Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher - AWS CloudTrail
Überlegungen zum Kopieren von Trail-EreignissenErforderliche Berechtigungen zum Kopieren von Trail-EreignissenKopieren von Trail-Ereignissen in einen vorhandenen Ereignisdatenspeicher

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher

Sie können Trail-Ereignisse in einen CloudTrail Lake-Ereignisdatenspeicher kopieren, um eine point-in-time Momentaufnahme der im Trail protokollierten Ereignisse zu erstellen. Das Kopieren der Ereignisse eines Trails beeinträchtigt nicht die Fähigkeit des Trails, Ereignisse zu protokollieren, und ändert den Trail in keiner Weise.

Sie können Trail-Ereignisse in einen vorhandenen, für CloudTrail Ereignisse konfigurierten Ereignisdatenspeicher kopieren, oder Sie können einen neuen CloudTrail Ereignisdatenspeicher erstellen und bei der Erstellung des Ereignisdatenspeichers die Option Trail-Ereignisse kopieren auswählen. Weitere Informationen zum Kopieren von Trail-Ereignissen in einen bestehenden Ereignisdatenspeicher finden Sie unter Kopieren von Trail-Ereignissen in einen vorhandenen Ereignisdatenspeicher. Weitere Informationen zum Erstellen eines neuen Ereignisdatenspeichers finden Sie unter Erstellen Sie einen Ereignisdatenspeicher für CloudTrail Ereignisse.

Wenn Sie Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Trail-Ereignisse lassen sich nicht mit dem Konto eines delegierten Administrators einer Organisation kopieren.

CloudTrail Für Datenspeicher von Lake Events fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter AWS CloudTrail Preise undVerwaltung der CloudTrail Seekosten.

Wenn Sie Trail-Ereignisse in einen CloudTrail Lake-Ereignisdatenspeicher kopieren, fallen Gebühren an, die auf der Menge der unkomprimierten Daten basieren, die der Ereignisdatenspeicher aufnimmt.

Wenn Sie Trail-Ereignisse nach CloudTrail Lake kopieren, werden die im komprimierten CloudTrail GZIP-Format gespeicherten Protokolle entpackt und anschließend die in den Protokollen enthaltenen Ereignisse in Ihren Ereignisdatenspeicher kopiert. Die Größe der unkomprimierten Daten könnte größer sein als die tatsächliche S3-Speichergröße. Um eine allgemeine Schätzung der Größe der unkomprimierten Daten zu erhalten, können Sie die Größe der Protokolle im S3-Bucket mit 10 multiplizieren.

Sie können die Kosten senken, indem Sie einen engeren Zeitraum für die kopierten Ereignisse angeben. Wenn Sie planen, den Ereignisdatenspeicher nur zum Abfragen Ihrer kopierten Ereignisse zu verwenden, können Sie die Ereignisaufnahme deaktivieren, um zu vermeiden, dass für zukünftige Ereignisse Gebühren anfallen. Weitere Informationen finden Sie unter AWS CloudTrail -Preise und Verwaltung der CloudTrail Seekosten.

Szenarien

In der folgenden Tabelle werden einige gängige Szenarien für das Kopieren von Trail-Ereignissen beschrieben. Außerdem wird beschrieben, wie Sie die einzelnen Szenarien mithilfe der Konsole ausführen.

Szenario Wie erreiche ich das in der Konsole?

Analysieren und fragen Sie historische Trail-Ereignisse in CloudTrail Lake ab, ohne neue Ereignisse aufzunehmen

Erstellen Sie einen neuen Ereignisdatenspeicher und wählen Sie im Rahmen der Erstellung des Ereignisdatenspeichers die Option Trail-Ereignisse kopieren aus. Deaktivieren Sie beim Erstellen des Ereignisdatenspeichers die Option Ereignisse aufnehmen (Schritt 15 des Verfahrens), um sicherzustellen, dass der Ereignisdatenspeicher nur die Verlaufsereignisse für Ihren Trail und keine zukünftigen Ereignisse enthält.

Ersetzen Sie Ihren vorhandenen Trail durch einen CloudTrail Lake Event Data Store

Erstellen Sie einen Ereignisdatenspeicher mit den gleichen Ereignisselektoren wie bei Ihrem Trail, um sicherzustellen, dass der Ereignisdatenspeicher die gleiche Ereignisabdeckung hat wie Ihr Trail.

Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum für die kopierten Ereignisse aus, der vor der Erstellung des Ereignisdatenspeichers liegt.

Nachdem Ihr Ereignisdatenspeicher erstellt wurde, können Sie die Protokollierung für den Trail deaktivieren, um zusätzliche Gebühren zu vermeiden.
Themen

Überlegungen zum Kopieren von Trail-Ereignissen

Berücksichtigen Sie beim Kopieren von Trail-Ereignissen die folgenden Faktoren.

  • CloudTrail Verwendet beim Kopieren von Trail-Ereignissen den GetObjectS3-API-Vorgang, um die Trail-Ereignisse im S3-Quell-Bucket abzurufen. Es gibt einige archivierte Speicherklassen von S3, wie S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts und S3 Intelligent-Tiering Deep Archive, auf die mithilfe von GetObject nicht zugegriffen werden kann. Um in diesen archivierten Speicherklassen gespeicherte Trail-Ereignisse zu kopieren, müssen Sie zunächst eine Kopie mithilfe des S3-Vorgangs RestoreObject wiederherstellen. Informationen zum Wiederherstellen archivierter Objekte finden Sie unter Wiederherstellen archivierter Objekte im Benutzerhandbuch von Amazon S3.

  • Wenn Sie Trail-Ereignisse in einen Event-Datenspeicher CloudTrail kopieren, werden alle Trail-Ereignisse unabhängig von der Konfiguration der Ereignistypen des Ziel-Event-Datenspeichers, den erweiterten Event-Selektoren oder AWS-Region kopiert.

  • Bevor Sie Trail-Ereignisse in einen vorhandenen Ereignisdatenspeicher kopieren, stellen Sie sicher, dass die Preisoption und der Aufbewahrungszeitraum des Ereignisdatenspeichers für Ihren Anwendungsfall entsprechend konfiguriert sind.

    • Preisoption: Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen. Weitere Informationen zu Preisoptionen und Details finden Sie unter AWS CloudTrail -Preise und Preisoptionen für den Ereignisdatenspeicher.

    • Aufbewahrungszeitraum: Der Aufbewahrungszeitraum bestimmt, wie lange Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden. CloudTrail kopiert nur Ereignisse, die eventTime innerhalb der Aufbewahrungsfrist des Veranstaltungsdatenspeichers liegen. Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher speichern möchten (Aufbewahrungszeitraum = oldest-event-in-days+ number-days-to-retain). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher aufbewahren möchten, würden Sie die Aufbewahrungsdauer auf 90 Tage festlegen.

  • Wenn Sie Trail-Ereignisse zur Untersuchung in einen Ereignisdatenspeicher kopieren und keine zukünftigen Ereignisse aufnehmen möchten, können Sie die Aufnahme in den Ereignisdatenspeicher beenden. Deaktivieren Sie beim Erstellen des Ereignisdatenspeichers die Option Ereignisse aufnehmen (Schritt 15 des Verfahrens), um sicherzustellen, dass der Ereignisdatenspeicher nur die Verlaufsereignisse für Ihren Trail und keine zukünftigen Ereignisse enthält.

  • Deaktivieren Sie vor dem Kopieren von Trailer-Eignissen alle Zugriffssteuerungslisten (ACL), die an den S3-Quell-Bucket angehängt sind, und aktualisieren Sie die S3-Bucket-Richtlinie für den Zielereignisdatenspeicher. Weitere Informationen zum Aktualisieren der S3-Bucket-Richtlinie finden Sie unter Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen. Weitere Informationen zum Deaktivieren von ACLs finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket im Benutzerhandbuch von Amazon S3.

  • CloudTrail kopiert nur Trail-Ereignisse aus Gzip-komprimierten Protokolldateien, die sich im S3-Quell-Bucket befinden. CloudTrail kopiert keine Trail-Ereignisse aus unkomprimierten Protokolldateien oder Protokolldateien, die in einem anderen Format als Gzip komprimiert wurden.

  • Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum für die kopierten Ereignisse aus, der vor der Erstellung des Ereignisdatenspeichers liegt.

  • Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im CloudTrail Präfix des S3-Buckets und die Präfixe innerhalb des CloudTrail Präfixes enthalten sind, und überprüft keine Präfixe für andere Dienste. AWS Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, müssen Sie das Präfix beim Kopieren von Trail-Ereignissen auswählen.

  • Um Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation zu kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Über das Konto eines delegierten Administrators können Trail-Ereignisse nicht in den Ereignisdatenspeicher einer Organisation kopiert werden.

Erforderliche Berechtigungen zum Kopieren von Trail-Ereignissen

Stellen Sie vor dem Kopieren von Trail-Ereignissen sicher, dass Sie über alle erforderlichen Berechtigungen für Ihre IAM-Rolle verfügen. Sie müssen die IAM-Rollenberechtigungen nur aktualisieren, wenn Sie eine vorhandene IAM-Rolle zum Kopieren von Trail-Ereignissen auswählen. Wenn Sie sich dafür entscheiden, eine neue IAM-Rolle zu erstellen, CloudTrail stellt alle erforderlichen Berechtigungen für die Rolle bereit.

Wenn der S3-Quell-Bucket einen KMS-Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie das Entschlüsseln von Daten im Bucket zulässt CloudTrail . Wenn der S3-Quell-Bucket mehrere KMS-Schlüssel verwendet, müssen Sie die Richtlinien der einzelnen Schlüssel aktualisieren, um die Entschlüsselung der Daten im Bucket CloudTrail zu ermöglichen.

IAM-Berechtigungen zum Kopieren von Trail-Ereignissen

Beim Kopieren von Trail-Ereignissen haben Sie die Möglichkeit, eine neue IAM-Rolle zu erstellen oder eine vorhandene IAM-Rolle zu verwenden. Wenn Sie eine neue IAM-Rolle auswählen, CloudTrail wird eine IAM-Rolle mit den erforderlichen Berechtigungen erstellt, sodass keine weiteren Maßnahmen Ihrerseits erforderlich sind.

Wenn Sie sich für eine bestehende Rolle entscheiden, stellen Sie sicher, dass die Richtlinien der IAM-Rolle das Kopieren von Trail-Ereignissen aus dem S3-Quell-Bucket zulassen CloudTrail . Dieser Abschnitt enthält Beispiele für die erforderlichen IAM-Rollenberechtigungen und Vertrauensrichtlinien.

Das folgende Beispiel enthält die Berechtigungsrichtlinie, die es ermöglicht, Trail-Ereignisse aus dem S3-Quell-Bucket CloudTrail zu kopieren. Ersetzen Sie myBucketNameMyAccountID, Region, Präfix und eventDataStoreId durch die entsprechenden Werte für Ihre Konfiguration. Die MyAccountID ist die für CloudTrail Lake verwendete AWS Konto-ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.

Ersetzen Sie key-region, keyAccountID und keyID durch die Werte für den KMS-Schlüssel, der zur Verschlüsselung des S3-Quell-Buckets verwendet wird. Sie können die AWSCloudTrailImportKeyAccess-Anweisung weglassen, wenn der S3-Quell-Bucket keinen KMS-Schlüssel für die Verschlüsselung verwendet.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::myBucketName"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::myBucketName/prefix",
        "arn:aws:s3:::myBucketName/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

Das folgende Beispiel enthält die IAM-Vertrauensrichtlinie, die es ermöglicht, eine IAM-Rolle anzunehmen, CloudTrail um Trail-Ereignisse aus dem S3-Quell-Bucket zu kopieren. Ersetzen Sie MyAccountID, Region und eventDataStoreArn durch die entsprechenden Werte für Ihre Konfiguration. Die MyAccountID ist die für CloudTrail Lake verwendete AWS-Konto ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen

Standardmäßig werden Amazon-S3-Buckets und -Objekte als privat eingestuft. Nur der Ressourcenbesitzer (das AWS -Konto, das den Bucket erstellt hat) kann auf den Bucket und die darin enthaltenen Objekte zugreifen. Der Ressourcenbesitzer kann anderen Ressourcen und Benutzern Zugriffsberechtigungen gewähren, indem er eine Zugriffsrichtlinie schreibt.

Bevor Sie Trail-Ereignisse kopieren, müssen Sie die S3-Bucket-Richtlinie aktualisieren, damit CloudTrail Trail-Ereignisse aus dem S3-Quell-Bucket kopiert werden können.

Sie können der S3-Bucket-Richtlinie die folgende Anweisung hinzufügen, um diese Berechtigungen zu gewähren. Ersetzen roleArn und myBucketNamedurch die entsprechenden Werte für Ihre Konfiguration.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::myBucketName",
    "arn:aws:s3:::myBucketName/*"
  ]
},

KMS-Schlüsselrichtlinie zum Entschlüsseln von Daten im S3-Quell-Bucket

Wenn der Quell-S3-Bucket einen KMS-Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie über die kms:Decrypt erforderlichen kms:GenerateDataKey Berechtigungen verfügt CloudTrail , um Trail-Ereignisse aus einem S3-Bucket mit aktivierter SSE-KMS-Verschlüsselung zu kopieren. Wenn Ihr S3-Quell-Bucket mehrere KMS-Schlüssel verwendet, müssen Sie die Richtlinien jedes Schlüssels aktualisieren. Durch die Aktualisierung der KMS-Schlüsselrichtlinie können CloudTrail Daten im S3-Quell-Bucket entschlüsselt, Validierungsprüfungen durchgeführt werden, um sicherzustellen, dass Ereignisse den CloudTrail Standards entsprechen, und Ereignisse in den CloudTrail Lake-Ereignisdatenspeicher kopiert werden.

Das folgende Beispiel enthält die KMS-Schlüsselrichtlinie, mit der die Daten im CloudTrail S3-Quell-Bucket entschlüsselt werden können. Ersetzen Sie RoleARN myBucketName, MyAccountID, Region und eventDataStore Id durch die entsprechenden Werte für Ihre Konfiguration. Die myAccountID ist die für CloudTrail Lake verwendete AWS Konto-ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::myBucketName/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}

Kopieren von Trail-Ereignissen in einen vorhandenen Ereignisdatenspeicher

Gehen Sie wie folgt vor, um Trail-Ereignisse in einen bestehenden Ereignisdatenspeicher zu kopieren. Weitere Informationen zum Erstellen eines neuen Ereignisdatenspeichers finden Sie unter Erstellen Sie einen Ereignisdatenspeicher für CloudTrail Ereignisse.

Anmerkung

Bevor Sie Trail-Ereignisse in einen vorhandenen Ereignisdatenspeicher kopieren, stellen Sie sicher, dass die Preisoption und der Aufbewahrungszeitraum des Ereignisdatenspeichers für Ihren Anwendungsfall entsprechend konfiguriert sind.

  • Preisoption: Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen. Weitere Informationen zu Preisoptionen und Details finden Sie unter AWS CloudTrail -Preise und Preisoptionen für den Ereignisdatenspeicher.

  • Aufbewahrungszeitraum: Die Aufbewahrungsfrist bestimmt, wie lange Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden. CloudTrail kopiert nur Ereignisse, die eventTime innerhalb der Aufbewahrungsfrist des Veranstaltungsdatenspeichers liegen. Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher speichern möchten (Aufbewahrungszeitraum = oldest-event-in-days+ number-days-to-retain). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher aufbewahren möchten, würden Sie die Aufbewahrungsdauer auf 90 Tage festlegen.

So kopieren Sie Trail-Ereignisse in einen Ereignisdatenspeicher

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im Navigationsbereich unter Lake Ereignisdatenspeicher aus.

  3. Wählen Sie Copy trail events (Kopieren von Trail-Ereignissen).

  4. Wählen Sie auf der Seite Copy trail events (Trail-Ereignisse kopieren) für Event source (Ereignisquelle) den Pfad aus, den Sie kopieren möchten. Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im CloudTrail Präfix des S3-Buckets und die Präfixe innerhalb des CloudTrail Präfixes enthalten sind, und überprüft keine Präfixe für andere AWS Dienste. Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, wählen Sie S3-URI eingeben und dann S3 durchsuchen, um zum Präfix zu wechseln. Wenn der S3-Quell-Bucket für den Trail einen KMS-Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie das Entschlüsseln der Daten zulässt CloudTrail . Wenn Ihr S3-Quell-Bucket mehrere KMS-Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren, damit CloudTrail die Daten im Bucket entschlüsselt werden können. Weitere Informationen zum Aktualisieren der KMS-Schlüssel-Richtlinie finden Sie unter KMS-Schlüsselrichtlinie zum Entschlüsseln von Daten im S3-Quell-Bucket.

    Die S3-Bucket-Richtlinie muss CloudTrail Zugriff gewähren, um Trail-Ereignisse aus Ihrem S3-Bucket zu kopieren. Weitere Informationen zum Aktualisieren der S3-Bucket-Richtlinie finden Sie unter Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen.

  5. Wählen Sie unter Geben Sie einen Zeitraum für Ereignisse an den Zeitraum aus, in dem die Ereignisse kopiert werden sollen. CloudTrail überprüft das Präfix und den Namen der Protokolldatei, um sicherzustellen, dass der Name ein Datum zwischen dem ausgewählten Start- und Enddatum enthält, bevor versucht wird, Trail-Ereignisse zu kopieren. Sie können einen Relative range (Relativen Bereich) oder einen Absolute range (Absoluten Bereich) wählen. Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum aus, der vor der Erstellung des Ereignisdatenspeichers liegt.

    Anmerkung

    CloudTrail kopiert nur Trail-Ereignisse, die eventTime innerhalb der Aufbewahrungsfrist des Event-Datenspeichers liegen. Wenn die Aufbewahrungsfrist eines Event-Datenspeichers beispielsweise 90 Tage beträgt, CloudTrail werden keine Trail-Ereignisse kopiert, die eventTime älter als 90 Tage sind.

    • Wenn Sie Relativer Bereich wählen, können Sie wählen, ob Ereignisse kopiert werden sollen, die in den letzten 6 Monaten, 1 Jahr, 2 Jahren, 7 Jahren oder in einem benutzerdefinierten Bereich protokolliert wurden. CloudTrail kopiert die Ereignisse, die innerhalb des ausgewählten Zeitraums protokolliert wurden.

    • Wenn Sie „Absoluter Bereich“ wählen, können Sie ein bestimmtes Start- und Enddatum wählen. CloudTrail kopiert die Ereignisse, die zwischen dem ausgewählten Start- und Enddatum aufgetreten sind.

  6. Wählen Sie für Delivery location (Zustellungsort) den Zielereignisdatenspeicher aus der Dropdown-Liste aus.

  7. Wählen Sie für Permissions (Berechtigungen) unter den folgenden IAM-Rollenoptionen aus. Wenn Sie eine vorhandene IAM-Rolle auswählen, stellen Sie sicher, dass die IAM-Rollenrichtlinie die erforderlichen Berechtigungen bereitstellt. Weitere Informationen zum Aktualisieren der IAM-Rollenberechtigungen finden Sie unter IAM-Berechtigungen zum Kopieren von Trail-Ereignissen.

    • Wählen Sie Create a new role (recommended) (Erstellen Sie eine neue Rolle (empfohlen)), um eine neue IAM-Rolle zu erstellen. Geben Sie für Enter IAM role name (IAM-Rollennamen eingeben) einen Namen für die Rolle ein. CloudTrail erstellt automatisch die erforderlichen Berechtigungen für diese neue Rolle.

    • Wählen Sie Eine benutzerdefinierte IAM-Rolle verwenden ARN aus, um eine benutzerdefinierte IAM-Rolle zu verwenden, die nicht aufgeführt ist. Geben Sie für Enter IAM role ARN (IAM-Rollen-ARN eingeben) den IAM-ARN ein.

    • Wählen Sie eine vorhandene IAM-Rolle aus der Dropdownliste aus.

  8. Wählen Sie Copy events (Kopieren von Ereignissen).

  9. Sie werden zur Bestätigung aufgefordert. Sobald Sie bereit sind zu bestätigen, wählen Sie Copy trail events to Lake (Trail-Ereignisse nach Lake kopieren) aus und dann wählen Sie Copy events (Ereignisse kopieren).

  10. Auf der Seite Copy details (Kopieren von Details) können Sie den Kopierstatus anzeigen und eventuelle Fehler überprüfen. Wenn eine Trail-Ereignis-Kopie abgeschlossen ist, wird der Copy status (Kopierstatus) entweder auf Completed (Abgeschlossen) festgelegt, wenn keine Fehler aufgetreten sind, oder auf Failed (Fehlgeschlagen), wenn Fehler aufgetreten sind.

    Anmerkung

    Details, die auf der Detailseite der Ereigniskopie angezeigt werden, sind nicht in Echtzeit. Die tatsächlichen Werte für Details wie Kopierte Präfixe können höher sein als die, die auf der Seite angezeigt werden. CloudTrail aktualisiert die Details im Verlauf der Ereigniskopie schrittweise.

  11. Wenn der Copy status (Kopierstatus) Failed (Fehlgeschlagen) lautet, beheben Sie alle Fehler, die unter Copy failures (Kopierfehler) angezeigt werden, und wählen Sie dann Retry copy (Kopie wiederholen) aus. Wenn Sie erneut versuchen, eine Kopie zu erstellen, CloudTrail wird der Kopiervorgang an der Stelle fortgesetzt, an der der Fehler aufgetreten ist.

Weitere Informationen zum Anzeigen der Details eines Trail-Ereignisses finden Sie unter Details zur Ereigniskopie.