As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Trabalhando com AWS CloudTrail Lake
AWS CloudTrail O Lake permite que você execute consultas SQL baseadas em seus eventos. CloudTrail O Lake converte eventos existentes em JSON formato baseado em linhas para o formato ORCApache
CloudTrail Armazenamentos de dados de eventos em Lake
Ao criar um armazenamento de dados de eventos, você escolhe o tipo dos eventos a serem incluídos em seu armazenamento de dados de eventos. Você pode criar um armazenamento de dados de eventos para incluir CloudTrail eventos (eventos de gerenciamento, eventos de dados, eventos de atividade de rede (em versão prévia)), eventos do CloudTrail Insights, itens de AWS Config configuração, AWS Audit Manager evidências ou eventos externos AWS. Cada armazenamento de dados de eventos só pode conter uma categoria de evento específica (por exemplo, itens de AWS Config configuração), porque o esquema do evento é exclusivo da categoria do evento. Você pode armazenar eventos de uma organização AWS Organizations em um armazenamento de dados de eventos da organização, incluindo eventos de várias regiões e contas. Você também pode executar SQL consultas em vários armazenamentos de dados de eventos usando as SQL JOIN palavras-chave compatíveis. Para obter informações sobre como executar consultas em vários armazenamentos de dados de eventos, consulte Compatibilidade avançada para consultas com várias tabelas.
Você pode copiar eventos da trilha para um armazenamento de dados de eventos novo ou existente para criar um point-in-time instantâneo dos eventos registrados na trilha. Para obter mais informações, consulte Copiar eventos de trilhas para um armazenamento de dados de eventos.
Você pode federar um armazenamento de dados de eventos para ver os metadados associados ao armazenamento de dados de eventos no catálogo de AWS Glue dados e executar SQL consultas nos dados do evento usando o Amazon Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte Federar um armazenamento de dados de eventos.
Por padrão, todos os eventos em um armazenamento de dados de eventos são criptografados por CloudTrail. Ao configurar um armazenamento de dados de eventos, você pode optar por usar sua própria AWS Key Management Service chave. Usar sua própria KMS chave gera AWS KMS custos de criptografia e decodificação. Depois de associar um armazenamento de dados de eventos a uma KMS chave, a KMS chave não pode ser removida ou alterada.
Você pode controlar o acesso a ações em armazenamentos de dados de eventos usando a autorização com base em tags. Para obter mais informações e exemplos, consulte Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags neste guia.
Você pode usar os painéis do CloudTrail Lake para visualizar os dados em seus armazenamentos de dados de eventos. Cada painel consiste em vários widgets e cada widget representa uma SQL consulta. Para obter mais informações sobre painéis do Lake, consulte Veja os painéis do CloudTrail Lake com o console CloudTrail .
CloudTrail Os armazenamentos de dados de eventos em Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços
CloudTrail O Lake oferece suporte às CloudWatch métricas da Amazon, que fornecem informações sobre dados ingeridos e bytes de armazenamento. Para obter mais informações sobre CloudWatch métricas compatíveis, consulte CloudWatch Métricas suportadas.
nota
CloudTrail normalmente entrega eventos dentro de uma média de cerca de 5 minutos de uma API chamada. Desta vez não há garantias.
CloudTrail Integrações com o Lake
Você pode usar as integrações do CloudTrail Lake para registrar e armazenar dados de atividades do usuário de fora de AWS; de qualquer fonte em seus ambientes híbridos, como aplicativos internos ou SaaS hospedados no local ou na nuvem, máquinas virtuais ou contêineres. Depois de criar armazenamentos de dados de eventos no CloudTrail Lake e criar um canal para registrar eventos de atividades, você chama o PutAuditEvents API para ingerir a atividade do seu aplicativo. CloudTrail Em seguida, você pode usar o CloudTrail Lake para pesquisar, consultar e analisar os dados que são registrados em seus aplicativos.
As integrações também podem registrar eventos em seus armazenamentos de dados de eventos de mais de uma dúzia de CloudTrail parceiros. Em uma integração com parceiros, você cria armazenamentos de dados de eventos de destino, um canal e uma política de recursos. Depois de criar a integração, você fornece o canal ARN para o parceiro. Há dois tipos de integração: a direta e a de solução. Com integrações diretas, o parceiro liga PutAuditEvents API para o para entregar eventos ao armazenamento de dados de eventos da sua AWS conta. Com as integrações de soluções, o aplicativo é executado em sua AWS conta e o aplicativo chama o PutAuditEvents API para entregar eventos ao armazenamento de dados de eventos de sua AWS conta.
Para obter mais informações sobre integrações, consulte Criar uma integração com uma fonte de eventos externa à AWS.
CloudTrail Consultas sobre o lago
nota
Apresentando um recurso de pré-visualização para consultas do CloudTrail Lake que usa recursos de inteligência artificial generativa (IA generativa) para produzir uma SQL consulta a partir de um prompt em inglês. Para obter mais informações, consulte Crie consultas CloudTrail do Lake a partir de instruções em inglês.
CloudTrail As consultas do Lake oferecem uma visão mais profunda e personalizável dos eventos do que pesquisas simples de chaves e valores no histórico de eventos ou em execução. LookupEvents Uma pesquisa no histórico de eventos é limitada a uma única Conta da AWS, retorna somente eventos de uma única Região da AWS e não pode consultar vários atributos. Por outro lado, os usuários do CloudTrail Lake podem executar SQL consultas complexas em vários campos de eventos. CloudTrail O Lake suporta todas as SELECT instruções e funções válidas do Presto. Para obter mais informações sobre as SQL funções e operadores suportados, consulte Funções e operadores
Você pode salvar as consultas do CloudTrail Lake para uso futuro e visualizar os resultados das consultas por até sete dias. Ao executar consultas, você pode salvar os resultados de consulta em um bucket do Amazon S3.
O CloudTrail console fornece vários exemplos de consultas que podem ajudar você a começar a escrever suas próprias consultas. Para obter mais informações, consulte Veja exemplos de consultas com o console CloudTrail .
CloudTrail As consultas sobre o lago incorrem em cobranças. Ao executar consultas no Lake, você paga de acordo com a quantidade de dados examinados. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços
Recursos adicionais
Os recursos a seguir podem ajudá-lo a entender melhor o que é o CloudTrail Lake e como você pode usá-lo.
Modernize seu gerenciamento de registros de auditoria usando o CloudTrail Lake
(YouTube vídeo) Registre eventos de atividades de AWS fontes não pertencentes ao AWS CloudTrail Lake
(YouTube vídeo) Analise registros de atividades com AWS CloudTrail Lake e Amazon Athena (vídeo
) YouTube Usando o AWS CloudTrail Lake para identificar TLS conexões antigas com endpoints AWS de serviço
(AWS blog) Como a Arctic Wolf usa o AWS CloudTrail Lake para simplificar a segurança e as operações
(AWS blog)
