Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
CloudTrail Modification de la disponibilité des lacs
Note
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Pour des fonctionnalités similaires à CloudTrail Lake, explorez CloudWatch.
Après mûre réflexion, nous avons décidé de fermer AWS CloudTrail Lake à de nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement.
AWS CloudTrail Lake fournit une solution gérée pour la capture, le stockage et l'analyse des journaux d'audit provenant AWS ou non de AWS sources. AWS CloudTrail continue d'être disponible pour les clients existants, mais CloudTrail Lake ne recevra que des corrections de bogues critiques et des mises à jour de sécurité.
Ce guide fournit des informations sur les options de migration pour les clients de AWS CloudTrail Lake.
Note
AWS CloudTrail continue de bénéficier d'un soutien total. AWS CloudTrail Only Lake n'est plus ouvert aux nouveaux clients. Vos AWS CloudTrail parcours, informations et événements agrégés ne sont pas affectés.
Support continu pour les magasins de données d'événements existants
AWS CloudTrail Lake prend en charge deux types de magasins de données d'événements (EDS) : les magasins de données d'événements d'organisation et les magasins de données d'événements de compte. Le niveau de support continu dépend du type que vous avez configuré.
-
Stocks de données sur les événements de l'organisation : si votre AWS organisation dispose d'un EDS au niveau de l'organisation, AWS CloudTrail Lake continuera à fonctionner comme prévu. Cela inclut la prise en charge des nouveaux comptes de membres ajoutés à votre organisation et l'extension à d'autres comptes Régions AWS. Pour savoir comment créer une banque de données sur les événements d'une organisation, voirCréation d'une banque de données sur les événements d'une organisation.
-
Magasins de données sur les événements liés au compte : si votre AWS organisation ne possède que des magasins de données sur les événements au niveau du compte, AWS CloudTrail Lake continuera à prendre en charge ces comptes existants, y compris en développant de nouveaux. Régions AWS Cependant, AWS CloudTrail Lake ne prendra pas en charge l'ingestion de nouveaux comptes ajoutés à votre organisation. Pour collecter les données AWS CloudTrail Lake pour les nouveaux comptes de votre organisation, vous devez créer un magasin de données sur les événements de l'organisation ou migrer vers Amazon CloudWatch.
Note
Si vous prévoyez d'ajouter de nouveaux comptes membres à votre AWS organisation et que vous souhaitez que AWS CloudTrail Lake couvre automatiquement ces comptes, assurez-vous d'avoir configuré un magasin de données sur les événements de l'organisation. Les magasins de données sur les événements liés aux comptes n'étendront pas la couverture aux comptes des membres de l'organisation récemment ajoutés.
Options de migration
Nous vous recommandons de migrer les données de vos journaux AWS CloudTrail Lake vers Amazon CloudWatch.
- Amazon CloudWatch
-
-
Amazon CloudWatch unifie les données de sécurité, d'exploitation et de conformité dans une seule solution et fournit des fonctionnalités d'analyse flexibles et d'intégration fluide. Les clients peuvent automatiquement normaliser et traiter les données afin d'assurer la cohérence entre les sources grâce à la prise en charge intégrée des formats Open Cybersecurity Schema Framework (OCSF) et Open Telemetry (OTel), afin que vous puissiez vous concentrer sur les analyses et les informations.
-
Amazon CloudWatch fournit les fonctionnalités actuelles de CloudTrail Lake à un prix comparable et propose des fonctionnalités supplémentaires qui ont été les plus demandées par les clients de CloudTrail Lake. Il s'agit notamment de l'analyse native alimentée par OpenSearch des connecteurs prédéfinis pour les sources tierces les plus populaires et du libre accès via Apache Iceberg APIs.
-
Pour commencer à utiliser Amazon CloudWatch, consultez la section sur les CloudWatch pipelines dans le guide de CloudWatch l'utilisateur Amazon. Pour plus de détails sur les tarifs, consultez la section sur CloudWatch les tarifs
.
-
Comparaison des architectures
L'architecture AWS CloudTrail Lake actuelle fournit une solution gérée pour capturer, stocker et analyser les journaux d'audit par le biais de magasins de données d'événements et de requêtes. Ce système fonctionne comme une fonctionnalité interne AWS CloudTrail. L'alternative recommandée, Amazon CloudWatch, conserve la capacité de base de capture, de stockage et d'analyse CloudTrail des journaux. Il unifie les données de sécurité, d'exploitation et de conformité dans une seule solution. Amazon CloudWatch propose des fonctionnalités supplémentaires telles que l'analyse native basée sur des connecteurs prédéfinis pour les sources tierces les plus populaires, le libre accès via Apache Iceberg APIs et la prise en charge intégrée des formats Open Cybersecurity Schema Framework (OCSF) et Open Telemetry (). OpenSearch OTel
| Capacité | CloudTrail lac | CloudWatch | Détails |
|---|---|---|---|
| Sources de données | 3 AWS, 16 Tierce partie | Plus de 60 ans AWS, 12 tiers | CloudWatch prend en charge plus de 30 AWS sources, notamment VPC Flow, Lambda, EKS, ALB, NLB CloudTrail et (sauf Network & Insights Events). |
| Facilitation entre comptes et entre régions | Oui | Partielle | CloudWatch L'ingestion prend en charge l'activation entre les comptes, mais nécessite une activation distincte dans chaque région. |
| Centralisation entre comptes et entre régions | Oui | Oui | Activez l'agrégation des journaux entre les comptes et les régions au sein d'un seul compte et d'une seule région. |
| CloudTrail Caractéristiques de sécurité — Ingestion tardive, protection contre le licenciement et immuabilité | Oui | Oui | CloudWatch prend en charge uniquement les CloudTrail événements/données via CW Ingestion (et non les traces). |
| Transformation et enrichissement des données | Limité | Oui | CloudWatch prend en charge les transformations OCSF gérées pour les sources clés et les transformations personnalisées pour les sources restantes. |
| Analytique native | Oui | Oui | CloudTrail Lake prend en charge les requêtes SQL sur place avec Athena. CloudWatch prend en charge les requêtes sur place Logs QL, SQL et PPL avec. OpenSearch |
| SQL imbriqué | Oui | Non | CloudTrail Lake prend en charge les requêtes SQL imbriquées complexes. |
| Analytique 3P | Oui | Oui | CloudWatch prend en charge les requêtes sur place avec l'outil 3P de choix via Amazon S3 Tables et SageMaker AI Unified Studio. |
| Exportation de données vers d'autres AWS destinations ou outils 3P | Oui | Oui | Vous pouvez envoyer des données via des filtres CloudWatch d'abonnement et des connecteurs de tables S3. |
| Analyses supplémentaires | Non | Oui | CloudWatch prend en charge les alertes et les mesures pour les cas d'utilisation liés à l'observabilité et à la sécurité. |
| Sélecteurs d'événements pour CloudTrail | Oui | Limité | CloudWatch prend en charge les sélecteurs avancés pour les événements CloudTrail de données. |
Procédure de migration
AWS a récemment introduit un moyen simplifié d'unifier vos données opérationnelles et de sécurité en vous permettant d'importer des banques de données historiques CloudTrail sur les événements de Lake (EDS) directement dans Amazon CloudWatch. Cette intégration utilise CloudWatch la nouvelle architecture de gestion unifiée des données pour fournir un écran unique pour vos journaux.
Meilleure pratique : l'approche pilote
Avant d'effectuer une migration à grande échelle de vos données historiques, il est vivement recommandé d'effectuer une migration pilote en utilisant un petit sous-ensemble de données. Cela vous permet de :
Vérifiez que les journaux importés apparaissent correctement dans CloudWatch.
Vérifiez que vos requêtes et vos tableaux de bord se comportent comme prévu.
Vérifiez que les autorisations et les rôles IAM sont correctement configurés.
Une fois que vous êtes satisfait des résultats, vous pouvez procéder en toute confiance à la migration du jeu de données historique complet.
Vérifier le schéma : assurez-vous que le format du journal apparaît comme prévu dans CloudWatch les journaux.
Gestion des coûts : estimez les coûts d'ingestion en observant le volume d'un échantillon de 24 heures.
Validation des requêtes : testez vos requêtes CloudWatch Logs Insights par rapport aux exemples de données pour vous assurer que votre logique de surveillance reste intacte.
Une fois que vous avez migré avec succès votre jeu de données historique, vous pouvez activer l'ingestion en direct des CloudTrail journaux depuis CloudWatch pour vous assurer de continuer à capturer les journaux.
Note
Les données antérieures à 2023 ne seront pas migrées de CloudTrail Lake vers Amazon CloudWatch. Si vous avez besoin d'accéder à des événements antérieurs à 2023, vous devez continuer à les interroger directement dans CloudTrail Lake ou à les déplacer vers un compartiment Amazon S3.
Conditions préalables
Autorisations IAM : assurez-vous que votre identité IAM est autorisée à accéder à la fois à CloudTrail Lake (
cloudtrail:GetEventDataStore,cloudtrail:ListEventDataStore) et à CloudWatch Logs (logs:CreateImportTask), ainsi qu'aux autorisations IAM (iam:ListRoles,,iam:CreateRole).iam:PassRoleRôle lié au service : CloudTrail nécessite un rôle IAM pour effectuer l'exportation en votre nom. Vous pouvez le créer pendant le processus de configuration dans la console.
Méthode 1 : utilisation de la CloudTrail console (recommandée)
C'est le moyen le plus direct de transférer des données depuis votre magasin de données Lake Event existant.
Ouvrez la CloudTrail console.
Dans le volet de navigation de gauche, sous Lake, choisissez Event data stores.
Sélectionnez le magasin de données d'événements qui contient les données que vous souhaitez migrer.
Cliquez sur le bouton Actions en haut à droite et sélectionnez Exporter vers CloudWatch.
-
Configurer les paramètres d'exportation :
Plage de temps : (recommandé pour Pilot) Au lieu de sélectionner l'intégralité de votre historique, choisissez une fenêtre étroite (par exemple, les 24 dernières heures) pour vérifier l'intégration. Une fois la vérification effectuée, répétez le processus pour les données historiques restantes.
Destination : Spécifiez un groupe de CloudWatch journaux existant ou créez-en un nouveau.
Rôle IAM : Choisissez un rôle IAM existant ou sélectionnez Créer un nouveau rôle IAM pour autoriser la transmission des journaux CloudTrail à. CloudWatch
Vérifiez la configuration et choisissez Exporter.
Méthode 2 : utilisation du AWS CLI (create-import-task)
Cette méthode vous permet de déclencher par programmation l'ingestion de données d'événements historiques.
Étape 1 : identifier l'ARN source
Vous aurez besoin du nom de ressource Amazon (ARN) de votre magasin de données CloudTrail Lake Event. Vous pouvez le trouver dans la CloudTrail console ou en exécutantaws cloudtrail list-event-data-stores.
Étape 2 : Création de la tâche d'importation
Utilisez le logs service pour créer la tâche. Vous devez spécifier l'ARN source de l'Event Data Store.
aws logs create-import-task \ --import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \ --import-role-arn "arn:aws:iam::account-id:role/role-name" \ --import-filter '{"startEventTime":START_TIME, "endEventTime":END_TIME}'
Paramètres :
--import-source-arn: L'ARN du CloudTrail Lake Event Data Store contenant les journaux historiques.--import-role-arn: L'ARN du rôle IAM doté des autorisations correctes.--import-filter: objet facultatif spécifiant les heures de début et de fin des événements que vous souhaitez importer.
Étape 3 : Surveiller l'état de la tâche
L'importation étant asynchrone, vous pouvez vérifier la progression de la migration à l'aide de la commande suivante : describe-import-tasks
aws logs describe-import-tasks \ --import-id "import-id"
Ressources supplémentaires
