Conceptos y terminología de CloudTrail Lake

Los selectores de eventos avanzados determinan qué eventos incluir en un almacén de datos de eventos. Los selectores de eventos avanzados le ayudan a controlar los costos al registrar solo aquellos eventos que son importantes para usted.

En el caso de los eventos de administración, eventos de datos y eventos de actividad de la red, puede utilizar selectores de eventos avanzados para filtrar los eventos. Por ejemplo, si va a crear un almacén de datos de eventos para recopilar eventos de administración, puede filtrar los eventos de la API de datos de Amazon Relational Database Service (Amazon RDS o AWS Key Management Service (AWS KMS). Por lo general, las acciones de AWS KMS, como Encrypt, Decrypt y GenerateDataKey, generan más del 99 por ciento de los eventos.

En el caso de los elementos de configuración de AWS Config, pruebas de Audit Manager o eventos externos a AWS, se utilizan los selectores de eventos avanzados únicamente para incluir eventos de ese tipo en el almacén de datos de eventos.

Federación le permite ver los metadatos asociados a un almacén de datos de eventos en el catálogo de datos de AWS Glue y ejecutar consultas SQL sobre los datos de eventos mediante Amazon Athena. Los metadatos de la tabla almacenados en el Catálogo de datos de AWS Glue permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar.

Cuando habilita la federación de consultas de Lake, CloudTrail crea los recursos federados en su nombre y registra esos recursos con AWS Lake Formation. Una vez habilitada la federación de Lake, puede consultar directamente los datos de su evento en Athena sin necesidad de realizar ningún paso adicional. Para obtener más información, consulte Federar un almacén de datos de eventos.

Cuando crea un almacén de datos de eventos, elige la opción de precio que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre precios, consulte Precios de AWS CloudTrail y Administración de los costos de CloudTrail Lake.

El periodo de retención de un almacén de datos de eventos determina cuánto tiempo se conservan los datos de eventos en el almacén de datos de eventos. CloudTrail Lake determina si se debe retener un evento. Para ello, comprueba si el valor de eventTime del evento se encuentra dentro del periodo de retención especificado. Por ejemplo, si especifica un periodo de retención de 90 días, CloudTrail eliminará los eventos cuando su valor de eventTime sea superior a 90 días.

El periodo de retención predeterminado de un almacén de datos de eventos es el número predeterminado de días que los datos de eventos se conservan en el almacén de datos de eventos. Durante el periodo de retención predeterminado de un almacén de datos de eventos, el almacenamiento se incluye en los precios de incorporación sin costo adicional. Tras el periodo de retención predeterminado, el precio del almacenamiento es de pago por uso.

El periodo máximo de retención de un almacén de datos de eventos representa el número máximo de días que puede conservar los datos en un almacén de datos de eventos.

De forma predeterminada, los almacenes de datos de eventos habilitan la protección contra la terminación, que evita que un almacén de datos de eventos se elimine accidentalmente. Para eliminar un almacén de datos de eventos con la protección contra terminación habilitada, seleccione Cambiar la protección contra terminación en el menú Acciones de la página de detalles del almacén de datos de eventos. A continuación, puede continuar con la eliminación del almacén de datos de eventos. Para obtener más información, consulte Cambio de la protección contra la terminación con la consola.

Existen dos tipos de integraciones: directas y de solución. Con las integraciones directas, el socio llama a la operación PutAuditEvents de la API para enviar eventos al almacén de datos de eventos de su Cuenta de AWS. Con las integraciones de solución, la aplicación se ejecuta en su Cuenta de AWS y la aplicación llama a la operación PutAuditEvents de la API para enviar eventos al almacén de datos de eventos de su Cuenta de AWS.

Los eventos de actividad de orígenes ajenos a AWS funcionan con canales para incluir eventos a CloudTrail Lake de socios externos que trabajan con CloudTrail o de sus propios orígenes. Cuando crea un canal, elige uno o más almacenes de datos de eventos para almacenar los eventos que llegan del origen del canal. Puede cambiar los almacenes de datos de eventos de destino de un canal según sea necesario, siempre que los almacenes de datos de eventos de destino estén configurados para registrar eventos eventCategory="ActivityAuditLog". Cuando crea un canal para eventos de un socio externo, proporciona un Nombre de recurso de Amazon (ARN) de canal al socio o aplicación de origen.

Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. La política basada en recursos asociada al canal permite que el origen transmita eventos a través del canal. Si un canal no tiene una política de recursos, solo el propietario del canal puede llamar a la operación PutAuditEvents de la API en el canal. Para obtener más información, consulte AWS CloudTrailEjemplos de políticas basadas en recursos de .

CloudTrail Lake ofrece los siguientes tipos de paneles:

Los widgets son los componentes que forman parte de un panel y ofrecen una visualización, como un gráfico de líneas o de barras. Cada widget corresponde a una consulta SQL. Cuando se actualiza un panel, CloudTrail ejecuta una consulta para cada widget del panel a fin de completar los datos del widget.