Importa gli eventi del trail in un data store di eventi con AWS CLI - AWS CloudTrail
Preparazione all'importazione degli eventi del percorsoPer creare un datastore di eventi e importarvi gli eventi del percorso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Importa gli eventi del trail in un data store di eventi con AWS CLI

Questa sezione mostra come creare e configurare un Event Data Store eseguendo create-event-data-storecomando e quindi come importare gli eventi in quell'archivio dati di eventi utilizzando il start-importcomando. Per ulteriori informazioni sull'importazione degli eventi del trail, vedereCopia di eventi traccia in un archivio dati degli eventi.

Preparazione all'importazione degli eventi del percorso

Prima di importare gli eventi del percorso, effettua le seguenti operazioni preliminari.

  • Assicurati di avere un ruolo con le autorizzazioni necessarie per importare gli eventi del percorso in un datastore di eventi.

  • Determinare il --billing-modevalore che si desidera specificare per l'archivio dati degli eventi. La --billing-mode determina il costo dell'importazione e dell'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi.

    Quando importi gli eventi del trail su CloudTrail Lake, CloudTrail decomprime i log archiviati in formato gzip (compresso). Quindi CloudTrail copia gli eventi contenuti nei log nel tuo archivio dati degli eventi. La dimensione dei dati non compressi potrebbe essere maggiore della dimensione di archiviazione effettiva di Amazon S3. Per avere una stima generale della dimensione dei dati non compressi, moltiplica la dimensione dei log nel bucket S3 per 10. Puoi utilizzare questa stima per scegliere il valore --billing-mode per il tuo caso d'uso.

  • Determinate il valore che desiderate specificare per. --retention-period CloudTrail non copierà un evento se eventTime è più vecchio del periodo di conservazione specificato.

    Per determinare il periodo di conservazione corretto, calcola la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni per cui desideri conservare gli eventi nel datastore eventi, come dimostrato nell'equazione seguente:

    Periodo di conservazione = oldest-event-in-days + number-days-to-retain

    Ad esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.

  • Decidi se utilizzare il datastore di eventi per analizzare eventuali eventi futuri. Se non desideri importare eventi futuri, includi il parametro --no-start-ingestion durante la creazione del datastore di eventi. Per impostazione predefinita, i datastore di eventi iniziano a importare eventi quando vengono creati.

Per creare un datastore di eventi e importarvi gli eventi del percorso

  1. Esegui il comando create-event-data-store per creare il nuovo datastore di eventi. In questo esempio, il --retention-period è impostato su 120 perché l'evento più vecchio copiato risale a 90 giorni fa e vogliamo conservare gli eventi per 30 giorni. Il parametro --no-start-ingestion è impostato perché non vogliamo importare eventi futuri. In questo esempio, --billing-mode non è stato impostato, perché utilizziamo il valore predefinito EXTENDABLE_RETENTION_PRICING dal momento che prevediamo di importare meno di 25 TB di dati di eventi.

    Nota

    Se stai creando il datastore di eventi per sostituire il percorso, ti consigliamo di configurarlo in modo che --advanced-event-selectors corrisponda ai selettori di eventi del percorso per assicurarti la stessa copertura degli eventi. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione.

    aws cloudtrail create-event-data-store  --name import-trail-eds  --retention-period 120 --no-start-ingestion

    Di seguito è riportata la risposta di esempio:

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
    "Name": "import-trail-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 120,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
    "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}

    Lo Status iniziale è CREATED quindi eseguiremo il comando get-event-data-store per verificare che l'importazione sia interrotta.

    aws cloudtrail get-event-data-store --event-data-store eds-id

    La risposta indica che ora lo Status è STOPPED_INGESTION, quindi al momento il datastore di eventi non importa gli eventi live.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
    "Name": "import-trail-eds",
    "Status": "STOPPED_INGESTION",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 120,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
    "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}

  2. Usa il comando start-import per importare gli eventi del percorso nel datastore di eventi creato nella fase 1. Specificate il ARN (o il suffisso ID delARN) dell'event data store come valore per il --destinations parametro. Per --start-event-time specifica l'eventTime dell'evento più vecchio da copiare e per --end-event-time l'eventTime dell'evento più recente da copiare. Per --import-source specificare l'S3 URI per il bucket S3 contenente i log di percorso, il codice Regione AWS per il bucket S3 e il ruolo utilizzato per importare gli eventi ARN del trail. 

    aws cloudtrail start-import \
--destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \
--start-event-time 2023-08-11T16:08:12.934000+00:00 \
--end-event-time 2023-11-09T17:08:20.705000+00:00 \
--import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}

    Di seguito è riportata una risposta di esempio.

    {
   "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
   "Destinations": [
        "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
    ],
   "EndEventTime": "2023-11-09T17:08:20.705000+00:00",
   "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1",
   "ImportSource": { 
      "S3": { 
         "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds",
         "S3BucketRegion":"us-east-1",
         "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/"
      }
   },
   "ImportStatus": "INITIALIZING",
   "StartEventTime": "2023-08-11T16:08:12.934000+00:00",
   "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00"
}

  3. Eseguire get-importcomando per ottenere informazioni sull'importazione.

    aws cloudtrail get-import --import-id import-id

    Di seguito è riportata una risposta di esempio.

    {
    "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE",
    "Destinations": [
        "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
    ],
    "ImportSource": {
        "S3": {
            "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/",
            "S3BucketRegion":"us-east-1",
            "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"
        }
    },
    "StartEventTime": "2023-08-11T16:08:12.934000+00:00",
    "EndEventTime": "2023-11-09T17:08:20.705000+00:00",
    "ImportStatus": "COMPLETED",
    "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
    "ImportStatistics": {
        "PrefixesFound": 1548,
        "PrefixesCompleted": 1548,
        "FilesCompleted": 92845,
        "EventsCompleted": 577249,
        "FailedEntries": 0
    }
}

    L'importazione termina con ImportStatus su COMPLETED se non si sono verificati errori o su FAILED se si sono verificati errori.

    Se l'importazione è avvenutaFailedEntries, puoi eseguire il list-import-failurescomando per restituire un elenco di errori.

    aws cloudtrail list-import-failures --import-id import-id

    Per riprovare un'importazione che ha registrato errori, esegui il comando start-import solo con il parametro --import-id. Quando si riprova un'importazione, CloudTrail riprende l'importazione nella posizione in cui si è verificato l'errore.

    aws cloudtrail start-import --import-id import-id