Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea, aggiorna e gestisci archivi di dati di eventi con AWS CLI
Puoi usare il AWS CLI per creare, aggiornare e gestire i tuoi archivi di dati sugli eventi. Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella Regione AWS configurazione per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro --region con il comando.
Comandi disponibili per gli archivi dati degli eventi
I comandi per la creazione e l'aggiornamento degli archivi di dati di eventi in CloudTrail Lake includono:
-
create-event-data-storeper creare un archivio dati di eventi. -
get-event-data-storeper restituire informazioni sull'archivio dati degli eventi, inclusi i selettori di eventi avanzati configurati per l'archivio dati degli eventi. -
update-event-data-storeper modificare la configurazione di un archivio dati di eventi esistente. -
list-event-data-storesper elencare gli archivi di dati degli eventi. -
delete-event-data-storeper eliminare un archivio dati di eventi. -
restore-event-data-storeper ripristinare un archivio dati di eventi in attesa di eliminazione. -
start-importper avviare un'importazione di eventi trail in un event data store o riprovare un'importazione non riuscita. -
get-importper restituire informazioni su un'importazione specifica. -
stop-importper interrompere l'importazione di eventi trail in un data store di eventi. -
list-importsper restituire informazioni su tutte le importazioni o su un insieme selezionato di importazioni daImportStatusoDestination. -
list-import-failuresper elencare gli errori di importazione per l'importazione specificata. -
stop-event-data-store-ingestionper interrompere l'inserimento degli eventi in un archivio dati di eventi. -
start-event-data-store-ingestionper riavviare l'inserimento di eventi in un data store di eventi. -
enable-federationper abilitare la federazione su un data store di eventi per interrogare il data store di eventi in Amazon Athena. -
disable-federationper disabilitare la federazione su un data store di eventi. Dopo aver disabilitato la federazione, non puoi più eseguire query sui dati dell'Event Data Store in Amazon Athena. Puoi continuare a eseguire query in CloudTrail Lake. -
put-insight-selectorsper aggiungere o modificare i selettori di eventi Insights per un data store di eventi esistente e abilitare o disabilitare gli eventi Insights. -
get-insight-selectorsper restituire informazioni sui selettori di eventi Insights configurati per un archivio dati di eventi. -
add-tagsper aggiungere uno o più tag (coppie chiave-valore) a un archivio dati di eventi esistente. -
remove-tagsper rimuovere uno o più tag da un archivio dati di eventi. -
list-tagsper restituire un elenco di tag associati a un archivio dati di eventi.
Per un elenco dei comandi disponibili per le query su CloudTrail Lake, vediComandi disponibili per le query su CloudTrail Lake.
Per un elenco dei comandi disponibili per le integrazioni di CloudTrail Lake, vedi. Comandi disponibili per le integrazioni con CloudTrail Lake
Crea un data store di eventi con AWS CLI
Utilizza il comando create-event-data-store
Quando crei un datastore di eventi, l'unico parametro richiesto è --name, che viene utilizzato per identificare tale datastore. È possibile configurare parametri opzionali aggiuntivi, tra cui:
-
--advanced-event-selectors: specifica il tipo di eventi da includere nel datastore di eventi. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione. Per ulteriori informazioni sui selettori di eventi avanzati, consulta AdvancedEventSelectorl' CloudTrail API Reference. -
--kms-key-idalias/, un ARN completo per un alias, un ARN completo per una chiave o un identificatore univoco globale. -
--multi-region-enabled- Crea un data store di eventi multiregionale che registra gli eventi per tutti gli utenti del tuo account. Regioni AWS--multi-region-enabledè impostato per impostazione predefinita, anche se il parametro non viene aggiunto. -
--organization-enabled: consente a un datastore di eventi di raccogliere eventi per tutti gli account di un'organizzazione. Per impostazione predefinita, il datastore di eventi non è abilitato per tutti gli account di un'organizzazione. -
--billing-mode: determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi.Di seguito sono riportati i valori possibili:
-
EXTENDABLE_RETENTION_PRICING: questa modalità di fatturazione in genere è consigliata se importi meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 3.653 giorni (circa 10 anni). Il periodo di conservazione predefinito per questa modalità di fatturazione è 366 giorni. -
FIXED_RETENTION_PRICING: questa modalità di fatturazione è consigliata se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 2.557 giorni (circa 7 anni). Il periodo di conservazione predefinito per questa modalità di fatturazione è 2.557 giorni.
Il valore predefinito è
EXTENDABLE_RETENTION_PRICING. -
-
--retention-period: il numero di giorni di conservazione degli eventi nel datastore di eventi. I valori validi sono numeri interi compresi tra 7 e 3.653 se la--billing-modeèEXTENDABLE_RETENTION_PRICINGo tra 7 e 2.557 se la--billing-modeè impostata suFIXED_RETENTION_PRICING. Se non si specifica--retention-period, CloudTrail utilizza il periodo di conservazione predefinito per.--billing-mode -
--start-ingestion: il parametro--start-ingestionavvia l'importazione degli eventi nel datastore di eventi al momento della sua creazione. Questo parametro è impostato anche se non viene aggiunto.Specifica
--no-start-ingestionse desideri che il datastore di eventi non importi gli eventi live. Ad esempio, potresti voler impostare questo parametro se copi eventi nel datastore e prevedi di utilizzare i dati degli eventi solo per analizzare gli eventi passati. Il parametro--no-start-ingestionè valido solo se laeventCategoryèManagement,DataoConfigurationItem.
Negli esempi seguenti viene illustrato come creare diversi tipi di datastore di eventi.
Argomenti
- Crea un archivio dati di eventi per gli eventi di dati S3 con il AWS CLI
- Crea un archivio dati di eventi per gli elementi di AWS Config configurazione con AWS CLI
- Crea un archivio dati degli eventi organizzativi per gli eventi di gestione con il AWS CLI
- Crea archivi dati di eventi per gli eventi Insights con AWS CLI
Crea un archivio dati di eventi per gli eventi di dati S3 con il AWS CLI
Il seguente create-event-data-store comando di esempio AWS Command Line Interface (AWS CLI) crea un event data store denominato my-event-data-store che seleziona tutti gli eventi di dati di Amazon S3 e viene crittografato utilizzando una chiave KMS.
aws cloudtrail create-event-data-store \ --name my-event-data-store \ --kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \ --advanced-event-selectors '[ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] } ] } ]'
Di seguito è riportata una risposta di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00", "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00" }
Crea un archivio dati di eventi per gli elementi di AWS Config configurazione con AWS CLI
Il AWS CLI create-event-data-store comando di esempio seguente crea un archivio dati di eventi denominato config-items-eds che seleziona gli elementi AWS Config di configurazione. Per raccogliere elementi di configurazione, specifica che il campo eventCategory è uguale a ConfigurationItem nei selettori di eventi avanzati.
aws cloudtrail create-event-data-store \ --name config-items-eds \ --advanced-event-selectors '[ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["ConfigurationItem"] } ] } ]'
Di seguito è riportata una risposta di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "config-items-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "ConfigurationItem" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00", "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00" }
Crea un archivio dati degli eventi organizzativi per gli eventi di gestione con il AWS CLI
Il AWS CLI create-event-data-store comando di esempio seguente crea un archivio dati degli eventi organizzativi che raccoglie tutti gli eventi di gestione e imposta il --billing-mode parametro suFIXED_RETENTION_PRICING.
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
Di seguito è riportata una risposta di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207", "Name": "org-management-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": true, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00", "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00" }
Crea archivi dati di eventi per gli eventi Insights con AWS CLI
Per registrare gli eventi di Insights in CloudTrail Lake, è necessario un data store di eventi di destinazione che raccolga gli eventi Insights e un data store di eventi di origine che abiliti Insights e registri gli eventi di gestione.
Questa procedura mostra come creare i datastore di eventi di destinazione e di origine e come abilitare gli eventi Insights.
-
Esegui il comando aws cloudtrail create-event-data-store
per creare un datastore di eventi di destinazione che raccolga gli eventi di Insights. Il valore di eventCategorydeve essereInsight. Sostituisciloretention-period-dayscon il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi. I valori validi sono numeri interi compresi tra 7 e 3.653 se la--billing-modeèEXTENDABLE_RETENTION_PRICINGo tra 7 e 2.557 se la--billing-modeè impostata suFIXED_RETENTION_PRICING. Se non si specifica--retention-period, CloudTrail utilizza il periodo di conservazione predefinito per--billing-mode.Se hai effettuato l'accesso con l'account di gestione di un' AWS Organizations organizzazione, includi il
--organization-enabledparametro se desideri concedere all'amministratore delegato l'accesso all'archivio dati degli eventi.aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'Di seguito è riportata una risposta di esempio.
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00" }Come valore per il parametro
--insights-destinationnel passaggio 3 utilizzerai l'ARN(o il suffisso ID dell'ARN) dalla risposta. -
Esegui il comando aws cloudtrail create-event-data-store
per creare un datastore di eventi di origine che registri gli eventi di gestione. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione. Non è necessario specificare i selettori di eventi avanzati se si desidera registrare tutti gli eventi di gestione. Sostituiscilo retention-period-dayscon il numero di giorni in cui desideri conservare gli eventi nel tuo archivio dati degli eventi. I valori validi sono numeri interi compresi tra 7 e 3.653 se la--billing-modeèEXTENDABLE_RETENTION_PRICINGo tra 7 e 2.557 se la--billing-modeè impostata suFIXED_RETENTION_PRICING. Se non si specifica--retention-period, CloudTrail utilizza il periodo di conservazione predefinito per--billing-mode. Se stai creando un datastore di eventi dell'organizzazione, includi il parametro--organization-enabled.aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-daysDi seguito è riportata una risposta di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00" }Come valore per il parametro
--event-data-storenel passaggio 3 utilizzerai l'ARN(o il suffisso ID dell'ARN) dalla risposta. -
Esegui il comando put-insight-selectors
per abilitare gli eventi Insights. I valori del selettore Insights possono essere ApiCallRateInsight,ApiErrorRateInsighto entrambi. Per il parametro--event-data-store, specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi di origine che registra gli eventi di gestione e abiliterà Insights. Per il parametro--insights-destination, specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi di destinazione che registrerà gli eventi di Insights.aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'Il risultato seguente mostra il selettore di eventi Insights configurato per il datastore di eventi.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }Dopo aver abilitato CloudTrail Insights per la prima volta su un Event Data Store, possono essere necessari fino a 7 giorni per CloudTrail la consegna del primo evento Insights, se viene rilevata un'attività insolita.
CloudTrail Insights analizza gli eventi di gestione che si verificano in una singola regione, non a livello globale. Un evento CloudTrail Insights viene generato nella stessa regione in cui vengono generati gli eventi di gestione di supporto.
Per un archivio dati di eventi organizzativi, CloudTrail analizza gli eventi di gestione dell'account di ciascun membro anziché analizzare l'aggregazione di tutti gli eventi di gestione dell'organizzazione.
Si applicano costi aggiuntivi per l'importazione di eventi Insights in Lake. CloudTrail Ti verrà addebitato separatamente se abiliti Insights sia per i percorsi che per i datastore di eventi. Per informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.
Importa gli eventi del trail in un data store di eventi con il AWS CLI
In AWS CLI, è possibile importare gli eventi del trail in un archivio dati di eventi. La procedura in questa sezione illustra come creare e configurare un datastore di eventi eseguendo il comando create-event-data-store e in seguito importare gli eventi in tale datastore utilizzando il comando start-import. Per ulteriori informazioni sull'importazione degli eventi del percorso, incluse informazioni sulle considerazioni e sulle autorizzazioni necessarie, consulta Copia di eventi traccia in un archivio dati degli eventi.
Preparazione all'importazione degli eventi del percorso
Prima di importare gli eventi del percorso, effettua le seguenti operazioni preliminari.
-
Assicurati di avere un ruolo con le autorizzazioni necessarie per importare gli eventi del percorso in un datastore di eventi.
-
Determina il valore --billing-mode che desideri specificare per il datastore di eventi. La
--billing-modedetermina il costo dell'importazione e dell'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi.Quando importi gli eventi del trail su CloudTrail Lake, CloudTrail decomprime i log archiviati in formato gzip (compresso). Quindi CloudTrail copia gli eventi contenuti nei log nel tuo archivio dati degli eventi. La dimensione dei dati non compressi potrebbe essere maggiore della dimensione di archiviazione effettiva di Amazon S3. Per avere una stima generale della dimensione dei dati non compressi, moltiplica la dimensione dei log nel bucket S3 per 10. Puoi utilizzare questa stima per scegliere il valore
--billing-modeper il tuo caso d'uso. -
Determina il valore che desideri specificare per il
--retention-period. CloudTrail non copierà un evento seeventTimeè più vecchio del periodo di conservazione specificato.Per determinare il periodo di conservazione corretto, calcola la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni per cui desideri conservare gli eventi nel datastore eventi, come dimostrato nell'equazione seguente:
Periodo di conservazione =
oldest-event-in-days+number-days-to-retainAd esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.
-
Decidi se utilizzare il datastore di eventi per analizzare eventuali eventi futuri. Se non desideri importare eventi futuri, includi il parametro
--no-start-ingestiondurante la creazione del datastore di eventi. Per impostazione predefinita, i datastore di eventi iniziano a importare eventi quando vengono creati.
Per creare un datastore di eventi e importarvi gli eventi del percorso
-
Esegui il comando create-event-data-store per creare il nuovo datastore di eventi. In questo esempio, il
--retention-periodè impostato su120perché l'evento più vecchio copiato risale a 90 giorni fa e vogliamo conservare gli eventi per 30 giorni. Il parametro--no-start-ingestionè impostato perché non vogliamo importare eventi futuri. In questo esempio,--billing-modenon è stato impostato, perché utilizziamo il valore predefinitoEXTENDABLE_RETENTION_PRICINGdal momento che prevediamo di importare meno di 25 TB di dati di eventi.Nota
Se stai creando il datastore di eventi per sostituire il percorso, ti consigliamo di configurarlo in modo che
--advanced-event-selectorscorrisponda ai selettori di eventi del percorso per assicurarti la stessa copertura degli eventi. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione.aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestionDi seguito è riportata la risposta di esempio:
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" }Lo
Statusiniziale èCREATEDquindi eseguiremo il comando get-event-data-store per verificare che l'importazione sia interrotta.aws cloudtrail get-event-data-store --event-data-storeeds-idLa risposta indica che ora lo
StatusèSTOPPED_INGESTION, quindi al momento il datastore di eventi non importa gli eventi live.{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "STOPPED_INGESTION", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" } -
Usa il comando start-import per importare gli eventi del percorso nel datastore di eventi creato nella fase 1. Specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi come valore per il parametro
--destinations. Per--start-event-timespecifica l'eventTimedell'evento più vecchio da copiare e per--end-event-timel'eventTimedell'evento più recente da copiare. Per--import-sourcespecificare l'URI S3 per il bucket S3 contenente i log dei trail, il Regione AWS per il bucket S3 e l'ARN del ruolo utilizzato per importare gli eventi del trail.aws cloudtrail start-import \ --destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \ --start-event-time 2023-08-11T16:08:12.934000+00:00 \ --end-event-time 2023-11-09T17:08:20.705000+00:00 \ --import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}Di seguito è riportata una risposta di esempio.
{ "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1", "ImportSource": { "S3": { "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds", "S3BucketRegion":"us-east-1", "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/" } }, "ImportStatus": "INITIALIZING", "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00" } -
Esegui il comando get-import per ottenere informazioni sull'importazione.
aws cloudtrail get-import --import-idimport-idDi seguito è riportata una risposta di esempio.
{ "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "ImportSource": { "S3": { "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/", "S3BucketRegion":"us-east-1", "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds" } }, "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportStatus": "COMPLETED", "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "ImportStatistics": { "PrefixesFound": 1548, "PrefixesCompleted": 1548, "FilesCompleted": 92845, "EventsCompleted": 577249, "FailedEntries": 0 } }L'importazione termina con
ImportStatussuCOMPLETEDse non si sono verificati errori o suFAILEDse si sono verificati errori.Se l'importazione ha registrato
FailedEntries, puoi eseguire il comando list-import-failures per restituire un elenco di errori.aws cloudtrail list-import-failures --import-idimport-idPer riprovare un'importazione che ha registrato errori, esegui il comando start-import solo con il parametro
--import-id. Quando si riprova un'importazione, CloudTrail riprende l'importazione nella posizione in cui si è verificato l'errore.aws cloudtrail start-import --import-idimport-id
Ottieni un archivio dati sugli eventi con AWS CLI
Il AWS CLI get-event-data-store comando di esempio seguente restituisce informazioni sull'archivio dati degli eventi specificato dal --event-data-store parametro richiesto, che accetta un ARN o il suffisso ID dell'ARN.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Di seguito è riportata una risposta di esempio. L'ora di creazione e dell'ultimo aggiornamento sono espressi nel formato timestamp.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "s3-data-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log DeleteObject API calls for a specific S3 bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "eventName", "Equals": [ "DeleteObject" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3:::bucketName" ] }, { "Field": "readOnly", "Equals": [ "false" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00", "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00" }
Elenca tutti gli archivi dati degli eventi in un account con AWS CLI
Il AWS CLI list-event-data-stores comando di esempio seguente restituisce informazioni su tutti gli archivi di dati di eventi in un account, nella regione corrente. I parametri opzionali includono --max-results, che consente di specificare il numero massimo di risultati che desideri che il comando restituisca su una singola pagina. Se ci sono più risultati di quanto specificato dal valore --max-results, esegui nuovamente il comando aggiungendo il valore NextToken restituito per visualizzare la pagina dei risultati successiva.
aws cloudtrail list-event-data-stores
Di seguito è riportata una risposta di esempio.
{ "EventDataStores": [ { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969", "Name": "management-events-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a", "Name": "config-items-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4", "Name": "s3-data-events" } ] }
Aggiornate un archivio dati di eventi con AWS CLI
Negli esempi seguenti viene illustrato come aggiornare un datastore di eventi.
Argomenti
Aggiorna la modalità di fatturazione con AWS CLI
La --billing-mode per il datastore di eventi determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Se la --billing-mode di un datastore di eventi è impostata su FIXED_RETENTION_PRICING, puoi modificare il valore in EXTENDABLE_RETENTION_PRICING. In genere, EXTENDABLE_RETENTION_PRICING è consigliato se il datastore di eventi importa meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 3.653 giorni. Per informazioni sui prezzi, consulta Prezzo AWS CloudTrail
Nota
Non puoi modificare il valore della --billing-mode da EXTENDABLE_RETENTION_PRICING a FIXED_RETENTION_PRICING. Se la modalità di fatturazione del datastore di eventi è impostata su EXTENDABLE_RETENTION_PRICING, ma desideri utilizzare FIXED_RETENTION_PRICING al suo posto, puoi interrompere l'importazione nel datastore di eventi e crearne uno nuovo che utilizzi FIXED_RETENTION_PRICING.
Il AWS CLI update-event-data-store comando di esempio seguente modifica l'--billing-modearchivio dati degli eventi da FIXED_RETENTION_PRICING aEXTENDABLE_RETENTION_PRICING. Il valore del parametro --event-data-store richiesto è un ARN (o il suffisso ID dell'ARN) ed è obbligatorio; altri parametri sono facoltativi.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --billing-mode EXTENDABLE_RETENTION_PRICING
Di seguito è riportata una risposta di esempio.
{ "EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Aggiornate la modalità di conservazione, attivate la protezione dalla terminazione e specificate a AWS KMS key con AWS CLI
Il AWS CLI update-event-data-store comando di esempio seguente aggiorna un Event Data Store per modificarne il periodo di conservazione a 100 giorni e abilitare la protezione dalla terminazione. Il valore del parametro --event-data-store richiesto è un ARN (o il suffisso ID dell'ARN) ed è obbligatorio; altri parametri sono facoltativi. In questo esempio, viene aggiunto il parametro --retention-period per portare il periodo di conservazione a 100 giorni. Facoltativamente, puoi scegliere di abilitare AWS Key Management Service la crittografia e specificare an AWS KMS key aggiungendo --kms-key-id al comando e specificando una chiave KMS ARN come valore. --termination-protection-enabledviene aggiunto per abilitare la protezione dalla terminazione su un archivio dati di eventi in cui non era abilitata la protezione dalla terminazione.
Un archivio dati di eventi che registra gli eventi dall'esterno AWS non può essere aggiornato per registrare gli eventi. AWS Analogamente, un Event Data Store che registra gli AWS eventi non può essere aggiornato per registrare gli eventi dall'esterno. AWS
Nota
Se si riduce il periodo di conservazione di un Event Data Store, CloudTrail rimuoverà tutti gli eventi con un periodo di conservazione eventTime precedente al nuovo. Ad esempio, se il periodo di conservazione precedente era di 365 giorni e lo riduci a 100 giorni, CloudTrail rimuoverà gli eventi con una data eventTime precedente a 100 giorni.
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --retention-period 100 \ --kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \ --termination-protection-enabled
Di seguito è riportata una risposta di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 100, "KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Disabilita la protezione dalla terminazione con AWS CLI
Per impostazione predefinita, la protezione della terminazione è abilitata in un datastore di eventi per proteggerlo dall'eliminazione accidentale. Non è possibile eliminare un datastore di eventi con la protezione della terminazione abilitata. Se desideri eliminare il datastore di eventi, devi prima disabilitare la protezione della terminazione.
Il AWS CLI update-event-data-store comando di esempio seguente disattiva la protezione dalla terminazione passando il parametro. --no-termination-protection-enabled
aws cloudtrail update-event-data-store \ --region us-east-1 \ --no-termination-protection-enabled \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Di seguito è riportata una risposta di esempio.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": false, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Interrompi l'inserimento in un archivio dati di eventi con AWS CLI
Il AWS CLI stop-event-data-store-ingestion comando di esempio seguente impedisce a un Event Data Store di importare eventi. Per interrompere l'importazione, il datastore di eventi Status deve essere ENABLED e eventCategory deve essere Management, Data o ConfigurationItem. Il datastore di eventi è specificato da --event-data-store, che accetta un ARN del datastore di eventi o il suffisso ID dell'ARN. Dopo l'esecuzione di stop-event-data-store-ingestion, lo stato del datastore di eventi diventerà STOPPED_INGESTION.
Il datastore di eventi conta per il tuo account un massimo di dieci datastore di eventi quando il suo stato è STOPPED_INGESTION.
aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Se l'operazione riesce, non verrà generata alcuna risposta.
Avvia l'importazione su un data store di eventi con AWS CLI
Il AWS CLI start-event-data-store-ingestion comando di esempio seguente avvia l'inserimento di eventi in un data store di eventi. Per avviare l'importazione, il datastore di eventi Status deve essere STOPPED_INGESTION e eventCategory deve essere Management, Data o ConfigurationItem. Il datastore di eventi è specificato da --event-data-store, che accetta un ARN del datastore di eventi o il suffisso ID dell'ARN. Dopo l'esecuzione di start-event-data-store-ingestion, lo stato del datastore di eventi diventerà ENABLED.
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Se l'operazione riesce, non verrà generata alcuna risposta.
Abilitare la federazione in un datastore di eventi
Per abilitare la federazione, esegui il comando aws cloudtrail enable-federation fornendo i parametri --event-data-store e --role richiesti. Per --event-data-store, fornisci l'ARN del datastore di eventi (o il suffisso ID dell'ARN). Per --role, fornisci l'ARN per il tuo ruolo di federazione. Il ruolo deve esistere nel tuo account e fornire le autorizzazioni minime richieste.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id--role arn:aws:iam::account-id:role/federation-role-name
Questo esempio mostra come un amministratore delegato può abilitare la federazione in un datastore di eventi dell'organizzazione specificando l'ARN del datastore di eventi nell'account di gestione e l'ARN del ruolo di federazione nell'account amministratore delegato.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
Disabilitare la federazione in un datastore di eventi
Per disabilitare la federazione nel datastore di eventi, esegui il comando aws
cloudtrail disable-federation. L'archivio di dati degli eventi è specificato da --event-data-store, che accetta un ARN dell'archivio di dati degli eventi o il suffisso ID dell'ARN.
aws cloudtrail disable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
Nota
Se si tratta di un datastore di eventi dell'organizzazione, utilizza l'ID account dell'account di gestione.
Eliminare un archivio dati di eventi con AWS CLI
Il seguente comando di esempio AWS CLI delete-event-data-store disabilita l'archivio di dati degli eventi specificato da --event-data-store, che accetta un ARN dell'archivio di dati degli eventi o il suffisso ID dell'ARN. Dopo l'esecuzione di delete-event-data-store, lo stato finale del datastore di eventi è PENDING_DELETION e il datastore di eventi viene eliminato automaticamente dopo un periodo di attesa di 7 giorni.
Dopo l'esecuzione di delete-event-data-store su un archivio di dati degli eventi, non è possibile eseguire list-queries, describe-query oppure get-query-results sulle query che utilizzano l'archivio di dati disabilitato. Il datastore di eventi conta per il tuo account un massimo di dieci datastore di eventi quando il suo stato è in attesa di eliminazione.
Nota
Non è possibile eliminare un datastore di eventi se --termination-protection-enabled è impostato o se il suo FederationStatus è ENABLED.
aws cloudtrail delete-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Se l'operazione riesce, non verrà generata alcuna risposta.
Ripristina un archivio dati di eventi con AWS CLI
Il comando di esempio della AWS CLI restore-event-data-store seguente ripristina un archivio di dati degli eventi in attesa di eliminazione. L'archivio di dati degli eventi è specificato da --event-data-store, che accetta un ARN dell'archivio di dati degli eventi o il suffisso ID dell'ARN. È possibile ripristinare un archivio di dati degli eventi eliminato solo entro il periodo di attesa di sette giorni dopo l'eliminazione.
aws cloudtrail restore-event-data-store --event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
La risposta include informazioni sull'archivio di dati degli eventi, inclusi il relativo ARN, i selettori di eventi avanzati e lo stato del ripristino.
