本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudTrail 湖泊事件資料存放區
系統會將事件彙總到事件資料存放區中,事件資料存放區是事件的不可變集合,其依據為您透過套用進階事件選取器選取的條件。
在 CloudTrail Lake 中建立事件資料倉庫時,您可以選擇要包含在事件資料倉庫中的事件類型。您可以建立事件資料存放區,以包含外部的 CloudTrail資料或管理事件、 CloudTrail Insights 事件、 AWS Config 組態項目或事件 AWS。每個事件資料存放區類型只能包含特定的事件類別 (例如, AWS Config 組態項目),因為事件結構描述對事件類別來說是唯一的。您可以使用支援的 SQL JOIN 關鍵字,跨多個事件資料存放區執行 SQL 查詢。如需跨多個事件資料存放區執行查詢的詳細資訊,請參閱 進階的多重資料表查詢支援。
下表顯示每種事件資料存放區類型的受支援事件類別。eventCategory 欄顯示您要在進階事件選取器中指定的值,以便收集該類型的事件。
事件類型 (主控台) | eventCategory (API) | 描述 |
---|---|---|
CloudTrail 事件 |
|
此事件資料存放區類型可以收集 CloudTrail 管理和資料事件。如需詳細資訊,請參閱為 CloudTrail 事件建立事件資料存放區。 |
CloudTrail 洞察活動 |
|
此事件資料存放區類型可以收集 CloudTrail 見解事件。若要接收 Insights 事件,您需要一個來源事件資料存放區來記錄 CloudTrail 管理事件並啟用深入解析。如需有關建立來源和目標事件資料存放區的詳細資訊,請參閱建立 CloudTrail Insights 事件的事件資料存放區。 |
組態項目 |
|
此事件資料存放區類型可以收集 AWS Config 組態項目。如需詳細資訊,請參閱建立 AWS Config 組態項目的事件資料存放區。 |
來自整合的事件 |
|
此事件資料存放區類型可以從整合收集非AWS 事件。如需詳細資訊,請參閱為以外的事件建立事件資料存放區 AWS。 |
您也可以使用 Audit Manager 主控台建立 AWS Audit Manager 證據的事件資料存放區。如需有關使用 Audit Manager 彙總 CloudTrail Lake 中證據的詳細資訊,請參閱《使用AWS Audit Manager 者指南》中的瞭解證據尋找器如何與 CloudTrail Lake 搭配使用。
CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需有關 CloudTrail 定價和管理 Lake 成本的資訊,請參閱AWS CloudTrail 定價
以下各節說明如何建立、更新和管理事件資料存放區。