Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
CloudTrail Modifica della disponibilità del lago
Nota
AWS CloudTrail Lake non sarà più aperto a nuovi clienti a partire dal 31 maggio 2026. Per funzionalità simili a CloudTrail Lake, esplora CloudWatch.
Dopo un'attenta valutazione, abbiamo deciso di chiudere AWS CloudTrail Lake a nuovi clienti a partire dal 31 maggio 2026. Se desideri utilizzare CloudTrail Lake, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente.
AWS CloudTrail Lake fornisce una soluzione gestita per l'acquisizione, l'archiviazione e l'analisi dei log di controllo provenienti da AWS e non fonti.AWS AWS CloudTrail continua a essere disponibile per i clienti esistenti, ma CloudTrail Lake riceverà solo correzioni di bug critici e aggiornamenti di sicurezza.
Questa guida fornisce informazioni sulle opzioni di migrazione per i clienti di AWS CloudTrail Lake.
Nota
AWS CloudTrail continua a essere pienamente supportato. Only AWS CloudTrail Lake non è più aperto a nuovi clienti. I tuoi AWS CloudTrail percorsi, approfondimenti ed eventi aggregati non sono interessati.
Supporto continuo per gli archivi di dati sugli eventi esistenti
AWS CloudTrail Lake supporta due tipi di data store (EDS): gli archivi dati degli eventi organizzativi e gli archivi dati degli eventi degli account. Il livello di supporto continuo dipende dal tipo di supporto configurato.
-
Archivi dati sugli eventi organizzativi: se la tua AWS organizzazione dispone di un EDS a livello di organizzazione, AWS CloudTrail Lake continuerà a funzionare come previsto. Ciò include il supporto per i nuovi account membro aggiunti all'organizzazione e l'espansione ad altri. Regioni AWS Per informazioni su come creare un archivio dati di eventi organizzativi, consultaCrea un data store di eventi organizzativi.
-
Archivi dati sugli eventi degli account: se la tua AWS organizzazione dispone solo di archivi dati sugli eventi a livello di account, AWS CloudTrail Lake continuerà a supportare gli account esistenti, inclusa l'espansione a nuovi. Regioni AWS Tuttavia, AWS CloudTrail Lake non supporterà l'inserimento di nuovi account aggiunti alla tua organizzazione. Per acquisire i dati di AWS CloudTrail Lake per i nuovi account della tua organizzazione, devi creare un data store di eventi organizzativi o effettuare la migrazione ad Amazon CloudWatch.
Nota
Se prevedi di aggiungere nuovi account membro alla tua AWS organizzazione e desideri che AWS CloudTrail Lake copra automaticamente tali account, assicurati di avere configurato un data store per gli eventi dell'organizzazione. Gli Account Event Data Store non estenderanno la copertura ai nuovi account dei membri dell'organizzazione aggiunti di recente.
Opzioni di migrazione
Ti consigliamo di migrare i dati dei log di AWS CloudTrail Lake su Amazon. CloudWatch
- Amazon CloudWatch
-
-
Amazon CloudWatch unifica i dati di sicurezza, operazioni e conformità in un'unica soluzione e fornisce analisi flessibili e funzionalità di integrazione senza interruzioni. I clienti possono normalizzare ed elaborare automaticamente i dati per offrire coerenza tra le fonti con il supporto integrato per i formati Open Cybersecurity Schema Framework (OCSF) e Open Telemetry (OTel), in modo che tu possa concentrarti su analisi e approfondimenti.
-
Amazon CloudWatch offre le funzionalità attuali di CloudTrail Lake a un prezzo comparabile e dispone di funzionalità aggiuntive che erano le più richieste dai clienti di CloudTrail Lake. Queste includono analisi native basate su tecnologia OpenSearch, connettori predefiniti per le più diffuse fonti di terze parti e accesso aperto tramite Apache Iceberg. APIs
-
Per iniziare a usare Amazon CloudWatch, consulta le CloudWatch pipeline nella Amazon CloudWatch User Guide. Per informazioni dettagliate sui prezzi, consulta la pagina CloudWatch dei prezzi
.
-
Architetture a confronto
L'attuale architettura AWS CloudTrail Lake fornisce una soluzione gestita per l'acquisizione, l'archiviazione e l'analisi dei registri di controllo tramite archivi di dati sugli eventi e query. Questo sistema funziona come una funzionalità interna. AWS CloudTrail L'alternativa consigliata, Amazon CloudWatch, mantiene la capacità principale di acquisire, archiviare e analizzare CloudTrail i log. Unifica i dati di sicurezza, operazioni e conformità in un'unica soluzione. Amazon CloudWatch offre funzionalità aggiuntive come analisi native basate su OpenSearch, connettori predefiniti per le fonti di terze parti più diffuse, accesso aperto tramite Apache Iceberg APIs e supporto integrato per i formati Open Cybersecurity Schema Framework (OCSF) e Open Telemetry (). OTel
| Funzionalità | CloudTrail Lago | CloudWatch | Informazioni |
|---|---|---|---|
| Origini dati | 3 AWS, 16 di terze parti | 60+ AWS, 12 di terze parti | CloudWatch supporta oltre 30 AWS sorgenti, tra cui VPC Flow, Lambda, EKS, ALB, NLB CloudTrail e (eccetto Network & Insights Events). |
| Abilitazione tra account e regioni | Sì | Parziale | CloudWatch L'ingestione supporta l'abilitazione su più account, ma richiede un'abilitazione separata in ciascuna regione. |
| Centralizzazione tra account e regioni | Sì | Sì | Abilita l'aggregazione dei log tra account e regioni in un unico account e regione. |
| CloudTrail Funzionalità di sicurezza: ingestione da eventi tardivi, protezione dalla terminazione e immutabilità | Sì | Sì | CloudWatch supporta solo CloudTrail eventi/dati tramite CW Ingestion (e non percorsi). |
| Trasformazione e arricchimento dei dati | Limitato | Sì | CloudWatch supporta le trasformazioni OCSF gestite per le fonti chiave e le trasformazioni personalizzate per le altre fonti. |
| Analisi native | Sì | Sì | CloudTrail Lake supporta le query SQL In-place con Athena. CloudWatch supporta le query Logs QL, SQL e PPL In-place con. OpenSearch |
| SQL annidato | Sì | No | CloudTrail Lake supporta query SQL annidate complesse. |
| Analisi 3P | Sì | Sì | CloudWatch supporta le query sul posto con lo strumento 3P preferito tramite Amazon S3 Tables e AI Unified Studio. SageMaker |
| Esportazione dei dati verso altre destinazioni o strumenti 3P AWS | Sì | Sì | Puoi inviare dati tramite filtri di CloudWatch abbonamento e connettori per tabelle S3. |
| Analisi aggiuntive | No | Sì | CloudWatch supporta avvisi e metriche per casi d'uso di osservabilità e sicurezza. |
| Selettori di eventi per CloudTrail | Sì | Limitato | CloudWatch supporta i selettori avanzati per gli eventi CloudTrail Data. |
Procedura di migrazione
AWS recentemente ha introdotto un modo semplificato per unificare i dati operativi e di sicurezza che consente di importare i CloudTrail Lake Event Data Store (EDS) storici direttamente in Amazon. CloudWatch Questa integrazione utilizza la nuova architettura unificata CloudWatch di gestione dei dati per fornire un unico pannello di controllo per i log.
Best practice: l'approccio pilota
Prima di eseguire una migrazione completa dei dati storici, si consiglia vivamente di eseguire una migrazione pilota utilizzando un piccolo sottoinsieme di dati. Ciò consente di:
Verifica che i log importati vengano visualizzati correttamente in. CloudWatch
Verifica che le query e le dashboard si comportino come previsto.
Verifica che le autorizzazioni e i ruoli IAM siano configurati correttamente.
Una volta che sei soddisfatto dei risultati, puoi procedere con fiducia alla migrazione dell'intero set di dati storici.
Verifica dello schema: assicurati che il formato di registro venga visualizzato come previsto nei CloudWatch registri.
Gestione dei costi: stimate i costi di ingestione osservando il volume di un campione di 24 ore.
Convalida delle query: testa le tue query di CloudWatch Logs Insights con i dati di esempio per assicurarti che la logica di monitoraggio rimanga intatta.
Dopo aver migrato con successo il set di dati storici, puoi abilitare l'acquisizione in tempo reale dei log da per assicurarti di continuare ad acquisire CloudTrail i log. CloudWatch
Nota
I dati precedenti al 2023 non verranno migrati da CloudTrail Lake ad Amazon CloudWatch. Se hai bisogno di accedere a eventi precedenti al 2023, devi continuare a interrogarli direttamente all'interno di CloudTrail Lake o spostarli in un bucket Amazon S3.
Prerequisiti
Autorizzazioni IAM: assicurati che la tua identità IAM disponga delle autorizzazioni per accedere sia a CloudTrail Lake (
cloudtrail:GetEventDataStore,cloudtrail:ListEventDataStore) che a CloudWatch Logs (logs:CreateImportTask), oltre alle autorizzazioni IAM (,,).iam:ListRolesiam:CreateRoleiam:PassRoleRuolo collegato ai servizi: CloudTrail richiede un ruolo IAM per eseguire l'esportazione per tuo conto. Puoi crearlo durante il processo di configurazione nella console.
Metodo 1: utilizzo della CloudTrail console (consigliato)
Questo è il modo più diretto per inviare dati dal tuo Lake Event Data Store esistente.
Apri la CloudTrail console.
Nel riquadro di navigazione a sinistra, sotto Lake, scegli Event data stores.
Seleziona l'Event Data Store che contiene i dati che desideri migrare.
Scegli il pulsante Azioni in alto a destra e seleziona Esporta in CloudWatch.
-
Configura le impostazioni di esportazione:
Intervallo di tempo: (consigliato per Pilot) Invece di selezionare l'intera cronologia, scegli una finestra ristretta (ad esempio, le ultime 24 ore) per verificare l'integrazione. Una volta verificata, ripeti la procedura per i dati storici rimanenti.
Destinazione: specifica un gruppo di CloudWatch log esistente o creane uno nuovo.
Ruolo IAM: scegli un ruolo IAM esistente o seleziona Crea nuovo ruolo IAM a CloudTrail cui consentire la distribuzione dei log. CloudWatch
Rivedi la configurazione e scegli Esporta.
Metodo 2: utilizzo di AWS CLI (create-import-task)
Questo metodo consente di attivare a livello di codice l'acquisizione di dati storici sugli eventi.
Fase 1: Identificare l'ARN di origine
Avrai bisogno dell'Amazon Resource Name (ARN) del tuo CloudTrail Lake Event Data Store. Puoi trovarlo nella CloudTrail console o aws cloudtrail list-event-data-stores eseguendolo.
Passaggio 2: creare l'attività di importazione
Utilizza il logs servizio per creare l'attività. È necessario specificare l'ARN di origine dell'Event Data Store.
aws logs create-import-task \ --import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \ --import-role-arn "arn:aws:iam::account-id:role/role-name" \ --import-filter '{"startEventTime":START_TIME, "endEventTime":END_TIME}'
Parametri:
--import-source-arn: L'ARN del CloudTrail Lake Event Data Store contenente i log storici.--import-role-arn: L'ARN del ruolo IAM con le autorizzazioni corrette.--import-filter: oggetto opzionale che specifica l'ora di inizio e di fine degli eventi da importare.
Fase 3: Monitoraggio dello stato dell'attività
Poiché l'importazione è asincrona, puoi controllare l'avanzamento della migrazione utilizzando il comando: describe-import-tasks
aws logs describe-import-tasks \ --import-id "import-id"
Risorse aggiuntive
