本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 AWS CloudTrail Lake
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
AWS CloudTrail Lake 可讓您對事件執行 SQL 型查詢。CloudTrail Lake 會將分列式 JSON 格式的現有事件轉換為 [Apache ORC](https://orc.apache.org/) 格式。ORC 是一種單欄式儲存格式,針對快速擷取資料進行了最佳化。系統會將事件彙總到事件資料存放區中,事件資料存放區是事件的不可變集合,其依據為您透過套用[進階事件選取器](cloudtrail-lake-concepts.md#adv-event-selectors)選取的條件。如果您選擇**一年可延長保留定價**選項,則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年);如果您選擇**七年保留定價**選項,則最多可保留 2,557 天 (約 7 年)。套用於事件資料存放區的選取器控制哪些事件持續存在並可供您查詢。CloudTrail Lake 是稽核解決方案,可以補充您的合規性堆疊,並協助您進行接近即時的故障診斷。
## CloudTrail Lake 事件資料存放區
建立事件資料存放區時,您可以選擇要包含在事件資料存放區中的事件類型。您可以建立事件資料存放區,以包含 [CloudTrail 事件](query-event-data-store-cloudtrail.md) (管理事件、資料事件、網路活動事件)、[CloudTrail Insights 事件](query-event-data-store-insights.md)、[AWS Config 組態項目](query-event-data-store-config.md)、[AWS Audit Manager 證據](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)或[來自外部的事件 AWS](event-data-store-integration-events.md)。每個事件資料存放區只能包含特定事件類別 (例如 AWS Config 組態項目),因為[事件結構描述](query-supported-event-schemas.md)對事件類別是唯一的。您可以將來自組織的事件存放在[組織的事件資料存放](cloudtrail-lake-organizations.md) AWS Organizations 區中,包括來自多個區域和帳戶的事件。您也可以使用支援的 SQL JOIN 關鍵字,在多個事件資料存放區中執行 SQL 查詢。如需跨多個事件資料存放區執行查詢的詳細資訊,請參閱 [進階的多重資料表查詢支援](query-limitations.md#query-advanced-multi-table)。
您可以將追蹤事件複製到全新和現有的事件資料存放區,以建立記錄到追蹤之事件的時間點快照。如需詳細資訊,請參閱[將追蹤事件複製到事件資料存放區](cloudtrail-copy-trail-to-lake-eds.md)。
您可以聯合事件資料存放區,藉此在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中查看與事件資料存放區相關聯的中繼資料,並使用 Amazon Athena 對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱[聯合事件資料存放區](query-federation.md)。
您可以將資源型政策連接至事件資料存放區,以提供所選主體的跨帳戶存取權。您可以在 CloudTrail 主控台上建立或更新事件資料存放區時,或執行 AWS CLI `put-resource-policy`命令來新增資源型政策。如需詳細資訊,請參閱[事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
依預設,CloudTrail 會加密事件資料存放區中的所有事件。當您設定事件資料存放區時,您可以選擇使用自己的 AWS Key Management Service 金鑰。使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。
您可以使用以標籤為基礎的授權,來控制對事件資料存放區動作的存取。如需詳細資訊,請參閱本指南中的 [範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。
CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的[定價選項](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/) 和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
CloudTrail Lake 支援 Amazon CloudWatch 指標,這些指標可提供擷取之資料和儲存位元組的相關資訊。如需支援的 CloudWatch 指標的詳細資訊,請參閱[支援的 CloudWatch 指標](cloudtrail-lake-cloudwatch-metrics.md)。
**注意**
CloudTrail 通常會在 API 呼叫的平均約 5 分鐘內傳遞事件。此時間無法保證。
## CloudTrail Lake 查詢
與**事件歷史記錄**中單純的索引鍵和值查詢或執行 `LookupEvents` 相比,CloudTrail Lake 查詢提供了更深入、自訂功能更多的事件檢視畫面。**事件歷史記錄**搜尋僅限於單一 AWS 帳戶,只會傳回來自單一 的事件 AWS 區域,且無法查詢多個屬性。相比之下,CloudTrail Lake 使用者可以跨多個事件欄位執行複雜的 SQL 查詢。CloudTrail Lake 支援所有有效的 Trino `SELECT`陳述式和函數。如需支援的 SQL 函數和運算子的詳細資訊,請參閱 Trino 文件網站上的[函數和運算子](https://trino.io/docs/current/functions.html)。
您可以在 CloudTrail Lake **Editor** 索引標籤上建置查詢,方法是從頭開始在 SQL 中寫入查詢、開啟已儲存或範例查詢並進行編輯,或使用查詢產生器從英文提示產生查詢。如需詳細資訊,請參閱[使用 CloudTrail 主控台建立或編輯查詢](query-create-edit-query.md)及[從自然語言提示建立 CloudTrail Lake 查詢](lake-query-generator.md)。
您可以儲存 CloudTrail Lake 查詢以供將來使用,並可查看最多七天的查詢結果。執行查詢時,您可以將查詢結果儲存至 Amazon S3 儲存貯體。
CloudTrail 主控台提供許多範例查詢,可協助您開始自行編寫查詢。如需詳細資訊,請參閱[使用 CloudTrail 主控台檢視範例查詢](lake-console-queries.md)。
CloudTrail Lake 查詢會產生費用。在 Lake 中執行查詢時,您需要依據掃描的資料量付費。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/) 和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
## CloudTrail Lake 儀表板
您可以使用 CloudTrail Lake 儀表板來查看帳戶中事件資料存放區的事件趨勢。CloudTrail Lake 提供下列儀表板類型:
+ **受管儀表板** – 您可以檢視受管儀表板,以查看收集管理事件、資料事件或 Insights 事件的事件資料存放區的事件趨勢。這些儀表板會自動提供給您,並由 CloudTrail Lake 管理。CloudTrail 提供 14 個受管儀表板供您選擇。您可以手動重新整理受管儀表板。您無法修改、新增或移除這些儀表板的小工具,不過,如果您想要修改小工具或設定重新整理排程,則可以將受管儀表板儲存為自訂儀表板。
+ **自訂儀表板** – 自訂儀表板可讓您查詢任何事件資料存放區類型中的事件。您最多可以在自訂儀表板中新增 10 個 Widget。您可以手動重新整理自訂儀表板,也可以設定重新整理排程。
+ **反白儀表板** – 啟用反白儀表板可at-a-glance檢視您帳戶中事件資料存放區所收集的 AWS 活動概觀。醒目提示儀表板由 CloudTrail 管理,並包含與您帳戶相關的小工具。醒目提示儀表板上顯示的小工具對於每個帳戶都是唯一的。這些小工具可能會浮現偵測到的異常活動或異常。例如,您的醒目提示儀表板可能包含**跨帳戶存取總數小工具**,這會顯示異常跨帳戶活動是否增加。CloudTrail 每 6 小時更新一次反白儀表板。儀表板會顯示上次更新後的最後 24 小時的資料。
每個儀表板都包含一或多個小工具,每個小工具代表 SQL 查詢。
如需詳細資訊,請參閱[CloudTrail Lake 儀表板](lake-dashboard.md)。
## CloudTrail Lake 整合
您可以使用 CloudTrail Lake *整合*,從 外部記錄和存放使用者活動資料 AWS;從混合環境中的任何來源,例如內部或 SaaS 應用程式託管在內部部署或雲端、虛擬機器或容器中。在 CloudTrail Lake 中建立事件資料存放區並建立用於記錄活動事件的通道後,您可以呼叫 `PutAuditEvents` API 將您的應用程式活動擷取到 CloudTrail。然後,您可以使用 CloudTrail Lake 來搜尋、查詢和分析從應用程式記錄的資料。
整合還可以將來自十幾個 CloudTrail 合作夥伴的事件記錄到您的事件資料存放區。在合作夥伴整合中,您可以建立目的地事件資料存放區、通道和資源政策。建立整合之後,您將通道 ARN 提供給合作夥伴。整合有兩種類型:直接和解決方案。透過直接整合,合作夥伴會呼叫 `PutAuditEvents` API,將事件交付至您 AWS 帳戶的事件資料存放區。透過解決方案整合,應用程式會在您的帳戶中執行, AWS 而應用程式會呼叫 `PutAuditEvents` API,將事件交付至您 AWS 帳戶的事件資料存放區。
如需整合的詳細資訊,請參閱在 [外部建立與事件來源的整合 AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html)。
## 其他資源
以下資源可協助您進一步了解什麼是 CloudTrail Lake 及其使用方式。
+ [使用 CloudTrail Lake 實現稽核日誌管理現代化](https://www.youtube.com/watch?v=aLkecCsHhxw) (YouTube 影片)
+ [記錄 AWS CloudTrail Lake 中非AWS 來源的活動事件 ](https://www.youtube.com/watch?v=gF0FLdegQKM)(YouTube 影片)
+ [使用 AWS CloudTrail Lake 和 Amazon Athena 分析活動日誌](https://www.youtube.com/watch?v=cOeZaJt_k-w) (YouTube 影片)
+ [了解員工和客戶身分的活動日誌 ](https://aws.amazon.com/blogs/mt/get-visibility-into-the-activity-logs-for-your-workforce-and-customer-identities/)(AWS 部落格)
+ [使用 AWS CloudTrail Lake 識別 AWS 較舊的服務端點 TLS 連線](https://aws.amazon.com/blogs/mt/using-aws-cloudtrail-lake-to-identify-older-tls-connections-to-aws-service-endpoints/) (AWS 部落格)
+ [Arctic Wolf 如何使用 AWS CloudTrail Lake 來簡化安全性和操作](https://aws.amazon.com/blogs/mt/how-arctic-wolf-uses-aws-cloudtrail-lake-to-simplify-security-and-operations/) (AWS 部落格)
+ [CloudTrail Lake 常見問答集](https://aws.amazon.com/cloudtrail/faqs/#CloudTrail_Lake)
+ [AWS CloudTrail API 參考](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/Welcome.html)
+ [AWS CloudTrail 資料 API 參考](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/Welcome.html)
+ [AWS CloudTrail 合作夥伴加入指南](https://docs.aws.amazon.com/awscloudtrail/latest/partner-onboarding/cloudtrail-lake-partner-onboarding.html)