Crie um armazenamento de dados de CloudTrail eventos para eventos com o console - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um armazenamento de dados de CloudTrail eventos para eventos com o console

Os armazenamentos de dados de CloudTrail eventos para eventos podem incluir eventos CloudTrail de gerenciamento, eventos de dados e eventos de atividade de rede. Você pode manter os dados do evento em um armazenamento de dados de eventos por até 3.653 dias (cerca de 10 anos) se escolher a opção de preço de retenção extensível de um ano ou até 2.557 dias (cerca de 7 anos) se escolher a opção de preço de retenção por sete anos.

nota

Os eventos de atividade de rede estão na versão prévia CloudTrail e estão sujeitos a alterações.

CloudTrail Os armazenamentos de dados de eventos em Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços Gerenciando os custos CloudTrail do Lake e.

Para criar um armazenamento de dados de CloudTrail eventos para eventos

Use esse procedimento para criar um armazenamento de dados de eventos que registre eventos CloudTrail de gerenciamento, eventos de dados ou eventos de atividade de rede.

  1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.

  3. Selecione Create event data store (Criar armazenamento de dados de eventos).

  4. Na página Configure event data store (Configurar armazenamento de dados de eventos), em General details (Detalhes gerais), insira um nome para o armazenamento de dados de eventos. Um nome é obrigatório.

  5. Escolha a opção de preço que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte Preços do AWS CloudTrail e Gerenciando os custos CloudTrail do Lake.

    As seguintes opções estão disponíveis:

    • Preço de retenção extensível de um ano: geralmente recomendado se você espera ingerir menos de 25 TB de dados de eventos por mês e deseja um período de retenção flexível de até 10 anos. Nos primeiros 366 dias (o período de retenção padrão), o armazenamento é incluído sem custo adicional no preço de ingestão. Depois de 366 dias, a retenção estendida está disponível pelo pay-as-you-go preço. Esta é a opção padrão.

      • Período de retenção padrão: 366 dias

      • Período máximo de retenção: 3.653 dias

    • Preço de retenção de sete anos: recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 7 anos. A retenção está incluída no preço de ingestão sem custo adicional.

      • Período de retenção padrão: 2.557 dias

      • Período máximo de retenção: 2.557 dias

  6. Especifique um período de retenção para o armazenamento de dados de eventos. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de preço de retenção extensível de um ano ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de preço de retenção de sete anos.

    CloudTrail Lake determina se deve reter um evento verificando se o eventTime evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, CloudTrail removerá eventos quando tiverem eventTime mais de 90 dias.

    nota

    Se você estiver copiando eventos de trilha para esse armazenamento de dados de eventos, não CloudTrail copiará um evento se ele eventTime for anterior ao período de retenção especificado. Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados do evento (período de retenção = oldest-event-in-days +number-days-to-retain). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias.

  7. (Opcional) Para ativar o uso da criptografia AWS Key Management Service, escolha Usar minha própria AWS KMS key. Escolha Novo para AWS KMS key criar uma para você ou escolha Existente para usar uma KMS chave existente. Em Inserir KMS alias, especifique um alias, no formato. alias/ MyAliasName Usar sua própria KMS chave exige que você edite sua política de KMS chaves para permitir que seu armazenamento de dados de eventos seja criptografado e descriptografado. Para obter mais informações, consulteConfigure as AWS KMS principais políticas para CloudTrail. CloudTrail também oferece suporte a chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte Usar chaves de várias regiões no Manual do desenvolvedor do AWS Key Management Service .

    Usar sua própria KMS chave gera AWS KMS custos de criptografia e decodificação. Depois de associar um armazenamento de dados de eventos a uma KMS chave, a KMS chave não pode ser removida ou alterada.

    nota

    Para habilitar a AWS Key Management Service criptografia para um armazenamento de dados de eventos da organização, você deve usar uma KMS chave existente para a conta de gerenciamento.

  8. (Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha Habilitar na federação de consultas do Lake. A federação permite que você visualize os metadados associados ao armazenamento de dados do evento no Catálogo de AWS Glue Dados e execute SQL consultas nos dados do evento no Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte Federar um armazenamento de dados de eventos.

    Para habilitar a federação de consultas do Lake, escolha Habilitar e faça o seguinte:

    1. Escolha se você deseja criar uma nova função ou usar uma IAM função existente. AWS Lake Formationusa essa função para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria uma nova função usando o CloudTrail console, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as permissões mínimas necessárias.

    2. Se você estiver criando um perfil, insira um nome para identificá-lo.

    3. Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta.

  9. (Opcional) Escolha Habilitar política de recursos para adicionar uma política baseada em recursos ao seu armazenamento de dados de eventos. As políticas baseadas em recursos permitem que você controle quais diretores podem realizar ações em seu armazenamento de dados de eventos. Por exemplo, você pode adicionar uma política baseada em recursos que permita que os usuários root em outras contas consultem esse armazenamento de dados de eventos e visualizem os resultados da consulta. Para obter exemplos de políticas, consulte Exemplos de políticas baseadas em recursos para armazenamentos de dados de eventos.

    Uma política baseada em recursos inclui uma ou mais declarações. Cada declaração na política define os diretores que têm acesso permitido ou negado ao armazenamento de dados de eventos e as ações que os diretores podem realizar no recurso de armazenamento de dados de eventos.

    As ações a seguir são suportadas em políticas baseadas em recursos para armazenamentos de dados de eventos:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    Para armazenamentos de dados de eventos da organização, CloudTrail cria uma política padrão baseada em recursos que lista as ações que as contas de administrador delegado podem realizar nos armazenamentos de dados de eventos da organização. As permissões nesta política são derivadas das permissões de administrador delegado em AWS Organizations. Essa política é atualizada automaticamente após alterações no armazenamento de dados de eventos da organização ou na organização (por exemplo, uma conta de administrador CloudTrail delegado é registrada ou removida).

  10. (Opcional) Na seção Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso ao seu armazenamento de dados de eventos. Para obter mais informações sobre como usar IAM políticas para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulteExemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags. Para obter mais informações sobre como você pode usar tags em AWS, consulte AWS Recursos de marcação no Guia do usuário de AWS recursos de marcação.

  11. Escolha Next (Avançar) para configurar o armazenamento de dados de eventos.

  12. Na página Escolher eventos, escolha AWS eventos e, em seguida, escolha CloudTraileventos.

  13. Para CloudTrail eventos, escolha pelo menos um tipo de evento. Por padrão, Management events (Eventos de gerenciamento) está selecionado. Você pode adicionar eventos de gerenciamento, eventos de dados e eventos de atividade de rede ao seu armazenamento de dados de eventos.

  14. (Opcional) Escolha Copy trail events (Copiar eventos de trilha) se quiser copiar eventos de uma trilha existente para fazer consultas sobre eventos anteriores. Para copiar eventos de trilha para um armazenamento de dados de eventos da organização, use a conta de gerenciamento da organização. A conta de administrador delegado não pode copiar eventos de trilhas para um armazenamento de dados de eventos da organização. Para obter mais informações sobre considerações da cópia de eventos de trilhas, consulte Considerações para copiar eventos de trilhas.

  15. Para que o armazenamento de dados do seu evento colete eventos de todas as contas em uma organização do AWS Organizations , selecione Enable for all accounts in my organization (Habilitar para todas as contas na minha organização). É necessário estar conectado à conta de gerenciamento da organização ou à conta de administrador delegado para criar um armazenamento de dados de eventos que colete eventos de uma organização.

    nota

    Para copiar eventos de trilhas ou habilitar eventos do Insights, você deve estar conectado à conta de gerenciamento da organização.

  16. Expanda Configurações adicionais para escolher se você deseja que seu armazenamento de dados de eventos colete eventos para todos Regiões da AWS ou somente para os atuais Região da AWS, e escolha se o armazenamento de dados de eventos ingere eventos. Por padrão, seu armazenamento de dados de eventos coleta eventos de todas as regiões em sua conta e começa a ingerir eventos ao ser criado.

    1. Opcionalmente, selecione Incluir somente a região atual no armazenamento de dados do meu evento para incluir somente eventos que estejam registrados na região atual. Se você não escolher essa opção, o armazenamento de dados de eventos incluirá eventos de todas as regiões.

    2. Desmarque a opção Ingerir eventos se você não quiser que o armazenamento de dados de eventos comece a ingerir eventos. Por exemplo, talvez você queira desmarcar Ingerir eventos se estiver copiando eventos da trilha e não quiser que o armazenamento de dados de eventos inclua eventos futuros. Por padrão, o armazenamento de dados de eventos começa a ingerir eventos assim que é criado.

  17. Se seu armazenamento de dados de eventos incluir eventos de gerenciamento, você poderá escolher entre as opções a seguir. Para obter mais informações sobre gerenciamento de eventos, consulte Log de eventos de gerenciamento.

    1. Escolha entre coleção de eventos simples ou coleção de eventos avançada:

      • Escolha Coleção de eventos simples se quiser registrar todos os eventos, registrar somente eventos de leitura ou registrar somente eventos de gravação. Você também pode optar por excluir AWS Key Management Service API eventos do Amazon RDS Data.

      • Escolha Coleção avançada de eventos se quiser incluir ou excluir eventos de gerenciamento com base nos valores dos campos avançados do seletor de eventos, incluindo os campos eventNameeventType,eventSource,sessionCredentialFromConsole,, userIdentity.arn e.

    2. Se você selecionou Coleção de eventos simples, escolha se deseja registrar todos os eventos, registrar somente eventos de leitura ou registrar somente eventos de gravação. Você também pode optar por excluir AWS KMS API eventos do Amazon RDS Data.

    3. Se você selecionou Coleção avançada de eventos, faça as seguintes seleções:

      1. Em Modelo do seletor de log, escolha um modelo ou Personalizado para criar uma configuração personalizada com base nos valores avançados do campo do seletor de eventos.

      2. (Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como “Registrar eventos de gerenciamento de sessões”. AWS Management Console O nome do seletor é listado como Name no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON

      3. Se você escolher Personalizado, em Seletores de eventos avançados, crie uma expressão com base nos valores de campo do seletor de eventos avançados.

        nota

        Os seletores não suportam o uso de curingas, como. * Para combinar vários valores com uma única condição, você pode usarStartsWith,, EndsWithNotStartsWith, ou NotEndsWith para corresponder explicitamente ao início ou ao fim do campo do evento.

        1. Escolha um dos seguintes campos:

          • readOnlyreadOnly pode ser definido como igual a um valor de true ou. false Quando definido comofalse, o armazenamento de dados de eventos registra eventos de gerenciamento somente para gravação. Eventos de gerenciamento somente para leitura são eventos que não alteram o estado de um recurso, como eventos Get* ouDescribe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar eventos de leitura e gravação, não adicione um readOnly seletor.

          • eventNameeventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de gerenciamento, como CreateAccessPoint ouGetAccessPoint.

          • userIdentity.arn— Inclua ou exclua eventos para ações tomadas por IAM identidades específicas. Para obter mais informações, consulte o CloudTrail userIdentity elemento.

          • sessionCredentialFromConsole— Inclua ou exclua eventos originados de uma AWS Management Console sessão. Esse campo pode ser definido como igual ou não igual a um valor de. true

          • eventSource— Você pode usá-lo para incluir ou excluir fontes de eventos específicas. Normalmente, eventSource é uma forma abreviada do nome do serviço sem mais espaços.amazonaws.com. Por exemplo, você pode definir eventSource equales ec2.amazonaws.com para registrar somente eventos de EC2 gerenciamento da Amazon.

          • eventType— O eventTypepara incluir ou excluir. Por exemplo, você pode definir esse campo como não igualAwsServiceEvent para excluir AWS service (Serviço da AWS) eventos.

        2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.

          Para obter informações sobre como CloudTrail avalia várias condições, consulteComo CloudTrail avalia várias condições para um campo.

          nota

          É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.

        3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos.

      4. Opcionalmente, expanda a JSONvisualização para ver seus seletores de eventos avançados como um JSON bloco.

    4. Escolha Ativar captura de eventos do Insights para ativar o Insights. Para habilitar o Insights, é necessário configurar um armazenamento de dados de eventos de destino para coletar eventos do Insights com base na atividade de eventos de gerenciamento nesse armazenamento de dados de eventos.

      Se você optar por ativar o Insights, siga estas instruções.

      1. Escolha a loja de eventos de destino que registrará os eventos do Insights. O armazenamento de dados de eventos de destino coletará eventos do Insights com base na atividade de gerenciamento de eventos nesse armazenamento de dados de eventos. Para obter informações sobre como criar o armazenamento de dados de eventos de destino, consulte Para criar um armazenamento de dados de eventos de destino que registra eventos do Insights.

      2. Escolha os tipos de Insights. Você pode escolher a taxa de API chamadas, a taxa de API erro ou ambas. Você deve registrar eventos de gerenciamento de gravação para registrar eventos do Insights sobre a taxa de API chamadas. Você deve registrar eventos de gerenciamento de leitura ou gravação para registrar a taxa de API erro dos eventos do Insights.

  18. Para incluir eventos de dados no armazenamento de dados de eventos, faça o seguinte.

    1. Escolha um tipo de recurso. Esse é o AWS service (Serviço da AWS) recurso no qual os eventos de dados são registrados.

    2. Em Log selector template (Modelo de seletor de logs), escolha um modelo. Você pode optar por registrar em log todos os eventos de dados, eventos readOnly, eventos writeOnly ou Custom (Personalizado) para criar um seletor de logs personalizado.

    3. (Opcional) Em Nome do seletor, insira um nome para identificar o seletor. O nome do seletor é um nome descritivo para um seletor de eventos avançado, como "Registrar eventos de dados em log para apenas dois buckets do S3". O nome do seletor é listado como Name no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON

    4. Se você selecionou Personalizado, em Seletores de eventos avançados, crie uma expressão com base nos valores dos campos avançados do seletor de eventos.

      nota

      Os seletores não suportam o uso de curingas, como. * Para combinar vários valores com uma única condição, você pode usarStartsWith,, EndsWithNotStartsWith, ou NotEndsWith para corresponder explicitamente ao início ou ao fim do campo do evento.

      1. Escolha um dos seguintes campos:

        • readOnly - readOnly pode ser definido como igual a um valor de true ou false. Eventos de dados somente leitura são eventos que não alteram o estado de um recurso, como Get* ou Describe*. Eventos de gravação adicionam, alteram ou excluem recursos, atributos ou artefatos, como Put*, Delete* ou Write*. Para registrar os eventos read e write, não adicione um seletor readOnly.

        • eventName - eventName pode usar qualquer operador. Você pode usá-lo para incluir ou excluir qualquer evento de dados registrado CloudTrail, como PutBucketGetItem, ouGetSnapshotBlock.

        • eventSource— A fonte do evento a ser incluída ou excluída. Esse campo pode usar qualquer operador.

        • eventType— O tipo de evento a ser incluído ou excluído. Por exemplo, você pode definir esse campo como diferente de AwsServiceEvent excluir. Eventos do AWS service (Serviço da AWS) Para obter uma lista dos tipos de eventos, consulte eventTypeemCloudTrail conteúdo do registro.

        • sessionCredentialFromConsole — inclua ou exclua eventos originados de uma AWS Management Console sessão. Esse campo pode ser definido como igual ou não igual a um valor de. true

        • userIdentity.arn — Inclua ou exclua eventos para ações tomadas por identidades específicasIAM. Para obter mais informações, consulte o CloudTrail userIdentity elemento.

        • resources.ARN- Você pode usar qualquer operador comresources.ARN, mas se usar igual ou diferente, o valor deverá corresponder exatamente ao ARN de um recurso válido do tipo que você especificou no modelo como valor de. resources.type Para obter mais informações, consulte Filtrar eventos de dados por resources.ARN.

          nota

          Você não pode usar o resources.ARN campo para filtrar tipos de recursos que não têmARNs.

        Para obter mais informações sobre os ARN formatos dos recursos de eventos de dados, consulte Ações, recursos e chaves de condição no Guia AWS Identity and Access Management do usuário.

      2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições. Por exemplo, para excluir eventos de dados de dois buckets do S3 dos eventos de dados registrados no seu armazenamento de dados de eventos, você pode definir o campo como recursos. ARN, defina o operador para does not start with e, em seguida, cole em um bucket do S3 ARN para o qual você não deseja registrar eventos.

        Para adicionar o segundo bucket do S3, escolha + Condition e repita a instrução anterior, colando em ARN for ou procurando por um bucket diferente.

        Para obter informações sobre como CloudTrail avalia várias condições, consulteComo CloudTrail avalia várias condições para um campo.

        nota

        É possível ter no máximo 500 valores para todos os seletores em um armazenamento de dados de eventos. Isso inclui matrizes de vários valores para um seletor, como eventName. Se você tiver valores únicos para todos os seletores, poderá ter um máximo de 500 condições adicionadas a um seletor.

      3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos. Por exemplo, não especifique um seletor ARN em um para ser igual a um valor e, em seguida, especifique que ARN não seja igual ao mesmo valor em outro seletor.

    5. Opcionalmente, expanda a JSONvisualização para ver seus seletores de eventos avançados como um JSON bloco.

    6. Para adicionar outro tipo de recurso no qual registrar eventos de dados, escolha Adicionar tipo de evento de dados. Repita as etapas de a a esta etapa para configurar seletores de eventos avançados para o tipo de recurso.

  19. Para incluir eventos de atividade de rede no armazenamento de dados de eventos, faça o seguinte.

    1. Em Fonte de eventos de atividade de rede, escolha a fonte dos eventos de atividade de rede.

    2. Em Log selector template (Modelo de seletor de logs), escolha um modelo. Você pode registrar todos os eventos de atividade de rede, registrar todos os eventos de acesso negado à atividade de rede ou escolher Personalizado para criar um seletor de registro personalizado para filtrar vários campos, como eventName e vpcEndpointId.

    3. (Opcional) Insira um nome para identificar o seletor. O nome do seletor é listado como Nome no seletor de eventos avançado e pode ser visualizado se você expandir a exibição. JSON

    4. Em Seletores de eventos avançados, crie expressões escolhendo valores para Campo, Operador e Valor. Você poderá ignorar esta etapa se estiver usando um modelo de log predefinido.

      1. Para excluir ou incluir eventos de atividades de rede, você pode escolher entre os campos a seguir no console.

        • eventName — Você pode usar qualquer operador com eventName. Você pode usar este campo para incluir ou excluir qualquer evento, como CreateKey.

        • errorCode — Você pode usá-lo para filtrar um código de erro. Atualmente, o único errorCode compatível é VpceAccessDenied.

        • vpcEndpointId— Identifica o VPC endpoint pelo qual a operação passou. Você pode usar qualquer operador com vpcEndpointId.

      2. Para cada campo, escolha + Condição para adicionar quantas condições forem necessárias até o máximo de 500 valores especificados para todas as condições.

      3. Selecione + Field (+ Campo) para adicionar outros campos, conforme necessário. Para evitar erros, não defina valores conflitantes ou duplicados para campos.

    5. Para adicionar outra fonte de eventos para a qual você deseja registrar eventos de atividade de rede, escolha Adicionar seletor de eventos de atividade de rede.

    6. Opcionalmente, expanda a JSONvisualização para ver seus seletores de eventos avançados como um JSON bloco.

  20. Faça o seguinte para copiar eventos de trilhas existentes para o armazenamento de dados de eventos.

    1. Escolha a trilha que você deseja copiar. Por padrão, copia CloudTrail somente CloudTrail os eventos contidos no prefixo do bucket do S3 e os CloudTrail prefixos dentro do CloudTrail prefixo, e não verifica os prefixos de outros serviços. AWS Se você quiser copiar CloudTrail eventos contidos em outro prefixo, escolha Inserir S3 eURI, em seguida, escolha Procurar S3 para navegar até o prefixo. Se o bucket S3 de origem da trilha usar uma KMS chave para criptografia de dados, certifique-se de que a política de KMS chaves permita CloudTrail descriptografar os dados. Se seu bucket do S3 de origem usa várias KMS chaves, você deve atualizar a política de cada chave CloudTrail para permitir a descriptografia dos dados no bucket. Para obter mais informações sobre como atualizar a política de KMS chaves, consulteKMSpolítica chave para descriptografar dados no bucket S3 de origem.

    2. Escolha o intervalo de tempo para copiar os eventos. CloudTrail verifica o prefixo e o nome do arquivo de log para verificar se o nome contém uma data entre as datas de início e término escolhidas antes de tentar copiar os eventos da trilha. É possível escolher entre Relative range (Intervalo relativo) e Absolute range (Intervalo absoluto). Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo que seja anterior à criação do armazenamento de dados de eventos.

      nota

      CloudTrail copia somente eventos de trilha que tenham um período de retenção eventTime dentro do armazenamento de dados de eventos. Por exemplo, se o período de retenção de um armazenamento de dados de eventos for de 90 dias, não CloudTrail copiará nenhum evento de trilha com eventTime mais de 90 dias.

      • Se você escolher Intervalo relativo, poderá optar por copiar eventos registrados nos últimos 6 meses, 1 ano, 2 anos, 7 anos ou um intervalo personalizado. CloudTrail copia os eventos registrados dentro do período de tempo escolhido.

      • Se você escolher Intervalo absoluto, poderá escolher uma data específica de início e término. CloudTrail copia os eventos que ocorreram entre as datas de início e término escolhidas.

    3. Em Permissões, escolha entre as seguintes opções de IAM função. Se você escolher uma IAM função existente, verifique se a política de IAM função fornece as permissões necessárias. Para obter mais informações sobre como atualizar as permissões da IAM função, consulteIAMpermissões para copiar eventos de trilhas.

      • Escolha Criar uma nova função (recomendado) para criar uma nova IAM função. Em Inserir nome da IAM função, insira um nome para a função. CloudTrail cria automaticamente as permissões necessárias para essa nova função.

      • Escolha Usar um IAM papel personalizado ARN para usar um IAM papel personalizado que não esteja listado. Em Inserir IAM função ARN, insira IAM ARN o.

      • Escolha uma IAM função existente na lista suspensa.

  21. Selecione Next (Próximo) para revisar suas escolhas.

  22. Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha Create event data store (Criar armazenamento de dados de eventos).

  23. O novo armazenamento de dados de eventos está visível na tabela Armazenamentos de dados de eventos na página Armazenamento de dados de eventos.

    Deste ponto em diante, o armazenamento de dados de eventos captura eventos que correspondem aos seletores de eventos avançados (se você manteve a opção Ingerir eventos selecionada). Os eventos ocorridos antes da criação do armazenamento de dados de eventos não estarão no armazenamento de dados de eventos, a menos que você tenha optado por copiar eventos de trilha existentes.

Agora, você pode executar consultas no novo armazenamento de dados de eventos. A guia Sample queries (Consultas de amostra) fornece exemplos de consultas para você começar. Para obter mais informações sobre como criar e editar consultas, veja Crie ou edite uma consulta com o CloudTrail console.

Você também pode visualizar os painéis gerenciados ou criar painéis personalizados para visualizar as tendências dos eventos. Para obter mais informações sobre painéis do Lake, consulte CloudTrail Painéis do Lake.