Crie um armazenamento de dados de CloudTrail eventos para eventos com o console - AWS CloudTrail
Para criar um armazenamento de dados de CloudTrail eventos para eventos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um armazenamento de dados de CloudTrail eventos para eventos com o console

Os armazenamentos de dados de CloudTrail eventos para eventos podem incluir eventos CloudTrail de gerenciamento, eventos de dados e eventos de atividade de rede. Você pode manter os dados do evento em um armazenamento de dados de eventos por até 3.653 dias (cerca de 10 anos) se escolher a opção de preço de retenção extensível de um ano ou até 2.557 dias (cerca de 7 anos) se escolher a opção de preço de retenção por sete anos.

nota

Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.

CloudTrail Os armazenamentos de dados de eventos em Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços Gerenciando os custos CloudTrail do Lake e.

Para criar um armazenamento de dados de CloudTrail eventos para eventos

Use esse procedimento para criar um armazenamento de dados de eventos que registre eventos CloudTrail de gerenciamento, eventos de dados ou eventos de atividade de rede.

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.

  3. Selecione Create event data store (Criar armazenamento de dados de eventos).

  4. Na página Configure event data store (Configurar armazenamento de dados de eventos), em General details (Detalhes gerais), insira um nome para o armazenamento de dados de eventos. Um nome é obrigatório.

  5. Escolha a opção de preço que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail e Gerenciando os custos CloudTrail do Lake.

    As seguintes opções estão disponíveis:

    • Preço de retenção extensível de um ano: geralmente recomendado se você espera ingerir menos de 25 TB de dados de eventos por mês e deseja um período de retenção flexível de até 10 anos. Nos primeiros 366 dias (o período de retenção padrão), o armazenamento é incluído sem custo adicional no preço de ingestão. Depois de 366 dias, a retenção estendida está disponível pelo pay-as-you-go preço. Esta é a opção padrão.

      • Período de retenção padrão: 366 dias

      • Período máximo de retenção: 3.653 dias

    • Preço de retenção de sete anos: recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 7 anos. A retenção está incluída no preço de ingestão sem custo adicional.

      • Período de retenção padrão: 2.557 dias

      • Período máximo de retenção: 2.557 dias

  6. Especifique um período de retenção para o armazenamento de dados de eventos. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de preço de retenção extensível de um ano ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de preço de retenção de sete anos.

    CloudTrail Lake determina se deve reter um evento verificando se o eventTime evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, CloudTrail removerá eventos quando forem mais antigos do que 90 dias. eventTime

    nota

    Se você estiver copiando eventos de trilha para esse armazenamento de dados de eventos, não CloudTrail copiará um evento se ele eventTime for anterior ao período de retenção especificado. Para determinar o período de retenção apropriado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados do evento (período de retenção = oldest-event-in-days + number-days-to-retain). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados do evento por mais 45 dias, defina o período de retenção para 90 dias.

  7. (Opcional) Para ativar o uso da criptografia AWS Key Management Service, escolha Usar minha própria AWS KMS key. Escolha Novo para AWS KMS key criar uma para você ou escolha Existente para usar uma KMS chave existente. Em Inserir KMS alias, especifique um alias, no formato alias/MyAliasName. Usar sua própria KMS chave exige que você edite sua política de KMS chaves para permitir que CloudTrail os registros sejam criptografados e descriptografados. Para obter mais informações, consulteConfigure as AWS KMS principais políticas para CloudTrail. CloudTrail também suporta chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service .

    Usar sua própria KMS chave gera AWS KMS custos de criptografia e decodificação. Depois de associar um armazenamento de dados de eventos a uma KMS chave, a KMS chave não pode ser removida ou alterada.

    nota

    Para habilitar a AWS Key Management Service criptografia para um armazenamento de dados de eventos da organização, você deve usar uma KMS chave existente para a conta de gerenciamento.

  8. (Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha Habilitar na federação de consultas do Lake. A federação permite que você visualize os metadados associados ao armazenamento de dados do evento no Catálogo de AWS Glue Dados e execute SQL consultas nos dados do evento no Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte Federar um armazenamento de dados de eventos.

    Para habilitar a federação de consultas do Lake, escolha Habilitar e faça o seguinte:

    1. Escolha se você deseja criar uma nova função ou usar uma IAM função existente. AWS Lake Formationusa essa função para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria uma nova função usando o CloudTrail console, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as permissões mínimas necessárias.

    2. Se você estiver criando um perfil, insira um nome para identificá-lo.

    3. Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta.

  9. (Opcional) Na seção Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso ao seu armazenamento de dados de eventos. Para obter mais informações sobre como usar IAM políticas para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulteExemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags. Para obter mais informações sobre como você pode usar tags em AWS, consulte AWS Recursos de marcação no Guia do usuário de AWS recursos de marcação.

  10. Escolha Next (Avançar) para configurar o armazenamento de dados de eventos.

  11. Na página Escolher eventos, escolha AWS eventos e, em seguida, escolha CloudTraileventos.

  12. Para CloudTrail eventos, escolha pelo menos um tipo de evento. Por padrão, Management events (Eventos de gerenciamento) está selecionado. Você pode adicionar eventos de gerenciamento, eventos de dados e eventos de atividade de rede ao seu armazenamento de dados de eventos.

  13. (Opcional) Escolha Copy trail events (Copiar eventos de trilha) se quiser copiar eventos de uma trilha existente para fazer consultas sobre eventos anteriores. Para copiar eventos de trilha para um armazenamento de dados de eventos da organização, use a conta de gerenciamento da organização. A conta de administrador delegado não pode copiar eventos de trilhas para um armazenamento de dados de eventos da organização. Para obter mais informações sobre considerações da cópia de eventos de trilhas, consulte Considerações para copiar eventos de trilhas.

  14. Para que o armazenamento de dados do seu evento colete eventos de todas as contas em uma organização do AWS Organizations , selecione Enable for all accounts in my organization (Habilitar para todas as contas na minha organização). É necessário estar conectado à conta de gerenciamento da organização ou à conta de administrador delegado para criar um armazenamento de dados de eventos que colete eventos de uma organização.

    nota

    Para copiar eventos de trilhas ou habilitar eventos do Insights, você deve estar conectado à conta de gerenciamento da organização.

  15. Expanda Configurações adicionais para escolher se você deseja que seu armazenamento de dados de eventos colete eventos para todos Regiões da AWS ou somente para os atuais Região da AWS, e escolha se o armazenamento de dados de eventos ingere eventos. Por padrão, seu armazenamento de dados de eventos coleta eventos de todas as regiões em sua conta e começa a ingerir eventos ao ser criado.

    1. Opcionalmente, selecione Incluir somente a região atual no armazenamento de dados do meu evento para incluir somente eventos que estejam registrados na região atual. Se você não escolher essa opção, o armazenamento de dados de eventos incluirá eventos de todas as regiões.

    2. Desmarque a opção Ingerir eventos se você não quiser que o armazenamento de dados de eventos comece a ingerir eventos. Por exemplo, talvez você queira desmarcar Ingerir eventos se estiver copiando eventos da trilha e não quiser que o armazenamento de dados de eventos inclua eventos futuros. Por padrão, o armazenamento de dados de eventos começa a ingerir eventos assim que é criado.

  16. Se seu armazenamento de dados de eventos incluir eventos de gerenciamento, você poderá escolher entre as opções a seguir. Para obter mais informações sobre gerenciamento de eventos, consulte Log de eventos de gerenciamento.

    1. Escolha se você deseja incluir eventos de leitura, eventos de gravação ou ambos. Pelo menos um é necessário.

    2. Escolha se deseja excluir AWS Key Management Service ou excluir API eventos do Amazon RDS Data do seu armazenamento de dados de eventos.

    3. Escolha se deseja habilitar o Insights. Para habilitar o Insights, é necessário configurar um armazenamento de dados de eventos de destino para coletar eventos do Insights com base na atividade de eventos de gerenciamento nesse armazenamento de dados de eventos.

      Se você optar por ativar o Insights, siga estas instruções.

      1. Em Habilitar Insights, escolha o armazenamento de dados de eventos de destino que registrará os eventos do Insights. O armazenamento de dados de eventos de destino coletará eventos do Insights com base na atividade de gerenciamento de eventos nesse armazenamento de dados de eventos. Para obter informações sobre como criar o armazenamento de dados de eventos de destino, consulte Para criar um armazenamento de dados de eventos de destino que registra eventos do Insights.

      2. Escolha os tipos de Insights. Você pode escolher a taxa de API chamadas, a taxa de API erro ou ambas. Você deve registrar eventos de gerenciamento de gravação para registrar eventos do Insights sobre a taxa de API chamadas. Você deve registrar eventos de gerenciamento de leitura ou gravação para registrar a taxa de API erro dos eventos do Insights.

  17. Para incluir eventos de dados no armazenamento de dados de eventos, faça o seguinte.

    1. Escolha um tipo de evento de dados. Esse é o AWS service (Serviço da AWS) recurso no qual os eventos de dados são registrados. Para registrar eventos de dados para AWS Glue tabelas criadas pelo Lake Formation, escolha Lake Formation como tipo de dados.

    2. Em Log selector template (Modelo de seletor de logs), escolha um modelo. Você pode optar por registrar em log todos os eventos de dados, eventos readOnly, eventos writeOnly ou Custom (Personalizado) para criar um seletor de logs personalizado.

    3. (Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como Name no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON

    4. Em Advanced event selectors (Seletores de eventos avançados), crie uma expressão para os recursos específicos nos quais você deseja registrar eventos de dados. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.

      1. Escolha um dos seguintes campos:

        • readOnly- readOnly pode ser definido como igual a um valor de true ou. false Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, como Get* ou Describe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar os eventos read e write, não adicione um seletor readOnly.

        • eventName - eventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado CloudTrail, como PutBucketGetItem, ouGetSnapshotBlock.

        • resources.ARN- Você pode usar qualquer operador comresources.ARN, mas se usar igual ou diferente, o valor deverá corresponder exatamente ao ARN de um recurso válido do tipo que você especificou no modelo como valor de. resources.type

          A tabela a seguir mostra o ARN formato válido para cada umresources.type.

          nota

          Você não pode usar o resources.ARN campo para filtrar tipos de recursos que não têmARNs.

          resources.type recursos. ARN
          AWS::DynamoDB::Table1 
          arn:partition:dynamodb:region:account_ID:table/table_name
          AWS::Lambda::Function 
          arn:partition:lambda:region:account_ID:function:function_name

          AWS::S3::Object2

          		 
          arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
          AWS::AppConfig::Configuration 
          arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
          AWS::B2BI::Transformer 
          arn:partition:b2bi:region:account_ID:transformer/transformer_ID
          AWS::Bedrock::AgentAlias 
          arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
          AWS::Bedrock::FlowAlias 
          arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
          AWS::Bedrock::Guardrail 
          arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
          AWS::Bedrock::KnowledgeBase 
          arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
          AWS::Bedrock::Model

          Eles ARN devem estar em um dos seguintes formatos:

          • arn:partition:bedrock:region::foundation-model/resource_ID

          • arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID

          • arn:partition:bedrock:region:account_ID:custom-model/resource_ID
          AWS::Cassandra::Table 
          arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
          AWS::CloudFront::KeyValueStore 
          arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
          AWS::CloudTrail::Channel 
          arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
          AWS::CodeWhisperer::Customization 
          arn:partition:codewhisperer:region:account_ID:customization/customization_ID
          AWS::CodeWhisperer::Profile 
          arn:partition:codewhisperer:region:account_ID:profile/profile_ID
          AWS::Cognito::IdentityPool 
          arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
          AWS::DataExchange::Asset 
          arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
          AWS::Deadline::Fleet 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
          AWS::Deadline::Job 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
          AWS::Deadline::Queue 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
          AWS::Deadline::Worker 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
          AWS::DynamoDB::Stream 
          arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
          AWS::EC2::Snapshot 
          arn:partition:ec2:region::snapshot/snapshot_ID
          AWS::EMRWAL::Workspace 
          arn:partition:emrwal:region:account_ID:workspace/workspace_name
          AWS::FinSpace::Environment 
          arn:partition:finspace:region:account_ID:environment/environment_ID
          AWS::Glue::Table 
          arn:partition:glue:region:account_ID:table/database_name/table_name
          AWS::GreengrassV2::ComponentVersion 
          arn:partition:greengrass:region:account_ID:components/component_name
          AWS::GreengrassV2::Deployment 
          arn:partition:greengrass:region:account_ID:deployments/deployment_ID
          AWS::GuardDuty::Detector 
          arn:partition:guardduty:region:account_ID:detector/detector_ID
          AWS::IoT::Certificate 
          arn:partition:iot:region:account_ID:cert/certificate_ID
          AWS::IoT::Thing 
          arn:partition:iot:region:account_ID:thing/thing_ID
          AWS::IoTSiteWise::Asset 
          arn:partition:iotsitewise:region:account_ID:asset/asset_ID
          AWS::IoTSiteWise::TimeSeries 
          arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
          AWS::IoTTwinMaker::Entity 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
          AWS::IoTTwinMaker::Workspace 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
          AWS::KendraRanking::ExecutionPlan 
          arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
          AWS::Kinesis::Stream 
          arn:partition:kinesis:region:account_ID:stream/stream_name
          AWS::Kinesis::StreamConsumer 
          arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
          AWS::KinesisVideo::Stream 
          arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
          AWS::MachineLearning::MlModel 
          arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
          AWS::ManagedBlockchain::Network 
          arn:partition:managedblockchain:::networks/network_name
          AWS::ManagedBlockchain::Node 
          arn:partition:managedblockchain:region:account_ID:nodes/node_ID
          AWS::MedicalImaging::Datastore 
          arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
          AWS::NeptuneGraph::Graph 
          arn:partition:neptune-graph:region:account_ID:graph/graph_ID
          AWS::One::UKey 
          arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
          AWS::One::User 
          arn:partition:one:region:account_ID:user/user_ID
          AWS::PaymentCryptography::Alias 
          arn:partition:payment-cryptography:region:account_ID:alias/alias
          AWS::PaymentCryptography::Key 
          arn:partition:payment-cryptography:region:account_ID:key/key_ID
          AWS::PCAConnectorAD::Connector 
          arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
          AWS::PCAConnectorSCEP::Connector 
          arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
          AWS::QApps:QApp 
          arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
          AWS::QBusiness::Application 
          arn:partition:qbusiness:region:account_ID:application/application_ID
          AWS::QBusiness::DataSource 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
          AWS::QBusiness::Index 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
          AWS::QBusiness::WebExperience 
          arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
          AWS::RDS::DBCluster 
          arn:partition:rds:region:account_ID:cluster/cluster_name
          AWS::RUM::AppMonitor 
          arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

          AWS::S3::AccessPoint3

          		 
          arn:partition:s3:region:account_ID:accesspoint/access_point_name

          AWS::S3Express::Object

          		 
          arn:partition:s3express:region:account_ID:bucket/bucket_name
          AWS::S3ObjectLambda::AccessPoint 
          arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
          AWS::S3Outposts::Object 
          arn:partition:s3-outposts:region:account_ID:object_path
          AWS::SageMaker::Endpoint 
          arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
          AWS::SageMaker::ExperimentTrialComponent 
          arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
          AWS::SageMaker::FeatureGroup 
          arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
          AWS::SCN::Instance 
          arn:partition:scn:region:account_ID:instance/instance_ID
          AWS::ServiceDiscovery::Namespace 
          arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
          AWS::ServiceDiscovery::Service 
          arn:partition:servicediscovery:region:account_ID:service/service_ID
          AWS::SNS::PlatformEndpoint 
          arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
          AWS::SNS::Topic 
          arn:partition:sns:region:account_ID:topic_name
          AWS::SocialMessaging::PhoneNumberId

          arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
          AWS::SQS::Queue 
          arn:partition:sqs:region:account_ID:queue_name
          AWS::SSM::ManagedNode

          Eles ARN devem estar em um dos seguintes formatos:

          • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

          • arn:partition:ec2:region:account_ID:instance/instance_ID
          AWS::SSMMessages::ControlChannel 
          arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
          AWS::StepFunctions::StateMachine

          Eles ARN devem estar em um dos seguintes formatos:

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
          AWS::SWF::Domain 
          arn:partition:swf:region:account_ID:/domain/domain_name
          AWS::ThinClient::Device 
          arn:partition:thinclient:region:account_ID:device/device_ID
          AWS::ThinClient::Environment 
          arn:partition:thinclient:region:account_ID:environment/environment_ID
          AWS::Timestream::Database 
          arn:partition:timestream:region:account_ID:database/database_name
          AWS::Timestream::Table 
          arn:partition:timestream:region:account_ID:database/database_name/table/table_name
          AWS::VerifiedPermissions::PolicyStore 
          arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

          1 Para tabelas com fluxos habilitados, o campo resources no evento de dados contém AWS::DynamoDB::Stream e AWS::DynamoDB::Table. Se você especificar AWS::DynamoDB::Table como resources.type, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Para excluir eventos de streams, adicione um filtro no eventName campo.

          2 Para registrar todos os eventos de dados de todos os objetos em um bucket específico do S3, use o StartsWith operador e inclua somente o bucket ARN como valor correspondente. A barra final é intencional; não a exclua.

          3 Para registrar eventos em todos os objetos em um ponto de acesso do S3, recomendamos que você use somente o ponto de acessoARN, não inclua o caminho do objeto e use os NotStartsWith operadores StartsWith ou.

        Para obter mais informações sobre os ARN formatos dos recursos de eventos de dados, consulte Ações, recursos e chaves de condição no Guia AWS Identity and Access Management do usuário.

      2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir eventos de dados de dois buckets do S3 dos eventos de dados registrados no seu armazenamento de dados de eventos, você pode definir o campo como recursos. ARN, defina o operador para não começa com e, em seguidaARN, cole em um bucket do S3 ou procure os buckets do S3 nos quais você não deseja registrar eventos.

        Para adicionar o segundo bucket do S3, escolha + Condition e repita a instrução anterior, colando em ARN for ou procurando por um bucket diferente.

        Para obter informações sobre como CloudTrail avalia várias condições, consulteComo CloudTrail avalia várias condições para um campo.

        nota

        É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.

      3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um seletor ARN em um para ser igual a um valor e, em seguida, especifique que ARN não seja igual ao mesmo valor em outro seletor.

    5. Opcionalmente, expanda a JSONvisualização para ver seus seletores de eventos avançados como um JSON bloco.

    6. Para adicionar outro tipo de dados no qual registrar eventos de dados, escolha Add data event type (Adicionar tipo de evento de dados). Repita as etapas de a a esta etapa para configurar seletores de eventos avançados para o tipo de evento de dados.

  18. Para incluir eventos de atividade de rede em seu armazenamento de dados de eventos, faça o seguinte.

    1. Em Fonte de eventos de atividade de rede, escolha a fonte para eventos de atividade de rede.

    2. Em Log selector template (Modelo de seletor de logs), escolha um modelo. Você pode escolher registrar todos os eventos de atividade da rede, registrar todos os eventos negados de acesso à atividade da rede ou escolher Personalizado para criar um seletor de registro personalizado para filtrar vários campos, como eventName e. vpcEndpointId

    3. (Opcional) Insira um nome para identificar o seletor. O nome do seletor é listado como Nome no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON

    4. Em Avançado, os seletores de eventos criam expressões escolhendo valores para Campo, Operador e Valor. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.

      1. Para excluir ou incluir eventos de atividade de rede, você pode escolher entre os seguintes campos no console.

        • eventName— Você pode usar qualquer operador comeventName. Você pode usá-lo para incluir ou excluir qualquer evento, comoCreateKey.

        • errorCode— Você pode usá-lo para filtrar um código de erro. Atualmente, o único suportado errorCode éVpceAccessDenied.

        • vpcEndpointId— Identifica o VPC endpoint pelo qual a operação passou. Você pode usar qualquer operador comvpcEndpointId.

      2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.

      3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos.

    5. Para adicionar outra fonte de eventos para a qual você deseja registrar eventos de atividade de rede, escolha Adicionar seletor de eventos de atividade de rede.

    6. Opcionalmente, expanda a JSONvisualização para ver seus seletores de eventos avançados como um JSON bloco.

  19. Faça o seguinte para copiar eventos de trilhas existentes para o armazenamento de dados de eventos.

    1. Escolha a trilha que você deseja copiar. Por padrão, copia CloudTrail somente CloudTrail os eventos contidos no prefixo do bucket do S3 e os CloudTrail prefixos dentro do CloudTrail prefixo, e não verifica os prefixos de outros serviços. AWS Se você quiser copiar CloudTrail eventos contidos em outro prefixo, escolha Inserir S3 eURI, em seguida, escolha Procurar S3 para navegar até o prefixo. Se o bucket S3 de origem da trilha usar uma KMS chave para criptografia de dados, certifique-se de que a política de KMS chaves permita CloudTrail descriptografar os dados. Se seu bucket do S3 de origem usa várias KMS chaves, você deve atualizar a política de cada chave CloudTrail para permitir a descriptografia dos dados no bucket. Para obter mais informações sobre a atualização da política de KMS chaves, consulteKMSpolítica chave para descriptografar dados no bucket S3 de origem.

    2. Escolha o intervalo de tempo para copiar os eventos. CloudTrail verifica o prefixo e o nome do arquivo de log para verificar se o nome contém uma data entre as datas de início e término escolhidas antes de tentar copiar os eventos da trilha. É possível escolher entre Relative range (Intervalo relativo) e Absolute range (Intervalo absoluto). Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo que seja anterior à criação do armazenamento de dados de eventos.

      nota

      CloudTrail copia somente eventos de trilha que tenham um período de retenção eventTime dentro do armazenamento de dados de eventos. Por exemplo, se o período de retenção de um armazenamento de dados de eventos for de 90 dias, não CloudTrail copiará nenhum evento de trilha com eventTime mais de 90 dias.

      • Se você escolher Intervalo relativo, poderá optar por copiar eventos registrados nos últimos 6 meses, 1 ano, 2 anos, 7 anos ou um intervalo personalizado. CloudTrail copia os eventos registrados dentro do período de tempo escolhido.

      • Se você escolher Intervalo absoluto, poderá escolher uma data específica de início e término. CloudTrail copia os eventos que ocorreram entre as datas de início e término escolhidas.

    3. Em Permissões, escolha entre as seguintes opções de IAM função. Se você escolher uma IAM função existente, verifique se a política de IAM função fornece as permissões necessárias. Para obter mais informações sobre como atualizar as permissões da IAM função, consulteIAMpermissões para copiar eventos de trilhas.

      • Escolha Criar uma nova função (recomendado) para criar uma nova IAM função. Em Inserir nome da IAM função, insira um nome para a função. CloudTrail cria automaticamente as permissões necessárias para essa nova função.

      • Escolha Usar um IAM papel personalizado ARN para usar um IAM papel personalizado que não esteja listado. Em Inserir IAM função ARN, insira IAM ARN o.

      • Escolha uma IAM função existente na lista suspensa.

  20. Selecione Next (Próximo) para revisar suas escolhas.

  21. Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha Create event data store (Criar armazenamento de dados de eventos).

  22. O novo armazenamento de dados de eventos está visível na tabela Armazenamentos de dados de eventos na página Armazenamento de dados de eventos.

    Deste ponto em diante, o armazenamento de dados de eventos captura eventos que correspondem aos seletores de eventos avançados (se você manteve a opção Ingerir eventos selecionada). Os eventos ocorridos antes da criação do armazenamento de dados de eventos não estarão no armazenamento de dados de eventos, a menos que você tenha optado por copiar eventos de trilha existentes.

Agora, você pode executar consultas no novo armazenamento de dados de eventos. A guia Sample queries (Consultas de amostra) fornece exemplos de consultas para você começar. Para obter mais informações sobre como criar e editar consultas, veja Crie ou edite uma consulta com o CloudTrail console.

Você também pode visualizar o painel do CloudTrail Lake para visualizar o gerenciamento e os eventos de dados do S3 em seu armazenamento de dados de eventos. Para obter mais informações sobre painéis do Lake, consulte Veja os painéis do CloudTrail Lake com o console CloudTrail .