Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
CloudTrail Perubahan ketersediaan danau
catatan
AWS CloudTrail Danau tidak akan lagi terbuka untuk pelanggan baru mulai 31 Mei 2026. Untuk kemampuan yang mirip dengan CloudTrail Danau, jelajahi CloudWatch.
Setelah mempertimbangkan dengan cermat, kami memutuskan untuk menutup AWS CloudTrail Lake dengan pelanggan baru mulai 31 Mei 2026. Jika Anda ingin menggunakan CloudTrail Danau, daftar sebelum tanggal tersebut. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa.
AWS CloudTrail Lake menyediakan solusi terkelola untuk menangkap, menyimpan, dan menganalisis log audit dari AWS dan AWS non-sumber. AWS CloudTrail terus tersedia untuk pelanggan yang sudah ada, tetapi CloudTrail Lake hanya akan menerima perbaikan bug penting dan pembaruan keamanan.
Panduan ini memberikan informasi tentang opsi migrasi untuk pelanggan AWS CloudTrail Lake.
catatan
AWS CloudTrail terus didukung sepenuhnya. Hanya AWS CloudTrail Danau yang tidak lagi terbuka untuk pelanggan baru. AWS CloudTrail Jejak, Wawasan, dan Peristiwa Gabungan Anda tidak terpengaruh.
Dukungan berkelanjutan untuk penyimpanan data acara yang ada
AWS CloudTrail Lake mendukung dua jenis penyimpanan data acara (EDS): penyimpanan data acara organisasi, dan penyimpanan data acara akun. Tingkat dukungan lanjutan tergantung pada jenis yang telah Anda konfigurasikan.
-
Penyimpanan data acara organisasi — Jika AWS Organisasi Anda memiliki EDS tingkat organisasi, AWS CloudTrail Lake akan terus berfungsi seperti yang diharapkan. Ini termasuk dukungan untuk akun anggota baru yang ditambahkan ke organisasi Anda dan ekspansi ke tambahan Wilayah AWS. Untuk mempelajari cara membuat penyimpanan data acara organisasi, lihatMembuat penyimpanan data acara organisasi.
-
Penyimpanan data acara akun — Jika AWS Organisasi Anda hanya memiliki penyimpanan data acara tingkat akun, AWS CloudTrail Lake akan terus mendukung akun yang ada, termasuk ekspansi ke akun baru. Wilayah AWS Namun, AWS CloudTrail Lake tidak akan mendukung konsumsi akun baru yang ditambahkan ke organisasi Anda. Untuk menangkap data AWS CloudTrail Lake untuk akun baru di organisasi Anda, Anda harus membuat penyimpanan data acara organisasi atau bermigrasi ke Amazon CloudWatch.
catatan
Jika Anda mengantisipasi penambahan akun anggota baru ke AWS Organisasi Anda dan ingin AWS CloudTrail Lake menutup akun tersebut secara otomatis, pastikan Anda memiliki penyimpanan data acara organisasi yang dikonfigurasi. Penyimpanan data acara akun tidak akan memperluas cakupan ke akun anggota organisasi yang baru ditambahkan.
Opsi migrasi
Kami menyarankan Anda memigrasikan data log AWS CloudTrail Danau Anda ke Amazon CloudWatch.
- Amazon CloudWatch
-
-
Amazon CloudWatch menyatukan data keamanan, operasi, dan kepatuhan dalam satu solusi, serta menyediakan analitik yang fleksibel dan kemampuan integrasi yang mulus. Pelanggan dapat secara otomatis menormalkan dan memproses data untuk menawarkan konsistensi di seluruh sumber dengan dukungan bawaan untuk format Open Cybersecurity Schema Framework (OCSF) dan Open Telemetry (OTel), sehingga Anda dapat fokus pada analitik dan wawasan.
-
Amazon CloudWatch menyediakan kemampuan CloudTrail Lake saat ini pada titik harga yang sebanding, dan memiliki kemampuan tambahan yang merupakan permintaan utama dari pelanggan CloudTrail Lake. Ini termasuk analitik asli yang didukung oleh OpenSearch, konektor pra-bangun untuk sumber pihak ketiga yang populer, dan akses terbuka melalui Apache Iceberg. APIs
-
Untuk memulai Amazon CloudWatch, lihat CloudWatch saluran pipa di Panduan CloudWatch Pengguna Amazon. Untuk detail tentang harga, lihat CloudWatch harga
.
-
Membandingkan arsitektur
Arsitektur AWS CloudTrail Lake saat ini menyediakan solusi terkelola untuk menangkap, menyimpan, dan menganalisis log audit melalui penyimpanan data peristiwa, dan kueri. Sistem ini beroperasi sebagai fitur di dalamnya AWS CloudTrail. Alternatif yang direkomendasikan, Amazon CloudWatch, mempertahankan kemampuan inti untuk menangkap, menyimpan, dan menganalisis CloudTrail log. Ini menyatukan data keamanan, operasi, dan kepatuhan dalam satu solusi. Amazon CloudWatch menawarkan kemampuan tambahan seperti analitik asli yang didukung oleh OpenSearch, konektor pra-bangun untuk sumber pihak ketiga yang populer, akses terbuka melalui Apache Iceberg APIs, dan dukungan bawaan untuk format Open Cybersecurity Schema Framework (OCSF) dan Open Telemetry (). OTel
| Kemampuan | CloudTrail Danau | CloudWatch | Detail |
|---|---|---|---|
| Sumber Data | 3 AWS, 16 Pihak Ketiga | 60+ AWS, 12 Pihak Ketiga | CloudWatch mendukung 30+ AWS sumber termasuk Aliran VPC, Lambda, EKS, ALB, NLB CloudTrail & (kecuali Acara Jaringan & Wawasan). |
| Pemberdayaan Lintas Akun/Lintas Wilayah | Ya | Sebagian | CloudWatch Ingestion mendukung pemberdayaan di seluruh akun tetapi membutuhkan pemberdayaan terpisah di setiap Wilayah. |
| Sentralisasi Lintas Akun/Lintas Wilayah | Ya | Ya | Aktifkan agregasi log di seluruh akun & Wilayah dalam satu akun & Wilayah. |
| CloudTrail Fitur Keselamatan - Tertelan acara terlambat, perlindungan penghentian & kekekalan | Ya | Ya | CloudWatch hanya mendukung CloudTrail acara/data melalui CW Ingestion (dan, bukan jejak). |
| Transformasi & Pengayaan Data | Terbatas | Ya | CloudWatch mendukung Transformasi OCSF Terkelola untuk sumber utama & transformasi khusus untuk sumber yang tersisa. |
| Analisis Asli | Ya | Ya | CloudTrail Lake mendukung kueri SQL In-place dengan Athena. CloudWatch mendukung Log QL, SQL & PPL Kueri di tempat dengan. OpenSearch |
| SQL bersarang | Ya | Tidak | CloudTrail Lake mendukung kueri SQL bersarang yang kompleks. |
| Analisis 3P | Ya | Ya | CloudWatch mendukung kueri di tempat dengan alat pilihan 3P melalui Amazon S3 Tables dan AI Unified Studio. SageMaker |
| Ekspor Data ke AWS tujuan lain atau alat 3P | Ya | Ya | Anda dapat mengirim data melalui filter CloudWatch berlangganan, dan konektor tabel S3. |
| Analitik Tambahan | Tidak | Ya | CloudWatch mendukung Alerts & Metrics untuk observabilitas & kasus penggunaan keamanan. |
| Penyeleksi Acara untuk CloudTrail | Ya | Terbatas | CloudWatch mendukung Selektor lanjutan untuk peristiwa CloudTrail Data. |
Prosedur migrasi
AWS baru-baru ini memperkenalkan cara yang disederhanakan untuk menyatukan data operasional dan keamanan Anda dengan memungkinkan Anda mengimpor penyimpanan data peristiwa CloudTrail Danau (EDS) historis langsung ke Amazon CloudWatch. Integrasi ini menggunakan CloudWatch arsitektur manajemen data terpadu baru untuk menyediakan satu panel kaca untuk log Anda.
Praktik Terbaik: Pendekatan Percontohan
Sebelum melakukan migrasi skala penuh dari data historis Anda, sangat disarankan untuk melakukan migrasi pilot menggunakan sebagian kecil data. Hal ini memungkinkan Anda untuk:
Verifikasi bahwa log yang diimpor muncul dengan benar di CloudWatch.
Konfirmasikan bahwa kueri dan dasbor Anda berperilaku seperti yang diharapkan.
Validasi bahwa izin dan peran IAM dikonfigurasi dengan benar.
Setelah Anda puas dengan hasilnya, Anda dapat melanjutkan dengan percaya diri untuk memigrasikan kumpulan data historis lengkap.
Verifikasi Skema: Pastikan format log muncul seperti yang diharapkan di CloudWatch Log.
Manajemen Biaya: Perkirakan biaya konsumsi dengan mengamati volume sampel 24 jam.
Validasi Kueri: Uji kueri Wawasan CloudWatch Log Anda terhadap data sampel untuk memastikan logika pemantauan Anda tetap utuh.
Setelah berhasil memigrasikan kumpulan data historis, Anda dapat mengaktifkan log langsung CloudWatch untuk memastikan Anda terus menangkap CloudTrail log.
catatan
Data sebelum 2023 tidak akan dimigrasikan dari CloudTrail Danau ke Amazon. CloudWatch Jika Anda memerlukan akses ke acara yang lebih lama dari 2023, Anda harus terus menanyakannya langsung di CloudTrail Lake, atau memindahkannya ke bucket Amazon S3.
Prasyarat
Izin IAM: Pastikan identitas IAM Anda memiliki izin untuk mengakses CloudTrail Lake (
cloudtrail:GetEventDataStore,cloudtrail:ListEventDataStore) dan CloudWatch Logs (logs:CreateImportTask), serta izin IAM (,,).iam:ListRolesiam:CreateRoleiam:PassRolePeran Tertaut Layanan: CloudTrail memerlukan peran IAM untuk melakukan ekspor atas nama Anda. Anda dapat membuat ini selama proses pengaturan di konsol.
Metode 1: Menggunakan CloudTrail Konsol (Disarankan)
Ini adalah cara paling langsung untuk mendorong data dari Lake Event Data Store yang ada.
Buka CloudTrail konsol.
Di panel navigasi kiri, di bawah Danau, pilih Penyimpanan data acara.
Pilih penyimpanan data peristiwa yang berisi data yang ingin Anda migrasi.
Pilih tombol Tindakan di kanan atas dan pilih Ekspor ke CloudWatch.
-
Konfigurasikan Pengaturan Ekspor:
Rentang Waktu: (disarankan untuk Pilot) Alih-alih memilih seluruh riwayat Anda, pilih jendela sempit (misalnya, 24 jam terakhir) untuk memverifikasi integrasi. Setelah diverifikasi, ulangi proses untuk data historis yang tersisa.
Tujuan: Tentukan Grup CloudWatch Log yang ada atau buat yang baru.
Peran IAM: Pilih peran IAM yang ada atau pilih Buat peran IAM baru CloudTrail untuk memungkinkan pengiriman log. CloudWatch
Tinjau konfigurasi dan pilih Ekspor.
Metode 2: Menggunakan AWS CLI (create-import-task)
Metode ini memungkinkan Anda untuk secara terprogram memicu konsumsi data peristiwa historis.
Langkah 1: Identifikasi Sumber ARN
Anda akan memerlukan Nama Sumber Daya Amazon (ARN) dari Toko Data Acara CloudTrail Danau Anda. Anda dapat menemukan ini di CloudTrail konsol atau dengan menjalankanaws cloudtrail list-event-data-stores.
Langkah 2: Buat Tugas Impor
Gunakan logs layanan untuk membuat tugas. Anda harus menentukan sumber ARN dari Event Data Store.
aws logs create-import-task \ --import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \ --import-role-arn "arn:aws:iam::account-id:role/role-name" \ --import-filter '{"startEventTime":START_TIME, "endEventTime":END_TIME}'
Parameter:
--import-source-arn: ARN dari CloudTrail Lake Event Data Store yang berisi log sejarah.--import-role-arn: ARN dari peran IAM dengan izin yang benar.--import-filter: Objek opsional yang menentukan waktu mulai dan akhir acara yang ingin Anda impor.
Langkah 3: Pantau Status Tugas
Karena impor asinkron, Anda dapat memeriksa kemajuan migrasi menggunakan perintah: describe-import-tasks
aws logs describe-import-tasks \ --import-id "import-id"
Sumber daya tambahan
