As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS CloudTrail O Lake permite que você execute consultas baseadas em SQL em seus eventos. CloudTrail O Lake converte eventos existentes no formato JSON baseado em linhas para o formato Apache
CloudTrail Armazenamentos de dados de eventos em Lake
Ao criar um armazenamento de dados de eventos, você escolhe o tipo dos eventos a serem incluídos em seu armazenamento de dados de eventos. Você pode criar um armazenamento de dados de eventos para incluir CloudTrail eventos (eventos de gerenciamento, eventos de dados, eventos de atividade de rede), eventos do CloudTrail Insights, itens de AWS Config configuração, AWS Audit Manager evidências ou eventos externos AWS. Cada armazenamento de dados de eventos só pode conter uma categoria de evento específica (por exemplo, itens de AWS Config configuração), porque o esquema do evento é exclusivo da categoria do evento. Você pode armazenar eventos de uma organização AWS Organizations em um armazenamento de dados de eventos da organização, incluindo eventos de várias regiões e contas. Você também pode executar consultas SQL em vários armazenamentos de dados de eventos usando as palavras-chave SQL JOIN compatíveis. Para obter informações sobre como executar consultas em vários armazenamentos de dados de eventos, consulte Compatibilidade avançada para consultas com várias tabelas.
Você pode copiar eventos da trilha para um armazenamento de dados de eventos novo ou existente para criar um point-in-time instantâneo dos eventos registrados na trilha. Para obter mais informações, consulte Copiar eventos de trilhas para um armazenamento de dados de eventos.
Você pode federar um armazenamento de dados de eventos para ver os metadados associados a ele no Catálogo de Dados do AWS Glue e executar consultas SQL nos dados do evento usando o Amazon Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte Federar um armazenamento de dados de eventos.
Você pode anexar uma política baseada em recursos ao seu armazenamento de dados de eventos para fornecer acesso entre contas aos diretores selecionados. Você pode adicionar uma política baseada em recursos ao criar ou atualizar um armazenamento de dados de eventos no CloudTrail console ou ao executar o AWS CLI put-resource-policy comando. Para obter mais informações, consulte Exemplos de políticas baseadas em recursos para armazenamentos de dados de eventos.
Por padrão, todos os eventos em um armazenamento de dados de eventos são criptografados por CloudTrail. Ao configurar um armazenamento de dados de eventos, você pode optar por usar sua própria AWS Key Management Service chave. Usar sua própria chave KMS gera AWS KMS custos de criptografia e descriptografia. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS.
Você pode controlar o acesso a ações em armazenamentos de dados de eventos usando a autorização com base em tags. Para obter mais informações e exemplos, consulte Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags neste guia.
CloudTrail Os armazenamentos de dados de eventos em Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços
CloudTrail O Lake oferece suporte às CloudWatch métricas da Amazon, que fornecem informações sobre dados ingeridos e bytes de armazenamento. Para obter mais informações sobre CloudWatch métricas compatíveis, consulte CloudWatch Métricas suportadas.
nota
CloudTrail normalmente entrega eventos em uma média de cerca de 5 minutos após uma chamada de API. Desta vez não há garantias.
CloudTrail Consultas sobre o lago
CloudTrail As consultas do Lake oferecem uma visão mais profunda e personalizável dos eventos do que pesquisas simples de chaves e valores no histórico de eventos ou em execução. LookupEvents Uma pesquisa no histórico de eventos é limitada a uma única Conta da AWS, retorna somente eventos de uma única Região da AWS e não pode consultar vários atributos. Por outro lado, os usuários do CloudTrail Lake podem executar consultas SQL complexas em vários campos de eventos. CloudTrail O Lake suporta todas as SELECT instruções e funções válidas do Presto. Para obter mais informações sobre as funções e os operadores SQL compatíveis, consulte Funções e operadores
Você pode criar uma consulta na guia CloudTrail Lake Editor escrevendo a consulta em SQL do zero, abrindo uma consulta salva ou de amostra e editando-a ou usando o gerador de consultas para produzir uma consulta a partir de um prompt em inglês. Para ter mais informações, consulte Crie ou edite uma consulta com o CloudTrail console e Crie consultas CloudTrail do Lake a partir de solicitações em linguagem natural.
Você pode salvar as consultas do CloudTrail Lake para uso futuro e visualizar os resultados das consultas por até sete dias. Ao executar consultas, você pode salvar os resultados de consulta em um bucket do Amazon S3.
O CloudTrail console fornece vários exemplos de consultas que podem ajudar você a começar a escrever suas próprias consultas. Para obter mais informações, consulte Veja exemplos de consultas com o console CloudTrail .
CloudTrail As consultas sobre o lago incorrem em cobranças. Ao executar consultas no Lake, você paga de acordo com a quantidade de dados examinados. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços
CloudTrail Painéis do Lake
Você pode usar os painéis do CloudTrail Lake para ver as tendências de eventos dos armazenamentos de dados de eventos em sua conta. CloudTrail O Lake oferece os seguintes tipos de painéis:
-
Painéis gerenciados — Você pode visualizar um painel gerenciado para ver as tendências de eventos de um armazenamento de dados de eventos que coleta eventos de gerenciamento, eventos de dados ou eventos do Insights. Esses painéis estão automaticamente disponíveis para você e são gerenciados pelo CloudTrail Lake. CloudTrail oferece 14 painéis gerenciados para você escolher. Você pode atualizar manualmente os painéis gerenciados. Você não pode modificar, adicionar ou remover os widgets desses painéis. No entanto, você pode salvar um painel gerenciado como um painel personalizado se quiser modificar os widgets ou definir um cronograma de atualização.
-
Painéis personalizados — Os painéis personalizados permitem que você consulte eventos em qualquer tipo de armazenamento de dados de eventos. Você pode adicionar até 10 widgets a um painel personalizado. Você pode atualizar manualmente um painel personalizado ou definir um cronograma de atualização.
-
Painéis de destaques — Ative o painel de destaques para ver uma at-a-glance visão geral da AWS atividade coletada pelos armazenamentos de dados de eventos em sua conta. O painel de Destaques é gerenciado CloudTrail e inclui widgets que são relevantes para sua conta. Os widgets mostrados no painel de Destaques são exclusivos para cada conta. Esses widgets podem revelar atividades ou anomalias anormais detectadas. Por exemplo, seu painel de Destaques pode incluir o widget Total de acesso entre contas, que mostra se há um aumento na atividade anormal entre contas. CloudTrail atualiza o painel de Destaques a cada 6 horas. O painel mostra as últimas 24 horas de dados da última atualização.
Cada painel consiste em um ou mais widgets e cada widget representa uma consulta SQL.
Para obter mais informações, consulte CloudTrail Painéis do Lake.
CloudTrail Integrações com o Lake
Você pode usar as integrações do CloudTrail Lake para registrar e armazenar dados de atividades do usuário de fora de AWS; de qualquer fonte em seus ambientes híbridos, como aplicativos internos ou SaaS hospedados no local ou na nuvem, máquinas virtuais ou contêineres. Depois de criar armazenamentos de dados de eventos no CloudTrail Lake e criar um canal para registrar eventos de atividades, você chama a PutAuditEvents API para ingerir a atividade do seu aplicativo. CloudTrail Em seguida, você pode usar o CloudTrail Lake para pesquisar, consultar e analisar os dados que são registrados em seus aplicativos.
As integrações também podem registrar eventos em seus armazenamentos de dados de eventos de mais de uma dúzia de CloudTrail parceiros. Em uma integração com parceiros, você cria armazenamentos de dados de eventos de destino, um canal e uma política de recursos. Depois de criar a integração, você fornece o ARN do canal ao parceiro. Há dois tipos de integração: a direta e a de solução. Com integrações diretas, o parceiro chama a PutAuditEvents API para entregar eventos ao armazenamento de dados de eventos da sua AWS conta. Com as integrações de soluções, o aplicativo é executado em sua AWS conta e chama a PutAuditEvents API para entregar eventos ao armazenamento de dados de eventos de sua AWS conta.
Para obter mais informações sobre integrações, consulte Criar uma integração com uma fonte de eventos externa à AWS.
Recursos adicionais
Os recursos a seguir podem ajudá-lo a entender melhor o que é o CloudTrail Lake e como você pode usá-lo.
Modernize seu gerenciamento de registros de auditoria usando o CloudTrail Lake
(YouTube vídeo) Registre eventos de atividades de AWS fontes não pertencentes ao AWS CloudTrail Lake
(YouTube vídeo) Analise registros de atividades com AWS CloudTrail Lake e Amazon Athena (vídeo
) YouTube Como a Arctic Wolf usa o AWS CloudTrail Lake para simplificar a segurança e as operações
(AWS blog)
