Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen, aktualisieren und verwalten Sie Ereignisdatenspeicher mit dem AWS CLI
Sie können den verwenden, AWS CLI um Ihre Event-Datenspeicher zu erstellen, zu aktualisieren und zu verwalten. Denken Sie bei der Verwendung von daran AWS CLI, dass Ihre Befehle in der für Ihr Profil AWS-Region konfigurierten Version ausgeführt werden. Wenn Sie die Befehle in einer anderen Region ausführen möchten, ändern Sie entweder die Standardregion für Ihr Profil, oder verwenden Sie den --region-Parameter mit dem Befehl.
Verfügbare Befehle für Ereignisdatenspeicher
Zu den Befehlen zum Erstellen und Aktualisieren von Ereignisdatenspeichern in CloudTrail Lake gehören:
-
create-event-data-storeum einen Ereignisdatenspeicher zu erstellen. -
get-event-data-storeum Informationen über den Ereignisdatenspeicher zurückzugeben, einschließlich der erweiterten Ereignisselektoren, die für den Ereignisdatenspeicher konfiguriert sind. -
update-event-data-storeum die Konfiguration eines vorhandenen Ereignisdatenspeichers zu ändern. -
list-event-data-storesum die Ereignisdatenspeicher aufzulisten. -
delete-event-data-storeum einen Ereignisdatenspeicher zu löschen. -
restore-event-data-storeum einen Ereignisdatenspeicher wiederherzustellen, dessen Löschung noch aussteht. -
start-importum einen Import von Trail-Ereignissen in einen Ereignisdatenspeicher zu starten oder einen fehlgeschlagenen Import erneut zu versuchen. -
get-importum Informationen über einen bestimmten Import zurückzugeben. -
stop-importum den Import von Trail-Ereignissen in einen Event-Datenspeicher zu stoppen. -
list-importsum Informationen zu allen Importen oder einer ausgewählten Gruppe von Importen vonImportStatusoder zurückzugebenDestination. -
list-import-failuresum Importfehler für den angegebenen Import aufzulisten. -
stop-event-data-store-ingestionum die Aufnahme von Ereignissen in einen Ereignisdatenspeicher zu stoppen. -
start-event-data-store-ingestionum die Ereignisaufnahme in einem Ereignisdatenspeicher neu zu starten. -
enable-federationum den Verbund für einen Ereignisdatenspeicher zu aktivieren, um den Ereignisdatenspeicher in Amazon Athena abzufragen. -
disable-federationum den Verbund in einem Ereignisdatenspeicher zu deaktivieren. Nachdem Sie den Verbund deaktiviert haben, können Sie die Daten des Event-Datenspeichers in Amazon Athena nicht mehr abfragen. Sie können weiterhin Abfragen in CloudTrail Lake durchführen. -
put-insight-selectorsum Insights-Ereignisselektoren für einen vorhandenen Ereignisdatenspeicher hinzuzufügen oder zu ändern und Insights-Ereignisse zu aktivieren oder zu deaktivieren. -
get-insight-selectorsum Informationen über Insights-Ereignisselektoren zurückzugeben, die für einen Ereignisdatenspeicher konfiguriert sind. -
add-tagsum einem vorhandenen Ereignisdatenspeicher ein oder mehrere Tags (Schlüssel-Wert-Paare) hinzuzufügen. -
remove-tagsum ein oder mehrere Tags aus einem Ereignisdatenspeicher zu entfernen. -
list-tagsum eine Liste von Tags zurückzugeben, die einem Ereignisdatenspeicher zugeordnet sind.
Eine Liste der verfügbaren Befehle für CloudTrail Lake-Abfragen finden Sie unterVerfügbare Befehle für CloudTrail Lake-Abfragen.
Eine Liste der verfügbaren Befehle für CloudTrail Lake-Integrationen finden Sie unterVerfügbare Befehle für CloudTrail Lake-Integrationen.
Erstellen Sie einen Ereignisdatenspeicher mit dem AWS CLI
Verwenden Sie den Befehl create-event-data-store
Beim Erstellen eines Ereignisdatenspeichers ist der einzige erforderliche Parameter der --name, der zur Identifizierung des Ereignisdatenspeichers verwendet wird. Sie können zusätzliche optionale Parameter konfigurieren, darunter:
-
--advanced-event-selectors– Gibt die Kategorie der Ereignisse an, die im Ereignisdatenspeicher aufgenommen werden sollen. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse. Weitere Informationen zu erweiterten Event-Selektoren finden Sie AdvancedEventSelectorin der CloudTrail API-Referenz. -
--kms-key-idalias/, ein vollständig spezifizierter ARN für einen Alias, ein vollständig spezifizierter ARN für einen Schlüssel oder ein global eindeutiger Bezeichner sein. -
--multi-region-enabled- Erstellt einen regionsübergreifenden Ereignisdatenspeicher, der Ereignisse für alle Ereignisse AWS-Regionen in Ihrem Konto protokolliert. Standardmäßig ist--multi-region-enabledfestgelegt, auch wenn der Parameter nicht hinzugefügt wurde. -
--organization-enabled– Ermöglicht es einem Ereignisdatenspeicher, Ereignisse für alle Konten in einer Organisation zu erfassen. Der Ereignisdatenspeicher ist standardmäßig nicht für alle Konten in einer Organisation aktiviert. -
--billing-mode– Bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher.Die folgenden Werte sind möglich:
-
EXTENDABLE_RETENTION_PRICING– Dieser Abrechnungsmodus wird generell empfohlen, wenn Sie weniger als 25 TB an Ereignisdaten pro Monat erfassen und einen flexiblen Aufbewahrungszeitraum von bis zu 3 653 Tagen (etwa 10 Jahre) wünschen. Der Standardaufbewahrungszeitraum für diesen Abrechnungsmodus beträgt 366 Tage. -
FIXED_RETENTION_PRICING– Dieser Abrechnungsmodus wird empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 2 557 Tagen (ca. 7 Jahren) wünschen. Der Standardaufbewahrungszeitraum für diesen Abrechnungsmodus beträgt 2 557 Tage.
Der Standardwert ist
EXTENDABLE_RETENTION_PRICING. -
-
--retention-period– Die Anzahl der Tage, wie lange Ereignisse im Ereignisdatenspeicher aufbewahrt werden sollen. Gültige Werte sind Ganzzahlen zwischen 7 und 3 653, wenn der--billing-modeEXTENDABLE_RETENTION_PRICINGist, oder zwischen 7 und 2 557, wenn der--billing-modeaufFIXED_RETENTION_PRICINGgesetzt ist. Wenn Sie dies nicht angeben--retention-period, CloudTrail wird der Standardaufbewahrungszeitraum für verwendet.--billing-mode -
--start-ingestion– Der Parameter--start-ingestionstartet die Erfassung von Ereignissen im Ereignisdatenspeicher, wenn er erstellt wird. Dieser Parameter wird auch dann festgelegt, wenn der Parameter nicht hinzugefügt wurde.Geben Sie
--no-start-ingestionan, wenn der Ereignisdatenspeicher keine Live-Ereignisse erfassen soll. Sie können diesen Parameter beispielsweise festlegen, wenn Sie Ereignisse in den Ereignisdatenspeicher kopieren und die Ereignisdaten nur für die Analyse vergangener Ereignisse verwenden möchten. Der Parameter--no-start-ingestionist nur gültig, wenn dereventCategorydes WorkflowsManagement,DataoderConfigurationItemist.
Die folgenden Beispiele veranschaulichen, wie Sie verschiedene Typen von Ereignisdatenspeichern erstellen können.
Themen
- Erstellen Sie einen Ereignisdatenspeicher für S3-Datenereignisse mit dem AWS CLI
- Erstellen Sie einen Ereignisdatenspeicher für AWS Config Konfigurationselemente mit dem AWS CLI
- Erstellen Sie einen Datenspeicher für Organisationsereignisse für Verwaltungsereignisse mit dem AWS CLI
- Erstellen Sie Ereignisdatenspeicher für Insights-Ereignisse mit dem AWS CLI
Erstellen Sie einen Ereignisdatenspeicher für S3-Datenereignisse mit dem AWS CLI
Der folgende create-event-data-store Beispielbefehl AWS Command Line Interface (AWS CLI) erstellt einen Ereignisdatenspeicher mit dem Namenmy-event-data-store, der alle Amazon S3 S3-Datenereignisse auswählt und mit einem KMS-Schlüssel verschlüsselt wird.
aws cloudtrail create-event-data-store \ --name my-event-data-store \ --kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \ --advanced-event-selectors '[ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] } ] } ]'
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00", "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00" }
Erstellen Sie einen Ereignisdatenspeicher für AWS Config Konfigurationselemente mit dem AWS CLI
Der folgende AWS CLI create-event-data-store Beispielbefehl erstellt einen Ereignisdatenspeicher mit dem Namenconfig-items-eds, der AWS Config Konfigurationselemente auswählt. Um Konfigurationselemente zu erfassen, geben Sie an, dass das Feld eventCategory dem ConfigurationItem in den erweiterten Ereignisselektoren entspricht.
aws cloudtrail create-event-data-store \ --name config-items-eds \ --advanced-event-selectors '[ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["ConfigurationItem"] } ] } ]'
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "config-items-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "ConfigurationItem" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00", "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00" }
Erstellen Sie einen Datenspeicher für Organisationsereignisse für Verwaltungsereignisse mit dem AWS CLI
Der folgende AWS CLI create-event-data-store Beispielbefehl erstellt einen Datenspeicher für Organisationsereignisse, der alle Verwaltungsereignisse sammelt und den --billing-mode Parameter auf festlegtFIXED_RETENTION_PRICING.
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207", "Name": "org-management-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": true, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00", "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00" }
Erstellen Sie Ereignisdatenspeicher für Insights-Ereignisse mit dem AWS CLI
Um Insights-Ereignisse in CloudTrail Lake zu protokollieren, benötigen Sie einen Ziel-Ereignisdatenspeicher, der Insights-Ereignisse sammelt, und einen Quell-Ereignisdatenspeicher, der Insights aktiviert und Verwaltungsereignisse protokolliert.
Dieses Verfahren zeigt, wie Sie die Ziel- und Quellereignisdatenspeicher erstellen und anschließend Insights-Ereignisse aktivieren.
-
Führen Sie den Befehl aws cloudtrail create-event-data-store
aus, um einen Zielereignisdatenspeicher zu erstellen, der Insights-Ereignisse sammelt. Der Wert für eventCategorymussInsightsein.retention-period-daysErsetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten. Gültige Werte sind Ganzzahlen zwischen 7 und 3 653, wenn der--billing-modeEXTENDABLE_RETENTION_PRICINGist, oder zwischen 7 und 2 557, wenn der--billing-modeaufFIXED_RETENTION_PRICINGgesetzt ist. Wenn Sie keine Angabe machen--retention-period, CloudTrail verwendet die Standardaufbewahrungsdauer für--billing-mode.Wenn Sie mit dem Verwaltungskonto einer AWS Organizations Organisation angemeldet sind, geben Sie den
--organization-enabledParameter an, wenn Sie Ihrem delegierten Administrator Zugriff auf den Ereignisdatenspeicher gewähren möchten.aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'Nachfolgend finden Sie eine Beispielantwort.
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00" }Sie verwenden die
ARN(oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter--insights-destinationin Schritt 3. -
Um einen Quellereignisdatenspeicher zu erstellen, der Verwaltungsereignisse protokolliert, führen Sie den Befehl aws cloudtrail create-event-data-store
aus. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse. Sie müssen keine erweiterten Ereignisselektoren angeben, um alle Verwaltungsereignisse zu protokollieren. retention-period-daysErsetzen Sie ihn durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten. Gültige Werte sind Ganzzahlen zwischen 7 und 3 653, wenn der--billing-modeEXTENDABLE_RETENTION_PRICINGist, oder zwischen 7 und 2 557, wenn der--billing-modeaufFIXED_RETENTION_PRICINGgesetzt ist. Wenn Sie keine Angabe machen--retention-period, CloudTrail verwendet die Standardaufbewahrungsdauer für--billing-mode. Wenn Sie einen Datenspeicher für Organisationsereignisse erstellen, fügen Sie den Parameter--organization-enabledhinzu.aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-daysNachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00" }Sie verwenden die
ARN(oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter--event-data-storein Schritt 3. -
Führen Sie den Befehl put-insight-selectors
aus, um Insights-Ereignisse zu aktivieren. Insights-Selektorwerte können ApiCallRateInsightund/oderApiErrorRateInsightsein. Geben Sie für den Parameter--event-data-storeden ARN (oder das ID-Suffix der ARN) des Quellereignisdatenspeichers an, der Verwaltungsereignisse protokolliert und Insights aktiviert. Geben Sie für den Parameter--insights-destinationden ARN (oder das ID-Suffix des ARN) des Zielereignisdatenspeichers an, der Insights-Ereignisse protokolliert.aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'Das folgende Ergebnis zeigt den Insights-Ereignisselektor, der für den Ereignisdatenspeicher konfiguriert wurde.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }Nachdem Sie CloudTrail Insights zum ersten Mal in einem Ereignisdatenspeicher aktiviert haben, kann es bis zu 7 Tage dauern, CloudTrail bis das erste Insights-Ereignis übermittelt wird, wenn ungewöhnliche Aktivitäten festgestellt werden.
CloudTrail Insights analysiert Verwaltungsereignisse, die in einer einzelnen Region und nicht global auftreten. Ein CloudTrail Insights-Ereignis wird in derselben Region generiert, in der auch die zugehörigen Managementereignisse generiert werden.
CloudTrail Analysiert bei einem Datenspeicher für Organisationsereignisse Verwaltungsereignisse aus den Konten der einzelnen Mitglieder, anstatt die Aggregation aller Verwaltungsereignisse für die Organisation zu analysieren.
Für die Aufnahme von Insights-Veranstaltungen in Lake fallen zusätzliche Gebühren an CloudTrail . Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise
Importieren Sie Trail-Ereignisse in einen Event-Datenspeicher mit dem AWS CLI
In der AWS CLI können Sie Trail-Ereignisse in einen Ereignisdatenspeicher importieren. Das Verfahren in diesem Abschnitt zeigt, wie Sie einen Ereignisdatenspeicher erstellen und konfigurieren, indem Sie den Befehl create-event-data-store ausführen und dann die Ereignisse mithilfe des Befehls start-import in diesen Ereignisdatenspeicher importieren. Weitere Informationen zum Importieren von Trail-Ereignissen, einschließlich Informationen zu Überlegungen und erforderlichen Berechtigungen, finden Sie unter Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher.
Vorbereiten des Imports von Trail-Ereignissen
Treffen Sie die folgenden Vorbereitungen, bevor Sie Trail-Ereignisse importieren.
-
Stellen Sie sicher, dass Sie über eine Rolle mit den erforderlichen Berechtigungen zum Importieren von Trail-Ereignissen in einen Ereignisdatenspeicher verfügen.
-
Ermitteln Sie den --billing-mode-Wert, den Sie für den Ereignisdatenspeicher angeben möchten. Der
--billing-modebestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher.Wenn Sie Trail-Ereignisse nach CloudTrail Lake importieren, werden die im komprimierten CloudTrail GZIP-Format gespeicherten Protokolle entpackt. CloudTrail Kopiert dann die in den Protokollen enthaltenen Ereignisse in Ihren Ereignisdatenspeicher. Die Größe der unkomprimierten Daten könnte größer sein als die tatsächliche Amazon-S3-Speichergröße. Um eine allgemeine Schätzung der Größe der unkomprimierten Daten zu erhalten, multiplizieren Sie die Größe der Protokolle im S3-Bucket mit 10. Sie können diese Schätzung verwenden, um den
--billing-mode-Wert für Ihren Anwendungsfall auszuwählen. -
Ermitteln Sie den Wert, den Sie für den
--retention-periodangeben möchten. CloudTrail kopiert ein Ereignis nicht, wenneventTimees älter als die angegebene Aufbewahrungsfrist ist.Um die geeignete Aufbewahrungsdauer zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher aufbewahren möchten, wie in der folgenden Gleichung dargestellt:
Aufbewahrungszeitraum =
oldest-event-in-days+number-days-to-retainWenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher aufbewahren möchten, würden Sie die Aufbewahrungsdauer auf 90 Tage festlegen.
-
Entscheiden Sie, ob Sie den Ereignisdatenspeicher verwenden möchten, um zukünftige Ereignisse zu analysieren. Wenn Sie keine zukünftigen Ereignisse aufnehmen möchten, fügen Sie den Parameter
--no-start-ingestionbei der Erstellung des Ereignisdatenspeichers hinzu. Standardmäßig beginnen Ereignisdatenspeicher mit der Erfassung von Ereignissen, wenn sie erstellt werden.
Erstellen eines Ereignisdatenspeichers und Importieren von Trail-Ereignissen in diesen Ereignisdatenspeicher
-
Führen Sie den Befehl create-event-data-store aus, um den neuen Ereignisdatenspeicher zu erstellen. In diesem Beispiel ist
--retention-periodauf120gesetzt, weil das älteste kopierte Ereignis 90 Tage alt ist und wir die Ereignisse 30 Tage lang beibehalten möchten. Der Parameter--no-start-ingestionist gesetzt, weil wir keine zukünftigen Ereignisse erfassen möchten. In diesem Beispiel wurde--billing-modenicht gesetzt, da wir den StandardwertEXTENDABLE_RETENTION_PRICINGverwenden, weil wir davon ausgehen, dass weniger als 25 TB an Ereignisdaten erfasst werden.Anmerkung
Wenn Sie den Ereignisdatenspeicher erstellen, der Ihren Trail ersetzen soll, empfehlen wir, die
--advanced-event-selectorsso zu konfigurieren, dass sie den Ereignisselektoren Ihres Trails entsprechen, um sicherzustellen, dass Sie die gleiche Ereignisabdeckung haben. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse.aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestionNachfolgend finden Sie eine Beispielantwort:
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" }Der
Statusist zunächstCREATED, deshalb führen wir den Befahl get-event-data-store aus, um sicherzustellen, dass die Erfassung gestoppt ist.aws cloudtrail get-event-data-store --event-data-storeeds-idDie Antwort zeigt, dass der
StatusjetztSTOPPED_INGESTIONist, was darauf hindeutet, dass der Ereignisdatenspeicher keine Live-Ereignisse erfasst.{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "STOPPED_INGESTION", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" } -
Führen Sie den Befehl start-import aus, um die Trail-Ereignisse in den Ereignisdatenspeicher zu importieren, der in Schritt 1 erstellt wurde. Geben Sie den ARN (oder das ID-Suffix des ARN) des Ereignisdatenspeichers als Wert für den Parameter
--destinationsan. Für--start-event-timegeben Sie dieeventTimefür das älteste Ereignis an, das Sie kopieren möchten, und für--end-event-timegeben Sie dieeventTimedes neuesten Ereignisses an, das Sie kopieren möchten.--import-sourceGeben Sie den S3-URI für den S3-Bucket an, der Ihre Trail-Logs enthält, den AWS-Region für den S3-Bucket und den ARN der Rolle, die für den Import von Trail-Ereignissen verwendet wird.aws cloudtrail start-import \ --destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \ --start-event-time 2023-08-11T16:08:12.934000+00:00 \ --end-event-time 2023-11-09T17:08:20.705000+00:00 \ --import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}Nachfolgend finden Sie eine Beispielantwort.
{ "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1", "ImportSource": { "S3": { "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds", "S3BucketRegion":"us-east-1", "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/" } }, "ImportStatus": "INITIALIZING", "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00" } -
Führen Sie den Befehl get-import aus, um Informationen zum Import abzurufen.
aws cloudtrail get-import --import-idimport-idNachfolgend finden Sie eine Beispielantwort.
{ "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "ImportSource": { "S3": { "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/", "S3BucketRegion":"us-east-1", "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds" } }, "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportStatus": "COMPLETED", "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "ImportStatistics": { "PrefixesFound": 1548, "PrefixesCompleted": 1548, "FilesCompleted": 92845, "EventsCompleted": 577249, "FailedEntries": 0 } }Ein Import endet mit einem
ImportStatusCOMPLETED, wenn es keine Fehler gab, oderFAILED, wenn es Fehler gab.Wenn beim Import ein
FailedEntriesaufgetreten ist, können Sie den Befehl list-import-failures ausführen, um eine Liste der Fehler zurückzugeben.aws cloudtrail list-import-failures --import-idimport-idUm einen fehlgeschlagenen Import erneut zu versuchen, führen Sie den Befehl start-import nur mit dem Parameter
--import-idaus. Wenn Sie einen Import erneut versuchen, CloudTrail setzt er den Import an der Stelle fort, an der der Fehler aufgetreten ist.aws cloudtrail start-import --import-idimport-id
Rufen Sie einen Ereignisdatenspeicher mit dem AWS CLI
Der folgende AWS CLI get-event-data-store Beispielbefehl gibt Informationen über den durch den erforderlichen --event-data-store Parameter angegebenen Ereignisdatenspeicher zurück, der einen ARN oder das ID-Suffix des ARN akzeptiert.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Nachfolgend finden Sie eine Beispielantwort. Die Erstellung und die letzten aktualisierten Zeiten sind im timestamp-Format.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "s3-data-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log DeleteObject API calls for a specific S3 bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "eventName", "Equals": [ "DeleteObject" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3:::bucketName" ] }, { "Field": "readOnly", "Equals": [ "false" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00", "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00" }
Listet alle Ereignisdatenspeicher in einem Konto auf mit AWS CLI
Der folgende AWS CLI list-event-data-stores Beispielbefehl gibt Informationen über alle Ereignisdatenspeicher in einem Konto in der aktuellen Region zurück. Optionale Parameter umfassen --max-results, um eine maximale Anzahl von Ergebnissen anzugeben, die der Befehl auf einer einzelnen Seite zurückgeben soll. Wenn es mehr Ergebnisse als den von Ihnen angegebenen --max-results-Wert gibt, führen Sie den Befehl NextToken erneut aus und fügen den zurückgegebenen Wert hinzu, um die nächste Seite mit Ergebnissen zu erhalten.
aws cloudtrail list-event-data-stores
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStores": [ { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969", "Name": "management-events-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a", "Name": "config-items-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4", "Name": "s3-data-events" } ] }
Aktualisieren Sie einen Ereignisdatenspeicher mit dem AWS CLI
Die folgenden Beispiele veranschaulichen, wie Sie einen Ereignisdatenspeicher aktualisieren.
Themen
Aktualisieren Sie den Abrechnungsmodus mit dem AWS CLI
Der --billing-mode für den Ereignisdatenspeicher bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Wenn der --billing-mode eines Ereignisdatenspeichers auf FIXED_RETENTION_PRICING eingestellt ist, können Sie den Wert auf EXTENDABLE_RETENTION_PRICING ändern. EXTENDABLE_RETENTION_PRICING wird generell empfohlen, wenn Ihr Ereignisdatenspeicher weniger als 25 TB an Ereignisdaten pro Monat erfasst und Sie einen flexiblen Aufbewahrungszeitraum von bis zu 3653 Tagen wünschen. Informationen zu Preisen erhalten Sie unter AWS CloudTrail -Preise
Anmerkung
Sie können den Wert für --billing-mode von EXTENDABLE_RETENTION_PRICING nicht in FIXED_RETENTION_PRICING ändern. Wenn der Abrechnungsmodus des Ereignisdatenspeichers auf EXTENDABLE_RETENTION_PRICING eingestellt ist und Sie stattdessen FIXED_RETENTION_PRICING verwenden möchten, können Sie die Aufnahme im Ereignisdatenspeicher beenden und einen neuen Ereignisdatenspeicher erstellen, der FIXED_RETENTION_PRICING verwendet.
Der folgende AWS CLI update-event-data-store Beispielbefehl ändert den Wert --billing-mode für den Ereignisdatenspeicher von FIXED_RETENTION_PRICING aufEXTENDABLE_RETENTION_PRICING. Der erforderliche --event-data-store-Parameterwert ist ein ARN (oder das ID-Suffix des ARN) und ist erforderlich; andere Parameter sind optional.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --billing-mode EXTENDABLE_RETENTION_PRICING
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Aktualisieren Sie den Aufbewahrungsmodus, aktivieren Sie den Kündigungsschutz und geben Sie a AWS KMS key mit AWS CLI
Der folgende AWS CLI update-event-data-store Beispielbefehl aktualisiert einen Ereignisdatenspeicher, um dessen Aufbewahrungsdauer auf 100 Tage zu ändern und den Kündigungsschutz zu aktivieren. Der erforderliche --event-data-store-Parameterwert ist ein ARN (oder das ID-Suffix des ARN) und ist erforderlich; andere Parameter sind optional. In diesem Beispiel wird der Parameter --retention-period hinzugefügt, um den Aufbewahrungszeitraum auf 100 Tage zu ändern. Optional können Sie die AWS Key Management Service Verschlüsselung aktivieren und eine angeben, AWS KMS key indem Sie dem Befehl etwas --kms-key-id hinzufügen und einen KMS-Schlüssel-ARN als Wert angeben. --termination-protection-enabledwird hinzugefügt, um den Kündigungsschutz für einen Ereignisdatenspeicher zu aktivieren, für den der Terminierungsschutz nicht aktiviert war.
Ein Ereignisdatenspeicher, der Ereignisse von außen protokolliert, AWS kann nicht so aktualisiert werden, dass er AWS Ereignisse protokolliert. Ebenso kann ein Ereignisdatenspeicher, der AWS Ereignisse protokolliert, nicht so aktualisiert werden, dass er Ereignisse von außen protokolliert AWS.
Anmerkung
Wenn Sie die Aufbewahrungsdauer eines Ereignisdatenspeichers verringern, CloudTrail werden alle Ereignisse entfernt, deren Aufbewahrungszeitraum eventTime älter als der neue ist. Wenn der vorherige Aufbewahrungszeitraum beispielsweise 365 Tage betrug und Sie ihn auf 100 Tage reduzieren, CloudTrail werden Ereignisse entfernt, deren Aufbewahrungszeitraum eventTime älter als 100 Tage ist.
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --retention-period 100 \ --kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \ --termination-protection-enabled
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 100, "KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Deaktivieren Sie den Kündigungsschutz mit dem AWS CLI
Standardmäßig ist der Beendigungsschutz für einen Ereignisdatenspeicher aktiviert, um den Ereignisdatenspeicher vor versehentlicher Löschung zu schützen. Sie können einen Ereignisdatenspeicher nicht löschen, wenn der Beendigungsschutz aktiviert ist. Wenn Sie den Ereignisdatenspeicher löschen möchten, müssen Sie zuerst den Beendigungsschutz deaktivieren.
Der folgende AWS CLI update-event-data-store Beispielbefehl deaktiviert den Kündigungsschutz, indem der --no-termination-protection-enabled Parameter übergeben wird.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --no-termination-protection-enabled \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": false, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Stoppen Sie die Aufnahme in einen Ereignisdatenspeicher mit dem AWS CLI
Mit dem folgenden AWS CLI stop-event-data-store-ingestion Beispielbefehl wird verhindert, dass ein Ereignisdatenspeicher Ereignisse aufnimmt. Um die Aufnahme zu beenden, muss der Status-Ereignisdatenspeicher ENABLED sein und eventCategory muss Management, Data oder ConfigurationItem sein. Der Ereignisdatenspeicher wird durch --event-data-store angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert. Nach der Ausführung von stop-event-data-store-ingestion ändert sich der Status des Ereignisdatenspeichers zu STOPPED_INGESTION.
Der Ereignisdatenspeicher wird auf die maximale Anzahl von zehn Ereignisdatenspeichern in Ihrem Konto angerechnet, wenn dessen Status STOPPED_INGESTION ist.
aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Wenn der Befehl erfolgreich ausgeführt wird, erfolgt keine Reaktion.
Starten Sie die Aufnahme in einen Ereignisdatenspeicher mit dem AWS CLI
Der folgende AWS CLI start-event-data-store-ingestion Beispielbefehl startet die Ereignisaufnahme in einem Ereignisdatenspeicher. Um die Aufnahme zu starten, muss der Status-Ereignisdatenspeicher STOPPED_INGESTION sein und eventCategory muss Management, Data oder ConfigurationItem sein. Der Ereignisdatenspeicher wird durch --event-data-store angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert. Nach der Ausführung von start-event-data-store-ingestion ändert sich der Status des Ereignisdatenspeichers zu ENABLED.
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Wenn der Befehl erfolgreich ausgeführt wird, erfolgt keine Reaktion.
Aktivieren eines Verbunds zu einem Ereignisdatenspeicher
Um den Verbund zu aktivieren, führen Sie den Befehl aws cloudtrail enable-federation aus und geben Sie die erforderlichen Parameter --event-data-store und --role ein. Geben Sie für --event-data-store den ARN des Ereignisdatenspeichers (oder das ID-Suffix des ARN) an. Geben Sie für --role den ARN für Ihre Verbundrolle an. Die Rolle muss in Ihrem Konto vorhanden sein und über die erforderlichen Mindestberechtigungen verfügen.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id--role arn:aws:iam::account-id:role/federation-role-name
Dieses Beispiel zeigt, wie ein delegierter Administrator den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren kann, indem er den ARN des Ereignisdatenspeichers im Verwaltungskonto und den ARN der Verbundrolle im delegierten Administratorkonto angibt.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
Deaktivieren eines Verbunds zu einem Ereignisdatenspeicher
Führen Sie den Befehl aws
cloudtrail disable-federation aus, um den Verbund im Ereignisdatenspeicher zu deaktivieren. Der Ereignisdatenspeicher wird durch --event-data-store angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert.
aws cloudtrail disable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
Anmerkung
Wenn es sich um den Ereignisdatenspeicher einer Organisation handelt, geben Sie die Konto-ID für das Verwaltungskonto an.
Löschen Sie einen Ereignisdatenspeicher mit dem AWS CLI
Der folgende AWS CLI delete-event-data-store-Beispielbefehl deaktiviert den durch --event-data-store angegebenen Ereignisdatenspeicher, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN annimmt. Nachdem Sie delete-event-data-store ausgeführt haben, ist der endgültige Status des Ereignisdatenspeichers PENDING_DELETION, und der Ereignisdatenspeicher wird nach einer Wartezeit von 7 Tagen automatisch gelöscht.
Nachdem Sie delete-event-data-store auf einem Ereignisdatenspeicher ausgeführt haben, können Sie weder list-queries, describe-query noch get-query-results auf Abfragen ausführen, die den deaktivierten Datenspeicher verwenden. Der Ereignisdatenspeicher wird auf die maximale Anzahl von zehn Ereignisdatenspeichern in Ihrem Konto angerechnet, wenn er zur Löschung ansteht.
Anmerkung
Sie können einen Ereignisdatenspeicher nicht löschen, wenn --termination-protection-enabled festgelegt ist oder sein FederationStatus ENABLED lautet.
aws cloudtrail delete-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Wenn der Befehl erfolgreich ausgeführt wird, erfolgt keine Reaktion.
Stellen Sie einen Ereignisdatenspeicher wieder her mit dem AWS CLI
Der folgende AWS CLI restore-event-data-store-Beispielbefehl stellt einen Ereignisdatenspeicher wieder her, der zum Löschen ansteht. Der Ereignisdatenspeicher wird durch --event-data-store angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert. Sie können einen gelöschten Ereignisdatenspeicher nur innerhalb der siebentägigen Wartezeit nach dem Löschen wiederherstellen.
aws cloudtrail restore-event-data-store --event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Die Antwort enthält Informationen über den Ereignisdatenspeicher, einschließlich des ARN, der erweiterten Ereignisselektoren und des Status der Wiederherstellung.
