As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Importe eventos de trilha para um armazenamento de dados de eventos com o AWS CLI
Esta seção mostra como criar e configurar um armazenamento de dados de eventos executando o comando [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html) e como importar os eventos para esse armazenamento usando o comando [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html). Para obter mais informações sobre a importação de eventos de trilhas, consulte [Copiar eventos de trilhas para um armazenamento de dados de eventos](cloudtrail-copy-trail-to-lake-eds.md).
## Preparando-se para importar eventos de trilhas
Antes de importar eventos de trilha, faça os seguintes preparativos.
+ Certifique-se de ter um perfil com as [permissões necessárias](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam) para importar eventos de trilhas para um armazenamento de dados de eventos.
+ Determine o valor de [--billing-mode](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) que você deseja especificar para o armazenamento de dados de eventos. O `--billing-mode` determina o custo de ingestão e armazenamento de eventos e o período de retenção padrão e máximo para o armazenamento de dados de eventos.
Ao importar eventos de trilha para o CloudTrail Lake, CloudTrail descompacta os registros armazenados no formato gzip (compactado). Em seguida, CloudTrail copia os eventos contidos nos registros para seu armazenamento de dados de eventos. O tamanho dos dados não compactados pode ser maior do que o tamanho real do armazenamento do Amazon S3. Para obter uma estimativa geral do tamanho dos dados não compactados, multiplique o tamanho dos registros no bucket do S3 por 10. Você pode usar essa estimativa para escolher o valor de `--billing-mode` para seu caso de uso.
+ Determine o valor que você deseja especificar para `--retention-period` o. CloudTrail não copiará um evento se ele `eventTime` for mais antigo do que o período de retenção especificado.
Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados de eventos, conforme demonstrado nesta equação:
**Período de retenção** = *oldest-event-in-days* \$1 *number-days-to-retain*
Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias.
+ Decida se deseja usar o armazenamento de dados de eventos para analisar quaisquer eventos futuros. Se você não quiser ingerir nenhum evento futuro, inclua o parâmetro `--no-start-ingestion` ao criar o armazenamento de dados de eventos. Por padrão, o armazenamento de dados de eventos começa a ingerir eventos assim que é criado.
## Para criar um armazenamento de dados de eventos e importar eventos de trilha para esse armazenamento de dados de eventos
1. Execute o comando **create-event-data-store** para criar um armazenamento de dados de eventos. Neste exemplo, `--retention-period` é definido como `120` porque o evento mais antigo que está sendo copiado tem 90 dias e queremos reter os eventos por 30 dias. O parâmetro `--no-start-ingestion` é definido porque não queremos ingerir nenhum evento futuro. Neste exemplo, `--billing-mode` não foi definido, porque estamos usando o valor padrão `EXTENDABLE_RETENTION_PRICING`, já que esperamos ingerir menos de 25 TB de dados de eventos.
**nota**
Se você estiver criando um armazenamento de dados de eventos para substituir sua trilha, recomendamos configurar `--advanced-event-selectors` para corresponder aos seletores de eventos da sua trilha para garantir que você tenha a mesma cobertura de eventos. Por padrão, os armazenamentos de dados de eventos registram todos os eventos de gerenciamento.
```
aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestion
```
Esta é uma resposta de exemplo:
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
O `Status` inicial é `CREATED` para que executemos o comando **get-event-data-store** para verificar se a ingestão foi interrompida.
```
aws cloudtrail get-event-data-store --event-data-store eds-id
```
A resposta mostra que `Status` agora é`STOPPED_INGESTION`, o que indica que o armazenamento de dados de eventos não está ingerindo eventos ao vivo.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "STOPPED_INGESTION",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
1. Execute o comando **start-import** para importar eventos de trilha para o armazenamento de dados de eventos criado na etapa 1. Especifique o ARN (ou sufixo de ID do ARN) do armazenamento de dados de eventos como o valor para o parâmetro `--destinations`. Para `--start-event-time` especificar o `eventTime` para o evento mais antigo que você deseja copiar, e para `--end-event-time` especificar o `eventTime` do evento mais recente que você deseja copiar. Para `--import-source` especificar o URI do S3 para o bucket do S3 contendo seus registros de trilha, o do bucket do S3 e o ARN da função usada Região da AWS para importar eventos de trilha.
```
aws cloudtrail start-import \
--destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \
--start-event-time 2023-08-11T16:08:12.934000+00:00 \
--end-event-time 2023-11-09T17:08:20.705000+00:00 \
--import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}
```
O seguinte é um exemplo de resposta.
```
{
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1",
"ImportSource": {
"S3": {
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds",
"S3BucketRegion":"us-east-1",
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/"
}
},
"ImportStatus": "INITIALIZING",
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00"
}
```
1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html) para obter informações sobre a importação.
```
aws cloudtrail get-import --import-id import-id
```
O seguinte é um exemplo de resposta.
```
{
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"ImportSource": {
"S3": {
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/",
"S3BucketRegion":"us-east-1",
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"
}
},
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportStatus": "COMPLETED",
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"ImportStatistics": {
"PrefixesFound": 1548,
"PrefixesCompleted": 1548,
"FilesCompleted": 92845,
"EventsCompleted": 577249,
"FailedEntries": 0
}
}
```
Uma importação termina com um `ImportStatus` de `COMPLETED`, se não houve falhas, ou `FAILED`, se houve falhas.
Se a importação teve `FailedEntries`, você pode executar o comando [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html) para retornar uma lista de falhas.
```
aws cloudtrail list-import-failures --import-id import-id
```
Para repetir uma importação que teve falhas, execute o comando **start-import** somente com o parâmetro `--import-id`. Quando você repete uma importação, a importação é CloudTrail retomada no local em que a falha ocorreu.
```
aws cloudtrail start-import --import-id import-id
```