Copiez les événements de suivi dans un nouveau magasin de données d'événements à l'aide de la console - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Copiez les événements de suivi dans un nouveau magasin de données d'événements à l'aide de la console

Cette procédure pas à pas vous explique comment copier des événements de parcours dans un nouveau magasin de données d'événements CloudTrail Lake à des fins d'analyse historique. Pour plus d’informations sur la copie d’événements de journal de suivi, veuillez consulter Copier des événements de journal de suivi dans un magasin de données d'événement.

Pour copier des événements de journal de suivi dans un entrepôt de données d'événement

  1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans le panneau de navigation, sous Lake, choisissez Entrepôts de données d'événement.

  3. Choisissez Créer un magasin de données d’événement.

  4. Sur la page Configurer le magasin de données d'événements, dans Détails généraux, donnez un nom à votre magasin de données d'événements, tel que my-management-events-eds. Il est recommandé d'utiliser un nom qui identifie rapidement l'objectif du magasin de données d'événements. Pour plus d'informations sur les exigences en matière de CloudTrail dénomination, consultezExigences de dénomination pour les CloudTrail ressources, les compartiments S3 et les clés KMS.

  5. Choisissez l’option de tarification que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter Tarification d’AWS CloudTrail et Gestion des coûts CloudTrail du lac.

    Les options suivantes sont disponibles :

    • Tarif de rétention extensible d’un an : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.

      • Période de conservation par défaut : 366 jours.

      • Période de conservation maximale : 3 653 jours

    • Tarif de rétention sur sept ans : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.

      • Période de conservation par défaut : 2 557 jours.

      • Période de conservation maximale : 2 557 jours

  6. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de tarification de rétention extensible d’un an, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de tarification de rétention sur sept ans.

    CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. eventTime Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent eventTime de plus de 90 jours.

    Note

    CloudTrail ne copiera pas un événement s'il eventTime est antérieur à la période de conservation spécifiée.

    Pour déterminer la période de conservation appropriée, additionnez l'événement le plus ancien que vous souhaitez copier en jours et le nombre de jours pendant lesquels vous souhaitez conserver les événements dans le magasin de données d'événements (période de conservation = oldest-event-in-days + number-days-to-retain). Par exemple, si l'événement le plus ancien que vous copiez date de 45 jours et que vous souhaitez conserver les événements dans le magasin de données d'événements pendant 45 jours supplémentaires, vous devez définir la période de conservation à 90 jours.

  7. (Facultatif) Dans Chiffrement, indiquez si vous souhaitez chiffrer le magasin de données d'événements à l'aide de votre propre KMS clé. Par défaut, tous les événements d'un magasin de données d'événements sont chiffrés à CloudTrail l'aide d'une KMS clé qui vous AWS appartient et qui est gérée pour vous.

    Pour activer le chiffrement à l'aide de votre propre KMS clé, choisissez Utiliser ma propre clé AWS KMS key. Choisissez Nouveau pour en AWS KMS key créer une pour vous, ou choisissez Existant pour utiliser une KMS clé existante. Dans Entrer un KMS alias, spécifiez un alias au format alias/MyAliasName. Pour utiliser votre propre KMS clé, vous devez modifier votre politique en matière de KMS clés afin de permettre le chiffrement et le déchiffrement des CloudTrail journaux. Pour plus d'informations, consultezConfigurer les politiques AWS KMS clés pour CloudTrail. CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service .

    L'utilisation de votre propre KMS clé entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé une banque de données d'événements à une KMS clé, la KMS clé ne peut pas être supprimée ou modifiée.

    Note

    Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une KMS clé existante pour le compte de gestion.

  8. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez Activer dans Fédération de requêtes Lake. La fédération vous permet de visualiser les métadonnées associées au magasin de données d'événements dans le catalogue de AWS Glue données et d'exécuter SQL des requêtes sur les données d'événements dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter Fédérer un magasin de données d’événement.

    Pour activer la fédération de requêtes Lake, choisissez Activer, puis procédez comme suit :

    1. Choisissez si vous souhaitez créer un nouveau rôle ou utiliser un IAM rôle existant. AWS Lake Formationutilise ce rôle pour gérer les autorisations pour le magasin de données d'événements fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les autorisations minimales requises.

    2. Si vous créez un rôle, saisissez un nom pour identifier le rôle.

    3. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.

  9. (Facultatif) Dans Balises, ajoutez une ou plusieurs identifications personnalisées (paires valeur-clé) à votre magasin de données d’événement. Les balises peuvent vous aider à identifier les magasins de données de vos CloudTrail événements. Par exemple, il est possible d’attacher une balise portant le nom stage à la valeur prod. Vous pouvez utiliser des balises pour limiter l'accès à votre entrepôt de données d'événement. Vous pouvez également utiliser des balises pour suivre les coûts de requête et d'ingestion pour votre entrepôt de données d'événement.

    Pour plus d'informations sur l'utilisation des balises pour le suivi des coûts, veuillez consulter Création de balises de répartition des coûts définies par l'utilisateur pour les magasins de données d'événements CloudTrail Lake. Pour plus d'informations sur l'utilisation des IAM politiques pour autoriser l'accès à un magasin de données d'événements sur la base de balises, consultezExemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications. Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section Marquage de vos AWS ressources dans le Guide de l'utilisateur AWS des ressources de balisage.

  10. Choisissez Suivant pour configurer le magasin de données d’événement.

  11. Sur la page Choisir des événements, conservez les sélections par défaut pour Type d'événement.

    Choisissez un type d'événement pour l'entrepôt de données d'événement

  12. Pour les CloudTrail événements, nous laisserons les événements de gestion sélectionnés et choisirons Copier les événements de piste. Dans cet exemple, les types d'événements ne nous intéressent pas, car nous n'utilisons l'entrepôt de données d'événement que pour analyser les événements passés et non pour ingérer les événements futurs.

    Si vous créez un entrepôt de données d'événement pour remplacer un journal de suivi existant, choisissez les mêmes sélecteurs d'événements que votre journal de suivi pour vous assurer que l'entrepôt de données d'événement couvre les mêmes événements.

    Choisissez CloudTrail les types d'événements pour votre banque de données d'événements

  13. Choisissez Activer pour tous les comptes de mon organisation s'il s'agit d'un entrepôt de données d'événement d'organisation. Cette option ne pourra pas être modifiée à moins que vous ayez des comptes configurés dans AWS Organizations.

    Note

    Si vous créez un entrepôt de données d'événement d'organisation, vous devez être connecté avec le compte de gestion de l'organisation, car seul celui-ci peut copier les événements de journal de suivi vers l'entrepôt de données d'événement d'organisation.

  14. Pour Paramètres supplémentaires, nous allons désélectionner Ingérer les événements, car dans cet exemple, nous ne voulons pas que l'entrepôt de données d'événement ingère des événements futurs, puisque nous ne sommes intéressés que par l'interrogation des événements copiés. Par défaut, un magasin de données d'événements collecte les événements pour tous Régions AWS et commence à les ingérer dès sa création.

  15. Pour Événements de gestion, nous conserverons les paramètres par défaut.

    Choisir les options de gestion des événements pour l'entrepôt de données d'événement

  16. Dans la zone Copier les événements du journal de suivi, effectuez les étapes suivantes.

    1. Sélectionnez le journal de suivi que vous voulez copier. Dans cet exemple, nous allons choisir une piste nommée management-events.

      Par défaut, copie CloudTrail uniquement les CloudTrail événements contenus dans le préfixe du compartiment S3 et CloudTrail les préfixes contenus dans le CloudTrail préfixe, et ne vérifie pas les préfixes des autres services. AWS Si vous souhaitez copier CloudTrail des événements contenus dans un autre préfixe, choisissez Enter S3 URI, puis Browse S3 pour accéder au préfixe. Si le compartiment S3 source du journal utilise une KMS clé pour le chiffrement des données, assurez-vous que la politique en matière de KMS clés autorise CloudTrail le déchiffrement des données. Si votre compartiment S3 source utilise plusieurs KMS clés, vous devez mettre à jour la politique de chaque clé afin de CloudTrail permettre le déchiffrement des données du compartiment. Pour plus d'informations sur la mise à jour de la politique KMS clé, consultezKMSpolitique clé pour le déchiffrement des données dans le compartiment S3 source.

    2. Choisissez un intervalle de temps pour copier les événements. CloudTrail vérifie le préfixe et le nom du fichier journal pour vérifier que le nom contient une date comprise entre les dates de début et de fin choisies avant de tenter de copier les événements de suivi. Vous avez le choix entre Plage relative ou Plage absolue. Pour éviter de dupliquer les événements entre le journal de suivi source et le magasin de données d’événement de destination, choisissez une plage de temps antérieure à la création du magasin de données d’événement.

      • Si vous choisissez Plage relative, vous pouvez choisir de copier les événements enregistrés au cours des 6 derniers mois, 1 an, 2 ans, 7 ans ou une plage personnalisée. CloudTrail copie les événements enregistrés pendant la période choisie.

      • Si vous choisissez la plage absolue, vous pouvez choisir une date de début et une date de fin spécifiques. CloudTrail copie les événements survenus entre les dates de début et de fin choisies.

      Dans cet exemple, nous allons choisir la plage absolue et nous allons sélectionner l'ensemble du mois de mai.

      Choisir une plage absolue pour l'entrepôt des données d'événements

    3. Pour les autorisations, choisissez l'une des options de IAM rôle suivantes. Si vous choisissez un IAM rôle existant, vérifiez que la politique de IAM rôle fournit les autorisations nécessaires. Pour plus d'informations sur la mise à jour des autorisations de IAM rôle, consultezIAMautorisations pour copier les événements du trail.

      • Choisissez Créer un nouveau rôle (recommandé) pour créer un nouveau IAM rôle. Dans le champ Entrez le nom du IAM rôle, entrez le nom du rôle. CloudTrail crée automatiquement les autorisations nécessaires pour ce nouveau rôle.

      • Choisissez Utiliser un IAM rôle personnalisé ARN pour utiliser un IAM rôle personnalisé qui n'est pas répertorié. Pour Enter IAM role ARN, entrez le IAMARN.

      • Choisissez un IAM rôle existant dans la liste déroulante.

      Dans cet exemple, nous choisirons Créer un nouveau rôle (recommandé) et nous fournirons le nom copy-trail-events.

    Choisissez les options pour copier CloudTrail les événements

  17. Choisissez Suivant pour examiner vos préférences.

  18. Sur la page Review and create (Vérifier et créer), examinez vos choix. Choisissez Modifier (Edit) pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez Créer un magasin de données d’événement.

  19. Le nouvel entrepôt de données d'événement est visible dans la table Entrepôts de données d'événement sur la page Entrepôts de données d'événement.

    Afficher les entrepôts de données d'événement

  20. Choisissez le nom de l'entrepôt de données d'événement pour afficher la page contenant ses détails. La page de détails indique les détails de votre entrepôt de données d'événement et le statut de la copie. L'état de la copie d'événement est affiché dans la zone État de la copie d'événement.

    Lorsque la copie d’un événement de journal de suivi est terminée, son Statut de la copie est défini sur Terminé si aucune erreur n’est survenue, ou Échec si des erreurs sont survenues.

    Afficher l'état de la copie d'événement sur la page de détails

  21. Pour afficher plus de détails sur la copie, choisissez le nom de la copie dans la colonne Emplacement S3 du journal des événements ou choisissez l'option Afficher les détails dans le menu Actions. Pour plus d’informations sur l’affichage des informations relatives à la copie d’un événement de journal de suivi, veuillez consulter Afficher les détails de la copie de l'événement avec la CloudTrail console.

    Afficher les détails de la copie d'événement

  22. La zone Échecs de copie indique toutes les erreurs survenues lors de la copie des événements de suivi. Si le Statut de la copie est Échec, corrigez les erreurs qui s’affichent dans Échecs de la copie, puis sélectionnez Réessayer la copie. Lorsque vous réessayez d'effectuer une copie, elle CloudTrail reprend à l'endroit où l'échec s'est produit.