Impor peristiwa jejak ke penyimpanan data acara dengan AWS CLI - AWS CloudTrail
Bersiap untuk mengimpor acara jejakUntuk membuat penyimpanan data acara dan mengimpor peristiwa jejak ke penyimpanan data acara tersebut

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Impor peristiwa jejak ke penyimpanan data acara dengan AWS CLI

Bagian ini menunjukkan cara membuat dan mengkonfigurasi penyimpanan data peristiwa dengan menjalankan create-event-data-storeperintah dan kemudian bagaimana mengimpor peristiwa ke penyimpanan data peristiwa itu dengan menggunakan start-importperintah. Untuk informasi selengkapnya tentang mengimpor acara jejak, lihatSalin peristiwa jejak ke penyimpanan data acara.

Bersiap untuk mengimpor acara jejak

Sebelum Anda mengimpor acara jejak, buat persiapan berikut.

  • Pastikan Anda memiliki peran dengan izin yang diperlukan untuk mengimpor peristiwa jejak ke penyimpanan data peristiwa.

  • Tentukan --billing-modenilai yang ingin Anda tentukan untuk penyimpanan data acara. Ini --billing-mode menentukan biaya menelan dan menyimpan acara, dan periode retensi default dan maksimum untuk penyimpanan data acara.

    Saat Anda mengimpor peristiwa jejak ke CloudTrail Lake, CloudTrail buka ritsleting log yang disimpan dalam format gzip (terkompresi). Kemudian CloudTrail salin peristiwa yang terkandung dalam log ke penyimpanan data acara Anda. Ukuran data yang tidak terkompresi bisa lebih besar dari ukuran penyimpanan Amazon S3 yang sebenarnya. Untuk mendapatkan perkiraan umum ukuran data yang tidak terkompresi, kalikan ukuran log di bucket S3 dengan 10. Anda dapat menggunakan estimasi ini untuk memilih --billing-mode nilai untuk kasus penggunaan Anda.

  • Tentukan nilai yang ingin Anda tentukan untuk--retention-period. CloudTrail tidak akan menyalin peristiwa jika eventTime lebih tua dari periode retensi yang ditentukan.

    Untuk menentukan periode retensi yang sesuai, ambil jumlah peristiwa tertua yang ingin Anda salin dalam beberapa hari dan jumlah hari yang ingin Anda simpan di penyimpanan data acara seperti yang ditunjukkan dalam persamaan ini:

    Periode retensi = oldest-event-in-days + number-days-to-retain

    Misalnya, jika acara tertua yang Anda salin berusia 45 hari dan Anda ingin menyimpan acara di penyimpanan data acara selama 45 hari lagi, Anda akan mengatur periode retensi menjadi 90 hari.

  • Putuskan apakah Anda ingin menggunakan penyimpanan data acara untuk menganalisis peristiwa masa depan. Jika Anda tidak ingin menelan peristiwa masa depan, sertakan --no-start-ingestion parameter saat Anda membuat penyimpanan data acara. Secara default, toko data acara mulai menelan peristiwa saat dibuat.

Untuk membuat penyimpanan data acara dan mengimpor peristiwa jejak ke penyimpanan data acara tersebut

  1. Jalankan create-event-data-store perintah untuk membuat penyimpanan data acara baru. Dalam contoh ini, --retention-period diatur ke 120 karena acara tertua yang disalin adalah 90 hari dan kami ingin mempertahankan acara selama 30 hari. --no-start-ingestionParameter diatur karena kami tidak ingin menelan peristiwa masa depan apa pun. Dalam contoh ini, --billing-mode tidak disetel, karena kami menggunakan nilai default EXTENDABLE_RETENTION_PRICING seperti yang kami harapkan untuk menelan kurang dari 25 TB data peristiwa.

    catatan

    Jika Anda membuat penyimpanan data acara untuk menggantikan jejak Anda, kami sarankan untuk mengonfigurasi --advanced-event-selectors agar sesuai dengan pemilih acara jejak Anda untuk memastikan Anda memiliki cakupan acara yang sama. Secara default, data acara menyimpan log semua peristiwa manajemen.

    aws cloudtrail create-event-data-store  --name import-trail-eds  --retention-period 120 --no-start-ingestion

    Berikut ini adalah contoh respon:

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
    "Name": "import-trail-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 120,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
    "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}

    Awal Status adalah CREATED jadi kita akan menjalankan get-event-data-store perintah untuk memverifikasi konsumsi dihentikan.

    aws cloudtrail get-event-data-store --event-data-store eds-id

    Tanggapan menunjukkan Status sekarangSTOPPED_INGESTION, yang menunjukkan penyimpanan data acara tidak menelan acara langsung.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
    "Name": "import-trail-eds",
    "Status": "STOPPED_INGESTION",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 120,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
    "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}

  2. Jalankan start-import perintah untuk mengimpor peristiwa jejak ke penyimpanan data acara yang dibuat pada langkah 1. Tentukan ARN (atau akhiran ID dariARN) penyimpanan data peristiwa sebagai nilai untuk --destinations parameter. eventTimeUntuk --start-event-time tentukan acara tertua yang ingin Anda salin dan --end-event-time tentukan eventTime acara terbaru yang ingin Anda salin. Untuk --import-source tentukan S3 URI untuk bucket S3 yang berisi log jejak Anda, bucket Wilayah AWS untuk S3, dan peran yang ARN digunakan untuk mengimpor peristiwa jejak. 

    aws cloudtrail start-import \
--destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \
--start-event-time 2023-08-11T16:08:12.934000+00:00 \
--end-event-time 2023-11-09T17:08:20.705000+00:00 \
--import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}

    Berikut ini adalah contoh respons.

    {
   "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
   "Destinations": [
        "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
    ],
   "EndEventTime": "2023-11-09T17:08:20.705000+00:00",
   "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1",
   "ImportSource": { 
      "S3": { 
         "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds",
         "S3BucketRegion":"us-east-1",
         "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/"
      }
   },
   "ImportStatus": "INITIALIZING",
   "StartEventTime": "2023-08-11T16:08:12.934000+00:00",
   "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00"
}

  3. Jalankan get-importperintah untuk mendapatkan informasi tentang impor.

    aws cloudtrail get-import --import-id import-id

    Berikut ini adalah contoh respons.

    {
    "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE",
    "Destinations": [
        "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
    ],
    "ImportSource": {
        "S3": {
            "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/",
            "S3BucketRegion":"us-east-1",
            "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"
        }
    },
    "StartEventTime": "2023-08-11T16:08:12.934000+00:00",
    "EndEventTime": "2023-11-09T17:08:20.705000+00:00",
    "ImportStatus": "COMPLETED",
    "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
    "ImportStatistics": {
        "PrefixesFound": 1548,
        "PrefixesCompleted": 1548,
        "FilesCompleted": 92845,
        "EventsCompleted": 577249,
        "FailedEntries": 0
    }
}

    Impor selesai dengan ImportStatus of COMPLETED jika tidak ada kegagalan, atau FAILED jika ada kegagalan.

    Jika impor memilikiFailedEntries, Anda dapat menjalankan list-import-failuresperintah untuk mengembalikan daftar kegagalan.

    aws cloudtrail list-import-failures --import-id import-id

    Untuk mencoba lagi impor yang mengalami kegagalan, jalankan start-import perintah hanya dengan --import-id parameter. Saat Anda mencoba kembali impor, CloudTrail melanjutkan impor di lokasi di mana kegagalan terjadi.

    aws cloudtrail start-import --import-id import-id