本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# CloudTrail Lake 可用性變更
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。對於類似 CloudTrail Lake 的功能,請探索 CloudWatch。
在仔細考慮之後,我們決定從 2026 年 5 月 31 日起關閉 AWS CloudTrail Lake 與新客戶接觸。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。
AWS CloudTrail Lake 提供受管解決方案,用於擷取、儲存和分析來自 AWS 和非AWS sources. AWS CloudTrail continues 的稽核日誌,以供現有客戶使用,但 CloudTrail Lake 只會收到重要的錯誤修正和安全性更新。
本指南提供 AWS CloudTrail Lake 客戶遷移選項的相關資訊。
**注意**
AWS CloudTrail 繼續受到完全支援。只有 AWS CloudTrail Lake 不再向新客戶開放。您的 AWS CloudTrail 線索、洞見和彙總事件不受影響。
## 持續支援現有事件資料存放區
AWS CloudTrail Lake 支援兩種類型的事件資料存放區 (EDS):組織事件資料存放區和帳戶事件資料存放區。持續支援的層級取決於您設定的類型。
+ **組織事件資料存放區** – 如果您的 AWS 組織具有組織層級 EDS, AWS CloudTrail Lake 將繼續如預期運作。這包括對新增至組織的新成員帳戶的支援,以及擴展至其他帳戶 AWS 區域。若要了解如何建立組織事件資料存放區,請參閱 [建立組織事件資料存放區](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-create-eds)。
+ **帳戶事件資料存放**區 – 如果您的 AWS 組織只有帳戶層級的事件資料存放區, AWS CloudTrail Lake 將繼續支援這些現有帳戶,包括擴展到新的 AWS 區域。不過, AWS CloudTrail Lake 不支援擷取新增至您組織的新帳戶。若要擷取組織中新帳戶的 AWS CloudTrail Lake 資料,您必須建立組織事件資料存放區或遷移至 Amazon CloudWatch。
**注意**
如果您預期將新成員帳戶新增至 AWS 組織,並希望 AWS CloudTrail Lake 自動涵蓋這些帳戶,請確定您已設定組織事件資料存放區。帳戶事件資料存放區不會將涵蓋範圍擴展到新增的組織成員帳戶。
## 遷移選項
建議您將 AWS CloudTrail Lake 日誌資料遷移至 Amazon CloudWatch。
Amazon CloudWatch
+ Amazon CloudWatch 在一個解決方案中整合安全性、操作和合規資料,並提供靈活的分析和無縫整合功能。客戶可以自動標準化和處理資料,以提供跨來源的一致性,並內建支援 Open Cybersecurity Schema Framework (OCSF) 和 Open Telemetry (OTel) 格式,因此您可以專注於分析和洞察。
+ Amazon CloudWatch 在相當的價位提供 CloudTrail Lake 的目前功能,並具有 CloudTrail Lake 客戶最熱門請求的其他功能。這些包括採用 OpenSearch 技術的原生分析、適用於熱門第三方來源的預先建置連接器,以及透過 Apache Iceberg APIs開放存取。
+ 若要開始使用 Amazon CloudWatch,請參閱《Amazon [CloudWatch 使用者指南》中的 CloudWatch 管道](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Pipelines.html)。 *Amazon CloudWatch * 如需定價的詳細資訊,請參閱 [CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。
## 比較架構
目前的 AWS CloudTrail Lake 架構提供受管解決方案,可透過事件資料存放區和查詢來擷取、儲存和分析稽核日誌。此系統在 中做為功能運作 AWS CloudTrail。建議的替代方案 Amazon CloudWatch 會維護擷取、存放和分析 CloudTrail 日誌的核心功能。它在一個解決方案中統一安全、操作和合規資料。Amazon CloudWatch 提供額外的功能,例如採用 OpenSearch 技術的原生分析、適用於熱門第三方來源的預先建置連接器、透過 Apache Iceberg APIs的開放存取,以及對 Open Cybersecurity Schema Framework (OCSF) 和 Open Telemetry (OTel) 格式的內建支援。
| 功能 | CloudTrail Lake | CloudWatch | 詳細資訊 |
| --- | --- | --- | --- |
| 資料來源 | 3 AWS、16 第三方 | 60\$1 AWS、12 個第三方 | CloudWatch 支援 30 個以上的 AWS 來源,包括 VPC Flow、Lambda、EKS、ALB、NLB 和 CloudTrail (Network & Insights Events 除外)。 |
| 跨帳戶/跨區域啟用 | 是 | 部分 | CloudWatch Ingestion 支援跨帳戶啟用,但每個區域都需要個別啟用。 |
| 跨帳戶/跨區域集中化 | 是 | 是 | 啟用在單一帳戶和區域中跨帳戶和區域的日誌彙總。 |
| CloudTrail 安全功能 – 延遲事件擷取、終止保護和不可變性 | 是 | 是 | CloudWatch 僅支援透過 CW 擷取 (而非線索) 的 CloudTrail 事件/資料。 |
| 資料轉換與擴充 | 有限 | 是 | CloudWatch 支援金鑰來源的受管 OCSF 轉換,以及剩餘來源的自訂轉換。 |
| 原生分析 | 是 | 是 | CloudTrail Lake 支援使用 Athena 的 SQL 就地查詢。CloudWatch 支援使用 OpenSearch 記錄 QL、SQL 和 PPL 就地查詢。 |
| 巢狀 SQL | 是 | 否 | CloudTrail Lake 支援複雜的巢狀 SQL 查詢。 |
| 3P 分析 | 是 | 是 | CloudWatch 支援透過 Amazon S3 Tables 和 SageMaker AI Unified Studio 搭配選擇的 3P 工具就地查詢。 SageMaker |
| 資料匯出至其他 AWS 目的地或 3P 工具 | 是 | 是 | 您可以透過 CloudWatch 訂閱篩選條件和 S3 資料表連接器傳送資料。 |
| 其他分析 | 否 | 是 | CloudWatch 支援可觀測性和安全性使用案例的提醒和指標。 |
| CloudTrail 的事件選取器 | 是 | 有限 | CloudWatch 支援 CloudTrail 資料事件的進階選取器。 |
## 遷移程序
AWS 最近推出了一種簡化的方式,可讓您將歷史 CloudTrail Lake 事件資料存放區 (EDS) 直接匯入 Amazon CloudWatch,以統一您的營運和安全資料。此整合利用 CloudWatch 新的統一資料管理架構,為您的日誌提供單一窗格。
### 最佳實務:試行方法
在執行歷史資料的完整規模遷移之前,強烈建議使用一小部分資料執行試行遷移。這可讓您:
+ 驗證匯入的日誌是否正確顯示在 CloudWatch 中。
+ 確認您的查詢和儀表板如預期般運作。
+ 驗證 IAM 許可和角色是否已正確設定。
一旦您對結果感到滿意,您可以放心地繼續遷移完整的歷史資料集。
+ **驗證結構描述:**確保日誌格式如預期顯示在 CloudWatch Logs 中。
+ **成本管理:**透過觀察 24 小時樣本的量來估計擷取成本。
+ **查詢驗證:**針對範例資料測試 CloudWatch Logs Insights 查詢,以確保您的監控邏輯保持不變。
成功遷移歷史資料集後,您可以從 CloudWatch 啟用 CloudTrail 日誌的即時擷取,以確保您繼續擷取日誌。 CloudWatch
**注意**
2023 年之前的資料將不會從 CloudTrail Lake 遷移至 Amazon CloudWatch。如果您需要存取早於 2023 年的事件,您必須繼續直接在 CloudTrail Lake 中查詢它們,或將其移至 Amazon S3 儲存貯體。
### 先決條件
+ **IAM 許可:**確保您的 IAM 身分具有存取 CloudTrail Lake (`cloudtrail:GetEventDataStore`、`cloudtrail:ListEventDataStore`) 和 CloudWatch Logs (`logs:CreateImportTask`) 以及 IAM 許可 (`iam:ListRoles`、`iam:CreateRole`、) 的許可`iam:PassRole`。
+ **服務連結角色:**CloudTrail 需要 IAM 角色才能代表您執行匯出。您可以在 主控台的設定程序期間建立此項目。
### 方法 1:使用 CloudTrail 主控台 (建議)
這是從現有 Lake Event Data Store 推送資料最直接的方式。
1. 開啟 CloudTrail 主控台。
1. 在左側導覽窗格的 **Lake** 下,選擇**事件資料存放區**。
1. 選取事件資料存放區,其中包含您要遷移的資料。
1. 選擇右上角**的動作**按鈕,然後選取**匯出至 CloudWatch**。
1. 設定匯出設定:
+ **時間範圍:**(建議試行) 不選取整個歷史記錄,而是選擇縮小的時段 (例如過去 24 小時) 來驗證整合。驗證後,請針對剩餘的歷史資料重複此程序。
+ **目的地:**指定現有的 CloudWatch Log Group 或建立新的 CloudWatch Log Group。
1. **IAM 角色:**選擇現有的 IAM 角色,或選取**建立新的 IAM 角色**,以允許 CloudTrail 將日誌交付至 CloudWatch。
1. 檢閱組態,然後選擇**匯出**。
### 方法 2:使用 AWS CLI (create-import-task)
此方法可讓您以程式設計方式觸發歷史事件資料的擷取。
**步驟 1:識別來源 ARN**
您需要 CloudTrail Lake 事件資料存放區的 Amazon Resource Name (ARN)。您可以在 CloudTrail 主控台或執行 找到此項目`aws cloudtrail list-event-data-stores`。
**步驟 2:建立匯入任務**
使用 `logs`服務來建立任務。您必須指定事件資料存放區的來源 ARN。
```
aws logs create-import-task \
--import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \
--import-role-arn "arn:aws:iam::account-id:role/role-name" \
--import-filter '{"startEventTime": START_TIME, "endEventTime": END_TIME}'
```
參數:
+ `--import-source-arn`:包含歷史日誌的 CloudTrail Lake 事件資料存放區的 ARN。
+ `--import-role-arn`:IAM 角色的 ARN 具有正確的許可。
+ `--import-filter`:選用物件,指定您要匯入之事件的開始和結束時間。
**步驟 3:監控任務狀態**
由於匯入是非同步的,您可以使用 `describe-import-tasks`命令來檢查遷移的進度:
```
aws logs describe-import-tasks \
--import-id "import-id"
```
## 其他資源
+ [AWS CloudTrail API 參考](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/Welcome.html)
+ [AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
+ 《Amazon CloudWatch 使用者指南》[https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Welcome.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Welcome.html)
+ [使用 CloudWatch 遙測啟用規則](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-rules.html)
+ [CloudWatch 跨帳戶跨區域日誌集中化](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_Centralization.html)