使用主控台將追蹤事件複製到新的事件資料存放區

本逐步解說說明如何將追蹤事件複製到新的 CloudTrail Lake 事件資料倉庫以進行歷史分析。如需有關複製追蹤事件的詳細資訊，請參閱 將追蹤事件複製到事件資料存放區。

若要將追蹤事件複製到新的事件資料存放區

1. 請登入 AWS Management Console 並開啟 CloudTrail 主控台，網址為 https://console.aws.amazon.com/cloudtrail/。

2. 在導覽窗格中，選擇 Lake 下方的事件資料存放區。

3. 選擇 Create event data store (建立事件資料存放區)。

4. 在「設定事件資料存放區」頁面的「一般」詳細資料中，為您的事件資料存放區命名，例如my-management-events-eds。根據最佳實務，請使用可快速識別事件資料存放區目的的名稱。如需 CloudTrail 命名需求的資訊，請參閱 CloudTrail 資源、S3 儲存貯體和 KMS 金鑰的命名需求。

5. 選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需詳細資訊，請參閱 AWS CloudTrail 定價和 管理 CloudTrail 湖泊成本。

   以下為可用的選項：

   • 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB，並需要長達 10 年的彈性保留期，則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。366 天之後，延長保留將按 pay-as-you-go 價格提供。此為預設選項。

     • 預設保留期：366 天

     • 最長保留期：3,653 天

   • 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB，並需要長達 7 年的彈性保留期，則建議使用此選項。保留已包含在擷取定價中，無須額外付費。

     • 預設保留期：2,557 天

     • 最長保留期：2,557 天

6. 指定事件資料存放區的保留期。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間；或是七年保留定價選項，則可介於 7 天到 2,557 天 (約七年) 之間。

   CloudTrail Lake 會檢查事件是否在指定eventTime的保留期間內，以決定是否要保留事件。例如，如果您指定 90 天的保留期，則 CloudTrail 會在事件超過 90 天時移除事件。eventTime

   注意

   CloudTrail 如果事件早於指定的eventTime保留期間，則不會複製該事件。

   若要決定適當的保留期間，請採用您要複製的最舊事件的總和 (以天為單位)，以及要在事件資料存放區中保留事件的天數 (保留期間 = oldest-event-in-days+ number-days-to-retain)。例如，如果您要複製的最舊事件為 45 天前的事件，並希望這些事件在事件資料存放區中再保留 45 天，則可以將保留期設為 90 天。

7. (選用) 在加密中，選擇您是否想要使用自己的 KMS 金鑰加密事件資料存放區。依預設，事件資料存放區中的所有事件都會 CloudTrail 使用為您 AWS 擁有和管理的 KMS 金鑰加密。

   若要啟用使用您自己的 KMS 金鑰加密，請選擇使用我自己的 AWS KMS key。選擇 [新增] 為您 AWS KMS key 建立，或選擇現有以使用現有的 KMS 金鑰。在輸入 KMS 別名中，以格式指定別名alias/MyAliasName。使用自己的 KMS 金鑰時，您必須編輯 KMS 金鑰原則，以允許加密和解密 CloudTrail記錄。如需詳細資訊，請參閱設定 AWS KMS 金鑰原則 CloudTrail。 CloudTrail 還支持 AWS KMS 多區域鍵。如需多區域金鑰的詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰。

   使用您自己的 KMS 金鑰會產生加密和解密的 AWS KMS 成本。將事件資料存放區與 KMS 金鑰建立關聯後，就無法移除或變更 KMS 金鑰。

   注意

   若要為組織事件資料存放區啟用 AWS Key Management Service 加密，您必須為管理帳戶使用現有的 KMS 金鑰。

   

8. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料，請在 Lake 查詢聯合中選擇啟用。聯合可讓您在 AWS Glue Data Catalog 中檢視與事件資料存放區相關聯的中繼資料，並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue 資料目錄中的表格中繼資料可讓 Athena 查詢引擎瞭解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊，請參閱 聯合事件資料存放區。

   若要啟用 Lake 查詢聯合，請選擇啟用，然後執行下列動作：

   1. 選擇要建立新角色還是使用現有的 IAM 角色。AWS Lake Formation 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時， CloudTrail 會自動建立具有所需權限的角色。如果您選擇現有角色，請確認該角色的政策可提供必要的最低許可。

   2. 如果您要建立新角色，請輸入名稱以識別角色。

   3. 如果您要使用現有角色，請選擇想使用的角色。該角色必須存在於您的帳戶中。

9. (選用) 在標籤中，新增一或多個自訂標籤 (鍵值組) 至您的事件資料存放區。標籤可協助您識別 CloudTrail 事件資料存放區。例如，您可以附加名稱為 stage，值為 prod 的標籤。您可以使用標籤來限制對事件資料存放區的存取。您還可以使用標籤來追蹤事件資料存放區的查詢和擷取成本。

   如需有關如何使用標籤追蹤成本的資訊，請參閱 為 CloudTrail Lake 事件資料倉庫建立使用者定義的成本配置。如需有關如何使用 IAM 政策，對以標籤為基礎的事件資料存放區授予存取權的資訊，請參閱 範例：拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。有關如何在中使用標籤的詳細資訊 AWS，請參閱《標記資 AWS 源使用指南》中的〈標記 AWS 資源〉。

   

10. 選擇 Next (下一步) 以設定事件資料存放區。

11. 在選擇事件頁面上，保留事件類型的預設選項。

    

12. 對於CloudTrail 活動，我們將保留選取管理事件，然後選擇「複製追蹤事件」。在此範例中，我們不關心事件類型，因為我們只使用事件資料存放區來分析過往事件，而不會擷取未來事件。

    如果您要建立事件資料存放區來取代現有的追蹤，選擇與追蹤相同的事件選取器，以確保事件資料存放區有相同的事件涵蓋範圍。

    

13. 如果這是組織事件資料存放區，選擇針對組織中的所有帳戶啟用。除非您已在 AWS Organizations中設定帳戶，否則此選項將無法變更。

    注意

    如果要建立組織事件資料存放區，您必須使用組織的管理帳戶登入，因為只有管理帳戶可以將追蹤事件複製到組織事件資料存放區。

14. 對於其他設定，我們將取消選取擷取事件，因為在此範例中，我們不希望事件資料存放區擷取任何未來事件，而且我們只對查詢複製的事件感興趣。依預設，事件資料存放區會為所有人收集事件， AWS 區域 並在建立事件時開始擷取事件。

15. 對於管理事件，我們將保留預設設定。

    

16. 在複製追蹤事件區域中，完成下列步驟。

    1. 選擇您要複製的追蹤。在此範例中，我們將選擇名為 management-events 的追蹤。

       根據預設， CloudTrail 只會複製 S3 儲存貯體CloudTrail前綴中包含的 CloudTrail 事件和前綴內的CloudTrail前綴，而不會檢查其他 AWS 服務的前綴。如果您要複製其他前置詞中包含的 CloudTrail 事件，請選擇 [輸入 S3 URI]，然後選擇 [瀏覽 S3] 以瀏覽至首碼。如果追蹤的來源 S3 儲存貯體使用 KMS 金鑰進行資料加密，請確保 KMS 金鑰政策 CloudTrail 允許解密資料。如果來源 S3 儲存貯體使用多個 KMS 金鑰，則必須更新每個金鑰的政策， CloudTrail 以允許解密儲存貯體中的資料。如需更新 KMS 金鑰政策的詳細資訊，請參閱 用於解密來源 S3 儲存貯體中資料的 KMS 金鑰政策。

    2. 選擇複製事件的時間範圍。 CloudTrail 在嘗試複製追蹤事件之前，先檢查字首和記錄檔名稱，以確認名稱包含在所選開始日期與結束日期之間的日期。您可以選擇 Relative range (相對範圍) 或 Absolute range (絕對範圍)。若要避免來源追蹤和目的地事件資料存放區之間發生重複事件，請選擇早於事件資料存放區建立日期的時間範圍。

       • 如果您選擇「相對範圍」，則可以選擇複製過去 6 個月、1 年、2 年、7 年或自訂範圍內記錄的事件。 CloudTrail 複製所選期間內記錄的事件。

       • 如果選擇「絕對範圍」，則可以選擇特定的開始和結束日期。 CloudTrail 複製所選開始日期和結束日期之間發生的事件。

       在此範例中，我們將選擇絕對範圍，然後選取整個六月份。

       

    3. 對於 Permissions (許可)，從下列 IAM 角色選項中選擇。如果您選擇現有的 IAM 角色，請確認 IAM 角色政策提供必要的許可。如需更新 IAM 角色許可的詳細資訊，請參閱複製追蹤事件的 IAM 許可。

       • 選擇 Create a new role (recommended) (建立新角色 (建議使用)) 以建立新的 IAM 角色。在「輸入 IAM 角色名稱」中，輸入角色的名稱。 CloudTrail 會自動為此新角色建立必要的權限。

       • 選擇「使用自訂 IAM 角色 ARN」以使用未列出的自訂 IAM 角色。對於 Enter IAM role ARN (輸入 IAM 角色 ARN)，輸入 IAM ARN。

       • 從下拉式清單中選擇現有的 IAM 角色。

       在此範例中，我們將選擇建立新角色 (建議)，並命名為 copy-trail-events。

    

17. 選擇 Next (下一步) 以檢閱您的選項。

18. 在 Review and create (檢閱和建立) 頁面上，檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時，請選擇 Create event data store (建立事件資料存放區)。

19. 新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

    

20. 選擇事件資料存放區名稱，以檢視其詳細資訊頁面。詳細資訊頁面顯示您的事件資料存放區的詳細資訊以及複製狀態。事件複製狀態顯示在事件複製狀態區域中。

    追蹤事件複製完成時，如果沒有錯誤，則其 Copy status (複製狀態) 設定為 Completed (完成)；如果發生錯誤，則設定為 Failed (失敗)。

    

21. 若要檢視有關複製的詳細資訊，請在事件日誌 S3 位置欄中選擇複製名稱，或者選擇動作選單中檢視詳細資訊選項。如需檢視追蹤事件複製之詳細資訊，請參閱 使用 CloudTrail 主控台檢視事件複製詳細資料。

    

22. 複製失敗區域會顯示複製追蹤事件時發生的任何錯誤。如果 Copy status (複製狀態) 是 Failed (失敗)，修正 Copy failures (複製失敗) 中顯示的任何錯誤，接著選擇 Retry copy (重試複製)。當您重試副本時，會在發生失敗的位置 CloudTrail 繼續複製。