Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen, aktualisieren und verwalten Sie Ereignisdatenspeicher mit dem AWS CLI
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
In diesem Abschnitt AWS CLI werden die Befehle beschrieben, mit denen Sie Ihre CloudTrail Lake-Ereignisdatenspeicher erstellen, aktualisieren und verwalten können.
Denken Sie bei der Verwendung von daran AWS CLI, dass Ihre Befehle in der für Ihr Profil AWS-Region konfigurierten Version ausgeführt werden. Wenn Sie die Befehle in einer anderen Region ausführen möchten, ändern Sie entweder die Standardregion für Ihr Profil, oder verwenden Sie den **--region**-Parameter mit dem Befehl.
## Verfügbare Befehle für Ereignisdatenspeicher
Zu den Befehlen zum Erstellen und Aktualisieren von Ereignisdatenspeichern in CloudTrail Lake gehören:
+ `create-event-data-store`um einen Ereignisdatenspeicher zu erstellen.
+ `get-event-data-store`um Informationen über den Ereignisdatenspeicher zurückzugeben, einschließlich der erweiterten Ereignisselektoren, die für den Ereignisdatenspeicher konfiguriert sind.
+ `update-event-data-store`um die Konfiguration eines vorhandenen Ereignisdatenspeichers zu ändern.
+ `list-event-data-stores`um die Ereignisdatenspeicher aufzulisten.
+ `delete-event-data-store`um einen Ereignisdatenspeicher zu löschen.
+ `restore-event-data-store`um einen Ereignisdatenspeicher wiederherzustellen, dessen Löschung noch aussteht.
+ `start-import`um einen Import von Trail-Ereignissen in einen Ereignisdatenspeicher zu starten oder einen fehlgeschlagenen Import erneut zu versuchen.
+ `[get-import](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html)`um Informationen über einen bestimmten Import zurückzugeben.
+ `[stop-import](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/stop-import.html)`um den Import von Trail-Ereignissen in einen Event-Datenspeicher zu stoppen.
+ `[list-imports](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-imports.html)`um Informationen zu allen Importen oder einer ausgewählten Gruppe von Importen von `ImportStatus` oder zurückzugeben`Destination`.
+ `[list-import-failures](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html)`um Importfehler für den angegebenen Import aufzulisten.
+ `stop-event-data-store-ingestion`um die Aufnahme von Ereignissen in einen Ereignisdatenspeicher zu stoppen.
+ `start-event-data-store-ingestion`um die Erfassung von Ereignissen in einem Ereignisdatenspeicher neu zu starten.
+ `enable-federation`um den Verbund für einen Ereignisdatenspeicher zu aktivieren, um den Ereignisdatenspeicher in Amazon Athena abzufragen.
+ `disable-federation`um den Verbund in einem Ereignisdatenspeicher zu deaktivieren. Nachdem Sie den Verbund deaktiviert haben, können Sie die Daten des Event-Datenspeichers in Amazon Athena nicht mehr abfragen. Sie können weiterhin Abfragen in CloudTrail Lake durchführen.
+ `[put-insight-selectors](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-insight-selectors.html)`um Insights-Ereignisselektoren für einen vorhandenen Ereignisdatenspeicher hinzuzufügen oder zu ändern und Insights-Ereignisse zu aktivieren oder zu deaktivieren.
+ `[get-insight-selectors](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-insight-selectors.html)`um Informationen über Insights-Ereignisselektoren zurückzugeben, die für einen Ereignisdatenspeicher konfiguriert sind.
+ `[add-tags](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/add-tags.html)`um einem vorhandenen Ereignisdatenspeicher ein oder mehrere Tags (Schlüssel-Wert-Paare) hinzuzufügen.
+ `[remove-tags](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/remove-tags.html)`um ein oder mehrere Tags aus einem Ereignisdatenspeicher zu entfernen.
+ `[list-tags](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-tags.html)`um eine Liste von Tags zurückzugeben, die einem Ereignisdatenspeicher zugeordnet sind.
+ [`get-event-configuration`](lake-cli-manage-eds.md#lake-cli-get-event-configuration)um alle Ressourcen-Tag-Schlüssel und IAM-Schlüssel für globale IAM-Bedingungen zurückzugeben, die für den Ereignisdatenspeicher konfiguriert wurden. Der Befehl gibt auch zurück, ob der Ereignisdatenspeicher für die Erfassung von Größen- oder `Standard` `Large` Größenereignissen konfiguriert ist.
+ [`put-event-configuration`](lake-cli-manage-eds.md#lake-cli-put-event-configuration)um die Ereignisgröße zu erweitern und Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel hinzuzufügen oder zu entfernen. Weitere Informationen finden Sie unter [Bereichern Sie CloudTrail Ereignisse, indem Sie Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel hinzufügen](cloudtrail-context-events.md).
+ `[put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html)`um eine ressourcenbasierte Richtlinie an einen Ereignisdatenspeicher anzuhängen. Mit ressourcenbasierten Richtlinien können Sie steuern, welche Principals Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
+ `[get-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-resource-policy.html)`um die ressourcenbasierte Richtlinie an einen Ereignisdatenspeicher anzuhängen.
+ `[delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/delete-resource-policy.html)`um die ressourcenbasierte Richtlinie zu löschen, die einem Ereignisdatenspeicher zugeordnet ist.
Eine Liste der verfügbaren Befehle für CloudTrail Lake-Abfragen finden Sie unter. [Verfügbare Befehle für CloudTrail Lake-Abfragen](lake-queries-cli.md#lake-queries-cli-commands)
Eine Liste der verfügbaren Befehle für CloudTrail Lake-Dashboards finden Sie unter[Verfügbare Befehle für Dashboards](lake-dashboard-cli.md#lake-dashboard-cli-commands).
Eine Liste der verfügbaren Befehle für CloudTrail Lake-Integrationen finden Sie unter. [Verfügbare Befehle für CloudTrail Lake-Integrationen](lake-integrations-cli.md#lake-integrations-cli-commands)
# Erstellen Sie einen Ereignisdatenspeicher mit dem AWS CLI
In diesem Abschnitt wird beschrieben, wie der [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html)Befehl zum Erstellen eines Ereignisdatenspeichers verwendet wird, und es werden Beispiele für verschiedene Arten von Ereignisdatenspeichern bereitgestellt, die Sie erstellen können.
Beim Erstellen eines Ereignisdatenspeichers ist der einzige erforderliche Parameter der `--name`, der zur Identifizierung des Ereignisdatenspeichers verwendet wird. Sie können zusätzliche optionale Parameter konfigurieren, darunter:
+ `--advanced-event-selectors` – Gibt die Kategorie der Ereignisse an, die im Ereignisdatenspeicher aufgenommen werden sollen. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse. Weitere Informationen zu erweiterten Event-Selektoren finden Sie [AdvancedEventSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html)in der CloudTrail API-Referenz.
+ `--kms-key-id`— Gibt die KMS-Schlüssel-ID an, die zur Verschlüsselung der von übermittelten Ereignisse verwendet werden soll. CloudTrail Der Wert kann ein Alias-Name mit dem Präfix `alias/`, ein vollständig spezifizierter ARN für einen Alias, ein vollständig spezifizierter ARN für einen Schlüssel oder ein global eindeutiger Bezeichner sein.
+ `--multi-region-enabled`- Erstellt einen regionsübergreifenden Ereignisdatenspeicher, der Ereignisse für alle Ereignisse AWS-Regionen in Ihrem Konto protokolliert. Standardmäßig ist `--multi-region-enabled` festgelegt, auch wenn der Parameter nicht hinzugefügt wurde.
+ `--organization-enabled` – Ermöglicht es einem Ereignisdatenspeicher, Ereignisse für alle Konten in einer Organisation zu erfassen. Der Ereignisdatenspeicher ist standardmäßig nicht für alle Konten in einer Organisation aktiviert.
+ `--billing-mode` – Bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher.
Die folgenden Werte sind möglich:
+ `EXTENDABLE_RETENTION_PRICING` – Dieser Abrechnungsmodus wird generell empfohlen, wenn Sie weniger als 25 TB an Ereignisdaten pro Monat erfassen und einen flexiblen Aufbewahrungszeitraum von bis zu 3 653 Tagen (etwa 10 Jahre) wünschen. Der Standardaufbewahrungszeitraum für diesen Abrechnungsmodus beträgt 366 Tage.
+ `FIXED_RETENTION_PRICING` – Dieser Abrechnungsmodus wird empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 2 557 Tagen (ca. 7 Jahren) wünschen. Der Standardaufbewahrungszeitraum für diesen Abrechnungsmodus beträgt 2 557 Tage.
Der Standardwert ist `EXTENDABLE_RETENTION_PRICING`.
+ `--retention-period` – Die Anzahl der Tage, wie lange Ereignisse im Ereignisdatenspeicher aufbewahrt werden sollen. Gültige Werte sind Ganzzahlen zwischen 7 und 3 653, wenn der `--billing-mode` `EXTENDABLE_RETENTION_PRICING` ist, oder zwischen 7 und 2 557, wenn der `--billing-mode` auf `FIXED_RETENTION_PRICING` gesetzt ist. Wenn Sie dies nicht angeben`--retention-period`, CloudTrail wird der Standardaufbewahrungszeitraum für verwendet. `--billing-mode`
+ `--start-ingestion` – Der Parameter `--start-ingestion` startet die Erfassung von Ereignissen im Ereignisdatenspeicher, wenn er erstellt wird. Dieser Parameter wird auch dann festgelegt, wenn der Parameter nicht hinzugefügt wurde.
Geben Sie `--no-start-ingestion` an, wenn der Ereignisdatenspeicher keine Live-Ereignisse erfassen soll. Sie können diesen Parameter beispielsweise festlegen, wenn Sie Ereignisse in den Ereignisdatenspeicher kopieren und die Ereignisdaten nur für die Analyse vergangener Ereignisse verwenden möchten. Der Parameter `--no-start-ingestion` ist nur gültig, wenn der `eventCategory` des Workflows `Management`, `Data` oder `ConfigurationItem` ist.
Die folgenden Beispiele veranschaulichen, wie Sie verschiedene Typen von Ereignisdatenspeichern erstellen können.
**Topics**
+ [Erstellen Sie einen Ereignisdatenspeicher für S3-Datenereignisse mit dem AWS CLI](#lake-cli-create-eds-data)
+ [Erstellen Sie einen Ereignisdatenspeicher für KMS-Netzwerkaktivitätsereignisse mit dem AWS CLI](#lake-cli-create-eds-network)
+ [Erstellen Sie einen Ereignisdatenspeicher für AWS Config Konfigurationselemente mit dem AWS CLI](#lake-cli-create-eds-config)
+ [Erstellen Sie einen Datenspeicher für Organisationsereignisse für Verwaltungsereignisse mit dem AWS CLI](#lake-cli-create-eds-org)
+ [Erstellen Sie Ereignisdatenspeicher für Insights-Ereignisse mit dem AWS CLI](#lake-cli-insights)
## Erstellen Sie einen Ereignisdatenspeicher für S3-Datenereignisse mit dem AWS CLI
Der folgende **create-event-data-store** Beispielbefehl AWS Command Line Interface (AWS CLI) erstellt einen Ereignisdatenspeicher mit dem Namen`my-event-data-store`, der alle Amazon S3 S3-Datenereignisse auswählt und mit einem KMS-Schlüssel verschlüsselt wird.
```
aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
]
}
]'
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "my-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
"UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}
```
## Erstellen Sie einen Ereignisdatenspeicher für KMS-Netzwerkaktivitätsereignisse mit dem AWS CLI
Das folgende Beispiel zeigt, wie Sie einen Ereignisdatenspeicher erstellen, der `VpceAccessDenied` Netzwerkaktivitätsereignisse für enthält AWS KMS. In diesem Beispiel wird das `errorCode` Feld auf `VpceAccessDenied` Ereignisse und das `eventSource` Feld auf gleich gesetzt`kms.amazonaws.com`.
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
Der Befehl gibt die folgende Beispielausgabe zurück.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
Weitere Hinweise zu Netzwerkaktivitätsereignissen finden Sie unter[Protokollierung von Netzwerkaktivitätsereignissen](logging-network-events-with-cloudtrail.md).
## Erstellen Sie einen Ereignisdatenspeicher für AWS Config Konfigurationselemente mit dem AWS CLI
Der folgende AWS CLI **create-event-data-store** Beispielbefehl erstellt einen Ereignisdatenspeicher mit dem Namen`config-items-eds`, der AWS Config Konfigurationselemente auswählt. Um Konfigurationselemente zu erfassen, geben Sie an, dass das Feld `eventCategory` dem `ConfigurationItem` in den erweiterten Ereignisselektoren entspricht.
```
aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
]
}
]'
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "config-items-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"ConfigurationItem"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
"UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}
```
## Erstellen Sie einen Datenspeicher für Organisationsereignisse für Verwaltungsereignisse mit dem AWS CLI
Der folgende AWS CLI **create-event-data-store** Beispielbefehl erstellt einen Datenspeicher für Organisationsereignisse, der alle Verwaltungsereignisse sammelt und den `--billing-mode` Parameter auf festlegt`FIXED_RETENTION_PRICING`.
```
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
"Name": "org-management-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": true,
"BillingMode": "FIXED_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
"UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}
```
## Erstellen Sie Ereignisdatenspeicher für Insights-Ereignisse mit dem AWS CLI
Um Insights-Ereignisse in CloudTrail Lake zu protokollieren, benötigen Sie einen Ziel-Ereignisdatenspeicher, der Insights-Ereignisse sammelt, und einen Quell-Ereignisdatenspeicher, der Insights aktiviert und Verwaltungsereignisse protokolliert.
Dieses Verfahren zeigt, wie Sie die Ziel- und Quellereignisdatenspeicher erstellen und anschließend Insights-Ereignisse aktivieren.
1. Führen Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) aus, um einen Zielereignisdatenspeicher zu erstellen, der Insights-Ereignisse sammelt. Der Wert für `eventCategory` muss `Insight` sein. *retention-period-days*Ersetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten. Gültige Werte sind Ganzzahlen zwischen 7 und 3 653, wenn der `--billing-mode` `EXTENDABLE_RETENTION_PRICING` ist, oder zwischen 7 und 2 557, wenn der `--billing-mode` auf `FIXED_RETENTION_PRICING` gesetzt ist. Wenn Sie keine Angabe machen`--retention-period`, CloudTrail verwendet die Standardaufbewahrungsdauer für`--billing-mode`.
Wenn Sie mit dem Verwaltungskonto einer AWS Organizations Organisation angemeldet sind, geben Sie den `--organization-enabled` Parameter an, wenn Sie Ihrem [delegierten Administrator](cloudtrail-delegated-administrator.md) Zugriff auf den Ereignisdatenspeicher gewähren möchten.
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}
```
Sie verwenden die `ARN` (oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter `--insights-destination` in Schritt 3.
1. Um einen Quellereignisdatenspeicher zu erstellen, der Verwaltungsereignisse protokolliert, führen Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) aus. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse. Sie müssen keine erweiterten Ereignisselektoren angeben, um alle Verwaltungsereignisse zu protokollieren. *retention-period-days*Ersetzen Sie ihn durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten. Gültige Werte sind Ganzzahlen zwischen 7 und 3 653, wenn der `--billing-mode` `EXTENDABLE_RETENTION_PRICING` ist, oder zwischen 7 und 2 557, wenn der `--billing-mode` auf `FIXED_RETENTION_PRICING` gesetzt ist. Wenn Sie keine Angabe machen`--retention-period`, CloudTrail verwendet die Standardaufbewahrungsdauer für`--billing-mode`. Wenn Sie einen Datenspeicher für Organisationsereignisse erstellen, fügen Sie den Parameter `--organization-enabled` hinzu.
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}
```
Sie verwenden die `ARN` (oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter `--event-data-store` in Schritt 3.
1. Führen Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) aus, um Insights-Ereignisse zu aktivieren. Insights-Selektorwerte können `ApiCallRateInsight` und/oder `ApiErrorRateInsight` sein. Geben Sie für den Parameter `--event-data-store` den ARN (oder das ID-Suffix der ARN) des Quellereignisdatenspeichers an, der Verwaltungsereignisse protokolliert und Insights aktiviert. Geben Sie für den Parameter `--insights-destination` den ARN (oder das ID-Suffix des ARN) des Zielereignisdatenspeichers an, der Insights-Ereignisse protokolliert.
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
Das folgende Ergebnis zeigt den Insights-Ereignisselektor, der für den Ereignisdatenspeicher konfiguriert wurde.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
Nachdem Sie CloudTrail Insights zum ersten Mal in einem Ereignisdatenspeicher aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.
CloudTrail Insights analysiert Verwaltungsereignisse, die in einer einzelnen Region und nicht weltweit auftreten. Ein CloudTrail Insights-Ereignis wird in derselben Region generiert, in der auch die unterstützenden Managementereignisse generiert werden.
CloudTrail Analysiert bei einem Datenspeicher für Organisationsereignisse Verwaltungsereignisse aus den Konten der einzelnen Mitglieder, anstatt die Aggregation aller Verwaltungsereignisse für die Organisation zu analysieren.
Für die Aufnahme von Insights-Veranstaltungen in Lake fallen zusätzliche Gebühren an CloudTrail . Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).
# Importieren Sie Trail-Ereignisse in einen Event-Datenspeicher mit dem AWS CLI
In diesem Abschnitt wird gezeigt, wie Sie einen Ereignisdatenspeicher erstellen und konfigurieren, indem Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html)Befehl ausführen, und dann, wie Sie die Ereignisse mithilfe des [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html)Befehls in diesen Ereignisdatenspeicher importieren. Weitere Informationen zum Importieren von Trail-Ereignissen finden Sie unter[Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher](cloudtrail-copy-trail-to-lake-eds.md).
## Vorbereiten des Imports von Trail-Ereignissen
Treffen Sie die folgenden Vorbereitungen, bevor Sie Trail-Ereignisse importieren.
+ Stellen Sie sicher, dass Sie über eine Rolle mit den [erforderlichen Berechtigungen](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam) zum Importieren von Trail-Ereignissen in einen Ereignisdatenspeicher verfügen.
+ Ermitteln Sie den [--billing-mode](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)-Wert, den Sie für den Ereignisdatenspeicher angeben möchten. Der `--billing-mode` bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher.
Wenn Sie Trail-Ereignisse nach CloudTrail Lake importieren, werden die im komprimierten CloudTrail GZIP-Format gespeicherten Protokolle entpackt. CloudTrail Kopiert dann die in den Protokollen enthaltenen Ereignisse in Ihren Ereignisdatenspeicher. Die Größe der unkomprimierten Daten könnte größer sein als die tatsächliche Amazon-S3-Speichergröße. Um eine allgemeine Schätzung der Größe der unkomprimierten Daten zu erhalten, multiplizieren Sie die Größe der Protokolle im S3-Bucket mit 10. Sie können diese Schätzung verwenden, um den `--billing-mode`-Wert für Ihren Anwendungsfall auszuwählen.
+ Ermitteln Sie den Wert, den Sie für angeben möchten`--retention-period`. CloudTrail kopiert ein Ereignis nicht, wenn `eventTime` es älter als die angegebene Aufbewahrungsfrist ist.
Um die geeignete Aufbewahrungsdauer zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher aufbewahren möchten, wie in der folgenden Gleichung dargestellt:
**Aufbewahrungszeitraum** = *oldest-event-in-days* \$1 *number-days-to-retain*
Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher aufbewahren möchten, würden Sie die Aufbewahrungsdauer auf 90 Tage festlegen.
+ Entscheiden Sie, ob Sie den Ereignisdatenspeicher verwenden möchten, um zukünftige Ereignisse zu analysieren. Wenn Sie keine zukünftigen Ereignisse aufnehmen möchten, fügen Sie den Parameter `--no-start-ingestion` bei der Erstellung des Ereignisdatenspeichers hinzu. Standardmäßig beginnen Ereignisdatenspeicher mit der Erfassung von Ereignissen, wenn sie erstellt werden.
## Erstellen eines Ereignisdatenspeichers und Importieren von Trail-Ereignissen in diesen Ereignisdatenspeicher
1. Führen Sie den Befehl **create-event-data-store** aus, um den neuen Ereignisdatenspeicher zu erstellen. In diesem Beispiel ist `--retention-period` auf `120` gesetzt, weil das älteste kopierte Ereignis 90 Tage alt ist und wir die Ereignisse 30 Tage lang beibehalten möchten. Der Parameter `--no-start-ingestion` ist gesetzt, weil wir keine zukünftigen Ereignisse erfassen möchten. In diesem Beispiel wurde `--billing-mode` nicht gesetzt, da wir den Standardwert `EXTENDABLE_RETENTION_PRICING` verwenden, weil wir davon ausgehen, dass weniger als 25 TB an Ereignisdaten erfasst werden.
**Anmerkung**
Wenn Sie den Ereignisdatenspeicher erstellen, der Ihren Trail ersetzen soll, empfehlen wir, die `--advanced-event-selectors` so zu konfigurieren, dass sie den Ereignisselektoren Ihres Trails entsprechen, um sicherzustellen, dass Sie die gleiche Ereignisabdeckung haben. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse.
```
aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestion
```
Nachfolgend finden Sie eine Beispielantwort:
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
Der `Status` ist zunächst `CREATED`, deshalb führen wir den Befahl **get-event-data-store** aus, um sicherzustellen, dass die Erfassung gestoppt ist.
```
aws cloudtrail get-event-data-store --event-data-store eds-id
```
Die Antwort zeigt, dass der `Status` jetzt `STOPPED_INGESTION` ist, was darauf hindeutet, dass der Ereignisdatenspeicher keine Live-Ereignisse erfasst.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "STOPPED_INGESTION",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
1. Führen Sie den Befehl **start-import** aus, um die Trail-Ereignisse in den Ereignisdatenspeicher zu importieren, der in Schritt 1 erstellt wurde. Geben Sie den ARN (oder das ID-Suffix des ARN) des Ereignisdatenspeichers als Wert für den Parameter `--destinations` an. Für `--start-event-time` geben Sie die `eventTime` für das älteste Ereignis an, das Sie kopieren möchten, und für `--end-event-time` geben Sie die `eventTime` des neuesten Ereignisses an, das Sie kopieren möchten. `--import-source`Geben Sie den S3-URI für den S3-Bucket an, der Ihre Trail-Logs enthält, den AWS-Region für den S3-Bucket und den ARN der Rolle, die für den Import von Trail-Ereignissen verwendet wird.
```
aws cloudtrail start-import \
--destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \
--start-event-time 2023-08-11T16:08:12.934000+00:00 \
--end-event-time 2023-11-09T17:08:20.705000+00:00 \
--import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1",
"ImportSource": {
"S3": {
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds",
"S3BucketRegion":"us-east-1",
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/"
}
},
"ImportStatus": "INITIALIZING",
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00"
}
```
1. Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html) aus, um Informationen zum Import abzurufen.
```
aws cloudtrail get-import --import-id import-id
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"ImportSource": {
"S3": {
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/",
"S3BucketRegion":"us-east-1",
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"
}
},
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportStatus": "COMPLETED",
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"ImportStatistics": {
"PrefixesFound": 1548,
"PrefixesCompleted": 1548,
"FilesCompleted": 92845,
"EventsCompleted": 577249,
"FailedEntries": 0
}
}
```
Ein Import endet mit einem `ImportStatus` `COMPLETED`, wenn es keine Fehler gab, oder `FAILED`, wenn es Fehler gab.
Wenn beim Import ein `FailedEntries` aufgetreten ist, können Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html) ausführen, um eine Liste der Fehler zurückzugeben.
```
aws cloudtrail list-import-failures --import-id import-id
```
Um einen fehlgeschlagenen Import erneut zu versuchen, führen Sie den Befehl **start-import** nur mit dem Parameter `--import-id` aus. Wenn Sie einen Import erneut versuchen, CloudTrail setzt er den Import an der Stelle fort, an der der Fehler aufgetreten ist.
```
aws cloudtrail start-import --import-id import-id
```
# Aktualisieren Sie einen Ereignisdatenspeicher mit dem AWS CLI
Dieser Abschnitt enthält Beispiele, die zeigen, wie Sie die Einstellungen eines Event-Datenspeichers aktualisieren, indem Sie den AWS CLI `update-event-data-store` Befehl ausführen.
**Topics**
+ [Aktualisieren Sie den Abrechnungsmodus mit AWS CLI](#lake-cli-update-billing-mode)
+ [Aktualisieren Sie den Aufbewahrungsmodus, aktivieren Sie den Kündigungsschutz und geben Sie a AWS KMS key mit AWS CLI](#lake-cli-update-retention)
+ [Deaktivieren Sie den Kündigungsschutz mit AWS CLI](#lake-cli-update-disable-termination)
## Aktualisieren Sie den Abrechnungsmodus mit AWS CLI
Der `--billing-mode` für den Ereignisdatenspeicher bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Wenn der `--billing-mode` eines Ereignisdatenspeichers auf `FIXED_RETENTION_PRICING` eingestellt ist, können Sie den Wert auf `EXTENDABLE_RETENTION_PRICING` ändern. `EXTENDABLE_RETENTION_PRICING` wird generell empfohlen, wenn Ihr Ereignisdatenspeicher weniger als 25 TB an Ereignisdaten pro Monat erfasst und Sie einen flexiblen Aufbewahrungszeitraum von bis zu 3653 Tagen wünschen. Informationen zu Preisen erhalten Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
**Anmerkung**
Sie können den Wert für `--billing-mode` von `EXTENDABLE_RETENTION_PRICING` nicht in `FIXED_RETENTION_PRICING` ändern. Wenn der Abrechnungsmodus des Ereignisdatenspeichers auf `EXTENDABLE_RETENTION_PRICING` eingestellt ist und Sie stattdessen `FIXED_RETENTION_PRICING` verwenden möchten, können Sie die [Aufnahme im Ereignisdatenspeicher beenden](lake-cli-manage-eds.md#lake-cli-stop-ingestion-eds) und einen neuen Ereignisdatenspeicher erstellen, der `FIXED_RETENTION_PRICING` verwendet.
Der folgende AWS CLI **update-event-data-store** Beispielbefehl ändert den Wert `--billing-mode` für den Ereignisdatenspeicher von `FIXED_RETENTION_PRICING` auf`EXTENDABLE_RETENTION_PRICING`. Der erforderliche `--event-data-store`-Parameterwert ist ein ARN (oder das ID-Suffix des ARN) und ist erforderlich; andere Parameter sind optional.
```
aws cloudtrail update-event-data-store \
--region us-east-1 \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--billing-mode EXTENDABLE_RETENTION_PRICING
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "management-events-eds",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
## Aktualisieren Sie den Aufbewahrungsmodus, aktivieren Sie den Kündigungsschutz und geben Sie a AWS KMS key mit AWS CLI
Der folgende AWS CLI **update-event-data-store** Beispielbefehl aktualisiert einen Ereignisdatenspeicher, um dessen Aufbewahrungsdauer auf 100 Tage zu ändern und den Kündigungsschutz zu aktivieren. Der erforderliche `--event-data-store`-Parameterwert ist ein ARN (oder das ID-Suffix des ARN) und ist erforderlich; andere Parameter sind optional. In diesem Beispiel wird der Parameter `--retention-period` hinzugefügt, um den Aufbewahrungszeitraum auf 100 Tage zu ändern. Optional können Sie die AWS Key Management Service Verschlüsselung aktivieren und eine angeben, AWS KMS key indem Sie dem Befehl etwas `--kms-key-id` hinzufügen und einen KMS-Schlüssel-ARN als Wert angeben. `--termination-protection-enabled`wird hinzugefügt, um den Kündigungsschutz für einen Ereignisdatenspeicher zu aktivieren, für den der Terminierungsschutz nicht aktiviert war.
Ein Ereignisdatenspeicher, der Ereignisse von außen protokolliert, AWS kann nicht so aktualisiert werden, dass er AWS Ereignisse protokolliert. Ebenso kann ein Ereignisdatenspeicher, der AWS Ereignisse protokolliert, nicht so aktualisiert werden, dass er Ereignisse von außen protokolliert AWS.
**Anmerkung**
Wenn Sie die Aufbewahrungsdauer eines Ereignisdatenspeichers verringern, CloudTrail werden alle Ereignisse entfernt, deren Aufbewahrungszeitraum `eventTime` älter als der neue ist. Wenn der vorherige Aufbewahrungszeitraum beispielsweise 365 Tage betrug und Sie ihn auf 100 Tage reduzieren, CloudTrail werden Ereignisse entfernt, deren Aufbewahrungszeitraum `eventTime` älter als 100 Tage ist.
```
aws cloudtrail update-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--retention-period 100 \
--kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \
--termination-protection-enabled
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "my-event-data-store",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 100,
"KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
## Deaktivieren Sie den Kündigungsschutz mit AWS CLI
Standardmäßig ist der Beendigungsschutz für einen Ereignisdatenspeicher aktiviert, um den Ereignisdatenspeicher vor versehentlicher Löschung zu schützen. Sie können einen Ereignisdatenspeicher nicht löschen, wenn der Beendigungsschutz aktiviert ist. Wenn Sie den Ereignisdatenspeicher löschen möchten, müssen Sie zuerst den Beendigungsschutz deaktivieren.
Der folgende AWS CLI **update-event-data-store** Beispielbefehl deaktiviert den Kündigungsschutz, indem der `--no-termination-protection-enabled` Parameter übergeben wird.
```
aws cloudtrail update-event-data-store \
--region us-east-1 \
--no-termination-protection-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "management-events-eds",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": false,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
# Verwaltung von Ereignisdatenspeichern mit dem AWS CLI
In diesem Abschnitt werden mehrere andere Befehle beschrieben, die Sie ausführen können, um Informationen zu Ihren Ereignisdatenspeichern abzurufen, die Aufnahme in einen Ereignisdatenspeicher zu starten und zu beenden und den [Verbund](query-federation.md) in einem Ereignisdatenspeicher zu aktivieren und zu deaktivieren.
**Topics**
+ [Holen Sie sich einen Ereignisdatenspeicher mit AWS CLI](#lake-cli-get-eds)
+ [Listet alle Ereignisdatenspeicher in einem Konto auf mit AWS CLI](#lake-cli-list-eds)
+ [Fügen Sie Ressourcen-Tag-Schlüssel und IAM-Schlüssel für globale Bedingungen hinzu und erweitern Sie die Eventgröße](#lake-cli-put-event-configuration)
+ [Ruft die Ereigniskonfiguration für einen Ereignisdatenspeicher ab](#lake-cli-get-event-configuration)
+ [Rufen Sie die ressourcenbasierte Richtlinie für einen Ereignisdatenspeicher mit dem AWS CLI](#lake-cli-get-resource-policy)
+ [Hängen Sie eine ressourcenbasierte Richtlinie an einen Ereignisdatenspeicher an, indem Sie AWS CLI](#lake-cli-put-resource-policy)
+ [Löschen Sie die ressourcenbasierte Richtlinie, die an einen Ereignisdatenspeicher angehängt ist, mit dem AWS CLI](#lake-cli-delete-resource-policy)
+ [Stoppen Sie die Aufnahme in einen Ereignisdatenspeicher mit dem AWS CLI](#lake-cli-stop-ingestion-eds)
+ [Starten Sie die Aufnahme in einen Ereignisdatenspeicher mit dem AWS CLI](#lake-cli-start-ingestion-eds)
+ [Aktivieren eines Verbunds zu einem Ereignisdatenspeicher](#lake-cli-enable-federation-eds)
+ [Deaktivieren eines Verbunds zu einem Ereignisdatenspeicher](#lake-cli-disable-federation-eds)
+ [Stellen Sie einen Ereignisdatenspeicher wieder her mit dem AWS CLI](#lake-cli-restore-eds)
## Holen Sie sich einen Ereignisdatenspeicher mit AWS CLI
Der folgende AWS CLI **get-event-data-store** Beispielbefehl gibt Informationen über den durch den erforderlichen `--event-data-store` Parameter angegebenen Ereignisdatenspeicher zurück, der einen ARN oder das ID-Suffix des ARN akzeptiert.
```
aws cloudtrail get-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Nachfolgend finden Sie eine Beispielantwort. Die Erstellung und die letzten aktualisierten Zeiten sind im `timestamp`-Format.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "s3-data-events-eds",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Log DeleteObject API calls for a specific S3 bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "eventName",
"Equals": [
"DeleteObject"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Field": "readOnly",
"Equals": [
"false"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "FIXED_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00",
"UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00"
}
```
## Listet alle Ereignisdatenspeicher in einem Konto auf mit AWS CLI
Der folgende AWS CLI **list-event-data-stores** Beispielbefehl gibt Informationen über alle Ereignisdatenspeicher in einem Konto in der aktuellen Region zurück. Optionale Parameter umfassen `--max-results`, um eine maximale Anzahl von Ergebnissen anzugeben, die der Befehl auf einer einzelnen Seite zurückgeben soll. Wenn es mehr Ergebnisse als den von Ihnen angegebenen `--max-results`-Wert gibt, führen Sie den Befehl `NextToken` erneut aus und fügen den zurückgegebenen Wert hinzu, um die nächste Seite mit Ergebnissen zu erhalten.
```
aws cloudtrail list-event-data-stores
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"EventDataStores": [
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969",
"Name": "management-events-eds"
},
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a",
"Name": "config-items-eds"
},
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4",
"Name": "s3-data-events"
}
]
}
```
## Fügen Sie Ressourcen-Tag-Schlüssel und IAM-Schlüssel für globale Bedingungen hinzu und erweitern Sie die Eventgröße
Führen Sie den AWS CLI `put-event-configuration` Befehl aus, um die maximale Ereignisgröße zu erhöhen und bis zu 50 Ressourcen-Tag-Schlüssel und 50 globale IAM-Bedingungsschlüssel hinzuzufügen, um zusätzliche Metadaten zu Ihren Ereignissen bereitzustellen.
Der Befehl `put-event-configuration` akzeptiert die folgenden Argumente:
+ `--event-data-store`— Geben Sie den ARN des Event-Datenspeichers oder das ID-Suffix des ARN an. Dieser Parameter muss angegeben werden.
+ `--max-event-size`— Stellen Sie auf ein`Large`, um die maximale Eventgröße auf 1 MB festzulegen. Standardmäßig ist der Wert`Standard`, was eine maximale Eventgröße von 256 KB angibt.
**Anmerkung**
Um Schlüssel für Ressourcen-Tags oder Schlüssel für globale IAM-Bedingungen hinzuzufügen, müssen Sie die Eventgröße so einstellen, dass alle hinzugefügten Schlüssel in dem Ereignis enthalten sind. `Large`
+ `--context-key-selectors`— Geben Sie die Art der Schlüssel an, die in den von Ihrem Ereignisdatenspeicher gesammelten Ereignissen enthalten sein sollen. Sie können Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel einbeziehen. Informationen zu den hinzugefügten Ressourcen-Tags und globalen IAM-Bedingungsschlüsseln werden im `eventContext` Feld des Ereignisses angezeigt. Weitere Informationen finden Sie unter [Bereichern Sie CloudTrail Ereignisse, indem Sie Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel hinzufügen](cloudtrail-context-events.md).
+ Stellen Sie `Type` auf ein`TagContext`, um ein Array von bis zu 50 Ressourcen-Tag-Schlüsseln zu übergeben. Wenn Sie Ressourcen-Tags hinzufügen, enthalten die CloudTrail Ereignisse die ausgewählten Tag-Schlüssel, die den Ressourcen zugeordnet sind, die am API-Aufruf beteiligt waren. API-Ereignisse, die sich auf gelöschte Ressourcen beziehen, haben keine Ressourcen-Tags.
+ Setzen Sie den `Type` Wert `RequestContext` auf, um ein Array von bis zu 50 globalen IAM-Bedingungsschlüsseln zu übergeben. Wenn Sie globale IAM-Bedingungsschlüssel hinzufügen, enthalten die CloudTrail Ereignisse Informationen zu den ausgewählten Bedingungsschlüsseln, die während des Autorisierungsprozesses ausgewertet wurden, einschließlich zusätzlicher Details über den Prinzipal, die Sitzung, das Netzwerk und die Anfrage selbst.
Im folgenden Beispiel wird die maximale Ereignisgröße auf festgelegt `Large` und zwei Ressourcen-Tag-Schlüssel `myTagKey1` und `myTagKey2` hinzugefügt.
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"TagContext", "Equals":["myTagKey1","myTagKey2"]}]'
```
Im nächsten Beispiel wird die maximale Ereignisgröße auf „IAM; global condition key (`aws:MultiFactorAuthAge`)“ festgelegt `Large` und ein weiterer Wert hinzugefügt.
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"RequestContext", "Equals":["aws:MultiFactorAuthAge"]}]'
```
Das letzte Beispiel entfernt alle Ressourcen-Tag-Schlüssel und globalen IAM-Bedingungsschlüssel und legt die maximale Eventgröße auf fest. `Standard`
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Standard \
--context-key-selectors
```
## Ruft die Ereigniskonfiguration für einen Ereignisdatenspeicher ab
Führen Sie den AWS CLI `get-event-configuration` Befehl aus, um die Ereigniskonfiguration für einen Ereignisdatenspeicher zurückzugeben, der CloudTrail Ereignisse sammelt. Dieser Befehl gibt die maximale Ereignisgröße zurück und listet die Ressourcen-Tag-Schlüssel und globalen IAM-Bedingungsschlüssel (falls vorhanden) auf, die in CloudTrail Ereignissen enthalten sind.
```
aws cloudtrail get-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
## Rufen Sie die ressourcenbasierte Richtlinie für einen Ereignisdatenspeicher mit dem AWS CLI
Im folgenden Beispiel wird der `get-resource-policy` Befehl für den Datenspeicher eines Organisationsereignisses ausgeführt.
```
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
```
Da der Befehl auf einem Organisationsereignisdatenspeicher ausgeführt wurde, zeigt die Ausgabe sowohl die bereitgestellte ressourcenbasierte Richtlinie als auch die für die delegierten Administratorkonten [`DelegatedAdminResourcePolicy`](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)generierten.
## Hängen Sie eine ressourcenbasierte Richtlinie an einen Ereignisdatenspeicher an, indem Sie AWS CLI
Um Abfragen in einem Dashboard während einer manuellen oder geplanten Aktualisierung auszuführen, müssen Sie jedem Ereignisdatenspeicher, der einem Widget auf dem Dashboard zugeordnet ist, eine ressourcenbasierte Richtlinie anhängen. Dadurch kann CloudTrail Lake die Abfragen in Ihrem Namen ausführen. Weitere Informationen zur ressourcenbasierten Richtlinie finden Sie unter. [Beispiel: Erlauben Sie CloudTrail die Ausführung von Abfragen zur Aktualisierung eines Dashboards](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)
Im folgenden Beispiel wird eine ressourcenbasierte Richtlinie an einen Ereignisdatenspeicher angehängt, mit der Abfragen auf einem Dashboard ausgeführt werden können CloudTrail , wenn das Dashboard aktualisiert wird. Die Richtlinie wird in einer separaten Datei mit dem folgenden Beispiel *policy.json* für eine Richtlinienanweisung erstellt:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [{ "Sid": "EDSPolicy", "Effect":
"Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Resource":
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/event_data_store_ID",
"Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn":
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"AWS:SourceAccount": "123456789012" } } } ] }
```
------
*123456789012*Ersetzen Sie es durch Ihre Konto-ID, *arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/event\$1data\$1store\$1ID* durch den ARN des Ereignisdatenspeichers, für den Abfragen ausgeführt CloudTrail werden, und *arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE* durch den ARN des Dashboards.
```
aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy file://policy.json
```
Im Folgenden finden Sie ein Beispiel für eine Antwort.
```
{ "ResourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "ResourcePolicy": "policy-statement" }
```
Weitere Richtlinienbeispiele finden Sie unter[Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
## Löschen Sie die ressourcenbasierte Richtlinie, die an einen Ereignisdatenspeicher angehängt ist, mit dem AWS CLI
In den folgenden Beispielen wird die ressourcenbasierte Richtlinie gelöscht, die einem Ereignisdatenspeicher zugeordnet ist. *eds-arn*Ersetzen Sie durch den ARN des Ereignisdatenspeichers.
```
aws cloudtrail delete-resource-policy --resource-arn eds-arn
```
Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.
## Stoppen Sie die Aufnahme in einen Ereignisdatenspeicher mit dem AWS CLI
Mit dem folgenden AWS CLI **stop-event-data-store-ingestion** Beispielbefehl wird verhindert, dass ein Ereignisdatenspeicher Ereignisse aufnimmt. Um die Aufnahme zu beenden, muss der `Status`-Ereignisdatenspeicher `ENABLED` sein und `eventCategory` muss `Management`, `Data` oder `ConfigurationItem` sein. Der Ereignisdatenspeicher wird durch `--event-data-store` angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert. Nach der Ausführung von **stop-event-data-store-ingestion** ändert sich der Status des Ereignisdatenspeichers zu `STOPPED_INGESTION`.
Der Ereignisdatenspeicher wird auf die maximale Anzahl von zehn Ereignisdatenspeichern in Ihrem Konto angerechnet, wenn dessen Status `STOPPED_INGESTION` ist.
```
aws cloudtrail stop-event-data-store-ingestion \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Wenn der Befehl erfolgreich ausgeführt wird, erfolgt keine Reaktion.
## Starten Sie die Aufnahme in einen Ereignisdatenspeicher mit dem AWS CLI
Mit dem folgenden AWS CLI **start-event-data-store-ingestion** Beispielbefehl wird die Ereignisaufnahme in einem Ereignisdatenspeicher gestartet. Um die Aufnahme zu starten, muss der `Status`-Ereignisdatenspeicher `STOPPED_INGESTION` sein und `eventCategory` muss `Management`, `Data` oder `ConfigurationItem` sein. Der Ereignisdatenspeicher wird durch `--event-data-store` angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert. Nach der Ausführung von **start-event-data-store-ingestion** ändert sich der Status des Ereignisdatenspeichers zu `ENABLED`.
```
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Wenn der Befehl erfolgreich ausgeführt wird, erfolgt keine Reaktion.
## Aktivieren eines Verbunds zu einem Ereignisdatenspeicher
Um den Verbund zu aktivieren, führen Sie den Befehl **aws cloudtrail enable-federation** aus und geben Sie die erforderlichen Parameter `--event-data-store` und `--role` ein. Geben Sie für `--event-data-store` den ARN des Ereignisdatenspeichers (oder das ID-Suffix des ARN) an. Geben Sie für `--role` den ARN für Ihre Verbundrolle an. Die Rolle muss in Ihrem Konto vorhanden sein und über die [erforderlichen Mindestberechtigungen verfügen](query-federation.md#query-federation-permissions-role).
```
aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name
```
Dieses Beispiel zeigt, wie ein delegierter Administrator den Verbund für den Ereignisdatenspeicher einer Organisation aktivieren kann, indem er den ARN des Ereignisdatenspeichers im Verwaltungskonto und den ARN der Verbundrolle im delegierten Administratorkonto angibt.
```
aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
```
## Deaktivieren eines Verbunds zu einem Ereignisdatenspeicher
Führen Sie den Befehl **aws cloudtrail disable-federation** aus, um den Verbund im Ereignisdatenspeicher zu deaktivieren. Der Ereignisdatenspeicher wird durch `--event-data-store` angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert.
```
aws cloudtrail disable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
```
**Anmerkung**
Wenn es sich um den Ereignisdatenspeicher einer Organisation handelt, geben Sie die Konto-ID für das Verwaltungskonto an.
## Stellen Sie einen Ereignisdatenspeicher wieder her mit dem AWS CLI
Der folgende AWS CLI **restore-event-data-store**-Beispielbefehl stellt einen Ereignisdatenspeicher wieder her, der zum Löschen ansteht. Der Ereignisdatenspeicher wird durch `--event-data-store` angegeben, der einen Ereignisdatenspeicher-ARN oder das ID-Suffix des ARN akzeptiert. Sie können einen gelöschten Ereignisdatenspeicher nur innerhalb der siebentägigen Wartezeit nach dem Löschen wiederherstellen.
```
aws cloudtrail restore-event-data-store \
--event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Die Antwort enthält Informationen über den Ereignisdatenspeicher, einschließlich des ARN, der erweiterten Ereignisselektoren und des Status der Wiederherstellung.
# Löschen Sie einen Ereignisdatenspeicher mit dem AWS CLI
In diesem Abschnitt wird gezeigt, wie Sie einen Ereignisdatenspeicher löschen, indem Sie den AWS CLI `delete-event-data-store` folgenden Befehl ausführen
Um einen Ereignisdatenspeicher zu löschen, geben Sie `--event-data-store` den ARN des Ereignisdatenspeichers oder das ID-Suffix des ARN an. Nachdem Sie **delete-event-data-store** ausgeführt haben, ist der endgültige Status des Ereignisdatenspeichers `PENDING_DELETION`, und der Ereignisdatenspeicher wird nach einer Wartezeit von 7 Tagen automatisch gelöscht.
Nachdem Sie **delete-event-data-store** auf einem Ereignisdatenspeicher ausgeführt haben, können Sie weder **list-queries**, **describe-query** noch **get-query-results** auf Abfragen ausführen, die den deaktivierten Datenspeicher verwenden. Der Ereignisdatenspeicher zählt maximal zehn Ereignisdatenspeicher auf Ihr Konto, AWS-Region wenn er gelöscht werden muss.
**Anmerkung**
Sie können einen Ereignisdatenspeicher nicht löschen, wenn `--termination-protection-enabled` festgelegt ist oder sein `FederationStatus` `ENABLED` lautet.
Um einen Ereignisdatenspeicher mit dem Wert `eventCategory` von zu löschen`ActivityAuditLog`, müssen Sie zuerst den Kanal der Integration löschen. Sie können den Kanal mit dem `aws cloudtrail delete-channel` Befehl löschen. Weitere Informationen finden Sie unter [Löschen Sie einen Kanal, um eine Integration mit dem zu löschen AWS CLI](lake-cli-delete-integration.md).
```
aws cloudtrail delete-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Wenn der Befehl erfolgreich ausgeführt wird, erfolgt keine Reaktion.