本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用控制 CloudTrail 台查看托管仪表板
CloudTrail Lake 提供托管仪表板,用于显示收集管理事件、数据事件和 Insights 事件的事件数据存储的事件趋势。这些仪表板由 CloudTrail Lake 管理。您无法修改、添加或移除这些控制面板的小组件,但是,如果要修改小组件或设置刷新计划,则可以将托管的控制面板另存为自定义控制面板。
**注意**
您只能查看您的账户中存在的事件数据存储的托管的控制面板。
**查看托管的控制面板**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在左侧导航窗格中,在 **Lake** 下,选择**控制面板**。
1. 选择**托管和自定义控制面板**选项卡。
1. 从**托管的控制面板**中,选择要查看的控制面板。有关更多信息,请参阅 [可用的托管的控制面板](lake-managed-dashboards.md)。
**注意**
下拉列表仅显示所选控制面板的相关事件数据存储。例如,如果您选择专注于数据事件的控制面板(例如 S3 数据事件),则下拉菜单将仅显示配置为收集数据事件的事件数据存储。
1. 为仪表板选择事件数据存储。 CloudTrail 刷新仪表板后,将在此仪表板上运行查询。
1. 要查看小组件的查询,请选择小组件底部的**查看和编辑查询**。
1. 选择按**绝对范围**或**相对范围**筛选控制面板数据。选择**绝对范围**,以选择特定的日期和时间范围。选择**相对范围**,以选择预定义的时间范围或自定义范围。默认情况下,控制面板显示过去 24 小时的事件数据。
**注意**
CloudTrail Lake 查询会根据扫描的数据量产生费用。为了帮助控制成本,您可以在较小的时间范围内进行筛选。有关 CloudTrail 定价的更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
1. 选择刷新图标以填充控制面板小组件的图形。每个小组件都指明刷新的状态。
## 将托管的控制面板另存为自定义控制面板
您无法修改托管的控制面板,但可以将副本另存为自定义控制面板。这样,您可以为控制面板设置刷新计划并修改小组件。
**将托管的控制面板另存为自定义控制面板**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在左侧导航窗格中,在 **Lake** 下,选择**控制面板**。
1. 选择**托管和自定义控制面板**选项卡。
1. 选择要为其创建副本的托管的控制面板。
1. 选择**另存为新的控制面板**。
1. 提供一个名称来标识控制面板。
1. (可选)在**标签**部分,您最多可以添加 50 个标签键对,以帮助您对控制面板进行识别和排序。有关如何在中使用标签的更多信息 AWS,请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。
1. 对于**权限**,选择要对其应用权限的事件数据存储。因为 CloudTrail 运行查询以填充仪表板上小组件的数据,因此 CloudTrail 需要权限才能在与仪表板的小组件关联的事件数据存储上运行查询。对于在此步骤中选择的每个事件数据存储,将基于资源的策略 CloudTrail 附加 CloudTrail 到允许运行查询的事件数据存储中。如果您不想授予权限,则可以取消选择事件数据存储。
1. 请选择**创建控制面板**。
创建自定义控制面板后,您可以[添加小组件](lake-dashboard-custom-widgets.md)、[移除小组件](lake-dashboard-custom-widgets-remove.md)以及为控制面板[设置刷新计划](lake-dashboard-refresh.md)。
# 可用的托管的控制面板
该部分提供有关可用托管的控制面板的信息,并提供有关每个控制面板上的精选小组件的信息。
**Topics**
+ [安全监控控制面板](#lake-managed-dashboard-security)
+ [IAM 活动控制面板](#lake-managed-dashboard-iam)
+ [用户活动控制面板](#lake-managed-dashboard-user)
+ [丰富的事件控制面板](#lake-managed-dashboard-enriched-events)
+ [错误分析控制面板](#lake-managed-dashboard-error)
+ [EC2 活动控制面板](#lake-managed-dashboard-ec2)
+ [组织活动控制面板](#lake-managed-dashboard-organizations)
+ [资源更改控制面板](#lake-managed-dashboard-resources)
+ [数据事件概述控制面板](#lake-managed-dashboard-data)
+ [Lambda 数据事件控制面板](#lake-managed-dashboard-lambda)
+ [DynamoDB 数据事件控制面板](#lake-managed-dashboard-dynamodb)
+ [S3 数据事件控制面板](#lake-managed-dashboard-s3)
+ [Insights 事件控制面板](#lake-managed-dashboard-insights)
+ [管理事件控制面板](#lake-managed-dashboard-mgmt)
+ [“概述”控制面板](#lake-managed-dashboard-overview)
## 安全监控控制面板
此控制面板提供了以安全为重点的关键小组件的集中视图,例如排名靠前的拒绝访问事件、失败的控制台登录尝试及其关联的 IP 地址、根用户控制台登录尝试、破坏性操作、跨账户访问和其它以安全为重点的关键小组件。它提供快速的事件检测和响应,以增强您的整体安全态势。
此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:
**排名靠前的拒绝访问事件**
跟踪最常发生的拒绝访问事件,按 API 分组。
** ConsoleLogin 尝试失败**
跟踪一段时间内控制台登录尝试失败的趋势,详细介绍了 MFA 与非 MFA 验证调用方的对比。
**按 IP 地址 ConsoleLogin 排列的尝试失败**
跟踪与失败的控制台登录尝试关联的 IP 地址,并按登录失败次数显示排名靠前的违规 IP 地址。
**root 用户 ConsoleLogin 尝试次数**
跟踪根用户在一段时间内尝试登录控制台的频率。
**破坏性操作**
跟踪一段时间内的删除操作频率。
**排名靠前的跨账户访问**
按调用方账户 ID 和操作跟踪排名靠前的跨账户活动。
**禁用 MFA 的用户**
跟踪最近禁用 MFA 的用户。
**最近的 EC2 SecurityGroup 和 NetworkAcl 变化**
跟踪最新的 EC2 SecurityGroup 和 NetworkAcl更改。
**允许公开访问的最近 EC2 SecurityGroup 变更**
跟踪具有支持公开(0.0.0.0/0)访问的规则的最新 EC2 安全组。
**可能的 CloudTrail 禁用操作**
跟踪最近可能中断 CloudTrail日志记录的操作。
## IAM 活动控制面板
此控制面板提供对常用的 IAM APIs、API 错误、IAM 实体的更改以及排名靠前的调用方 IP 地址的可见性,从而可以识别意外的 IAM 操作和合规性问题。
此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:
**最佳 IAM APIs**
跟踪最常用的 IAM APIs。
**排名靠前的 IAM 调用方**
跟踪最频繁的 IAM API 调用方。
**IAM 成功与失败趋势**
跟踪 IAM API 调用在一段时间内的成功和失败趋势。
**排名靠前的 IAM API 错误**
跟踪调用 IAM 时最常见的错误 APIs。
**最佳 AccessDenied IAM APIs**
跟踪因拒绝访问错误而失败的最频繁的 IAM API 调用。
**IAM 调用的排名靠前的 IP 地址**
跟踪从中发出 IAM API 调用的排名靠前的源 IP 地址。
**最近的 IAM 策略更改**
跟踪对 IAM 策略的最新更改,按促进更改的特定 IAM API 操作、与策略更改关联的 IAM 资源(用户、角色或组)以及所使用的策略名称或 ARN 进行分类。
**最近的 IAM 用户更改**
跟踪对 IAM 用户的最新更改,按便于用户管理的特定 IAM API、受更改影响的 IAM 用户和事件时间进行分类。
**排名靠前的代入的 IAM 角色**
跟踪最常代入的 IAM 角色。
## 用户活动控制面板
该控制面板提供了对用户活动趋势的可见性,对关键领域的洞察,例如排名靠前的活跃用户、用户流量规律、出现拒绝访问错误的用户、最近的用户操作、执行破坏性活动和 IAM 策略更改的用户以及特权用户操作。它有助于检测用户意外操作和安全风险。
此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:
**按用户 ARN 划分的用户活动趋势**
按用户 ARN 跟踪一段时间内的用户活动趋势。
**按 API 划分的用户活动趋势**
跟踪 API 在一段时间内的用户活动趋势。
**最近的用户活动**
跟踪最新的用户操作。
**出现错误的排名靠前的用户**
跟踪错误数量最多的用户。
**出 AccessDenied 错率最高的用户**
跟踪 AccessDenied错误次数最多的用户。
**执行破坏性操作的排名靠前的用户**
跟踪执行破坏性操作数量最多的用户。
**更改 IAM 策略的排名靠前的用户**
跟踪经常更改 IAM 策略的 IAM 用户。
**潜在的 IAM 特权用户执行的主要操作**
跟踪管理员等高权限 IAM 用户最常执行的操作。
## 丰富的事件控制面板
此丰富的事件控制面板提供有关标记的资源、主体活动和 AWS 全局条件键的趋势见解。这些见解可帮助您分析角色会话、请求和请求上下文中的主体中最常见的资源和主体标签分布以及常用的全局条件键。
此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:
**一段时间内的丰富事件**
跟踪一段时间内的丰富事件数量。
**最频繁的资源标签键值对**
显示丰富事件中最常用的资源标签键值对。
**最常见的资源标签键值对与关联的资源和用户**
显示最常用的资源标签键值对,显示哪些资源使用这些标签以及哪些用户与这些标签相关联。
**最频繁的主体标签键值对**
显示丰富事件中最常用的主体标签键值对。
**按主体标签键值对分组的最频繁访问被拒绝操作**
显示在丰富事件中按主体标签键值对分组的最频繁拒绝访问操作。
**IAM 全局条件键中最频繁的主体属性**
显示主体属性最常用的 IAM 全局条件键,显示其键值对和所有事件的计数。
**IAM 全局条件键中最频繁的请求属性**
显示请求属性最常用的 IAM 全局条件键,显示其键值对和所有事件的计数。
**IAM 全局条件键中最频繁的角色会话属性**
显示角色会话属性最常用的 IAM 全局条件键,显示其键值对和所有事件的计数。
## 错误分析控制面板
此仪表板可全面了解服务、用户 APIs、错误代码和受限 APIs的错误趋势。这种可见性可以及时识别和排查潜在的可用性问题,从而实现最佳系统性能。
此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:
**按服务划分的错误计数**
按服务跟踪活动的错误计数。
**按 API 划分的错误计数**
按 API 跟踪活动的错误计数。
**按错误代码划分的排名靠前的错误**
按错误代码跟踪最频繁的错误。
**按错误消息划分的排名靠前的错误**
按错误消息跟踪最频繁的错误。
**API 中最 AccessDenied 常出现的错误**
APIs 使用最常报告的访问被拒绝错误进行跟踪。
**按 API 划分的排名靠前的受限制错误**
APIs 使用最常报告的限制错误进行跟踪。
**出现错误的排名靠前的用户**
跟踪报告错误最频繁的用户。
## EC2 活动控制面板
通过此控制面板可全面了解 EC2 管理活动,例如 API 趋势、访问错误、排名靠前的实例启动器、安全更改和网络修改。这些洞察有助于识别安全风险和运营问题。
此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:
**EC2 实例管理活动概览**
监控 EC2 实例管理活动在指定时间内的概览,重点关注启动、停止和终止等关键操作。
**EC2 API 成功与失败趋势**
跟踪 EC2 API 调用在一段时间内的成功和失败趋势。
**排名靠前的 EC2 错误**
跟踪在 EC2 API 调用期间发生的最常见的错误代码。
**热门的 EC2 AccessDenied 活动**
跟踪访问被拒绝错误最多的 EC2 APIs 。
**启动 EC2 实例的排名靠前的用户**
跟踪在启动新 EC2 实例时最活跃的用户。
**最近的 EC2 SecurityGroup 和 NetworkInterface 变化**
跟踪最新的 EC2 安全组和网络接口更改。
**最近的 VPC 管理和路由表更改**
跟踪最新的 VPC 管理活动和路由表更改。
**根用户最近的 EC2 操作**
跟踪具有高权限的根用户执行的最新 EC2 操作。
## 组织活动控制面板
该仪表板专为组织事件数据存储而设计,可让您深入了解组织活动和趋势,包括对活跃成员、账户管理、访问模式、政策变更以及热门服务和 APIs利用率的见解。
此控制面板可用于组织事件数据存储,包括以下小组件:
**组织中的活动趋势**
跟踪整个 AWS Organizations 组织在一段时间内的总体活动趋势,从而了解活动水平高或低的时期。
**成员账户管理摘要**
跟踪组织内成员账户管理活动的分布,根据每种活动类型的数量进行分类。
**组织中最常用的服务**
跟踪整个组织 AWS 服务 中使用率最高的内容。
**按服务划分的最活跃账户**
使用 AWS 服务 整个组织跟踪最活跃的帐户。
**最常用于 APIs 整个组织**
突 AWS APIs 出显示整个组织中最常被调用的内容。
**最活跃的成员账户**
跟踪组织内活动计数最多的成员账户。
**整个组织中拒绝访问错误的趋势**
跟踪组织中在一段时间内发生的拒绝访问错误的规律。
**拒绝访问错误最多的账户 **
跟踪组织内出现拒绝访问错误次数最多的账户。
**最近的服务控制策略更改**
跟踪组织内最近对服务控制策略 (SCPs) 所做的更改。
## 资源更改控制面板
此控制面板提供资源管理活动的全面视图,同时监控跨服务的预置、删除和修改趋势。它重点介绍了关键更改,包括通过 CloudFormation、手动进行的更改以及对 S3 存储桶和 KMS 访问等策略所做的更改。
此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:
**资源创建和删除趋势**
跟踪账户内资源在一段时间内的创建和删除情况。
**执行资源创建的排名靠前的用户**
跟踪最活跃地创建新资源的用户。
**最 APIs 常用于创建资源**
跟踪最 APIs 常用于在账户内创建新资源的。
** APIs 用于删除资源的次数最多**
跟踪最 APIs 常用于删除账户内资源的。
**最近在外部创建的资源 CloudFormation**
跟踪在 CloudFormation 治理之外创建的新资源,重点介绍不是通过 CloudFormation模板管理的更改。
**使用控制台进行的最新资源更改**
通过 AWS 管理控制台跟踪对资源所做的最新更改。
**最新的 S3 存储桶访问权限更改**
跟踪最新的 S3 存储桶访问权限更改。
**最新的 KMS 密钥访问权限更改**
跟踪最新的 KMS 密钥策略更改。
## 数据事件概述控制面板
此仪表板提供事件数据存储中数据事件的集中视图,包括整体活动趋势、热门服务 APIs、区域、受限制的数据平面 APIs和领先的数据平面用户。此控制面板有助于您监控数据面板 API 活动,以进行审计和故障排除。
此控制面板适用于收集数据事件的事件数据存储,包括以下小组件:
**总体数据事件趋势**
跟踪账户中在一段时间内发生的总体数据事件的趋势。
**生成数据事件的排名靠前的服务**
跟踪账户内产生最大数据活动量的服务。
** APIs 生成量最高的数据事件**
跟踪账户内 APIs 生成最大数据量的活动。
**生成数据事件的排名靠前的区域**
跟踪账户内产生最大数据活动量的区域。
**最受限制的数据平面 APIs**
跟踪账户内频繁 APIs 出现限流的数据平面。
**数据层面的顶级用户 APIs**
跟踪整个账户中使用数据平面 APIs 最多的热门用户。
## Lambda 数据事件控制面板
此控制面板可让您查看 Lambda 数据面板 API 活动,包括排名靠前的用户、经常调用的函数、常见 API 错误。这些洞察有助于您审计 Lambda 使用情况、检测异常并降低运营或安全风险。
此控制面板适用于收集 Lambda 数据事件的事件数据存储,包括以下小组件:
**Lambda 数据面板 API 活动**
跟踪账户中一段时间内 Lambda 数据面板 API 活动的趋势。
**Lambda 调用成功与失败趋势**
跟踪一段时间内 Lambda 调用成功和失败的趋势。
**Lambda 调用的排名靠前的用户**
跟踪账户中调用 Lambda 函数次数最多的用户。
**调用数排名靠前的 Lambda 函数**
跟踪账户内最频繁调用的 Lambda 函数。
**排名前 10 的 Lambda 调用 API 错误**
跟踪在 Lambda 调用 API 调用期间遇到的排名前 10 的错误。
**最受限制的 Lambda 调用用户**
跟踪在 Lambda 调用中遇到的限制事件数量最多的用户。
## DynamoDB 数据事件控制面板
此控制面板提供对 DynamoDB 数据平面 API 活动的可见性,包括使用趋势、 APIs热门以及涉及用户和表格的限制模式。这些洞察有助于您审计 DynamoDB 使用情况、检测异常并降低运营或安全风险。
此控制面板适用于收集 DynamoDB 数据事件的事件数据存储,包括以下小组件:
**DynamoDB 账户数据活动**
跟踪账户中一段时间内发生的 DynamoDB 数据事件的趋势。
**DynamoDB 数据 APIs 平面成功与失败趋势**
跟踪一段时间内 DynamoDB 数据面板 API 调用成功和失败的趋势。
**十大 DynamoDB 数据平面 APIs**
列出排名前 10 的 DynamoDB 数据面板 API 调用。
**DynamoDB 数据平面的顶级用户 APIs**
跟踪账户内对 DynamoDB 数据 APIs 平面进行调用次数最多的用户。
**排名前 10 的 DynamoDB 数据面板 API 错误**
跟踪调用 DynamoDB 数据平面时出现的前 10 个错误。 APIs
**DynamoDB 数据平面受限最多的用户 APIs**
跟踪调用 DynamoDB 数据平面时限制频率最高的用户。 APIs
**最受限制的 DynamoDB 数据平面 APIs**
跟踪账户内频繁出现限制的 DynamoDB 数据 APIs 平面。
**排名靠前的受限制 DynamoDB 表**
跟踪账户内受限率最高的 DynamoDB 表。
## S3 数据事件控制面板
此控制面板可让您查看 S3 数据面板 API 活动,包括使用趋势、访问次数最多的 S3 对象、排名靠前的 S3 用户和排名靠前的 S3 操作。这些洞察有助于您审计 S3 使用情况、检测异常并降低运营或安全风险。
此控制面板适用于收集 Amazon S3 数据事件的事件数据存储,包括以下小组件:
**S3 账户活动**
跟踪 S3 账户活动。
**最常访问的对象**
列出最常访问的 S3 对象。
**S3 排名靠前的用户**
跟踪排名靠前的 S3 用户。
**排名靠前的 S3 操作**
跟踪排名靠前的 S3 操作。
## Insights 事件控制面板
此控制面板可让您查看按类型划分的 Insights 事件的总体细分,以及生成这些事件类型的排名靠前的用户和服务。此外,它还显示了 Insights 事件的每日数量和 Insights 指标的 30 天历史视图。
**注意**
首次在源事件数据存储上启用 CloudTrail Insights 后,如果检测到异常活动,则最长可能需要 7 天 CloudTrail 才能交付第一个 Insights 事件。
**Insights 事件**控制面板仅显示有关选定事件数据存储收集的 Insights 事件的信息,这些信息由源事件数据存储的配置决定。例如,如果您将源事件数据存储配置为在 `ApiCallRateInsight` 上启用 Insights 事件,而不是 `ApiErrorRateInsight`,则您将不会看到有关 `ApiErrorRateInsight` 上的 Insights 事件的信息。
此控制面板适用于收集 Insights 事件的事件数据存储,包括以下小组件:
**洞察类型**
按洞察类型跟踪事件。
**按日期划分的洞察**
按日期跟踪 Insights 事件。
**按事件源划分的 API 调用率洞察**
按事件源跟踪 API 调用率洞察。要查看此小组件的数据,必须将 Insights 事件数据存储配置为收集有关 API 调用率的洞察。
**按事件源划分的 API 错误率洞察**
按事件源跟踪 API 错误率洞察。要查看此小组件,必须将 Insights 事件数据存储配置为收集有关 API 错误率的洞察。
**排名靠前的用户的洞察**
列出请求导致 Insights 事件的排名靠前的用户。
**Insights 事件**
列出最近的 Insights 事件。
## 管理事件控制面板
此控制面板重点介绍了有关拒绝访问事件、破坏性操作、控制台登录事件、按用户排列的排名靠前的错误、TLS 版本使用情况以及用户过期 TLS 调用的洞察。
此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:
**排名靠前的拒绝访问事件**
跟踪导致拒绝访问错误的排名靠前的事件。
**用户排名靠前的错误**
跟踪用户排名靠前的错误。
**控制台登录事件**
显示控制台登录事件。
**破坏性操作**
跟踪导致破坏性行为的操作。
**TLS 版本**
显示 TLS 版本。
**用户的已过时 TLS 调用**
跟踪用户使用过时的 TLS 版本进行的调用。
## “概述”控制面板
此控制面板重点介绍了有关拒绝访问事件、破坏性操作、控制台登录事件、按用户排列的排名靠前的错误、TLS 版本使用情况以及用户过期 TLS 调用的洞察。
此控制面板适用于收集管理事件的事件数据存储,包括以下小组件:
**账户活动**
跟踪您账户的读写活动。
**排名靠前的错误**
列出最频繁发生的错误。
**查看活跃区域**
显示最活跃的 AWS 区域。
**排名靠前的服务**
显示排名靠前的服务。
**最受限制的事件**
列出最受限制的事件。
**主要用户**
列出排名靠前的用户。