Copia gli eventi del trail in un data store di eventi esistente con la console - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Copia gli eventi del trail in un data store di eventi esistente con la console

Utilizza la procedura seguente per copiare eventi di percorso in un datastore di eventi esistente. Per ulteriori informazioni su come creare un nuovo datastore di eventi, consulta Crea un archivio dati di CloudTrail eventi per gli eventi con la console.

Nota

Prima di copiare gli eventi del percorso in un datastore di eventi esistente, assicurati che l'opzione di prezzo e il periodo di conservazione del datastore di eventi siano configurati correttamente per il tuo caso d'uso.

  • Opzione di prezzo: l'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi. Per ulteriori informazioni su opzioni di prezzo, consulta Prezzi AWS CloudTrail e Opzioni di prezzo del datastore di eventi.

  • Periodo di conservazione: il periodo di conservazione determina per quanto tempo i dati degli eventi vengono conservati nell'archivio dati degli eventi. CloudTrail copia solo gli eventi trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Per determinare il periodo di conservazione appropriato, prendi la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni in cui desideri conservare gli eventi nell'Event Data Store (periodo di conservazione = oldest-event-in-days + number-days-to-retain). Ad esempio, se l'evento più vecchio che stai copiando risale a 45 giorni fa e desideri conservare gli eventi nell'archivio dati degli eventi per altri 45 giorni, imposterai il periodo di conservazione su 90 giorni.

Per copiare eventi del percorso in un datastore di eventi

  1. Accedi a AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.

  3. Scegliere Copy trail events (Copia eventi traccia).

  4. Nella pagina Copy trail events (Copia eventi traccia), per Event source (Origine evento) scegliere il percorso da copiare. Per impostazione predefinita, copia CloudTrail solo CloudTrail gli eventi contenuti nel CloudTrail prefisso del bucket S3 e i prefissi all'interno del prefisso e non controlla i CloudTrail prefissi per altri servizi. AWS Se desideri copiare gli CloudTrail eventi contenuti in un altro prefisso, scegli Inserisci S3, quindi scegli Sfoglia S3 URI per cercare il prefisso. Se il bucket S3 di origine per il trail utilizza una KMS chiave per la crittografia dei dati, assicurati che la policy della chiave consenta di decrittografare i KMS dati. CloudTrail Se il bucket S3 di origine utilizza più KMS chiavi, devi aggiornare la policy di ciascuna chiave per consentire CloudTrail la decrittografia dei dati nel bucket. Per ulteriori informazioni sull'aggiornamento della policy chiave, consultaKMS. KMSpolitica chiave per la decrittografia dei dati nel bucket S3 di origine

    La policy del bucket S3 deve consentire CloudTrail l'accesso alla copia degli eventi di trail dal bucket S3. Per ulteriori informazioni sull'aggiornamento della policy del bucket S3, consulta Policy del bucket Amazon S3 per la copia di eventi traccia.

  5. Per Specificare un intervallo di tempo di eventi, scegli l'intervallo di tempo in cui copiare gli eventi. CloudTrail controlla il prefisso e il nome del file di registro per verificare che il nome contenga una data compresa tra la data di inizio e di fine scelte prima di tentare di copiare gli eventi del trail. Puoi scegliere un Intervallo relativo o un Intervallo assoluto. Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, scegliere un intervallo di tempo antecedente alla creazione dell'archivio dati degli eventi.

    Nota

    CloudTrail copia solo gli eventi di trail che eventTime rientrano nel periodo di conservazione dell'Event Data Store. Ad esempio, se il periodo di conservazione di un Event Data Store è di 90 giorni, non CloudTrail copierà alcun evento di trail con una data eventTime più vecchia di 90 giorni.

    • Se scegli Intervallo relativo, puoi scegliere di copiare gli eventi registrati negli ultimi 6 mesi, 1 anno, 2 anni, 7 anni o un intervallo personalizzato. CloudTrail copia gli eventi registrati nel periodo di tempo scelto.

    • Se scegli l'intervallo assoluto, puoi scegliere una data di inizio e di fine specifica. CloudTrail copia gli eventi che si sono verificati tra le date di inizio e di fine scelte.

  6. Per Luogo di distribuzione, scegli l'archivio dati degli eventi di destinazione dall'elenco a discesa.

  7. Per Autorizzazioni, scegli tra le seguenti opzioni di IAM ruolo. Se scegli un IAM ruolo esistente, verifica che la politica del IAM ruolo fornisca le autorizzazioni necessarie. Per ulteriori informazioni sull'aggiornamento delle autorizzazioni dei IAM ruoli, consulta. IAMautorizzazioni per copiare gli eventi del trail

    • Scegli Crea un nuovo ruolo (consigliato) per creare un nuovo IAM ruolo. In Inserisci il nome del IAM ruolo, inserisci un nome per il ruolo. CloudTrail crea automaticamente le autorizzazioni necessarie per questo nuovo ruolo.

    • Scegli Usa un IAM ruolo personalizzato ARN per utilizzare un IAM ruolo personalizzato non elencato. Per Inserisci IAM ruolo ARN, inserisci il IAMARN.

    • Scegli un IAM ruolo esistente dall'elenco a discesa.

  8. Scegli Copia eventi.

  9. Viene chiesto di confermare. Quando sei pronto a confermare, scegli Copia eventi traccia in Lake, quindi Copia eventi.

  10. Nella pagina Dettagli copia, puoi visualizzare lo stato della copia ed esaminare eventuali errori. Quando la copia di un evento traccia viene completata, il relativo Stato copia viene impostato su Completato in assenza di errori o su Non riuscito se si sono verificati errori.

    Nota

    I dettagli mostrati nella pagina dei dettagli della copia dell'evento non sono in tempo reale. I valori effettivi per dettagli come Prefixes copied (Prefissi copiati) possono essere superiori a quelli mostrati nella pagina. CloudTrail aggiorna i dettagli in modo incrementale nel corso della copia dell'evento.

  11. Se Stato copia è Non riuscito, correggi eventuali errori mostrati in Errori di copia e scegli Riprova la copia. Quando si riprova una copia, la CloudTrail riprende nella posizione in cui si è verificato l'errore.

Per ulteriori informazioni sulla visualizzazione dei dettagli di una copia evento traccia, consulta Visualizza i dettagli della copia dell'evento con la CloudTrail console.