CloudTrail Lake 概念和術語

本節說明可協助您使用 AWS CloudTrail Lake 的關鍵概念和術語。

事件資料存放區

系統會將事件彙總到事件資料存放區中，事件資料存放區是事件的不可變集合，其依據為您透過套用進階事件選取器選取的條件。

您可以建立事件資料存放區來記錄CloudTrail 事件 （管理事件、資料事件、網路活動事件）、 CloudTrail Insights 事件、AWS Audit Manager 證據、AWS Config 組態項目或外部事件 AWS。

注意

網路活動事件處於 的預覽版本， CloudTrail 可能會有所變更。

進階事件選取器

進階事件選取器可決定要包含在事件資料存放區中的事件。這些事件選取器可以僅記錄對您而言重要的事件，從而協助您控制成本。

對於管理事件、資料事件和網路活動事件，您可以使用進階事件選擇器來篩選事件。例如，如果您要建立事件資料存放區來收集管理事件，您可以篩選出 AWS Key Management Service (AWS KMS) 或 Amazon Relational Database Service (Amazon RDS) 資料API事件。一般而言，例如 Encrypt、 Decrypt和 等 AWS KMS 動作GenerateDataKey會產生超過 99% 的事件。

對於 AWS Config 組態項目、Audit Manager 證據或 外部的事件 AWS，進階事件選取器僅用於在事件資料存放區中包含該類型的事件。

聯合

聯合可讓您在 AWS Glue 資料目錄中查看與事件資料存放區相關聯的中繼資料，並使用 Amazon Athena 對事件資料執行SQL查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。

當您啟用 Lake 查詢聯合時， 會代表您 CloudTrail 建立聯合資源，並向 註冊這些資源AWS Lake Formation。啟用 Lake 聯合後，您可以直接在 Athena 中查詢您的事件資料，無須執行任何其他步驟。如需詳細資訊，請參閱聯合事件資料存放區。

定價選項

建立事件資料存放區時，您可以選擇要用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需定價的詳細資訊，請參閱 AWS CloudTrail 定價和管理 CloudTrail Lake 成本。

保留期間

事件資料存放區的保留期間會決定事件資料在事件資料存放區中保留多久。 CloudTrail Lake 會檢查事件eventTime的 是否在指定的保留期間內，以決定是否保留事件。例如，如果您指定 90 天的保留期間， CloudTrail 會在事件eventTime超過 90 天時將其移除。

預設保留期

事件資料存放區的預設保留期是事件資料保留在事件資料存放區中的預設天數。在事件資料存放區的預設保留期內，儲存已包含在擷取定價中，無須額外付費。在預設保留期之後，儲存的定價為 pay-as-you-go。

最長保留期

事件資料存放區的最長保留期代表您可以將資料保留在事件資料存放區中的天數上限。

終止保護

依預設，事件資料存放區會啟用終止保護，以防止意外刪除事件資料存放區。若要刪除啟用終止保護的事件資料存放區，請前往事件資料存放區的詳細資訊頁面，從動作功能表中選擇變更終止保護。然後，您可以繼續刪除事件資料存放區。如需詳細資訊，請參閱使用 主控台變更終止保護。

整合

您可以使用 CloudTrail Lake 整合來記錄和存放來自下列來源的使用者活動資料：

• 外部 AWS

• 混合環境中任何來源，例如在內部部署或雲端、虛擬機器或容器中託管的內部或軟體即服務 (SaaS) 應用程式

整合需要通道來傳遞事件，並需要事件資料存放區來接收事件。設定整合之後，請呼叫 PutAuditEventsAPI操作以擷取您的應用程式活動 CloudTrail。然後，您可以使用 CloudTrail Lake 搜尋、查詢和分析從應用程式記錄的資料。如需詳細資訊，請參閱建立與事件來源以外的整合 AWS。

整合類型

整合有兩種類型：直接和解決方案。透過直接整合，合作夥伴會呼叫 PutAuditEventsAPI操作，將事件交付至 的事件資料存放區 AWS 帳戶。透過解決方案整合，應用程式會在 中執行， AWS 帳戶 而應用程式會呼叫 PutAuditEventsAPI操作，將事件交付至 的事件資料存放區 AWS 帳戶。

頻道

來自 AWS 工作外部來源的活動事件，透過使用管道將事件從與之合作的外部合作夥伴 CloudTrail，或從您自己的來源帶入 CloudTrail Lake。建立通道時，您可以選擇一或多個事件資料存放區，以儲存從通道來源到達的事件。只要目的地事件資料存放區設定為記錄 eventCategory="ActivityAuditLog" 事件，您就可以視需要變更通道的目的地事件資料存放區。當您為來自外部合作夥伴的事件建立頻道時，您會提供頻道 Amazon Resource Name (ARN) 給合作夥伴或來源應用程式。

資源型政策

資源型政策是您連接至資源JSON的政策文件。連接至通道的資源型政策允許來源透過通道傳輸事件。如果頻道沒有資源政策，只有頻道擁有者可以呼叫頻道上的 PutAuditEvents API 操作。如需詳細資訊，請參閱AWS CloudTrail 資源型政策範例。

查詢

CloudTrail Lake 中的查詢是在 中撰寫SQL。您可以在 CloudTrail Lake Editor 索引標籤上建置查詢，方法是SQL從頭開始寫入查詢、開啟已儲存或範例查詢並進行編輯，或使用查詢產生器從英文提示產生查詢。如需詳細資訊，請參閱 使用 CloudTrail 主控台建立或編輯查詢 和 從自然語言提示建立 CloudTrail Lake 查詢。

CloudTrail Lake 支援所有有效的 Presto SELECT 陳述式和函數。如需支援SQL函數和運算子的詳細資訊，請參閱 上的函數和運算子 Presto 文件網站。

儀表板

透過使用 CloudTrail Lake 儀表板，您可以視覺化事件資料存放區中的事件，並查看事件趨勢，例如頂端 AWS 服務、使用者和錯誤。如需詳細資訊，請參閱CloudTrail Lake 儀表板。

儀表板類型

CloudTrail Lake 提供下列儀表板類型：

• 受管儀表板 – 您可以檢視受管儀表板，以查看收集管理事件、資料事件或 Insights 事件的事件資料存放區的事件趨勢。這些儀表板會自動提供給您，並由 CloudTrail Lake 管理。 CloudTrail 提供 14 個受管儀表板供您選擇。您可以手動重新整理受管儀表板。您無法修改、新增或移除這些儀表板的小工具，不過，如果您想要修改小工具或設定重新整理排程，則可以將受管儀表板儲存為自訂儀表板。

• 自訂儀表板 – 自訂儀表板可讓您查詢任何事件資料存放區類型的事件。您最多可以將 10 個小工具新增至自訂儀表板。您可以手動重新整理自訂儀表板，也可以設定重新整理排程。

• 反白儀表板 – 啟用反白儀表板以檢視 at-a-glance您帳戶中事件資料存放區所收集的 AWS 活動概觀。醒目提示儀表板由 CloudTrail 管理，並包含與您帳戶相關的小工具。醒目提示儀表板上顯示的小工具對於每個帳戶都是唯一的。這些小工具可能會浮水印偵測到異常活動或異常。例如，您的 Highlights 儀表板可能包含跨帳戶存取總數小工具，顯示異常跨帳戶活動是否有增加。每 6 小時 CloudTrail 更新 Highlights 儀表板。儀表板會顯示自上次更新後的最後 24 小時資料。

小工具

小工具是組成儀表板並提供視覺化的元件，例如折線圖或長條圖。每個小工具對應至SQL查詢。當您重新整理儀表板時， 會針對儀表板上的每個小工具 CloudTrail 執行查詢，以填入小工具的資料。