CloudTrail Konsep dan terminologi danau - AWS CloudTrail
Menyimpan data acaraIntegrasiKueriDasbor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudTrail Konsep dan terminologi danau

Bagian ini menjelaskan konsep dan istilah kunci untuk membantu Anda menggunakan AWS CloudTrail Lake.

Menyimpan data acara

Peristiwa digabungkan ke dalam penyimpanan data peristiwa, yang merupakan kumpulan peristiwa yang tidak dapat diubah berdasarkan kriteria yang Anda pilih dengan menerapkan pemilih acara tingkat lanjut.

Anda dapat membuat penyimpanan data peristiwa untuk mencatat CloudTrail peristiwa (peristiwa manajemen, peristiwa data, peristiwa aktivitas jaringan), peristiwa CloudTrailWawasan, AWS Audit Manager bukti, item AWS Config konfigurasi, atau peristiwa di luar. AWS

Penyeleksi acara tingkat lanjut

Penyeleksi acara tingkat lanjut menentukan acara mana yang akan disertakan dalam penyimpanan data acara. Penyeleksi acara tingkat lanjut membantu Anda mengontrol biaya dengan mencatat hanya peristiwa yang penting bagi Anda.

Untuk acara manajemen, peristiwa data, dan peristiwa aktivitas jaringan, Anda dapat menggunakan pemilih acara lanjutan untuk memfilter peristiwa. Misalnya, jika Anda membuat penyimpanan data peristiwa untuk mengumpulkan peristiwa manajemen, Anda dapat memfilter peristiwa API Data AWS Key Management Service (AWS KMS) atau Amazon Relational Database Service (Amazon RDS). Biasanya, AWS KMS tindakan sepertiEncrypt,Decrypt, dan GenerateDataKey menghasilkan lebih dari 99 persen peristiwa.

Untuk item AWS Config konfigurasi, bukti Audit Manager, atau peristiwa di luar AWS, penyeleksi peristiwa lanjutan hanya digunakan untuk menyertakan peristiwa jenis tersebut di penyimpanan data peristiwa.

Federation

Federation memungkinkan Anda melihat metadata yang terkait dengan penyimpanan data peristiwa di Katalog AWS Glue Data dan menjalankan kueri SQL pada data peristiwa menggunakan Amazon Athena. Metadata tabel yang disimpan dalam Katalog AWS Glue Data memungkinkan mesin kueri Athena mengetahui cara menemukan, membaca, dan memproses data yang ingin Anda kueri.

Saat Anda mengaktifkan federasi kueri Lake, CloudTrail buat sumber daya federasi atas nama Anda dan daftarkan sumber daya tersebut. AWS Lake Formation Setelah federasi Danau diaktifkan, Anda dapat langsung menanyakan data acara Anda di Athena tanpa perlu melakukan langkah tambahan apa pun. Untuk informasi selengkapnya, lihat Federasi toko data acara.

Opsi harga

Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, serta periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi tentang harga, lihat AWS CloudTrail Harga danMengelola biaya CloudTrail Danau.

Periode penahanan

Periode retensi penyimpanan data peristiwa menentukan berapa lama data peristiwa disimpan di penyimpanan data acara. CloudTrail Lake menentukan apakah akan mempertahankan suatu peristiwa dengan memeriksa apakah acara tersebut berada dalam periode retensi yang ditentukan. eventTime Misalnya, jika Anda menentukan periode retensi 90 hari, CloudTrail akan menghapus peristiwa ketika mereka eventTime lebih tua dari 90 hari.

Periode retensi default

Periode retensi default penyimpanan data peristiwa adalah jumlah hari default dimana data peristiwa disimpan di penyimpanan data acara. Selama periode penyimpanan default penyimpanan data acara, penyimpanan disertakan dengan harga konsumsi tanpa biaya tambahan. Setelah periode retensi default, harga untuk penyimpanan adalah pay-as-you-go.

Periode retensi maksimum

Periode retensi maksimum penyimpanan data peristiwa mewakili jumlah hari maksimum yang dapat Anda simpan data di penyimpanan data peristiwa.

Perlindungan pengakhiran

Secara default, penyimpanan data peristiwa mengaktifkan perlindungan penghentian, yang melindungi penyimpanan data peristiwa agar tidak terhapus secara tidak sengaja. Untuk menghapus penyimpanan data peristiwa dengan perlindungan penghentian diaktifkan, pilih Ubah perlindungan penghentian dari menu Tindakan di halaman detail penyimpanan data acara. Kemudian Anda dapat melanjutkan dengan menghapus penyimpanan data acara. Untuk informasi selengkapnya, lihat Ubah perlindungan terminasi dengan konsol.

Integrasi

Anda dapat menggunakan integrasi CloudTrail Lake untuk mencatat dan menyimpan data aktivitas pengguna dari sumber berikut:

  • Di luar AWS

  • Sumber apa pun di lingkungan hybrid Anda, seperti aplikasi in-house atau perangkat lunak sebagai layanan (SaaS) yang dihosting di tempat atau di cloud, mesin virtual, atau wadah

Integrasi membutuhkan saluran untuk menyampaikan acara dan penyimpanan data acara untuk menerima acara. Setelah menyiapkan integrasi, panggil operasi PutAuditEventsAPI untuk menyerap aktivitas aplikasi Anda. CloudTrail Kemudian, Anda dapat menggunakan CloudTrail Lake untuk mencari, menanyakan, dan menganalisis data yang dicatat dari aplikasi Anda. Untuk informasi selengkapnya, lihat Buat integrasi dengan sumber acara di luar AWS.

Tipe integrasi

Ada dua jenis integrasi: langsung dan solusi. Dengan integrasi langsung, mitra memanggil operasi PutAuditEvents API untuk mengirimkan peristiwa ke penyimpanan data acara untuk Anda Akun AWS. Dengan integrasi solusi, aplikasi berjalan di dalam Anda Akun AWS dan aplikasi memanggil operasi PutAuditEvents API untuk mengirimkan peristiwa ke penyimpanan data acara untuk Anda Akun AWS.

Saluran

Aktivitas acara dari sumber di luar AWS pekerjaan dengan menggunakan saluran untuk membawa acara ke CloudTrail Danau dari mitra eksternal yang bekerja dengan CloudTrail, atau dari sumber Anda sendiri. Saat membuat saluran, Anda memilih satu atau beberapa penyimpanan data acara untuk menyimpan peristiwa yang datang dari sumber saluran. Anda dapat mengubah penyimpanan data peristiwa tujuan untuk saluran sesuai kebutuhan, selama penyimpanan data peristiwa tujuan disetel ke eventCategory="ActivityAuditLog" peristiwa log. Saat Anda membuat saluran untuk acara dari mitra eksternal, Anda memberikan saluran Nama Sumber Daya Amazon (ARN) ke mitra atau aplikasi sumber.

Kebijakan berbasis sumber daya

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Kebijakan berbasis sumber daya yang dilampirkan pada saluran memungkinkan sumber untuk mengirimkan peristiwa melalui saluran. Jika channel tidak memiliki kebijakan sumber daya, hanya pemilik channel yang dapat memanggil operasi PutAuditEvents API di channel tersebut. Untuk informasi selengkapnya, lihat AWS CloudTrail contoh kebijakan berbasis sumber daya.

Kueri

Pertanyaan di CloudTrail Lake ditulis dalam SQL. Anda dapat membuat kueri di tab CloudTrail Lake Editor dengan menulis kueri di SQL dari awal, dengan membuka kueri yang disimpan atau sampel dan mengeditnya, atau dengan menggunakan generator kueri untuk menghasilkan kueri dari prompt bahasa Inggris. Untuk informasi selengkapnya, silakan lihat Membuat atau mengedit kueri dengan CloudTrail konsol dan Buat kueri CloudTrail Danau dari petunjuk bahasa alami.

CloudTrail Danau mendukung semua yang valid Presto SELECTpernyataan dan fungsi. Untuk informasi selengkapnya tentang fungsi dan operator SQL yang didukung, lihat Fungsi dan Operator di Presto situs dokumentasi.

Dasbor

Dengan menggunakan dasbor CloudTrail Lake, Anda dapat memvisualisasikan peristiwa di penyimpanan data acara dan melihat tren peristiwa, seperti top, pengguna Layanan AWS, dan kesalahan. Untuk informasi selengkapnya, lihat CloudTrail Dasbor danau.

Jenis dasbor

CloudTrail Lake menawarkan jenis dasbor berikut:

  • Dasbor terkelola — Anda dapat melihat dasbor terkelola untuk melihat tren acara untuk penyimpanan data acara yang mengumpulkan peristiwa manajemen, peristiwa data, atau peristiwa Wawasan. Dasbor ini secara otomatis tersedia untuk Anda dan dikelola oleh CloudTrail Lake. CloudTrail menawarkan 14 dasbor terkelola untuk dipilih. Anda dapat menyegarkan dasbor terkelola secara manual. Anda tidak dapat memodifikasi, menambah, atau menghapus widget untuk dasbor ini, namun, Anda dapat menyimpan dasbor terkelola sebagai dasbor khusus jika Anda ingin memodifikasi widget atau mengatur jadwal penyegaran.

  • Dasbor khusus - Dasbor khusus memungkinkan Anda untuk menanyakan peristiwa dalam jenis penyimpanan data acara apa pun. Anda dapat menambahkan hingga 10 widget ke dasbor khusus. Anda dapat menyegarkan dasbor khusus secara manual, atau Anda dapat mengatur jadwal penyegaran.

  • Dasbor Sorotan — Aktifkan dasbor Sorotan untuk melihat at-a-glance ikhtisar AWS aktivitas yang dikumpulkan oleh penyimpanan data acara di akun Anda. Dasbor Sorotan dikelola oleh CloudTrail dan menyertakan widget yang relevan dengan akun Anda. Widget yang ditampilkan di dasbor Sorotan unik untuk setiap akun. Widget ini dapat muncul aktivitas abnormal atau anomali yang terdeteksi. Misalnya, dasbor Sorotan Anda dapat menyertakan widget akses lintas akun Total, yang menunjukkan jika ada peningkatan aktivitas lintas akun yang tidak normal. CloudTrail memperbarui dasbor Sorotan setiap 6 jam. Dasbor menunjukkan 24 jam terakhir data dari pembaruan terakhir.

Widget

Widget adalah komponen yang membentuk dasbor dan memberikan visualisasi, seperti diagram garis atau diagram batang. Setiap widget sesuai dengan query SQL. Saat Anda menyegarkan dasbor, CloudTrail jalankan kueri untuk setiap widget di dasbor untuk mengisi data widget.