As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Copiar eventos de trilhas para um armazenamento de dados de eventos
<a name="cloudtrail-copy-trail-to-lake-eds"></a>

**nota**  
AWS CloudTrail O Lake não estará mais aberto a novos clientes a partir de 31 de maio de 2026. Se você gostaria de usar o CloudTrail Lake, inscreva-se antes dessa data. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte [CloudTrail Alteração na disponibilidade do lago](cloudtrail-lake-service-availability-change.md).

Você pode copiar eventos da trilha para um armazenamento de dados de eventos do CloudTrail Lake para criar um point-in-time instantâneo dos eventos registrados na trilha. Copiar os eventos de uma trilha não interfere na capacidade da trilha de registrar eventos e não modifica a trilha de nenhuma forma.

Você pode copiar eventos de trilha para um armazenamento de dados de eventos existente configurado para CloudTrail eventos ou pode criar um novo armazenamento de dados de CloudTrail eventos e escolher a opção **Copiar eventos de trilha** como parte da criação do armazenamento de dados de eventos. Para obter mais informações sobre cópia de eventos de trilhas para um armazenamento de dados de eventos existente, consulte [Copiar eventos de trilhas para um armazenamento de dados de eventos existente com o console](cloudtrail-copy-trail-events-lake.md). Para obter mais informações sobre como criar um armazenamento de dados de eventos, consulte [Crie um armazenamento de dados de CloudTrail eventos para eventos com o console](query-event-data-store-cloudtrail.md). 

Se estiver copiando eventos de trilha para um armazenamento de dados de eventos da organização, você deve usar a conta de gerenciamento da respectiva organização. Não é possível copiar eventos de trilha usando uma conta de administrador delegado para uma organização.

CloudTrail Os armazenamentos de dados de eventos em Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a [opção de preço](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/) [Gerenciando os custos CloudTrail do Lake](cloudtrail-lake-manage-costs.md) e.

Ao copiar eventos de trilha para um armazenamento de dados de eventos do CloudTrail Lake, você incorre em cobranças com base na quantidade de dados não compactados que o armazenamento de dados de eventos ingere.

Ao copiar eventos de trilha para o CloudTrail Lake, CloudTrail descompacta os registros armazenados no formato gzip (compactado) e, em seguida, copia os eventos contidos nos registros para seu armazenamento de dados de eventos. O tamanho dos dados não compactados pode ser maior do que o tamanho real do armazenamento do S3. Para obter uma estimativa geral do tamanho dos dados não compactados, é possível multiplicar o tamanho dos registros no bucket do S3 por 10.

É possível pode reduzir os custos especificando um intervalo de tempo mais restrito para os eventos copiados. Se você planeja usar apenas o armazenamento de dados de eventos para consultar seus eventos copiados, poderá desativar a ingestão de eventos para evitar cobranças em eventos futuros. Para obter mais informações, consulte [Preços do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Gerenciando os custos CloudTrail do Lake](cloudtrail-lake-manage-costs.md).

**Cenários**

A tabela a seguir descreve alguns cenários comuns para copiar eventos de trilha e como você realiza cada cenário usando o console.


| Cenário | Como faço isso no console? | 
| --- | --- | 
|  Analise e consulte eventos históricos de trilhas em CloudTrail Lake sem ingerir novos eventos  |  Crie um [novo armazenamento de dados de eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html#query-event-data-store-cloudtrail-procedure) e escolha a opção **Copiar eventos da trilha** como parte da criação do armazenamento de dados de eventos. Ao criar o armazenamento de dados de eventos, desmarque a opção **Ingerir eventos** (etapa 15 do procedimento) para garantir que o armazenamento de dados de eventos contenha somente os eventos históricos da sua trilha e nenhum evento futuro.  | 
|  Substitua sua trilha existente por um armazenamento de dados de eventos do CloudTrail Lake  |  Crie um armazenamento de dados de eventos com os mesmos seletores de eventos que sua trilha para garantir que o armazenamento de dados de eventos tenha a mesma cobertura da trilha.  Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de datas para os eventos copiados que seja anterior à criação do armazenamento de dados de eventos. Após a criação do armazenamento de dados de eventos, você poderá desativar o registro em log da trilha para evitar cobranças adicionais.  | 

**Topics**
+ [Considerações para copiar eventos de trilhas](#cloudtrail-trail-copy-considerations-lake)
+ [Permissões necessárias para copiar eventos da trilha](#copy-trail-events-permissions)
+ [Copiar eventos de trilhas para um armazenamento de dados de eventos existente com o console](cloudtrail-copy-trail-events-lake.md)
+ [Copiar eventos de trilha para um novo armazenamento de dados de eventos com o console](scenario-lake-import.md)
+ [Veja os detalhes da cópia do evento com o CloudTrail console](copy-trail-details.md)

## Considerações para copiar eventos de trilhas
<a name="cloudtrail-trail-copy-considerations-lake"></a>

Considere os seguintes fatores ao copiar eventos de trilhas.
+  Ao copiar eventos de trilha, CloudTrail usa a operação da [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)API do S3 para recuperar os eventos de trilha no bucket do S3 de origem. Há algumas classes de armazenamento arquivadas no S3, como os níveis de S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts e S3 Intelligent-Tiering Deep Archive que não são acessíveis via `GetObject`. Para copiar eventos de trilhas armazenados nessas classes de armazenamento arquivadas, primeiro é necessário restaurar uma cópia usando a operação `RestoreObject` do S3. Para obter informações sobre como restaurar objetos arquivados, consulte [Restaurar objetos arquivados](https://docs.aws.amazon.com/AmazonS3/latest/userguide/restoring-objects.html) no *Guia do usuário do Amazon S3*. 
+  Quando você copia eventos de trilha para um armazenamento de dados de eventos, CloudTrail copia todos os eventos de trilha, independentemente da configuração dos tipos de eventos do armazenamento de dados de eventos de destino, seletores de eventos avançados ou Região da AWS. 
+  Antes de copiar eventos de trilha para um armazenamento de dados de eventos existente, certifique-se de que a opção de preço e o período de retenção do armazenamento de dados de eventos estejam configurados adequadamente para seu caso de uso. 
  + **Opção de preço:** a opção de preço determina o custo de ingestão e armazenamento de eventos. Para obter mais informações sobre opções de preço, consulte [Preço do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Opções de preços do armazenamento de dados de eventos](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option).
  + **Período de retenção:** o período de retenção determina por quanto tempo os dados do evento são mantidos no armazenamento de dados do evento. CloudTrail copia somente eventos de trilha que tenham um período de retenção `eventTime` dentro do armazenamento de dados de eventos. Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados do evento (**período de retenção** = *oldest-event-in-days* \$1*number-days-to-retain*). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias. 
+ Se você estiver copiando eventos de trilha para um armazenamento de dados de eventos para investigação e não quiser ingerir nenhum evento futuro, poderá interromper a ingestão no armazenamento de dados de eventos. Ao criar o armazenamento de dados de eventos, desmarque a opção **Ingerir eventos** (etapa 15 do [procedimento](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure)) para garantir que o armazenamento de dados de eventos contenha somente os eventos históricos da sua trilha e nenhum evento futuro.
+  Antes de copiar os eventos da trilha, desative todas as listas de controle de acesso (ACLs) anexadas ao bucket do S3 de origem e atualize a política do bucket do S3 para o armazenamento de dados do evento de destino. Para obter mais informações sobre a atualização da política de bucket do S3, consulte [Política de buckets do Amazon S3 para copiar eventos da trilha](cloudtrail-copy-trail-to-lake.md#cloudtrail-copy-trail-events-permissions-s3). Para obter mais informações sobre a desativação ACLs, consulte [Controle da propriedade de objetos e desativação do seu ACLs bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html). 
+  CloudTrail copia somente eventos de trilha de arquivos de log compactados Gzip que estão no bucket S3 de origem. CloudTrail não copia eventos de trilha de arquivos de log não compactados ou arquivos de log que foram compactados usando um formato diferente de Gzip. 
+  Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo para os eventos copiados que seja anterior à criação do armazenamento de dados de eventos. 
+  Por padrão, copia CloudTrail somente CloudTrail os eventos contidos no prefixo do bucket do S3 e os `CloudTrail` prefixos dentro do `CloudTrail` prefixo, e não verifica os prefixos de outros serviços. AWS Se quiser copiar CloudTrail eventos contidos em outro prefixo, você deve escolher o prefixo ao copiar eventos de trilha. 
+  Para copiar eventos de trilha para um armazenamento de dados de eventos da organização, você deve usar a conta de gerenciamento da organização. Não é possível usar a conta de administrador delegado para copiar eventos de trilhas para um armazenamento de dados de eventos da organização. 

## Permissões necessárias para copiar eventos da trilha
<a name="copy-trail-events-permissions"></a>

Antes de copiar eventos da trilha, é preciso ter todas as permissões necessárias no seu perfil do IAM. Se você escolher um perfil do IAM existente para copiar os eventos da trilha, atualizar as permissões do perfil do IAM será o suficiente. Se você optar por criar uma nova função do IAM, CloudTrail forneça todas as permissões necessárias para a função.

Se o bucket do S3 de origem usar uma chave KMS para criptografia de dados, certifique-se de que a política de chaves do KMS permita CloudTrail descriptografar dados no bucket. Se o bucket do S3 de origem usar várias chaves KMS, você deverá atualizar a política de cada chave CloudTrail para permitir a descriptografia de dados no bucket.

**Topics**
+ [Permissões do IAM para copiar eventos da trilha](#copy-trail-events-permissions-iam)
+ [Política de buckets do Amazon S3 para copiar eventos da trilha](#copy-trail-events-permissions-s3)
+ [Política de chaves do KMS para descriptografar dados no bucket do S3 de origem](#copy-trail-events-permissions-kms)

### Permissões do IAM para copiar eventos da trilha
<a name="copy-trail-events-permissions-iam"></a>

Ao copiar os eventos da trilha, você tem a opção de criar um perfil do IAM ou usar um perfil do IAM existente. Quando você escolhe uma nova função do IAM, CloudTrail cria uma função do IAM com as permissões necessárias e nenhuma ação adicional é necessária de sua parte.

Se você escolher uma função existente, certifique-se de que as políticas da função do IAM CloudTrail permitam copiar eventos de trilha do bucket S3 de origem. Esta seção fornece exemplos das políticas de confiança e permissões do perfil do IAM necessárias.

O exemplo a seguir fornece a política de permissões, que CloudTrail permite copiar eventos de trilha do bucket S3 de origem. Substitua *amzn-s3-demo-bucket* *myAccountID**region*,*prefix*,, e *eventDataStoreId* pelos valores apropriados para sua configuração. Esse *myAccountID* é o ID da AWS conta usado para o CloudTrail Lake, que pode não ser o mesmo que o ID da AWS conta para o bucket do S3.

Substitua *key-region**keyAccountID*,, e *keyID* pelos valores da chave KMS usada para criptografar o bucket S3 de origem. Você poderá omitir a instrução `AWSCloudTrailImportKeyAccess` se o bucket do S3 de origem não usar uma chave KMS para criptografia.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}
```

O exemplo a seguir fornece a política de confiança do IAM, que CloudTrail permite assumir uma função do IAM para copiar eventos de trilha do bucket S3 de origem. Substitua *myAccountID**region*,, e *eventDataStoreArn* pelos valores apropriados para sua configuração. *myAccountID*É o Conta da AWS ID usado para o CloudTrail Lake, que pode não ser o mesmo que o ID da AWS conta para o bucket do S3.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
        }
      }
    }
  ]
}
```

### Política de buckets do Amazon S3 para copiar eventos da trilha
<a name="copy-trail-events-permissions-s3"></a>

Por padrão, os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso (a conta da AWS que criou o bucket) pode acessar o bucket e os objetos que ele contém. O proprietário do recurso pode conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.

Antes de copiar eventos de trilha, você deve atualizar a política de bucket do S3 CloudTrail para permitir a cópia de eventos de trilha do bucket do S3 de origem.

É possível adicionar a instrução a seguir à política do bucket do S3 para conceder essas permissões. *amzn-s3-demo-bucket*Substitua *roleArn* e pelos valores apropriados para sua configuração.

****

```
{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ]
},
```

### Política de chaves do KMS para descriptografar dados no bucket do S3 de origem
<a name="copy-trail-events-permissions-kms"></a>

Se o bucket do S3 de origem usar uma chave KMS para criptografia de dados, certifique-se de que a política de chaves do KMS forneça CloudTrail `kms:GenerateDataKey` as permissões `kms:Decrypt` e as permissões necessárias para copiar eventos de trilha de um bucket do S3 com a criptografia SSE-KMS ativada. Se o bucket do S3 de origem usar várias chaves do KMS, será necessário atualizar a política de cada chave. A atualização da política de chaves do KMS permite CloudTrail descriptografar dados no bucket S3 de origem, executar verificações de validação para garantir que os eventos estejam em conformidade com os CloudTrail padrões e copiar eventos para o armazenamento de dados de eventos do Lake. CloudTrail 

O exemplo a seguir fornece a política de chaves do KMS, que permite CloudTrail descriptografar os dados no bucket S3 de origem. Substitua *roleArn* *amzn-s3-demo-bucket**myAccountID*,*region*,, e *eventDataStoreId* pelos valores apropriados para sua configuração. Esse *myAccountID* é o ID da AWS conta usado para o CloudTrail Lake, que pode não ser o mesmo que o ID da AWS conta para o bucket do S3.

```
{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
    }
  }
}
```

# Copiar eventos de trilhas para um armazenamento de dados de eventos existente com o console
<a name="cloudtrail-copy-trail-events-lake"></a>

Use o procedimento a seguir para copiar eventos de trilha para um armazenamento de dados de eventos existentes. Para obter informações sobre como criar um armazenamento de dados de eventos, consulte [Crie um armazenamento de dados de CloudTrail eventos para eventos com o console](query-event-data-store-cloudtrail.md).

**nota**  
 Antes de copiar eventos de trilha para um armazenamento de dados de eventos existente, certifique-se de que a opção de preço e o período de retenção do armazenamento de dados de eventos estejam configurados adequadamente para seu caso de uso.   
**Opção de preço:** a opção de preço determina o custo de ingestão e armazenamento de eventos. Para obter mais informações sobre opções de preço, consulte [Preço do AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) e [Opções de preços do armazenamento de dados de eventos](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option).
**Período de retenção:** o período de retenção determina por quanto tempo os dados do evento são mantidos no armazenamento de dados do evento. CloudTrail copia somente eventos de trilha que tenham um período de retenção `eventTime` dentro do armazenamento de dados de eventos. Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados do evento (**período de retenção** = *oldest-event-in-days* \$1*number-days-to-retain*). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias. 

**Para copiar eventos de trilhas para um armazenamento de dados de eventos**

1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  No painel de navegação, em **Lake**, escolha **Armazenamentos de dados de eventos**. 

1. Escolha **Copy trail events** (Copiar eventos de trilha).

1. Na página **Copy trail events** (Copiar eventos da trilha), em **Event source** (Origem dos eventos), escolha a trilha que deseja copiar. Por padrão, copia CloudTrail somente CloudTrail os eventos contidos no prefixo do bucket do S3 e os `CloudTrail` prefixos dentro do `CloudTrail` prefixo, e não verifica os prefixos de outros serviços. AWS Se você quiser copiar CloudTrail eventos contidos em outro prefixo, escolha **Inserir URI do S3** e, em seguida, escolha **Procurar no S3** para navegar até o prefixo. Se o bucket S3 de origem da trilha usar uma chave KMS para criptografia de dados, certifique-se de que a política de chaves do KMS permita CloudTrail descriptografar os dados. Se seu bucket do S3 de origem usa várias chaves KMS, você deve atualizar a política de cada chave CloudTrail para permitir a descriptografia dos dados no bucket. Para obter mais informações sobre a atualização da política de chaves do KMS, consulte [Política de chaves do KMS para descriptografar dados no bucket do S3 de origem](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms).

   A política de bucket do S3 deve conceder CloudTrail acesso a eventos de trilha de cópia do seu bucket do S3. Para obter mais informações sobre a atualização da política de bucket do S3, consulte [Política de buckets do Amazon S3 para copiar eventos da trilha](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-s3).

1. Em **Especificar um intervalo de tempo de eventos**, escolha o intervalo de tempo para copiar os eventos. CloudTrail verifica o prefixo e o nome do arquivo de log para verificar se o nome contém uma data entre as datas de início e término escolhidas antes de tentar copiar os eventos da trilha. É possível escolher entre **Relative range** (Intervalo relativo) e **Absolute range** (Intervalo absoluto). Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo que seja anterior à criação do armazenamento de dados de eventos.
**nota**  
CloudTrail copia somente eventos de trilha que tenham um período de retenção `eventTime` dentro do armazenamento de dados de eventos. Por exemplo, se o período de retenção de um armazenamento de dados de eventos for de 90 dias, não CloudTrail copiará nenhum evento de trilha com `eventTime` mais de 90 dias.
   + Se você escolher **Intervalo relativo**, poderá optar por copiar eventos registrados nos últimos 6 meses, 1 ano, 2 anos, 7 anos ou um intervalo personalizado. CloudTrail copia os eventos registrados dentro do período de tempo escolhido.
   + Se você escolher **Intervalo absoluto**, poderá escolher uma data específica de início e término. CloudTrail copia os eventos que ocorreram entre as datas de início e término escolhidas.

1. Em **Delivery location** (Local de entrega), escolha o armazenamento de dados de eventos de destino na lista suspensa.

1. Em **Permissions** (Permissões), escolha uma das opções de perfil do IAM a seguir. Ao escolher um perfil do IAM existente, verifique se a política de perfil do IAM fornece as permissões necessárias. Para obter mais informações sobre como atualizar as permissões do perfil do IAM, consulte [Permissões do IAM para copiar eventos da trilha](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam).
   + Escolha **Create a new role (recommended)** (Criar uma nova função [recomendado]) para criar um novo perfil do IAM. Em **Inserir nome da função do IAM**, insira um nome para a função. CloudTrail cria automaticamente as permissões necessárias para essa nova função.
   + Escolha **Usar um ARN do perfil do IAM personalizado** para usar um perfil do IAM personalizado que não está listado. Em **Enter IAM role ARN** (Inserir ARN do perfil do IAM), insira o ARN do perfil.
   + Escolha um perfil do IAM existente na lista suspensa.

1. Escolha **Copy events** (Copiar eventos).

1. Em seguida, sua confirmação será necessária. Quando estiver pronto para confirmar, escolha **Copy trail events to Lake** (Copiar eventos da trilha para o Lake) e, em seguida, escolha **Copy events** (Copiar eventos).

1. Na página **Copy details** (Copiar detalhes), é possível ver o status da cópia e revisar quaisquer falhas. Quando uma cópia de evento de trilha é concluída, seu **Copy status** (Status de cópia) é definido como **Completed** (Concluída) se não houve erros ou como **Failed** (Falha) se houve algum erro.
**nota**  
Os detalhes apresentados na página de detalhes da cópia do evento não estão em tempo real. Os valores reais de detalhes, como **prefixos copiados**, podem ser maiores do que os mostrados na página. CloudTrail atualiza os detalhes de forma incremental ao longo da cópia do evento.

1. Se o **Copy status** (Status da cópia) for **Failed** (Falha), corrija os erros mostrados em **Copy failures** (Falhas ao copiar) e, em seguida, escolha **Retry copy** (Tentar cópia novamente). Quando você tenta fazer uma cópia novamente, CloudTrail retoma a cópia no local em que a falha ocorreu. 

Para obter mais informações sobre como visualizar os detalhes de uma cópia de evento de trilha, consulte [Veja os detalhes da cópia do evento com o CloudTrail console](copy-trail-details.md).

# Copiar eventos de trilha para um novo armazenamento de dados de eventos com o console
<a name="scenario-lake-import"></a>

Este passo a passo mostra como copiar eventos de trilha para um novo armazenamento de dados de eventos do CloudTrail Lake para análise histórica. Para obter mais informações sobre cópia de eventos de trilhas, consulte [Copiar eventos de trilhas para um armazenamento de dados de eventos](cloudtrail-copy-trail-to-lake-eds.md).

**Para copiar eventos de trilhas para um novo armazenamento de dados de eventos**

1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  No painel de navegação, em **Lake**, escolha **Armazenamentos de dados de eventos**. 

1. Selecione **Create event data store** (Criar armazenamento de dados de eventos).

1. Na página **Configurar armazenamento de dados de eventos**, em **Detalhes gerais**, dê um nome ao seu armazenamento de dados de eventos, como*my-management-events-eds*. Como prática recomendada, use um nome que identifique rapidamente a finalidade do armazenamento de dados de eventos. Para obter informações sobre os requisitos CloudTrail de nomenclatura, consulte[Requisitos de nomenclatura para CloudTrail recursos, buckets S3 e chaves KMS](cloudtrail-trail-naming-requirements.md).

1. Escolha a **opção de preço** que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/) e [Gerenciando os custos CloudTrail do Lake](cloudtrail-lake-manage-costs.md). 

   As seguintes opções estão disponíveis:
   + **Preço de retenção extensível de um ano**: geralmente recomendado se você espera ingerir menos de 25 TB de dados de eventos por mês e deseja um período de retenção flexível de até 10 anos. Nos primeiros 366 dias (o período de retenção padrão), o armazenamento é incluído sem custo adicional no preço de ingestão. Depois de 366 dias, a retenção estendida está disponível pelo pay-as-you-go preço. Essa é a opção padrão.
     + **Período de retenção padrão**: 366 dias
     + **Período máximo de retenção**: 3.653 dias
   + **Preço de retenção de sete anos**: recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 7 anos. A retenção está incluída no preço de ingestão sem custo adicional.
     + **Período de retenção padrão**: 2.557 dias
     + **Período máximo de retenção**: 2.557 dias

1. Especifique um período de retenção para o armazenamento de dados de eventos. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de **preço de retenção extensível de um ano** ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de **preço de retenção de sete anos**.

    CloudTrail Lake determina se deve reter um evento verificando se o `eventTime` evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, CloudTrail removerá eventos quando forem mais antigos do que 90 dias. `eventTime` 
**nota**  
CloudTrail não copiará um evento se ele `eventTime` for anterior ao período de retenção especificado.   
Para determinar o período de retenção adequado, calcule a soma do evento mais antigo que você deseja copiar em dias e o número de dias em que deseja reter os eventos no armazenamento de dados do evento (**período de retenção** = *oldest-event-in-days* \$1*number-days-to-retain*). Por exemplo, se o evento mais antigo que você está copiando tiver 45 dias e você quiser manter os eventos no armazenamento de dados de eventos por mais 45 dias, defina o período de retenção como 90 dias.

1. (Opcional) Em **Criptografia**, escolha se você deseja criptografar o armazenamento de dados do evento usando sua própria chave do KMS. Por padrão, todos os eventos em um armazenamento de dados de eventos são criptografados CloudTrail usando uma chave KMS que AWS possui e gerencia para você.

   Para habilitar a criptografia usando sua própria chave do KMS, escolha **Usar minha própria AWS KMS key**. Escolha **Novo** para AWS KMS key criar uma para você ou escolha **Existente** para usar uma chave KMS existente. Em **Inserir alias KMS**, especifique um alias, no formato. `alias/` *MyAliasName* Usar sua própria chave KMS exige que você edite sua política de chaves KMS para permitir que CloudTrail os registros sejam criptografados e descriptografados. Para obter mais informações, consulte[Configure as AWS KMS principais políticas para CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail também suporta chaves AWS KMS multirregionais. Para obter mais informações sobre chaves de várias regiões, consulte [Usar chaves de várias regiões](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) no *Manual do desenvolvedor do AWS Key Management Service *.

   Usar sua própria chave KMS gera AWS KMS custos de criptografia e descriptografia. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS.
**nota**  
Para habilitar a AWS Key Management Service criptografia para um armazenamento de dados de eventos da organização, você deve usar uma chave KMS existente para a conta de gerenciamento.

1. (Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha **Habilitar** na **federação de consultas do Lake**. A federação permite que você visualize os metadados associados ao armazenamento de dados de eventos no [Catálogo de Dados do AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) e execute consultas SQL nos dados do evento no Athena. Os metadados da tabela armazenados no Catálogo de AWS Glue Dados permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte [Federar um armazenamento de dados de eventos](query-federation.md).

   Para habilitar a federação de consultas do Lake, escolha **Habilitar** e faça o seguinte:

   1. Escolha se deseja criar um perfil ou usar um perfil do IAM existente. O [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) usa esse perfil para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria uma nova função usando o CloudTrail console, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as [permissões mínimas necessárias](query-federation.md#query-federation-permissions-role).

   1. Se você estiver criando um perfil, insira um nome para identificá-lo.

   1. Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta da .

1. (Opcional) Escolha **Habilitar política de recursos** para adicionar uma política baseada em recurso ao seu datastore de eventos. As políticas baseadas em recursos possibilitam controlar quais entidades principais podem realizar ações no datastore de eventos. Por exemplo, você pode adicionar uma política baseada em recurso que permita que os usuários-raiz de outras contas consultem esse datastore de eventos e visualizem os resultados da consulta. Para obter exemplos de políticas, consulte [Exemplos de políticas baseadas em recursos para armazenamentos e dados de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).

   Uma política baseada em recurso inclui uma ou mais instruções. Cada instrução da política define as [entidades principais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) que têm acesso permitido ou negado ao datastore de eventos, e as ações que as entidades principais podem realizar no recurso de datastore de eventos.

   As seguintes ações são compatíveis com políticas baseadas em recursos para datastores de eventos:
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   Para [armazenamentos de dados de eventos da organização](cloudtrail-lake-organizations.md), CloudTrail cria uma [política padrão baseada em recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que lista as ações que as contas de administrador delegado podem realizar nos armazenamentos de dados de eventos da organização. As permissões dessa política são derivadas das permissões de administrador delegado no AWS Organizations. Essa política é atualizada automaticamente após alterações no armazenamento de dados de eventos da organização ou na organização (por exemplo, uma conta de administrador CloudTrail delegado é registrada ou removida).

1. (Opcional) Em **Tags**, adicione uma ou mais tags personalizadas (pares chave-valor) ao armazenamento de dados de eventos. As tags podem ajudar você a identificar seus repositórios de dados de CloudTrail eventos. Por exemplo, você poderia anexar uma tag com o nome **stage** e o valor **prod**. É possível usar tags para limitar o acesso ao armazenamento de dados de eventos. As tags também podem ser usadas para monitorar os custos de consulta e ingestão do seu armazenamento de dados de eventos.

   Para obter informações sobre como usar tags para monitorar os custos, consulte [Criação de etiquetas de alocação de custos definidas pelo usuário para armazenamentos de dados de eventos do CloudTrail Lake](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags). Para obter informações sobre como usar políticas do IAM para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulte [Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Para obter informações sobre como você pode usar tags em AWS, consulte Como [marcar seus AWS recursos no Guia](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) do *usuário de AWS recursos de marcação*.

1.  Escolha **Next** (Avançar) para configurar o armazenamento de dados de eventos. 

1.  Na página **Escolher eventos**, mantenha as seleções padrão para **Tipo de evento**.  
![\[Escolha o tipo de evento do armazenamento de dados de eventos\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/lake-event-type.png)

1. Para **CloudTrail eventos**, deixaremos os **eventos de gerenciamento** selecionados e escolheremos **Copiar eventos da trilha**. Neste exemplo, não estamos preocupados com os tipos de eventos porque estamos usando somente o armazenamento de dados de eventos para analisar eventos passados e não estamos ingerindo eventos futuros. 

   Se você estiver criando um armazenamento de dados de eventos para substituir uma trilha existente, escolha os mesmos seletores de eventos da sua trilha para garantir que o armazenamento de dados de eventos tenha a mesma cobertura de eventos.  
![\[Escolha tipos de CloudTrail eventos para seu armazenamento de dados de eventos\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/cloudtrail-events-copy-trail.png)

1. Escolha **Habilitar para todas as contas em minha organização** se este for um armazenamento de dados de eventos da organização. Essa opção não estará disponível para alteração, a menos que você tenha contas configuradas no AWS Organizations.
**nota**  
Ao criar um armazenamento de dados de eventos da organização, você deverá estar conectado com a conta de gerenciamento da organização, pois somente a conta de gerenciamento pode copiar eventos de trilha para um armazenamento de dados de eventos da organização.

1.  Em **Configurações adicionais**, desmarcaremos a opção **Ingerir eventos** porque, em nosso exemplo, não queremos que o armazenamento de dados de eventos consuma eventos futuros, pois estamos interessados apenas em consultar os eventos copiados. Por padrão, um armazenamento de dados de eventos coleta eventos para todos Regiões da AWS e começa a ingerir eventos quando é criado.

1. Em **Eventos de gerenciamento**, manteremos as configurações padrão.

1. Na área **Copiar eventos da trilha**, conclua as etapas a seguir.

   1. Escolha a trilha que você deseja copiar. Neste exemplo, escolheremos uma trilha chamada*management-events*.

      Por padrão, copia CloudTrail somente CloudTrail os eventos contidos no prefixo do bucket do S3 e os `CloudTrail` prefixos dentro do `CloudTrail` prefixo, e não verifica os prefixos de outros serviços. AWS Se você quiser copiar CloudTrail eventos contidos em outro prefixo, escolha **Inserir URI do S3** e, em seguida, escolha **Procurar no S3** para navegar até o prefixo. Se o bucket S3 de origem da trilha usar uma chave KMS para criptografia de dados, certifique-se de que a política de chaves do KMS permita CloudTrail descriptografar os dados. Se seu bucket do S3 de origem usa várias chaves KMS, você deve atualizar a política de cada chave CloudTrail para permitir a descriptografia dos dados no bucket. Para obter mais informações sobre a atualização da política de chaves do KMS, consulte [Política de chaves do KMS para descriptografar dados no bucket do S3 de origem](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms).

   1. Escolha um intervalo de tempo para copiar os eventos. CloudTrail verifica o prefixo e o nome do arquivo de log para verificar se o nome contém uma data entre as datas de início e término escolhidas antes de tentar copiar os eventos da trilha. É possível escolher entre **Relative range** (Intervalo relativo) e **Absolute range** (Intervalo absoluto). Para evitar a duplicação de eventos entre a trilha de origem e o armazenamento de dados de eventos de destino, escolha um intervalo de tempo que seja anterior à criação do armazenamento de dados de eventos.
      + Se você escolher **Intervalo relativo**, poderá optar por copiar eventos registrados nos últimos 6 meses, 1 ano, 2 anos, 7 anos ou um intervalo personalizado. CloudTrail copia os eventos registrados dentro do período de tempo escolhido.
      + Se você escolher **Intervalo absoluto**, poderá escolher uma data específica de início e término. CloudTrail copia os eventos que ocorreram entre as datas de início e término escolhidas.

      Neste exemplo, escolheremos **Intervalo absoluto** e selecionaremos todo o mês de maio.  
![\[Escolha o intervalo absoluto para armazenamento de dados de eventos\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/absolute-range-example.png)

   1. Em **Permissions** (Permissões), escolha uma das opções de perfil do IAM a seguir. Ao escolher um perfil do IAM existente, verifique se a política de perfil do IAM fornece as permissões necessárias. Para obter mais informações sobre como atualizar as permissões do perfil do IAM, consulte [Permissões do IAM para copiar eventos da trilha](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam).
      + Escolha **Create a new role (recommended)** (Criar uma nova função [recomendado]) para criar um novo perfil do IAM. Em **Inserir nome da função do IAM**, insira um nome para a função. CloudTrail cria automaticamente as permissões necessárias para essa nova função.
      + Escolha **Usar um ARN do perfil do IAM personalizado** para usar um perfil do IAM personalizado que não está listado. Em **Enter IAM role ARN** (Inserir ARN do perfil do IAM), insira o ARN do perfil.
      + Escolha um perfil do IAM existente na lista suspensa.

      Neste exemplo, escolheremos **Criar um novo perfil (recomendado)** e forneceremos o nome **copy-trail-events**.  
![\[Escolha opções para copiar CloudTrail eventos\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/copy-trail-events.png)

1. Selecione **Next** (Próximo) para revisar suas escolhas.

1. Na página **Review and create** (Revisar e criar), revise as suas escolhas. Escolha **Edit** (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha **Create event data store** (Criar armazenamento de dados de eventos).

1. O novo armazenamento de dados de eventos está visível na tabela **Armazenamentos de dados de eventos** na página **Armazenamento de dados de eventos**.  
![\[Visualizar armazenamentos de dados de eventos\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/event-data-stores-table.png)

1. Escolha o nome do armazenamento de dados de eventos para visualizar sua página de detalhes. A página de detalhes mostra os detalhes do armazenamento de dados de eventos e o status da cópia. O status da cópia de eventos é mostrado na área **Status da cópia de eventos**.

   Quando uma cópia de evento de trilha é concluída, seu **Copy status** (Status de cópia) é definido como **Completed** (Concluída) se não houve erros ou como **Failed** (Falha) se houve algum erro.  
![\[Visualizar o status da cópia de eventos na página de detalhes\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/event-copy-status.png)

1. Para visualizar mais detalhes sobre a cópia, escolha o nome da cópia na coluna **Localização do log de eventos no S3** ou escolha a opção **Visualizar detalhes** no menu **Ações**. Para obter mais informações sobre como visualizar os detalhes de uma cópia de evento de trilha, consulte [Veja os detalhes da cópia do evento com o CloudTrail console](copy-trail-details.md).  
![\[Visualizar detalhes da cópia de eventos\]](http://docs.aws.amazon.com/pt_br/awscloudtrail/latest/userguide/images/copy-details.png)

1.  A área **Falhas de cópia** mostra todos os erros que ocorreram ao copiar eventos de trilha. Se o **Copy status** (Status da cópia) for **Failed** (Falha), corrija os erros mostrados em **Copy failures** (Falhas ao copiar) e, em seguida, escolha **Retry copy** (Tentar cópia novamente). Quando você tenta fazer uma cópia novamente, CloudTrail retoma a cópia no local em que a falha ocorreu. 

# Veja os detalhes da cópia do evento com o CloudTrail console
<a name="copy-trail-details"></a>

Após o início de uma cópia do evento da trilha, você poderá visualizar os detalhes da cópia do evento, incluindo o status da cópia e informações sobre qualquer falha na cópia.

**nota**  
Os detalhes apresentados na página de detalhes da cópia do evento não estão em tempo real. Os valores reais de detalhes, como **prefixos copiados**, podem ser maiores do que os mostrados na página. CloudTrail atualiza os detalhes de forma incremental ao longo da cópia do evento.

**Para acessar a página de detalhes da cópia de um evento**

1. Faça login no Console de gerenciamento da AWS e abra o CloudTrail console em [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  No painel de navegação esquerdo, em **Lake**, escolha **Armazenamentos de dados de eventos**. 

1. Escolha o armazenamento de dados de eventos.

1. Escolha a cópia do evento na seção **Event copy status** (Status da cópia de um evento).

## Detalhes da cópia
<a name="copy-trail-status"></a>

Em **Copy details** (Detalhes da cópia), é possível visualizar os seguintes detalhes sobre a cópia de evento da trilha.
+ **Event log S3 location** (Local do log de eventos no S3): a localização do bucket do S3 de origem que contém os arquivos de log de eventos da trilha.
+ **Copy ID** (ID da cópia): a identificação da cópia.
+ **Prefixes copied** (Prefixos copiados): representa o número de prefixos do S3 copiados. Durante a cópia de um evento de trilha, CloudTrail copia os eventos nos arquivos de registro de trilha que estão armazenados nos prefixos.
+ **Copy status** (Status da cópia): o status da cópia.
  + **Initializing** (Inicializando): status inicial exibido quando a cópia do evento da trilha é iniciada.
  + **In progress** (Em andamento): indica que a cópia do evento da trilha está em andamento.
**nota**  
Não é possível copiar eventos da trilha quando há outra cópia de evento da trilha **In progress**(Em andamento). Para parar uma cópia de evento da trilha, escolha **Stop copy** (Parar cópia).
  + **Stopped** (Parada): indica que uma ação **Stop copy** (Parar cópia) ocorreu. Para repetir uma cópia de evento da trilha, escolha **Retry copy** (Tentar cópia novamente).
  + **Failed** (Falha): a cópia terminou, mas não foi possível copiar alguns eventos da trilha. Revise as mensagens de erro em **Copy failures** (Falhas da cópia). Para repetir uma cópia de evento da trilha, escolha **Retry copy** (Tentar cópia novamente). Quando você tenta fazer uma cópia novamente, CloudTrail retoma a cópia no local em que a falha ocorreu.
  + **Completed** (Concluída): a cópia terminou sem erros. É possível consultar os eventos da trilha copiados no armazenamento de dados de eventos.
+ **Created time** (Hora da criação): indica quando a cópia do evento da trilha foi iniciada.
+ **Finish time** (Hora de término): indica quando a cópia do evento da trilha foi concluída ou interrompida.

## Falhas da cópia
<a name="copy-trail-failures"></a>

 Em **Copy failures** (Falhas de cópia), é possível revisar o local do erro, a mensagem de erro e o tipo de erro para cada falha de cópia. Os motivos comuns de falha incluem se um prefixo S3 continha um arquivo não compactado ou continha um arquivo fornecido por um serviço diferente de. CloudTrail Outra possível causa de falha está relacionada a problemas de acesso. Por exemplo, se o bucket S3 do repositório de dados de eventos não concedesse CloudTrail acesso para importar os eventos, você receberia um `AccessDenied` erro.

Para cada falha de cópia, revise as informações de erro a seguir.
+  **Error location** (Local do erro) indica o local no bucket do S3 em que o erro ocorreu. Se ocorrese um erro porque o bucket do S3 de origem continha um arquivo não compactado, **Error location** (Local do erro) incluiria o prefixo em que você encontraria esse arquivo. 
+  **Error message** (Mensagem de erro) fornece uma explicação do motivo pelo qual o erro ocorreu. 
+  **Error type** (Tipo de erro) fornece o tipo de erro. Por exemplo, o **Error type** (Tipo de erro) `AccessDenied` indica que o erro ocorreu devido a um problema de permissões. Para obter mais informações sobre as permissões necessárias para copiar eventos da trilha, consulte[Permissões necessárias para copiar eventos da trilha](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions). 

Após resolver qualquer falha, escolha **Retry copy** (Tentar cópia novamente). Quando você tenta fazer uma cópia novamente, CloudTrail retoma a cópia no local em que a falha ocorreu.