管理 Security Lake 中的區域 - Amazon Security Lake
檢查區域狀態變更區域設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 Security Lake 中的區域

Amazon Security Lake 可以收集 AWS 區域 您啟用服務的安全日誌和事件。對於每個區域,您的資料會儲存在不同的 Amazon S3 儲存貯體中。您可以為不同區域指定不同的資料湖組態 (例如,不同的來源和保留設定)。您也可以定義一或多個彙總區域,以合併來自多個區域的資料。

檢查區域狀態

Security Lake 可以跨多個 收集資料 AWS 區域。若要追蹤資料湖的狀態,了解目前如何設定每個區域會很有幫助。選擇您偏好的存取方法,然後依照下列步驟取得區域的目前狀態。

Console
若要檢查區域狀態

  1. 在 開啟 Security Lake 主控台https://console.aws.amazon.com/securitylake/

  2. 在導覽窗格中,選擇區域 區域頁面隨即出現,提供目前啟用 Security Lake 的區域概觀。

  3. 選取區域,然後選擇編輯以查看該區域的詳細資訊。

API

若要取得目前區域中日誌集合的狀態,請使用 GetDataLakeSources Security Lake 的操作API。如果您使用的是 AWS CLI,請執行 get-data-lake-sources 命令。針對 accounts 參數,指定一或多個 AWS 帳戶 IDs 作為清單。如果您的請求成功,Security Lake 會傳回目前區域中這些帳戶的快照,包括 Security Lake 正在從哪個 AWS 來源收集資料,以及每個來源的狀態。如果您未包含 accounts 參數,回應會包含目前區域中設定 Security Lake 之所有帳戶的記錄收集狀態。

例如,下列 AWS CLI 命令會擷取目前區域中指定帳戶的日誌收集狀態。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"

下列 AWS CLI 命令會列出指定區域中所有帳戶和已啟用來源的日誌收集狀態。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securitylake get-data-lake-sources \
--regions "us-east-1" \
--query 'dataLakeSources[].[account,sourceName]'

若要判斷是否已為 區域啟用 Security Lake,請使用 ListDataLakes 操作。如果您使用的是 AWS CLI,請執行 list-data-lakes 命令。針對 regions 參數,指定 區域的區域代碼,例如美國東部 (維吉尼亞北部) us-east-1 區域。如需區域代碼清單,請參閱中的 Amazon Security Lake 端點AWS 一般參考ListDataLakes 操作會傳回您在請求中指定的每個區域的 Data Lake 組態設定。如果您未指定區域,Security Lake 會傳回每個可用 Security Lake 區域中資料湖的狀態和組態設定。

例如,下列 AWS CLI 命令顯示 eu-central-1區域中資料湖的狀態和組態設定。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securitylake list-data-lakes \
--regions "us-east-1" "eu-central-1"

變更區域設定

選擇您偏好的方法,並遵循這些指示,在一或多個 中更新資料湖的設定 AWS 區域。

Console

  1. 在 開啟 Security Lake 主控台https://console.aws.amazon.com/securitylake/

  2. 在導覽窗格中,選擇區域

  3. 選取區域,然後選擇編輯

  4. 選取 <Region> 中所有帳戶的覆寫來源核取方塊,以確認您在此處的選擇覆寫此區域的先前選擇。

  5. 針對選取儲存類別 ,選擇新增轉換,為您的資料新增儲存類別。

  6. 對於標籤 ,選擇性地指派或編輯區域的標籤。標籤是您可以定義和指派給特定類型 AWS 資源的標籤,包括 AWS 帳戶 特定區域中 的資料湖組態。如需進一步了解,請參閱 標記 Security Lake 資源

  7. 若要將區域轉換為彙總區域,請在導覽窗格中選擇彙總區域 (在設定 下)。然後選擇 Modify (修改)。在選取彙總區域區段中,選擇新增彙總區域 。選取貢獻區域,並向 Security Lake 提供跨多個區域複寫資料的許可。完成後,請選擇儲存以儲存變更。

API

若要以程式設計方式更新資料湖的區域設定,請使用 UpdateDataLake Security Lake 的操作API。如果您使用的是 AWS CLI,請執行 update-data-lake 命令。針對 region 參數,指定您要變更設定之區域的區域代碼,例如美國東部 (維吉尼亞北部) us-east-1 區域。如需區域代碼清單,請參閱中的 Amazon Security Lake 端點AWS 一般參考

使用其他參數來指定您要變更的每個設定的新值,例如加密金鑰 (encryptionConfiguration) 和保留設定 ()lifecycleConfiguration

例如,下列 AWS CLI 命令會更新 us-east-1 區域的資料過期和儲存類別轉換設定。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ update-data-lake \
--configurations '[{"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":45,"storageClass":"ONEZONE_IA"}]}}]'