Copie eventos de trilha para um novo armazenamento de dados de eventos com o console

Este passo a passo mostra como copiar eventos de trilha para um novo armazenamento de dados de eventos do CloudTrail Lake para análise histórica. Para obter mais informações sobre cópia de eventos de trilhas, consulte Copiar eventos de trilhas para um armazenamento de dados de eventos.

Para copiar eventos de trilhas para um novo armazenamento de dados de eventos

1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

2. No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.

3. Selecione Create event data store (Criar armazenamento de dados de eventos).

4. Na página Configurar armazenamento de dados de eventos, em Detalhes gerais, dê um nome ao seu armazenamento de dados de eventos, como my-management-events-eds. Como prática recomendada, use um nome que identifique rapidamente a finalidade do armazenamento de dados do evento. Para obter informações sobre os requisitos CloudTrail de nomenclatura, consulteRequisitos de nomenclatura para CloudTrail recursos, buckets S3 e chaves KMS.

5. Escolha a opção de preço que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail e Gerenciando os custos CloudTrail do Lake.

   As seguintes opções estão disponíveis:

   • Preço de retenção extensível de um ano: geralmente recomendado se você espera ingerir menos de 25 TB de dados de eventos por mês e deseja um período de retenção flexível de até 10 anos. Nos primeiros 366 dias (o período de retenção padrão), o armazenamento é incluído sem custo adicional no preço de ingestão. Depois de 366 dias, a retenção estendida está disponível pelo pay-as-you-go preço. Esta é a opção padrão.

     • Período de retenção padrão: 366 dias

     • Período máximo de retenção: 3.653 dias

   • Preço de retenção de sete anos: recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 7 anos. A retenção está incluída no preço de ingestão sem custo adicional.

     • Período de retenção padrão: 2.557 dias

     • Período máximo de retenção: 2.557 dias

6. Especifique um período de retenção para o armazenamento de dados de eventos. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de preço de retenção extensível de um ano ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de preço de retenção de sete anos.

   CloudTrail Lake determina se deve reter um evento verificando se o eventTime evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, CloudTrail removerá eventos quando tiverem eventTime mais de 90 dias.

   nota

   CloudTrail não copiará um evento se ele eventTime for anterior ao período de retenção especificado.

   Para determinar o período de retenção apropriado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados do evento (período de retenção = oldest-event-in-days + number-days-to-retain). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados do evento por mais 45 dias, defina o período de retenção para 90 dias.

7. (Opcional) Em Criptografia, escolha se você deseja criptografar o armazenamento de dados do evento usando sua própria KMS chave. Por padrão, todos os eventos em um armazenamento de dados de eventos são criptografados CloudTrail usando uma KMS chave que AWS possui e gerencia para você.

   Para ativar a criptografia usando sua própria KMS chave, escolha Usar minha própria AWS KMS key. Escolha Novo para AWS KMS key criar uma para você ou escolha Existente para usar uma KMS chave existente. Em Inserir KMS alias, especifique um alias, no formato alias/MyAliasName. Usar sua própria KMS chave exige que você edite sua política de KMS chaves para permitir que CloudTrail os registros sejam criptografados e descriptografados. Para obter mais informações, consulteConfigure as AWS KMS principais políticas para CloudTrail. CloudTrail também suporta chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service .

   Usar sua própria KMS chave gera AWS KMS custos de criptografia e decodificação. Depois de associar um armazenamento de dados de eventos a uma KMS chave, a KMS chave não pode ser removida ou alterada.

   nota

   Para habilitar a AWS Key Management Service criptografia para um armazenamento de dados de eventos da organização, você deve usar uma KMS chave existente para a conta de gerenciamento.

   

8. (Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha Habilitar na federação de consultas do Lake. A federação permite que você visualize os metadados associados ao armazenamento de dados do evento no Catálogo de AWS Glue Dados e execute SQL consultas nos dados do evento no Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para ter mais informações, consulte Federar um armazenamento de dados de eventos.

   Para habilitar a federação de consultas do Lake, escolha Habilitar e faça o seguinte:

   1. Escolha se você deseja criar uma nova função ou usar uma IAM função existente. AWS Lake Formationusa essa função para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria uma nova função usando o CloudTrail console, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as permissões mínimas necessárias.

   2. Se você estiver criando um perfil, insira um nome para identificá-lo.

   3. Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta.

9. (Opcional) Em Tags, adicione uma ou mais tags personalizadas (pares chave-valor) ao armazenamento de dados de eventos. As tags podem ajudar você a identificar seus repositórios de dados de CloudTrail eventos. Por exemplo, você poderia anexar uma tag com o nome stage e o valor prod. É possível usar tags para limitar o acesso ao armazenamento de dados de eventos. As tags também podem ser usadas para monitorar os custos de consulta e ingestão do seu armazenamento de dados de eventos.

   Para obter informações sobre como usar tags para monitorar os custos, consulte Criação de etiquetas de alocação de custos definidas pelo usuário para armazenamentos de dados de eventos do CloudTrail Lake. Para obter informações sobre como usar IAM políticas para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulteExemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags. Para obter informações sobre como você pode usar tags em AWS, consulte Como marcar seus AWS recursos no Guia do usuário de AWS recursos de marcação.

   

10. Escolha Next (Avançar) para configurar o armazenamento de dados de eventos.

11. Na página Escolher eventos, mantenha as seleções padrão para Tipo de evento.

    

12. Para CloudTrail eventos, deixaremos os eventos de gerenciamento selecionados e escolheremos Copiar eventos da trilha. Neste exemplo, não estamos preocupados com os tipos de eventos porque estamos usando somente o armazenamento de dados de eventos para analisar eventos passados e não estamos ingerindo eventos futuros.

    Se você estiver criando um armazenamento de dados de eventos para substituir uma trilha existente, escolha os mesmos seletores de eventos da sua trilha para garantir que o armazenamento de dados de eventos tenha a mesma cobertura de eventos.

    

13. Escolha Habilitar para todas as contas em minha organização se este for um armazenamento de dados de eventos da organização. Essa opção não estará disponível para alteração, a menos que você tenha contas configuradas no AWS Organizations.

    nota

    Ao criar um armazenamento de dados de eventos da organização, você deverá estar conectado com a conta de gerenciamento da organização, pois somente a conta de gerenciamento pode copiar eventos de trilha para um armazenamento de dados de eventos da organização.

14. Em Configurações adicionais, desmarcaremos a opção Ingerir eventos porque, em nosso exemplo, não queremos que o armazenamento de dados de eventos consuma eventos futuros, pois estamos interessados apenas em consultar os eventos copiados. Por padrão, um armazenamento de dados de eventos coleta eventos para todos Regiões da AWS e começa a ingerir eventos quando é criado.

15. Em Eventos de gerenciamento, manteremos as configurações padrão.

    

16. Na área Copiar eventos da trilha, conclua as etapas a seguir.

    1. Escolha a trilha que você deseja copiar. Neste exemplo, escolheremos uma trilha chamada management-events.

       Por padrão, copia CloudTrail somente CloudTrail os eventos contidos no prefixo do bucket do S3 e os CloudTrail prefixos dentro do CloudTrail prefixo, e não verifica os prefixos de outros serviços. AWS Se você quiser copiar CloudTrail eventos contidos em outro prefixo, escolha Inserir S3 eURI, em seguida, escolha Procurar S3 para navegar até o prefixo. Se o bucket S3 de origem da trilha usar uma KMS chave para criptografia de dados, certifique-se de que a política de KMS chaves permita CloudTrail descriptografar os dados. Se seu bucket do S3 de origem usa várias KMS chaves, você deve atualizar a política de cada chave CloudTrail para permitir a descriptografia dos dados no bucket. Para obter mais informações sobre como atualizar a política de KMS chaves, consulteKMSpolítica chave para descriptografar dados no bucket S3 de origem.

    2. Escolha um intervalo de tempo para copiar os eventos. CloudTrail verifica o prefixo e o nome do arquivo de log para verificar se o nome contém uma data entre as datas de início e término escolhidas antes de tentar copiar os eventos da trilha. É possível escolher entre Relative range (Intervalo relativo) e Absolute range (Intervalo absoluto). Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo que seja anterior à criação do armazenamento de dados de eventos.

       • Se você escolher Intervalo relativo, poderá optar por copiar eventos registrados nos últimos 6 meses, 1 ano, 2 anos, 7 anos ou um intervalo personalizado. CloudTrail copia os eventos registrados dentro do período de tempo escolhido.

       • Se você escolher Intervalo absoluto, poderá escolher uma data específica de início e término. CloudTrail copia os eventos que ocorreram entre as datas de início e término escolhidas.

       Neste exemplo, escolheremos Intervalo absoluto e selecionaremos todo o mês de junho.

       

    3. Em Permissões, escolha entre as seguintes opções de IAM função. Se você escolher uma IAM função existente, verifique se a política de IAM função fornece as permissões necessárias. Para obter mais informações sobre como atualizar as permissões da IAM função, consulteIAMpermissões para copiar eventos de trilhas.

       • Escolha Criar uma nova função (recomendado) para criar uma nova IAM função. Em Inserir nome da IAM função, insira um nome para a função. CloudTrail cria automaticamente as permissões necessárias para essa nova função.

       • Escolha Usar um IAM papel personalizado ARN para usar um IAM papel personalizado que não esteja listado. Em Inserir IAM função ARN, insira IAM ARN o.

       • Escolha uma IAM função existente na lista suspensa.

       Neste exemplo, escolheremos Criar um novo perfil (recomendado) e forneceremos o nome copy-trail-events.

    

17. Selecione Next (Próximo) para revisar suas escolhas.

18. Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha Create event data store (Criar armazenamento de dados de eventos).

19. O novo armazenamento de dados de eventos está visível na tabela Armazenamentos de dados de eventos na página Armazenamento de dados de eventos.

    

20. Escolha o nome do armazenamento de dados de eventos para visualizar sua página de detalhes. A página de detalhes mostra os detalhes do armazenamento de dados de eventos e o status da cópia. O status da cópia de eventos é mostrado na área Status da cópia de eventos.

    Quando uma cópia de evento de trilha é concluída, seu Copy status (Status de cópia) é definido como Completed (Concluída) se não houve erros ou como Failed (Falha) se houve algum erro.

    

21. Para visualizar mais detalhes sobre a cópia, escolha o nome da cópia na coluna Localização do log de eventos no S3 ou escolha a opção Visualizar detalhes no menu Ações. Para obter mais informações sobre como visualizar os detalhes de uma cópia de evento de trilha, consulte Veja os detalhes da cópia do evento com o CloudTrail console.

    

22. A área Falhas de cópia mostra todos os erros que ocorreram ao copiar eventos de trilha. Se o Copy status (Status da cópia) for Failed (Falha), corrija os erros mostrados em Copy failures (Falhas ao copiar) e, em seguida, escolha Retry copy (Tentar cópia novamente). Quando você tenta fazer uma cópia novamente, CloudTrail retoma a cópia no local em que a falha ocorreu.