CloudTrail Conceitos e terminologia do lago - AWS CloudTrail
Armazenamentos de dados de eventosIntegraçõesConsultasPainel

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudTrail Conceitos e terminologia do lago

Esta seção descreve os principais conceitos e termos para ajudá-lo a usar o AWS CloudTrail Lake.

Armazenamentos de dados de eventos

Os eventos são agregados em armazenamentos de dados de eventos, que são coleções imutáveis de eventos com base nos critérios que você seleciona aplicando seletores de eventos avançados.

Você pode criar um armazenamento de dados de eventos para registrar eventos CloudTrail de gerenciamento e eventos de dados, eventos do CloudTrail Insights, AWS Audit Manager evidências, itens de AWS Config configuração ou eventos externos AWS.

Seletores de eventos avançados

Seletores de eventos avançados determinam quais eventos incluir em um armazenamento de dados de eventos. Eles ajudam a controlar os custos registrando apenas os eventos que são importantes para você.

Para eventos de gerenciamento e eventos de dados, é possível usar seletores de eventos avançados para filtrar eventos. Por exemplo, se você estiver criando um armazenamento de dados de eventos para coletar eventos de gerenciamento, poderá filtrar AWS Key Management Service (AWS KMS) ou eventos da API de dados do Amazon Relational Database Service (Amazon RDS). Normalmente, AWS KMS ações como EncryptDecrypt, e GenerateDataKey geram mais de 99% dos eventos.

Para itens de AWS Config configuração, evidências do Audit Manager ou eventos externos AWS, os seletores de eventos avançados são usados somente para incluir eventos desse tipo no armazenamento de dados de eventos.

Federação

A federação permite ver os metadados associados a um armazenamento de dados de evento no Catálogo de Dados do AWS Glue e executar consultas SQL nos dados do evento usando o Amazon Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar.

Quando você ativa a federação de consultas do Lake, CloudTrail cria os recursos federados em seu nome e registra esses recursos com. AWS Lake Formation Depois que a federação do Lake estiver habilitada, você poderá consultar diretamente os dados do evento no Athena sem precisar realizar nenhuma etapa adicional. Para ter mais informações, consulte Federar um armazenamento de dados de eventos.

Opções de preço

Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações sobre preços, consulte Definição de preço do AWS CloudTrail e Gerenciando os custos CloudTrail do Lake.

Período de retenção

O período de retenção de um armazenamento de dados de eventos determina por quanto tempo os dados de eventos são mantidos no armazenamento de dados de eventos. CloudTrail Lake determina se deve reter um evento verificando se o eventTime evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, CloudTrail removerá eventos quando tiverem eventTime mais de 90 dias.

Período de retenção padrão

O período de retenção padrão de um armazenamento de dados de eventos é o número padrão de dias em que os dados do evento são mantidos no armazenamento de dados de eventos. Durante o período de retenção padrão do armazenamento de dados de eventos, o armazenamento é incluído no preço de ingestão sem custo adicional. Após o período de retenção padrão, o preço do armazenamento é pay-as-you-go.

Período máximo de retenção

O período máximo de retenção de um armazenamento de dados de eventos representa o número máximo de dias em que você pode manter os dados em um armazenamento de dados de eventos.

Termination protection

Por padrão, os armazenamentos de dados de eventos habilitam a proteção contra encerramento, que evita que um armazenamento de dados de eventos seja excluído acidentalmente. Para excluir um armazenamento de dados de eventos com a proteção contra encerramento habilitada, escolha Alterar proteção contra encerramento no menu Ações na página de detalhes do armazenamento de dados de eventos. Em seguida, você pode continuar com a exclusão do armazenamento de dados de eventos. Para ter mais informações, consulte Altere a proteção de rescisão com o console.

Integrações

Você pode usar as integrações do CloudTrail Lake para registrar e armazenar dados de atividades do usuário das seguintes fontes:

  • Fora de AWS

  • Qualquer fonte em seus ambientes híbridos, como aplicações internas ou de software como serviço (SaaS) hospedados on-premises ou na nuvem, máquinas virtuais ou contêineres

Uma integração requer um canal para entregar os eventos e um armazenamento de dados de eventos para receber os eventos. Depois de configurar sua integração, chame a operação da PutAuditEventsAPI para ingerir a atividade do seu aplicativo. CloudTrail Em seguida, você pode usar o CloudTrail Lake para pesquisar, consultar e analisar os dados que são registrados em seus aplicativos. Para ter mais informações, consulte Crie uma integração com uma fonte de eventos fora do AWS.

Tipo de integração

Há dois tipos de integração: a direta e a de solução. Com as integrações diretas, o parceiro chama a operação da API PutAuditEvents para entregar eventos ao armazenamento de dados de eventos da sua Conta da AWS. Com as integrações de soluções, o aplicativo é executado em você Conta da AWS e chama a operação da PutAuditEvents API para entregar eventos ao armazenamento de dados de eventos para você Conta da AWS.

Canais

Realize eventos de fontes externas ao AWS trabalho usando canais para trazer eventos para o CloudTrail Lake de parceiros externos que trabalham com CloudTrail ou de suas próprias fontes. Ao criar um canal, você escolhe um ou mais armazenamentos de dados de eventos para armazenar eventos que cheguem da fonte do canal. É possível alterar os armazenamentos de dados de eventos de destino de um canal conforme necessário, desde que os armazenamentos de dados de eventos de destino estejam configurados para registrar em log eventos do eventCategory="ActivityAuditLog". Ao criar um canal para eventos de um parceiro externo, você fornece um nome do recurso da Amazon (ARN) de canal para o parceiro ou aplicação da fonte.

Políticas baseadas em recursos

Políticas baseadas em atributos são documentos de políticas JSON que você anexa a um atributo. A política baseada em atributos anexada ao canal permite que a fonte transmita eventos pelo canal. Se um canal não tiver uma política de recursos para o canal, somente o proprietário do canal poderá chamar a operação da API PutAuditEvents no canal. Para ter mais informações, consulte AWS CloudTrail exemplos de políticas baseadas em recursos.

Consultas

Apresentando um recurso de pré-visualização para consultas do CloudTrail Lake que usa recursos de inteligência artificial generativa (IA generativa) para produzir uma consulta SQL a partir de um prompt em inglês. Para ter mais informações, consulte Crie consultas CloudTrail do Lake a partir de instruções em inglês.

As consultas no CloudTrail Lake são criadas em SQL. Você pode criar uma consulta na guia CloudTrail Lake Editor escrevendo a consulta em SQL do zero ou abrindo uma consulta salva ou de amostra e editando-a. Você não pode sobrescrever uma consulta de exemplo incluída por suas alterações, mas você pode salvá-la como uma nova consulta. Para ter mais informações, consulte Crie ou edite uma consulta com o CloudTrail console.

CloudTrail O Lake suporta todas as Presto SELECT instruções e funções válidas. Para obter mais informações sobre as funções e os operadores SQL compatíveis, consulte Funções e operadores no site de documentação do Presto.

Painel

Ao usar o painel do CloudTrail Lake, você pode visualizar os eventos em um armazenamento de dados de eventos e ver as tendências dos eventos, como principais Serviços da AWS, usuários e erros. Para ter mais informações, consulte Veja os painéis do CloudTrail Lake com o console CloudTrail .

Tipo de painel

Os tipos de painéis disponíveis para um armazenamento de dados de eventos dependem da configuração dos seletores de eventos avançados do armazenamento de dados de eventos. Por exemplo, se um tipo de painel exibir informações sobre eventos CloudTrail de gerenciamento, você só poderá selecionar o painel se o armazenamento de dados de eventos atualmente selecionado coletar eventos CloudTrail de gerenciamento.

Os tipos de painel disponíveis são apresentados a seguir:

  • Painel de visão geral — Mostra os usuários mais ativos e Serviços da AWS por contagem de eventos. Regiões da AWS Também é possível visualizar informações sobre atividades de eventos de gerenciamento de read e write, eventos com mais controle de utilização e os principais erros. Esse painel está disponível para armazenamentos de dados de eventos que coletam eventos de gerenciamento.

  • Painel Gerenciamento de eventos: mostra eventos de login do console, eventos de acesso negado, ações destrutivas e principais erros por usuário. Você também pode visualizar informações sobre versões do TLS e chamadas de TLS desatualizadas por usuário. Esse painel está disponível para armazenamentos de dados de eventos que coletam eventos de gerenciamento.

  • Painel Eventos de dados do S3: mostra a atividade da conta do Amazon S3, os objetos mais acessados do S3, os principais usuários do S3 e as principais ações do S3. Esse painel está disponível para armazenamentos de dados de eventos que coletam eventos de dados do Amazon S3.

  • Painel Eventos do Insights: mostra a proporção geral de eventos do Insights por tipo de Insights, a proporção de eventos do Insights por tipo de Insights para os principais usuários e serviços e o número de eventos do Insights por dia. O painel também inclui um widget que lista até 30 dias de eventos do Insights. Esse painel está disponível somente para armazenamentos de dados de eventos que coletam eventos do Insights.

    nota

    • Depois de ativar o CloudTrail Insights pela primeira vez no armazenamento de dados do evento de origem, pode levar até 7 dias CloudTrail para entregar o primeiro evento do Insights, se uma atividade incomum for detectada. Para ter mais informações, consulte Entender a entrega de eventos do Insights.

    • O painel Eventos do Insights exibe apenas informações sobre os eventos do Insights coletados pelo armazenamento de dados de eventos selecionado, o qual é determinado pela configuração do armazenamento de dados do evento de origem. Por exemplo, se você configurar o armazenamento de dados de eventos de origem para ativar eventos do Insights em ApiCallRateInsight mas não ApiErrorRateInsight, você não verá informações sobre os eventos do Insights em ApiErrorRateInsight.

Widgets

Os widgets são os componentes que compõem um painel e fornecem uma visualização, como um gráfico de linhas ou gráfico de barras. Cada widget representa uma consulta subjacente. Quando você escolhe Executar consultas, CloudTrail executa uma consulta gerada pelo sistema para preencher os dados de cada widget.