Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudTrail Änderung der Verfügbarkeit von Seen
Anmerkung
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Funktionen, die CloudTrail Lake ähneln, finden Sie CloudWatch unter.
Nach reiflicher Überlegung haben wir beschlossen, AWS CloudTrail Lake ab dem 31. Mai 2026 für Neukunden zu schließen. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen.
AWS CloudTrail Lake bietet eine verwaltete Lösung für die Erfassung, Speicherung und Analyse von Auditprotokollen aus AWS und aus anderen AWS Quellen. AWS CloudTrail ist weiterhin für Bestandskunden verfügbar, aber CloudTrail Lake wird nur kritische Bugfixes und Sicherheitsupdates erhalten.
Dieses Handbuch enthält Informationen zu Migrationsoptionen für AWS CloudTrail Lake-Kunden.
Anmerkung
AWS CloudTrail wird weiterhin vollständig unterstützt. Nur AWS CloudTrail Lake ist nicht mehr für neue Kunden geöffnet. Deine AWS CloudTrail Trails, Insights und aggregierten Ereignisse sind davon nicht betroffen.
Fortgesetzte Unterstützung für bestehende Event-Datenspeicher
AWS CloudTrail Lake unterstützt zwei Arten von Ereignisdatenspeichern (EDS): Organisationsereignisdatenspeicher und Kontoereignisdatenspeicher. Der Grad der kontinuierlichen Unterstützung hängt davon ab, welchen Typ Sie konfiguriert haben.
-
Datenspeicher für Organisationsereignisse — Wenn Ihr AWS Unternehmen über ein EDS auf Organisationsebene verfügt, funktioniert AWS CloudTrail Lake weiterhin wie erwartet. Dies beinhaltet die Unterstützung neuer Mitgliedskonten, die zu Ihrer Organisation hinzugefügt wurden, und die Erweiterung um weitere. AWS-Regionen Informationen zum Erstellen eines Datenspeichers für Organisationsereignisse finden Sie unterErstellen Sie einen Datenspeicher für Organisationsereignisse.
-
Datenspeicher für Kontoereignisse — Wenn Ihre AWS Organisation nur über Ereignisdatenspeicher auf Kontoebene verfügt, unterstützt AWS CloudTrail Lake diese vorhandenen Konten weiterhin, einschließlich der Erweiterung auf neue. AWS-Regionen AWS CloudTrail Lake unterstützt jedoch nicht die Erfassung neuer Konten, die zu Ihrer Organisation hinzugefügt wurden. Um AWS CloudTrail Lake-Daten für neue Konten in Ihrer Organisation zu erfassen, müssen Sie einen Datenspeicher für Organisationsereignisse erstellen oder zu Amazon migrieren CloudWatch.
Anmerkung
Wenn Sie voraussichtlich neue Mitgliedskonten zu Ihrer AWS Organisation hinzufügen und möchten, dass AWS CloudTrail Lake diese Konten automatisch abdeckt, stellen Sie sicher, dass Sie einen Veranstaltungsdatenspeicher für Organisationen konfiguriert haben. Durch Datenspeicher für Kontoereignisse wird der Schutz nicht auf neu hinzugefügte Mitgliedskonten der Organisation ausgedehnt.
Optionen für die Migration
Wir empfehlen Ihnen, Ihre AWS CloudTrail Lake-Logs-Daten zu Amazon zu migrieren CloudWatch.
- Amazon CloudWatch
-
-
Amazon CloudWatch vereint Sicherheits-, Betriebs- und Compliance-Daten in einer Lösung und bietet flexible Analysen und nahtlose Integrationsmöglichkeiten. Kunden können Daten automatisch normalisieren und verarbeiten, um die Konsistenz zwischen den Quellen zu gewährleisten. Die integrierte Unterstützung für die Formate Open Cybersecurity Schema Framework (OCSF) und Open Telemetry (OTel) sorgt dafür, dass Sie sich auf Analysen und Erkenntnisse konzentrieren können.
-
Amazon CloudWatch bietet die aktuellen Funktionen von CloudTrail Lake zu einem vergleichbaren Preis und verfügt über zusätzliche Funktionen, die von CloudTrail Lake-Kunden am häufigsten nachgefragt wurden. Dazu gehören native Analysen auf Basis von OpenSearch, vorgefertigte Konnektoren für beliebte Drittanbieterquellen und offener Zugriff über Apache APIs Iceberg.
-
Informationen zu den ersten Schritten mit Amazon CloudWatch finden Sie unter CloudWatch Pipelines im CloudWatch Amazon-Benutzerhandbuch. Einzelheiten zur Preisgestaltung finden Sie unter CloudWatch Preise
.
-
Architekturen vergleichen
Die aktuelle AWS CloudTrail Lake-Architektur bietet eine verwaltete Lösung für die Erfassung, Speicherung und Analyse von Auditprotokollen mithilfe von Ereignisdatenspeichern und Abfragen. Dieses System funktioniert als interne Funktion AWS CloudTrail. Die empfohlene Alternative, Amazon CloudWatch, behält die Kernfähigkeit zur Erfassung, Speicherung und Analyse von CloudTrail Protokollen bei. Sie vereint Sicherheits-, Betriebs- und Compliance-Daten in einer Lösung. Amazon CloudWatch bietet zusätzliche Funktionen wie native Analysen auf Basis von OpenSearch, vorgefertigte Konnektoren für beliebte Drittanbieterquellen, offenen Zugriff über Apache Iceberg APIs und integrierte Unterstützung für die Formate Open Cybersecurity Schema Framework (OCSF) und Open Telemetry (). OTel
| Funktion | CloudTrail See | CloudWatch | Details |
|---|---|---|---|
| Datenquellen | 3 AWS, 16 Drittanbieter | 60+ AWS, 12 Drittanbieter | CloudWatch unterstützt mehr als 30 AWS Quellen, darunter VPC Flow, Lambda, EKS, ALB, NLB und CloudTrail (außer Network & Insights Events). |
| Kontenübergreifende/regionsübergreifende Aktivierung | Ja | Teilweise | CloudWatch Die Aufnahme unterstützt die kontenübergreifende Aktivierung, erfordert jedoch eine separate Aktivierung in jeder Region. |
| Kontoübergreifende und regionsübergreifende Zentralisierung | Ja | Ja | Ermöglichen Sie die Aggregation von Protokollen über Konten und Regionen hinweg in einem einzigen Konto und einer einzigen Region. |
| CloudTrail Sicherheitsfunktionen — Verspätete Erfassung von Ereignissen, Schutz vor Terminierung und Unveränderlichkeit | Ja | Ja | CloudWatch unterstützt nur CloudTrail Ereignisse/Daten über CW Ingestion (und keine Trails). |
| Datentransformation und -anreicherung | Begrenzt | Ja | CloudWatch unterstützt verwaltete OCSF-Transformationen für wichtige Quellen und benutzerdefinierte Transformationen für die übrigen Quellen. |
| Native Analytik | Ja | Ja | CloudTrail Lake unterstützt SQL In-Place-Abfragen mit Athena. CloudWatch unterstützt Logs QL-, SQL- und PPL-In-Place-Abfragen mit. OpenSearch |
| Verschachteltes SQL | Ja | Nein | CloudTrail Lake unterstützt komplexe verschachtelte SQL-Abfragen. |
| 3P Analytics | Ja | Ja | CloudWatch unterstützt direkte Abfragen mit dem 3P-Tool Ihrer Wahl über Amazon S3-Tabellen und SageMaker AI Unified Studio. |
| Datenexport zu anderen AWS Zielen oder 3P-Tools | Ja | Ja | Sie können Daten über CloudWatch Abonnementfilter und Konnektoren für S3-Tabellen senden. |
| Zusätzliche Analysen | Nein | Ja | CloudWatch unterstützt Alerts & Metrics für Anwendungsfälle im Bereich Beobachtbarkeit und Sicherheit. |
| Event-Selektoren für CloudTrail | Ja | Begrenzt | CloudWatch unterstützt erweiterte Selektoren für CloudTrail Datenereignisse. |
Migrationsprozess
AWS hat kürzlich eine vereinfachte Methode zur Vereinheitlichung Ihrer Betriebs- und Sicherheitsdaten eingeführt, indem Sie historische CloudTrail Lake Event Data Stores (EDS) direkt in Amazon CloudWatch importieren können. Diese Integration nutzt die CloudWatch neue einheitliche Datenverwaltungsarchitektur, um eine zentrale Oberfläche für Ihre Protokolle bereitzustellen.
Bewährtes Verfahren: Der Pilotansatz
Bevor Sie eine vollständige Migration Ihrer historischen Daten durchführen, wird dringend empfohlen, eine Pilotmigration mit einer kleinen Teilmenge von Daten durchzuführen. Das ermöglicht Ihnen Folgendes:
Vergewissern Sie sich, dass die importierten Protokolle korrekt in angezeigt werden. CloudWatch
Vergewissern Sie sich, dass sich Ihre Abfragen und Dashboards erwartungsgemäß verhalten.
Stellen Sie sicher, dass die IAM-Berechtigungen und -Rollen ordnungsgemäß konfiguriert sind.
Sobald Sie mit den Ergebnissen zufrieden sind, können Sie vertrauensvoll mit der Migration des gesamten historischen Datensatzes fortfahren.
Schema überprüfen: Stellen Sie sicher, dass das Protokollformat in CloudWatch Logs erwartungsgemäß angezeigt wird.
Kostenmanagement: Schätzen Sie die Aufnahmekosten ab, indem Sie das Volumen einer 24-Stunden-Probe beobachten.
Abfragevalidierung: Testen Sie Ihre CloudWatch Logs Insights-Abfragen anhand der Beispieldaten, um sicherzustellen, dass Ihre Überwachungslogik intakt bleibt.
Sobald Sie Ihren historischen Datensatz erfolgreich migriert haben, können Sie die Live-Aufnahme von CloudTrail Protokollen aktivieren, CloudWatch um sicherzustellen, dass Sie weiterhin Protokolle erfassen.
Anmerkung
Daten vor 2023 werden nicht von CloudTrail Lake nach Amazon CloudWatch migriert. Wenn Sie Zugriff auf Ereignisse benötigen, die älter als 2023 sind, müssen Sie diese weiterhin direkt in CloudTrail Lake abfragen oder sie in einen Amazon S3 S3-Bucket verschieben.
Voraussetzungen
IAM-Berechtigungen: Stellen Sie sicher, dass Ihre IAM-Identität über Berechtigungen für den Zugriff auf CloudTrail Lake (
cloudtrail:GetEventDataStore,cloudtrail:ListEventDataStore) und CloudWatch Logs (logs:CreateImportTask) sowie über IAM-Berechtigungen (iam:ListRoles,,iam:CreateRole) verfügt.iam:PassRoleServiceverknüpfte Rolle: CloudTrail erfordert eine IAM-Rolle, um den Export in Ihrem Namen durchzuführen. Sie können dies während des Einrichtungsvorgangs in der Konsole erstellen.
Methode 1: Verwenden der CloudTrail Konsole (empfohlen)
Dies ist die direkteste Methode, um Daten aus Ihrem vorhandenen Lake Event Data Store zu übertragen.
Öffnen Sie die CloudTrail Konsole.
Wählen Sie im linken Navigationsbereich unter Lake die Option Event Data Stores aus.
Wählen Sie den Ereignisdatenspeicher aus, der die Daten enthält, die Sie migrieren möchten.
Wählen Sie oben rechts die Schaltfläche „Aktionen“ und dann „Exportieren nach“ CloudWatch.
-
Exporteinstellungen konfigurieren:
Zeitraum: (für Pilot empfohlen) Anstatt Ihren gesamten Verlauf auszuwählen, wählen Sie ein enges Fenster (z. B. die letzten 24 Stunden), um die Integration zu überprüfen. Nach der Überprüfung wiederholen Sie den Vorgang für die verbleibenden historischen Daten.
Ziel: Geben Sie eine bestehende CloudWatch Protokollgruppe an oder erstellen Sie eine neue.
IAM-Rolle: Wählen Sie eine bestehende IAM-Rolle oder wählen Sie Neue IAM-Rolle erstellen aus, an die Protokolle übermittelt werden CloudTrail sollen. CloudWatch
Überprüfen Sie die Konfiguration und wählen Sie Exportieren.
Methode 2: Verwenden von AWS CLI (create-import-task)
Mit dieser Methode können Sie die Aufnahme historischer Ereignisdaten programmgesteuert auslösen.
Schritt 1: Identifizieren Sie den Quell-ARN
Sie benötigen den Amazon Resource Name (ARN) Ihres CloudTrail Lake Event Data Store. Sie finden dies in der CloudTrail Konsole oder indem Sie es ausführenaws cloudtrail list-event-data-stores.
Schritt 2: Erstellen Sie die Importaufgabe
Verwenden Sie den logs Dienst, um die Aufgabe zu erstellen. Sie müssen den Quell-ARN des Event Data Store angeben.
aws logs create-import-task \ --import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \ --import-role-arn "arn:aws:iam::account-id:role/role-name" \ --import-filter '{"startEventTime":START_TIME, "endEventTime":END_TIME}'
Parameter:
--import-source-arn: Der ARN des CloudTrail Lake Event Data Store, der die historischen Protokolle enthält.--import-role-arn: Der ARN der IAM-Rolle mit den richtigen Berechtigungen.--import-filter: Optionales Objekt, das die Start- und Endzeiten von Ereignissen angibt, die Sie importieren möchten.
Schritt 3: Überwachen Sie den Aufgabenstatus
Da der Import asynchron ist, können Sie den Fortschritt der Migration mit dem describe-import-tasks folgenden Befehl überprüfen:
aws logs describe-import-tasks \ --import-id "import-id"
Weitere Ressourcen
