本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CloudTrail 湖泊可用性变更
注意
AWS CloudTrail 从2026年5月31日起,Lake将不再向新客户开放。要获得与 CloudTrail Lake 类似的功能,请探索 CloudWatch。
经过深思熟虑,我们决定从 2026 年 5 月 31 日起对新客户关闭 AWS CloudTrail Lake。如果您想使用 CloudTrail Lake,请在该日期之前注册。现有客户可以继续正常使用该服务。
AWS CloudTrail Lake 提供了一种托管解决方案,用于捕获、存储和分析来自 AWS 和非AWS 来源的审计日志。 AWS CloudTrail 继续向现有客户开放,但是 CloudTrail Lake 只会收到严重的错误修复和安全更新。
本指南提供有关 L AWS CloudTrail ake 客户迁移选项的信息。
注意
AWS CloudTrail 继续得到全力支持。只有 AWS CloudTrail Lake 不再向新客户开放。您的 AWS CloudTrail 跟踪、见解和聚合事件不受影响。
继续支持现有的事件数据存储
AWS CloudTrail Lake 支持两种类型的事件数据存储 (EDS):组织事件数据存储和账户事件数据存储。持续支持的级别取决于您配置的类型。
-
组织事件数据存储 — 如果您的 AWS 组织有组织级 EDS, AWS CloudTrail Lake 将继续按预期运行。这包括支持添加到您的组织中的新成员帐户以及扩展到其他成员帐户 AWS 区域。要了解如何创建组织事件数据存储,请参阅创建组织事件数据存储。
-
账户事件数据存储 — 如果您的 AWS 组织只有账户级别的事件数据存储, AWS CloudTrail Lake 将继续支持这些现有账户,包括扩展到新账户。 AWS 区域但是, AWS CloudTrail Lake 不支持对添加到您的组织中的新账户进行提取。要为组织中的新账户捕获 AWS CloudTrail Lake 数据,您必须创建组织事件数据存储或迁移到 Amazon CloudWatch。
注意
如果您计划向 AWS 组织添加新的成员帐户,并希望 AWS CloudTrail Lake 自动覆盖这些帐户,请确保已配置组织事件数据存储。账户事件数据存储不会将覆盖范围扩大到新添加的组织成员账户。
迁移选项
我们建议您将您的 AWS CloudTrail Lake 日志数据迁移到 Amazon CloudWatch。
- Amazon CloudWatch
-
-
Amazon CloudWatch 将安全、运营和合规数据统一到一个解决方案中,并提供灵活的分析和无缝集成功能。借助对开放网络安全架构框架 (OCSF) 和开放遥测 (OTel) 格式的内置支持,客户可以自动标准化和处理数据,以提供跨来源的一致性,因此您可以专注于分析和见解。
-
亚马逊以可比的价格 CloudWatch 提供 CloudTrail Lake的当前功能,并具有 CloudTrail Lake客户最常要求的其他功能。其中包括由提供支持的原生分析 OpenSearch、适用于热门第三方来源的预建连接器以及通过 Apache Iceberg 的开放访问。 APIs
-
要开始使用亚马逊 CloudWatch,请参阅亚马逊 CloudWatch 用户指南中的CloudWatch 管道。有关定价的详细信息,请参阅CloudWatch 定价
。
-
比较架构
当前的 AWS CloudTrail Lake 架构提供了一种托管解决方案,用于通过事件数据存储和查询捕获、存储和分析审计日志。该系统作为其中的一项功能运行 AWS CloudTrail。推荐的替代方案 Amazon CloudWatch 保留了捕获、存储和分析 CloudTrail 日志的核心能力。它将安全、运营和合规数据统一到一个解决方案中。Amazon CloudWatch 还提供其他功能,例如由本机分析提供支持 OpenSearch、针对热门第三方来源的预建连接器、通过 Apache Iceberg 的开放访问 APIs,以及对开放网络安全架构框架 (OCSF) 和开放遥测 () 格式的内置支持。OTel
| 能力 | CloudTrail 湖 | CloudWatch | Details |
|---|---|---|---|
| 数据源 | 3 AWS、16 个第三方 | 60 岁以上 AWS,12 家第三方 | CloudWatch 支持 30 多个 AWS 来源,包括 VPC Flow、Lambda、EKS、ALB、NLB 和(网络 CloudTrail 和见解活动除外)。 |
| 跨账户/跨区域支持 | 是 | 部分 | CloudWatch Ingestion 支持跨账户启用,但需要在每个区域单独启用。 |
| 跨账户/跨区域集中化 | 支持 | 是 | 在单个账户和地区中启用跨账户和地区的日志聚合。 |
| CloudTrail 安全功能 — 延迟事件摄取、终止保护和不可变性 | 支持 | 是 | CloudWatch 仅支持通过 CW Ingestion(不支持跟踪) CloudTrail 的事件/数据。 |
| 数据转换和充实 | 有限 | 是 | CloudWatch 支持密钥源的托管 OCSF 转换和其余源的自定义转换。 |
| 原生分析 | 支持 | 是 | CloudTrail Lake 支持 Athena 的 SQL 就地查询。 CloudWatch 支持使用日志 QL、SQL 和 PPL 就地查询。 OpenSearch |
| 嵌套 SQL | 是 | 否 | CloudTrail Lake 支持复杂的嵌套 SQL 查询。 |
| 3P 分析 | 支持 | 是 | CloudWatch 支持通过 Amazon S3 表格和 A SageMaker I Unified Studio 使用自选的 3P 工具进行就地查询。 |
| 数据导出到其他 AWS 目的地或 3P 工具 | 支持 | 是 | 您可以通过 CloudWatch 订阅筛选器和 S3 表连接器发送数据。 |
| 其他分析 | 否 | 是 | CloudWatch 支持针对可观察性和安全用例的警报和指标。 |
| 的事件选择器 CloudTrail | 是 | 有限 | CloudWatch 支持 CloudTrail 数据事件的高级选择器。 |
迁移过程
AWS 最近推出了一种简化的方法来统一您的操作和安全数据,允许您将历史 CloudTrail 湖事件数据存储 (EDS) 直接导入 Amazon CloudWatch。这种集成利用 CloudWatch新的统一数据管理架构,为您的日志提供单一管理面板。
最佳实践:试点方法
在对历史数据进行全面迁移之前,强烈建议使用一小部分数据进行试点迁移。从而让您能够实现以下目的:
验证导入的日志是否正确显示在中 CloudWatch。
确认您的查询和仪表板按预期运行。
验证 IAM 权限和角色配置是否正确。
一旦您对结果感到满意,就可以放心地继续迁移完整的历史数据集。
验证架构:确保日志格式按预期显示在 CloudWatch 日志中。
成本管理:通过观察 24 小时样本量来估算摄取成本。
查询验证:根据示例数据测试您 CloudWatch 的 Logs Insights 查询,以确保您的监控逻辑保持不变。
成功迁移历史数据集后,您可以启用从中实时提取 CloudTrail 日志,以确保 CloudWatch 继续捕获日志。
注意
2023 年之前的数据不会从 CloudTrail Lake 迁移到亚马逊 CloudWatch。如果您需要访问早于 2023 年的事件,则必须继续直接在 CloudTrail Lake 中查询这些事件,或者将其移至 Amazon S3 存储桶。
先决条件
IAM 权限:确保您的 IAM 身份同时具有访问 CloudTrail 湖 (
cloudtrail:GetEventDataStore,cloudtrail:ListEventDataStore) 和 CloudWatch 日志 (logs:CreateImportTask) 的权限,以及 IAM 权限 (iam:ListRoles,iam:CreateRole,iam:PassRole)。服务相关角色: CloudTrail 需要一个 IAM 角色才能代表您执行导出。你可以在控制台的设置过程中创建它。
方法 1:使用 CloudTrail 控制台(推荐)
这是从现有 Lake Event Data Store 推送数据的最直接方法。
打开控制 CloudTrail 台。
在左侧导航窗格的 Lake 下,选择事件数据存储。
选择包含要迁移的数据的事件数据存储。
选择右上角的 “操作” 按钮,然后选择 “导出至” CloudWatch。
-
配置导出设置:
时间范围:(建议在 Pilot 中使用)与其选择整个历史记录,不如选择一个狭窄的窗口(例如过去 24 小时)来验证集成。验证后,对剩余的历史数据重复该过程。
目标:指定现有 CloudWatch 日志组或创建新日志组。
IAM 角色:选择现有的 IAM 角色或选择创建新的 IAM 角色以允许 CloudTrail 向其传送日志 CloudWatch。
查看配置并选择导出。
方法 2:使用 AWS CLI (create-import-task)
此方法允许您以编程方式触发历史事件数据的摄取。
步骤 1:识别来源 ARN
您将需要 CloudTrail 湖泊事件数据存储的 Amazon 资源名称 (ARN)。你可以在 CloudTrail 控制台中或通过运行来找到它aws cloudtrail list-event-data-stores。
步骤 2:创建导入任务
使用该logs服务创建任务。您必须指定事件数据存储库的源 ARN。
aws logs create-import-task \ --import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \ --import-role-arn "arn:aws:iam::account-id:role/role-name" \ --import-filter '{"startEventTime":START_TIME, "endEventTime":END_TIME}'
参数:
--import-source-arn:包含历史日志的 CloudTrail 湖泊事件数据存储区的 ARN。--import-role-arn:具有正确权限的 IAM 角色的 ARN。--import-filter: 可选对象,用于指定要导入的事件的开始和结束时间。
步骤 3:监控任务状态
由于导入是异步的,因此您可以使用describe-import-tasks以下命令检查迁移进度:
aws logs describe-import-tasks \ --import-id "import-id"
其他资源
