本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用主控台為 CloudTrail 事件建立事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
CloudTrail 事件的事件資料存放區可以包含 CloudTrail 管理事件、資料事件和網路活動事件。如果您選擇**一年可延長保留定價**選項,則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年);如果您選擇**七年保留定價**選項,則最多可保留 2,557 天 (約 7 年)。
CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的[定價選項](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/) 和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
## 若要為 CloudTrail 事件建立事件資料存放區
使用此程序建立記錄 CloudTrail 管理事件、資料事件或網路活動事件的事件資料存放區。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇 **Create event data store** (建立事件資料存放區)。
1. 在**設定事件資料存放區**頁面上的**一般詳細資訊**中,輸入事件資料存放區的名稱。名稱為必填。
1. 選擇您想用於事件資料存放區的**定價選項**。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
以下為可用的選項:
+ **一年可延長保留定價** – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天之後,延長保留將依用量計費定價。此為預設選項。
+ **預設保留期:**366 天
+ **最長保留期:**3,653 天
+ **七年保留定價** – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。
+ **預設保留期:**2,557 天
+ **最長保留期:**2,557 天
1. 指定事件資料存放區的保留期。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是**七年保留定價**選項,則可介於 7 天到 2,557 天 (約七年) 之間。
CloudTrail Lake 會透過檢查事件的 `eventTime` 是否在指定保留期以內,決定是否要保留該事件。例如,如果您指定的保留期為 90 天,CloudTrail 將移除 `eventTime` 早於 90 天的事件。
**注意**
如果您要將追蹤事件複製到此事件資料存放區,CloudTrail 不會複製 `eventTime` 早於指定保留期的事件。若要決定適當的保留期,請加總您要複製的最舊事件所經歷的天數與要在事件資料存放區中保留事件的天數 (**保留期** = *最舊事件所經歷天數* \$1 *保留天數*)。例如,如果您要複製的最舊事件為 45 天前的事件,並希望這些事件在事件資料存放區中再保留 45 天,則可以將保留期設為 90 天。
1. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇**使用我自己的 AWS KMS key**。選擇**新增**以為您 AWS KMS key 建立 ,或選擇**現有**以使用現有的 KMS 金鑰。在 **Enter KMS alias** (輸入 KMS 別名) 中,指定別名,格式為 `alias/`*MyAliasName*。使用您自己的 KMS 金鑰需要您編輯 KMS 金鑰政策,以允許加密和解密您的事件資料存放區。如需詳細資訊,請參閱[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。
**注意**
若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有 KMS 金鑰。
1. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 **Lake 查詢聯合**中選擇**啟用**。聯合可讓您在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中檢視與事件資料存放區相關聯的中繼資料,並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱[聯合事件資料存放區](query-federation.md)。
若要啟用 Lake 查詢聯合,請選擇**啟用**,然後執行下列動作:
1. 選擇要建立新角色還是使用現有的 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時,CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色,請確認該角色的政策可提供[必要的最低許可](query-federation.md#query-federation-permissions-role)。
1. 如果您要建立新角色,請輸入名稱以識別角色。
1. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。
1. (選用) 選擇**啟用資源政策**,將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html),以及委託人可以對事件資料存放區資源執行的動作。
事件資料存放區的資源型政策支援下列動作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
對於[組織事件資料存放區](cloudtrail-lake-organizations.md),CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp),列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。
1. (選用) 在 **Tags** (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策,對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊,請參閱[範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。如需如何在 中使用標籤的詳細資訊 AWS,請參閱[《標記 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*使用者指南》中的標記 AWS 資源*。
1. 選擇 **Next** (下一步) 以設定事件資料存放區。
1. 在**選擇事件**頁面上,選擇 **AWS 事件**,然後選擇 **CloudTrail 事件**。
1. 針對 **CloudTrail events** (CloudTrail 事件),請至少選擇一種事件類型。根據預設,**管理事件**已選取。您可以將[管理事件](logging-management-events-with-cloudtrail.md)、[資料事件](logging-data-events-with-cloudtrail.md)和[網路活動事件](logging-network-events-with-cloudtrail.md)新增至事件資料存放區。
1. (選擇性) 如果您要從現有追蹤複製事件,以對過去事件執行查詢,請選擇 **Copy trail events** (複製追蹤事件)。若要將追蹤事件複製到組織事件資料存放區,您必須使用組織的管理帳戶。委派的管理員帳戶無法將追蹤事件複製到組織事件資料存放區。如需複製追蹤事件考量事項的詳細資訊,請參閱 [複製追蹤事件的考量](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake)。
1. 若要讓事件資料存放區從 AWS Organizations 組織中的所有帳戶收集事件,請選取 **Enable for all accounts in my organization** (啟用我組織中的所有帳戶)。您必須登入到組織的管理帳戶或委派的管理員帳戶,才能建立為組織收集事件的事件資料存放區。
**注意**
若要複製追蹤事件或啟用 Insights 事件,您必須登入到組織的管理帳戶。
1. 展開**其他設定**以選擇您希望事件資料存放區收集所有事件 AWS 區域,還是僅收集目前事件 AWS 區域,然後選擇事件資料存放區是否擷取事件。依預設,您的事件資料存放區會從帳戶的所有區域收集事件,而且會在建立時開始擷取事件。
1. 選取**在我的事件資料存放區中僅包含目前區域**以僅包括在目前區域中記錄的事件。如果未選擇此選項,則您的事件資料存放區將包含來自所有區域的事件。
1. 如果您不希望事件資料存放區開始擷取事件,則取消選取**擷取事件**。例如,如果您要複製追蹤事件,並且不希望事件資料存放區包含任何未來事件,您可能想要取消選取**擷取事件**。依預設,事件資料存放區會在建立時開始擷取事件。
1. 如果您的事件資料存放區包括管理事件,您可以選擇下列選項。如需有關管理事件的詳細資訊,請參閱 [記錄管理事件](logging-management-events-with-cloudtrail.md)。
1. 選擇**簡易事件集合**或**進階事件集合**:
+ 如果您想要記錄所有事件、僅記錄讀取事件或僅記錄寫入事件,請選擇**簡易事件收集**。您也可以選擇排除 AWS Key Management Service 和 Amazon RDS Data API 事件。
+ 如果您想要根據**進階事件選取器欄位的值包含或排除管理事件,包括 、、、 和 欄位,請選擇進階事件集合**。 `eventName` `eventType` `eventSource` `sessionCredentialFromConsole` `userIdentity.arn`
1. 如果您選擇**簡易事件集合**,請選擇是否要記錄所有事件、僅記錄讀取事件,或僅記錄寫入事件。您也可以選擇排除 AWS KMS 和 Amazon RDS Data API 事件。
1. 如果您選取**進階事件集合**,請進行下列選擇:
1. 在**日誌選取器範本**中,選擇預先定義的範本,或選擇**自訂**以根據進階事件選取器欄位值建置自訂組態。
您可以從下列預先定義的範本中選擇:
+ **記錄所有事件**:選擇此範本記錄所有事件。
+ **僅記錄讀取事件** – 選擇此範本以僅記錄讀取事件。唯讀事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。
+ **僅記錄寫入事件** – 選擇此範本僅記錄寫入事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **僅記錄 AWS 管理主控台 事件** – 選擇此範本僅記錄源自 的事件 AWS 管理主控台。
+ **排除 AWS 服務 啟動的事件** – 選擇此範本以排除具有 `eventType`之 AWS 服務 的事件`AwsServiceEvent`,以及使用連結角色 (SLRs) AWS 服務啟動的事件。
1. (選用) 在**選取器名稱**中,輸入用於識別選取器的名稱。選擇器名稱是進階事件選擇器的描述性名稱,例如「從 AWS 管理主控台 工作階段記錄管理事件」。選取器名稱會被作為 `Name` 列在進階事件選取器中,您在展開 **JSON 檢視**時可檢視該名稱。
1. 如果您選擇**自訂**,在**進階事件選取**器中,會根據進階事件選取器欄位值建立表達式。
**注意**
選取器不支援使用萬用字元,例如 `*` 。若要將多個值與單一條件比對,您可以使用 `StartsWith`、`NotStartsWith`、 `EndsWith`或 `NotEndsWith`來明確比對事件欄位的開頭或結尾。
1. 從下列欄位選取。
+ **`readOnly`** – `readOnly`可設定為**等於** `true`或 的值`false`。設定為 時`false`,事件資料存放區會記錄唯讀管理事件。唯讀管理事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。若要同時記錄**讀取**和**寫入**事件,請勿新增`readOnly`選取器。
+ **`eventName`** – `eventName` 可以使用任何運算子。您可以使用它來包含或排除任何管理事件,例如 `CreateAccessPoint`或 `GetAccessPoint`。
+ **`userIdentity.arn`** – 包含或排除特定 IAM 身分所採取動作的事件。如需更多詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`sessionCredentialFromConsole`** – 包含或排除源自 AWS 管理主控台 工作階段的事件。此欄位可以設定為**等於**或不**等於** 的值`true`。
+ **`eventSource`** – 您可以使用它來包含或排除特定事件來源。`eventSource` 通常是簡短形式的服務名稱,不含空格加 `.amazonaws.com`。例如,您可以將`eventSource`**等於 **設定為僅`ec2.amazonaws.com`記錄 Amazon EC2 管理事件。
+ **`eventType`** – 要包含或排除的 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)。例如,您可以將此欄位設定為**不等於**`AwsServiceEvent`排除[AWS 服務 事件](non-api-aws-service-events.md)。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。
如需有關 CloudTrail 如何評估多個條件的資訊,請參閱 [CloudTrail 如何評估欄位的多項條件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
對於事件資料存放區上的所有選取器,您最多可以有 500 個值。這包括一個選擇器的多個值的陣列,如 `eventName`。如果所有選擇器都有單個值,則最多可以有 500 個條件新增至選擇器。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 選擇**啟用 Insights 事件擷取**以啟用 Insights。若要啟用 Insights,您需要設定[目的地事件資料存放區](query-event-data-store-insights.md#query-event-data-store-insights-procedure),以便依據此事件資料存放區中的管理事件活動收集 Insights 事件。
如果您選擇啟用 Insights,請執行下列動作。
1. 選擇將記錄 Insights 事件的目的地事件存放區。目的地事件資料存放區將依據此事件資料存放區中的管理事件活動收集 Insights 事件。如需有關如何建立目的地事件資料存放區的資訊,請參閱 [若要建立會記錄 Insights 事件的目的地事件資料存放區](query-event-data-store-insights.md#query-event-data-store-insights-procedure)。
1. 選擇 Insights 類型。您可以選擇 **API 呼叫率**、**API 錯誤率**,或兩者。您必須記錄**寫入**管理事件,以便記錄 **API 呼叫率**的 Insights 事件。您必須記錄**讀取**或**寫入**管理事件,以便記錄 **API 錯誤率**的 Insights 事件。
1. 若要在事件資料存放區中包含資料事件,請執行以下操作。
1. 選擇資源類型。這是記錄資料事件的 AWS 服務 和資源。
1. 在**日誌選取器範本**中,選擇預先定義的範本,或選擇**自訂**,根據進階事件選取器欄位的值來定義您自己的事件收集條件。
您可以從下列預先定義的範本中選擇:
+ **記錄所有事件**:選擇此範本記錄所有事件。
+ **僅記錄讀取事件** – 選擇此範本以僅記錄讀取事件。唯讀事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。
+ **僅記錄寫入事件** – 選擇此範本以僅記錄寫入事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **僅記錄 AWS 管理主控台 事件** – 選擇此範本僅記錄源自 的事件 AWS 管理主控台。
+ **排除 AWS 服務 啟動的事件** – 選擇此範本以排除具有 `eventType`之 AWS 服務 的事件`AwsServiceEvent`,以及使用連結角色 (SLRs) AWS 服務啟動的事件。
1. (選用) 在**選取器名稱**中,輸入用於識別選取器的名稱。選取器名稱是進階事件選擇器的描述性名稱,例如「僅為兩個 S3 儲存貯體記錄資料事件」。選取器名稱會被作為 `Name` 列在進階事件選取器中,您在展開 **JSON 檢視**時可檢視該名稱。
1. 如果您選取**自訂**,在**進階事件選取**器中,會根據進階事件選取器欄位的值來建置表達式。
**注意**
選取器不支援使用萬用字元,例如 `*` 。若要將多個值與單一條件比對,您可以使用 `StartsWith`、`NotStartsWith`、 `EndsWith`或 `NotEndsWith`來明確比對事件欄位的開頭或結尾。
1. 從下列欄位選取。
+ **`readOnly`** - `readOnly`可以設定為**等於** `true`或 的值`false`。唯讀資料事件是不會變更資源狀態的事件,例如 `Get*` 或 `Describe*` 事件. 寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。若要同時記錄 `read` 和 `write` 事件,請勿新增 `readOnly` 選擇器。
+ **`eventName`**-`eventName`可以使用任何運算子。您可以使用它來包含或排除任何記錄到 CloudTrail 的資料事件,例如 `PutBucket`、`GetItem` 或 `GetSnapshotBlock`。
+ **`eventSource`** – 要包含或排除的事件來源。此欄位可以使用任何運算子。
+ **eventType** – 要納入或排除的事件類型。例如,您可以將此欄位設定為**不等於**`AwsServiceEvent`排除 [AWS 服務 事件](non-api-aws-service-events.md)。如需事件類型的清單,請參閱 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)中的 [CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)。
+ **sessionCredentialFromConsole** – 包含或排除源自 AWS 管理主控台 工作階段的事件。此欄位可以設定為**等於**或不**等於** 的值`true`。
+ **userIdentity.arn** – 針對特定 IAM 身分執行的動作納入或排除事件。如需更多詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`resources.ARN`** - 您可以將任何運算子與 搭配使用`resources.ARN`,但如果您使用**等於**或不**等於**,則該值必須完全符合您在範本中指定之類型之有效資源的 ARN,做為 的值`resources.type`。
**注意**
您無法使用 `resources.ARN` 欄位來篩選沒有 ARNs的資源類型。
如需資料事件資源 ARN 格式的詳細資訊,請參閱*《服務授權參考*》中的 [的動作、資源和條件索引鍵 AWS 服務](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。例如,若要從記錄於事件資料存放區的資料事件中排除兩個 S3 儲存貯體的資料事件,您可以將 欄位設定為 **resources.ARN**,設定 的運算子**不會以 開頭**,然後貼入您不想記錄事件的 S3 儲存貯體 ARN。
若要新增第二個 S3 儲存貯體,請選擇 **\$1 條件**,然後重複上述指令,在 ARN 中粘貼或瀏覽不同的儲存貯體。
如需有關 CloudTrail 如何評估多個條件的資訊,請參閱 [CloudTrail 如何評估欄位的多項條件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
對於事件資料存放區上的所有選取器,您最多可以有 500 個值。這包括一個選擇器的多個值的陣列,如 `eventName`。如果所有選擇器都有單個值,則最多可以有 500 個條件新增至選擇器。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。例如,不要在一個選擇器中指定 ARN 等於一個值,然後指定 ARN 不等於另一個選取器中的相同值。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 若要新增要記錄資料事件的其他資源類型,請選擇**新增資料事件類型**。重複步驟 a 到此步驟,以設定資源類型的進階事件選取器。
1. 若要在您的事件資料存放區中包含網路活動事件,請執行下列動作。
1. 從**網路活動事件來源**中,選擇網路活動事件的來源。
1. 在**日誌選取器範本**中,選擇範本。您可以選擇記錄所有網路活動事件、記錄所有網路活動存取遭拒的事件,或選擇**自訂**以建置自訂日誌選取器來篩選多個欄位,例如 `eventName`和 `vpcEndpointId`。
1. (選用) 輸入名稱以識別選取器。選擇器名稱在進階事件選擇器中列為**名稱**,如果您展開 **JSON 檢視**,則可檢視。
1. 在**進階事件選取器**中,選擇**欄位**、**運算子**和**值**的值來建置表達式。如果您使用預先定義的日誌範本,則可略過此步驟。
1. 對於排除或包含網路活動事件,您可以在 主控台中選擇下列欄位。
+ **`eventName`** – 您可以將任何運算子與 搭配使用`eventName`。您可以使用它來包含或排除任何事件,例如 `CreateKey`。
+ **`errorCode`** – 您可以使用它來篩選錯誤碼。目前,唯一支援的`errorCode`是 `VpceAccessDenied`。
+ **`vpcEndpointId`** – 識別操作通過的 VPC 端點。您可以搭配 使用任何運算子`vpcEndpointId`。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。
1. 若要新增要記錄網路活動事件的其他事件來源,請選擇**新增網路活動事件選取器**。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 若要將現有追蹤事件複製到您的事件資料存放區,請執行下列操作。
1. 選擇您要複製的追蹤。根據預設,CloudTrail 只會複製包含在 S3 儲存貯體`CloudTrail`字首和`CloudTrail`字首內的字首中的 CloudTrail 事件,而不會檢查其他服務的字首 AWS 。如果您要複製其他字首中包含的 CloudTrail 事件,請選擇 **Enter S3 URI** (輸入 S3 URI),然後選擇 **Browse S3** (瀏覽 S3) 以瀏覽至字首。如果追蹤的來源 S3 儲存貯體使用 KMS 金鑰進行資料加密,請確保 KMS 金鑰政策允許 CloudTrail 解密資料。如果您的來源 S3 儲存貯體使用多個 KMS 金鑰,則必須更新每個金鑰的政策以允許 CloudTrail 解密儲存貯體中的資料。如需更新 KMS 金鑰政策的詳細資訊,請參閱 [用於解密來源 S3 儲存貯體中資料的 KMS 金鑰政策](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms)。
1. 選擇複製事件的時間範圍。CloudTrail 會在嘗試複製追蹤事件之前檢查字首和日誌檔案名稱,以確認名稱包含介於所選開始日期和結束日期之間的日期。您可以選擇 **Relative range** (相對範圍) 或 **Absolute range** (絕對範圍)。若要避免來源追蹤和目的地事件資料存放區之間發生重複事件,請選擇早於事件資料存放區建立日期的時間範圍。
**注意**
CloudTrail 只會複製 `eventTime` 在事件資料存放區保留期內的追蹤事件。例如,如果事件資料存放區的保留期為 90 天,則 CloudTrail 將不會複製 `eventTime` 早於 90 天的任何追蹤事件。
+ 如果選擇**相對範圍**,您可以選擇複製過去 6 個月、1 年、2 年、7 年或自訂範圍內記錄的事件。CloudTrail 會複製所選時段內記錄的事件。
+ 如果選擇 **Absolute range** (絕對範圍),您可以選擇特定的開始和結束日期。CloudTrail 會複製所選開始日期和結束日期之間發生的事件。
1. 對於 **Permissions** (許可),從下列 IAM 角色選項中選擇。如果您選擇現有的 IAM 角色,請確認 IAM 角色政策提供必要的許可。如需更新 IAM 角色許可的詳細資訊,請參閱[複製追蹤事件的 IAM 許可](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam)。
+ 選擇 **Create a new role (recommended)** (建立新角色 (建議使用)) 以建立新的 IAM 角色。對於 **Enter IAM role name** (輸入 IAM 角色名稱),請輸入角色的名稱。CloudTrail 會自動為此新角色建立必要的許可。
+ 選擇**使用自訂 IAM 角色 ARN**,以使用未列出的自訂 IAM 角色。對於 **Enter IAM role ARN** (輸入 IAM 角色 ARN),輸入 IAM ARN。
+ 從下拉式清單中選擇現有的 IAM 角色。
1. 選擇**下一步**,透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富您的事件。
1. 在**富集事件**中,新增最多 50 個資源標籤金鑰和 50 個 IAM 全域條件金鑰,以提供事件的其他中繼資料。這可協助您分類和分組相關事件。
如果您新增資源標籤索引鍵,CloudTrail 將包含與 API 呼叫中所涉及資源相關聯的所選標籤索引鍵。與已刪除資源相關的 API 事件將不會有資源標籤。
如果您新增 IAM 全域條件金鑰,CloudTrail 將包含授權程序期間評估之所選條件金鑰的相關資訊,包括委託人、工作階段、網路和請求本身的其他詳細資訊。
資源標籤索引鍵和 IAM 全域條件索引鍵的相關資訊會顯示在事件的 `eventContext`欄位中。如需詳細資訊,請參閱[透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富 CloudTrail 事件](cloudtrail-context-events.md)。
**注意**
如果事件包含不屬於事件區域的資源,CloudTrail 將不會填入此資源的標籤,因為標籤擷取僅限於事件區域。
1. 選擇**展開事件大小**,將事件承載從 256 KB 擴展到 1 MB。當您新增資源標籤金鑰或 IAM 全域條件金鑰時,此選項會自動啟用,以確保所有新增的金鑰都包含在事件中。
擴展事件大小有助於分析和疑難排解事件,因為它可讓您查看下列欄位的完整內容,只要事件承載小於 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
如需這些欄位的詳細資訊,請參閱 [CloudTrail 記錄內容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
1. 選擇 **Next** (下一步) 以檢閱您的選項。
1. 在 **Review and create** (檢閱和建立) 頁面上,檢閱您的選擇。選擇 **Edit** (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 **Create event data store** (建立事件資料存放區)。
1. 新的事件資料存放區出現在**事件資料存放區**頁面上的**事件資料存放區**表格中。
從此開始,事件資料存放區將擷取與其進階事件選取器相符的事件 (如果您保持選取**擷取事件**選項)。建立事件資料存放區之前發生的事件,不會儲存在事件資料存放區中,除非您選擇複製現有追蹤事件。
您現在可以對新事件資料存放區執行查詢。**Sample queries** (範例查詢) 索引標籤提供範例查詢,以協助您開始使用。如需建立及編輯查詢的詳細資訊,請參閱 [使用 CloudTrail 主控台建立或編輯查詢](query-create-edit-query.md)。
您也可以檢視[受管儀表板](lake-dashboard-managed.md),或[建立自訂儀表板](lake-dashboard-custom.md)以視覺化事件趨勢。如需有關 Lake 儀表板的詳細資訊,請參閱 [CloudTrail Lake 儀表板](lake-dashboard.md)。