lake et créé un canal pour enregistrer les événements d'activité, vous les appelez PutAuditEvents API pour y intégrer CloudTrail l'activité de votre application. Vous pouvez ensuite utiliser CloudTrail Lake pour rechercher, interroger et analyser les données enregistrées par vos applications.

Les intégrations peuvent également enregistrer des événements dans vos magasins de données d'événements provenant de plus d'une douzaine de CloudTrail partenaires. Dans le cadre d'une intégration de partenaires, vous créez des stockages de données d'événement de destination, un canal et une politique de ressources. Après avoir créé l'intégration, vous fournissez le canal ARN au partenaire. Il existe deux types d’intégrations : directe et solution. Dans le cadre des intégrations directes, le partenaire appelle le PutAuditEvents API pour transmettre les événements à la banque de données d'événements de votre AWS compte. Avec les intégrations de solutions, l'application s'exécute dans votre AWS compte et l'application appelle le PutAuditEvents API pour transmettre les événements au magasin de données d'événements de votre AWS compte.

Pour plus d'informations sur les intégrations, voir Créer une intégration avec une source d'événements extérieure à. AWS

CloudTrail Requêtes sur le lac

Note

Présentation d'une fonctionnalité d'aperçu pour les requêtes CloudTrail Lake qui utilise des fonctionnalités d'intelligence artificielle générative (IA générative) pour produire une SQL requête à partir d'une invite en anglais. Pour de plus amples informations, veuillez consulter Créez des requêtes CloudTrail Lake à partir d'instructions en anglais.

CloudTrail Les requêtes Lake offrent une vue plus approfondie et plus personnalisable des événements que de simples recherches de clés et de valeurs dans l'historique des événements ou en cours d'exécutionLookupEvents. Une recherche dans l'historique des événements est limitée à un seul Compte AWS, ne renvoie que les événements d'un seul Région AWSévénement et ne peut pas interroger plusieurs attributs. En revanche, les utilisateurs de CloudTrail Lake peuvent exécuter des SQL requêtes complexes sur plusieurs champs d'événements. CloudTrail Lake prend en charge toutes les SELECT instructions et fonctions Presto valides. Pour plus d'informations sur les SQL fonctions et les opérateurs pris en charge, consultez la section Fonctions et opérateurs sur le site Web de documentation de Presto.

Vous pouvez enregistrer les requêtes CloudTrail Lake pour une utilisation future et consulter les résultats des requêtes pendant sept jours au maximum. Lorsque vous exécutez des requêtes, vous pouvez enregistrer leurs résultats dans un compartiment Amazon S3.

La CloudTrail console fournit un certain nombre d'exemples de requêtes qui peuvent vous aider à commencer à écrire vos propres requêtes. Pour de plus amples informations, veuillez consulter Afficher des exemples de requêtes avec la CloudTrail console.

CloudTrail Les requêtes relatives au lac entraînent des frais. Lorsque vous exécutez des requêtes dans Lake, vous payez en fonction de la quantité de données analysées. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir AWS CloudTrail Tarification etGestion des coûts CloudTrail du lac.

Ressources supplémentaires

Les ressources suivantes peuvent vous aider à mieux comprendre ce qu'est CloudTrail Lake et comment vous pouvez l'utiliser.