기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 를 사용하여 추적 이벤트를 이벤트 데이터 스토어로 가져오기 AWS CLI
이 섹션에서는 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html) 명령을 실행하여 이벤트 데이터 저장소를 생성 및 구성한 다음, [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html) 명령을 사용하여 해당 이벤트 데이터 저장소로 이벤트를 가져오는 방법을 보여줍니다. 추적 이벤트 가져오기에 대한 자세한 내용은 [추적 이벤트를 이벤트 데이터 스토어에 복사](cloudtrail-copy-trail-to-lake-eds.md) 섹션을 참조하세요.
## 추적 이벤트 가져오기 준비
추적 이벤트를 가져오기 전에 다음 사항을 준비하세요.
+ 추적 이벤트를 이벤트 데이터 스토어에 가져오는 데 [필요한 권한](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam)을 가진 역할을 가지고 있어야 합니다.
+ 이벤트 데이터 스토어에 지정할 [--billing-mode](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) 값을 결정합니다. `--billing-mode`는 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간을 결정합니다.
CloudTrail Lake로 추적 이벤트를 가져오면 CloudTrail은 gzip(압축) 형식으로 저장된 로그의 압축을 풉니다. 그런 다음 CloudTrail은 로그에 포함된 이벤트를 이벤트 데이터 스토어에 복사합니다. 압축되지 않은 데이터의 크기는 실제 Amazon S3 스토리지 크기보다 클 수 있습니다. 압축되지 않은 데이터 크기에 대한 일반적인 추정치를 구하려면, S3 버킷의 로그 크기에 10을 곱합니다. 이 추정치를 사용하여 사용 사례에 맞는 `--billing-mode` 값을 선택할 수 있습니다.
+ `--retention-period`에 지정할 값을 결정합니다. CloudTrail은 `eventTime`이 지정된 보존 기간보다 오래되었다면, 이벤트를 복사하지 않습니다.
적절한 보존 기간을 결정하려면 이 수식에 표시된 대로 복사하려는 가장 오래된 이벤트와 이벤트 데이터 스토어에 이벤트를 유지할 일수의 합계를 구합니다.
**보존 기간** = *oldest-event-in-days* \$1 *number-days-to-retain*
예를 들어, 복사 중인 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.
+ 이벤트 데이터 스토어를 사용하여 향후 이벤트를 분석할지 여부를 결정합니다. 향후 이벤트를 모으지 않으려면 이벤트 데이터 스토어를 생성할 때 `--no-start-ingestion` 파라미터를 포함합니다. 기본적으로 이벤트 데이터 스토어는 생성될 때 이벤트 모으기를 시작합니다.
## 이벤트 데이터 스토어 생성 및 해당 이벤트 데이터 스토어로 추적 이벤트 가져오기
1. **create-event-data-store** 명령을 실행하여 새 이벤트 데이터 스토어를 생성합니다. 이 예제에서는 복사 중인 가장 오래된 이벤트가 90일이 되었고 이벤트를 30일 동안 유지하려고 하기 때문에 `--retention-period`가 `120`으로 설정됩니다. 향후 이벤트를 모으고 싶지 않기 때문에 `--no-start-ingestion` 파라미터가 설정되었습니다. 이 예제에서는 25TB 미만의 이벤트 데이터를 모을 것으로 예상되어 기본값 `EXTENDABLE_RETENTION_PRICING`을 사용하고 있기 때문에 `--billing-mode`가 설정되지 않았습니다.
**참고**
추적을 대체할 이벤트 데이터 스토어를 생성하는 경우 동일한 이벤트 범위를 보장하기 위해 추적의 이벤트 선택기와 일치하도록 `--advanced-event-selectors`를 구성하는 것이 좋습니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다.
```
aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestion
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
초기 `Status`는 `CREATED`이므로 **get-event-data-store** 명령을 실행하여 모으기가 중지되었는지 확인합니다.
```
aws cloudtrail get-event-data-store --event-data-store eds-id
```
응답에는 현재 `Status`가 `STOPPED_INGESTION`으로 표시됩니다. 이는 이벤트 데이터 스토어가 라이브 이벤트를 모으고 있지 않음을 나타냅니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "STOPPED_INGESTION",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
1. **start-import** 명령을 실행하여 추적 이벤트를 1단계에서 생성된 이벤트 데이터 스토어로 가져옵니다. `--destinations` 파라미터의 값으로 이벤트 데이터 스토어의 ARN 또는 ARN의 ID 접미사를 지정합니다. `--start-event-time`에는 복사하려는 가장 오래된 이벤트의 `eventTime`을 지정하고 `--end-event-time`에는 복사하려는 최신 이벤트의 `eventTime`을 지정합니다. 에는 추적 로그가 포함된 SS3 버킷의 S3 URI, S3 버킷 AWS 리전 의 , 추적 이벤트를 가져오는 데 사용되는 역할의 ARN을 `--import-source` 지정합니다.
```
aws cloudtrail start-import \
--destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \
--start-event-time 2023-08-11T16:08:12.934000+00:00 \
--end-event-time 2023-11-09T17:08:20.705000+00:00 \
--import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}
```
다음은 응답의 예입니다.
```
{
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1",
"ImportSource": {
"S3": {
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds",
"S3BucketRegion":"us-east-1",
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/"
}
},
"ImportStatus": "INITIALIZING",
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00"
}
```
1. [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html) 명령을 실행하여 가져오기에 대한 정보를 가져옵니다.
```
aws cloudtrail get-import --import-id import-id
```
다음은 응답의 예입니다.
```
{
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"ImportSource": {
"S3": {
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/",
"S3BucketRegion":"us-east-1",
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"
}
},
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportStatus": "COMPLETED",
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"ImportStatistics": {
"PrefixesFound": 1548,
"PrefixesCompleted": 1548,
"FilesCompleted": 92845,
"EventsCompleted": 577249,
"FailedEntries": 0
}
}
```
가져오기는 실패가 없는 경우 `ImportStatus`가 `COMPLETED`로, 실패가 있는 경우 `FAILED`로 완료됩니다.
가져오기에 `FailedEntries`가 있는 경우 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html) 명령을 실행하여 실패 목록을 반환할 수 있습니다.
```
aws cloudtrail list-import-failures --import-id import-id
```
실패가 있는 가져오기를 재시도하려면 `--import-id` 파라미터만 사용하여 **start-import** 명령을 실행합니다. 가져오기를 재시도하면 CloudTrail은 오류가 발생한 위치에서 가져오기를 재개합니다.
```
aws cloudtrail start-import --import-id import-id
```