本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudTrail Lake 可用性變更
注意
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。對於類似 CloudTrail Lake 的功能,請探索 CloudWatch。
在仔細考慮之後,我們決定從 2026 年 5 月 31 日起關閉 AWS CloudTrail Lake 與新客戶接觸。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。
AWS CloudTrail Lake 提供受管解決方案,用於擷取、儲存和分析來自 AWS 和非AWS sources. AWS CloudTrail continues 的稽核日誌,以供現有客戶使用,但 CloudTrail Lake 只會收到重要的錯誤修正和安全性更新。
本指南提供 AWS CloudTrail Lake 客戶遷移選項的相關資訊。
注意
AWS CloudTrail 繼續受到完全支援。只有 AWS CloudTrail Lake 不再向新客戶開放。您的 AWS CloudTrail 線索、洞見和彙總事件不受影響。
持續支援現有事件資料存放區
AWS CloudTrail Lake 支援兩種類型的事件資料存放區 (EDS):組織事件資料存放區和帳戶事件資料存放區。持續支援的層級取決於您設定的類型。
-
組織事件資料存放區 – 如果您的 AWS 組織具有組織層級 EDS, AWS CloudTrail Lake 將繼續如預期運作。這包括對新增至組織的新成員帳戶的支援,以及擴展至其他帳戶 AWS 區域。若要了解如何建立組織事件資料存放區,請參閱 建立組織事件資料存放區。
-
帳戶事件資料存放區 – 如果您的 AWS 組織只有帳戶層級的事件資料存放區, AWS CloudTrail Lake 將繼續支援這些現有帳戶,包括擴展到新的 AWS 區域。不過, AWS CloudTrail Lake 不支援擷取新增至您組織的新帳戶。若要擷取組織中新帳戶的 AWS CloudTrail Lake 資料,您必須建立組織事件資料存放區或遷移至 Amazon CloudWatch。
注意
如果您預期將新成員帳戶新增至 AWS 組織,並希望 AWS CloudTrail Lake 自動涵蓋這些帳戶,請確定您已設定組織事件資料存放區。帳戶事件資料存放區不會將涵蓋範圍擴展到新增的組織成員帳戶。
遷移選項
建議您將 AWS CloudTrail Lake 日誌資料遷移至 Amazon CloudWatch。
- Amazon CloudWatch
-
-
Amazon CloudWatch 在一個解決方案中整合安全性、操作和合規資料,並提供靈活的分析和無縫整合功能。客戶可以自動標準化和處理資料,以提供跨來源的一致性,並內建支援 Open Cybersecurity Schema Framework (OCSF) 和 Open Telemetry (OTel) 格式,因此您可以專注於分析和洞察。
-
Amazon CloudWatch 在相當的價位提供 CloudTrail Lake 的目前功能,並具有 CloudTrail Lake 客戶最熱門請求的其他功能。這些包括採用 OpenSearch 技術的原生分析、適用於熱門第三方來源的預先建置連接器,以及透過 Apache Iceberg APIs開放存取。
-
若要開始使用 Amazon CloudWatch,請參閱《Amazon CloudWatch 使用者指南》中的 CloudWatch 管道。 Amazon CloudWatch 如需定價的詳細資訊,請參閱 CloudWatch 定價
。
-
比較架構
目前的 AWS CloudTrail Lake 架構提供受管解決方案,可透過事件資料存放區和查詢來擷取、儲存和分析稽核日誌。此系統在 中做為功能運作 AWS CloudTrail。建議的替代方案 Amazon CloudWatch 會維護擷取、存放和分析 CloudTrail 日誌的核心功能。它在一個解決方案中統一安全、操作和合規資料。Amazon CloudWatch 提供額外的功能,例如採用 OpenSearch 技術的原生分析、適用於熱門第三方來源的預先建置連接器、透過 Apache Iceberg APIs的開放存取,以及對 Open Cybersecurity Schema Framework (OCSF) 和 Open Telemetry (OTel) 格式的內建支援。
| 功能 | CloudTrail Lake | CloudWatch | 詳細資訊 |
|---|---|---|---|
| 資料來源 | 3 AWS、16 第三方 | 60+ AWS、12 個第三方 | CloudWatch 支援 30 個以上的 AWS 來源,包括 VPC Flow、Lambda、EKS、ALB、NLB 和 CloudTrail (Network & Insights Events 除外)。 |
| 跨帳戶/跨區域啟用 | 是 | 部分 | CloudWatch Ingestion 支援跨帳戶啟用,但每個區域都需要個別啟用。 |
| 跨帳戶/跨區域集中化 | 是 | 是 | 啟用在單一帳戶和區域中跨帳戶和區域的日誌彙總。 |
| CloudTrail 安全功能 – 延遲事件擷取、終止保護和不可變性 | 是 | 是 | CloudWatch 僅支援透過 CW 擷取 (而非線索) 的 CloudTrail 事件/資料。 |
| 資料轉換與擴充 | 有限 | 是 | CloudWatch 支援金鑰來源的受管 OCSF 轉換,以及剩餘來源的自訂轉換。 |
| 原生分析 | 是 | 是 | CloudTrail Lake 支援使用 Athena 的 SQL 就地查詢。CloudWatch 支援使用 OpenSearch 記錄 QL、SQL 和 PPL 就地查詢。 |
| 巢狀 SQL | 是 | 否 | CloudTrail Lake 支援複雜的巢狀 SQL 查詢。 |
| 3P 分析 | 是 | 是 | CloudWatch 支援透過 Amazon S3 Tables 和 SageMaker AI Unified Studio 搭配選擇的 3P 工具就地查詢。 SageMaker |
| 資料匯出至其他 AWS 目的地或 3P 工具 | 是 | 是 | 您可以透過 CloudWatch 訂閱篩選條件和 S3 資料表連接器傳送資料。 |
| 其他分析 | 否 | 是 | CloudWatch 支援可觀測性和安全性使用案例的提醒和指標。 |
| CloudTrail 的事件選取器 | 是 | 有限 | CloudWatch 支援 CloudTrail 資料事件的進階選取器。 |
遷移程序
AWS 最近推出了一種簡化的方式,可讓您將歷史 CloudTrail Lake 事件資料存放區 (EDS) 直接匯入 Amazon CloudWatch,以統一您的營運和安全資料。此整合利用 CloudWatch 新的統一資料管理架構,為您的日誌提供單一窗格。
最佳實務:試行方法
在執行歷史資料的完整規模遷移之前,強烈建議使用一小部分資料執行試行遷移。這可讓您:
驗證匯入的日誌是否正確顯示在 CloudWatch 中。
確認您的查詢和儀表板如預期般運作。
驗證 IAM 許可和角色是否已正確設定。
一旦您對結果感到滿意,您可以放心地繼續遷移完整的歷史資料集。
驗證結構描述:確保日誌格式如預期顯示在 CloudWatch Logs 中。
成本管理:透過觀察 24 小時樣本的量來估計擷取成本。
查詢驗證:針對範例資料測試 CloudWatch Logs Insights 查詢,以確保您的監控邏輯保持不變。
成功遷移歷史資料集後,您可以從 CloudWatch 啟用 CloudTrail 日誌的即時擷取,以確保您繼續擷取日誌。 CloudWatch
注意
2023 年之前的資料將不會從 CloudTrail Lake 遷移至 Amazon CloudWatch。如果您需要存取早於 2023 年的事件,您必須繼續直接在 CloudTrail Lake 中查詢它們,或將其移至 Amazon S3 儲存貯體。
先決條件
IAM 許可:確保您的 IAM 身分具有存取 CloudTrail Lake (
cloudtrail:GetEventDataStore、cloudtrail:ListEventDataStore) 和 CloudWatch Logs (logs:CreateImportTask) 以及 IAM 許可 (iam:ListRoles、iam:CreateRole、) 的許可iam:PassRole。服務連結角色:CloudTrail 需要 IAM 角色才能代表您執行匯出。您可以在 主控台的設定程序期間建立此項目。
方法 1:使用 CloudTrail 主控台 (建議)
這是從現有 Lake Event Data Store 推送資料最直接的方式。
開啟 CloudTrail 主控台。
在左側導覽窗格的 Lake 下,選擇事件資料存放區。
選取事件資料存放區,其中包含您要遷移的資料。
選擇右上角的動作按鈕,然後選取匯出至 CloudWatch。
-
設定匯出設定:
時間範圍:(建議試行) 不選取整個歷史記錄,而是選擇縮小的時段 (例如過去 24 小時) 來驗證整合。驗證後,請針對剩餘的歷史資料重複此程序。
目的地:指定現有的 CloudWatch Log Group 或建立新的 CloudWatch Log Group。
IAM 角色:選擇現有的 IAM 角色,或選取建立新的 IAM 角色,以允許 CloudTrail 將日誌交付至 CloudWatch。
檢閱組態,然後選擇匯出。
方法 2:使用 AWS CLI (create-import-task)
此方法可讓您以程式設計方式觸發歷史事件資料的擷取。
步驟 1:識別來源 ARN
您需要 CloudTrail Lake 事件資料存放區的 Amazon Resource Name (ARN)。您可以在 CloudTrail 主控台或執行 找到此項目aws cloudtrail list-event-data-stores。
步驟 2:建立匯入任務
使用 logs服務來建立任務。您必須指定事件資料存放區的來源 ARN。
aws logs create-import-task \ --import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \ --import-role-arn "arn:aws:iam::account-id:role/role-name" \ --import-filter '{"startEventTime":START_TIME, "endEventTime":END_TIME}'
參數:
--import-source-arn:包含歷史日誌的 CloudTrail Lake 事件資料存放區的 ARN。--import-role-arn:IAM 角色的 ARN 具有正確的許可。--import-filter:選用物件,指定您要匯入之事件的開始和結束時間。
步驟 3:監控任務狀態
由於匯入是非同步的,您可以使用 describe-import-tasks命令來檢查遷移的進度:
aws logs describe-import-tasks \ --import-id "import-id"
其他資源
