AWS CloudTrail Lake 宣布推出增强型事件筛选功能

发布于: 2024年11月11日

AWS 增强了托管数据湖 AWS CloudTrail Lake 中的事件筛选功能,该功能可帮助您捕获、永久存储、访问和分析您的活动日志以及 AWS Config 配置项目。增强型事件筛选功能基于现有筛选功能实现了扩展,使您能够更有效地控制将哪些 CloudTrail 事件提取到您的事件数据存储中。此增强功能提高了安全性、合规性和运营调查的效率和精确度,同时有助于降低成本。

现在,您可以通过以下新属性筛选管理和数据事件:

  • eventSource:向其发出请求的服务
  • eventType:生成事件记录的事件类型(例如 AwsApiCall, AwsServiceEvent 等)
  • userIdentity.arn:发出请求的 IAM 实体
  • sessionCredentialFromConsole:事件是否源自 AWS 管理控制台会话

对于管理事件,您还可以通过用于识别所请求的 API 操作的 eventName 进行筛选。

对于每个属性,您都可以指定要包含或排除的值。例如,您现在可以根据 userIdentity.arn 属性筛选 CloudTrail 事件,以排除由特定 IAM 角色或用户生成的事件。您可以排除为监控目的频繁执行 API 调用的服务所使用的专用 IAM 角色。这样,您就可以显著减少提取到 CloudTrail Lake 的 CloudTrail 事件的数量,从而降低成本,同时保持对相关用户和系统活动的可见性。

增强型事件筛选功能可在支持 AWS CloudTrail Lake 的所有 AWS 区域使用,无需额外付费。要了解更多信息,请访问 AWS CloudTrail 文档