若要建立會記錄 Insights 事件的目的地事件資料存放區若要建立會啟用 Insights 事件的來源事件資料存放區

使用主控台建立 Insights 事件的事件資料存放區

AWS CloudTrail Insights 透過持續分析 CloudTrail 管理事件，協助 AWS 使用者識別和回應與API呼叫和API錯誤率相關的異常活動。 CloudTrail Insights 分析您的正常API呼叫量和API錯誤率模式，也稱為基準，並在呼叫量或錯誤率超出正常模式時產生 Insights 事件。為write管理產生API呼叫磁碟區上的 Insights 事件APIs，並為readwrite管理產生API錯誤率的 Insights 事件APIs。

若要在 CloudTrail Lake 中記錄 Insights 事件，您需要一個目的地事件資料存放區，記錄 Insights 事件，以及啟用 Insights 和日誌管理事件的來源事件資料存放區。

注意

若要在API通話磁碟區上記錄 Insights 事件，來源事件資料存放區必須記錄write管理事件。若要以API錯誤率記錄 Insights 事件，來源事件資料存放區必須記錄read或write管理事件。

如果您在來源事件資料存放區上啟用 CloudTrail Insights，並 CloudTrail 偵測到異常活動， CloudTrail 請將 Insights 事件交付至目的地事件資料存放區。與 CloudTrail 事件資料存放區中擷取的其他類型事件不同，只有當 CloudTrail 偵測到您帳戶API用量的變化與帳戶的一般用量模式有顯著差異時，才會記錄 Insights 事件。

第一次在事件資料存放區上啟用 CloudTrail Insights 之後，如果偵測到異常活動，則可能需要最多 7 天 CloudTrail 的時間才能交付第一個 Insights 事件。

CloudTrail Insights 會分析單一區域中發生的管理事件，而不是全域發生的管理事件。 CloudTrail Insights 事件會在與其支援管理事件產生的相同區域中產生。

對於組織事件資料存放區，會從每個成員的帳戶 CloudTrail 分析管理事件，而不是分析組織所有管理事件的彙總。

在 CloudTrail Lake 擷取 Insights 事件需支付額外費用。如果您同時為線索和 CloudTrail Lake 事件資料存放區啟用 Insights，則會另外收費。如需 CloudTrail 定價的相關資訊，請參閱AWS CloudTrail 定價。

若要建立會記錄 Insights 事件的目的地事件資料存放區

在建立 Insights 事件資料存放區時，您可以選擇一個記錄管理事件的現有來源事件資料存放區，然後指定想要接收的 Insights 類型。或者，您也可以在建立 Insights 事件資料存放區後啟用新的或現有事件資料存放區上的 Insights，然後選擇此事件資料存放區作為目的地事件資料存放區。

此程序將向您說明如何建立記錄 Insights 事件的目的地事件資料存放區。

登入 AWS Management Console 並在開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/。
在導覽窗格中，開啟 Lake 子選單，然後選擇 Event data stores (事件資料存放區)。
選擇 Create event data store (建立事件資料存放區)。
在設定事件資料存放區頁面上的一般詳細資訊中，輸入事件資料存放區的名稱。名稱為必填。
選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需詳細資訊，請參閱 AWS CloudTrail 定價和管理 CloudTrail Lake 成本。

以下為可用的選項：
- 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB，並需要長達 10 年的彈性保留期，則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。在 366 天後，延長的保留可以定價 pay-as-you-go使用。此為預設選項。
  - 預設保留期：366 天
  - 最長保留期：3,653 天
- 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB，並需要長達 7 年的彈性保留期，則建議使用此選項。保留已包含在擷取定價中，無須額外付費。
  - 預設保留期：2,557 天
  - 最長保留期：2,557 天
指定事件資料存放區的保留期間 (以天為單位)。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間；或是七年保留定價選項，則可介於 7 天到 2,557 天 (約七年) 之間。事件資料存放區會在指定的天數內保留事件資料。
（選用）若要使用啟用加密 AWS Key Management Service，請選擇使用我自己的 AWS KMS key。選擇新增以為您 AWS KMS key 建立，或選擇現有以使用現有KMS金鑰。在輸入KMS別名 中，以格式指定別名 alias/MyAliasName。使用您自己的KMS金鑰需要編輯KMS金鑰政策，以允許 CloudTrail對日誌進行加密和解密。如需詳細資訊，請參閱設定 AWS KMS 金鑰原則 CloudTrail。 CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰。

使用您自己的KMS金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與KMS金鑰建立關聯後，就無法移除或變更KMS金鑰。

注意
若要啟用組織事件資料存放區的 AWS Key Management Service 加密，您必須使用管理帳戶的現有KMS金鑰。
(選用) 如果您想使用 Amazon Athena 查詢自己的事件資料，請在 Lake 查詢聯合中選擇啟用。聯合可讓您檢視與資料目錄中的事件資料存放區 AWS Glue 相關聯的中繼資料，並根據 Athena 中的事件資料執行SQL查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊，請參閱聯合事件資料存放區。

若要啟用 Lake 查詢聯合，請選擇啟用，然後執行下列動作：
1. 選擇您要建立新角色或使用現有IAM角色。 AWS Lake Formation使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時， CloudTrail 會自動建立具有所需許可的角色。如果您選擇現有角色，請確認該角色的政策可提供必要的最低許可。
2. 如果您要建立新角色，請輸入名稱以識別角色。
3. 如果您要使用現有角色，請選擇想使用的角色。該角色必須存在於您的帳戶中。
(選用) 在 Tags (標籤) 區段中，您最多可以新增 50 個標籤金鑰對，以協助您識別、排序和控制對事件資料存放區的存取權限。如需如何使用IAM政策根據標籤授權存取事件資料存放區的詳細資訊，請參閱範例：拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。如需如何在中使用標籤的詳細資訊 AWS，請參閱標記 AWS 資源使用者指南 中的標記 AWS 資源。
選擇 Next (下一步) 以設定事件資料存放區。
在選擇事件頁面上，選擇AWS 事件 ，然後選擇 CloudTrail Insights 事件 。
在 CloudTrail Insights 事件 中，執行下列動作。
1. 如果您想要為組織的委派管理員授予存取此事件資料存放區的權限，則選擇允許委派管理員存取權。只有在您使用 AWS Organizations 組織的管理帳戶登入時，才能使用此選項。
2. (選用) 選擇記錄管理事件的現有來源事件資料存放區，並指定您想要接收的 Insights 類型。
  
  若要新增來源事件資料存放區，請執行下列動作。
  1. 選擇新增來源事件資料存放區。
  2. 選擇來源事件資料存放區。
  3. 選擇您想要接收的 Insights 類型。
    - ApiCallRateInsight - ApiCallRateInsight Insights 類型會分析每分鐘彙總的僅寫入管理API呼叫，並與基準API呼叫磁碟區進行比較。若要接收 ApiCallRateInsight 上的 Insights，來源事件資料存放區必須記錄寫入管理事件。
    - ApiErrorRateInsight – ApiErrorRateInsight Insights 類型會分析導致錯誤碼的管理API呼叫。如果API呼叫失敗，則會顯示錯誤。若要接收 ApiErrorRateInsight 上的 Insights，來源事件資料存放區必須記錄寫入或讀取管理事件。
  4. 重複前兩個步驟 (ii 和 iii)，以新增任何您想要接收的其他 Insights 類型。
選擇 Next (下一步) 以檢閱您的選項。
在 Review and create (檢閱和建立) 頁面上，檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時，請選擇 Create event data store (建立事件資料存放區)。
新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。
如果您在步驟 10 中未選擇來源事件資料存放區，請依照若要建立會啟用 Insights 事件的來源事件資料存放區中的步驟來建立一個來源事件資料存放區。

若要建立會啟用 Insights 事件的來源事件資料存放區

此程序將向您說明如何建立會啟用 Insights 事件並記錄管理事件的來源事件資料存放區。

登入 AWS Management Console 並在開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/。
在導覽窗格中，開啟 Lake 子選單，然後選擇 Event data stores (事件資料存放區)。
選擇 Create event data store (建立事件資料存放區)。
在設定事件資料存放區頁面上的一般詳細資訊中，輸入事件資料存放區的名稱。名稱為必填。
選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需詳細資訊，請參閱 AWS CloudTrail 定價和管理 CloudTrail Lake 成本。

以下為可用的選項：
- 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB，並需要長達 10 年的彈性保留期，則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。在 366 天後，延長的保留可以定價 pay-as-you-go使用。此為預設選項。
  - 預設保留期：366 天
  - 最長保留期：3,653 天
- 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB，並需要長達 7 年的彈性保留期，則建議使用此選項。保留已包含在擷取定價中，無須額外付費。
  - 預設保留期：2,557 天
  - 最長保留期：2,557 天
指定事件資料存放區的保留期。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間；或是七年保留定價選項，則可介於 7 天到 2,557 天 (約七年) 之間。

CloudTrail Lake 會檢查事件eventTime的是否在指定的保留期間內，以決定是否保留事件。例如，如果您指定 90 天的保留期，當事件eventTime超過 90 天時， CloudTrail 便會移除事件。
（選用）若要使用啟用加密 AWS Key Management Service，請選擇使用我自己的 AWS KMS key。選擇新增以為您 AWS KMS key 建立，或選擇現有以使用現有KMS金鑰。在輸入KMS別名 中，以格式指定別名 alias/MyAliasName。使用您自己的KMS金鑰需要編輯KMS金鑰政策，以允許 CloudTrail對日誌進行加密和解密。如需詳細資訊，請參閱設定 AWS KMS 金鑰原則 CloudTrail。 CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰。

使用您自己的KMS金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與KMS金鑰建立關聯後，就無法移除或變更KMS金鑰。

注意
若要啟用組織事件資料存放區的 AWS Key Management Service 加密，您必須使用管理帳戶的現有KMS金鑰。
(選用) 如果您想使用 Amazon Athena 查詢自己的事件資料，請在 Lake 查詢聯合中選擇啟用。聯合可讓您檢視與資料目錄中的事件資料存放區 AWS Glue 相關聯的中繼資料，並根據 Athena 中的事件資料執行SQL查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊，請參閱聯合事件資料存放區。

若要啟用 Lake 查詢聯合，請選擇啟用，然後執行下列動作：
1. 選擇您要建立新角色或使用現有IAM角色。 AWS Lake Formation使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時， CloudTrail 會自動建立具有所需許可的角色。如果您選擇現有角色，請確認該角色的政策可提供必要的最低許可。
2. 如果您要建立新角色，請輸入名稱以識別角色。
3. 如果您要使用現有角色，請選擇想使用的角色。該角色必須存在於您的帳戶中。
(選用) 在 Tags (標籤) 區段中，您最多可以新增 50 個標籤金鑰對，以協助您識別、排序和控制對事件資料存放區的存取權限。如需如何使用IAM政策根據標籤授權存取事件資料存放區的詳細資訊，請參閱範例：拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。如需如何在中使用標籤的詳細資訊 AWS，請參閱標記 AWS 資源使用者指南 中的標記 AWS 資源。
選擇 Next (下一步) 以設定事件資料存放區。
在選擇事件頁面上，選擇AWS 事件 ，然後選擇CloudTrail事件 。
在CloudTrail 事件 中，保留選取管理事件。
若要讓事件資料存放區從 AWS Organizations 組織中的所有帳戶收集事件，請選取 Enable for all accounts in my organization (啟用我組織中的所有帳戶)。您必須登入到組織的管理帳戶，才能建立會啟用 Insights 的事件資料存放區。
展開其他設定以選擇您希望事件資料存放區收集所有的事件 AWS 區域，還是只收集目前的事件 AWS 區域，並選擇事件資料存放區是否擷取事件。依預設，您的事件資料存放區會從帳戶的所有區域收集事件，而且會在建立時開始擷取事件。
1. 如果您希望僅包括目前區域中記錄的事件，請選擇在我的事件資料存放區中僅包含目前區域。如果未選擇此選項，則您的事件資料存放區將包含來自所有區域的事件。
2. 維持選取擷取事件。
選擇您想要包含在事件資料存放區內的管理事件類型。您可以選擇讀取、寫入，或兩者。至少需要選取一個。

注意
若要在API通話磁碟區上記錄 Insights 事件，事件資料存放區必須記錄write管理事件。若要以API錯誤率記錄 Insights 事件，事件資料存放區必須記錄read或write管理事件。
您可以選擇從API事件RDS資料存放區中排除 AWS Key Management Service 或 Amazon Data 事件。如需關於這些選項的詳細資訊，請參閱記錄管理事件。
選擇啟用 Insights。
在啟用 Insights 中，選擇記錄見 Insights 事件的目的地事件存放區。目的地事件資料存放區將依據此事件資料存放區中的管理事件活動收集 Insights 事件。如需有關如何建立目的地事件資料存放區的資訊，請參閱若要建立會記錄 Insights 事件的目的地事件資料存放區。
選擇 Insights 類型。您可以選擇API呼叫率 、API錯誤率 或兩者。您必須記錄寫入管理事件，以記錄API呼叫速率 的 Insights 事件。您必須記錄讀取或寫入管理事件，以記錄API錯誤率 的 Insights 事件。
選擇 Next (下一步) 以檢閱您的選項。
在 Review and create (檢閱和建立) 頁面上，檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時，請選擇 Create event data store (建立事件資料存放區)。
新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

從此開始，事件資料存放區將擷取與其進階事件選取器相符的事件。在來源事件資料存放區上第一次啟用 CloudTrail Insights 後，如果偵測到異常活動，則可能需要最多 7 天 CloudTrail 的時間將第一個 Insights 事件交付至目的地事件資料存放區。

您可以檢視 CloudTrail Lake 儀表板，以視覺化目的地事件資料存放區中的 Insights 事件。如需有關 Lake 儀表板的詳細資訊，請參閱使用 CloudTrail 主控台檢視 CloudTrail Lake 儀表板。

在 CloudTrail Lake 擷取 Insights 事件需支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights，則將分別支付它們的費用。如需有關 CloudTrail 定價的資訊，請參閱AWS CloudTrail 定價。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

建立事件的事件資料存放區 CloudTrail

建立 AWS Config 組態項目的事件資料存放區