Kopieren Sie Trail-Ereignisse mit der Konsole in einen vorhandenen Ereignisdatenspeicher - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kopieren Sie Trail-Ereignisse mit der Konsole in einen vorhandenen Ereignisdatenspeicher

Gehen Sie wie folgt vor, um Trail-Ereignisse in einen bestehenden Ereignisdatenspeicher zu kopieren. Weitere Informationen zum Erstellen eines neuen Ereignisdatenspeichers finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse.

Anmerkung

Bevor Sie Trail-Ereignisse in einen vorhandenen Ereignisdatenspeicher kopieren, stellen Sie sicher, dass die Preisoption und der Aufbewahrungszeitraum des Ereignisdatenspeichers für Ihren Anwendungsfall entsprechend konfiguriert sind.

  • Preisoption: Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen. Weitere Informationen zu Preisoptionen und Details finden Sie unter AWS CloudTrail -Preise und Preisoptionen für den Ereignisdatenspeicher.

  • Aufbewahrungszeitraum: Der Aufbewahrungszeitraum bestimmt, wie lange Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden. CloudTrail kopiert nur Ereignisse, die eventTime innerhalb der Aufbewahrungsfrist des Veranstaltungsdatenspeichers liegen. Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher speichern möchten (Aufbewahrungszeitraum = oldest-event-in-days + number-days-to-retain). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher behalten möchten, würden Sie die Aufbewahrungsfrist auf 90 Tage festlegen.

So kopieren Sie Trail-Ereignisse in einen Ereignisdatenspeicher

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im Navigationsbereich unter Lake Ereignisdatenspeicher aus.

  3. Wählen Sie Copy trail events (Kopieren von Trail-Ereignissen).

  4. Wählen Sie auf der Seite Copy trail events (Trail-Ereignisse kopieren) für Event source (Ereignisquelle) den Pfad aus, den Sie kopieren möchten. Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im CloudTrail Präfix des S3-Buckets und die Präfixe innerhalb des CloudTrail Präfixes enthalten sind, und überprüft keine Präfixe für andere AWS Dienste. Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, wählen Sie Enter S3 und dann Browse S3 URI, um zu dem Präfix zu navigieren. Wenn der S3-Quell-Bucket für den Trail einen KMS Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS Schlüsselrichtlinie das Entschlüsseln der Daten zulässt CloudTrail . Wenn Ihr S3-Quell-Bucket mehrere KMS Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren, damit CloudTrail die Daten im Bucket entschlüsselt werden können. Weitere Informationen zur Aktualisierung der KMS Schlüsselrichtlinie finden Sie unterKMSwichtige Richtlinie für die Entschlüsselung von Daten im S3-Quell-Bucket.

    Die S3-Bucket-Richtlinie muss CloudTrail Zugriff gewähren, um Trail-Ereignisse aus Ihrem S3-Bucket zu kopieren. Weitere Informationen zum Aktualisieren der S3-Bucket-Richtlinie finden Sie unter Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen.

  5. Wählen Sie unter Geben Sie einen Zeitraum für Ereignisse an den Zeitraum aus, in dem die Ereignisse kopiert werden sollen. CloudTrail überprüft das Präfix und den Namen der Protokolldatei, um sicherzustellen, dass der Name ein Datum zwischen dem ausgewählten Start- und Enddatum enthält, bevor versucht wird, Trail-Ereignisse zu kopieren. Sie können einen Relative range (Relativen Bereich) oder einen Absolute range (Absoluten Bereich) wählen. Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum aus, der vor der Erstellung des Ereignisdatenspeichers liegt.

    Anmerkung

    CloudTrail kopiert nur Trail-Ereignisse, die eventTime innerhalb der Aufbewahrungsfrist des Event-Datenspeichers liegen. Wenn die Aufbewahrungsfrist eines Event-Datenspeichers beispielsweise 90 Tage beträgt, CloudTrail werden keine Trail-Ereignisse kopiert, die eventTime älter als 90 Tage sind.

    • Wenn Sie Relativer Bereich wählen, können Sie wählen, ob Ereignisse kopiert werden sollen, die in den letzten 6 Monaten, 1 Jahr, 2 Jahren, 7 Jahren oder in einem benutzerdefinierten Bereich protokolliert wurden. CloudTrail kopiert die Ereignisse, die innerhalb des ausgewählten Zeitraums protokolliert wurden.

    • Wenn Sie „Absoluter Bereich“ wählen, können Sie ein bestimmtes Start- und Enddatum wählen. CloudTrail kopiert die Ereignisse, die zwischen dem ausgewählten Start- und Enddatum aufgetreten sind.

  6. Wählen Sie für Delivery location (Zustellungsort) den Zielereignisdatenspeicher aus der Dropdown-Liste aus.

  7. Wählen Sie für Berechtigungen eine der folgenden IAM Rollenoptionen aus. Wenn Sie eine vorhandene IAM Rolle auswählen, stellen Sie sicher, dass die IAM Rollenrichtlinie die erforderlichen Berechtigungen bereitstellt. Weitere Informationen zur Aktualisierung der IAM Rollenberechtigungen finden Sie unterIAMBerechtigungen für das Kopieren von Trail-Ereignissen.

    • Wählen Sie Neue Rolle erstellen (empfohlen), um eine neue IAM Rolle zu erstellen. Geben Sie IAM unter Rollennamen eingeben einen Namen für die Rolle ein. CloudTrail erstellt automatisch die erforderlichen Berechtigungen für diese neue Rolle.

    • Wählen Sie Benutzerdefinierte IAM Rolle verwenden ausARN, um eine benutzerdefinierte IAM Rolle zu verwenden, die nicht aufgeführt ist. Geben Sie für IAM Rolle ARN eingeben den ein IAMARN.

    • Wählen Sie eine vorhandene IAM Rolle aus der Drop-down-Liste aus.

  8. Wählen Sie Copy events (Kopieren von Ereignissen).

  9. Sie werden zur Bestätigung aufgefordert. Sobald Sie bereit sind zu bestätigen, wählen Sie Copy trail events to Lake (Trail-Ereignisse nach Lake kopieren) aus und dann wählen Sie Copy events (Ereignisse kopieren).

  10. Auf der Seite Copy details (Kopieren von Details) können Sie den Kopierstatus anzeigen und eventuelle Fehler überprüfen. Wenn eine Trail-Ereignis-Kopie abgeschlossen ist, wird der Copy status (Kopierstatus) entweder auf Completed (Abgeschlossen) festgelegt, wenn keine Fehler aufgetreten sind, oder auf Failed (Fehlgeschlagen), wenn Fehler aufgetreten sind.

    Anmerkung

    Details, die auf der Detailseite der Ereigniskopie angezeigt werden, sind nicht in Echtzeit. Die tatsächlichen Werte für Details wie Kopierte Präfixe können höher sein als die, die auf der Seite angezeigt werden. CloudTrail aktualisiert die Details im Verlauf der Ereigniskopie schrittweise.

  11. Wenn der Copy status (Kopierstatus) Failed (Fehlgeschlagen) lautet, beheben Sie alle Fehler, die unter Copy failures (Kopierfehler) angezeigt werden, und wählen Sie dann Retry copy (Kopie wiederholen) aus. Wenn Sie erneut versuchen, eine Kopie zu erstellen, CloudTrail wird der Kopiervorgang an der Stelle fortgesetzt, an der der Fehler aufgetreten ist.

Weitere Informationen zum Anzeigen der Details eines Trail-Ereignisses finden Sie unter Details zur Eventkopie mit der CloudTrail Konsole anzeigen.