AWS CloudTrail Lake 正式宣布增強型事件篩選功能

張貼日期: 2024年11月11日

AWS 加強了 AWS CloudTrail Lake 中的事件篩選功能，AWS CloudTrail Lake 是一種受管資料湖，可協助您擷取、不變地儲存、存取和分析活動日誌和 AWS Config 組態項目。增強的事件篩選可擴展現有的篩選功能，讓您更有效地控制擷取至事件資料存放區的 CloudTrail 事件。這項增強功能可提高安全性、合規性和營運調查的效率和精確度，同時還有助於降低成本。

您現在可以依照下列新屬性來篩選管理事件和資料事件：

• eventSource：提出請求的服務
• eventType：產生事件記錄的事件類型 (例如 AwsApiCall、AwsServiceEvent 等)
• userIdentity.arn：提出請求的 IAM 實體
• sessionCredentialFromConsole：事件是否源自於 AWS 管理主控台工作階段

對於管理事件，您還能夠依照可識別所請求之 API 動作的 eventName 進行篩選。

對於這些屬性，您可以指定要包含或排除的值。例如，您現在可以根據 userIdentity.arn 屬性篩選 CloudTrail 事件，進而排除特定 IAM 角色或使用者所產生的事件。您可以排除出於監控目的頻繁執行 API 呼叫之服務所使用的專用 IAM 角色。這可讓您大幅減少系統擷取進 CloudTrail Lake 的 CloudTrail 事件數量、降低成本，同時保持對相關使用者和系統活動的可見性。

所有支援 AWS CloudTrail Lake 的 AWS 區域，皆可免費使用增強的事件篩選功能。若要進一步了解，請瀏覽 AWS CloudTrail 文件。