As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Crie, atualize e gerencie armazenamentos de dados de eventos com o AWS CLI
Você pode usar o AWS CLI para criar, atualizar e gerenciar seus armazenamentos de dados de eventos. Ao usar o AWS CLI, lembre-se de que seus comandos são Região da AWS executados no configurado para seu perfil. Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use o parâmetro --region com o comando.
Comandos disponíveis para armazenamentos de dados de eventos
Os comandos para criar e atualizar armazenamentos de dados de eventos no CloudTrail Lake incluem:
-
create-event-data-storepara criar um armazenamento de dados de eventos. -
get-event-data-storepara retornar informações sobre o armazenamento de dados de eventos, incluindo os seletores de eventos avançados configurados para o armazenamento de dados de eventos. -
update-event-data-storepara alterar a configuração de um armazenamento de dados de eventos existente. -
list-event-data-storespara listar os armazenamentos de dados do evento. -
delete-event-data-storepara excluir um armazenamento de dados de eventos. -
restore-event-data-storepara restaurar um armazenamento de dados de eventos que está pendente de exclusão. -
start-importpara iniciar uma importação de eventos de trilha para um armazenamento de dados de eventos ou tentar novamente uma importação com falha. -
get-importpara retornar informações sobre uma importação específica. -
stop-importpara interromper a importação de eventos de trilha para um armazenamento de dados de eventos. -
list-importspara retornar informações sobre todas as importações ou um conjunto selecionado de importações porImportStatusouDestination. -
list-import-failurespara listar falhas de importação para a importação especificada. -
stop-event-data-store-ingestionpara interromper a ingestão de eventos em um armazenamento de dados de eventos. -
start-event-data-store-ingestionpara reiniciar a ingestão de eventos em um armazenamento de dados de eventos. -
enable-federationpara habilitar a federação em um armazenamento de dados de eventos para consultar o armazenamento de dados de eventos no Amazon Athena. -
disable-federationpara desativar a federação em um armazenamento de dados de eventos. Depois de desativar a federação, você não poderá mais consultar os dados do armazenamento de dados de eventos no Amazon Athena. Você pode continuar a consultar no CloudTrail Lake. -
put-insight-selectorspara adicionar ou modificar seletores de eventos do Insights para um armazenamento de dados de eventos existente e ativar ou desativar eventos do Insights. -
get-insight-selectorspara retornar informações sobre os seletores de eventos do Insights configurados para um armazenamento de dados de eventos. -
add-tagspara adicionar uma ou mais tags (pares de valores-chave) a um armazenamento de dados de eventos existente. -
remove-tagspara remover uma ou mais tags de um armazenamento de dados de eventos. -
list-tagspara retornar uma lista de tags associadas a um armazenamento de dados de eventos.
Para obter uma lista dos comandos disponíveis para consultas do CloudTrail Lake, consulteComandos disponíveis para consultas CloudTrail do Lake.
Para obter uma lista dos comandos disponíveis para integrações com o CloudTrail Lake, consulteComandos disponíveis para integrações com o CloudTrail Lake.
Crie um armazenamento de dados de eventos com o AWS CLI
Use o comando create-event-data-store
Quando você cria um armazenamento de dados de eventos, o único parâmetro necessário é --name, usado para identificar o armazenamento de dados de eventos. Você pode configurar parâmetros opcionais adicionais, incluindo:
-
--advanced-event-selectors: especifica o tipo dos eventos a serem incluídos no armazenamento de dados de eventos. Por padrão, os armazenamentos de dados de eventos registram todos os eventos de gerenciamento. Para obter mais informações sobre seletores de eventos avançados, consulte AdvancedEventSelectora Referência da CloudTrail API. -
--kms-key-idalias/, um ARN totalmente especificado para um alias, um ARN totalmente especificado para uma chave ou um identificador globalmente exclusivo. -
--multi-region-enabled- Cria um armazenamento de dados de eventos multirregional que registra eventos de todos Regiões da AWS em sua conta. Por padrão,--multi-region-enabledé definido, mesmo que o parâmetro não seja adicionado. -
--organization-enabled: permite que um armazenamento de dados de eventos colete eventos para todas as contas em uma organização. Por padrão, o armazenamento de dados de eventos não está habilitado para todas as contas em uma organização. -
--billing-mode: determina o custo de ingestão e armazenamento de eventos e o período de retenção padrão e máximo para o armazenamento de dados de eventos.Os valores possíveis são os seguintes:
-
EXTENDABLE_RETENTION_PRICING: esse modo de cobrança geralmente é recomendado se você ingerir menos de 25 TB de dados de eventos por mês e quiser um período de retenção flexível de até 3653 dias (cerca de 10 anos). O período de retenção padrão para esse modo de cobrança é de 366 dias. -
FIXED_RETENTION_PRICING: esse modo de cobrança é recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 2557 dias (cerca de 7 anos). O período de retenção padrão para esse modo de cobrança é de 2557 dias.
O valor padrão é
EXTENDABLE_RETENTION_PRICING. -
-
--retention-period: o número de dias para manter eventos no armazenamento de dados de eventos. Os valores válidos são números inteiros entre 7 e 3653, se--billing-modeforEXTENDABLE_RETENTION_PRICING, ou entre 7 e 2557, se--billing-modefor definido comoFIXED_RETENTION_PRICING. Se você não especificar--retention-period, CloudTrail usa o período de retenção padrão para--billing-modeo. -
--start-ingestion: o parâmetro--start-ingestioninicia a ingestão de eventos no armazenamento de dados de eventos quando ele é criado. Esse parâmetro é definido mesmo se o parâmetro não for adicionado.Especifique
--no-start-ingestionse você não quiser que o armazenamento de dados de eventos ingira eventos ao vivo. Por exemplo, talvez você queira definir esse parâmetro se estiver copiando eventos para o armazenamento de dados de eventos e planeja usar os dados de eventos para analisar eventos passados. O parâmetro--no-start-ingestioné válido somente quando oeventCategoryforManagement,DataouConfigurationItem.
Os exemplos a seguir mostram como criar diferentes tipos de armazenamento de dados de eventos.
Tópicos
- Crie um armazenamento de dados de eventos para eventos de dados do S3 com o AWS CLI
- Crie um armazenamento de dados de eventos para itens AWS Config de configuração com o AWS CLI
- Crie um armazenamento de dados de eventos da organização para eventos de gerenciamento com o AWS CLI
- Crie armazenamentos de dados de eventos para eventos do Insights com o AWS CLI
Crie um armazenamento de dados de eventos para eventos de dados do S3 com o AWS CLI
O create-event-data-store comando de exemplo a seguir AWS Command Line Interface (AWS CLI) cria um armazenamento de dados de eventos chamado my-event-data-store que seleciona todos os eventos de dados do Amazon S3 e é criptografado usando uma chave KMS.
aws cloudtrail create-event-data-store \ --name my-event-data-store \ --kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \ --advanced-event-selectors '[ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] } ] } ]'
A seguir, uma exemplo de resposta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00", "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00" }
Crie um armazenamento de dados de eventos para itens AWS Config de configuração com o AWS CLI
O AWS CLI create-event-data-store comando de exemplo a seguir cria um armazenamento de dados de eventos chamado config-items-eds que seleciona itens AWS Config de configuração. Para coletar itens de configuração, especifique que o campo eventCategory é igual a ConfigurationItem nos seletores de eventos avançados.
aws cloudtrail create-event-data-store \ --name config-items-eds \ --advanced-event-selectors '[ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["ConfigurationItem"] } ] } ]'
A seguir, uma exemplo de resposta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "config-items-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "ConfigurationItem" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00", "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00" }
Crie um armazenamento de dados de eventos da organização para eventos de gerenciamento com o AWS CLI
O AWS CLI create-event-data-store comando de exemplo a seguir cria um armazenamento de dados de eventos da organização que coleta todos os eventos de gerenciamento e define o --billing-mode parâmetro como. FIXED_RETENTION_PRICING
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
A seguir, uma exemplo de resposta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207", "Name": "org-management-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": true, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00", "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00" }
Crie armazenamentos de dados de eventos para eventos do Insights com o AWS CLI
Para registrar eventos do Insights no CloudTrail Lake, você precisa de um armazenamento de dados de eventos de destino que colete eventos do Insights e um armazenamento de dados de eventos de origem que habilite o Insights e eventos de gerenciamento de registros.
Este procedimento mostra como criar os armazenamentos de dados de eventos de destino e origem e, em seguida, habilitar os eventos do Insights.
-
Execute o comando aws cloudtrail create-event-data-store
para criar um armazenamento de dados de eventos de destino que coleta eventos do Insights. O valor de eventCategorydeve serInsight.retention-period-daysSubstitua pelo número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos. Os valores válidos são números inteiros entre 7 e 3653, se--billing-modeforEXTENDABLE_RETENTION_PRICING, ou entre 7 e 2557, se--billing-modefor definido comoFIXED_RETENTION_PRICING. Se você não especificar--retention-period, CloudTrail usa o período de retenção padrão para--billing-modeo.Se você estiver conectado com a conta de gerenciamento de uma AWS Organizations organização, inclua o
--organization-enabledparâmetro se quiser dar ao administrador delegado acesso ao armazenamento de dados do evento.aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'A seguir, uma exemplo de resposta.
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00" }Você usará o
ARN(ou o sufixo de ID do ARN) da resposta como o valor do parâmetro--insights-destinationna etapa 3. -
Execute o comando aws cloudtrail create-event-data-store
para criar um armazenamento de dados de eventos que registre eventos de gerenciamento no log. Por padrão, os armazenamentos de dados de eventos registram todos os eventos de gerenciamento. Não é necessário especificar nenhum seletor de eventos avançado para registrar todos os eventos de gerenciamento. retention-period-daysSubstitua pelo número de dias em que você gostaria de reter eventos em seu armazenamento de dados de eventos. Os valores válidos são números inteiros entre 7 e 3653, se--billing-modeforEXTENDABLE_RETENTION_PRICING, ou entre 7 e 2557, se--billing-modefor definido comoFIXED_RETENTION_PRICING. Se você não especificar--retention-period, CloudTrail usa o período de retenção padrão para--billing-modeo. Se você estiver criando um armazenamento de dados de eventos da organização, inclua o parâmetro--organization-enabled.aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-daysA seguir, uma exemplo de resposta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00" }Você usará o
ARN(ou o sufixo de ID do ARN) da resposta como o valor do parâmetro--event-data-storena etapa 3. -
Execute o comando put-insight-selectors
para ativar os eventos do Insights. Os valores do seletor Insights podem ser ApiCallRateInsight,ApiErrorRateInsightou ambos. Para o parâmetro--event-data-store, especifique o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos de origem que registra os eventos de gerenciamento e ativará o Insights. Para o parâmetro--insights-destination, especifique o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos de destino que registrará os eventos do Insights.aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'O resultado a seguir mostra o seletor de eventos do Insights que está configurado para o armazenamento de dados de eventos.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }Depois de ativar o CloudTrail Insights pela primeira vez em um armazenamento de dados de eventos, pode levar até 7 dias CloudTrail para entregar o primeiro evento do Insights, se uma atividade incomum for detectada.
CloudTrail O Insights analisa eventos de gerenciamento que ocorrem em uma única região, não globalmente. Um evento do CloudTrail Insights é gerado na mesma região em que seus eventos de gerenciamento de apoio são gerados.
Para um armazenamento de dados de eventos da organização, CloudTrail analisa os eventos de gerenciamento da conta de cada membro em vez de analisar a agregação de todos os eventos de gerenciamento da organização.
Cobranças adicionais se aplicam à ingestão de eventos do Insights em CloudTrail Lake. Você será cobrado separadamente se ativar o Insights tanto para trilhas quanto para armazenamentos de dados de eventos. Para obter informações sobre CloudTrail preços, consulte AWS CloudTrail Preços
Importe eventos de trilha para um armazenamento de dados de eventos com o AWS CLI
No AWS CLI, você pode importar eventos de trilha para um armazenamento de dados de eventos. O procedimento nesta seção demonstra como criar e configurar um armazenamento de dados de eventos executando o comando create-event-data-storee, em seguida, importar os eventos para esse armazenamento de dados de eventos usando o comando start-import. Para obter mais informações sobre a importação de eventos de trilha, incluindo informações sobre considerações e permissões necessárias, consulte Copiar eventos de trilhas para um armazenamento de dados de eventos.
Preparando-se para importar eventos de trilhas
Antes de importar eventos de trilha, faça os seguintes preparativos.
-
Certifique-se de ter um perfil com as permissões necessárias para importar eventos de trilhas para um armazenamento de dados de eventos.
-
Determine o valor de --billing-mode que você deseja especificar para o armazenamento de dados de eventos. O
--billing-modedetermina o custo de ingestão e armazenamento de eventos e o período de retenção padrão e máximo para o armazenamento de dados de eventos.Ao importar eventos de trilha para o CloudTrail Lake, CloudTrail descompacta os registros armazenados no formato gzip (compactado). Em seguida, CloudTrail copia os eventos contidos nos registros para seu armazenamento de dados de eventos. O tamanho dos dados não compactados pode ser maior do que o tamanho real do armazenamento do Amazon S3. Para obter uma estimativa geral do tamanho dos dados não compactados, multiplique o tamanho dos registros no bucket do S3 por 10. Você pode usar essa estimativa para escolher o valor de
--billing-modepara seu caso de uso. -
Determine o valor que você deseja especificar para
--retention-period. CloudTrail não copiará um evento se eleeventTimefor anterior ao período de retenção especificado.Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados de eventos, conforme demonstrado nesta equação:
Período de retenção =
oldest-event-in-days+number-days-to-retainPor exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias.
-
Decida se deseja usar o armazenamento de dados de eventos para analisar quaisquer eventos futuros. Se você não quiser ingerir nenhum evento futuro, inclua o parâmetro
--no-start-ingestionao criar o armazenamento de dados de eventos. Por padrão, o armazenamento de dados de eventos começa a ingerir eventos assim que é criado.
Para criar um armazenamento de dados de eventos e importar eventos de trilha para esse armazenamento de dados de eventos
-
Execute o comando create-event-data-store para criar um armazenamento de dados de eventos. Neste exemplo,
--retention-periodé definido como120porque o evento mais antigo que está sendo copiado tem 90 dias e queremos reter os eventos por 30 dias. O parâmetro--no-start-ingestioné definido porque não queremos ingerir nenhum evento futuro. Neste exemplo,--billing-modenão foi definido, porque estamos usando o valor padrãoEXTENDABLE_RETENTION_PRICING, já que esperamos ingerir menos de 25 TB de dados de eventos.nota
Se você estiver criando um armazenamento de dados de eventos para substituir sua trilha, recomendamos configurar
--advanced-event-selectorspara corresponder aos seletores de eventos da sua trilha para garantir que você tenha a mesma cobertura de eventos. Por padrão, os armazenamentos de dados de eventos registram todos os eventos de gerenciamento.aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestionEsta é uma resposta de exemplo:
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" }O
Statusinicial éCREATEDpara que executemos o comando get-event-data-store para verificar se a ingestão foi interrompida.aws cloudtrail get-event-data-store --event-data-storeeds-idA resposta mostra que
Statusagora éSTOPPED_INGESTION, o que indica que o armazenamento de dados de eventos não está ingerindo eventos ao vivo.{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "STOPPED_INGESTION", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" } -
Execute o comando start-import para importar eventos de trilha para o armazenamento de dados de eventos criado na etapa 1. Especifique o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos como o valor para o parâmetro
--destinations. Para--start-event-timeespecificar oeventTimepara o evento mais antigo que você deseja copiar, e para--end-event-timeespecificar oeventTimedo evento mais recente que você deseja copiar. Para--import-sourceespecificar o URI do S3 para o bucket do S3 contendo seus registros de trilha, o do bucket do S3 e o ARN da função usada Região da AWS para importar eventos de trilha.aws cloudtrail start-import \ --destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \ --start-event-time 2023-08-11T16:08:12.934000+00:00 \ --end-event-time 2023-11-09T17:08:20.705000+00:00 \ --import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}A seguir, uma exemplo de resposta.
{ "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1", "ImportSource": { "S3": { "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds", "S3BucketRegion":"us-east-1", "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/" } }, "ImportStatus": "INITIALIZING", "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00" } -
Execute o comando get-import para obter informações sobre a importação.
aws cloudtrail get-import --import-idimport-idA seguir, uma exemplo de resposta.
{ "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "ImportSource": { "S3": { "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/", "S3BucketRegion":"us-east-1", "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds" } }, "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportStatus": "COMPLETED", "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "ImportStatistics": { "PrefixesFound": 1548, "PrefixesCompleted": 1548, "FilesCompleted": 92845, "EventsCompleted": 577249, "FailedEntries": 0 } }Uma importação termina com um
ImportStatusdeCOMPLETED, se não houve falhas, ouFAILED, se houve falhas.Se a importação teve
FailedEntries, você pode executar o comando list-import-failures para retornar uma lista de falhas.aws cloudtrail list-import-failures --import-idimport-idPara repetir uma importação que teve falhas, execute o comando start-import somente com o parâmetro
--import-id. Quando você repete uma importação, a importação é CloudTrail retomada no local em que a falha ocorreu.aws cloudtrail start-import --import-idimport-id
Obtenha um armazenamento de dados de eventos com o AWS CLI
O AWS CLI get-event-data-store comando de exemplo a seguir retorna informações sobre o armazenamento de dados do evento especificado pelo --event-data-store parâmetro necessário, que aceita um ARN ou o sufixo de ID do ARN.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
A seguir, uma exemplo de resposta. A criação e os horários da última atualização estão no formato timestamp.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "s3-data-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log DeleteObject API calls for a specific S3 bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "eventName", "Equals": [ "DeleteObject" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3:::bucketName" ] }, { "Field": "readOnly", "Equals": [ "false" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00", "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00" }
Liste todos os armazenamentos de dados de eventos em uma conta com o AWS CLI
O AWS CLI list-event-data-stores comando de exemplo a seguir retorna informações sobre todos os armazenamentos de dados de eventos em uma conta, na região atual. Parâmetros opcionais incluem --max-results para especificar um número máximo de resultados que você deseja que o comando retorne em uma única página. Se houver mais resultados do que o valor especificado para --max-results, execute o comando novamente adicionando o valor retornado NextToken para obter a próxima página de resultados.
aws cloudtrail list-event-data-stores
A seguir, uma exemplo de resposta.
{ "EventDataStores": [ { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969", "Name": "management-events-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a", "Name": "config-items-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4", "Name": "s3-data-events" } ] }
Atualize um armazenamento de dados de eventos com o AWS CLI
Os exemplos a seguir mostram como atualizar um armazenamento de dados de eventos.
Tópicos
Atualize o modo de cobrança com o AWS CLI
O --billing-mode para o armazenamento de dados de eventos determina o custo de ingestão e armazenamento de eventos e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Se o --billing-mode de um armazenamento de dados de eventos estiver definido como FIXED_RETENTION_PRICING, você poderá alterar o valor para EXTENDABLE_RETENTION_PRICING. EXTENDABLE_RETENTION_PRICING geralmente é recomendado se seu armazenamento de dados de eventos ingere menos de 25 TB de dados de eventos por mês e você deseja um período de retenção flexível de até 3653 dias. Para obter mais informações sobre preços, consulte Definição de preço do AWS CloudTrail
nota
Não é possível alterar o valor de --billing-mode de EXTENDABLE_RETENTION_PRICING para FIXED_RETENTION_PRICING. Se o modo de cobrança do armazenamento de dados de eventos estiver definido como EXTENDABLE_RETENTION_PRICING e você quiser usar FIXED_RETENTION_PRICING, poderá interromper a ingestão no armazenamento de dados de eventos e criar um novo armazenamento de dados de eventos que use FIXED_RETENTION_PRICING.
O AWS CLI update-event-data-store comando de exemplo a seguir altera o --billing-mode para o armazenamento de dados de eventos de FIXED_RETENTION_PRICING paraEXTENDABLE_RETENTION_PRICING. O valor do parâmetro --event-data-store é um ARN (ou o sufixo de ID do ARN) e é obrigatório; outros parâmetros são opcionais.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --billing-mode EXTENDABLE_RETENTION_PRICING
A seguir, uma exemplo de resposta.
{ "EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Atualize o modo de retenção, ative a proteção contra rescisão e especifique um AWS KMS key com o AWS CLI
O AWS CLI update-event-data-store comando de exemplo a seguir atualiza um armazenamento de dados de eventos para alterar seu período de retenção para 100 dias e ativar a proteção contra rescisão. O valor do parâmetro --event-data-store é um ARN (ou o sufixo de ID do ARN) e é obrigatório; outros parâmetros são opcionais. Neste exemplo, o parâmetro --retention-period é adicionado para alterar o período de retenção para 100 dias. Opcionalmente, você pode optar por ativar a AWS Key Management Service criptografia e especificar um AWS KMS key adicionando --kms-key-id ao comando e especificando um ARN da chave KMS como valor. --termination-protection-enabledé adicionado para ativar a proteção de encerramento em um armazenamento de dados de eventos que não tinha a proteção de encerramento ativada.
Um armazenamento de dados de eventos que registra eventos externos AWS não pode ser atualizado para registrar AWS eventos. Da mesma forma, um armazenamento de dados de AWS eventos que registra eventos não pode ser atualizado para registrar eventos externos AWS.
nota
Se você diminuir o período de retenção de um armazenamento de dados de eventos, CloudTrail removerá todos os eventos com um período de retenção eventTime mais antigo que o novo. Por exemplo, se o período de retenção anterior foi de 365 dias e você o reduziu para 100 dias, os eventos com eventTime mais de 100 dias CloudTrail serão removidos.
aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --retention-period 100 \ --kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \ --termination-protection-enabled
A seguir, uma exemplo de resposta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 100, "KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Desative a proteção contra rescisão com o AWS CLI
Por padrão, a proteção contra encerramento é habilitada em um armazenamento de dados de eventos para proteger o armazenamento de dados de eventos contra exclusão acidental. Você não pode excluir um armazenamento de dados de eventos quando a proteção contra encerramento está habilitada. Se você quiser excluir o armazenamento de dados de eventos, primeiro deverá desativar a proteção contra encerramento.
O AWS CLI update-event-data-store comando de exemplo a seguir desativa a proteção contra terminação passando o --no-termination-protection-enabled parâmetro.
aws cloudtrail update-event-data-store \ --region us-east-1 \ --no-termination-protection-enabled \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
A seguir, uma exemplo de resposta.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": false, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }
Interrompa a ingestão em um armazenamento de dados de eventos com o AWS CLI
O AWS CLI stop-event-data-store-ingestion comando de exemplo a seguir impede que um armazenamento de dados de eventos ingira eventos. Para interromper a ingestão, o Status do armazenamento de dados de eventos deve ser ENABLED e eventCategory deve ser Management, Data ou ConfigurationItem. O armazenamento de dados de eventos é especificado por --event-data-store, que aceita um ARN de armazenamento de dados de evento ou o sufixo de ID do ARN. Após a execução de stop-event-data-store-ingestion, o estado do armazenamento de dados do evento muda para STOPPED_INGESTION.
O armazenamento de dados de eventos não é contabilizado para o máximo de dez armazenamentos de dados de eventos da conta quando seu estado é STOPPED_INGESTION
aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Se o comando tiver êxito, não haverá resposta.
Inicie a ingestão em um armazenamento de dados de eventos com o AWS CLI
O AWS CLI start-event-data-store-ingestion comando de exemplo a seguir inicia a ingestão de eventos em um armazenamento de dados de eventos. Para iniciar a ingestão, o Status do armazenamento de dados de eventos deve ser STOPPED_INGESTION e eventCategory deve ser Management, Data ou ConfigurationItem. O armazenamento de dados de eventos é especificado por --event-data-store, que aceita um ARN de armazenamento de dados de evento ou o sufixo de ID do ARN. Após a execução de start-event-data-store-ingestion, o estado do armazenamento de dados do evento muda para ENABLED.
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Se o comando tiver êxito, não haverá resposta.
Habilitar federação em um armazenamento de dados de eventos
Para ativar a federação, execute o comando aws cloudtrail enable-federation, fornecendo os parâmetros obrigatórios --event-data-store e --role. Para --event-data-store, forneça o ARN do armazenamento de dados de eventos (ou o sufixo de ID do ARN). Para --role, forneça o ARN para seu perfil na federação. O perfil deve existir em sua conta e fornecer as permissões mínimas necessárias.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id--role arn:aws:iam::account-id:role/federation-role-name
Este exemplo mostra como um administrador delegado pode habilitar a federação em um armazenamento de dados de eventos da organização especificando o ARN do armazenamento de dados de eventos na conta de gerenciamento e o ARN do perfil de federação na conta de administrador delegado.
aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
Desabilitar federação em um armazenamento de dados de eventos
Para desabilitar a federação no armazenamento de dados de eventos, execute o comando aws
cloudtrail disable-federation. O armazenamento de dados de eventos é especificado por --event-data-store, que aceita um ARN de armazenamento de dados de evento ou o sufixo de ID do ARN.
aws cloudtrail disable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
nota
Se esse elemento for um armazenamento de dados de eventos da organização, use o ID de conta para a conta de gerenciamento.
Exclua um armazenamento de dados de eventos com o AWS CLI
O comando da AWS CLI delete-event-data-store do exemplo a seguir desabilita o armazenamento de dados do evento especificado por --event-data-store, que aceita um ARN de armazenamento de dados de evento ou o sufixo de ID do ARN. Depois de executar delete-event-data-store, o estado final do armazenamento de dados de eventos éPENDING_DELETION , e o armazenamento de dados de eventos é excluído automaticamente após um período de espera de sete dias.
Depois de executar delete-event-data-store em um armazenamento de dados de eventos, você não pode executar list-queries, describe-query ou get-query-results em consultas que estejam usando o armazenamento de dados desabilitado. O armazenamento de dados do evento é contabilizado para o máximo de dez armazenamentos de dados de eventos da conta quando sua exclusão está pendente.
nota
Você não pode excluir um armazenamento de dados de eventos se --termination-protection-enabled estiver definido ou se FederationStatus for ENABLED.
aws cloudtrail delete-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Se o comando tiver êxito, não haverá resposta.
Restaure um armazenamento de dados de eventos com o AWS CLI
O comando da AWS CLI restore-event-data-store do exemplo a seguir restaura um armazenamento de dados de eventos que está pendente de exclusão. O armazenamento de dados de eventos é especificado por --event-data-store, que aceita um ARN de armazenamento de dados de evento ou o sufixo de ID do ARN. Você só pode restaurar um armazenamento de dados de eventos excluído dentro do período de espera de sete dias após a exclusão.
aws cloudtrail restore-event-data-store --event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
A resposta inclui informações sobre o armazenamento de dados de eventos, incluindo seu ARN, seletores de eventos avançados e o status da restauração.
