CloudTrail Concepts et terminologie relatifs aux lacs - AWS CloudTrail
Magasins de données d’événementIntégrationsRequêtesTableau de bord

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CloudTrail Concepts et terminologie relatifs aux lacs

Cette section décrit les principaux concepts et termes qui vous aideront à utiliser AWS CloudTrail Lake.

Magasins de données d’événement

Les événements sont agrégés dans des magasins de données d’événement, qui sont des ensembles inaltérables d’événements basés sur des critères que vous sélectionnez en appliquant les sélecteurs d’événements avancés.

Vous pouvez créer un magasin de données d'événements pour enregistrer les événements CloudTrail de gestion et les événements de données, les événements CloudTrail Insights, les AWS Audit Manager preuves, les éléments de AWS Config configuration ou les événements extérieurs à AWS.

Sélecteurs d’événements avancés

Les sélecteurs d’événements avancés déterminent les événements à inclure dans un magasin de données d’événement. Ils vous aident à contrôler les coûts en ne journalisant que les événements qui sont importants pour vous.

Pour les événements de gestion et les événements de données, vous pouvez utiliser des sélecteurs d’événements avancés pour filtrer les événements. Par exemple, si vous créez un magasin de données d'événements pour collecter des événements de gestion, vous pouvez filtrer les événements de l'API de données Amazon Relational Database Service AWS Key Management Service (Amazon RDS AWS KMS) ou les exclure (). Généralement, AWS KMS les actions telles que EncryptDecrypt, et GenerateDataKey génèrent plus de 99 % des événements.

Pour les éléments de AWS Config configuration, les preuves d'Audit Manager ou les événements extérieurs aux sélecteurs d' AWSévénements avancés ne sont utilisés que pour inclure des événements de ce type dans le magasin de données d'événements.

Fédération

Fédération vous permet de consulter les métadonnées associées à un magasin de données d’événement dans le catalogue de données d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événements à l’aide d’Amazon Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger.

Lorsque vous activez la fédération de requêtes Lake, CloudTrail crée les ressources fédérées en votre nom et enregistre ces ressources auprès AWS Lake Formationde. Une fois la fédération de Lake activée, vous pouvez directement interroger les données de votre événement dans Athena sans avoir à effectuer d’étapes supplémentaires. Pour plus d’informations, consultez Fédérer un magasin de données d’événement.

Option de tarification

Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d’informations sur la tarification, consultez Tarification d’AWS CloudTrail et Gestion des coûts CloudTrail du lac.

Période de conservation

La période de conservation d'un magasin de données d'événements détermine la durée pendant laquelle les données d'événements sont conservées dans le magasin de données d'événements. CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. eventTime Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent eventTime de plus de 90 jours.

Période de conservation par défaut

La période de conservation par défaut d’un magasin de données d’événement est le nombre de jours par défaut pendant lesquels les données d’événements sont conservées dans le magasin de données d’événement. Pendant la période de conservation par défaut d’un magasin de données d’événement, le stockage est inclus dans le prix d’ingestion sans frais supplémentaires. Après la période de conservation par défaut, le prix du stockage est fixé à pay-as-you-go.

Période de conservation maximale

La période de conservation maximale d’un magasin de données d’événement représente le nombre maximal de jours pendant lesquels vous pouvez conserver les données dans un magasin de données d’événement.

Protection de la résiliation

Par défaut, les magasins de données d’événement activent la protection contre la résiliation, qui protège un magasin de données d’événement contre toute suppression accidentelle. Pour supprimer un magasin de données d’événement avec la protection de résiliation activée, choisissez Modifier la protection contre la résiliation dans le menu Actions de la page de détails du magasin de données d’événement. Vous pouvez ensuite supprimer le magasin de données d’événement. Pour plus d’informations, consultez Modifier la protection contre le licenciement à l'aide de la console.

Intégrations

Vous pouvez utiliser les intégrations de CloudTrail Lake pour enregistrer et stocker les données d'activité des utilisateurs provenant des sources suivantes :

  • En dehors de AWS

  • Vous pouvez journaliser et stocker les données d’activité des utilisateurs provenant des sources que vous souhaitez dans vos environnements hybrides, telles que des applications internes ou SaaS (logiciel en tant que service) hébergées sur site ou dans le cloud, des machines virtuelles ou des conteneurs

Une intégration nécessite un canal pour diffuser les événements et un magasin de données d’événement pour recevoir les événements. Après avoir configuré votre intégration, appelez l'opération PutAuditEventsAPI pour intégrer CloudTrail l'activité de votre application. Vous pouvez ensuite utiliser CloudTrail Lake pour rechercher, interroger et analyser les données enregistrées par vos applications. Pour plus d’informations, consultez Créez une intégration avec une source d'événements en dehors de AWS.

Type d’intégration

Il existe deux types d’intégrations : directe et solution. Avec les intégrations directes, le partenaire appelle l’API PutAuditEvents pour transmettre les événements au magasin de données d’événement pour votre Compte AWS. Dans le cas des intégrations de solutions, l'application s'exécute dans votre environnement Compte AWS et l'application appelle l'opération PutAuditEvents API pour transmettre les événements au magasin de données d'événements pour vous Compte AWS.

Canaux

Organisez des événements provenant de sources extérieures au AWS travail en utilisant des canaux pour diffuser dans CloudTrail Lake des événements provenant de partenaires externes qui travaillent avec CloudTrail vous ou provenant de vos propres sources. Lorsque vous créez un canal, vous sélectionnez un ou plusieurs magasins de données d’événement pour stocker les événements provenant de la source du canal. Vous pouvez modifier les magasins de données d’événement de destination d’un canal selon vos besoins, à condition qu’ils soient configurés pour journaliser les événements eventCategory="ActivityAuditLog". Lorsque vous créez un canal pour les événements d’un partenaire externe, vous fournissez un Amazon Resource Name (ARN) de canal au partenaire ou à l’application source.

Politiques basées sur les ressources

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. La politique basée sur les ressources attachée au canal permet à la source de transmettre des événements via celui-ci. Si un canal ne dispose d’aucune politique de ressources, seul le propriétaire du canal peut appeler l’API PutAuditEvents sur celui-ci. Pour plus d’informations, consultez AWS CloudTrail exemples de politiques basées sur les ressources.

Requêtes

Présentation d'une fonctionnalité d'aperçu pour les requêtes CloudTrail Lake qui utilise des fonctionnalités d'intelligence artificielle générative (IA générative) pour produire une requête SQL à partir d'une invite en anglais. Pour plus d’informations, consultez Créez des requêtes CloudTrail Lake à partir d'instructions en anglais.

Les requêtes dans CloudTrail Lake sont créées en SQL. Vous pouvez créer une requête dans l'onglet CloudTrail Lake Editor en écrivant la requête en SQL à partir de zéro, ou en ouvrant une requête enregistrée ou un exemple de requête et en la modifiant. Vous ne pouvez pas remplacer un exemple de requête inclus par vos modifications, mais vous pouvez l’enregistrer en tant que nouvelle requête. Pour plus d’informations, consultez Création ou modification d'une requête à l'aide de la CloudTrail console.

CloudTrail Lake prend en charge toutes les Presto SELECT déclarations et fonctions valides. Pour plus d’informations sur les fonctions et opérateurs SQL pris en charge, veuillez consulter Fonctions et opérateurs sur le site Web de documentation de Presto.

Tableau de bord

En utilisant le tableau de bord CloudTrail Lake, vous pouvez visualiser les événements dans un magasin de données d'événements et voir les tendances des événements, telles que le top Services AWS, les utilisateurs et les erreurs. Pour plus d’informations, consultez Afficher les tableaux de bord de CloudTrail Lake avec la console CloudTrail .

Type de tableau de bord

Les types de tableaux de bord disponibles pour un magasin de données d’événement dépendent de la configuration des sélecteurs d’événements avancés du magasin de données d’événement. Par exemple, si un type de tableau de bord affiche des informations sur les événements de CloudTrail gestion, vous ne pouvez sélectionner le tableau de bord que si le magasin de données d'événements actuellement sélectionné collecte CloudTrail des événements de gestion.

Les types de tableaux de bord disponibles sont les suivants :

  • Tableau de bord d'ensemble — Affiche les utilisateurs les plus actifs Régions AWS, et Services AWS par nombre d'événements. Vous pouvez également consulter des informations sur l’activité des événements de gestion read et write, les événements les plus limités et les principales erreurs. Ce tableau de bord est disponible pour les magasins de données d’événement qui collectent des événements de gestion.

  • Tableau de bord Événements de gestion : affiche les événements de connexion à la console, les événements de refus d’accès, les actions destructrices et les principales erreurs par utilisateur. Vous pouvez également consulter des informations sur les versions TLS et les appels TLS obsolètes par utilisateur. Ce tableau de bord est disponible pour les entrepôts de données d'événement qui collectent des événements de gestion.

  • Tableau de bord Événements de données S3 : affiche l’activité du compte Amazon S3, les objets S3 les plus consultés, les principaux utilisateurs S3 et les principales actions S3. Ce tableau de bord est disponible pour les magasins de données d’événement qui collectent des événements de données Amazon S3.

  • Tableau de bord Événements Insights : affiche la proportion globale d'événements Insights par type Insights, la proportion d'événements Insights par type Insights pour les principaux utilisateurs et services, et le nombre d'événements Insights par jour. Le tableau de bord inclut également un widget qui répertorie jusqu'à 30 jours d'événements Insights. Ce tableau de bord n'est disponible que pour les entrepôts de données d'événement qui collectent des événements Insights.

    Note

    • Une fois que vous avez activé CloudTrail Insights pour la première fois dans le magasin de données d'événements source, le lancement du premier événement Insights peut prendre jusqu' CloudTrail à 7 jours, si une activité inhabituelle est détectée. Pour plus d’informations, consultez Comprendre la diffusion d'événements Insights.

    • Le tableau de bord Événements Insights n'affiche que les informations relatives aux événements Insights collectés par l'entrepôt de données d'événement sélectionné, qui sont déterminées par la configuration de l'entrepôt de données d'événement source. Par exemple, si vous configurez le magasin de données d’événement source pour activer les événements Insights sur ApiCallRateInsight, mais pas sur ApiErrorRateInsight, vous ne verrez aucune information sur les événements Insights sur ApiErrorRateInsight.

Widgets

Les widgets sont les composants qui constituent un tableau de bord et fournissent une visualisation, telle qu’un graphique linéaire ou un graphique à barres. Chaque widget représente une requête sous-jacente. Lorsque vous choisissez Exécuter des requêtes, CloudTrail exécute une requête générée par le système pour renseigner les données de chaque widget.