宣布 亚马逊云科技 CloudTrail Lake 控制面板 — 可视化和分析 CloudTrail 数据

2022 年 1 月,亚马逊云科技 宣布 A WS CloudTrail Lak e 正式上线 ,这是一个托管审计和安全湖,允许您汇总、不可更改地存储和查询活动日志,用于审计、安全调查和操作故障排除。自推出以来,已有成千上万的客户采用了此功能。

我们很高兴地宣布,CloudTrail Lake 仪表板现已正式发布。CloudTrail Lake 仪表板可直接在 CloudTrail Lake 控制台中提供开箱即用的可见性和来自审计和安全数据的重要见解。CloudTrail Lake 拥有许多 亚马逊云科技 精选的控制面板,因此您可以立即开始使用——无需详细的仪表板设置或 SQL 经验。它还提供了使用 CloudTrail Lake SQL 查询灵活地深入了解其他细节,例如特定的用户活动或变更的资源,以便进一步分析和调查。

审计和合规工程师可以使用 CloudTrail Lake 仪表板来跟踪合规性要求的进展,例如迁移到 TLS 1.2 及更高版本。CloudTrail Lake 仪表板将帮助安全工程师密切跟踪敏感的用户活动,例如删除跟踪或重复出现访问被拒绝错误。云运营工程师可以从精选的仪表板中了解诸如顶级服务限制错误之类的问题。

在这篇博客文章中,我们将引导您了解如何使用 CloudTrail Lake 仪表板作为分析工作流程的起点。

CloudTrail Lake 控制面板

  1. 启用 CloudTrail Lake — 如果您想将现有 亚马逊云科技 CloudTrail 跟踪事件复制到 亚马逊云科技 CloudTrail Lake 事件数据存储 (EDS),请参阅 此博客 ,该博客解释了如何启用 CloudTrail Lake。

查看 CloudTrail L

创建 EDS 后,您可以在 Lake 仪表板中查看 EDS 的主要趋势和错误。

  1. 从左侧导航菜单 中导航到 CloudTrail 菜单中 L ak e 下方的 控制面板
Select Dashboard under Lake

图 1:在 Lake 下选择控制面板

  1. 当您首次使用 CloudTrail Lake 仪表板时,将显示一条消息,要求您查看并确认您了解在 EDS 上运行查询需要付费。请查看并确认账单提示。
Acknowledge the billing prompt

图 2:确认账单提示

  1. 控制面板 页面上,选择要查看的 EDS 和控制面板。可用仪表板列表将根据您选择的 EDS 中可用的事件而变化。 和管理事件 仪表板可用于带有 CloudTrail 管理事件的 EDS。只有在您拥有收集 S3 数据事件的 EDS 时,才能访问 S3 数据事件 控制面板。
Select EDS and Dashboard

图 3:选择 EDS 和控制面板

  1. 选择要查看的时间范围,然后选择 “ 运行查询” 。然后,仪表板将启动一系列查询,为仪表板提取数据。仪表板中的每个控件都将启动自己的查询并显示加载进度。查询运行时间主要由 EDS 中存储的数据量和所选时间范围控制。
  2. 查询完成后,仪表板将显示数据。
Dashboard displaying CloudTrail Lake events

图 4:显示 CloudTrail Lake 事件的控制板

  1. 如果您需要对任何控件进行进一步分析,可以选择 “在查询编辑器中 查看和分析” 来访问 CloudTrail Lake 查询编辑器。这使您可以进行进一步的分析并更详细地探索数据。
Choose on View and analyze in query editor to analyze further

图 5:在查询编辑器中选择 “查看和分析” 以进一步分析

  1. CloudTrail Lake 查询编辑器将使用该控件使用的查询进行填充。您可以根据需要修改查询以进行更深入的分析。
Modify query in the Lake Query editor

图 6:在 Lake 查询编辑器中修改查询

分析 亚马逊云科技 精选的仪表板

CloudTrail Lake 将提供一组预先配置的仪表板,供用户轻松开始可视化 CloudTrail 事件。作为本次发布的一部分,仪表板不可自定义

首先,以下是 CloudTrail Lake 精选的 3 个仪表板:

  1. 概览 控制面板-按事件数显示最活跃的用户、亚马逊云科技 区域和 亚马逊云科技 服务。您还可以查看有关读取和写入管理事件活动、大多数限制事件和主要错误的信息。此仪表板可用于收集管理事件的事件数据存储。
CloudTrail Lake Overview Dashboard

图 7:CloudTrail 湖概述控制面板

  1. 管理事件 仪表板-此仪表板可用于收集管理事件的 EDS。此仪表板显示控制台登录事件、访问被拒绝事件、破坏性操作和用户的主要错误。您还可以查看有关用户的 TLS 版本和过期 TLS 调用的信息。由于所有 亚马逊云科技 服务 API 终端节点都需要至少 TLS 1.2,因此 CloudTrail 管理事件还会记录 TLS 版本,这对于合规工程师了解使用 TLSV1 的资源可能非常有用。请参阅 此博客 了解更多 详情。
AWS Curated Dashboard for Management Events

图 8:亚马逊云科技 精选管理事件控制面板

  1. S3 数据事件 控制面板-显示 S3 账户活动、访问次数最多的 S3 对象、前 S3 用户和最多 S3 操作。此控制面板可用于收集 Amazon S3 数据事件的事件数据存储。
AWS Curated Dashboard for S3 Events

图 9:亚马逊云科技 精选的 S3 事件控制面板

今天正式上市

您可以在所有可用 亚马逊云科技 CloudTrail Lake 的 亚马逊云科技 区域使用 CloudTrail Lak e 控制面板,包括 亚马逊云科技 GovCloud(美国)区域。 使用 亚马逊云科技 CloudTrail Lake 控制面板将产生 CloudTrail Lake 查询费用。有关详细信息,请参阅 CloudTrail 定价页面 。要开始使用,请参阅《CloudTrail 用户指南》 中的 “ 查看 Lake 控制面板 ”。

结论

在博客文章中,我们宣布了CloudTrail Lake中可用的新仪表板。我们已经向您展示了如何启用它们,以及如何将它们用于您自己的分析工作流程。CloudTrail Lake 仪表板可以作为调查 CloudTrail 数据的良好起点,使我们的客户能够更深入地挖掘他们以前可能从未考虑过查询的元素。我们很高兴看到客户如何利用这项新功能。

作者简介:

Yagya Vir Singh

Yagya Vir Singh 是一名高级技术客户经理,现居田纳西州纳什维尔。他对 亚马逊云科技 技术充满热情,喜欢帮助客户实现目标。在办公室外,他喜欢与朋友和家人在一起,并在户外度过时光。

Jay Vaidya

Jay 是 亚马逊云科技 的高级技术客户经理。他喜欢与家人和朋友共度时光。他喜欢看足球、一日游或在周末打网球。他是曼联的忠实球迷,并且时刻关注曼联的所有新闻。

Levi Bracken

Levi Bracken 是 亚马逊云科技 CloudTrail 团队的软件开发高级经理。他专注于CloudTrail面向客户的方面,确保客户拥有安全、运营和审计工作流程所需的工具。十多年来,他一直在 亚马逊云科技 之上进行开发。不工作时,他喜欢和家人一起在户外小径上或骑自行车在路上。