本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CloudTrail 湖泊事件数据存储
事件将被聚合到事件数据存储中,它是基于您通过应用高级事件选择器选择的条件的不可变的事件集合。
在 CloudTrail Lake 中创建事件数据存储时,您可以选择要包含在事件数据存储中的事件类型。您可以创建事件数据存储以包含 CloudTrail数据或管理事件、 CloudTrail Insights 事件、 AWS Config 配置项目或外部的事件 AWS。每种事件数据存储类型只能包含特定的事件类别(例如, AWS Config 配置项目),因为事件架构对于事件类别是唯一的。您可以使用支持的SQLJOIN关键字在多个事件数据存储中运行SQL查询。有关跨多个事件数据存储运行查询的信息,请参阅 高级多表查询支持。
下表显示了每种事件数据存储类型支持的事件类别。该eventCategory列显示了您在高级事件选择器中指定的值,以收集该类型的事件。
事件类型(控制台) | eventCategory (API) | 描述 |
---|---|---|
CloudTrail 事件 |
|
此事件数据存储类型可以收集 CloudTrail 管理和数据事件。有关更多信息,请参阅为事件创建事件数据存 CloudTrail 储。 |
CloudTrail 洞察活动 |
|
此事件数据存储类型可以收集 CloudTrail Insights 事件。要接收 Insights 事件,您需要一个用于记录 CloudTrail 管理事件并启用 Insights 的源事件数据存储。有关创建源和目标事件数据存储的信息,请参阅为 CloudTrail Insights 事件创建事件数据存储。 |
配置项 |
|
此事件数据存储类型可以收集 AWS Config 配置项目。有关更多信息,请参阅为 AWS Config 配置项目创建事件数据存储。 |
来自集成的事件 |
|
此事件数据存储类型可以从集成中收集非AWS 事件。有关更多信息,请参阅为之外的事件创建事件数据存储 AWS。 |
您也可以使用 Audit Manager 控制台创建用于 AWS Audit Manager 证据的事件数据存储。有关使用 Audit Manager 在 CloudTrail Lake 中汇总证据的更多信息,请参阅AWS Audit Manager 用户指南中的了解证据查找器如何与 CloudTrail Lake 配合使用。
CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅AWS CloudTrail 定价
以下各节介绍如何创建、更新和管理事件数据存储。