Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat, memperbarui, dan mengelola penyimpanan data acara dengan AWS CLI
Anda dapat menggunakan AWS CLI untuk membuat, memperbarui, dan mengelola penyimpanan data acara Anda. Saat menggunakan AWS CLI, ingatlah bahwa perintah Anda berjalan di Wilayah AWS konfigurasi untuk profil Anda. Jika Anda ingin menjalankan perintah di Wilayah yang berbeda, ubah Wilayah default untuk profil Anda, atau gunakan parameter --region bersama perintah tersebut.
Perintah yang tersedia untuk penyimpanan data acara
Perintah untuk membuat dan memperbarui penyimpanan data acara di CloudTrail Lake meliputi:
-
create-event-data-storeuntuk membuat penyimpanan data acara. -
get-event-data-storeuntuk mengembalikan informasi tentang penyimpanan data acara termasuk pemilih acara lanjutan yang dikonfigurasi untuk penyimpanan data acara. -
update-event-data-storeuntuk mengubah konfigurasi penyimpanan data peristiwa yang ada. -
list-event-data-storesuntuk daftar penyimpanan data acara. -
delete-event-data-storeuntuk menghapus penyimpanan data acara. -
restore-event-data-storeuntuk memulihkan penyimpanan data acara yang tertunda penghapusan. -
start-importuntuk memulai impor peristiwa jejak ke penyimpanan data peristiwa, atau mencoba lagi impor yang gagal. -
get-importuntuk mengembalikan informasi tentang impor tertentu. -
stop-importuntuk menghentikan impor peristiwa jejak ke penyimpanan data acara. -
list-importsuntuk mengembalikan informasi tentang semua impor, atau satu set impor tertentu olehImportStatusatau.Destination -
list-import-failuresuntuk mencantumkan kegagalan impor untuk impor yang ditentukan. -
stop-event-data-store-ingestionuntuk menghentikan konsumsi acara pada penyimpanan data acara. -
start-event-data-store-ingestionuntuk memulai ulang konsumsi acara pada penyimpanan data acara. -
enable-federationuntuk mengaktifkan federasi pada penyimpanan data acara untuk menanyakan penyimpanan data acara di Amazon Athena. -
disable-federationuntuk menonaktifkan federasi pada penyimpanan data acara. Setelah menonaktifkan federasi, Anda tidak dapat lagi melakukan kueri terhadap data penyimpanan data acara di Amazon Athena. Anda dapat melanjutkan pertanyaan di CloudTrail Danau. -
put-insight-selectorsuntuk menambahkan atau memodifikasi pemilih acara Insights untuk penyimpanan data peristiwa yang ada, dan mengaktifkan atau menonaktifkan peristiwa Wawasan. -
get-insight-selectorsuntuk mengembalikan informasi tentang pemilih acara Insights yang dikonfigurasi untuk penyimpanan data peristiwa. -
add-tagsuntuk menambahkan satu atau lebih tag (pasangan kunci-nilai) ke penyimpanan data peristiwa yang ada. -
remove-tagsuntuk menghapus satu atau beberapa tag dari penyimpanan data acara. -
list-tagsuntuk mengembalikan daftar tag yang terkait dengan penyimpanan data acara.
Untuk daftar perintah yang tersedia untuk kueri CloudTrail Lake, lihatPerintah yang tersedia untuk kueri CloudTrail Lake.
Untuk daftar perintah yang tersedia untuk integrasi CloudTrail Lake, lihatPerintah yang tersedia untuk integrasi CloudTrail Lake.
Buat toko data acara dengan AWS CLI
Gunakan create-event-data-store
Saat Anda membuat penyimpanan data peristiwa, satu-satunya parameter yang diperlukan adalah--name, yang digunakan untuk mengidentifikasi penyimpanan data peristiwa. Anda dapat mengonfigurasi parameter opsional tambahan, termasuk:
-
--advanced-event-selectors- Menentukan jenis acara untuk dimasukkan dalam penyimpanan data acara. Secara default, data acara menyimpan log semua peristiwa manajemen. Untuk informasi selengkapnya tentang penyeleksi peristiwa lanjutan, lihat AdvancedEventSelectordi Referensi CloudTrail API. -
--kms-key-idalias/, ARN yang ditentukan sepenuhnya ke alias, ARN yang ditentukan sepenuhnya ke kunci, atau pengidentifikasi unik global. -
--multi-region-enabled- Membuat penyimpanan data acara Multi-wilayah yang mencatat peristiwa untuk semua yang ada Wilayah AWS di akun Anda. Secara default,--multi-region-enableddiatur, bahkan jika parameter tidak ditambahkan. -
--organization-enabled- Mengaktifkan penyimpanan data acara untuk mengumpulkan acara untuk semua akun dalam suatu organisasi. Secara default, penyimpanan data acara tidak diaktifkan untuk semua akun dalam organisasi. -
--billing-mode- Menentukan biaya untuk menelan dan menyimpan acara, dan periode retensi default dan maksimum untuk penyimpanan data acara.Berikut ini adalah nilai yang mungkin:
-
EXTENDABLE_RETENTION_PRICING- Mode penagihan ini umumnya direkomendasikan jika Anda menelan kurang dari 25 TB data acara sebulan dan menginginkan periode retensi yang fleksibel hingga 3653 hari (sekitar 10 tahun). Periode retensi default untuk mode penagihan ini adalah 366 hari. -
FIXED_RETENTION_PRICING- Mode penagihan ini disarankan jika Anda mengharapkan untuk menelan lebih dari 25 TB data acara per bulan dan membutuhkan periode retensi hingga 2557 hari (sekitar 7 tahun). Periode retensi default untuk mode penagihan ini adalah 2557 hari.
Nilai default-nya adalah
EXTENDABLE_RETENTION_PRICING. -
-
--retention-period- Jumlah hari untuk menyimpan acara di penyimpanan data acara. Nilai yang valid adalah bilangan bulat antara 7 dan 3653 jika--billing-modeadaEXTENDABLE_RETENTION_PRICING, atau antara 7 dan 2557 jika--billing-modediatur ke.FIXED_RETENTION_PRICINGJika Anda tidak menentukan--retention-period, CloudTrail menggunakan periode retensi default untuk--billing-mode. -
--start-ingestion---start-ingestionParameter memulai konsumsi acara pada penyimpanan data acara saat dibuat. Parameter ini diatur bahkan jika parameter tidak ditambahkan.Tentukan
--no-start-ingestionjika Anda tidak ingin penyimpanan data acara menelan acara langsung. Misalnya, Anda mungkin ingin mengatur parameter ini jika Anda menyalin peristiwa ke penyimpanan data peristiwa dan hanya berencana untuk menggunakan data peristiwa untuk menganalisis peristiwa masa lalu.--no-start-ingestionParameter ini hanya valid jikaeventCategoryadalahManagement,Data, atauConfigurationItem.
Contoh berikut menunjukkan cara membuat berbagai jenis penyimpanan data acara.
Topik
Buat penyimpanan data acara untuk peristiwa data S3 dengan AWS CLI
create-event-data-storePerintah example AWS Command Line Interface (AWS CLI) berikut membuat penyimpanan data peristiwa bernama my-event-data-store yang memilih semua peristiwa data Amazon S3 dan dienkripsi menggunakan kunci KMS.
aws cloudtrail create-event-data-store \ --name my-event-data-store \ --kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \ --advanced-event-selectors '[ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] } ] } ]'
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00", "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00" }
Buat penyimpanan data acara untuk item AWS Config konfigurasi dengan AWS CLI
Contoh AWS CLI create-event-data-store perintah berikut menciptakan sebuah event data store bernama config-items-eds yang memilih item AWS Config konfigurasi. Untuk mengumpulkan item konfigurasi, tentukan bahwa eventCategory ConfigurationItem bidang Sama dengan pemilih acara lanjutan.
aws cloudtrail create-event-data-store \ --name config-items-eds \ --advanced-event-selectors '[ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["ConfigurationItem"] } ] } ]'
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "config-items-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "ConfigurationItem" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00", "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00" }
Buat penyimpanan data acara organisasi untuk acara manajemen dengan AWS CLI
AWS CLI create-event-data-storePerintah contoh berikut membuat penyimpanan data acara organisasi yang mengumpulkan semua peristiwa manajemen dan menetapkan --billing-mode parameter keFIXED_RETENTION_PRICING.
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207", "Name": "org-management-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": true, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00", "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00" }
Membuat penyimpanan data acara untuk acara Insights dengan AWS CLI
Untuk mencatat peristiwa Insights di CloudTrail Lake, Anda memerlukan penyimpanan data acara tujuan yang mengumpulkan peristiwa Wawasan dan penyimpanan data peristiwa sumber yang memungkinkan Insights dan peristiwa manajemen log.
Prosedur ini menunjukkan kepada Anda cara membuat penyimpanan data peristiwa tujuan dan sumber, lalu mengaktifkan peristiwa Wawasan.
-
Jalankan aws cloudtrail create-event-data-store
perintah untuk membuat penyimpanan data acara tujuan yang mengumpulkan peristiwa Wawasan. Nilai untuk eventCategoryharusInsight. Gantiretention-period-daysdengan jumlah hari Anda ingin menyimpan acara di penyimpanan data acara Anda. Nilai yang valid adalah bilangan bulat antara 7 dan 3653 jika--billing-modeadaEXTENDABLE_RETENTION_PRICING, atau antara 7 dan 2557 jika--billing-modediatur ke.FIXED_RETENTION_PRICINGJika Anda tidak menentukan--retention-period, CloudTrail menggunakan periode retensi default untuk--billing-mode.Jika Anda masuk dengan akun manajemen untuk AWS Organizations organisasi, sertakan
--organization-enabledparameter jika Anda ingin memberikan akses administrator yang didelegasikan ke penyimpanan data peristiwa.aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'Berikut ini adalah contoh respons.
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00" }Anda akan menggunakan
ARN(atau akhiran ID ARN) dari respons sebagai nilai untuk parameter--insights-destinationpada langkah 3. -
Jalankan aws cloudtrail create-event-data-store
perintah untuk membuat penyimpanan data peristiwa sumber yang mencatat peristiwa manajemen. Secara default, data acara menyimpan log semua peristiwa manajemen. Anda tidak perlu menentukan pemilih acara lanjutan jika Anda ingin mencatat semua peristiwa manajemen. Ganti retention-period-daysdengan jumlah hari Anda ingin menyimpan acara di penyimpanan data acara Anda. Nilai yang valid adalah bilangan bulat antara 7 dan 3653 jika--billing-modeadaEXTENDABLE_RETENTION_PRICING, atau antara 7 dan 2557 jika--billing-modediatur ke.FIXED_RETENTION_PRICINGJika Anda tidak menentukan--retention-period, CloudTrail menggunakan periode retensi default untuk--billing-mode. Jika Anda membuat penyimpanan data acara organisasi, sertakan--organization-enabledparameternya.aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-daysBerikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00" }Anda akan menggunakan
ARN(atau akhiran ID ARN) dari respons sebagai nilai untuk parameter--event-data-storepada langkah 3. -
Jalankan put-insight-selectors
perintah untuk mengaktifkan peristiwa Insights. Nilai pemilih wawasan dapat berupa ApiCallRateInsight,ApiErrorRateInsight, atau keduanya. Untuk--event-data-storeparameter, tentukan ARN (atau akhiran ID ARN) dari penyimpanan data peristiwa sumber yang mencatat peristiwa manajemen dan akan mengaktifkan Wawasan. Untuk--insights-destinationparameternya, tentukan ARN (atau akhiran ID ARN) dari penyimpanan data peristiwa tujuan yang akan mencatat peristiwa Wawasan.aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'Hasil berikut menunjukkan pemilih peristiwa Insights yang dikonfigurasi untuk penyimpanan data peristiwa.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }Setelah Anda mengaktifkan CloudTrail Insights untuk pertama kalinya di penyimpanan data acara, diperlukan waktu hingga 7 hari CloudTrail untuk menyampaikan acara Insights pertama, jika aktivitas yang tidak biasa terdeteksi.
CloudTrail Wawasan menganalisis peristiwa manajemen yang terjadi di satu Wilayah, bukan secara global. Peristiwa CloudTrail Wawasan dihasilkan di Wilayah yang sama dengan peristiwa manajemen pendukungnya yang dihasilkan.
Untuk penyimpanan data acara organisasi, CloudTrail menganalisis peristiwa manajemen dari akun masing-masing anggota alih-alih menganalisis agregasi semua peristiwa manajemen untuk organisasi.
Biaya tambahan berlaku untuk menelan acara Insights di CloudTrail Danau. Anda akan dikenakan biaya secara terpisah jika Anda mengaktifkan Wawasan untuk penyimpanan data jalur dan acara. Untuk informasi tentang CloudTrail harga, lihat AWS CloudTrail Harga
Impor peristiwa jejak ke penyimpanan data acara dengan AWS CLI
Di dalam AWS CLI, Anda dapat mengimpor peristiwa jejak ke penyimpanan data acara. Prosedur di bagian ini menunjukkan cara membuat dan mengkonfigurasi penyimpanan data peristiwa dengan menjalankan create-event-data-storeperintah dan kemudian mengimpor peristiwa ke penyimpanan data peristiwa dengan menggunakan start-importperintah. Untuk informasi selengkapnya tentang mengimpor peristiwa jejak termasuk informasi tentang pertimbangan dan izin yang diperlukan, lihat. Salin peristiwa jejak ke penyimpanan data acara
Bersiap untuk mengimpor acara jejak
Sebelum Anda mengimpor acara jejak, buat persiapan berikut.
-
Pastikan Anda memiliki peran dengan izin yang diperlukan untuk mengimpor peristiwa jejak ke penyimpanan data peristiwa.
-
Tentukan --billing-modenilai yang ingin Anda tentukan untuk penyimpanan data acara. Ini
--billing-modemenentukan biaya menelan dan menyimpan acara, dan periode retensi default dan maksimum untuk penyimpanan data acara.Saat Anda mengimpor peristiwa jejak ke CloudTrail Lake, CloudTrail buka ritsleting log yang disimpan dalam format gzip (terkompresi). Kemudian CloudTrail salin peristiwa yang terkandung dalam log ke penyimpanan data acara Anda. Ukuran data yang tidak terkompresi bisa lebih besar dari ukuran penyimpanan Amazon S3 yang sebenarnya. Untuk mendapatkan perkiraan umum ukuran data yang tidak terkompresi, kalikan ukuran log di bucket S3 dengan 10. Anda dapat menggunakan estimasi ini untuk memilih
--billing-modenilai untuk kasus penggunaan Anda. -
Tentukan nilai yang ingin Anda tentukan untuk
--retention-period. CloudTrail tidak akan menyalin peristiwa jikaeventTimelebih tua dari periode retensi yang ditentukan.Untuk menentukan periode retensi yang sesuai, ambil jumlah peristiwa tertua yang ingin Anda salin dalam hari dan jumlah hari yang ingin Anda simpan di penyimpanan data acara seperti yang ditunjukkan dalam persamaan ini:
Periode retensi =
oldest-event-in-days+number-days-to-retainMisalnya, jika acara tertua yang Anda salin berusia 45 hari dan Anda ingin menyimpan acara di penyimpanan data acara selama 45 hari lagi, Anda akan mengatur periode retensi menjadi 90 hari.
-
Putuskan apakah Anda ingin menggunakan penyimpanan data acara untuk menganalisis peristiwa masa depan. Jika Anda tidak ingin menelan peristiwa masa depan, sertakan
--no-start-ingestionparameter saat Anda membuat penyimpanan data acara. Secara default, toko data acara mulai menelan peristiwa saat dibuat.
Untuk membuat penyimpanan data acara dan mengimpor peristiwa jejak ke penyimpanan data acara tersebut
-
Jalankan create-event-data-store perintah untuk membuat penyimpanan data acara baru. Dalam contoh ini,
--retention-perioddiatur ke120karena acara tertua yang disalin adalah 90 hari dan kami ingin mempertahankan acara selama 30 hari.--no-start-ingestionParameter diatur karena kami tidak ingin menelan peristiwa masa depan apa pun. Dalam contoh ini,--billing-modetidak disetel, karena kami menggunakan nilai defaultEXTENDABLE_RETENTION_PRICINGseperti yang kami harapkan untuk menelan kurang dari 25 TB data peristiwa.catatan
Jika Anda membuat penyimpanan data acara untuk menggantikan jejak Anda, kami sarankan untuk mengonfigurasi
--advanced-event-selectorsagar sesuai dengan pemilih acara jejak Anda untuk memastikan Anda memiliki cakupan acara yang sama. Secara default, data acara menyimpan log semua peristiwa manajemen.aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestionBerikut ini adalah contoh responsnya:
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" }Awal
StatusadalahCREATEDjadi kita akan menjalankan get-event-data-store perintah untuk memverifikasi konsumsi dihentikan.aws cloudtrail get-event-data-store --event-data-storeeds-idTanggapan menunjukkan
StatussekarangSTOPPED_INGESTION, yang menunjukkan penyimpanan data acara tidak menelan acara langsung.{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "STOPPED_INGESTION", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" } -
Jalankan start-import perintah untuk mengimpor peristiwa jejak ke penyimpanan data acara yang dibuat pada langkah 1. Tentukan ARN (atau akhiran ID dari ARN) dari penyimpanan data peristiwa sebagai nilai untuk parameter.
--destinationsUntuk--start-event-timetentukaneventTimeuntuk acara tertua yang ingin Anda salin dan untuk--end-event-timetentukaneventTimeacara terbaru yang ingin Anda salin. Untuk--import-sourcemenentukan URI S3 untuk bucket S3 yang berisi log jejak Anda, bucket Wilayah AWS untuk S3, dan ARN peran yang digunakan untuk mengimpor peristiwa jejak.aws cloudtrail start-import \ --destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \ --start-event-time 2023-08-11T16:08:12.934000+00:00 \ --end-event-time 2023-11-09T17:08:20.705000+00:00 \ --import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}Berikut ini adalah contoh respons.
{ "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1", "ImportSource": { "S3": { "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds", "S3BucketRegion":"us-east-1", "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/" } }, "ImportStatus": "INITIALIZING", "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00" } -
Jalankan get-importperintah untuk mendapatkan informasi tentang impor.
aws cloudtrail get-import --import-idimport-idBerikut ini adalah contoh respons.
{ "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "ImportSource": { "S3": { "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/", "S3BucketRegion":"us-east-1", "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds" } }, "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportStatus": "COMPLETED", "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "ImportStatistics": { "PrefixesFound": 1548, "PrefixesCompleted": 1548, "FilesCompleted": 92845, "EventsCompleted": 577249, "FailedEntries": 0 } }Impor selesai dengan a
ImportStatusofCOMPLETEDjika tidak ada kegagalan, atauFAILEDjika ada kegagalan.Jika impor memiliki
FailedEntries, Anda dapat menjalankan list-import-failuresperintah untuk mengembalikan daftar kegagalan.aws cloudtrail list-import-failures --import-idimport-idUntuk mencoba lagi impor yang mengalami kegagalan, jalankan start-import perintah hanya dengan
--import-idparameter. Saat Anda mencoba kembali impor, CloudTrail melanjutkan impor di lokasi di mana kegagalan terjadi.aws cloudtrail start-import --import-idimport-id
Dapatkan penyimpanan data acara dengan AWS CLI
Contoh AWS CLI get-event-data-store perintah berikut mengembalikan informasi tentang penyimpanan data peristiwa yang ditentukan oleh --event-data-store parameter yang diperlukan, yang menerima ARN atau akhiran ID dari ARN.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Berikut ini adalah contoh respons. Pembuatan dan waktu pembaruan terakhir dalam timestamp format.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "s3-data-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log DeleteObject API calls for a specific S3 bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "eventName", "Equals": [ "DeleteObject" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3:::bucketName" ] }, { "Field": "readOnly", "Equals": [ "false" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00", "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00" }
Daftar semua penyimpanan data acara di akun dengan AWS CLI
AWS CLI list-event-data-storesPerintah contoh berikut mengembalikan informasi tentang semua data peristiwa yang disimpan di akun, di Wilayah saat ini. Parameter opsional termasuk--max-results, untuk menentukan jumlah maksimum hasil yang Anda inginkan perintah untuk kembali pada satu halaman. Jika ada lebih banyak hasil daripada --max-results nilai yang Anda tentukan, jalankan perintah lagi dengan menambahkan NextToken nilai yang dikembalikan untuk mendapatkan halaman hasil berikutnya.
aws cloudtrail list-event-data-stores
Berikut ini adalah contoh respons.
{ "EventDataStores": [ { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969", "Name": "management-events-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a", "Name": "config-items-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4", "Name": "s3-data-events" } ] }
Perbarui penyimpanan data acara dengan AWS CLI
Contoh berikut menunjukkan cara memperbarui penyimpanan data acara.
Topik
Perbarui mode penagihan dengan AWS CLI
--billing-modeUntuk penyimpanan data acara menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Jika penyimpanan data acara --billing-mode disetel keFIXED_RETENTION_PRICING, Anda dapat mengubah nilainya menjadiEXTENDABLE_RETENTION_PRICING. EXTENDABLE_RETENTION_PRICINGUmumnya direkomendasikan jika penyimpanan data acara Anda menelan kurang dari 25 TB data peristiwa per bulan dan Anda menginginkan periode retensi yang fleksibel hingga 3653 hari. Untuk informasi tentang harga, lihat AWS CloudTrail Harga
catatan
Anda tidak dapat mengubah --billing-mode nilai dari EXTENDABLE_RETENTION_PRICING keFIXED_RETENTION_PRICING. Jika mode penagihan penyimpanan data peristiwa diatur ke EXTENDABLE_RETENTION_PRICING dan Anda ingin menggunakannya FIXED_RETENTION_PRICING sebagai gantinya, Anda dapat menghentikan konsumsi pada penyimpanan data acara dan membuat penyimpanan data acara baru yang digunakan. FIXED_RETENTION_PRICING
Contoh AWS CLI update-event-data-store perintah berikut mengubah --billing-mode untuk penyimpanan data acara dari FIXED_RETENTION_PRICING keEXTENDABLE_RETENTION_PRICING. Nilai --event-data-store parameter yang diperlukan adalah ARN (atau akhiran ID ARN) dan diperlukan; parameter lainnya bersifat opsional.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --billing-mode EXTENDABLE_RETENTION_PRICING
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Perbarui mode retensi, aktifkan perlindungan terminasi, dan tentukan a AWS KMS keyAWS CLI
Contoh AWS CLI update-event-data-store perintah berikut memperbarui penyimpanan data peristiwa untuk mengubah periode retensi menjadi 100 hari, dan mengaktifkan perlindungan penghentian. Nilai --event-data-store parameter yang diperlukan adalah ARN (atau akhiran ID ARN) dan diperlukan; parameter lainnya bersifat opsional. Dalam contoh ini, --retention-period parameter ditambahkan untuk mengubah periode retensi menjadi 100 hari. Secara opsional, Anda dapat memilih untuk mengaktifkan AWS Key Management Service enkripsi dan menentukan AWS KMS key dengan menambahkan --kms-key-id ke perintah, dan menentukan ARN kunci KMS sebagai nilai. --termination-protection-enabledditambahkan untuk mengaktifkan perlindungan penghentian pada penyimpanan data peristiwa yang tidak mengaktifkan perlindungan penghentian.
Penyimpanan data peristiwa yang mencatat peristiwa dari luar AWS tidak dapat diperbarui untuk mencatat AWS peristiwa. Demikian pula, penyimpanan data peristiwa yang mencatat AWS peristiwa tidak dapat diperbarui untuk mencatat peristiwa dari luar AWS.
catatan
Jika Anda mengurangi periode retensi penyimpanan data acara, CloudTrail akan menghapus peristiwa dengan periode retensi yang eventTime lebih lama dari periode penyimpanan baru. Misalnya, jika periode retensi sebelumnya adalah 365 hari dan Anda menguranginya menjadi 100 hari, CloudTrail akan menghapus acara dengan eventTime lebih dari 100 hari.
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --retention-period 100 \ --kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \ --termination-protection-enabled
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 100, "KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Nonaktifkan perlindungan terminasi dengan AWS CLI
Secara default, perlindungan penghentian diaktifkan pada penyimpanan data peristiwa untuk melindungi penyimpanan data peristiwa dari penghapusan yang tidak disengaja. Anda tidak dapat menghapus penyimpanan data peristiwa saat perlindungan penghentian diaktifkan. Jika Anda ingin menghapus penyimpanan data acara, Anda harus menonaktifkan perlindungan penghentian terlebih dahulu.
Contoh AWS CLI update-event-data-store perintah berikut menonaktifkan perlindungan terminasi dengan melewati --no-termination-protection-enabled parameter.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --no-termination-protection-enabled \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Berikut ini adalah contoh respons.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": false, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Hentikan konsumsi pada penyimpanan data acara dengan AWS CLI
Contoh AWS CLI stop-event-data-store-ingestion perintah berikut menghentikan penyimpanan data peristiwa dari menelan peristiwa. Untuk menghentikan konsumsi, penyimpanan data acara Status harus ENABLED dan eventCategory harusManagement,Data, atau. ConfigurationItem Penyimpanan data peristiwa ditentukan oleh--event-data-store, yang menerima ARN penyimpanan data peristiwa, atau akhiran ID ARN. Setelah Anda menjalankanstop-event-data-store-ingestion, status penyimpanan data acara berubah menjadiSTOPPED_INGESTION.
Penyimpanan data acara dihitung terhadap akun Anda maksimal sepuluh penyimpanan data peristiwa saat statusnyaSTOPPED_INGESTION.
aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Tidak ada respon jika operasi berhasil.
Mulai menelan pada penyimpanan data acara dengan AWS CLI
Contoh AWS CLI start-event-data-store-ingestion perintah berikut memulai konsumsi acara pada penyimpanan data acara. Untuk memulai konsumsi, penyimpanan data acara Status harus STOPPED_INGESTION dan eventCategory harusManagement,Data, atau. ConfigurationItem Penyimpanan data peristiwa ditentukan oleh--event-data-store, yang menerima ARN penyimpanan data peristiwa, atau akhiran ID ARN. Setelah Anda menjalankanstart-event-data-store-ingestion, status penyimpanan data acara berubah menjadiENABLED.
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Tidak ada respon jika operasi berhasil.
Aktifkan federasi pada penyimpanan data acara
Untuk mengaktifkan federasi, jalankan aws cloudtrail enable-federation perintah, berikan yang diperlukan --event-data-store dan --role parameter. Untuk--event-data-store, berikan ARN penyimpanan data acara (atau akhiran ID ARN). Untuk--role, berikan ARN untuk peran federasi Anda. Peran harus ada di akun Anda dan memberikan izin minimum yang diperlukan.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id--role arn:aws:iam::account-id:role/federation-role-name
Contoh ini menunjukkan bagaimana administrator yang didelegasikan dapat mengaktifkan federasi pada penyimpanan data acara organisasi dengan menentukan ARN penyimpanan data acara di akun manajemen dan ARN peran federasi dalam akun administrator yang didelegasikan.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
Nonaktifkan federasi pada penyimpanan data acara
Untuk menonaktifkan federasi pada penyimpanan data acara, jalankan aws
cloudtrail disable-federation perintah. Penyimpanan data peristiwa ditentukan oleh--event-data-store, yang menerima ARN penyimpanan data peristiwa atau akhiran ID ARN.
aws cloudtrail disable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
catatan
Jika ini adalah penyimpanan data acara organisasi, gunakan ID akun untuk akun manajemen.
Hapus penyimpanan data acara dengan AWS CLI
Contoh AWS CLI delete-event-data-store perintah berikut menonaktifkan penyimpanan data peristiwa yang ditentukan oleh--event-data-store, yang menerima ARN penyimpanan data peristiwa, atau akhiran ID dari ARN. Setelah Anda menjalankandelete-event-data-store, status akhir penyimpanan data acara adalahPENDING_DELETION, dan penyimpanan data acara secara otomatis dihapus setelah masa tunggu 7 hari.
Setelah Anda menjalankan delete-event-data-store penyimpanan data peristiwa, Anda tidak dapat menjalankan list-queriesdescribe-query, atau get-query-results pada kueri yang menggunakan penyimpanan data yang dinonaktifkan. Penyimpanan data acara dihitung terhadap akun Anda maksimal sepuluh penyimpanan data peristiwa saat penghapusan tertunda.
catatan
Anda tidak dapat menghapus penyimpanan data peristiwa jika --termination-protection-enabled disetel atau FederationStatus sudah diaturENABLED.
aws cloudtrail delete-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Tidak ada respon jika operasi berhasil.
Kembalikan penyimpanan data acara dengan AWS CLI
Contoh AWS CLI restore-event-data-store perintah berikut mengembalikan penyimpanan data peristiwa yang tertunda penghapusan. Penyimpanan data peristiwa ditentukan oleh--event-data-store, yang menerima ARN penyimpanan data peristiwa atau akhiran ID ARN. Anda hanya dapat memulihkan penyimpanan data peristiwa yang dihapus dalam periode tunggu tujuh hari setelah penghapusan.
aws cloudtrail restore-event-data-store --event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Tanggapan tersebut mencakup informasi tentang penyimpanan data acara, termasuk ARN, pemilih acara lanjutan, dan status restorasi.
