使用控制台将跟踪事件复制到现有事件数据存储
按照以下程序将跟踪事件复制到事件数据存储中。有关如何创建新的事件数据存储的信息,请参阅使用控制台为 CloudTrail 事件创建事件数据存储。
注意
在将跟踪事件复制到现有的事件数据存储之前,请确保根据您的应用场景适当配置了事件数据存储的定价选项和保留期。
-
定价选项:定价选项决定了摄取和存储事件的成本。有关定价选项的更多信息,请参阅 AWS CloudTrail 定价
和事件数据存储定价选项。 -
保留期:保留期决定事件数据在事件数据存储中保存的时长。CloudTrail 仅复制
eventTime
处于事件数据存储保留期内的跟踪事件。要确定适当的保留期,请计算要复制的最旧事件(以天为单位)和要在事件数据存储中保留这些事件的天数的总和(保留期 =最旧的事件(天数)
+要保留的天数
)。例如,如果您要复制的最早事件已有 45 天,并且您想将事件在事件数据存储中再保留 45 天,则可以将保留期设置为 90 天。
要将跟踪事件复制到事件数据存储
-
登录到 AWS Management Console,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail
。 -
在导航窗格中,在 Lake 下,选择事件数据存储。
-
选择 Copy trail events(复制跟踪事件)。
-
在 Copy trail events(复制跟踪事件)页面,在 Event source(事件源)下选择您想复制的跟踪。默认情况下,CloudTrail 仅复制 S3 存储桶
CloudTrail
前缀中包含的 CloudTrail 事件以及CloudTrail
前缀中的前缀,而不会检查其他 AWS 服务的前缀。如果要复制另一个前缀中包含的 CloudTrail 事件,请选择 Enter S3 URI(输入 S3 URI),然后选择 Browse S3(浏览 S3)以浏览到该前缀。如果跟踪的源 S3 桶使用 KMS 密钥进行数据加密,请确保 KMS 密钥政策允许 CloudTrail 解密数据。如果您的源 S3 桶使用多个 KMS 密钥,则必须更新每个密钥的策略,以允许 CloudTrail 解密桶中的数据。有关更新 KMS 密钥政策的更多信息,请参阅用于解密源 S3 存储桶中数据的 KMS 密钥政策。S3 存储桶策略必须授予 CloudTrail 访问权限以从您的 S3 存储桶复制跟踪事件。有关更新 S3 存储桶策略的更多信息,请参阅复制跟踪事件所用的 Amazon S3 存储桶策略。
-
对于指定事件的时间范围,选择复制事件的时间范围。CloudTrail 会先检查前缀和日志文件名,以验证名称是否包含所选开始日期和结束日期之间的日期,然后再尝试复制跟踪事件。您可以选择 Relative range(相对范围)或者 Absolute range(绝对范围)。为避免源跟踪和目标事件数据存储之间存在重复事件,请选择一个早于事件数据存储创建时间的时间范围。
注意
CloudTrail 仅复制
eventTime
处于事件数据存储保留期内的跟踪事件。例如,如果事件数据存储的保留期为 90 天,则 CloudTrail 将不会复制任何eventTime
超过 90 天的跟踪事件。如果选择相对范围,则可以选择复制过去 6 个月、1 年、 2 年、7 年或自定义范围内记录的事件。CloudTrail 会复制此所选时间段内记录的事件。
如果您选择 Absolute range(绝对范围),您可以选择特定的开始和结束日期。CloudTrail 会复制在选定的开始日期和结束日期之间发生的事件。
-
对于 Delivery location(送达位置),请从下拉列表中选择目标事件数据存储。
-
对于 Permissions(权限),请从以下 IAM 角色选项中进行选择。如果您选择现有的 IAM 角色,请验证 IAM 角色策略是否提供了必要的权限。有关更新 IAM 角色权限的更多信息,请参阅复制跟踪事件所需的 IAM 权限。
选择 Create a new role (recommended)(创建新角色(推荐))以创建新的 IAM 角色。对于 Enter IAM role name(输入 IAM 角色名称),输入角色的名称。CloudTrail 会自动为此新角色创建必要的权限。
选择使用自定义 IAM 角色 ARN以使用未列出的自定义 IAM 角色。对于 Enter IAM role ARN(输入 IAM 角色 ARN),输入 IAM ARN。
从下拉列表中选择现有的 IAM 角色。
-
选择 Copy events(复制事件)。
-
系统将提示您进行确认。如果您已准备好确认,请选择 Copy trail events to Lake(将跟踪事件复制到 Lake),然后选择 Copy events(复制事件)。
-
在 Copy details(复制详情)页面中,您可以查看复制状态并检查是否复制失败。跟踪事件复制完成后,如果复制未出错,则 Copy status(复制状态)将设置为 Completed(已完成),否则如果出错了,则设置为 Failed(失败)。
注意
事件复制详细信息页面上显示的详细信息不是实时的。Prefixes copied(已复制的前缀)等详细信息的实际值可能高于页面上显示的值。CloudTrail 会在事件复制过程中逐步更新详细信息。
-
如果 Copy status(复制状态)为 Failed(失败),则要先修复 Copy failures(复制失败)中显示的所有错误,然后选择 Retry copy(重试复制)。当您重试复制时,CloudTrail 会在出错的位置恢复复制。
有关查看跟踪事件复制详细信息的更多信息,请参阅使用 CloudTrail 控制台查看事件复制详细信息。