Importez les événements de suivi dans un magasin de données d'événements à l'aide du AWS CLI - AWS CloudTrail
Préparation à l’importation d’événements de journal de suiviPour créer un magasin de données d’événement et importer des événements de journal de suivi dans celui-ci

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Importez les événements de suivi dans un magasin de données d'événements à l'aide du AWS CLI

Cette section explique comment créer et configurer un magasin de données d'événements en exécutant le create-event-data-storepuis comment importer les événements dans cette banque de données d'événements à l'aide du start-importcommande. Pour plus d'informations sur l'importation d'événements de randonnée, consultezCopier des événements de journal de suivi dans un magasin de données d'événement.

Préparation à l’importation d’événements de journal de suivi

Avant d’importer des événements de journal de suivi, effectuez les préparations suivantes.

  • Assurez-vous que vous disposez d’un rôle doté des autorisations requises pour importer des événements de journal de suivi dans un magasin de données d’événement.

  • Déterminez le --billing-modevaleur que vous souhaitez spécifier pour le magasin de données d'événements. Le paramètre --billing-mode détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour le magasin de données d’événement.

    Lorsque vous importez des événements de suivi dans CloudTrail Lake, CloudTrail décompressez les journaux stockés au format gzip (compressé). CloudTrail Copie ensuite les événements contenus dans les journaux dans votre banque de données d'événements. La taille des données non compressées peut être supérieure à la taille réelle du stockage Amazon S3. Pour obtenir une estimation générale de la taille des données non compressées, vous pouvez multiplier par 10 la taille des journaux du compartiment S3. Vous pouvez utiliser cette estimation pour choisir la valeur --billing-mode correspondant à votre cas d’utilisation.

  • Déterminez la valeur que vous souhaitez spécifier pour--retention-period. CloudTrail ne copiera pas un événement s'il eventTime est antérieur à la période de conservation spécifiée.

    Pour déterminer la période de conservation appropriée, faites la somme de l’événement le plus ancien que vous souhaitez copier en jours et du nombre de jours pendant lesquels vous souhaitez conserver les événements dans le magasin de données d’événement, comme le montre l’équation suivante :

    Durée de conservation = oldest-event-in-days + number-days-to-retain

    Par exemple, si l’événement le plus ancien que vous copiez date de 45 jours et que vous souhaitez conserver les événements dans le magasin de données d’événement pendant 45 jours supplémentaires, vous devez définir la période de conservation sur 90 jours.

  • Décidez si vous souhaitez utiliser le magasin de données d’événement pour analyser les événements futurs. Si vous ne souhaitez pas ingérer d’événements futurs, incluez le paramètre --no-start-ingestion lorsque vous créez le magasin de données d’événement. Par défaut, le magasin de données d’événement commence à ingérer les événements dès sa création.

Pour créer un magasin de données d’événement et importer des événements de journal de suivi dans celui-ci

  1. Exécutez la commande create-event-data-store pour créer le nouveau magasin de données d’événement. Dans cet exemple, le paramètre --retention-period est défini sur 120 parce que le plus ancien événement copié date de 90 jours et que nous voulons conserver les événements pendant 30 jours. Le paramètre --no-start-ingestion est défini, car nous ne voulons pas ingérer d’événements futurs. Dans cet exemple, le paramètre --billing-mode n’a pas été défini, car nous utilisons la valeur par défaut EXTENDABLE_RETENTION_PRICING car nous prévoyons d’ingérer moins de 25 To de données d’événement.

    Note

    Si vous créez le magasin de données d’événement pour remplacer votre journal de suivi, nous vous recommandons de configurer le paramètre --advanced-event-selectors pour qu’il corresponde aux sélecteurs d’événements de votre journal de suivi afin de vous assurer que vous bénéficiez de la même couverture d’événement. Par défaut, les magasins de données d’événement journalisent tous les événements de gestion.

    aws cloudtrail create-event-data-store  --name import-trail-eds  --retention-period 120 --no-start-ingestion

    Voici un exemple de réponse :

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
    "Name": "import-trail-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 120,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
    "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}

    La paramètre initial Status est CREATED nous allons donc lancer la commande get-event-data-store pour vérifier que l’ingestion est arrêtée.

    aws cloudtrail get-event-data-store --event-data-store eds-id

    La réponse indique que le paramètre Status est désormais STOPPED_INGESTION, ce qui indique que le magasin de données d’événement n’ingère pas les événements en direct.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
    "Name": "import-trail-eds",
    "Status": "STOPPED_INGESTION",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 120,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
    "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}

  2. Exécutez la commande start-import pour importer les événements du journal de suivi dans le magasin de données d’événement créé à l’étape 1. Spécifiez le ARN (ou le suffixe d'ID duARN) du magasin de données d'événements comme valeur du --destinations paramètre. Pour le paramètre --start-event-time, spécifiez eventTime pour l’événement le plus ancien que vous souhaitez copier et pour le paramètre --end-event-time, spécifiez eventTime pour l’événement le plus récent que vous souhaitez copier. Pour --import-source spécifier le S3 URI du compartiment S3 contenant vos journaux de suivi, Région AWS celui du compartiment S3 et le ARN rôle utilisé pour importer les événements de suivi. 

    aws cloudtrail start-import \
--destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \
--start-event-time 2023-08-11T16:08:12.934000+00:00 \
--end-event-time 2023-11-09T17:08:20.705000+00:00 \
--import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}

    Voici un exemple de réponse.

    {
   "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
   "Destinations": [
        "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
    ],
   "EndEventTime": "2023-11-09T17:08:20.705000+00:00",
   "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1",
   "ImportSource": { 
      "S3": { 
         "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds",
         "S3BucketRegion":"us-east-1",
         "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/"
      }
   },
   "ImportStatus": "INITIALIZING",
   "StartEventTime": "2023-08-11T16:08:12.934000+00:00",
   "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00"
}

  3. Exécutez le get-importcommande pour obtenir des informations sur l'importation.

    aws cloudtrail get-import --import-id import-id

    Voici un exemple de réponse.

    {
    "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE",
    "Destinations": [
        "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
    ],
    "ImportSource": {
        "S3": {
            "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/",
            "S3BucketRegion":"us-east-1",
            "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"
        }
    },
    "StartEventTime": "2023-08-11T16:08:12.934000+00:00",
    "EndEventTime": "2023-11-09T17:08:20.705000+00:00",
    "ImportStatus": "COMPLETED",
    "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
    "ImportStatistics": {
        "PrefixesFound": 1548,
        "PrefixesCompleted": 1548,
        "FilesCompleted": 92845,
        "EventsCompleted": 577249,
        "FailedEntries": 0
    }
}

    Une importation se termine par un paramètre ImportStatus défini sur COMPLETED s’il n’y a pas eu d’échec ou défini sur FAILED s’il y a eu des échecs.

    Si l'importation l'a étéFailedEntries, vous pouvez exécuter le list-import-failurescommande pour renvoyer une liste des échecs.

    aws cloudtrail list-import-failures --import-id import-id

    Pour réessayer une importation qui a échoué, exécutez la commande start-import avec uniquement le paramètre --import-id. Lorsque vous réessayez une importation, elle CloudTrail reprend à l'endroit où l'échec s'est produit.

    aws cloudtrail start-import --import-id import-id