Copiar eventos de trilhas para um armazenamento de dados de eventos existente com o console
Use o procedimento a seguir para copiar eventos de trilha para um armazenamento de dados de eventos existentes. Para obter informações sobre como criar um armazenamento de dados de eventos, consulte Criar um armazenamento de dados de eventos para eventos do CloudTrail com o console.
nota
Antes de copiar eventos de trilha para um armazenamento de dados de eventos existente, certifique-se de que a opção de preço e o período de retenção do armazenamento de dados de eventos estejam configurados adequadamente para seu caso de uso.
-
Opção de preço: a opção de preço determina o custo de ingestão e armazenamento de eventos. Para obter mais informações sobre opções de preço, consulte Preço do AWS CloudTrail
e Opções de preços do armazenamento de dados de eventos. -
Período de retenção: o período de retenção determina por quanto tempo os dados do evento são mantidos no armazenamento de dados de eventos. O CloudTrail copia somente eventos da trilha com
eventTime
dentro do período de retenção do armazenamento de dados de eventos. Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados de eventos (período de retenção =evento mais antigo em dias
+número de dias de retenção
). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias.
Para copiar eventos de trilhas para um armazenamento de dados de eventos
-
Faça login no AWS Management Console e abra o console do CloudTrail em https://console.aws.amazon.com/cloudtrail/
. -
No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.
-
Escolha Copy trail events (Copiar eventos de trilha).
-
Na página Copy trail events (Copiar eventos da trilha), em Event source (Origem dos eventos), escolha a trilha que deseja copiar. Por padrão, o CloudTrail copia somente os eventos do CloudTrail contidos no prefixo
CloudTrail
do bucket do S3 e os prefixos dentro do prefixoCloudTrail
, e não verifica os prefixos de outros serviços da AWS. Se você quiser copiar eventos do CloudTrail contidos em outro prefixo, escolha Enter S3 URI (Inserir URI do S3) e Browse S3 (Procurar S3) para procurar o prefixo. Se o bucket de origem do S3 da trilha usar uma chave do KMS para criptografia de dados, garanta que a política de chaves do KMS permita que o CloudTrail descriptografe os dados. Se o bucket de origem do S3 usar várias chaves do KMS, será necessário atualizar a política de cada chave para permitir que o CloudTrail descriptografe os dados no bucket. Para obter mais informações sobre a atualização da política de chaves do KMS, consulte Política de chaves do KMS para descriptografar dados no bucket do S3 de origem.A política de bucket do S3 deve conceder ao CloudTrail acesso para copiar eventos da trilha do bucket do S3. Para obter mais informações sobre a atualização da política de bucket do S3, consulte Política de buckets do Amazon S3 para copiar eventos da trilha.
-
Em Especificar um intervalo de eventos, escolha o intervalo de tempo para copiar os eventos. O CloudTrail verificará o prefixo e o nome do arquivo de log para determinar se o nome contém uma data entre as datas de início e término escolhidas. É possível escolher entre Relative range (Intervalo relativo) e Absolute range (Intervalo absoluto). Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo que seja anterior à criação do armazenamento de dados de eventos.
nota
O CloudTrail copia somente eventos da trilha com
eventTime
dentro do período de retenção do armazenamento de dados de eventos. Por exemplo, se o período de retenção de um repositório de dados de eventos for 90 dias, o CloudTrail não copiará nenhum evento da trilha comeventTime
anterior a 90 dias.Se você escolher Intervalo relativo, poderá optar por copiar os eventos registrados nos últimos 6 meses, 1 ano, 2 anos, 7 anos ou em um intervalo personalizado. O CloudTrail copia os eventos registrados dentro do período escolhido.
Se você escolher Absolute range (Intervalo absoluto), poderá escolher uma data específica de início e término. O CloudTrail copia os eventos que ocorreram entre as datas de início e término escolhidas.
-
Em Delivery location (Local de entrega), escolha o armazenamento de dados de eventos de destino na lista suspensa.
-
Em Permissions (Permissões), escolha uma das opções de perfil do IAM a seguir. Ao escolher um perfil do IAM existente, verifique se a política de perfil do IAM fornece as permissões necessárias. Para obter mais informações sobre como atualizar as permissões do perfil do IAM, consulte Permissões do IAM para copiar eventos da trilha.
Escolha Create a new role (recommended) (Criar uma nova função [recomendado]) para criar um novo perfil do IAM. Em Enter IAM role name (Inserir nome do perfil do IAM), insira um nome exclusivo para o perfil. O CloudTrail cria automaticamente as permissões necessárias para esse novo perfil.
Escolha Usar um ARN do perfil do IAM personalizado para usar um perfil do IAM personalizado que não está listado. Em Enter IAM role ARN (Inserir ARN do perfil do IAM), insira o ARN do perfil.
Escolha um perfil do IAM existente na lista suspensa.
-
Escolha Copy events (Copiar eventos).
-
Em seguida, sua confirmação será necessária. Quando estiver pronto para confirmar, escolha Copy trail events to Lake (Copiar eventos da trilha para o Lake) e, em seguida, escolha Copy events (Copiar eventos).
-
Na página Copy details (Copiar detalhes), é possível ver o status da cópia e revisar quaisquer falhas. Quando uma cópia de evento de trilha é concluída, seu Copy status (Status de cópia) é definido como Completed (Concluída) se não houve erros ou como Failed (Falha) se houve algum erro.
nota
Os detalhes apresentados na página de detalhes da cópia do evento não estão em tempo real. Os valores reais dos detalhes, como Prefixes copied (prefixos copiados), podem ser maiores do que os apresentados na página. O CloudTrail atualiza os detalhes de modo incremental no decorrer da cópia do evento.
-
Se o Copy status (Status da cópia) for Failed (Falha), corrija os erros mostrados em Copy failures (Falhas ao copiar) e, em seguida, escolha Retry copy (Tentar cópia novamente). Se você tentar copiar novamente, o CloudTrail retomará a cópia no ponto em que a falha ocorreu.
Para obter mais informações sobre como visualizar os detalhes de uma cópia de evento de trilha, consulte Visualizar detalhes da cópia de eventos com o console do CloudTrail.