Importare eventi del percorso in un datastore di eventi con la AWS CLI - AWS CloudTrail
Preparazione all'importazione degli eventi del percorsoPer creare un datastore di eventi e importarvi gli eventi del percorso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Importare eventi del percorso in un datastore di eventi con la AWS CLI

In questa sezione viene illustrato come creare e configurare un datastore di eventi eseguendo il create-event-data-storecomando e in seguito come importare gli eventi in tale datastore utilizzando il start-importcomando. Per ulteriori informazioni sull'importazione degli eventi del percorso, consultaCopia di eventi traccia in un archivio dati degli eventi.

Preparazione all'importazione degli eventi del percorso

Prima di importare gli eventi del percorso, effettua le seguenti operazioni preliminari.

  • Assicurati di avere un ruolo con le autorizzazioni necessarie per importare gli eventi del percorso in un datastore di eventi.

  • Determina il valore --billing-mode che desideri specificare per il datastore di eventi. La --billing-mode determina il costo dell'importazione e dell'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi.

    Quando importi gli eventi del percorso su CloudTrail Lake, CloudTrail decomprime i log archiviati in formato gzip (compresso). Quindi CloudTrail copia gli eventi contenuti nei log nel datastore di eventi. La dimensione dei dati non compressi potrebbe essere maggiore della dimensione di archiviazione effettiva di Amazon S3. Per avere una stima generale della dimensione dei dati non compressi, moltiplica la dimensione dei log nel bucket S3 per 10. Puoi utilizzare questa stima per scegliere il valore --billing-mode per il tuo caso d'uso.

  • Determina il valore che desideri specificare per la--retention-period. CloudTrail non copierà un evento se eventTime è più vecchio del periodo di conservazione specificato.

    Per determinare il periodo di conservazione corretto, calcola la somma dell'evento più vecchio che desideri copiare in giorni e il numero di giorni per cui desideri conservare gli eventi nel datastore eventi, come dimostrato nell'equazione seguente:

    Periodo di conservazione = oldest-event-in-days + number-days-to-retain

    Ad esempio, se l'evento più vecchio da copiare risale a 45 giorni fa e desideri conservare gli eventi nel datastore di eventi per altri 45 giorni, imposta il periodo di conservazione su 90 giorni.

  • Decidi se utilizzare il datastore di eventi per analizzare eventuali eventi futuri. Se non desideri importare eventi futuri, includi il parametro --no-start-ingestion durante la creazione del datastore di eventi. Per impostazione predefinita, i datastore di eventi iniziano a importare eventi quando vengono creati.

Per creare un datastore di eventi e importarvi gli eventi del percorso

  1. Esegui il comando create-event-data-store per creare il nuovo datastore di eventi. In questo esempio, il --retention-period è impostato su 120 perché l'evento più vecchio copiato risale a 90 giorni fa e vogliamo conservare gli eventi per 30 giorni. Il parametro --no-start-ingestion è impostato perché non vogliamo importare eventi futuri. In questo esempio, --billing-mode non è stato impostato, perché utilizziamo il valore predefinito EXTENDABLE_RETENTION_PRICING dal momento che prevediamo di importare meno di 25 TB di dati di eventi.

    Nota

    Se stai creando il datastore di eventi per sostituire il percorso, ti consigliamo di configurarlo in modo che --advanced-event-selectors corrisponda ai selettori di eventi del percorso per assicurarti la stessa copertura degli eventi. Per impostazione predefinita, i datastore di eventi registrano tutti gli eventi di gestione.

    aws cloudtrail create-event-data-store  --name import-trail-eds  --retention-period 120 --no-start-ingestion

    Di seguito è riportata la risposta di esempio:

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
    "Name": "import-trail-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 120,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
    "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}

    Lo Status iniziale è CREATED quindi eseguiremo il comando get-event-data-store per verificare che l'importazione sia interrotta.

    aws cloudtrail get-event-data-store --event-data-store eds-id

    La risposta indica che ora lo Status è STOPPED_INGESTION, quindi al momento il datastore di eventi non importa gli eventi live.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
    "Name": "import-trail-eds",
    "Status": "STOPPED_INGESTION",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 120,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
    "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}

  2. Usa il comando start-import per importare gli eventi del percorso nel datastore di eventi creato nella fase 1. Specifica l'ARN (o il suffisso ID dell'ARN) del datastore di eventi come valore per il parametro --destinations. Per --start-event-time specifica l'eventTime dell'evento più vecchio da copiare e per --end-event-time l'eventTime dell'evento più recente da copiare. --import-sourceSpecificare l'URI S3 per il bucket S3 contenente i log del percorso, la del bucket S3 e l'ARN del ruolo utilizzato Regione AWS per importare gli eventi del percorso. 

    aws cloudtrail start-import \
--destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \
--start-event-time 2023-08-11T16:08:12.934000+00:00 \
--end-event-time 2023-11-09T17:08:20.705000+00:00 \
--import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}

    Di seguito è riportata una risposta di esempio.

    {
   "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
   "Destinations": [
        "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
    ],
   "EndEventTime": "2023-11-09T17:08:20.705000+00:00",
   "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1",
   "ImportSource": { 
      "S3": { 
         "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds",
         "S3BucketRegion":"us-east-1",
         "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/"
      }
   },
   "ImportStatus": "INITIALIZING",
   "StartEventTime": "2023-08-11T16:08:12.934000+00:00",
   "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00"
}

  3. Esegui il comando get-import per ottenere informazioni sull'importazione.

    aws cloudtrail get-import --import-id import-id

    Di seguito è riportata una risposta di esempio.

    {
    "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE",
    "Destinations": [
        "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
    ],
    "ImportSource": {
        "S3": {
            "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/",
            "S3BucketRegion":"us-east-1",
            "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"
        }
    },
    "StartEventTime": "2023-08-11T16:08:12.934000+00:00",
    "EndEventTime": "2023-11-09T17:08:20.705000+00:00",
    "ImportStatus": "COMPLETED",
    "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
    "ImportStatistics": {
        "PrefixesFound": 1548,
        "PrefixesCompleted": 1548,
        "FilesCompleted": 92845,
        "EventsCompleted": 577249,
        "FailedEntries": 0
    }
}

    L'importazione termina con ImportStatus su COMPLETED se non si sono verificati errori o su FAILED se si sono verificati errori.

    Se l'importazione ha registrato FailedEntries, puoi eseguire il comando list-import-failures per restituire un elenco di errori.

    aws cloudtrail list-import-failures --import-id import-id

    Per riprovare un'importazione che ha registrato errori, esegui il comando start-import solo con il parametro --import-id. Quando riprovi un'importazione, CloudTrail riprende l'importazione nella posizione in cui si è verificato l'errore.

    aws cloudtrail start-import --import-id import-id