使用 AWS CloudTrail Lake - AWS CloudTrail
CloudTrail Lake 事件資料存放區CloudTrail Lake 查詢CloudTrail Lake 儀表板CloudTrail Lake 整合其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS CloudTrail Lake

AWS CloudTrail Lake 可讓您在事件上執行 SQL 型查詢。CloudTrail Lake 會將分列式 JSON 格式的現有事件轉換為 Apache ORC 格式。ORC 是一種單欄式儲存格式,針對快速擷取資料進行了最佳化。系統會將事件彙總到事件資料存放區中,事件資料存放區是事件的不可變集合,其依據為您透過套用進階事件選取器選取的條件。如果您選擇一年可延長保留定價選項,則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年);如果您選擇七年保留定價選項,則最多可保留 2,557 天 (約 7 年)。套用於事件資料存放區的選取器控制哪些事件持續存在並可供您查詢。CloudTrail Lake 是稽核解決方案,可以補充您的合規性堆疊,並協助您進行接近即時的故障診斷。

CloudTrail Lake 事件資料存放區

建立事件資料存放區時,您可以選擇要包含在事件資料存放區中的事件類型。您可以建立事件資料存放區,以包含 CloudTrail 事件 (管理事件、資料事件、網路活動事件)、CloudTrail Insights 事件AWS Config 組態項目AWS Audit Manager 證據來自外部的事件 AWS。每個事件資料存放區只能包含特定事件類別 (例如 AWS Config 組態項目),因為事件結構描述對事件類別是唯一的。您可以將來自組織的事件存放在組織的事件資料存放 AWS Organizations 區中,包括來自多個區域和帳戶的事件。您也可以使用支援的 SQL JOIN 關鍵字,在多個事件資料存放區中執行 SQL 查詢。如需跨多個事件資料存放區執行查詢的詳細資訊,請參閱 進階的多重資料表查詢支援

您可以將追蹤事件複製到全新和現有的事件資料存放區,以建立記錄到追蹤之事件的時間點快照。如需詳細資訊,請參閱將追蹤事件複製到事件資料存放區

您可以聯合事件資料存放區,藉此在 AWS Glue Data Catalog 中查看與事件資料存放區相關聯的中繼資料,並使用 Amazon Athena 對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱聯合事件資料存放區

您可以將資源型政策連接至事件資料存放區,以提供所選主體的跨帳戶存取權。您可以在 CloudTrail 主控台上建立或更新事件資料存放區時,或執行 AWS CLI put-resource-policy命令來新增資源型政策。如需詳細資訊,請參閱事件資料存放區的資源型政策範例

依預設,CloudTrail 會加密事件資料存放區中的所有事件。設定事件資料存放區時,您可以選擇使用自己的 AWS Key Management Service 金鑰。使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。

您可以使用以標籤為基礎的授權,來控制對事件資料存放區動作的存取。如需詳細資訊,請參閱本指南中的 範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限

CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊,請參閱 AWS CloudTrail 定價管理 CloudTrail Lake 成本

CloudTrail Lake 支援 Amazon CloudWatch 指標,這些指標可提供擷取之資料和儲存位元組的相關資訊。如需支援的 CloudWatch 指標的詳細資訊,請參閱支援的 CloudWatch 指標

注意

CloudTrail 通常會在 API 呼叫的平均約 5 分鐘內傳遞事件。此時間無法保證。

CloudTrail Lake 查詢

事件歷史記錄中單純的索引鍵和值查詢或執行 LookupEvents 相比,CloudTrail Lake 查詢提供了更深入、自訂功能更多的事件檢視畫面。事件歷史記錄搜尋僅限於單一 AWS 帳戶,只會傳回來自單一的事件 AWS 區域,且無法查詢多個屬性。相比之下,CloudTrail Lake 使用者可以跨多個事件欄位執行複雜的 SQL 查詢。CloudTrail Lake 支援所有有效的 Presto SELECT 陳述式和函數。如需支援之 SQL 函數和運算子的詳細資訊,請參閱 Presto 文件網站上的函數和運算子

您可以在 CloudTrail Lake Editor 索引標籤上建置查詢,方法是從頭開始在 SQL 中寫入查詢、開啟已儲存或範例查詢並進行編輯,或使用查詢產生器從英文提示產生查詢。如需詳細資訊,請參閱 使用 CloudTrail 主控台建立或編輯查詢從自然語言提示建立 CloudTrail Lake 查詢

您可以儲存 CloudTrail Lake 查詢以供將來使用,並可查看最多七天的查詢結果。執行查詢時,您可以將查詢結果儲存至 Amazon S3 儲存貯體。

CloudTrail 主控台提供許多範例查詢,可協助您開始自行編寫查詢。如需詳細資訊,請參閱使用 CloudTrail 主控台檢視範例查詢

CloudTrail Lake 查詢會產生費用。在 Lake 中執行查詢時,您需要依據掃描的資料量付費。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊,請參閱 AWS CloudTrail 定價管理 CloudTrail Lake 成本

CloudTrail Lake 儀表板

您可以使用 CloudTrail Lake 儀表板來查看帳戶中事件資料存放區的事件趨勢。CloudTrail Lake 提供下列儀表板類型:

  • 受管儀表板 – 您可以檢視受管儀表板,以查看收集管理事件、資料事件或 Insights 事件的事件資料存放區的事件趨勢。這些儀表板會自動提供給您,並由 CloudTrail Lake 管理。CloudTrail 提供 14 個受管儀表板供您選擇。您可以手動重新整理受管儀表板。您無法修改、新增或移除這些儀表板的小工具,不過,如果您想要修改小工具或設定重新整理排程,則可以將受管儀表板儲存為自訂儀表板。

  • 自訂儀表板 – 自訂儀表板可讓您查詢任何事件資料存放區類型的事件。您最多可以將 10 個小工具新增至自訂儀表板。您可以手動重新整理自訂儀表板,也可以設定重新整理排程。

  • 醒目提示儀表板 – 啟用醒目提示儀表板,以檢視您帳戶中事件資料存放區所收集的 AWS 活動at-a-glance。醒目提示儀表板由 CloudTrail 管理,並包含與您帳戶相關的小工具。醒目提示儀表板上顯示的小工具對於每個帳戶都是唯一的。這些小工具可能會浮水印偵測到異常活動或異常。例如,您的 Highlights 儀表板可能包含跨帳戶存取總數小工具,這會顯示異常跨帳戶活動是否有增加。CloudTrail 每 6 小時更新一次反白儀表板。儀表板會顯示上次更新後的最後 24 小時資料。

每個儀表板都包含一或多個小工具,每個小工具代表 SQL 查詢。

如需詳細資訊,請參閱CloudTrail Lake 儀表板

CloudTrail Lake 整合

您可以使用 CloudTrail Lake 整合,從 外部記錄和存放使用者活動資料 AWS;從混合環境中的任何來源,例如內部或內部部署託管的應用程式,或在雲端、虛擬機器或容器中託管的 SaaS 應用程式。在 CloudTrail Lake 中建立事件資料存放區並建立用於記錄活動事件的通道後,您可以呼叫 PutAuditEvents API 將您的應用程式活動擷取到 CloudTrail。然後,您可以使用 CloudTrail Lake 來搜尋、查詢和分析從應用程式記錄的資料。

整合還可以將來自十幾個 CloudTrail 合作夥伴的事件記錄到您的事件資料存放區。在合作夥伴整合中,您可以建立目的地事件資料存放區、通道和資源政策。建立整合之後,您將通道 ARN 提供給合作夥伴。整合有兩種類型:直接和解決方案。透過直接整合,合作夥伴會呼叫 PutAuditEvents API,將事件交付至您 AWS 帳戶的事件資料存放區。透過解決方案整合,應用程式會在您的帳戶中執行, AWS 而應用程式會呼叫 PutAuditEvents API,將事件交付至您 AWS 帳戶的事件資料存放區。

如需整合的詳細資訊,請參閱建立與外部事件來源的整合 AWS

其他資源

以下資源可協助您進一步了解什麼是 CloudTrail Lake 及其使用方式。