Travailler avec AWS CloudTrail Lake

AWS CloudTrail Lake vous permet d'exécuter des requêtes SQL sur vos événements. CloudTrail Lake convertit les événements existants au format JSON basé sur les lignes au format Apache ORC. ORC est un format de stockage en colonnes qui est optimisé pour une récupération rapide des données. Les événements sont agrégés dans des magasins de données d’événement, qui sont des ensembles inaltérables d’événements basés sur des critères que vous sélectionnez en appliquant les sélecteurs d’événements avancés. Vous pouvez conserver les données d’événement dans une banque de données d’événement jusqu’à 3 653 jours (environ 10 ans) si vous choisissez l’option de tarification de rétention extensible d’un an, ou jusqu’à 2 557 jours (environ 7 ans) si vous choisissez l’option de tarification de rétention de sept ans. Les sélecteurs que vous appliquez à une banque de données d'événements contrôlent les événements qui persistent et que vous pouvez interroger. CloudTrail Lake est une solution d'audit qui peut compléter votre système de conformité et vous aider à résoudre les problèmes en temps quasi réel.

CloudTrail Stockages de données sur les événements du lac

Lorsque vous créez un magasin de données d’événement, vous choisissez le type d’événements à inclure dans celui-ci. Vous pouvez créer un magasin de données d'événements pour inclure CloudTrail des événements, CloudTrail des événements Insights, des éléments de AWS Config configuration, des AWS Audit Manager preuves ou des événements extérieurs à AWS. Chaque banque de données d'événements ne peut contenir qu'une catégorie d'événements spécifique (par exemple, des éléments de AWS Config configuration), car le schéma d'événement est unique à la catégorie d'événements. Vous pouvez stocker les événements d'une organisation AWS Organizations dans un magasin de données d'événements d'organisation, y compris les événements provenant de plusieurs régions et comptes. Vous pouvez exécuter des requêtes SQL sur plusieurs magasins de données d’événement en utilisant les mots-clés SQL JOIN pris en charge. Pour plus d’informations sur l’exécution de requêtes sur plusieurs magasins de données d’événement, consultez Prise en charge avancée des requêtes multitables.

Vous pouvez copier les événements du parcours dans un magasin de données d'événements nouveau ou existant pour créer un point-in-time instantané des événements enregistrés dans le parcours. Pour plus d’informations, consultez Copier des événements de journal de suivi dans un magasin de données d'événement.

Vous pouvez fédérer un magasin de données d’événement pour voir les métadonnées associées au magasin de données d’événement dans le catalogue de données d’ AWS Glue et exécuter des requêtes SQL sur les données d’événement à l’aide d’Amazon Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour plus d’informations, consultez Fédérer un magasin de données d’événement.

Par défaut, tous les événements d'un magasin de données d'événements sont chiffrés par CloudTrail. Lorsque vous configurez un magasin de données d'événements, vous pouvez choisir d'utiliser votre propre AWS Key Management Service clé. L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.

Vous pouvez contrôler l’accès aux actions sur les magasins de données d’événement à l’aide de l’autorisation basée sur des balises. Pour plus d’informations et d’exemples, consultez aussi Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications dans ce guide.

Vous pouvez utiliser les tableaux de bord CloudTrail Lake pour visualiser les données de vos magasins de données d'événements. Chaque tableau de bord est composé de plusieurs widgets et chaque widget représente une requête SQL. Pour de plus amples informations sur le tableau de bord Lake, veuillez consulter Afficher les tableaux de bord de CloudTrail Lake avec la console CloudTrail .

CloudTrail Les magasins de données sur les événements de Lake sont payants. Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir AWS CloudTrail Tarification etGestion des coûts CloudTrail du lac.

CloudTrail Lake prend en charge CloudWatch les métriques Amazon, qui fournissent des informations sur les données ingérées et les octets de stockage. Pour plus d'informations sur les CloudWatch métriques prises en charge, consultez CloudWatch Métriques prises en charge.

Note

CloudTrail fournit généralement des événements dans un délai moyen d'environ 5 minutes après un appel d'API. Ce délai n’est pas garanti.

CloudTrail Intégrations de lacs

Vous pouvez utiliser les intégrations CloudTrail Lake pour enregistrer et stocker les données d'activité des utilisateurs provenant de l'extérieur AWS, de n'importe quelle source dans vos environnements hybrides, telles que des applications internes ou SaaS hébergées sur site ou dans le cloud, des machines virtuelles ou des conteneurs. Après avoir créé des magasins de données d'événements dans CloudTrail Lake et créé un canal pour enregistrer les événements d'activité, vous appelez l'PutAuditEventsAPI pour y intégrer CloudTrail l'activité de votre application. Vous pouvez ensuite utiliser CloudTrail Lake pour rechercher, interroger et analyser les données enregistrées par vos applications.

Les intégrations peuvent également enregistrer les événements de plus d'une douzaine de CloudTrail partenaires dans vos magasins de données d'événements. Dans le cadre d'une intégration de partenaires, vous créez des stockages de données d'événement de destination, un canal et une politique de ressources. Après avoir créé l'intégration, vous fournissez l'ARN du canal au partenaire. Il existe deux types d'intégrations : directe et solution. Dans le cas des intégrations directes, le partenaire appelle l'PutAuditEventsAPI pour transmettre les événements au magasin de données d'événements de votre AWS compte. Avec les intégrations de solutions, l'application s'exécute dans votre AWS compte et l'application appelle l'PutAuditEventsAPI pour transmettre les événements au magasin de données d'événements de votre AWS compte.

Pour plus d'informations sur les intégrations, voir Créer une intégration avec une source d'événements extérieure à. AWS

CloudTrail Requêtes sur le lac

Présentation d'une fonctionnalité de prévisualisation pour les requêtes CloudTrail Lake qui utilise des fonctionnalités d'intelligence artificielle générative (IA générative) pour produire une requête SQL à partir d'une invite en anglais. Pour plus d’informations, consultez Créez des requêtes CloudTrail Lake à partir d'instructions en anglais.

CloudTrail Les requêtes Lake offrent une vue plus approfondie et plus personnalisable des événements que de simples recherches de clés et de valeurs dans l'historique des événements ou en cours d'exécutionLookupEvents. Une recherche dans l'historique des événements est limitée à un seul Compte AWS, ne renvoie que les événements d'un seul Région AWSévénement et ne peut pas interroger plusieurs attributs. En revanche, les utilisateurs de CloudTrail Lake peuvent exécuter des requêtes SQL complexes sur plusieurs champs d'événements. CloudTrail Lake prend en charge toutes les SELECT instructions et fonctions Presto valides. Pour plus d’informations sur les fonctions et opérateurs SQL pris en charge, veuillez consulter Functions and Operators sur le site Web de documentation de Presto.

Vous pouvez enregistrer les requêtes CloudTrail Lake pour une utilisation future et consulter les résultats des requêtes pendant sept jours au maximum. Lorsque vous exécutez des requêtes, vous pouvez enregistrer leurs résultats dans un compartiment Amazon S3.

La CloudTrail console fournit un certain nombre d'exemples de requêtes qui peuvent vous aider à commencer à écrire vos propres requêtes. Pour plus d’informations, consultez Afficher des exemples de requêtes avec la CloudTrail console.

CloudTrail Les requêtes relatives au lac entraînent des frais. Lorsque vous exécutez des requêtes dans Lake, vous payez en fonction de la quantité de données analysées. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir AWS CloudTrail Tarification etGestion des coûts CloudTrail du lac.

Ressources supplémentaires

Les ressources suivantes peuvent vous aider à mieux comprendre ce qu'est CloudTrail Lake et comment vous pouvez l'utiliser.

• Modernisez la gestion de vos journaux d'audit à l'aide de CloudTrail Lake (YouTube vidéo)

• Enregistrer les événements d'activité non liés àAWS des sources dans AWS CloudTrail le lac (YouTube vidéo)

• Analysez les journaux d'activité avec AWS CloudTrail Lake et Amazon Athena (vidéo) YouTube

• Obtenez de la visibilité dans les journaux d'activité de votre personnel et de l'identité de vos clients (AWS blog)

• Utilisation de AWS CloudTrail Lake pour identifier les anciennes connexions TLS aux points de terminaison AWS du service (blog)AWS

• Comment Arctic Wolf utilise AWS CloudTrail Lake pour simplifier la sécurité et les opérations (AWS blog)

• CloudTrail FAQ sur le lac

• AWS CloudTrail API Reference

• AWS CloudTrail Référence de l'API de données

• AWS CloudTrail Guide d'intégration des partenaires