Copia gli eventi del trail in un nuovo archivio dati di eventi con la console

Questa procedura dettagliata mostra come copiare gli eventi del trail in un nuovo archivio dati di eventi CloudTrail Lake per l'analisi storica. Per ulteriori informazioni sulla copia di eventi di percorso, consulta Copia di eventi traccia in un archivio dati degli eventi.

Copia degli eventi di percorso in un nuovo datastore di eventi

1. Accedi AWS Management Console e apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

2. Nel riquadro di navigazione, in Lake seleziona Datastore di eventi.

3. Scegliere Create event data store (Crea archivio di dati degli eventi).

4. Nella pagina Configura il data store degli eventi, in Dettagli generali, assegna un nome al tuo event data store, ad esempio my-management-events-eds. Come best practice, è consigliabile utilizzare un nome che identifichi in modo rapido lo scopo del datastore di eventi. Per informazioni sui requisiti di CloudTrail denominazione, consultaRequisiti di denominazione per CloudTrail risorse, bucket S3 e chiavi KMS.

5. Scegli l'opzione di prezzo che desideri utilizzare per il datastore di eventi. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché i periodi di conservazione predefiniti e quelli massimi per il tuo datastore di eventi. Per ulteriori informazioni, consulta Prezzi di AWS CloudTrail e Gestione dei costi CloudTrail del lago.

   Sono disponibili le seguenti opzioni:

   • Prezzo per la conservazione estendibile di un anno: consigliato in genere se prevedi di importare meno di 25 TB di dati di eventi al mese e desideri un periodo di conservazione flessibile fino a 10 anni. Per i primi 366 giorni (periodo di conservazione predefinito), l'archiviazione è inclusa senza alcun costo aggiuntivo nel prezzo di importazione. Dopo 366 giorni, la conservazione estesa è disponibile a prezzi pay-as-you-go convenienti. Questa è l'opzione predefinita.

     • Periodo di conservazione predefinito: 366 giorni

     • Periodo di conservazione massimo: 3.653 giorni

   • Prezzo per la conservazione di sette anni: consigliato se prevedi di importare più di 25 TB di dati di eventi al mese e hai bisogno di un periodo di conservazione fino a 7 anni. La conservazione è inclusa nel prezzo di importazione senza costi aggiuntivi.

     • Periodo di conservazione predefinito: 2.557 giorni

     • Periodo di conservazione massimo: 2.557 giorni

6. Specifica un periodo di conservazione per il datastore di eventi. I periodi di conservazione possono essere compresi tra 7 e 3.653 giorni (circa 10 anni) per l'opzione Prezzo per la conservazione estendibile di un anno o tra 7 e 2.557 giorni (circa sette anni) per l'opzione Prezzo per la conservazione di sette anni.

   CloudTrail Lake determina se conservare un evento verificando se l'evento rientra nel periodo eventTime di conservazione specificato. Ad esempio, se si specifica un periodo di conservazione di 90 giorni, CloudTrail rimuoverà gli eventi quando eventTime sono più vecchi di 90 giorni.

   Nota

   CloudTrail non copierà un evento se eventTime è più vecchio del periodo di conservazione specificato.

   Per determinare il periodo di conservazione appropriato, prendi la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni in cui desideri conservare gli eventi nell'archivio dati degli eventi (periodo di conservazione = oldest-event-in-days+ number-days-to-retain). Ad esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.

7. (Facoltativo) In Crittografia, scegli se vuoi crittografare il datastore di eventi utilizzando la tua chiave KMS. Per impostazione predefinita, tutti gli eventi in un Event Data Store vengono crittografati CloudTrail utilizzando una chiave KMS che AWS possiede e gestisce per te.

   Per abilitare la crittografia utilizzando la tua chiave KMS, scegli Usa la mia AWS KMS key. Scegli Nuovo per AWS KMS key crearne uno personalizzato oppure scegli Esistente per utilizzare una chiave KMS esistente. In Inserisci alias KMS, specifica un alias nel formato. alias/ MyAliasName L'utilizzo della propria chiave KMS richiede la modifica della politica delle chiavi KMS per consentire la crittografia e la decrittografia CloudTrail dei log. Per ulteriori informazioni, consulta. Configurare le politiche AWS KMS chiave per CloudTrail CloudTrail supporta anche chiavi AWS KMS multiregionali. Per ulteriori informazioni sulle chiavi per più regioni, consulta Using multi-Region keys nella Guida per gli sviluppatori di AWS Key Management Service .

   L'utilizzo della propria chiave KMS comporta AWS KMS costi di crittografia e decrittografia. Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.

   Nota

   Per abilitare AWS Key Management Service la crittografia per un archivio dati di eventi organizzativi, è necessario utilizzare una chiave KMS esistente per l'account di gestione.

   

8. (Facoltativo) Se desideri eseguire una query sui dati degli eventi utilizzando Amazon Athena, scegli Abilita in Federazione delle query di Data Lake. La federazione ti consente di visualizzare i metadati associati al datastore di eventi nel Catalogo dati AWS Glue ed eseguire query SQL sui dati degli eventi in Athena. I metadati delle tabelle archiviati nel AWS Glue Data Catalog consentono al motore di query Athena di sapere come trovare, leggere ed elaborare i dati che desideri interrogare. Per ulteriori informazioni, consulta Federare un datastore di eventi.

   Per abilitare la federazione delle query di Lake, scegli Abilita, quindi esegui queste operazioni:

   1. Scegli se creare un nuovo ruolo o utilizzare un ruolo IAM esistente. AWS Lake Formation utilizza questo ruolo per gestire le autorizzazioni per il datastore di eventi federato. Quando crei un nuovo ruolo utilizzando la CloudTrail console, crea CloudTrail automaticamente un ruolo con le autorizzazioni richieste. Se scegli un ruolo esistente, assicurati che la policy per il ruolo fornisca le autorizzazioni minime richieste.

   2. Se crei un nuovo ruolo, inserisci un nome per identificarlo.

   3. Se utilizzi un ruolo esistente, scegli il ruolo che desideri utilizzare. Il ruolo deve esistere nell'account.

9. (Facoltativo) In Tag, aggiungi uno o più tag personalizzati (coppie chiave-valore) al datastore di eventi. I tag possono aiutarti a identificare i tuoi archivi di dati sugli CloudTrail eventi. Ad esempio, è possibile allegare un tag con il nome stage e il valore prod. Puoi usare i tag per limitare l'accesso al datastore di eventi. Puoi utilizzare questi tag anche per tenere traccia dei costi di query e importazione per il datastore di eventi.

   Per informazioni su come controllare utilizzare i tag per monitorare i costi, consulta Creazione di tag di allocazione dei costi definiti dall'utente per i data store di CloudTrail eventi Lake. Per ulteriori informazioni su come utilizzare le policy IAM per autorizzare l'accesso a un datastore di eventi in base ai tag, consulta Esempi: diniego dell'accesso per creare o eliminare gli archivi di dati degli eventi in base ai tag. Per informazioni su come utilizzare i tag in AWS, consulta Tagging your AWS resources nella Tagging AWS Resources User Guide.

   

10. Scegli Next (Successivo) per configurare il datastore di eventi.

11. Nella pagina Scegli eventi, lascia le selezioni predefinite per Tipo di evento.

    

12. Per CloudTrail gli eventi, lasceremo selezionati gli eventi di gestione e sceglieremo Copia gli eventi del percorso. In questo esempio, non siamo preoccupati per i tipi di eventi perché utilizziamo il datastore di eventi solo per analizzare gli eventi passati e non stiamo importando eventi futuri.

    Se stai creando un datastore di eventi per sostituire un percorso esistente, scegli gli stessi selettori di eventi del percorso per assicurarti che il datastore di eventi abbia la stessa copertura dell'evento.

    

13. Scegli Abilita per tutti gli account della mia organizzazione se si tratta di un datastore di eventi dell'organizzazione. Questa opzione non sarà disponibile per la modifica, a meno che non ci siano già degli account in AWS Organizations.

    Nota

    Se stai creando un datastore di eventi dell'organizzazione, devi accedere con l'account di gestione dell'organizzazione, poiché solo l'account di gestione può copiare gli eventi di percorso in un datastore di eventi dell'organizzazione.

14. Per Impostazioni aggiuntive, deselezioneremo Eventi di importazione, perché in questo esempio non vogliamo che il datastore di eventi importi eventi futuri poiché siamo interessati solo a interrogare gli eventi copiati. Per impostazione predefinita, un Event Data Store raccoglie eventi per tutti Regioni AWS e inizia a importarli al momento della creazione.

15. Per Eventi di gestione, lasceremo le impostazioni predefinite.

    

16. Nell'area Copia eventi di percorso, completa i seguenti passaggi.

    1. Scegliere il percorso che si vuole copiare. In questo esempio, sceglieremo un percorso chiamato management-events.

       Per impostazione predefinita, copia CloudTrail solo CloudTrail gli eventi contenuti nel prefisso del bucket S3 e i CloudTrail prefissi all'interno del prefisso e non controlla i CloudTrail prefissi per altri servizi. AWS Se desideri copiare gli CloudTrail eventi contenuti in un altro prefisso, scegli Inserisci URI S3, quindi scegli Browse S3 per cercare il prefisso. Se il bucket S3 di origine per il percorso utilizza una chiave KMS per la crittografia dei dati, assicurati che la politica della chiave KMS consenta di decrittografare i dati. CloudTrail Se il tuo bucket S3 di origine utilizza più chiavi KMS, devi aggiornare la policy di ciascuna chiave per consentire la decrittografia dei dati nel bucket. CloudTrail Per ulteriori informazioni sull'aggiornamento della policy delle chiavi KMS, consulta Policy delle chiavi KMS per la decrittografia dei dati nel bucket S3 di origine.

    2. Scegli un intervallo di tempo per copiare gli eventi. CloudTrail controlla il prefisso e il nome del file di registro per verificare che il nome contenga una data compresa tra la data di inizio e di fine scelte prima di tentare di copiare gli eventi del trail. Puoi scegliere un Intervallo relativo o un Intervallo assoluto. Per evitare la duplicazione degli eventi tra l'archivio dati degli eventi traccia di origine e quello di destinazione, scegliere un intervallo di tempo antecedente alla creazione dell'archivio dati degli eventi.

       • Se scegli Intervallo relativo, puoi scegliere di copiare gli eventi registrati negli ultimi 6 mesi, 1 anno, 2 anni, 7 anni o un intervallo personalizzato. CloudTrail copia gli eventi registrati nel periodo di tempo scelto.

       • Se scegli l'intervallo assoluto, puoi scegliere una data di inizio e di fine specifica. CloudTrail copia gli eventi che si sono verificati tra le date di inizio e di fine scelte.

       In questo esempio, sceglieremo Intervallo assoluto e selezioneremo l'intero mese di giugno.

       

    3. Per Autorizzazioni, scegli una delle opzioni seguenti del ruolo IAM. Se scegli un ruolo IAM esistente, accertati che la policy dei ruoli IAM fornisca le autorizzazioni necessarie. Per ulteriori informazioni sull'aggiornamento delle autorizzazioni del ruolo IAM, consultare Autorizzazioni IAM per la copia di eventi traccia

       • Scegli Creare un nuovo ruolo (consigliato) per creare un nuovo ruolo IAM. Per Inserisci il nome del ruolo IAM, inserisci un nome per il ruolo. CloudTrail crea automaticamente le autorizzazioni necessarie per questo nuovo ruolo.

       • Scegli Usa un ruolo IAM personalizzato ARN per utilizzare un ruolo IAM personalizzato non elencato. Per Inserisci ARN ruolo IAM, inserisci l'ARN IAM.

       • Scegli un ruolo IAM esistente dall'elenco a discesa.

       In questo esempio, sceglieremo Crea un nuovo ruolo (consigliato) e gli assegneremo il nome copy-trail-events.

    

17. Scegli Next (Successivo) per rivedere le scelte effettuate.

18. Nella pagina Review and create (Rivedi e crea), esaminare le opzioni selezionate. Scegliere Edit (Modifica) per apportare modifiche a una sezione. Quando si è pronti a creare l'archivio di dati degli eventi, scegliere Create event data store (Crea archivio di dati degli eventi).

19. Il nuovo datastore di eventi sarà presente nella tabella Datastore di eventi sulla pagina Datastore di eventi.

    

20. Scegli il nome del datastore di eventi per visualizzarne la pagina dei dettagli. La pagina dei dettagli mostra i dettagli del tuo datastore di eventi e lo stato della copia. Lo stato della copia dell'evento viene visualizzato nell'area Stato della copia dell'evento.

    Quando la copia di un evento traccia viene completata, il relativo Stato copia viene impostato su Completato in assenza di errori o su Non riuscito se si sono verificati errori.

    

21. Per visualizzare maggiori dettagli sulla copia, scegliete il nome della copia nella colonna Posizione S3 del log di eventi oppure scegli l'opzione Visualizza dettagli dal menu Operazioni. Per ulteriori informazioni sulla visualizzazione dei dettagli di una copia evento traccia, consulta Visualizza i dettagli della copia dell'evento con la CloudTrail console.

    

22. L'area Errori di copia mostra tutti gli errori che si sono verificati durante la copia degli eventi di percorso. Se Stato copia è Non riuscito, correggi eventuali errori mostrati in Errori di copia e scegli Riprova la copia. Quando riprovate una copia, la CloudTrail riprende nella posizione in cui si è verificato l'errore.