As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
CloudTrail Alteração na disponibilidade do lago
nota
AWS CloudTrail O Lake não estará mais aberto a novos clientes a partir de 31 de maio de 2026. Para recursos semelhantes aos CloudTrail do Lake, explore CloudWatch.
Após uma análise cuidadosa, decidimos fechar o AWS CloudTrail Lake para novos clientes a partir de 31 de maio de 2026. Se você gostaria de usar o CloudTrail Lake, inscreva-se antes dessa data. Os clientes atuais podem continuar usando o serviço normalmente.
AWS CloudTrail O Lake fornece uma solução gerenciada para capturar, armazenar e analisar registros de auditoria provenientes AWS e não de AWS fontes. AWS CloudTrail continua disponível para clientes existentes, mas o CloudTrail Lake só receberá correções críticas de bugs e atualizações de segurança.
Este guia fornece informações sobre as opções de migração para clientes AWS CloudTrail do Lake.
nota
AWS CloudTrail continua sendo totalmente suportado. Only AWS CloudTrail Lake não está mais aberto a novos clientes. Suas AWS CloudTrail trilhas, insights e eventos agregados não são afetados.
Suporte contínuo para armazenamentos de dados de eventos existentes
AWS CloudTrail O Lake suporta dois tipos de armazenamentos de dados de eventos (EDS): armazenamentos de dados de eventos da organização e armazenamentos de dados de eventos da conta. O nível de suporte contínuo depende do tipo que você configurou.
-
Armazenamentos de dados de eventos da organização — Se sua AWS organização tiver um EDS em nível organizacional, o AWS CloudTrail Lake continuará funcionando conforme o esperado. Isso inclui suporte para novas contas de membros adicionadas à sua organização e expansão para outras Regiões da AWS. Para saber como criar um armazenamento de dados de eventos da organização, consulteCriar um armazenamento de dados de eventos da organização.
-
Armazenamentos de dados de eventos da conta — Se sua AWS organização tiver apenas armazenamentos de dados de eventos no nível da conta, o AWS CloudTrail Lake continuará a oferecer suporte às contas existentes, incluindo a expansão para novas. Regiões da AWS No entanto, o AWS CloudTrail Lake não suportará a ingestão de novas contas adicionadas à sua organização. Para capturar dados do AWS CloudTrail Lake para novas contas em sua organização, você deve criar um armazenamento de dados de eventos da organização ou migrar para a Amazon CloudWatch.
nota
Se você pretende adicionar novas contas de membros à sua AWS organização e quiser que o AWS CloudTrail Lake cubra automaticamente essas contas, certifique-se de ter um armazenamento de dados de eventos da organização configurado. Os armazenamentos de dados de eventos da conta não estenderão a cobertura às contas recém-adicionadas aos membros da organização.
Opções de migração
Recomendamos que você migre seus dados de registros AWS CloudTrail do Lake para a Amazon CloudWatch.
- Amazon CloudWatch
-
-
A Amazon CloudWatch unifica dados de segurança, operações e conformidade em uma única solução e fornece análises flexíveis e recursos de integração perfeita. Os clientes podem normalizar e processar dados automaticamente para oferecer consistência em todas as fontes com suporte integrado aos formatos Open Cybersecurity Schema Framework (OCSF) e Open Telemetry (OTel), para que você possa se concentrar em análises e insights.
-
A Amazon CloudWatch fornece os recursos atuais do CloudTrail Lake a um preço comparável e tem recursos adicionais que foram as principais solicitações dos clientes do CloudTrail Lake. Isso inclui análises nativas baseadas em conectores pré-construídos para fontes populares de terceiros e acesso aberto por OpenSearch meio do Apache Iceberg. APIs
-
Para começar a usar a Amazon CloudWatch, consulte CloudWatch pipelines no Guia do CloudWatch usuário da Amazon. Para obter detalhes sobre preços, consulte CloudWatch preços
.
-
Comparando arquiteturas
A arquitetura atual do AWS CloudTrail Lake fornece uma solução gerenciada para capturar, armazenar e analisar registros de auditoria por meio de armazenamentos de dados de eventos e consultas. Este sistema funciona como um recurso interno AWS CloudTrail. A alternativa recomendada, a Amazon CloudWatch, mantém a capacidade principal de capturar, armazenar e analisar CloudTrail registros. Ele unifica dados de segurança, operações e conformidade em uma única solução. CloudWatch A Amazon oferece recursos adicionais, como análise nativa baseada em OpenSearch, conectores pré-construídos para fontes populares de terceiros, acesso aberto por meio do Apache Iceberg APIs e suporte integrado para os formatos Open Cybersecurity Schema Framework (OCSF) e Open Telemetry (). OTel
| Recurso | CloudTrail Lago | CloudWatch | Detalhes |
|---|---|---|---|
| Fontes de dados | 3 AWS, 16 de terceiros | Mais de 60 anos AWS, 12 de terceiros | CloudWatch suporta mais de 30 AWS fontes, incluindo VPC Flow, Lambda, EKS, ALB, NLB CloudTrail e (exceto Network & Insights Events). |
| Capacitação entre contas/regiões | Sim | Parcial | CloudWatch A ingestão oferece suporte à ativação em todas as contas, mas exige uma ativação separada em cada região. |
| Centralização entre contas/regiões | Sim | Sim | Permita a agregação de registros entre contas e regiões em uma única conta e região. |
| CloudTrail Características de segurança — Ingestão tardia de eventos, proteção contra rescisão e imutabilidade | Sim | Sim | CloudWatch suporta somente CloudTrail eventos/dados via CW Ingestion (e não trilhas). |
| Transformação e enriquecimento de dados | Limitado | Sim | CloudWatch suporta transformações gerenciadas de OCSF para as principais fontes e transformações personalizadas para as fontes restantes. |
| Análise nativa | Sim | Sim | CloudTrail O Lake oferece suporte a consultas SQL In-place com o Athena. CloudWatch suporta consultas locais de Logs QL, SQL e PPL com. OpenSearch |
| SQL aninhado | Sim | Não | CloudTrail O Lake oferece suporte a consultas SQL aninhadas complexas. |
| Análise 3P | Sim | Sim | CloudWatch oferece suporte a consultas locais com a ferramenta 3P preferida por meio de tabelas Amazon S3 e AI Unified Studio. SageMaker |
| Exportação de dados para outros AWS destinos ou ferramentas 3P | Sim | Sim | Você pode enviar dados por meio de filtros de CloudWatch assinatura e conectores de tabelas do S3. |
| Análises adicionais | Não | Sim | CloudWatch suporta alertas e métricas para casos de uso de observabilidade e segurança. |
| Seletores de eventos para CloudTrail | Sim | Limitado | CloudWatch suporta seletores avançados para eventos CloudTrail de dados. |
Procedimento de migração
AWS recentemente introduziu uma forma simplificada de unificar seus dados operacionais e de segurança, permitindo que você importe armazenamentos históricos de dados de eventos do CloudTrail Lake (EDS) diretamente para a Amazon CloudWatch. Essa integração utiliza a CloudWatch nova arquitetura unificada de gerenciamento de dados para fornecer um único painel para seus registros.
Melhor prática: a abordagem piloto
Antes de realizar uma migração em grande escala de seus dados históricos, é altamente recomendável realizar uma migração piloto usando um pequeno subconjunto de dados. Isso permite a você:
Verifique se os registros importados aparecem corretamente em CloudWatch.
Confirme se suas consultas e painéis se comportam conforme o esperado.
Valide se as permissões e funções do IAM estão configuradas corretamente.
Quando estiver satisfeito com os resultados, você pode prosseguir com confiança para migrar o conjunto de dados histórico completo.
Verifique o esquema: certifique-se de que o formato do registro apareça conforme o esperado em CloudWatch Registros.
Gerenciamento de custos: estime os custos de ingestão observando o volume de uma amostra de 24 horas.
Validação de consultas: teste suas consultas do CloudWatch Logs Insights com base nos dados de amostra para garantir que sua lógica de monitoramento permaneça intacta.
Depois de migrar com sucesso seu conjunto de dados histórico, você pode ativar a ingestão ativa de CloudTrail registros CloudWatch para garantir que continue capturando registros.
nota
Os dados anteriores a 2023 não serão migrados do CloudTrail Lake para a Amazon CloudWatch. Se você precisar de acesso a eventos anteriores a 2023, deverá continuar a consultá-los diretamente no CloudTrail Lake ou movê-los para um bucket do Amazon S3.
Pré-requisitos
Permissões do IAM: certifique-se de que sua identidade do IAM tenha permissões para acessar CloudTrail Lake (
cloudtrail:GetEventDataStore,cloudtrail:ListEventDataStore) e CloudWatch Logs (logs:CreateImportTask), bem como permissões do IAM (iam:ListRoles,iam:CreateRole,iam:PassRole).Função vinculada ao serviço: CloudTrail requer uma função do IAM para realizar a exportação em seu nome. Você pode criar isso durante o processo de configuração no console.
Método 1: Usando o CloudTrail console (recomendado)
Essa é a maneira mais direta de enviar dados do seu Lake Event Data Store existente.
Abra o CloudTrail console.
No painel de navegação esquerdo, em Lake, escolha Armazenamentos de dados de eventos.
Selecione o armazenamento de dados de eventos que contém os dados que você deseja migrar.
Escolha o botão Ações no canto superior direito e selecione Exportar para CloudWatch.
-
Defina as configurações de exportação:
Intervalo de tempo: (recomendado para o Pilot) Em vez de selecionar todo o histórico, escolha uma janela estreita (por exemplo, as últimas 24 horas) para verificar a integração. Depois de verificado, repita o processo para os dados históricos restantes.
Destino: especifique um grupo de CloudWatch registros existente ou crie um novo.
Função do IAM: escolha uma função do IAM existente ou selecione Criar nova função do IAM para permitir CloudTrail a entrega de registros para CloudWatch.
Revise a configuração e escolha Exportar.
Método 2: Usando o AWS CLI (create-import-task)
Esse método permite que você acione programaticamente a ingestão de dados históricos de eventos.
Etapa 1: Identificar o ARN de origem
Você precisará do Amazon Resource Name (ARN) do seu CloudTrail Lake Event Data Store. Você pode encontrar isso no CloudTrail console ou executandoaws cloudtrail list-event-data-stores.
Etapa 2: Criar a tarefa de importação
Use o logs serviço para criar a tarefa. Você deve especificar o ARN de origem do Event Data Store.
aws logs create-import-task \ --import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \ --import-role-arn "arn:aws:iam::account-id:role/role-name" \ --import-filter '{"startEventTime":START_TIME, "endEventTime":END_TIME}'
Parâmetros:
--import-source-arn: O ARN do CloudTrail Lake Event Data Store contendo os registros históricos.--import-role-arn: o ARN da função do IAM com as permissões corretas.--import-filter: objeto opcional que especifica os horários de início e término dos eventos que você deseja importar.
Etapa 3: Monitorar o status da tarefa
Como a importação é assíncrona, você pode verificar o progresso da migração usando o comando: describe-import-tasks
aws logs describe-import-tasks \ --import-id "import-id"
Recursos adicionais do
