CloudTrail Archivi di dati sugli eventi Lake CloudTrail Integrazioni con Lake CloudTrail Domande sul lago

Lavorare con AWS CloudTrail Lake

AWS CloudTrail Lake ti consente di eseguire query basate su SQL sui tuoi eventi. CloudTrail Lake converte gli eventi esistenti in formato JSON basato su righe in formato Apache ORC. ORC è un formato di archiviazione a colonne ottimizzato per il recupero rapido dei dati. Gli eventi vengono aggregati in archivi di dati degli eventi, che sono raccolte di eventi immutabili in base ai criteri selezionati applicando i selettori di eventi avanzati. Puoi conservare i dati degli eventi in un datastore di eventi per un massimo di 3.653 giorni (circa 10 anni) se scegli l'opzione Prezzo per la conservazione estendibile di un anno o di 2.557 giorni (circa 7 anni) se scegli l'opzione Prezzo per la conservazione di sette anni. I selettori che applichi a un event data store controllano quali eventi persistono e sono disponibili per essere interrogati. CloudTrail Lake è una soluzione di auditing che può completare il vostro stack di conformità e aiutarvi nella risoluzione dei problemi quasi in tempo reale.

CloudTrail Archivi di dati sugli eventi Lake

Quando crei un archivio di dati degli eventi, scegli il tipo di eventi da includere in tale archivio. È possibile creare un data store di eventi per includere CloudTrail eventi, eventi CloudTrail Insights, elementi di AWS Config configurazione , AWS Audit Manager prove o eventi esterni a AWS. Ogni archivio dati di eventi può contenere solo una categoria di eventi specifica (ad esempio, elementi di AWS Config configurazione), poiché lo schema degli eventi è unico per la categoria di eventi. È possibile archiviare gli eventi di un'organizzazione AWS Organizations in un archivio dati di eventi organizzativi, inclusi gli eventi provenienti da più regioni e account. Puoi anche eseguire query SQL su più datastore di eventi utilizzando le parole chiave SQL JOIN supportate. Per informazioni sull'esecuzione di query su più datastore di eventi, consulta Supporto avanzato per query multi-tabella.

È possibile copiare gli eventi del trail in un data store di eventi nuovo o esistente per creare un' point-in-time istantanea degli eventi registrati nel percorso. Per ulteriori informazioni, consulta Copia di eventi traccia in un archivio dati degli eventi.

Puoi eseguire la federazione di un datastore di eventi per visualizzare i metadati associati al datastore nel Catalogo dati AWS Glue ed eseguire query SQL sui dati degli eventi utilizzando Amazon Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta Federare un datastore di eventi.

Per impostazione predefinita, tutti gli eventi in un archivio dati di eventi sono crittografati da. CloudTrail Quando configuri un Event Data Store, puoi scegliere di utilizzare la tua AWS Key Management Service chiave. L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.

Puoi controllare l'accesso alle operazioni sui datastore di eventi utilizzando l'autorizzazione basata sui tag. Per ulteriori informazioni e degli esempi, consultare Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag in questa guida.

Puoi utilizzare le dashboard di CloudTrail Lake per visualizzare i dati negli archivi dati degli eventi. Ogni tipo di pannello di controllo è composto da più widget e ogni widget rappresenta una query SQL. Per ulteriori informazioni sui pannelli di controllo di Lake, consulta Visualizzazione dei pannelli di controllo di Lake.

CloudTrail I data store di eventi Lake sono a pagamento. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi AWS CloudTrail Prezzi e. Gestione dei costi CloudTrail del lago

CloudTrail Lake supporta le CloudWatch metriche di Amazon, che forniscono informazioni sui dati acquisiti e sui byte di archiviazione. Per ulteriori informazioni sulle metriche supportate CloudWatch , consulta. Parametri supportati da CloudWatch

Nota

CloudTrail in genere fornisce eventi entro una media di circa 5 minuti da una chiamata API. Questo tempo non è garantito.

CloudTrail Integrazioni con Lake

Puoi utilizzare le integrazioni di CloudTrail Lake per registrare e archiviare i dati sulle attività degli utenti dall'esterno AWS; da qualsiasi fonte nei tuoi ambienti ibridi, come applicazioni interne o SaaS ospitate in locale o nel cloud, macchine virtuali o contenitori. Dopo aver creato gli archivi di dati degli eventi in CloudTrail Lake e creato un canale per registrare gli eventi di attività, chiami l'PutAuditEventsAPI per inserire l'attività dell'applicazione. CloudTrail Puoi quindi utilizzare CloudTrail Lake per cercare, interrogare e analizzare i dati registrati dalle tue applicazioni.

Le integrazioni possono anche registrare gli eventi negli archivi di dati degli eventi provenienti da oltre una CloudTrail dozzina di partner. In un'integrazione dei partner, crei degli archivi di dati degli eventi di destinazione, un canale e una policy delle risorse. Dopo aver creato l'integrazione, fornisci l'ARN del canale al partner. Esistono due tipi di integrazione: diretta e di soluzione. Con le integrazioni dirette, il partner chiama l'PutAuditEventsAPI per inviare eventi all'archivio dati degli eventi relativo al tuo account. AWS Con le integrazioni di soluzioni, l'applicazione viene eseguita nell' AWS account dell'utente e richiama l'PutAuditEventsAPI per inviare gli eventi all'archivio dati degli eventi relativo all'account AWS .

Per ulteriori informazioni sulle integrazioni, consulta Creare un'integrazione con una fonte di eventi esterna a. AWS

CloudTrail Domande sul lago

CloudTrail Le query su Lake offrono una visione più approfondita e personalizzabile degli eventi rispetto alle semplici ricerche di chiavi e valori nella cronologia degli eventi o in corso. LookupEvents Una ricerca nella cronologia degli eventi è limitata a una sola Account AWS, restituisce solo gli eventi di un singolo Regione AWS evento e non può interrogare più attributi. Al contrario, gli utenti di CloudTrail Lake possono eseguire query SQL complesse su più campi di eventi. CloudTrail Lake supporta tutte le SELECT istruzioni e le funzioni Presto valide. Per ulteriori informazioni sulle funzioni e gli operatori SQL supportati, consulta Funzioni e operatori sul sito Web della documentazione di Presto.

Puoi salvare le query di CloudTrail Lake per utilizzi futuri e visualizzare i risultati delle query per un massimo di sette giorni. Quando esegui query, è possibile salvare i risultati della query in un bucket Amazon S3.

La CloudTrail console fornisce una serie di query di esempio che possono aiutarti a iniziare a scrivere le tue query. Per ulteriori informazioni, consulta Visualizzazione delle query di esempio nella console CloudTrail.

CloudTrail Le richieste sul lago sono a pagamento. Quando si eseguono le query in Lake, si paga in base alla quantità di dati scansionati. Per informazioni sui CloudTrail prezzi e sulla gestione dei costi di Lake, vedi AWS CloudTrail Prezzi e. Gestione dei costi CloudTrail del lago

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzazione degli eventi di gestione recenti con AWS CLI

Regioni supportate da CloudTrail Lake