本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # CloudTrail 湖泊概念和术语 **注意** AWS CloudTrail 从 2026 年 5 月 31 日起,Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。 本节介绍可帮助您使用 L AWS CloudTrail ake 的关键概念和术语。 **Topics** + [ ## 事件数据存储 ](#cloudtrail-lake-concepts-eds) + [ ## 集成 ](#cloudtrail-lake-concepts-integrations) + [ ## 查询 ](#cloudtrail-lake-concepts-queries) + [ ## 控制面板 ](#cloudtrail-lake-concepts-dashboard) ## 事件数据存储 事件被聚合到事件数据存储,是基于您通过应用*高级事件选择器*选择的条件的不可变的事件集合。 您可以创建事件数据存储来记录[CloudTrail 事件(管理事件](query-event-data-store-cloudtrail.md)、数据事件、网络活动事件)、[CloudTrailInsights 事件](query-event-data-store-insights.md)、[AWS Audit Manager 证据](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)、[AWS Config 配置项目](query-event-data-store-config.md)或[外部的事件 AWS](event-data-store-integration-events.md)。 **高级事件选择器** *高级事件选择器*决定在事件数据存储中包含哪些事件。高级事件选择器通过仅记录对您来说很重要的事件来帮助您控制成本。 对于管理事件、数据事件和网络活动事件,您可以使用高级事件选择器来筛选事件。例如,如果您要创建事件数据存储来收集管理事件,则可以筛选出 AWS Key Management Service (AWS KMS) 或亚马逊关系数据库服务 (Amazon RDS) 数据 API 事件。通常,诸如`Encrypt``Decrypt`、和之类的 AWS KMS 操作`GenerateDataKey`会生成超过 99% 的事件。 对于 AWS Config 配置项目、Audit Manager 证据或之外的事件 AWS,高级事件选择器仅用于在事件数据存储中包含该类型的事件。 **联合身份验证** *联合*允许您在数据[目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据,并使用 Amazon Athena 对事件数据运行 SQL 查询。 AWS Glue 存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。 启用 Lake 查询联合后,将代表您 CloudTrail 创建联合资源并向注册这些资源[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)。启用 Lake 联合身份验证后,您可以直接在 Athena 中查询事件数据,而无需执行任何其他步骤。有关更多信息,请参阅 [联合事件数据存储](query-federation.md)。 **定价选项** 创建事件数据存储时,您可以选择要用于事件数据存储的*定价选项*。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关定价的信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。 **保留期** 事件数据存储的*保留期*决定了事件数据在事件数据存储中保存多长时间。 CloudTrail Lake 通过检查事件是否在`eventTime`指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,`eventTime`则 CloudTrail 会删除超过 90 天的事件。 **默认保留期** 事件数据存储的*默认保留期*是事件数据在事件数据存储中保留的默认天数。在事件数据存储的默认保留期内,存储包含在摄取定价中,没有额外费用。在默认保留期过后,存储定价为 pay-as-you-go。 **最长保留期** 事件数据存储的*最长保留期*代表您可以在事件数据存储中保留数据的最高天数。 **终止保护** 默认情况下,事件数据存储将启用*终止保护*,以防止事件数据存储被意外删除。要删除启用了终止保护的事件数据存储,请从事件数据存储详细信息页面的**操作**菜单中,选择**更改终止保护**。然后,您可以继续删除事件数据存储。有关更多信息,请参阅 [使用控制台更改终止保护使用 CloudTrail 控制台更改终止保护](query-eds-termination-protection.md)。 ## 集成 您可以使用 CloudTrail Lake *集成*来记录和存储来自以下来源的用户活动数据: + 在外面 AWS + 混合环境中的任何来源,如本地或云中托管的内部或软件即服务(SaaS)应用程序、虚拟机或容器 集成需要一个通道来传输事件,需要一个事件数据存储来接收事件。设置集成后,调用 [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API 操作将您的应用程序活动引入其中 CloudTrail。然后,您可以使用 CloudTrail Lake 来搜索、查询和分析应用程序中记录的数据。有关更多信息,请参阅 [与外部的事件源创建集成 AWS](query-event-data-store-integration.md)。 **集成类型** 有两种类型的集成:*直接集成*和*解决方案集成*。通过直接集成,合作伙伴将调用 `PutAuditEvents` API 操作以将事件传输到您的 AWS 账户的事件数据存储中。通过解决方案集成,应用程序将在您的中运行 AWS 账户 ,应用程序会调用 `PutAuditEvents` API 操作将事件传送到您的 AWS 账户事件数据存储中。 **渠道** 通过使用*渠道*将与 CloudTrail您合作的外部合作伙伴或您自己的来源的 AWS 活动引入 CloudTrail Lake,从而将来自工作之外来源的活动带入 Lake。在创建通道时,您可以选择一个或多个事件数据存储,用于存储来自通道来源的事件。只要将目标事件数据存储设置为记录 `eventCategory="ActivityAuditLog"` 事件,即可根据需要更改通道的目标事件数据存储。当您为来自外部合作伙伴的活动创建通道时,您需要向合作伙伴或来源应用程序提供通道 Amazon 资源名称(ARN)。 **基于资源的策略** *基于资源的策略*是附加到资源的 JSON 策略文档。附加到该通道的基于资源的策略允许来源通过该通道传输事件。如果通道没有资源策略,则只有通道所有者可以针对该通道调用 `PutAuditEvents` API 操作。有关更多信息,请参阅 [AWS CloudTrail 基于资源的策略示例](security_iam_resource-based-policy-examples.md)。 ## 查询 La CloudTrail ke 中的@@ *查询*是用 SQL 编写的。您可以在 L CloudTrail ake E **ditor** 选项卡上生成查询,方法是从头开始用 SQL 编写查询,打开已保存的查询或示例查询并对其进行编辑,或者使用查询生成器根据英语提示生成查询。有关更多信息,请参阅[使用 CloudTrail 控制台创建或编辑查询](query-create-edit-query.md)和[根据自然语言提示创建 CloudTrail Lake 查询](lake-query-generator.md)。 CloudTrail Lake 支持所有有效的Trino`SELECT`语句和函数。如需详细了解支持的 SQL 函数和运算符,请参阅 Trino 文档网站中的[函数和运算符](https://trino.io/docs/current/functions.html)。 ## 控制面板 通过使用 CloudTrail Lake *仪表板*,您可以可视化事件数据存储中的事件,并查看事件趋势,例如热门事件 AWS 服务、用户和错误。有关更多信息,请参阅 [CloudTrail 湖泊仪表板](lake-dashboard.md)。 **控制面板类型** CloudTrail Lake 提供以下类型的仪表板: + **托管的控制面板**:可以查看托管的控制面板,以查看收集管理事件、数据事件或 Insights 事件的事件数据存储的事件趋势。这些仪表板将自动提供给您,并由 CloudTrail Lake 管理。 CloudTrail 提供 14 个托管仪表板供您选择。您可以手动刷新托管的控制面板。您无法修改、添加或移除这些控制面板的小组件,但是,如果要修改小组件或设置刷新计划,则可以将托管的控制面板另存为自定义控制面板。 + **自定义控制面板**:自定义控制面板可让您查询任何事件数据存储类型中的事件。最多可以向自定义控制面板添加 10 个小组件。可以手动刷新自定义控制面板,也可以设置刷新计划。 + **亮点仪表板** — 启用 “亮点” 仪表板可查看您账户中事件数据存储所收集的 AWS 活动 at-a-glance概览。Highlights 控制面板由您管理 CloudTrail 并包含与您的账户相关的小部件。“要点”控制面板上显示的小组件对于每个账户都是独一无二的。这些小组件可能会显示检测到的异常活动或异常。例如,您的 Highlights 控制面板可能包含**跨账户访问权限总额小工具**,它会显示异常跨账户活动是否有所增加。 CloudTrail 每 6 小时更新一次 “亮点” 控制面板。控制面板显示自上次更新以来最近 24 小时的数据。 **小组件** *小组件*是构成控制面板并提供可视化效果的组件,例如折线图或条形图。每个小组件都对应一个 SQL 查询。刷新仪表板时,会对仪表板上的每个小组件 CloudTrail 运行查询,以填充该小组件的数据。