Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cree, actualice y gestione almacenes de datos de eventos con AWS CLI
Puede usarlos AWS CLI para crear, actualizar y administrar sus almacenes de datos de eventos. Cuando utilice el AWS CLI, recuerde que sus comandos se ejecutan en la Región de AWS configuración de su perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.
Comandos disponibles para los almacenes de datos de eventos
Los comandos para crear y actualizar los almacenes de datos de eventos en CloudTrail Lake incluyen:
-
create-event-data-storepara crear un banco de datos de eventos. -
get-event-data-storepara devolver información sobre el almacén de datos de eventos, incluidos los selectores de eventos avanzados configurados para el almacén de datos de eventos. -
update-event-data-storepara cambiar la configuración de un banco de datos de eventos existente. -
list-event-data-storespara enumerar los almacenes de datos de eventos. -
delete-event-data-storepara eliminar un almacén de datos de eventos. -
restore-event-data-storepara restaurar un almacén de datos de eventos que está pendiente de eliminación. -
start-importpara iniciar una importación de eventos de seguimiento a un banco de datos de eventos o volver a intentar una importación fallida. -
get-importpara devolver información sobre una importación específica. -
stop-importpara detener la importación de eventos de senderos a un banco de datos de eventos. -
list-importspara devolver información sobre todas las importaciones, o un conjunto selecto de importaciones realizadas porImportStatusoDestination. -
list-import-failurespara enumerar los errores de importación de la importación especificada. -
stop-event-data-store-ingestionpara detener la ingesta de eventos en un banco de datos de eventos. -
start-event-data-store-ingestionpara reiniciar la ingesta de eventos en un banco de datos de eventos. -
enable-federationpara permitir la federación en un almacén de datos de eventos para consultar el almacén de datos de eventos en Amazon Athena. -
disable-federationpara deshabilitar la federación en un almacén de datos de eventos. Después de deshabilitar la federación, ya no podrá consultar los datos del almacén de datos de eventos en Amazon Athena. Puede seguir realizando consultas en CloudTrail Lake. -
put-insight-selectorspara añadir o modificar los selectores de eventos de Insights para un banco de datos de eventos existente y activar o desactivar los eventos de Insights. -
get-insight-selectorspara devolver información sobre los selectores de eventos de Insights configurados para un banco de datos de eventos. -
add-tagspara añadir una o más etiquetas (pares clave-valor) a un banco de datos de eventos existente. -
remove-tagspara eliminar una o más etiquetas de un banco de datos de eventos. -
list-tagspara devolver una lista de etiquetas asociadas a un banco de datos de eventos.
Para obtener una lista de los comandos disponibles para las consultas de CloudTrail Lake, consulteComandos disponibles para las consultas de CloudTrail Lake.
Para obtener una lista de los comandos disponibles para las integraciones de CloudTrail Lake, consulteComandos disponibles para las integraciones de CloudTrail Lake.
Cree un banco de datos de eventos con el AWS CLI
Utilice el comando create-event-data-store
Cuando crea un almacén de datos de eventos, el único parámetro requerido es --name que se utiliza para identificar el almacén de datos de eventos. Puede configurar parámetros opcionales adicionales, que incluyen:
-
--advanced-event-selectors: especifica el tipo de eventos que desea incluir en el almacén de datos de eventos. De forma predeterminada, los almacenes de datos de eventos registran eventos de administración. Para obtener más información sobre los selectores de eventos avanzados, consulta AdvancedEventSelectorla referencia de la CloudTrail API. -
--kms-key-idalias/, un ARN totalmente especificado a un alias, un ARN totalmente especificado a una clave o un identificador único global. -
--multi-region-enabled- Crea un almacén de datos de eventos multirregional que registra los eventos de toda su Regiones de AWS cuenta. De forma predeterminada,--multi-region-enabledestá configurada, aunque no se agregue el parámetro. -
--organization-enabled: habilita a un almacén de datos de eventos para que recopile los eventos de todas las cuentas de una organización. De forma predeterminada, el almacén de datos de eventos no está habilitado para todas las cuentas de una organización. -
--billing-mode: determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención máximo y predeterminado del almacén de datos de eventos.A continuación se muestran los posibles valores:
-
EXTENDABLE_RETENTION_PRICING: por lo general, se recomienda este modo de facturación si consume menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 3653 días (unos 10 años). El periodo de retención predeterminado para este modo de facturación es de 366 días. -
FIXED_RETENTION_PRICING: se recomienda este modo de facturación si piensa incorporar más de 25 TB de datos de eventos al mes y necesita un periodo de retención de hasta 2557 días (unos 7 años). El periodo de retención predeterminado para este modo de facturación es de 2557 días.
El valor predeterminado es
EXTENDABLE_RETENTION_PRICING. -
-
--retention-period: la cantidad de días que se van a conservar los eventos en el almacén de datos de eventos. Los valores válidos son enteros entre 7 y 3653 si el--billing-modeesEXTENDABLE_RETENTION_PRICING, o entre 7 y 2557 si el--billing-modeestá establecido enFIXED_RETENTION_PRICING. Si no lo especificas--retention-period, CloudTrail utiliza el período de retención predeterminado para.--billing-mode -
--start-ingestion: el parámetro--start-ingestioninicia la incorporación de eventos en el almacén de datos de eventos cuando se crea. Este parámetro se establece aunque no se agregue.Especifique
--no-start-ingestionsi no quiere que el almacén de datos de eventos incorpore eventos en vivo. Por ejemplo, es posible que desee establecer este parámetro si está copiando eventos al almacén de datos de eventos y solo piensa usar los datos de eventos para analizar los eventos pasados. El parámetro--no-start-ingestionsolo es válido cuando laeventCategoryesManagement,DataoConfigurationItem.
En los siguientes ejemplos, se muestra cómo crear diferentes tipos de almacenes de datos de eventos.
Temas
- Cree un almacén de datos de eventos para los eventos de datos de S3 con el AWS CLI
- Cree un almacén de datos de eventos para los elementos AWS Config de configuración con la AWS CLI
- Cree un banco de datos de eventos de la organización para los eventos de administración con el AWS CLI
- Cree almacenes de datos de eventos para los eventos de Insights con el AWS CLI
Cree un almacén de datos de eventos para los eventos de datos de S3 con el AWS CLI
El siguiente create-event-data-store comando example AWS Command Line Interface (AWS CLI) crea un almacén de datos de eventos denominado my-event-data-store que selecciona todos los eventos de datos de Amazon S3 y se cifra con una clave de KMS.
aws cloudtrail create-event-data-store \ --name my-event-data-store \ --kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \ --advanced-event-selectors '[ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] } ] } ]'
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00", "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00" }
Cree un almacén de datos de eventos para los elementos AWS Config de configuración con la AWS CLI
El siguiente AWS CLI create-event-data-store comando de ejemplo crea un almacén de datos de eventos cuyo nombre selecciona config-items-eds los elementos AWS Config de configuración. Para recopilar los elementos de configuración, especifique que el campo eventCategory iguala a ConfigurationItem en los selectores de eventos avanzados.
aws cloudtrail create-event-data-store \ --name config-items-eds \ --advanced-event-selectors '[ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["ConfigurationItem"] } ] } ]'
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "config-items-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "ConfigurationItem" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00", "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00" }
Cree un banco de datos de eventos de la organización para los eventos de administración con el AWS CLI
El siguiente AWS CLI create-event-data-store comando de ejemplo crea un banco de datos de eventos de la organización que recopila todos los eventos de administración y establece el --billing-mode parámetro enFIXED_RETENTION_PRICING.
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207", "Name": "org-management-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": true, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00", "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00" }
Cree almacenes de datos de eventos para los eventos de Insights con el AWS CLI
Para registrar los eventos de Insights en CloudTrail Lake, necesita un banco de datos de eventos de destino que recopile los eventos de Insights y un banco de datos de eventos de origen que habilite Insights y registre los eventos de administración.
Este procedimiento le muestra cómo crear los almacenes de datos de eventos de origen y destino y, a continuación, habilitar los eventos de Insights.
-
Ejecute el comando aws cloudtrail create-event-data-store
para crear un almacén de datos de eventos de destino que recopile los eventos de Insights. El valor para eventCategorydebe serInsight.retention-period-daysSustitúyalo por el número de días que deseas conservar los eventos en tu almacén de datos de eventos. Los valores válidos son enteros entre 7 y 3653 si el--billing-modeesEXTENDABLE_RETENTION_PRICING, o entre 7 y 2557 si el--billing-modeestá establecido enFIXED_RETENTION_PRICING. Si no lo especificas--retention-period, CloudTrail utiliza el período de retención predeterminado para el--billing-mode.Si ha iniciado sesión con la cuenta de administración de una AWS Organizations organización, incluya el
--organization-enabledparámetro si quiere dar a su administrador delegado acceso al almacén de datos del evento.aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'A continuación, se muestra un ejemplo de respuesta.
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00" }Utilizará el
ARN(o el sufijo ID del ARN) de la respuesta como valor del parámetro--insights-destinationen el paso 3. -
Ejecute el comando aws cloudtrail create-event-data-store
para crear un almacén de datos de eventos de origen que registre los eventos de administración. De forma predeterminada, los almacenes de datos de eventos registran eventos de administración. No es necesario que especifique ningún selector de eventos avanzado si desea registrar todos los eventos de administración. retention-period-daysSustitúyalo por el número de días que deseas conservar los eventos en tu almacén de datos de eventos. Los valores válidos son enteros entre 7 y 3653 si el--billing-modeesEXTENDABLE_RETENTION_PRICING, o entre 7 y 2557 si el--billing-modeestá establecido enFIXED_RETENTION_PRICING. Si no lo especificas--retention-period, CloudTrail utiliza el período de retención predeterminado para--billing-mode. Si va a crear un almacén de datos de eventos de la organización, incluya el parámetro--organization-enabled.aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-daysA continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00" }Utilizará el
ARN(o el sufijo ID del ARN) de la respuesta como valor del parámetro--event-data-storeen el paso 3. -
Ejecute el comando put-insight-selectors
para habilitar los eventos de Insights. Los valores del selector de insights pueden ser ApiCallRateInsight,ApiErrorRateInsighto ambos. Para el parámetro--event-data-store, especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos de origen que registra los eventos de administración y habilitará Insights. Para el parámetro--insights-destination, especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos de destino que registrará los eventos de Insights.aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'En el siguiente resultado, se muestra el selector de eventos de Insights configurado para el almacén de datos de eventos.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }Tras activar CloudTrail Insights por primera vez en un almacén de datos de eventos, el primer evento de Insights puede tardar hasta 7 días en entregarse si se detecta una actividad inusual. CloudTrail
CloudTrail Insights analiza los eventos de gestión que se producen en una sola región, no a nivel mundial. Un evento de CloudTrail Insights se genera en la misma región en la que se generan los eventos de gestión complementarios.
En el caso de un banco de datos de eventos de la organización, CloudTrail analiza los eventos de gestión de la cuenta de cada miembro en lugar de analizar la agregación de todos los eventos de gestión de la organización.
Se aplican cargos adicionales por la ingesta de eventos de Insights en CloudTrail Lake. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener información sobre CloudTrail los precios, consulte AWS CloudTrail Precios
Importe los eventos de las rutas a un banco de datos de eventos con el AWS CLI
En el AWS CLI, puede importar eventos de senderos a un banco de datos de eventos. El procedimiento de esta sección muestra cómo crear y configurar un almacén de datos de eventos mediante la ejecución del comando create-event-data-store y, a continuación, importando los eventos a ese almacén de datos de eventos mediante el comando start-import. Para obtener más información sobre la importación de eventos de registros de seguimiento, incluida información sobre las consideraciones y los permisos necesarios, consulte Copiar eventos de registro de seguimiento en un almacén de datos de eventos.
Cómo prepararse para importar eventos de registros de seguimiento
Antes de importar los eventos de registro de seguimiento, realice los siguientes preparativos.
-
Asegúrese de tener un rol con los permisos necesarios para importar eventos de registros de seguimiento a un almacén de datos de eventos.
-
Determine el valor de --billing-mode que desea especificar para el almacén de datos de eventos. El
--billing-modedetermina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos.Al importar eventos de senderos a CloudTrail Lake, CloudTrail descomprime los registros que están almacenados en formato gzip (comprimido). A continuación, CloudTrail copia los eventos contenidos en los registros en el almacén de datos de eventos. El tamaño de los datos sin comprimir podría ser mayor que el tamaño real del almacenamiento de Amazon S3. Para obtener una estimación general del tamaño de los datos sin comprimir, multiplique por 10 el tamaño de los registros del bucket de S3. Puede usar esta estimación para elegir el valor de
--billing-modepara su caso de uso. -
Determine el valor que desea especificar para el
--retention-period. CloudTrail no copiará un evento sieventTimees anterior al período de retención especificado.Para determinar el periodo de retención adecuado, tome la suma del evento más antiguo que desea copiar en días y el número de días que desea retener los eventos en el almacén de datos de eventos, como se muestra en esta ecuación:
Periodo de retención =
oldest-event-in-days+number-days-to-retainPor ejemplo, si el evento más antiguo que va a copiar tiene 45 días y desea conservar los eventos en el almacén de datos de eventos durante otros 45 días, debe establecer el periodo de retención en 90 días.
-
Decida si desea utilizar el almacén de datos de eventos para analizar cualquier evento futuro. Si no desea incorporar ningún evento futuro, incluya el parámetro
--no-start-ingestional crear el almacén de datos de eventos. De forma predeterminada, el almacén de datos de eventos comienza a incorporar eventos cuando se crea.
Crear un almacén de datos de eventos e importar eventos de registros de seguimiento al almacén de datos de eventos
-
Ejecute el comando create-event-data-store para crear el nuevo almacén de datos de eventos. En este ejemplo, el
--retention-periodse establece en120porque el evento más antiguo que se está copiando tiene 90 días y queremos retener los eventos durante 30 días. El parámetro--no-start-ingestionestá establecido porque no queremos incorporar ningún evento futuro. En este ejemplo,--billing-modeno se estableció porque estamos usando el valor predeterminadoEXTENDABLE_RETENTION_PRICINGya que esperamos incorporar menos de 25 TB de datos de eventos.nota
Si va a crear el almacén de datos de eventos para reemplazar su registro de seguimiento, le recomendamos que configure los
--advanced-event-selectorsde forma que coincidan con los selectores de eventos de su registro de seguimiento para asegurarse de tener la misma cobertura de eventos. De forma predeterminada, los almacenes de datos de eventos registran eventos de administración.aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestionLo que sigue es un ejemplo de respuesta:
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" }El primer
StatusesCREATEDpara que ejecutemos el comando get-event-data-store para comprobar que se ha detenido la incorporación.aws cloudtrail get-event-data-store --event-data-storeeds-idLa respuesta muestra que el
Statuses ahoraSTOPPED_INGESTION, lo que indica que el almacén de datos de eventos no está incorporando eventos en vivo.{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "STOPPED_INGESTION", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" } -
Ejecute el comando start-import para importar los eventos de registro de seguimiento al almacén de datos de eventos creado en el paso 1. Especifique el ARN (o el sufijo de ID del ARN) del almacén de datos de eventos como valor del parámetro
--destinations. Para--start-event-time, especifique eleventTimepara el evento más antiguo que desee copiar y, para--end-event-time, especifique eleventTimedel evento más reciente que desee copiar. Para--import-sourceespecificar el URI de S3 para el depósito de S3 que contiene los registros de seguimiento, el Región de AWS del depósito de S3 y el ARN del rol utilizado para importar los eventos de seguimiento.aws cloudtrail start-import \ --destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \ --start-event-time 2023-08-11T16:08:12.934000+00:00 \ --end-event-time 2023-11-09T17:08:20.705000+00:00 \ --import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}A continuación, se muestra un ejemplo de respuesta.
{ "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1", "ImportSource": { "S3": { "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds", "S3BucketRegion":"us-east-1", "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/" } }, "ImportStatus": "INITIALIZING", "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00" } -
Ejecute el comando get-import para obtener información acerca de la importación.
aws cloudtrail get-import --import-idimport-idA continuación, se muestra un ejemplo de respuesta.
{ "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "ImportSource": { "S3": { "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/", "S3BucketRegion":"us-east-1", "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds" } }, "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportStatus": "COMPLETED", "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "ImportStatistics": { "PrefixesFound": 1548, "PrefixesCompleted": 1548, "FilesCompleted": 92845, "EventsCompleted": 577249, "FailedEntries": 0 } }Una importación finaliza con un
ImportStatusCOMPLETEDsi no hubo errores oFAILEDsi los hubo.Si la importación tuvo
FailedEntries, puede ejecutar el comandolist-import-failures para obtener una lista de errores.aws cloudtrail list-import-failures --import-idimport-idPara volver a intentar una importación que tuvo errores, ejecute el comando start-import solo con el parámetro
--import-id. Al volver a intentar una importación, la CloudTrail reanuda en la ubicación en la que se produjo el error.aws cloudtrail start-import --import-idimport-id
Obtenga un almacén de datos de eventos con el AWS CLI
El siguiente AWS CLI get-event-data-store comando de ejemplo devuelve información sobre el banco de datos de eventos especificado por el --event-data-store parámetro requerido, que acepta un ARN o el sufijo ID del ARN.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
A continuación, se muestra un ejemplo de respuesta. Las horas de creación y última actualización están en formato timestamp.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "s3-data-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log DeleteObject API calls for a specific S3 bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "eventName", "Equals": [ "DeleteObject" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3:::bucketName" ] }, { "Field": "readOnly", "Equals": [ "false" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00", "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00" }
Enumere todos los almacenes de datos de eventos de una cuenta con el AWS CLI
El siguiente AWS CLI list-event-data-stores comando de ejemplo devuelve información sobre todos los almacenes de datos de eventos de una cuenta, en la región actual. Los parámetros opcionales incluyen --max-results para especificar el número máximo de resultados que desea que el comando devuelva en una sola página. Si hay más resultados que el valor --max-results especificado, ejecute el comando de nuevo agregando el valor devuelto NextToken para obtener la siguiente página de resultados.
aws cloudtrail list-event-data-stores
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStores": [ { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969", "Name": "management-events-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a", "Name": "config-items-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4", "Name": "s3-data-events" } ] }
Actualice un banco de datos de eventos con el AWS CLI
En los siguientes ejemplos, se muestra cómo actualizar un almacén de datos de eventos.
Temas
Actualice el modo de facturación con el AWS CLI
El --billing-mode para el almacén de datos de eventos determina el costo de la incorporación y el almacenamiento de eventos, así como el periodo de retención máximo y predeterminado del almacén de datos de eventos. Si el --billing-mode del almacén de datos de eventos está establecido en FIXED_RETENTION_PRICING, puede cambiar el valor a EXTENDABLE_RETENTION_PRICING, pero por lo general se recomienda EXTENDABLE_RETENTION_PRICING si el almacén de datos de eventos incorpora menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 3653 días. Para obtener información sobre precios, consulte Precios de AWS CloudTrail
nota
No puede cambiar el valor --billing-mode de EXTENDABLE_RETENTION_PRICING a FIXED_RETENTION_PRICING. Si el modo de facturación del almacén de datos de eventos está configurado en EXTENDABLE_RETENTION_PRICING y quiere utilizar FIXED_RETENTION_PRICING en su lugar, puede detener la incorporación en el almacén de datos de eventos y crear un nuevo almacén de datos de eventos que utilice FIXED_RETENTION_PRICING.
El siguiente AWS CLI update-event-data-store comando de ejemplo cambia el --billing-mode almacén de datos del evento de FIXED_RETENTION_PRICING aEXTENDABLE_RETENTION_PRICING. El valor del parámetro --event-data-store requerido es un ARN (o el sufijo ID del ARN) y es obligatorio; los demás parámetros son opcionales.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --billing-mode EXTENDABLE_RETENTION_PRICING
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Actualice el modo de retención, active la protección de terminación y especifique a AWS KMS key con el AWS CLI
El siguiente AWS CLI update-event-data-store comando de ejemplo actualiza un almacén de datos de eventos para cambiar su período de retención a 100 días y habilitar la protección contra la rescisión. El valor del parámetro --event-data-store requerido es un ARN (o el sufijo ID del ARN) y es obligatorio; los demás parámetros son opcionales. En este ejemplo, se agrega el parámetro --retention-period para cambiar el periodo de retención a 100 días. Si lo desea, puede habilitar el AWS Key Management Service cifrado y especificar un AWS KMS key añadiendo --kms-key-id al comando y especificando un ARN de clave KMS como valor. --termination-protection-enabledse agrega para habilitar la protección de terminación en un almacén de datos de eventos que no tenía habilitada la protección de terminación.
Un almacén de datos de eventos que registra eventos externos AWS no se puede actualizar para registrar AWS eventos. Del mismo modo, un almacén de datos de AWS eventos que registra eventos no se puede actualizar para registrar eventos externos AWS.
nota
Si reduce el período de retención de un almacén de datos de eventos, CloudTrail se eliminarán los eventos que tengan un período de retención eventTime anterior al nuevo. Por ejemplo, si el período de retención anterior era de 365 días y lo reduces a 100 días, CloudTrail se eliminarán los eventos con una eventTime antigüedad superior a 100 días.
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --retention-period 100 \ --kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \ --termination-protection-enabled
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 100, "KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Desactive la protección de rescisión con el AWS CLI
De forma predeterminada, la protección contra la terminación está habilitada en un almacén de datos de eventos para proteger el almacén de datos de eventos de una eliminación accidental. No puede eliminar un almacén de datos de eventos cuando la protección contra la terminación está habilitada. Si desea eliminar el almacén de datos de eventos, primero debe deshabilitar la protección contra la terminación.
El siguiente AWS CLI update-event-data-store comando de ejemplo desactiva la protección de terminación pasando el --no-termination-protection-enabled parámetro.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --no-termination-protection-enabled \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
A continuación, se muestra un ejemplo de respuesta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": false, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Detenga la ingesta en un almacén de datos de eventos con el AWS CLI
El siguiente AWS CLI stop-event-data-store-ingestion comando de ejemplo impide que un banco de datos de eventos ingiera eventos. Para detener la ingesta, el Status del almacén de datos de eventos debe ser ENABLED, mientras que el valor de eventCategory debe ser Management, Data o ConfigurationItem. --event-data-store o el sufijo de ID del ARN especifican el almacén de datos de eventos, que acepta un ARN de almacén de datos de eventos. Después de ejecutar stop-event-data-store-ingestion, el estado del almacén de datos del evento cambia a STOPPED_INGESTION.
El almacén de datos de eventos se cuenta dentro del máximo de diez almacenes de datos de eventos de su cuenta cuando su estado es STOPPED_INGESTION.
aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Si la operación se realiza correctamente, no se produce ninguna respuesta.
Inicie la ingestión en un banco de datos de eventos con el AWS CLI
El siguiente AWS CLI start-event-data-store-ingestion comando de ejemplo inicia la ingesta de eventos en un banco de datos de eventos. Para iniciar la ingesta, el Status del almacén de datos de eventos debe ser STOPPED_INGESTION, mientras que el valor de eventCategory debe ser Management, Data o ConfigurationItem. --event-data-store o el sufijo de ID del ARN especifican el almacén de datos de eventos, que acepta un ARN de almacén de datos de eventos. Después de ejecutar start-event-data-store-ingestion, el estado del almacén de datos del evento cambia a ENABLED.
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Si la operación se realiza correctamente, no se produce ninguna respuesta.
Habilitar la federación en un almacén de datos de eventos
Para habilitar la federación, ejecute el comando aws cloudtrail enable-federation proporcionando los parámetros --event-data-store y --role necesarios. En --event-data-store, proporcione el ARN del almacén de datos de eventos (o el sufijo de ID del ARN). En --role, proporcione el ARN de su rol de federación. El rol debe existir en su cuenta y proporcionar los permisos mínimos necesarios.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id--role arn:aws:iam::account-id:role/federation-role-name
En este ejemplo, se muestra cómo un administrador delegado puede habilitar la federación en un almacén de datos de eventos de la organización especificando el ARN del almacén de datos de eventos en la cuenta de administración y el ARN del rol de federación en la cuenta de administrador delegado.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
Deshabilitar la federación en un almacén de datos de eventos
Para deshabilitar la federación en el almacén de datos de eventos, ejecute el comando aws
cloudtrail disable-federation. El almacén de datos de eventos especificado por --event-data-store, que acepta un ARN de almacén de datos de eventos, o el sufijo de ID del ARN.
aws cloudtrail disable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
nota
Si se trata de un almacén de datos de eventos de la organización, utilice el ID de la cuenta que corresponde a la cuenta de administración.
Elimine un banco de datos de eventos con el AWS CLI
El siguiente ejemplo de comando de la AWS CLI delete-event-data-store desactiva el almacén de datos de eventos especificado por --event-data-store, que acepta un ARN de almacén de datos de eventos, o el sufijo de ID del ARN. Después de ejecutar delete-event-data-store, el estado final del almacén de datos de eventos será PENDING_DELETION y se eliminará automáticamente después de un periodo de espera de 7 días.
Después de ejecutar delete-event-data-store en un almacén de datos de eventos, no se puede ejecutar list-queries, describe-query o get-query-results en las consultas que están utilizando el almacén de datos desactivado. El almacén de datos de eventos se cuenta dentro del máximo de diez almacenes de datos de eventos de su cuenta cuando está pendiente de eliminación.
nota
No puede eliminar un almacén de datos de eventos si --termination-protection-enabled está configurado o si FederationStatus está ENABLED.
aws cloudtrail delete-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Si la operación se realiza correctamente, no se produce ninguna respuesta.
Restaure un banco de datos de eventos con el AWS CLI
El siguiente ejemplo de comando de la AWS CLI restore-event-data-store restaura un almacén de datos de eventos que está pendiente de eliminación. El almacén de datos de eventos especificado por --event-data-store, que acepta un ARN de almacén de datos de eventos, o el sufijo de ID del ARN. Únicamente se puede restaurar un almacén de datos de eventos eliminado dentro del periodo de espera de siete días posterior a la eliminación.
aws cloudtrail restore-event-data-store --event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
La respuesta incluye información sobre el almacén de datos de eventos, incluido su ARN, los selectores de eventos avanzados y el estado de la restauración.
