使用 CloudTrail 主控台檢視 CloudTrail Lake 儀表板 - AWS CloudTrail
限制必要條件選擇一個儀表板按日期或時間範圍篩選儀表板檢視儀表板小工具的查詢

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 CloudTrail 主控台檢視 CloudTrail Lake 儀表板

您可以使用 CloudTrail Lake 儀表板來視覺化事件資料存放區中的事件。您可以在多種不同的儀表板類型中選取。可用於事件資料存放區的儀表板類型取決於該事件資料存放區的進階事件選取器組態。例如,如果儀表板類型顯示有關 CloudTrail 管理事件的資訊,則只有當目前選取的事件資料存放區收集 CloudTrail 管理事件時,您才能選取儀表板。

每種儀表板類型均包含多個小工具,每個小工具代表一個 SQL 查詢。若要檢視某個小工具的查詢,請選擇在查詢編輯器中檢視並分析以開啟查詢編輯器。您不能修改由系統產生的用於填入小工具的查詢,但您可以在查詢編輯器中編輯並執行查詢,以便做進一步分析。

如需填入並更新儀表板,請選擇執行查詢。當您選擇 [執行查詢] 時, CloudTrail 會代表您執行系統產生的查詢。由於執行查詢會產生成本,所以會 CloudTrail 要求您確認與執行查詢相關的成本。您只需確認一次。如需有關 CloudTrail 定價的詳細資訊,請參閱CloudTrail 定價

限制

下列限制適用於目前版本。

  • 目前的版本不支援自訂儀表板、小工具或查詢。

  • 目前版本僅為收集 CloudTrail 事件 (資料事件、管理事件) 和 Insights 事件的事件資料存放區提供儀表板。

  • 目前的版本不支援編輯由系統產生,用於填入儀表板的查詢。您可以在查詢編輯器索引標籤上檢視與編輯任何小工具的基礎查詢,但對查詢的任何變更都要以在儀表板外執行補充分析為目的。

必要條件

下列先決條件適用於 Lake 儀表板。

  • 若要檢視和使用 Lake 儀表板,您必須至少建立一個 CloudTrail Lake 事件資料存放區。您可以使用主控台或 SDK 建立事件資料存放區。 AWS CLI如需有關使用主控台建立事件資料存放區的資訊,請參閱 使用主控台為 CloudTrail事件建立事件資料存放區。若要取得有關使用建立事件資料倉庫的資訊 AWS CLI,請參閱建立、更新和管理事件資料存放區 AWS CLI

  • 若要填入儀表板,請代表您 CloudTrail 執行查詢。第一次檢視「儀表板」頁面時, CloudTrail 會要求您確認與執行查詢相關的成本。選擇我同意以確認執行查詢的相關費用。

選擇一個儀表板

使用下列程序來選擇要檢視的事件資料存放區和儀表板類型。

  1. 請登入 AWS Management Console 並開啟 CloudTrail 主控台,網址為 https://console.aws.amazon.com/cloudtrail/

  2. 在左側導覽窗格中,選擇 Lake 下方的儀表板

  3. 選擇您想要視覺化呈現哪個事件資料存放區的資料。

  4. 選擇您想要檢視的儀表板類型。儀表板清單根據所選事件資料存放區的進階事件選取器組態填入。

    下列是可能的儀表板類型。

    • 概觀控制面板-顯示最活躍的使用者 AWS 區域,以及 AWS 服務 按事件計數。您還可以檢視有關 readwrite 管理事件活動、最常調節事件和常見錯誤的資訊。此儀表板適用於收集管理事件的事件資料存放區。

    • 管理事件儀表板 - 依使用者顯示主控台登入事件、存取遭拒事件、破壞性動作和常見錯誤。您還可以檢視有關 TLS 版本以及使用者的過期 TLS 呼叫的資訊。此儀表板適用於收集管理事件的事件資料存放區。

    • S3 資料事件儀表板 - 顯示 S3 帳戶活動、最常存取的 S3 物件、最常用的 S3 使用者和最常執行的 S3 動作。此儀表板適用於收集 Amazon S3 資料事件的事件資料存放區。

    • Insights 事件儀表板 - 依 Insights 類型顯示 Insights 事件的總體比例,依最常使用的使用者和服務的 Insights 類型顯示 Insights 事件的比例,以及顯示每天的 Insights 事件數量。此儀表板還包含一個小工具,可列出最多 30 天的 Insights 事件。它僅適用於收集 Insights 事件的事件資料存放區。

      注意

      • 在來源事件資料存放區首次啟用 CloudTrail Insights 之後,如果偵測到異常活動,最多可能需 CloudTrail 要 7 天的時間才能傳遞第一個 Insights 事件。如需詳細資訊,請參閱 了解 Insights 事件傳遞

      • Insights 事件儀表板僅顯示由所選事件資料存放區收集的 Insights 事件的相關資訊,這取決於來源事件資料存放區的組態。例如,如果您設定來源事件資料存放區啟用 ApiCallRateInsight 的 Insights 事件,而不啟用 ApiErrorRateInsight 的 Insights 事件,您將不會看到有關 ApiErrorRateInsight 的 Insights 事件的資訊。

  5. 選擇按絕對範圍相對範圍篩選儀表板資料。選擇絕對範圍以選取特定的日期和時間範圍。選擇相對範圍以選取預先定義的時間範圍或自訂範圍。依預設,儀表板會顯示過去 24 小時的事件資料。

    注意

    CloudTrail Lake 查詢會根據掃描的資料量產生費用。為協助您控制成本,您可以在較窄時間範圍內篩選。如需有關 CloudTrail 定價的詳細資訊,請參閱AWS CloudTrail 定價

  6. 選擇執行查詢,對儀表板的小工具執行查詢。

按日期或時間範圍篩選儀表板

依預設,儀表板會顯示過去 24 小時的資料。您可以按絕對範圍相對範圍篩選儀表板。

選擇絕對範圍以選取特定的日期和時間範圍。

選擇相對範圍以選取預先定義的時間範圍或自訂範圍。

在選擇時間範圍後,選擇執行查詢以重新整理儀表板。

注意

CloudTrail Lake 查詢會根據掃描的資料量產生費用。為協助您控制成本,您可以在較窄時間範圍內篩選。如需有關 CloudTrail 定價的詳細資訊,請參閱AWS CloudTrail 定價

檢視儀表板小工具的查詢

每個小工具都代表一個 SQL 查詢。若要檢視某個小工具的查詢,請選擇在查詢編輯器中檢視並分析以開啟查詢編輯器。使用查詢編輯器,您可以進一步細化儀表板外的查詢,並執行查詢以查看更新後查詢的結果。如需使用查詢的詳細資訊,請參閱 使用 CloudTrail 主控台建立或編輯查詢

注意

您不能修改由系統產生的儀表板小工具查詢。在查詢編輯器索引標籤上對查詢的任何變更,都僅以在儀表板外執行進一步分析為目的。