Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher
<a name="cloudtrail-copy-trail-to-lake-eds"></a>

**Anmerkung**  
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).

Sie können Trail-Ereignisse in einen CloudTrail Lake Event Data Store kopieren, um eine point-in-time Momentaufnahme der im Trail protokollierten Ereignisse zu erstellen. Das Kopieren der Ereignisse eines Trails beeinträchtigt nicht die Fähigkeit des Trails, Ereignisse zu protokollieren, und ändert den Trail in keiner Weise.

Sie können Trail-Ereignisse in einen vorhandenen, für CloudTrail Ereignisse konfigurierten Ereignisdatenspeicher kopieren, oder Sie können einen neuen CloudTrail Ereignisdatenspeicher erstellen und bei der Erstellung des Ereignisdatenspeichers die Option **Trail-Ereignisse kopieren** auswählen. Weitere Informationen zum Kopieren von Trail-Ereignissen in einen bestehenden Ereignisdatenspeicher finden Sie unter [Kopieren Sie Trail-Ereignisse mit der Konsole in einen vorhandenen Ereignisdatenspeicher](cloudtrail-copy-trail-events-lake.md). Weitere Informationen zum Erstellen eines neuen Ereignisdatenspeichers finden Sie unter [Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse](query-event-data-store-cloudtrail.md). 

Wenn Sie Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Trail-Ereignisse lassen sich nicht mit dem Konto eines delegierten Administrators einer Organisation kopieren.

CloudTrail Für Datenspeicher von Lake Events fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/) und[Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).

Wenn Sie Trail-Ereignisse in einen CloudTrail Lake-Ereignisdatenspeicher kopieren, fallen Gebühren an, die auf der Menge der unkomprimierten Daten basieren, die der Ereignisdatenspeicher aufnimmt.

Wenn Sie Trail-Ereignisse nach CloudTrail Lake kopieren, werden die im komprimierten CloudTrail GZIP-Format gespeicherten Protokolle entpackt und anschließend die in den Protokollen enthaltenen Ereignisse in Ihren Ereignisdatenspeicher kopiert. Die Größe der unkomprimierten Daten könnte größer sein als die tatsächliche S3-Speichergröße. Um eine allgemeine Schätzung der Größe der unkomprimierten Daten zu erhalten, können Sie die Größe der Protokolle im S3-Bucket mit 10 multiplizieren.

Sie können die Kosten senken, indem Sie einen engeren Zeitraum für die kopierten Ereignisse angeben. Wenn Sie planen, den Ereignisdatenspeicher nur zum Abfragen Ihrer kopierten Ereignisse zu verwenden, können Sie die Ereignisaufnahme deaktivieren, um zu vermeiden, dass für zukünftige Ereignisse Gebühren anfallen. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).

**Szenarien**

In der folgenden Tabelle werden einige gängige Szenarien für das Kopieren von Trail-Ereignissen beschrieben. Außerdem wird beschrieben, wie Sie die einzelnen Szenarien mithilfe der Konsole ausführen.


| Szenario | Wie erreiche ich das in der Konsole? | 
| --- | --- | 
|  Analysieren und fragen Sie historische Trail-Ereignisse in CloudTrail Lake ab, ohne neue Ereignisse aufzunehmen  |  Erstellen Sie einen [neuen Ereignisdatenspeicher](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html#query-event-data-store-cloudtrail-procedure) und wählen Sie im Rahmen der Erstellung des Ereignisdatenspeichers die Option **Trail-Ereignisse kopieren** aus. Deaktivieren Sie beim Erstellen des Ereignisdatenspeichers die Option **Ereignisse aufnehmen** (Schritt 15 des Verfahrens), um sicherzustellen, dass der Ereignisdatenspeicher nur die Verlaufsereignisse für Ihren Trail und keine zukünftigen Ereignisse enthält.  | 
|  Ersetzen Sie Ihren vorhandenen Trail durch einen CloudTrail Lake Event Data Store  |  Erstellen Sie einen Ereignisdatenspeicher mit den gleichen Ereignisselektoren wie bei Ihrem Trail, um sicherzustellen, dass der Ereignisdatenspeicher die gleiche Ereignisabdeckung hat wie Ihr Trail.  Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum für die kopierten Ereignisse aus, der vor der Erstellung des Ereignisdatenspeichers liegt. Nachdem Ihr Ereignisdatenspeicher erstellt wurde, können Sie die Protokollierung für den Trail deaktivieren, um zusätzliche Gebühren zu vermeiden.  | 

**Topics**
+ [Überlegungen zum Kopieren von Trail-Ereignissen](#cloudtrail-trail-copy-considerations-lake)
+ [Erforderliche Berechtigungen zum Kopieren von Trail-Ereignissen](#copy-trail-events-permissions)
+ [Kopieren Sie Trail-Ereignisse mit der Konsole in einen vorhandenen Ereignisdatenspeicher](cloudtrail-copy-trail-events-lake.md)
+ [Kopieren Sie Trail-Ereignisse mit der Konsole in einen neuen Ereignisdatenspeicher](scenario-lake-import.md)
+ [Details zur Eventkopie mit der CloudTrail Konsole anzeigen](copy-trail-details.md)

## Überlegungen zum Kopieren von Trail-Ereignissen
<a name="cloudtrail-trail-copy-considerations-lake"></a>

Berücksichtigen Sie beim Kopieren von Trail-Ereignissen die folgenden Faktoren.
+  CloudTrail Verwendet beim Kopieren von Trail-Ereignissen den [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)S3-API-Vorgang, um die Trail-Ereignisse im S3-Quell-Bucket abzurufen. Es gibt einige archivierte Speicherklassen von S3, wie S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts und S3 Intelligent-Tiering Deep Archive, auf die mithilfe von `GetObject` nicht zugegriffen werden kann. Um in diesen archivierten Speicherklassen gespeicherte Trail-Ereignisse zu kopieren, müssen Sie zunächst eine Kopie mithilfe des S3-Vorgangs `RestoreObject` wiederherstellen. Informationen zum Wiederherstellen archivierter Objekte finden Sie unter [Wiederherstellen archivierter Objekte](https://docs.aws.amazon.com/AmazonS3/latest/userguide/restoring-objects.html) im *Benutzerhandbuch von Amazon S3*. 
+  Wenn Sie Trail-Ereignisse in einen Event-Datenspeicher CloudTrail kopieren, werden alle Trail-Ereignisse unabhängig von der Konfiguration der Ereignistypen des Ziel-Event-Datenspeichers, den erweiterten Event-Selektoren oder AWS-Region kopiert. 
+  Bevor Sie Trail-Ereignisse in einen vorhandenen Ereignisdatenspeicher kopieren, stellen Sie sicher, dass die Preisoption und der Aufbewahrungszeitraum des Ereignisdatenspeichers für Ihren Anwendungsfall entsprechend konfiguriert sind. 
  + **Preisoption:** Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen. Weitere Informationen zu Preisoptionen und Details finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Preisoptionen für den Ereignisdatenspeicher](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option).
  + **Aufbewahrungszeitraum:** Der Aufbewahrungszeitraum bestimmt, wie lange Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden. CloudTrail kopiert nur Ereignisse, die `eventTime` innerhalb der Aufbewahrungsfrist des Veranstaltungsdatenspeichers liegen. Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher speichern möchten (**Aufbewahrungszeitraum** = *oldest-event-in-days* \$1*number-days-to-retain*). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher aufbewahren möchten, würden Sie die Aufbewahrungsdauer auf 90 Tage festlegen. 
+ Wenn Sie Trail-Ereignisse zur Untersuchung in einen Ereignisdatenspeicher kopieren und keine zukünftigen Ereignisse aufnehmen möchten, können Sie die Aufnahme in den Ereignisdatenspeicher beenden. Deaktivieren Sie beim Erstellen des Ereignisdatenspeichers die Option **Ereignisse aufnehmen** (Schritt 15 des [Verfahrens](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure)), um sicherzustellen, dass der Ereignisdatenspeicher nur die Verlaufsereignisse für Ihren Trail und keine zukünftigen Ereignisse enthält.
+  Deaktivieren Sie vor dem Kopieren von Trail-Ereignissen alle Zugriffskontrolllisten (ACLs), die an den S3-Quell-Bucket angehängt sind, und aktualisieren Sie die S3-Bucket-Richtlinie für den Zielereignisdatenspeicher. Weitere Informationen zum Aktualisieren der S3-Bucket-Richtlinie finden Sie unter [Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen](cloudtrail-copy-trail-to-lake.md#cloudtrail-copy-trail-events-permissions-s3). Weitere Informationen zur Deaktivierung ACLs finden Sie unter [Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) Bucket. 
+  CloudTrail kopiert nur Trail-Ereignisse aus Gzip-komprimierten Protokolldateien, die sich im S3-Quell-Bucket befinden. CloudTrail kopiert keine Trail-Ereignisse aus unkomprimierten Protokolldateien oder Protokolldateien, die in einem anderen Format als Gzip komprimiert wurden. 
+  Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum für die kopierten Ereignisse aus, der vor der Erstellung des Ereignisdatenspeichers liegt. 
+  Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im `CloudTrail` Präfix des S3-Buckets und die Präfixe innerhalb des `CloudTrail` Präfixes enthalten sind, und überprüft keine Präfixe für andere Dienste. AWS Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, müssen Sie das Präfix beim Kopieren von Trail-Ereignissen auswählen. 
+  Um Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation zu kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Über das Konto eines delegierten Administrators lassen sich Trail-Ereignisse nicht in den Ereignisdatenspeicher einer Organisation kopieren. 

## Erforderliche Berechtigungen zum Kopieren von Trail-Ereignissen
<a name="copy-trail-events-permissions"></a>

Stellen Sie vor dem Kopieren von Trail-Ereignissen sicher, dass Sie über alle erforderlichen Berechtigungen für Ihre IAM-Rolle verfügen. Sie müssen die IAM-Rollenberechtigungen nur aktualisieren, wenn Sie eine vorhandene IAM-Rolle zum Kopieren von Trail-Ereignissen auswählen. Wenn Sie sich dafür entscheiden, eine neue IAM-Rolle zu erstellen, CloudTrail stellt alle erforderlichen Berechtigungen für die Rolle bereit.

Wenn der S3-Quell-Bucket einen KMS-Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie das Entschlüsseln von Daten im Bucket zulässt CloudTrail . Wenn der S3-Quell-Bucket mehrere KMS-Schlüssel verwendet, müssen Sie die Richtlinien der einzelnen Schlüssel aktualisieren, um die Entschlüsselung der Daten im Bucket CloudTrail zu ermöglichen.

**Topics**
+ [IAM-Berechtigungen zum Kopieren von Trail-Ereignissen](#copy-trail-events-permissions-iam)
+ [Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen](#copy-trail-events-permissions-s3)
+ [KMS-Schlüsselrichtlinie zum Entschlüsseln von Daten im S3-Quell-Bucket](#copy-trail-events-permissions-kms)

### IAM-Berechtigungen zum Kopieren von Trail-Ereignissen
<a name="copy-trail-events-permissions-iam"></a>

Beim Kopieren von Trail-Ereignissen haben Sie die Möglichkeit, eine neue IAM-Rolle zu erstellen oder eine vorhandene IAM-Rolle zu verwenden. Wenn Sie eine neue IAM-Rolle auswählen, CloudTrail wird eine IAM-Rolle mit den erforderlichen Berechtigungen erstellt, sodass keine weiteren Maßnahmen Ihrerseits erforderlich sind.

Wenn Sie sich für eine bestehende Rolle entscheiden, stellen Sie sicher, dass die Richtlinien der IAM-Rolle das Kopieren von Trail-Ereignissen aus dem S3-Quell-Bucket zulassen CloudTrail . Dieser Abschnitt enthält Beispiele für die erforderlichen IAM-Rollenberechtigungen und Vertrauensrichtlinien.

Das folgende Beispiel enthält die Berechtigungsrichtlinie, die es ermöglicht, Trail-Ereignisse aus dem S3-Quell-Bucket CloudTrail zu kopieren. Ersetzen Sie *amzn-s3-demo-bucket**myAccountID*,*region*,*prefix*, und *eventDataStoreId* durch die entsprechenden Werte für Ihre Konfiguration. Das *myAccountID* ist die für CloudTrail Lake verwendete AWS Konto-ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.

Ersetzen Sie *key-region**keyAccountID*, und *keyID* durch die Werte für den KMS-Schlüssel, der zur Verschlüsselung des S3-Quell-Buckets verwendet wurde. Sie können die `AWSCloudTrailImportKeyAccess`-Anweisung weglassen, wenn der S3-Quell-Bucket keinen KMS-Schlüssel für die Verschlüsselung verwendet.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}
```

Das folgende Beispiel enthält die IAM-Vertrauensrichtlinie, die es ermöglicht, eine IAM-Rolle anzunehmen, CloudTrail um Trail-Ereignisse aus dem S3-Quell-Bucket zu kopieren. Ersetzen Sie *myAccountID**region*, und *eventDataStoreArn* durch die entsprechenden Werte für Ihre Konfiguration. Das *myAccountID* ist die für CloudTrail Lake verwendete AWS-Konto ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
        }
      }
    }
  ]
}
```

### Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen
<a name="copy-trail-events-permissions-s3"></a>

Standardmäßig werden Amazon-S3-Buckets und -Objekte als privat eingestuft. Nur der Ressourcenbesitzer (das AWS -Konto, das den Bucket erstellt hat) kann auf den Bucket und die darin enthaltenen Objekte zugreifen. Der Ressourcenbesitzer kann anderen Ressourcen und Benutzern Zugriffsberechtigungen gewähren, indem er eine Zugriffsrichtlinie schreibt.

Bevor Sie Trail-Ereignisse kopieren, müssen Sie die S3-Bucket-Richtlinie aktualisieren, damit CloudTrail Trail-Ereignisse aus dem S3-Quell-Bucket kopiert werden können.

Sie können der S3-Bucket-Richtlinie die folgende Anweisung hinzufügen, um diese Berechtigungen zu gewähren. Ersetzen Sie *roleArn* und *amzn-s3-demo-bucket* durch die entsprechenden Werte für Ihre Konfiguration.

****

```
{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ]
},
```

### KMS-Schlüsselrichtlinie zum Entschlüsseln von Daten im S3-Quell-Bucket
<a name="copy-trail-events-permissions-kms"></a>

Wenn der S3-Quell-Bucket einen KMS-Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie über CloudTrail die `kms:Decrypt` erforderlichen `kms:GenerateDataKey` Berechtigungen verfügt, um Trail-Ereignisse aus einem S3-Bucket mit aktivierter SSE-KMS-Verschlüsselung zu kopieren. Wenn Ihr S3-Quell-Bucket mehrere KMS-Schlüssel verwendet, müssen Sie die Richtlinien jedes Schlüssels aktualisieren. Durch die Aktualisierung der KMS-Schlüsselrichtlinie können CloudTrail Daten im S3-Quell-Bucket entschlüsselt, Validierungsprüfungen durchgeführt werden, um sicherzustellen, dass Ereignisse den CloudTrail Standards entsprechen, und Ereignisse in den CloudTrail Lake-Ereignisdatenspeicher kopiert werden. 

Das folgende Beispiel enthält die KMS-Schlüsselrichtlinie, mit der die Daten im CloudTrail S3-Quell-Bucket entschlüsselt werden können. Ersetzen Sie *roleArn**amzn-s3-demo-bucket*,*myAccountID*,*region*, und *eventDataStoreId* durch die entsprechenden Werte für Ihre Konfiguration. Das *myAccountID* ist die für CloudTrail Lake verwendete AWS Konto-ID, die möglicherweise nicht mit der AWS Konto-ID für den S3-Bucket identisch ist.

```
{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
    }
  }
}
```

# Kopieren Sie Trail-Ereignisse mit der Konsole in einen vorhandenen Ereignisdatenspeicher
<a name="cloudtrail-copy-trail-events-lake"></a>

Gehen Sie wie folgt vor, um Trail-Ereignisse in einen bestehenden Ereignisdatenspeicher zu kopieren. Weitere Informationen zum Erstellen eines neuen Ereignisdatenspeichers finden Sie unter [Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse](query-event-data-store-cloudtrail.md).

**Anmerkung**  
 Bevor Sie Trail-Ereignisse in einen vorhandenen Ereignisdatenspeicher kopieren, stellen Sie sicher, dass die Preisoption und der Aufbewahrungszeitraum des Ereignisdatenspeichers für Ihren Anwendungsfall entsprechend konfiguriert sind.   
**Preisoption:** Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen. Weitere Informationen zu Preisoptionen und Details finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Preisoptionen für den Ereignisdatenspeicher](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option).
**Aufbewahrungszeitraum:** Der Aufbewahrungszeitraum bestimmt, wie lange Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden. CloudTrail kopiert nur Ereignisse, die `eventTime` innerhalb der Aufbewahrungsfrist des Veranstaltungsdatenspeichers liegen. Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher speichern möchten (**Aufbewahrungszeitraum** = *oldest-event-in-days* \$1*number-days-to-retain*). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher aufbewahren möchten, würden Sie die Aufbewahrungsdauer auf 90 Tage festlegen. 

**So kopieren Sie Trail-Ereignisse in einen Ereignisdatenspeicher**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  Wählen Sie im Navigationsbereich unter **Lake** **Ereignisdatenspeicher** aus. 

1. Wählen Sie **Copy trail events** (Kopieren von Trail-Ereignissen).

1. Wählen Sie auf der Seite **Copy trail events** (Trail-Ereignisse kopieren) für **Event source** (Ereignisquelle) den Pfad aus, den Sie kopieren möchten. Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im `CloudTrail` Präfix des S3-Buckets und die Präfixe innerhalb des `CloudTrail` Präfixes enthalten sind, und überprüft keine Präfixe für andere AWS Dienste. Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, wählen **Sie S3-URI eingeben** und dann **S3 durchsuchen**, um zum Präfix zu navigieren. Wenn der S3-Quell-Bucket für den Trail einen KMS-Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie das Entschlüsseln der Daten zulässt CloudTrail . Wenn Ihr S3-Quell-Bucket mehrere KMS-Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren, damit CloudTrail die Daten im Bucket entschlüsselt werden können. Weitere Informationen zum Aktualisieren der KMS-Schlüssel-Richtlinie finden Sie unter [KMS-Schlüsselrichtlinie zum Entschlüsseln von Daten im S3-Quell-Bucket](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms).

   Die S3-Bucket-Richtlinie muss CloudTrail Zugriff gewähren, um Trail-Ereignisse aus Ihrem S3-Bucket zu kopieren. Weitere Informationen zum Aktualisieren der S3-Bucket-Richtlinie finden Sie unter [Amazon-S3-Bucket-Richtlinie für das Kopieren von Trail-Ereignissen](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-s3).

1. Wählen **Sie unter Geben Sie einen Zeitraum für Ereignisse** an den Zeitraum aus, in dem die Ereignisse kopiert werden sollen. CloudTrail überprüft das Präfix und den Namen der Protokolldatei, um sicherzustellen, dass der Name ein Datum zwischen dem ausgewählten Start- und Enddatum enthält, bevor versucht wird, Trail-Ereignisse zu kopieren. Sie können einen **Relative range** (Relativen Bereich) oder einen **Absolute range** (Absoluten Bereich) wählen. Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum aus, der vor der Erstellung des Ereignisdatenspeichers liegt.
**Anmerkung**  
CloudTrail kopiert nur Trail-Ereignisse, die `eventTime` innerhalb der Aufbewahrungsfrist des Event-Datenspeichers liegen. Wenn die Aufbewahrungsfrist eines Event-Datenspeichers beispielsweise 90 Tage beträgt, CloudTrail werden keine Trail-Ereignisse kopiert, die `eventTime` älter als 90 Tage sind.
   + Wenn Sie **Relativer Bereich** wählen, können Sie wählen, ob Ereignisse kopiert werden sollen, die in den letzten 6 Monaten, 1 Jahr, 2 Jahren, 7 Jahren oder in einem benutzerdefinierten Bereich protokolliert wurden. CloudTrail kopiert die Ereignisse, die innerhalb des ausgewählten Zeitraums protokolliert wurden.
   + Wenn Sie „**Absoluter Bereich**“ wählen, können Sie ein bestimmtes Start- und Enddatum wählen. CloudTrail kopiert die Ereignisse, die zwischen dem ausgewählten Start- und Enddatum aufgetreten sind.

1. Wählen Sie für **Delivery location** (Zustellungsort) den Zielereignisdatenspeicher aus der Dropdown-Liste aus.

1. Wählen Sie für **Permissions** (Berechtigungen) unter den folgenden IAM-Rollenoptionen aus. Wenn Sie eine vorhandene IAM-Rolle auswählen, stellen Sie sicher, dass die IAM-Rollenrichtlinie die erforderlichen Berechtigungen bereitstellt. Weitere Informationen zum Aktualisieren der IAM-Rollenberechtigungen finden Sie unter [IAM-Berechtigungen zum Kopieren von Trail-Ereignissen](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam).
   + Wählen Sie **Create a new role (recommended)** (Erstellen Sie eine neue Rolle (empfohlen)), um eine neue IAM-Rolle zu erstellen. **Geben Sie unter IAM-Rollennamen** eingeben einen Namen für die Rolle ein. CloudTrail erstellt automatisch die erforderlichen Berechtigungen für diese neue Rolle.
   + Wählen Sie **Eine benutzerdefinierte IAM-Rolle verwenden ARN** aus, um eine benutzerdefinierte IAM-Rolle zu verwenden, die nicht aufgeführt ist. Geben Sie für **Enter IAM role ARN** (IAM-Rollen-ARN eingeben) den IAM-ARN ein.
   + Wählen Sie eine vorhandene IAM-Rolle aus der Dropdownliste aus.

1. Wählen Sie **Copy events** (Kopieren von Ereignissen).

1. Sie werden zur Bestätigung aufgefordert. Sobald Sie bereit sind zu bestätigen, wählen Sie **Copy trail events to Lake** (Trail-Ereignisse nach Lake kopieren) aus und dann wählen Sie **Copy events** (Ereignisse kopieren).

1. Auf der Seite **Copy details** (Kopieren von Details) können Sie den Kopierstatus anzeigen und eventuelle Fehler überprüfen. Wenn eine Trail-Ereignis-Kopie abgeschlossen ist, wird der **Copy status** (Kopierstatus) entweder auf **Completed** (Abgeschlossen) festgelegt, wenn keine Fehler aufgetreten sind, oder auf **Failed** (Fehlgeschlagen), wenn Fehler aufgetreten sind.
**Anmerkung**  
Details, die auf der Detailseite der Ereigniskopie angezeigt werden, sind nicht in Echtzeit. Die tatsächlichen Werte für Details wie die **kopierten Präfixe** können höher sein als die auf der Seite angezeigten Werte. CloudTrail aktualisiert die Details im Verlauf der Ereigniskopie schrittweise.

1. Wenn der **Copy status** (Kopierstatus) **Failed** (Fehlgeschlagen) lautet, beheben Sie alle Fehler, die unter **Copy failures** (Kopierfehler) angezeigt werden, und wählen Sie dann **Retry copy** (Kopie wiederholen) aus. Wenn Sie erneut versuchen, eine Kopie zu erstellen, CloudTrail wird der Kopiervorgang an der Stelle fortgesetzt, an der der Fehler aufgetreten ist. 

Weitere Informationen zum Anzeigen der Details eines Trail-Ereignisses finden Sie unter [Details zur Eventkopie mit der CloudTrail Konsole anzeigen](copy-trail-details.md).

# Kopieren Sie Trail-Ereignisse mit der Konsole in einen neuen Ereignisdatenspeicher
<a name="scenario-lake-import"></a>

In dieser exemplarischen Vorgehensweise erfahren Sie, wie Sie Trail-Ereignisse zur historischen Analyse in einen neuen Datenspeicher für Ereignisse in CloudTrail Lake kopieren. Weitere Informationen zum Kopieren von Trail-Ereignissen finden Sie unter [Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher](cloudtrail-copy-trail-to-lake-eds.md).

**Kopieren Sie Trail-Ereignisse wie folgt in einen neuen Ereignisdatenspeicher:**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus. 

1. Wählen Sie **Ereignisdatenspeicher erstellen** aus.

1. Geben Sie auf der Seite **Event-Datenspeicher konfigurieren unter** **Allgemeine Details** Ihrem Event-Datenspeicher einen Namen, z. *my-management-events-eds* B. Verwenden Sie dazu am besten einen Namen, der den Zweck des Ereignisdatenspeichers schnell identifiziert. Informationen zu den CloudTrail Benennungsanforderungen finden Sie unter[Benennungsanforderungen für CloudTrail Ressourcen, S3-Buckets und KMS-Schlüssel](cloudtrail-trail-naming-requirements.md).

1. Wählen Sie die **Preisoption** aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md). 

   Die folgenden Optionen sind verfügbar:
   + **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine verlängerte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.
     + **Standardaufbewahrungsdauer:** 366 Tage.
     + **Maximale Aufbewahrungsdauer:** beträgt 3 653 Tage.
   + **Preisoption für die Aufbewahrung über sieben Jahre** – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.
     + **Standardaufbewahrungsdauer:** 2 557 Tage.
     + **Maximale Aufbewahrungsdauer:** beträgt 2 557 Tage.

1. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die **Preisoption mit siebenjähriger Aufbewahrungsdauer** liegen.

    CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb `eventTime` des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie `eventTime` älter als 90 Tage sind. 
**Anmerkung**  
CloudTrail kopiert ein Ereignis nicht, wenn `eventTime` es älter als die angegebene Aufbewahrungsfrist ist.   
Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher speichern möchten (**Aufbewahrungszeitraum** = *oldest-event-in-days* \$1*number-days-to-retain*). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher aufbewahren möchten, würden Sie die Aufbewahrungsdauer auf 90 Tage festlegen.

1. (Optional) Wählen Sie unter **Verschlüsselung** aus, ob Sie den Ereignisdatenspeicher mit Ihrem eigenen KMS-Schlüssel verschlüsseln möchten. Standardmäßig werden alle Ereignisse in einem Ereignisdatenspeicher CloudTrail mithilfe eines KMS-Schlüssels verschlüsselt, der für Sie verantwortlich AWS ist und der für Sie verwaltet wird.

   Um die Verschlüsselung mit Ihrem eigenen KMS-Schlüssel zu aktivieren, wählen Sie **Meinen eigenen AWS KMS key verwenden**. Wählen Sie **Neu**, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie **Bestehend**, um einen vorhandenen KMS-Schlüssel zu verwenden. **Geben Sie unter KMS-Alias** eingeben einen Alias im folgenden Format an `alias/`*MyAliasName*. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, um das Verschlüsseln und Entschlüsseln von CloudTrail Protokollen zuzulassen. Weitere Informationen finden Sie unter[Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.

   Die Verwendung Ihres eigenen KMS-Schlüssels verursacht AWS KMS Kosten für die Verschlüsselung und Entschlüsselung. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
**Anmerkung**  
Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.

1. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie **Aktivieren** in **Lake-Abfrageverbund**. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -[Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter [Verbund für einen Ereignisdatenspeicher erstellen](query-federation.md).

   Wählen Sie **Aktivieren** und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:

   1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.

   1. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.

   1. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.

1. (Optional) Wählen Sie „**Ressourcenrichtlinie aktivieren**“, um Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).

   Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html), denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.

   Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

    CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [ressourcenbasierte Standardrichtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).

1. (Optional) Fügen Sie unter **Tags** ein oder mehrere benutzerdefinierte Tags (Schlüssel-Wert-Paare) zu Ihrem Ereignisdatenspeicher hinzu. Mithilfe von Tags können Sie Ihre CloudTrail Ereignisdatenspeicher identifizieren. Sie könnten beispielsweise ein Tag mit dem Namen **stage** und dem Wert **prod** anfügen. Sie können Tags verwenden, um den Zugriff auf Ihren Ereignisdatenspeicher einzuschränken. Sie können Tags auch verwenden, um die Abfrage- und Aufnahmekosten für Ihren Ereignisdatenspeicher zu verfolgen.

   Informationen dazu, wie Sie mithilfe von Tags Kosten nachverfolgen, finden Sie unter [Erstellen von benutzerdefinierten Kostenzuweisungs-Tags für CloudTrail Lake-Event-Datenspeicher](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags). Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Informationen darüber, wie Sie Tags verwenden können AWS, finden Sie unter [Tagging Your AWS Resources User Guide](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) im *Tagging AWS Resources User Guide*.

1.  Wählen Sie **Next** (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren. 

1.  Behalten Sie auf der Seite **Ereignisse auswählen** die Standardauswahl für den **Ereignistyp** bei.  
![\[Auswählen des Ereignistyps für den Ereignisdatenspeicher\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/lake-event-type.png)

1. Für **CloudTrail Ereignisse** lassen wir die Option **Management-Ereignisse** ausgewählt und wählen **Trail-Ereignisse kopieren**. In diesem Beispiel machen wir uns keine Gedanken über die Ereignistypen, da wir den Ereignisdatenspeicher nur zur Analyse vergangener Ereignisse verwenden und keine zukünftigen Ereignisse aufnehmen. 

   Wenn Sie einen Ereignisdatenspeicher erstellen, der einen vorhandenen Trail ersetzen soll, wählen Sie dieselben Ereignisselektoren wie für Ihren Trail aus, um sicherzustellen, dass der Ereignisdatenspeicher die gleiche Ereignisabdeckung hat.  
![\[Wählen Sie CloudTrail Ereignistypen für Ihren Event-Datenspeicher\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-events-copy-trail.png)

1. Wählen Sie **Für alle Konten in meiner Organisation aktivieren** aus, wenn es sich um einen Ereignisdatenspeicher für eine Organisation handelt. Diese Option kann nur geändert werden, wenn Sie Konten in AWS Organizations konfiguriert haben.
**Anmerkung**  
Wenn Sie einen Ereignisdatenspeicher einer Organisation erstellen, müssen Sie mit dem Verwaltungskonto der Organisation angemeldet sein, da Trail-Ereignisse nur mit dem Verwaltungskonto in den Ereignisdatenspeicher einer Organisation kopiert werden können.

1.  Für **Zusätzliche Einstellungen** deaktivieren wir die Option **Ereignisse aufnehmen**, da wir in diesem Beispiel nicht möchten, dass der Ereignisdatenspeicher zukünftige Ereignisse aufnimmt, da wir nur daran interessiert sind, die kopierten Ereignisse abzufragen. Standardmäßig sammelt ein Ereignisdatenspeicher Ereignisse für alle AWS-Regionen und beginnt, Ereignisse zu erfassen, sobald er erstellt wird.

1. Für **Verwaltungsereignisse** behalten wir die Standardeinstellungen bei.

1. Führen Sie im Bereich **Trail-Ereignisse kopieren** die folgenden Schritte aus.

   1. Wählen Sie den Trail aus, die Sie kopieren möchten. In diesem Beispiel wählen wir einen Pfad mit dem Namen*management-events*.

      Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im `CloudTrail` Präfix des S3-Buckets und die Präfixe innerhalb des `CloudTrail` Präfixes enthalten sind, und überprüft keine Präfixe für andere AWS Dienste. Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, wählen **Sie S3-URI eingeben** und dann **S3 durchsuchen**, um zum Präfix zu navigieren. Wenn der S3-Quell-Bucket für den Trail einen KMS-Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie das Entschlüsseln der Daten zulässt CloudTrail . Wenn Ihr S3-Quell-Bucket mehrere KMS-Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren, damit CloudTrail die Daten im Bucket entschlüsselt werden können. Weitere Informationen zum Aktualisieren der KMS-Schlüssel-Richtlinie finden Sie unter [KMS-Schlüsselrichtlinie zum Entschlüsseln von Daten im S3-Quell-Bucket](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms).

   1. Wählen Sie einen Zeitraum für das Kopieren der Ereignisse aus. CloudTrail überprüft das Präfix und den Namen der Protokolldatei, um sicherzustellen, dass der Name ein Datum zwischen dem ausgewählten Start- und Enddatum enthält, bevor versucht wird, Trail-Ereignisse zu kopieren. Sie können einen **Relative range** (Relativen Bereich) oder einen **Absolute range** (Absoluten Bereich) wählen. Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum aus, der vor der Erstellung des Ereignisdatenspeichers liegt.
      + Wenn Sie **Relativer Bereich** wählen, können Sie wählen, ob Ereignisse kopiert werden sollen, die in den letzten 6 Monaten, 1 Jahr, 2 Jahren, 7 Jahren oder in einem benutzerdefinierten Bereich protokolliert wurden. CloudTrail kopiert die Ereignisse, die innerhalb des ausgewählten Zeitraums protokolliert wurden.
      + Wenn Sie „**Absoluter Bereich**“ wählen, können Sie ein bestimmtes Start- und Enddatum wählen. CloudTrail kopiert die Ereignisse, die zwischen dem ausgewählten Start- und Enddatum aufgetreten sind.

      In diesem Beispiel wählen wir **Absolute Reichweite** und wir wählen den gesamten Monat Mai aus.  
![\[Auswählen des absoluten Bereichs für den Ereignisdatenspeicher\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/absolute-range-example.png)

   1. Wählen Sie für **Permissions** (Berechtigungen) unter den folgenden IAM-Rollenoptionen aus. Wenn Sie eine vorhandene IAM-Rolle auswählen, stellen Sie sicher, dass die IAM-Rollenrichtlinie die erforderlichen Berechtigungen bereitstellt. Weitere Informationen zum Aktualisieren der IAM-Rollenberechtigungen finden Sie unter [IAM-Berechtigungen zum Kopieren von Trail-Ereignissen](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam).
      + Wählen Sie **Create a new role (recommended)** (Erstellen Sie eine neue Rolle (empfohlen)), um eine neue IAM-Rolle zu erstellen. **Geben Sie unter IAM-Rollennamen** eingeben einen Namen für die Rolle ein. CloudTrail erstellt automatisch die erforderlichen Berechtigungen für diese neue Rolle.
      + Wählen Sie **Eine benutzerdefinierte IAM-Rolle verwenden ARN** aus, um eine benutzerdefinierte IAM-Rolle zu verwenden, die nicht aufgeführt ist. Geben Sie für **Enter IAM role ARN** (IAM-Rollen-ARN eingeben) den IAM-ARN ein.
      + Wählen Sie eine vorhandene IAM-Rolle aus der Dropdownliste aus.

      In diesem Beispiel wählen wir **Neue Rolle erstellen (empfohlen)** und geben den Namen **copy-trail-events** an.  
![\[Wählen Sie Optionen für das Kopieren von Ereignissen CloudTrail\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/copy-trail-events.png)

1. Wählen Sie **Next** (Weiter) aus, um Ihre Auswahl zu überprüfen.

1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie **Ereignisdatenspeicher erstellen** aus.

1. Der neue Ereignisdatenspeicher ist in der Tabelle **Ereignisdatenspeicher** auf der Seite **Ereignisdatenspeicher** sichtbar.  
![\[Anzeigen der Ereignisdatenspeicher\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/event-data-stores-table.png)

1. Wählen Sie den Namen des Ereignisdatenspeichers aus, um die Detailseite anzuzeigen. Auf der Detailseite werden die Details zu Ihrem Ereignisdatenspeicher und der Status der Kopie angezeigt. Der Status der Ereigniskopie wird im Bereich **Status der Ereigniskopie** angezeigt.

   Wenn eine Trail-Ereignis-Kopie abgeschlossen ist, wird der **Copy status** (Kopierstatus) entweder auf **Completed** (Abgeschlossen) festgelegt, wenn keine Fehler aufgetreten sind, oder auf **Failed** (Fehlgeschlagen), wenn Fehler aufgetreten sind.  
![\[Anzeigen des Status der Ereigniskopie auf der Detailseite\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/event-copy-status.png)

1. Um weitere Details zur Kopie anzuzeigen, wählen Sie den Namen der Kopie in der Spalte **Ereignisprotokoll-S3-Speicherort** aus oder wählen Sie im Menü **Aktionen** die Option **Details anzeigen**. Weitere Informationen zum Anzeigen der Details eines Trail-Ereignisses finden Sie unter [Details zur Eventkopie mit der CloudTrail Konsole anzeigen](copy-trail-details.md).  
![\[Anzeigen der Details zur Ereigniskopie\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/copy-details.png)

1.  Im Bereich **Kopierfehler** werden alle Fehler angezeigt, die beim Kopieren von Trail-Ereignissen aufgetreten sind. Wenn der **Copy status** (Kopierstatus) **Failed** (Fehlgeschlagen) lautet, beheben Sie alle Fehler, die unter **Copy failures** (Kopierfehler) angezeigt werden, und wählen Sie dann **Retry copy** (Kopie wiederholen) aus. Wenn Sie erneut versuchen, einen Kopiervorgang durchzuführen, CloudTrail wird der Kopiervorgang an der Stelle fortgesetzt, an der der Fehler aufgetreten ist. 

# Details zur Eventkopie mit der CloudTrail Konsole anzeigen
<a name="copy-trail-details"></a>

Nachdem eine Kopie eines Trail-Ereignisses gestartet wurde, können Sie die Details der Ereigniskopie, einschließlich des Status der Kopie, und Informationen zu Kopierfehlern anzeigen.

**Anmerkung**  
Details, die auf der Detailseite der Ereigniskopie angezeigt werden, sind nicht in Echtzeit. Die tatsächlichen Werte für Details wie **kopierte Präfixe** können höher sein als auf der Seite angezeigt. CloudTrail aktualisiert die Details im Verlauf der Ereigniskopie schrittweise.

**So greifen Sie auf die Seite mit den Details zu Ereigniskopien zu**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  Wählen Sie im linken Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus. 

1. Wählen Sie den Ereignisdatenspeicher aus.

1. Wählen Sie die Ereigniskopie im Abschnitt **Status der Ereigniskopie** aus.

## Details kopieren
<a name="copy-trail-status"></a>

Unter **Copy details** (Details kopieren) können Sie sich die folgenden Details über die Trail-Ereignis-Kopie ansehen.
+ **Event log S3 location** (Ereignisprotokoll-S3-Speicherort) – Der Speicherort des Quell-S3-Buckets, der die Trail-Ereignisprotokolldateien enthält.
+ **Copy ID** (ID kopieren) – Der ID für die Kopie.
+ **Prefixes copied** (Kopierte Präfixe) – Stellt die Anzahl der kopierten S3-Präfixe dar. CloudTrail Kopiert beim Kopieren von Trail-Ereignissen die Ereignisse in den Trail-Protokolldateien, die in den Präfixen gespeichert sind.
+ **Copy status** (Status kopieren) – Der Status der Kopie.
  + **Initializing** (Initialisieren) – Der Anfangsstatus wird angezeigt, wenn die Kopie des Trail-Ereignisses beginnt.
  + **In progress** (In Bearbeitung) – Zeigt an, dass die Kopie des Trail-Ereignisses in Bearbeitung ist.
**Anmerkung**  
Sie können Trail-Ereignisse nicht kopieren, wenn eine andere Trail-Ereigniskopie **In progress** (In Bearbeitung) ist. Um eine Kopie eines Trail-Ereignisses zu stoppen, wählen Sie **Stop copy** (Kopieren anhalten).
  + **Stopped** (Angehalten) – Gibt an, dass eine Aktion **Stop copy** (zum Beenden der Kopie) ausgeführt wurde. Um eine Kopie eines Trail-Ereignisses erneut zu versuchen, wählen Sie **Retry copy** (Kopieren wiederholen).
  + **Failed** (Fehlgeschlagen) – Die Kopie wurde abgeschlossen, aber einige Trail-Ereignisse konnten nicht kopiert werden. Überprüfen Sie die Fehlermeldungen in **Copy failures** (Fehler beim Kopieren). Um eine Kopie eines Trail-Ereignisses erneut zu versuchen, wählen Sie **Retry copy** (Kopieren wiederholen). Wenn Sie erneut versuchen, eine Kopie zu erstellen, CloudTrail wird der Kopiervorgang an der Stelle fortgesetzt, an der der Fehler aufgetreten ist.
  + **Completed** (Fertiggestellt) – Die Kopie wurde ohne Fehler abgeschlossen. Sie können die kopierten Trail-Ereignisse im Ereignisdatenspeicher abfragen.
+ **Created time** (Erstellungszeit) – Zeigt an, wann die Trail-Ereigniskopie gestartet wurde.
+ **Finish time** (Endzeit) – Zeigt an, wann die Kopie des Trail-Ereignisses abgeschlossen oder beendet wurde.

## Kopierfehler
<a name="copy-trail-failures"></a>

 Unter **Copy failures** (Kopierfehler) können Sie den Fehlerspeicherort, die Fehlermeldung und den Fehlertyp für jeden Kopierfehler überprüfen. Zu den häufigsten Fehlerursachen gehört, dass ein S3-Präfix eine unkomprimierte Datei oder eine Datei enthielt, die von einem anderen Dienst als bereitgestellt wurde. CloudTrail Eine weitere mögliche Fehlerursache sind Zugriffsprobleme. Wenn beispielsweise der S3-Bucket des Ereignisdatenspeichers keinen CloudTrail Zugriff auf den Import der Ereignisse gewährt, wird eine `AccessDenied` Fehlermeldung angezeigt.

Überprüfen Sie für jeden Kopierfehler die folgenden Fehlerinformationen.
+  Der **Error location** (Fehlerspeicherort) – Zeigt den Speicherort im S3-Bucket an, an dem der Fehler aufgetreten ist. Wenn ein Fehler auftrat, weil der Quell-S3-Bucket eine unkomprimierte Datei enthielt, würde der **Error location** (Fehlerspeicherort) das Präfix enthalten, unter dem Sie diese Datei finden würden. 
+  Die **Error message** (Fehlermeldung) – Sie enthält eine Erklärung, warum der Fehler aufgetreten ist. 
+  Der **Error type** (Fehlertyp) – Dies gibt den Fehlertyp an. Ein **Error type** (Fehlertyp) von `AccessDenied` gibt beispielsweise an, dass der Fehler aufgrund eines Berechtigungsproblems aufgetreten ist. Weitere Informationen zu den erforderlichen Berechtigungen zum Kopieren von Trail-Ereignissen finden Sie unter [Erforderliche Berechtigungen zum Kopieren von Trail-Ereignissen](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions). 

Nachdem Sie alle Fehler behoben haben, wählen Sie **Retry copy** (Kopieren wiederholen). Wenn Sie erneut versuchen, eine Kopie zu erstellen, CloudTrail wird die Kopie an der Stelle fortgesetzt, an der der Fehler aufgetreten ist.