Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
CloudTrail Cambio de disponibilidad del lago
nota
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Para obtener funciones similares a las de CloudTrail Lake, explore CloudWatch.
Tras pensarlo detenidamente, decidimos cerrar AWS CloudTrail Lake a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad.
AWS CloudTrail Lake proporciona una solución gestionada para capturar, almacenar y analizar los registros de auditoría procedentes AWS y ajenos a AWS ellas. AWS CloudTrail sigue estando disponible para los clientes actuales, pero CloudTrail Lake solo recibirá correcciones de errores críticos y actualizaciones de seguridad.
Esta guía proporciona información sobre las opciones de migración para los clientes de AWS CloudTrail Lake.
nota
AWS CloudTrail sigue siendo totalmente compatible. Only AWS CloudTrail Lake ya no está abierto a nuevos clientes. Sus AWS CloudTrail rutas, estadísticas y eventos agregados no se ven afectados.
Soporte continuo para los almacenes de datos de eventos existentes
AWS CloudTrail Lake admite dos tipos de almacenes de datos de eventos (EDS): almacenes de datos de eventos de organizaciones y almacenes de datos de eventos de cuentas. El nivel de soporte continuo depende del tipo que haya configurado.
-
Almacenes de datos de eventos de la organización: si su AWS organización tiene un EDS a nivel de organización, AWS CloudTrail Lake seguirá funcionando según lo esperado. Esto incluye la compatibilidad con las nuevas cuentas de miembros que se agreguen a su organización y la expansión a otras adicionales. Regiones de AWS Para obtener información sobre cómo crear un almacén de datos de eventos de la organización, consulteCreación de un almacén de datos de eventos de la organización.
-
Almacenes de datos de eventos de cuentas: si su AWS organización solo tiene almacenes de datos de eventos a nivel de cuenta, AWS CloudTrail Lake seguirá respaldando esas cuentas existentes, incluida la expansión a nuevas. Regiones de AWS Sin embargo, AWS CloudTrail Lake no admitirá la ingesta de cuentas nuevas que se agreguen a su organización. Para capturar los datos de AWS CloudTrail Lake para las nuevas cuentas de su organización, debe crear un almacén de datos de eventos de la organización o migrar a Amazon CloudWatch.
nota
Si tiene previsto añadir nuevas cuentas de miembros a su AWS organización y quiere que AWS CloudTrail Lake las cubra automáticamente, asegúrese de tener configurado un almacén de datos de eventos de la organización. Los almacenes de datos de eventos de cuentas no ampliarán la cobertura a las cuentas de los miembros de la organización que se hayan agregado recientemente.
Opciones de migración
Le recomendamos que migre los datos de los registros de AWS CloudTrail Lake a Amazon CloudWatch.
- Amazon CloudWatch
-
-
Amazon CloudWatch unifica los datos de seguridad, operaciones y conformidad en una sola solución y proporciona capacidades de análisis flexibles y de integración perfecta. Los clientes pueden normalizar y procesar los datos automáticamente para ofrecer coherencia en todas las fuentes gracias a la compatibilidad integrada con los formatos Open Cybersecurity Schema Framework (OCSF) y Open Telemetry (OTel), de modo que usted pueda centrarse en el análisis y la información.
-
Amazon CloudWatch ofrece las capacidades actuales de CloudTrail Lake a un precio comparable y tiene capacidades adicionales que eran las principales solicitudes de los clientes de CloudTrail Lake. Estas incluyen el análisis nativo con tecnología OpenSearch, los conectores prediseñados para fuentes populares de terceros y el acceso abierto a través de Apache Iceberg APIs.
-
Para empezar a utilizar Amazon CloudWatch, consulta CloudWatch las canalizaciones en la Guía del CloudWatch usuario de Amazon. Para obtener más información sobre los precios, consulta los CloudWatch precios
.
-
Comparación de arquitecturas
La arquitectura AWS CloudTrail Lake actual proporciona una solución gestionada para capturar, almacenar y analizar los registros de auditoría mediante consultas y almacenes de datos de eventos. Este sistema funciona como una función interna AWS CloudTrail. La alternativa recomendada, Amazon CloudWatch, mantiene la capacidad principal de capturar, almacenar y analizar CloudTrail registros. Unifica los datos de seguridad, operaciones y conformidad en una sola solución. Amazon CloudWatch ofrece capacidades adicionales, como el análisis nativo con tecnología OpenSearch, conectores prediseñados para fuentes populares de terceros, acceso abierto a través de Apache Iceberg y soporte integrado para los APIs formatos Open Cybersecurity Schema Framework (OCSF) y Open Telemetry (). OTel
| Funcionalidad | CloudTrail Lago | CloudWatch | Details |
|---|---|---|---|
| Orígenes de datos | 3 AWS, 16 de terceros | 60+ AWS, 12 de terceros | CloudWatch admite más de 30 AWS fuentes, incluidas VPC Flow, Lambda, EKS, ALB, NLB CloudTrail y (excepto Network & Insights Events). |
| Habilitación entre cuentas y regiones | Sí | Parcial | CloudWatch La ingestión admite la habilitación en todas las cuentas, pero requiere una activación independiente en cada región. |
| Centralización entre cuentas y regiones | Sí | Sí | Habilite la agregación de registros entre cuentas y regiones en una sola cuenta y región. |
| CloudTrail Características de seguridad: ingesta tardía en caso de evento, protección contra la rescisión e inmutabilidad | Sí | Sí | CloudWatch solo admite CloudTrail eventos y datos a través de CW Ingestion (y no rastreos). |
| Transformación y enriquecimiento de datos | Limitado | Sí | CloudWatch admite las transformaciones OCSF gestionadas para las fuentes clave y las transformaciones personalizadas para las fuentes restantes. |
| Análisis nativo | Sí | Sí | CloudTrail Lake admite consultas SQL in situ con Athena. CloudWatch admite consultas locales de Logs QL, SQL y PPL con. OpenSearch |
| SQL anidado | Sí | No | CloudTrail Lake admite consultas SQL anidadas complejas. |
| Análisis 3P | Sí | Sí | CloudWatch admite consultas in situ con la herramienta 3P preferida a través de Amazon S3 Tables y SageMaker AI Unified Studio. |
| Exportación de datos a otros AWS destinos o herramientas 3P | Sí | Sí | Puede enviar datos mediante filtros de CloudWatch suscripción y conectores de tablas S3. |
| Análisis adicionales | No | Sí | CloudWatch admite alertas y métricas para casos de uso de observabilidad y seguridad. |
| Selectores de eventos para CloudTrail | Sí | Limitado | CloudWatch admite selectores avanzados para eventos de CloudTrail datos. |
Procedimiento de migración
AWS introdujo recientemente una forma simplificada de unificar sus datos operativos y de seguridad al permitirle importar almacenes de datos históricos de eventos CloudTrail lacustres (EDS) directamente a Amazon CloudWatch. Esta integración utiliza CloudWatch la nueva arquitectura de administración de datos unificada para proporcionar un único panel de control para sus registros.
Mejor práctica: el enfoque piloto
Antes de realizar una migración a gran escala de los datos históricos, se recomienda encarecidamente realizar una migración piloto con un pequeño subconjunto de datos. Esto le permite:
Compruebe que los registros importados aparecen correctamente en. CloudWatch
Confirme que las consultas y los paneles se comportan como se espera.
Compruebe que los permisos y las funciones de IAM estén configurados correctamente.
Una vez que esté satisfecho con los resultados, puede proceder con confianza a migrar todo el conjunto de datos históricos.
Verifique el esquema: asegúrese de que el formato de registro aparezca como se espera en CloudWatch los registros.
Gestión de costos: estime los costos de ingestión observando el volumen de una muestra de 24 horas.
Validación de consultas: compara tus consultas de CloudWatch Logs Insights con los datos de muestra para asegurarte de que tu lógica de supervisión permanece intacta.
Una vez que hayas migrado correctamente tu conjunto de datos históricos, puedes habilitar la ingesta de CloudTrail registros en tiempo real CloudWatch para asegurarte de seguir capturando registros.
nota
Los datos anteriores a 2023 no se migrarán de CloudTrail Lake a Amazon CloudWatch. Si necesita acceder a eventos anteriores a 2023, debe seguir consultándolos directamente en CloudTrail Lake o moverlos a un bucket de Amazon S3.
Requisitos previos
Permisos de IAM: asegúrese de que su identidad de IAM tenga permisos para acceder a CloudTrail Lake (
cloudtrail:GetEventDataStore,cloudtrail:ListEventDataStore) y a CloudWatch Logs (logs:CreateImportTask), así como permisos de IAM (iam:ListRoles,,iam:CreateRole).iam:PassRoleFunción vinculada al servicio: CloudTrail requiere una función de IAM para realizar la exportación en tu nombre. Puede crearlo durante el proceso de configuración en la consola.
Método 1: uso de la CloudTrail consola (recomendado)
Esta es la forma más directa de enviar datos desde su almacén de datos de eventos de Lake Event existente.
Abre la CloudTrail consola.
En el panel de navegación izquierdo, en Lake, selecciona Almacenes de datos de eventos.
Seleccione el banco de datos de eventos que contiene los datos que desea migrar.
Pulse el botón Acciones en la parte superior derecha y seleccione Exportar a CloudWatch.
-
Configure los ajustes de exportación:
Intervalo de tiempo: (recomendado para Pilot) En lugar de seleccionar todo el historial, elige una ventana estrecha (por ejemplo, las últimas 24 horas) para verificar la integración. Una vez verificado, repita el proceso para el resto de los datos históricos.
Destino: especifique un grupo de CloudWatch registros existente o cree uno nuevo.
Función de IAM: elija una función de IAM existente o seleccione Crear una nueva función de IAM CloudTrail para permitir la entrega de registros. CloudWatch
Revise la configuración y seleccione Exportar.
Método 2: usar AWS CLI (create-import-task)
Este método le permite activar mediante programación la ingesta de datos de eventos históricos.
Paso 1: Identifique el ARN de origen
Necesitará el nombre de recurso de Amazon (ARN) de su almacén de datos de eventos en CloudTrail Lake. Puede encontrarlo en la CloudTrail consola o aws cloudtrail list-event-data-stores ejecutándolo.
Paso 2: Crear la tarea de importación
Utilice el logs servicio para crear la tarea. Debe especificar el ARN de origen del almacén de datos de eventos.
aws logs create-import-task \ --import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \ --import-role-arn "arn:aws:iam::account-id:role/role-name" \ --import-filter '{"startEventTime":START_TIME, "endEventTime":END_TIME}'
Parámetros:
--import-source-arn: El ARN del almacén de datos de eventos CloudTrail lacustres que contiene los registros históricos.--import-role-arn: El ARN del rol de IAM con los permisos correctos.--import-filter: objeto opcional que especifica las horas de inicio y finalización de los eventos que desea importar.
Paso 3: Supervisar el estado de la tarea
Como la importación es asíncrona, puede comprobar el progreso de la migración mediante el comando: describe-import-tasks
aws logs describe-import-tasks \ --import-id "import-id"
Recursos adicionales
