Utilizzo di AWS CloudTrail Lake

AWS CloudTrail Lake consente di eseguire query basate su SQL sugli eventi dell'utente. CloudTrail Lake converte gli eventi esistenti in formato JSON basato su righe in formato Apache ORC. ORC è un formato di archiviazione a colonne ottimizzato per il recupero rapido dei dati. Gli eventi vengono aggregati in archivi di dati degli eventi, che sono raccolte di eventi immutabili in base ai criteri selezionati applicando i selettori di eventi avanzati. Puoi conservare i dati dell'evento in un archivio dati di eventi per un massimo di 7 anni o 2557 giorni. Per impostazione predefinita, i dati degli eventi vengono conservati per il periodo massimo, 2557 giorni. I selettori applicati a un archivio di dati degli eventi controllano quali eventi persistono e sono disponibili per l'esecuzione della query. CloudTrail Lake è una soluzione di verifica che può integrarsi nell'insieme di misure di conformità dell'utente e assisterlo nella risoluzione dei problemi in tempo reale.

Puoi utilizzare le integrazioni di CloudTrail Lake per registrare e archiviare i dati delle attività degli utenti dall'esterno di AWS, da qualsiasi origine nei tuoi ambienti ibridi, ad esempio applicazioni interne o SaaS ospitate on-premise o nel cloud, macchine virtuali o container. Dopo avere creato gli archivi di dati degli eventi in CloudTrail Lake e un canale per registrare gli eventi delle attività, chiama l'API PutAuditEvents per importare l'attività dell'applicazione in CloudTrail. Puoi quindi utilizzare CloudTrail Lake per cercare e analizzare i dati registrati dalle tue applicazioni ed eseguirvi query.

Le integrazioni, inoltre, possono registrare gli eventi nei tuoi archivi di dati degli eventi da oltre una dozzina di partner CloudTrail. In un'integrazione dei partner, crei degli archivi di dati degli eventi di destinazione, un canale e una policy delle risorse. Dopo avere creato l'integrazione, fornisci l'ARN del canale al partner. Esistono due tipi di integrazione: diretta e di soluzione. Con le integrazioni dirette, il partner chiama l'API PutAuditEvents per distribuire gli eventi all'archivio di dati degli eventi per il tuo account AWS. Con le integrazioni di soluzione, l'applicazione viene eseguita nel tuo account AWS e l'applicazione chiama l'API PutAuditEvents per distribuire gli eventi all'archivio di dati degli eventi per il tuo account AWS.

Quando crei un archivio di dati degli eventi, scegli il tipo di eventi da includere in tale archivio. Puoi creare un archivio di dati degli eventi che includa eventi di CloudTrail, elementi di configurazione AWS Config, prove Audit Manager o eventi provenienti dall'esterno di AWS. Ogni archivio di dati degli eventi può contenere solo una specifica categoria di eventi (ad esempio, elementi di configurazione AWS Config), poiché lo schema degli eventi è unico per ciascuna categoria di eventi. Puoi eseguire query SQL su più archivi dati di eventi utilizzando le parole chiave SQL JOIN supportate. Per informazioni sull'esecuzione di query su più archivi dati di eventi, consulta Supporto avanzato per query multi-tabella.

Le query di CloudTrail Lake offrono una visione più approfondita e personalizzabile degli eventi rispetto alle semplici ricerche di chiave e valore in Event history (Cronologia eventi) o tramite LookupEvents. Una ricerca Event history (Cronologia eventi) è limitata a un singolo Account AWS, restituisce gli eventi di una sola Regione AWS e non può eseguire query per più attributi. Al contrario, gli utenti di CloudTrail Lake possono eseguire query Standard Query Language (SQL) complesse su più campi in un evento CloudTrail o in un elemento di configurazione. Per un elenco degli operatori SQL supportati, consultare Vincoli SQL di CloudTrail Lake.

Puoi salvare le query CloudTrail Lake per l'utilizzo futuro e visualizzarne i risultati per un massimo di sette giorni. Quando esegui query, è possibile salvare i risultati della query in un bucket Amazon S3. Inoltre, CloudTrail Lake può archiviare gli eventi di un'organizzazione in AWS Organizations in un archivio di dati degli eventi, inclusi gli eventi provenienti da regioni e account diversi.

CloudTrail non supporta l'autorizzazione basata sui tag per i trail. Tuttavia, puoi controllare l'accesso alle operazioni sugli archivi dati di eventi utilizzando l'autorizzazione basata sui tag. Per ulteriori informazioni e degli esempi, consultare Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag in questa guida.

Per impostazione predefinita, tutti gli eventi in un archivio dati di eventi sono crittografati da CloudTrail. Quando configuri un archivio dati di eventi, puoi scegliere di utilizzare la tua chiave AWS Key Management Service. L'utilizzo della tua chiave KMS comporta costi di AWS KMS per la crittografia e la decrittografia. Dopo aver associato un archivio dati di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.

Le query e gli archivi di dati degli eventi CloudTrail Lake comportano addebiti CloudTrail. Per ulteriori informazioni sui prezzi di CloudTrail Lake, consultare Prezzi di AWS CloudTrail.

CloudTrail Lake supporta i parametri di Amazon CloudWatch, che è possibile utilizzare per visualizzare informazioni sulla quantità di dati inseriti nel data store degli eventi durante l'ultima ora e nel corso del periodo di conservazione. Per ulteriori informazioni sulle metrice CloudWatch supportate, consultare Parametri supportati da CloudWatch.

Nota

In genere, CloudTrail distribuisce i log con una media di circa 15 minuti da una chiamata API. Questo tempo non è garantito.

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzazione di canali collegati ai servizi tramite AWS CLI

Regioni supportate da CloudTrail Lake