Copia de eventos de registro de seguimiento a un almacén de datos de eventos existente con la consola - AWS CloudTrail

Copia de eventos de registro de seguimiento a un almacén de datos de eventos existente con la consola

Utilice el siguiente procedimiento para copiar los eventos de registros de seguimiento en un almacén de datos de eventos existente. Para obtener información sobre cómo crear un nuevo almacén de datos de eventos, consulte Creación de un almacén de datos de eventos para eventos de CloudTrail con la consola.

nota

Antes de copiar los eventos del registro de seguimiento a un almacén de datos de eventos existente, asegúrese de que la opción de precios y el periodo de retención del almacén de datos de eventos estén configurados adecuadamente para su caso de uso.

  • Opción de precios: la opción de precios determina el costo de la incorporación y el almacenamiento de los eventos. Para obtener más información sobre las opciones de precios, consulte Precios de AWS CloudTrail y Opciones de precios del almacén de datos de eventos.

  • Periodo de retención: el periodo de retención determina cuánto tiempo se guardan los datos del evento en el almacén de datos de eventos. CloudTrail solo copia los eventos de registros de seguimiento que tengan un valor de eventTime dentro del periodo de retención del almacén de datos de eventos. Para determinar el periodo de retención adecuado, tome la suma del evento más antiguo que desea copiar en días y el número de días que desea conservar los eventos en el almacén de datos de eventos (periodo de retención = el evento más antiguo en días más el número de días que se debe retener). Por ejemplo, si el evento más antiguo que va a copiar tiene 45 días y desea conservar los eventos en el almacén de datos de eventos durante otros 45 días, debe establecer el periodo de retención en 90 días.

Para copiar eventos de registros de seguimiento en un almacén de datos de eventos
  1. Inicie sesión en la AWS Management Console y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija Copy trail events (Copiar eventos de registros de seguimiento).

  4. En la página Copy trail events (Copiar eventos de registro de seguimiento), elija el registro de seguimiento que desea copiar para Event source (Origen del evento). De forma predeterminada, CloudTrail solo copia los eventos de CloudTrail contenidos en el prefijo CloudTrail del bucket de S3 y los prefijos dentro del prefijo CloudTrail y no comprueba los prefijos de otros servicios de AWS. Si desea copiar los eventos de CloudTrail contenidos en otro prefijo, elija Enter S3 URI (Introducir la URI de S3) y, a continuación, elija Browse S3 (Examinar S3) para buscar el prefijo. Si el bucket de S3 de origen para el registro de seguimiento usa una clave de KMS para el cifrado de datos, verifique que la política de la clave de KMS permite a CloudTrail descifrar los datos. Si su bucket de S3 de origen utiliza varias claves de KMS, debe actualizar la política de cada clave de manera que permitan a CloudTrail descifrar los datos en el bucket. Para obtener más información sobre la actualización de la política de claves KMS, consulte Política de claves KMS para descifrar datos en el bucket de S3 de origen.

    La política de buckets de S3 debe conceder acceso a CloudTrail para copiar los eventos de registro de seguimiento de su bucket de S3. Para obtener más información sobre la actualización de la política de buckets de S3, consulte Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento.

  5. En Especificar un intervalo de tiempo de eventos, seleccione el intervalo de tiempo de copia de los eventos. CloudTrail comprueba el prefijo y el nombre del registro para comprobar que el nombre contenga una fecha situada entre la fecha de inicio y la fecha de finalización elegidas antes de intentar copiar los eventos del registro de seguimiento. Puede elegir un intervalo relativo o un intervalo absoluto. Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de tiempo que sea anterior a la creación del almacén de datos de eventos.

    nota

    CloudTrail solo copia los eventos de registros de seguimiento que tengan un valor de eventTime dentro del periodo de retención del almacén de datos de eventos. Por ejemplo, si el periodo de retención de un almacén de datos de eventos es de 90 días, CloudTrail no copiará ningún evento de registro de seguimiento con un valor de eventTime anterior a 90 días.

    • Si elige Intervalo relativo, puede elegir si desea copiar los eventos registrados en los últimos 6 meses, 1 año, 2 años, 7 años o un intervalo personalizado. CloudTrail copia los eventos registrados dentro del periodo seleccionado.

    • Si selecciona Absolute range (Intervalo absoluto), puede elegir fechas de inicio y de finalización específicas. CloudTrail copia los eventos que se produjeron entre las fechas de inicio y de finalización seleccionadas.

  6. Para Delivery location (Lugar de entrega), elija el almacén de datos de eventos de destino en la lista desplegable.

  7. Para Permissions (Permisos), elija una de las siguientes opciones de rol de IAM. Si elige un rol de IAM existente, verifique que la política de roles de IAM proporcione los permisos necesarios. Para obtener más información acerca de la actualización de los permisos de rol de IAM, consulte Permisos de IAM para copiar eventos de registro de seguimiento.

    • Elija Create a new role (recommended) (Crear un nuevo rol [recomendado]) para crear un nuevo rol de IAM. En Enter IAM role name (Ingresar nombre del rol de IAM), escriba un nombre único para el rol. CloudTrail crea automáticamente los permisos necesarios para este nuevo rol.

    • Seleccione Usar un rol de IAM personalizado para usar un rol de IAM personalizado que no aparezca en la lista. En Enter IAM role ARN (Ingresar ARN del rol de IAM), escriba el ARN de IAM.

    • Elija un rol de IAM existente de la lista desplegable.

  8. Elija Copy events (Copiar eventos).

  9. Se le solicitará que confirme. Cuando esté listo para confirmar, elija Copy trail events to Lake (Copiar eventos de registro de seguimiento en Lake) y, a continuación, Copy events (Copiar eventos).

  10. En la página Copy details (Detalles de la copia), puede observar el estado de la copia y revisar cualquier error. Cuando se completa la copia de un evento de registro de seguimiento, el campo Copy status (Estado de la copia) se establece en Completed (Completa), si no hubo errores, o Failed (Error), si hubo errores.

    nota

    Los detalles que aparecen en la página de detalles de la copia del evento no aparecen en tiempo real. Los valores reales de detalles, como los prefijos copiados, pueden ser superiores a los que se muestran en la página. CloudTrail actualiza los detalles de forma incremental a lo largo de la copia del evento.

  11. Si Copy status (Estado de la copia) está establecido en Failed (Error), corrija los errores que aparecen en Copy failures (Errores de la copia) y, a continuación, elija Retry copy (Volver a copiar). Cuando vuelva a realizar la copia, CloudTrail reanuda la copia en la ubicación en la que se produjo el error.

Para obtener más información sobre cómo ver los detalles de la copia de un evento de registro de seguimiento, consulte Visualización de detalles de la copia de eventos con la consola de CloudTrail.