本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看 CloudTrail 湖泊仪表板
本演练向您展示了如何查看 CloudTrail Lake 仪表板。CloudTrailLake 仪表板允许您可视化事件数据存储中的事件,并查看趋势,例如热门用户和热门错误。
每个仪表板由多个小组件组成,每个小组件代表一个SQL查询。要填充控制面板,请 CloudTrail 运行系统生成的查询。您需按所扫描的数据量为查询付费。
注意
目前,控制面板仅适用于收集 CloudTrail管理事件、Amazon S3 数据事件和 Insights 事件的事件数据存储。
查看 Lake 控制面板
-
登录 AWS Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/
。 -
在导航窗格中,在 Lake 下,选择控制面板。
-
首次查看 “控制面板” 页面时, CloudTrail 会要求您确认与运行查询相关的费用。选择我同意以确认运行查询的费用。您只需确认此操作一次。有关 CloudTrail 定价的更多信息,请参阅CloudTrail定价
。 -
从列表中选择事件数据存储,然后选择要查看的控制面板类型。
以下是可能的控制面板类型。
-
概览仪表板- AWS 服务 按事件计数显示最活跃的用户。 AWS 区域您还可以查看有关
read和write管理事件活动、最受限制的事件以及最常出现的错误的信息。此控制面板可用于收集管理事件的事件数据存储。 -
管理事件控制面板 – 按用户显示控制台登录事件、访问被拒事件、破坏性操作和最常出现的错误。您还可以按用户查看有关TLS版本和过时TLS调用的信息。此控制面板可用于收集管理事件的事件数据存储。
-
S3 数据事件控制面板 – 显示 S3 账户活动、访问次数最多的 S3 对象、排名靠前的 S3 用户和排名靠前的 S3 操作。此控制面板可用于收集 Amazon S3 数据事件的事件数据存储。
-
Insights 事件控制面板 - 按 Insights 类型显示 Insights 事件的总体比例、按 Insights 类型显示主要用户的服务的 Insights 事件比例以及每天的 Insights 事件数量。控制面板还包括一个小部件,可最多列出 30 天的 Insights 事件。此控制面板仅可用于收集 Insights 事件的事件数据存储。
注意
-
首次在源事件数据存储上启用 CloudTrail Insights 后,如果检测到异常活动,则最长可能需要 7 天 CloudTrail 才能交付第一个 Insights 事件。有关更多信息,请参阅 了解 Insights 事件传输情况。
-
Insights 事件控制面板仅显示有关选定事件数据存储收集的 Insights 事件的信息,这些信息由源事件数据存储的配置决定。例如,如果您将源事件数据存储配置为在
ApiCallRateInsight上启用 Insights 事件,而不是ApiErrorRateInsight,则您将不会看到有关ApiErrorRateInsight上的 Insights 事件的信息。
-
在此示例中,我们选择了概览控制面板。
-
-
选择要按时间范围筛选的日期字段,然后选择应用。选择绝对范围,以选择特定的日期和时间范围。选择相对范围,以选择预定义的时间范围或自定义范围。默认情况下,控制面板显示过去 24 小时的事件数据。
注意
由于 CloudTrail 查询是根据扫描的数据量收取费用的,因此您可以通过在较窄的时间范围内进行筛选来降低成本。
-
选择运行查询以填充控制面板。每个小组件分别显示其关联查询的状态,并在查询完成时显示数据。
您可以对某些小组件进行额外筛选,例如账户活动,它允许您按
read和write事件活动进行筛选。
-
要查看小组件的查询,请选择在查询编辑器中查看和分析。
选择 “在查询编辑器中查看和分析” 会在 CloudTrail Lake 的查询编辑器中打开查询,这样您就可以在仪表板之外进一步分析查询结果。有关编辑查询的更多信息,请参阅 使用 CloudTrail 控制台创建或编辑查询。有关运行查询和保存查询结果的更多信息,请参阅 使用控制台运行查询并保存查询结果。
有关控制面板的更多信息,请参阅 使用 CloudTrail 控制台查看 CloudTrail Lake 仪表板。
