CloudTrail 湖泊事件資料存放區 CloudTrail 湖泊整合 CloudTrail 湖泊查詢其他資源

工作, 由于, AWS CloudTrail 湖

AWS CloudTrail Lake 可讓您針對事件執行 SQL 型查詢。 CloudTrail 湖將基於行的 JSON 格式的現有事件轉換為 Apache ORC 格式。ORC 是一種單欄式儲存格式，針對快速擷取資料進行了最佳化。系統會將事件彙總到事件資料存放區中，事件資料存放區是事件的不可變集合，其依據為您透過套用進階事件選取器選取的條件。如果您選擇一年可延長保留定價選項，則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年)；如果您選擇七年保留定價選項，則最多可保留 2,557 天 (約 7 年)。您套用至事件資料存放區的選取器會控制哪些事件持續存在，而且可供您查詢。 CloudTrail Lake 是一種稽核解決方案，可以補充您的合規性堆疊，並協助您進行近乎即時的疑難排解。

CloudTrail 湖泊事件資料存放區

建立事件資料存放區時，您可以選擇要包含在事件資料存放區中的事件類型。您可以建立事件資料存放區，以包含CloudTrail 事件、CloudTrail 見解事件、AWS Config 組態項目、AWS Audit Manager 證據或來自外部的事件 AWS。每個事件資料倉庫只能包含特定的事件類別 (例如， AWS Config 組態項目)，因為事件結構描述對於事件類別來說是唯一的。您可以將組織的事件儲存 AWS Organizations 在組織事件資料存放區中，包括來自多個區域和帳戶的事件。您也可以使用支援的 SQL JOIN 關鍵字，在多個事件資料存放區中執行 SQL 查詢。如需跨多個事件資料存放區執行查詢的詳細資訊，請參閱進階的多重資料表查詢支援。

您可以將追蹤事件複製到新的或現有的事件資料存放區，以建立記錄至追蹤的事件 point-in-time 快照。如需詳細資訊，請參閱將追蹤事件複製到事件資料存放區。

您可以聯合事件資料存放區，藉此在 AWS Glue Data Catalog 中查看與事件資料存放區相關聯的中繼資料，並使用 Amazon Athena 對事件資料執行 SQL 查詢。儲存在 AWS Glue 資料目錄中的表格中繼資料可讓 Athena 查詢引擎瞭解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊，請參閱聯合事件資料存放區。

依預設，事件資料存放區中的所有事件均由加密 CloudTrail。設定事件資料存放區時，您可以選擇使用自己的 AWS Key Management Service 金鑰。使用您自己的 KMS 金鑰會產生加密和解密的 AWS KMS 成本。將事件資料存放區與 KMS 金鑰建立關聯後，就無法移除或變更 KMS 金鑰。

您可以使用以標籤為基礎的授權，來控制對事件資料存放區動作的存取。如需詳細資訊，請參閱本指南中的範例：拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。

您可以使用 CloudTrail Lake 儀表板來視覺化事件資料存放區中的資料。每個儀表板均包含多個小工具，每個小工具代表一個 SQL 查詢。如需有關 Lake 儀表板的詳細資訊，請參閱使用 CloudTrail 主控台檢視 CloudTrail Lake 儀表板。

CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時，您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需有關 CloudTrail 定價和管理 Lake 成本的資訊，請參閱AWS CloudTrail 定價和管理 CloudTrail 湖泊成本.

CloudTrail Lake 支援 Amazon CloudWatch 指標，提供有關擷取資料和儲存位元組的資訊。如需有關支援 CloudWatch 量度的詳細資訊，請參閱支援的 CloudWatch 指標。

注意

CloudTrail 通常會在 API 呼叫後平均約 5 分鐘內傳遞事件。此時間無法保證。

CloudTrail 湖泊整合

您可以使用 CloudTrail Lake 整合功能，從混合式環境中的 AWS任何來源記錄和儲存使用者活動資料，例如內部部署或雲端中託管的 SaaS 應用程式、虛擬機器或容器。在 CloudTrail Lake 中建立事件資料存放區並建立用於記錄活動事件的通道後，您可以呼叫 PutAuditEvents API 來擷取應用程式活動 CloudTrail。然後，您可以使用 CloudTrail Lake 搜尋、查詢和分析應用程式記錄的資料。

整合還可以將來自十幾個合 CloudTrail作夥伴的事件記錄到您的事件資料存放區。在合作夥伴整合中，您可以建立目的地事件資料存放區、通道和資源政策。建立整合之後，您將通道 ARN 提供給合作夥伴。整合有兩種類型：直接和解決方案。透過直接整合，合作夥伴會呼叫 PutAuditEvents API，將事件傳送至您 AWS 帳戶的事件資料存放區。透過解決方案整合，應用程式會在您的 AWS 帳戶中執行，而應用程式會呼叫 PutAuditEvents API，將事件傳送至您 AWS 帳戶的事件資料存放區。

如需有關整合的詳細資訊，請參閱以外的事件來源建立整合 AWS。

CloudTrail 湖泊查詢

介紹 CloudTrail Lake 查詢的預覽功能，該功能使用生成人工智慧 (生成 AI) 功能從英文語言提示產生 SQL 查詢。如需詳細資訊，請參閱從英文語言提示建立 CloudTrail 湖泊查詢。

CloudTrail 與事件歷史記錄或運LookupEvents行中的簡單鍵和值查詢相比，Lake 查詢提供了更深入且更可自定義的事件視圖。事件歷史記錄搜索僅限於單個 AWS 帳戶，僅返回單個事件 AWS 區域，並且無法查詢多個屬性。相反地， CloudTrailLake 使用者可以跨多個事件欄位執行複雜的 SQL 查詢。 CloudTrail 湖支持所有有效的普雷斯托SELECT語句和功能。如需支援之 SQL 函數和運算子的詳細資訊，請參閱 Presto 文件網站上的函數和運算子。

您可以儲存 CloudTrail Lake 查詢以備 future 使用，並檢視最多七天的查詢結果。執行查詢時，您可以將查詢結果儲存至 Amazon S3 儲存貯體。

主 CloudTrail 控台提供許多範例查詢，可協助您開始撰寫自己的查詢。如需詳細資訊，請參閱使用 CloudTrail 主控台檢視範例查詢。

CloudTrail 湖泊查詢會產生費用。在 Lake 中執行查詢時，您需要依據掃描的資料量付費。如需有關 CloudTrail 定價和管理 Lake 成本的資訊，請參閱AWS CloudTrail 定價和管理 CloudTrail 湖泊成本.

其他資源

以下資源可以幫助您更好地了解什麼是 CloudTrail 湖泊以及如何使用它。

使用 CloudTrail Lake 將稽核記錄管理現代化 (YouTube 影片)
記錄來自 AWS CloudTrail 湖泊中非AWS 來源的活動事件（YouTube 視頻）
使用 AWS CloudTrail 湖泊和 Amazon Athena 分析活動日誌 (YouTube 影片)
瞭解員工和客戶身分的活動日誌 (AWS 部落格)
使用 AWS CloudTrail Lake 識別舊版 TLS 連線至 AWS 服務端點 (AWS 部落格)
北極狼如何利用 AWS CloudTrail 湖泊簡化安全性和營運 (AWS 部落格)
CloudTrail 湖常見問題
AWS CloudTrail API 參考
AWS CloudTrail 資料 API 參考資料
AWS CloudTrail 合作夥伴上線指南

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

檢視最近的管理事件 AWS CLI

CloudTrail 湖泊支持的地區