本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# CloudTrail Lake 概念和術語
<a name="cloudtrail-lake-concepts"></a>

**注意**  
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake，請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊，請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。

本節說明協助您使用 AWS CloudTrail Lake 的重要概念和術語。

**Topics**
+ [事件資料存放區](#cloudtrail-lake-concepts-eds)
+ [整合](#cloudtrail-lake-concepts-integrations)
+ [查詢](#cloudtrail-lake-concepts-queries)
+ [儀表板](#cloudtrail-lake-concepts-dashboard)

## 事件資料存放區
<a name="cloudtrail-lake-concepts-eds"></a>

系統會將事件彙總到事件資料存放區中，事件資料存放區是事件的不可變集合，其依據為您透過套用*進階事件選取器*選取的條件。

您可以建立事件資料存放區來記錄 [CloudTrail 事件](query-event-data-store-cloudtrail.md) （管理事件、資料事件、網路活動事件）、[CloudTrail Insights 事件](query-event-data-store-insights.md)、[AWS Audit Manager 證據](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)、[AWS Config 組態項目](query-event-data-store-config.md)或 [外部的事件 AWS](event-data-store-integration-events.md)。

**進階事件選取器**  
*進階事件選取器*可決定要包含在事件資料存放區中的事件。這些事件選取器可以僅記錄對您而言重要的事件，從而協助您控制成本。  
對於管理事件、資料事件和網路活動事件，您可以使用進階事件選取器來篩選事件。例如，如果您要建立事件資料存放區來收集管理事件，您可以篩選 out AWS Key Management Service (AWS KMS) 或 Amazon Relational Database Service (Amazon RDS) Data API 事件。一般而言， `Encrypt`、 `Decrypt`和 等 AWS KMS 動作`GenerateDataKey`會產生超過 99% 的事件。  
對於 AWS Config 組態項目、Audit Manager 證據或 外部的事件 AWS，進階事件選取器僅用於在事件資料存放區中包含該類型的事件。

**聯合**  
*聯合*可讓您在 AWS Glue [資料目錄中](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)查看與事件資料存放區相關聯的中繼資料，並使用 Amazon Athena 對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。  
當您啟用 Lake 查詢聯合時，CloudTrail 會代替您建立聯合資源，並向 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 註冊這些資源。啟用 Lake 聯合後，您可以直接在 Athena 中查詢您的事件資料，無須執行任何其他步驟。如需詳細資訊，請參閱[聯合事件資料存放區](query-federation.md)。

**定價選項**  
建立事件資料存放區時，您可以選擇要用於事件資料存放區的*定價選項*。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需定價的詳細資訊，請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和[管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。

**保留期間**  
事件資料存放區的*保留期*將決定事件資料保留在事件資料存放區中的時間長度。CloudTrail Lake 會透過檢查事件的 `eventTime` 是否在指定保留期以內，決定是否要保留該事件。例如，如果您指定的保留期為 90 天，CloudTrail 將移除 `eventTime` 早於 90 天的事件。

**預設保留期**  
事件資料存放區的*預設保留期*是事件資料保留在事件資料存放區中的預設天數。在事件資料存放區的預設保留期內，儲存已包含在擷取定價中，無須額外付費。在預設保留期之後，儲存的定價將為按使用量付費。

**最長保留期**  
事件資料存放區的*最長保留期*代表您可以將資料保留在事件資料存放區中的天數上限。

**終止保護**  
依預設，事件資料存放區會啟用*終止保護*，以防止意外刪除事件資料存放區。若要刪除啟用終止保護的事件資料存放區，請前往事件資料存放區的詳細資訊頁面，從**動作**功能表中選擇**變更終止保護**。然後，您可以繼續刪除事件資料存放區。如需詳細資訊，請參閱[使用主控台變更終止保護使用 CloudTrail 主控台變更終止保護](query-eds-termination-protection.md)。

## 整合
<a name="cloudtrail-lake-concepts-integrations"></a>

您可以使用 CloudTrail Lake *整合*來記錄和儲存來自下列來源的使用者活動資料：
+ 外部 AWS
+ 混合環境中任何來源，例如在內部部署或雲端、虛擬機器或容器中託管的內部或軟體即服務 (SaaS) 應用程式



整合需要通道來傳遞事件，並需要事件資料存放區來接收事件。設定整合後，請呼叫 [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) API 操作，將您的應用程式活動擷取至 CloudTrail。然後，您可以使用 CloudTrail Lake 來搜尋、查詢和分析從應用程式記錄的資料。如需詳細資訊，請參閱[在 外部建立與事件來源的整合 AWS](query-event-data-store-integration.md)。

**整合類型**  
整合有兩種類型：*直接*和*解決方案*。透過直接整合，合作夥伴可呼叫 `PutAuditEvents` API 操作，將事件傳遞至您 AWS 帳戶的事件資料存放區。透過解決方案整合，應用程式會在 中執行， AWS 帳戶 而應用程式會呼叫 `PutAuditEvents` API 操作，將事件交付至 的事件資料存放區 AWS 帳戶。

**頻道**  
來自 AWS 工作外部來源的活動事件，方法是使用*頻道*將事件從使用 CloudTrail 的外部合作夥伴，或從您自己的來源帶入 CloudTrail Lake。建立通道時，您可以選擇一或多個事件資料存放區，以儲存從通道來源到達的事件。只要目的地事件資料存放區設定為記錄 `eventCategory="ActivityAuditLog"` 事件，您就可以視需要變更通道的目的地事件資料存放區。當您為來自外部合作夥伴的事件建立通道時，您會將通道 Amazon Resource Name (ARN) 提供給合作夥伴或來源應用程式。

**資源型政策**  
*資源型政策*是連接到資源的 JSON 政策文件。連接至通道的資源型政策允許來源透過通道傳輸事件。如果通道沒有資源政策，則只有通道擁有者可以在通道上呼叫 `PutAuditEvents` API 操作。如需詳細資訊，請參閱[AWS CloudTrail 資源型政策範例](security_iam_resource-based-policy-examples.md)。

## 查詢
<a name="cloudtrail-lake-concepts-queries"></a>

CloudTrail Lake 中的*查詢*是以 SQL 撰寫而成。您可以在 CloudTrail Lake **Editor** 索引標籤上建置查詢，方法是從頭開始在 SQL 中撰寫查詢、開啟已儲存或範例查詢並進行編輯，或使用查詢產生器從英文語言提示產生查詢。如需詳細資訊，請參閱[使用 CloudTrail 主控台建立或編輯查詢](query-create-edit-query.md)及[從自然語言提示建立 CloudTrail Lake 查詢](lake-query-generator.md)。

CloudTrail Lake 支援所有有效的 Trino `SELECT` 陳述式和函數。如需支援之 SQL 函數和運算子的詳細資訊，請參閱 Trino 文件網站上的[函數和運算子](https://trino.io/docs/current/functions.html)。

## 儀表板
<a name="cloudtrail-lake-concepts-dashboard"></a>

透過使用 CloudTrail Lake *儀表板*，您可以視覺化事件資料存放區中的事件，並查看事件趨勢，例如頂端、 AWS 服務使用者和錯誤。如需詳細資訊，請參閱[CloudTrail Lake 儀表板](lake-dashboard.md)。

**儀表板類型**  
CloudTrail Lake 提供下列儀表板類型：  
+ **受管儀表板** – 您可以檢視受管儀表板，以查看收集管理事件、資料事件或 Insights 事件的事件資料存放區的事件趨勢。這些儀表板會自動提供給您，並由 CloudTrail Lake 管理。CloudTrail 提供 14 個受管儀表板供您選擇。您可以手動重新整理受管儀表板。您無法修改、新增或移除這些儀表板的小工具，不過，如果您想要修改小工具或設定重新整理排程，則可以將受管儀表板儲存為自訂儀表板。
+ **自訂儀表板** – 自訂儀表板可讓您查詢任何事件資料存放區類型中的事件。您最多可以在自訂儀表板中新增 10 個 Widget。您可以手動重新整理自訂儀表板，也可以設定重新整理排程。
+ **反白儀表板** – 啟用反白儀表板，以檢視您帳戶中事件資料存放區所收集的 AWS 活動at-a-glance。醒目提示儀表板由 CloudTrail 管理，並包含與您帳戶相關的小工具。醒目提示儀表板上顯示的小工具對於每個帳戶都是唯一的。這些小工具可能會浮現偵測到的異常活動或異常。例如，您的醒目提示儀表板可能包含**跨帳戶存取總數小工具**，這會顯示異常跨帳戶活動是否增加。CloudTrail 每 6 小時更新一次反白儀表板。儀表板會顯示上次更新後的最後 24 小時的資料。

**小工具**  
*小工具*是組成儀表板並提供視覺化的元件，例如折線圖或長條圖。每個小工具對應至 SQL 查詢。當您重新整理儀表板時，CloudTrail 會對儀表板上的每個小工具執行查詢，以填入小工具的資料。