CloudTrail Concetti e terminologia del lago - AWS CloudTrail
Datastore di eventiIntegrazioniQueryDashboard

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudTrail Concetti e terminologia del lago

Questa sezione descrive i concetti e i termini chiave per aiutarti a usare AWS CloudTrail Lake.

Datastore di eventi

Gli eventi vengono aggregati in archivi di dati degli eventi, che sono raccolte di eventi immutabili in base ai criteri selezionati applicando i selettori di eventi avanzati.

È possibile creare un Event Data Store per registrare eventi di CloudTrail gestione ed eventi relativi ai dati, eventi CloudTrail Insights, AWS Audit Manager prove, elementi di AWS Config configurazione o eventi esterni a AWS.

Selettori di eventi avanzati

I selettori di eventi avanzati determinano gli eventi da includere in un datastore di eventi. I selettori di eventi avanzati ti consentono di controllare i costi registrando solo gli eventi più importanti.

Per gli eventi di gestione e gli eventi di dati, puoi utilizzare i selettori di eventi avanzati per filtrare gli eventi. Ad esempio, se stai creando un data store di eventi per raccogliere eventi di gestione, puoi filtrare AWS Key Management Service (AWS KMS) o gli eventi dell'Amazon Relational Database Service (Amazon RDS) Data API. In genere, AWS KMS azioni come Encrypt e GenerateDataKey generano oltre il 99 percento degli eventi. Decrypt

Per gli elementi di AWS Config configurazione, le evidenze dell'Audit Manager o gli eventi esterni AWS, i selettori di eventi avanzati vengono utilizzati solo per includere eventi di quel tipo nell'archivio dati degli eventi.

Federazione

La federazione ti consente di visualizzare i metadati associati a un datastore di eventi nel Catalogo dati AWS Glue ed eseguire query SQL sui dati degli eventi utilizzando Amazon Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare.

Quando abiliti la federazione delle query di Lake, CloudTrail crea le risorse federate per tuo conto e le registra con. AWS Lake Formation Dopo aver abilitato la federazione di Data Lake, puoi eseguire query direttamente sui dati degli eventi in Athena senza dover eseguire passaggi aggiuntivi. Per ulteriori informazioni, consulta Federare un datastore di eventi.

Opzione di prezzo

Quando crei un datastore di eventi, scegli l'opzione di prezzo che desideri utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il datastore di eventi. Per informazioni sui prezzi, consulta Prezzo AWS CloudTrail e Gestione dei costi CloudTrail del lago.

Periodo di conservazione

Il periodo di conservazione di un Event Data Store determina per quanto tempo i dati degli eventi vengono conservati nell'Event Data Store. CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo eventTime di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando eventTime sono più vecchi di 90 giorni.

Periodo di conservazione predefinito

Il periodo di conservazione predefinito di un datastore di eventi è il numero predefinito di giorni per cui i dati degli eventi vengono conservati nel datastore. Durante il periodo di conservazione predefinito di un datastore di eventi, l'archiviazione è inclusa nel prezzo di importazione senza costi aggiuntivi. Dopo il periodo di conservazione predefinito, il prezzo per l'archiviazione è pay-as-you-go.

Periodo di conservazione massimo

Il periodo di conservazione massimo di un datastore di eventi rappresenta il numero massimo di giorni per cui è possibile conservare i dati in un datastore.

Termination protection (Protezione da cessazione)

Per impostazione predefinita, i datastore prevedono l'abilitazione della protezione della terminazione per evitare l'eliminazione accidentale. Per eliminare un datastore di eventi con la protezione della terminazione abilitata, scegli Modifica la protezione della terminazione dal menu Operazioni nella pagina dei dettagli del datastore. Quindi puoi procedere con l'eliminazione del datastore di eventi. Per ulteriori informazioni, consulta Modifica la protezione dalla terminazione con la console.

Integrazioni

Puoi utilizzare le integrazioni di CloudTrail Lake per registrare e archiviare i dati sulle attività degli utenti dalle seguenti fonti:

  • Al di fuori di AWS

  • Qualsiasi origine nei tuoi ambienti ibridi, ad esempio applicazioni interne o software as a service (SaaS) ospitate on-premise o nel cloud, macchine virtuali o container

Per ricevere eventi, un'integrazione richiede un canale per la distribuzione degli eventi e un datastore di eventi. Dopo aver configurato l'integrazione, richiama l'operatore dell'PutAuditEventsAPI per importare l'attività dell'applicazione. CloudTrail Quindi, puoi usare CloudTrail Lake per cercare, interrogare e analizzare i dati registrati dalle tue applicazioni. Per ulteriori informazioni, consulta Crea un'integrazione con una fonte di eventi esterna a AWS.

Tipo di integrazione

Esistono due tipi di integrazione: diretta e soluzione. Con le integrazioni dirette, il partner chiama l'operazione API PutAuditEvents per distribuire gli eventi al datastore di eventi per il tuo Account AWS. Con le integrazioni di soluzioni, l'applicazione viene eseguita all'interno dell'utente Account AWS e richiama l'operazione PutAuditEvents API per fornire gli eventi all'archivio dati degli eventi per conto dell'utente. Account AWS

Canali

Attiva gli eventi da fonti esterne al AWS lavoro utilizzando i canali per portare eventi in CloudTrail Lake da partner esterni che collaborano con CloudTrail o provenienti dalle tue fonti. Quando crei un canale, scegli uno o più archivi di dati degli eventi per archiviare gli eventi che provengono dall'origine del canale. È possibile modificare gli archivi di dati degli eventi di destinazione per un canale in base alle esigenze, a condizione che tali archivi siano impostati per registrare gli eventi eventCategory="ActivityAuditLog". Quando crei un canale per gli eventi provenienti da un partner esterno, fornisci un nome della risorsa Amazon (ARN) di canale al partner o all'applicazione di origine.

Policy basate su risorse

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. La policy basata su risorse collegata al canale consente all'origine di trasmettere eventi attraverso il canale. Se un canale non dispone di una policy delle risorse, solo il proprietario del canale può chiamare l'operazione API PutAuditEvents sul canale. Per ulteriori informazioni, consulta AWS CloudTrail esempi di policy basate sulle risorse.

Query

Ti presentiamo una funzionalità di anteprima per le query di CloudTrail Lake che utilizza funzionalità di intelligenza artificiale generativa (AI generativa) per produrre una query SQL da un prompt in lingua inglese. Per ulteriori informazioni, consulta Crea query su CloudTrail Lake da istruzioni in lingua inglese.

Le query in CloudTrail Lake sono create in SQL. È possibile creare una query nella scheda CloudTrail Lake Editor scrivendola in SQL partendo da zero oppure aprendo una query salvata o di esempio e modificandola. Non è possibile sovrascrivere una query di esempio con le proprie modifiche, ma è possibile salvarla come nuova query. Per ulteriori informazioni, consulta Crea o modifica un'interrogazione con la console CloudTrail .

CloudTrail Lake supporta tutte le Presto SELECT istruzioni e le funzioni valide. Per ulteriori informazioni sulle funzioni e gli operatori SQL supportati, consulta Funzioni e operatori sul sito Web della documentazione di Presto.

Dashboard

Utilizzando la dashboard di CloudTrail Lake, puoi visualizzare gli eventi in un event data store e vedere le tendenze degli eventi, ad esempio top Servizi AWS, utenti ed errori. Per ulteriori informazioni, consulta Visualizza i dashboard di CloudTrail Lake con la console CloudTrail .

Tipo di pannello di controllo

I tipi di pannello di controllo disponibili per un datastore di eventi dipendono dalla configurazione dei relativi selettori di eventi avanzati. Ad esempio, se un tipo di dashboard mostra informazioni sugli eventi di CloudTrail gestione, puoi selezionare il dashboard solo se l'Event Data Store attualmente selezionato raccoglie eventi di CloudTrail gestione.

Di seguito sono riportati i tipi di pannello di controllo disponibili:

  • Dashboard panoramica: mostra gli utenti più attivi e Servizi AWS per numero di eventi. Regioni AWSÈ inoltre possibile visualizzare le informazioni sull'attività degli eventi di gestione read e write, la maggior parte degli eventi con limitazioni e gli errori principali. Questo pannello di controllo è disponibile per i datastore di eventi che raccolgono eventi di gestione.

  • Pannello di controllo Eventi di gestione: mostra gli eventi di accesso alla console, gli eventi di accesso negato, le operazioni distruttive e gli errori principali per utente. È inoltre possibile visualizzare informazioni sulle versioni TLS e sulle chiamate TLS obsolete per utente. Questo pannello di controllo è disponibile per i datastore di eventi che raccolgono eventi di gestione.

  • Pannello di controllo Eventi di dati S3: mostra l'attività dell'account S3, gli oggetti S3 a cui si accede più spesso, i principali utenti S3 e le principali operazioni S3. Questo pannello di controllo è disponibile per i datastore di eventiche raccolgono eventi di dati di Amazon S3.

  • Pannello di controllo Eventi Insights: mostra la percentuale complessiva di eventi Insights per tipo di Insights, la proporzione di eventi Insights per tipo di Insights per gli utenti e i servizi principali e il numero di eventi Insights al giorno. Il pannello di controllo include anche un widget che riporta fino a 30 giorni di eventi Insights. Questo pannello di controllo è disponibile solo per i datastore di eventiche raccolgono eventi Insights.

    Nota

    • Dopo aver abilitato CloudTrail Insights per la prima volta nell'archivio dati degli eventi di origine, possono essere necessari fino a 7 giorni prima che venga CloudTrail generato il primo evento Insights, se viene rilevata un'attività insolita. Per ulteriori informazioni, consulta Comprensione della distribuzione di eventi Insights.

    • Il pannello di controllo Eventi Insights mostra solo le informazioni sugli eventi Insights raccolti dalil datastore di eventi selezionato, che è determinato dalla configurazione delil datastore di eventi di origine. Ad esempio, se configuri il datastore di eventi di origine per abilitare gli eventi Insights su ApiCallRateInsight ma non su ApiErrorRateInsight, non vedrai le informazioni sugli eventi Insights su ApiErrorRateInsight.

Widget

I widget sono i componenti che costituiscono un pannello di controllo e forniscono una visualizzazione, ad esempio un grafico a linee o un grafico a barre. Ogni widget rappresenta una query sottostante. Quando scegli Esegui interrogazioni, CloudTrail esegue una query generata dal sistema per compilare i dati per ogni widget.