Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltung von Wanderwegen mit dem AWS CLI
Das AWS CLI beinhaltet mehrere andere Befehle, die dir helfen, deine Trails zu verwalten. Diese Befehle fügen Tags zu Trails hinzu, rufen den Trail-Status ab, starten und stoppen die Protokollierung für Trails und löschen Trails. Sie müssen diese Befehle in derselben AWS Region ausführen, in der der Trail erstellt wurde (in der Heimatregion). Denken Sie bei der Verwendung von daran AWS CLI, dass Ihre Befehle in der AWS Region ausgeführt werden, die für Ihr Profil konfiguriert ist. Wenn Sie die Befehle in einer anderen Region ausführen möchten, ändern Sie entweder die Standardregion für Ihr Profil, oder verwenden Sie den --region-Parameter mit dem Befehl.
Themen
- Hinzufügen eines oder mehrerer Tags zu einem Trail
- Auflisten von Tags für einen oder mehrere Trails
- Entfernen eines oder mehrerer Tags aus einem Trail
- Abruf von Trail-Einstellungen und des Status eines Trails
- Konfiguration von CloudTrail Insights-Ereignisselektoren
- Konfigurieren von fortschrittlichen Ereignisauswahlen
- Konfiguration grundlegender Event-Selektoren
- Anhalten und Starten der Protokollierung für einen Trail
- Löschen eines Trails
Hinzufügen eines oder mehrerer Tags zu einem Trail
Führen Sie zum Hinzufügen eines oder mehrerer Tags zu einem Trail den Befehl add-tags aus.
Im folgenden Beispiel wird ein Tag mit dem Namen hinzugefügt Owner und der Wert von Mary zu einem Trail mit dem ARN von arn:aws:cloudtrail: in der Region USA Ost (Ohio). us-east-2:123456789012:trail/my-trail
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail--tags-list Key=Owner,Value=Mary--region us-east-2
Bei erfolgreicher Ausführung gibt dieser Befehl nichts zurück.
Auflisten von Tags für einen oder mehrere Trails
Verwenden Sie zur Anzeige der mit einem oder mehreren vorhandenen Trails verbundenen Tags den list-tags-Befehl.
Das folgende Beispiel listet die Tags für Trail1 and Trail2.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
Ist der Befehl erfolgreich, wird eine Ausgabe zurückgegeben, die wie folgt aussehen sollte.
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ] }
Entfernen eines oder mehrerer Tags aus einem Trail
Führen Sie zum Entfernen eines oder mehrerer Tags aus einem vorhandenen Trail den Befehl remove-tags aus.
Im folgenden Beispiel werden Tags mit den Namen entfernt Location and Name von einem Trail mit dem ARN von arn:aws:cloudtrail: in der Region USA Ost (Ohio). us-east-2:123456789012:trail/Trail1
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1--tags-list Key=Name Key=Location --region us-east-2
Bei erfolgreicher Ausführung gibt dieser Befehl nichts zurück.
Abruf von Trail-Einstellungen und des Status eines Trails
Führen Sie den describe-trails Befehl aus, um Informationen über Wanderwege in einer AWS Region abzurufen. Das folgende Beispiel gibt Informationen zu in der Region USA Ost (Ohio) konfigurierten Trails aus.
aws cloudtrail describe-trails --region us-east-2
Wird der Befehl erfolgreich ausgeführt, wird Ihnen eine Ausgabe ähnlich der folgenden angezeigt.
{ "trailList": [ { "Name": "my-trail", "S3BucketName": "amzn-s3-demo-bucket1", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "amzn-s3-demo-bucket2", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "amzn-s3-demo-bucket3", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ] }
Rufen Sie mit dem Befehl get-trail Einstellungsinformationen zu einem bestimmten Trail ab. Im folgenden Beispiel werden Einstellungsinformationen für einen Pfad mit dem Namen zurückgegeben my-trail.
aws cloudtrail get-trail - -namemy-trail
Ist der Befehl erfolgreich, wird eine Ausgabe zurückgegeben, die wie folgt aussehen sollte.
{ "Trail": { "Name": "my-trail", "S3BucketName": "amzn-s3-demo-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, } }
Führen Sie den Befehl get-trail-status aus, um den Status eines Trails abzurufen. Sie müssen diesen Befehl entweder von der AWS Region aus ausführen, in der er erstellt wurde (der Heimatregion), oder Sie müssen diese Region angeben, indem Sie den --region Parameter hinzufügen.
Anmerkung
Wenn es sich bei dem Trail um einen Organisations-Trail handelt und Sie ein Mitgliedskonto in der Organisation sind AWS Organizations, müssen Sie den gesamten ARN Trail angeben und nicht nur den Namen.
aws cloudtrail get-trail-status --namemy-trail
Wird der Befehl erfolgreich ausgeführt, wird Ihnen eine Ausgabe ähnlich der folgenden angezeigt.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Zusätzlich zu den im vorherigen JSON Code angezeigten Feldern enthält der Status die folgenden Felder, falls Amazon SNS - oder Amazon S3 S3-Fehler vorliegen:
-
LatestNotificationError. Enthält den Fehler, der von Amazon ausgegeben wirdSNS, wenn ein Abonnement für ein Thema fehlschlägt. -
LatestDeliveryError. Enthält den von Amazon S3 ausgegebenen Fehler, wenn CloudTrail keine Protokolldatei an einen Bucket gesendet werden kann.
Konfiguration von CloudTrail Insights-Ereignisselektoren
Aktivieren Sie Insights-Ereignisse für einen Trail, indem Sie den Befehl put-insight-selectors ausführen und ApiCallRateInsight und/oder ApiErrorRateInsight als Wert des Attributs InsightType angeben. Um für einen Trail die Einstellungen zur Insights-Auswahl anzuzeigen, führen Sie den Befehl get-insight-selectors aus. Sie müssen diesen Befehl entweder von der AWS Region aus ausführen, in der der Trail erstellt wurde (der Heimatregion), oder Sie müssen diese Region angeben, indem Sie dem Befehl den --region Parameter hinzufügen.
Anmerkung
Um Insights-Ereignisse für ApiCallRateInsight zu protokollieren, muss der Trail write-Verwaltungsereignisse protokollieren. Um Insights-Ereignisse für ApiErrorRateInsight zu protokollieren, muss der Trail read- oder write-Verwaltungsereignisse protokollieren.
Beispiel-Trail zum Protokollieren von Insights-Ereignissen
Das folgende Beispiel verwendetput-insight-selectors, um einen Insights-Ereignisselektor für einen Trail mit dem Namen zu erstellen TrailName3. Dies ermöglicht die Erfassung von Insights-Ereignissen für TrailName3 Spur. Die Insights-Ereignisauswahl protokolliert sowohl ApiErrorRateInsight- als auch ApiCallRateInsight-Insights-Ereignistypen.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
Im Beispiel wird die Insights-Ereignisauswahl zurückgegeben, die für den Trail konfiguriert wurde.
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Beispiel: Sammlung von Insights-Ereignissen deaktivieren
Im folgenden Beispiel wird verwendetput-insight-selectors, um den Insights-Ereignisselektor für einen Trail mit dem Namen zu entfernen TrailName3. Wenn Sie die JSON Zeichenfolge der Insights-Selektoren löschen, wird die Erfassung von Insights-Ereignissen für deaktiviert TrailName3 Spur.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[]'
Im Beispiel wird die jetzt leere Insights-Ereignisauswahl zurückgegeben, die für den Trail konfiguriert wurde.
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
Konfigurieren von fortschrittlichen Ereignisauswahlen
Sie können erweiterte Ereignisauswahlfunktionen verwenden, um Verwaltungsereignisse, Datenereignisse für alle Ressourcentypen und Netzwerkaktivitätsereignisse (in der Vorschau) zu protokollieren. Im Gegensatz dazu können Sie einfache Ereignisauswahlfunktionen verwenden, um Verwaltungsereignisse und Datenereignisse für die AWS::S3::Object Ressourcentypen AWS::DynamoDB::TableAWS::Lambda::Function, und zu protokollieren. Sie können entweder einfache oder erweiterte Ereignisselektoren verwenden, aber nicht beide. Wenn Sie erweiterte Event-Selektoren auf einen Trail anwenden, der einfache Event-Selektoren verwendet, werden die grundlegenden Event-Selektoren überschrieben.
Um einen Trail in erweiterte Event-Selektoren umzuwandeln, führen Sie den get-event-selectors Befehl aus, um die aktuellen Event-Selektoren zu bestätigen, und konfigurieren Sie dann die erweiterten Event-Selektoren so, dass sie der Reichweite der vorherigen Event-Selektoren entsprechen, und fügen Sie dann weitere Selektoren hinzu.
Sie müssen den get-event-selectors Befehl entweder von dem Ort aus ausführen, AWS-Region an dem der Trail erstellt wurde (der Heimatregion), oder Sie müssen diese Region angeben, indem Sie den Parameter hinzufügen. --region
aws cloudtrail get-event-selectors --trail-nameTrailName
Anmerkung
Wenn es sich bei dem Trail um einen Organisationspfad handelt und Sie mit einem Mitgliedskonto in der Organisation angemeldet sind AWS Organizations, müssen Sie den vollständigen ARN Pfad und nicht nur den Namen angeben.
Das folgende Beispiel zeigt die Einstellungen für einen Trail, der erweiterte Event-Selektoren verwendet, um Verwaltungsereignisse zu protokollieren. Standardmäßig ist ein Trail so konfiguriert, dass alle Verwaltungsereignisse und keine Datenereignisse oder Netzwerkaktivitätsereignisse protokolliert werden.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Um eine fortschrittliche Ereignisauswahl zu erstellen, führen Sie den Befehl put-event-selectors aus. Wenn in Ihrem Konto ein Ereignis eintritt, wird die Konfiguration für Ihre Trails CloudTrail ausgewertet. Entspricht das Ereignis einer für den Trail festgelegten fortschrittlichen Ereignisauswahl, verarbeitet und protokolliert der Trail das Ereignis. Sie können bis zu 500 Bedingungen auf einem Trail konfigurieren, einschließlich aller Werte, die für alle erweiterten Ereignisselektoren auf Ihrem Trail angegeben sind. Weitere Informationen erhalten Sie unter Protokollieren von Datenereignissen und Protokollierung von Netzwerkaktivitätsereignissen.
Themen
- Beispiel-Trail mit bestimmten fortschrittlichen Ereignisauswahlen
- Beispiel-Trail, der benutzerdefinierte erweiterte Event-Selektoren verwendet, um AWS Outposts Datenereignisse in Amazon S3 zu protokollieren
- Beispiel für einen Trail, der erweiterte Event-Selektoren verwendet, um Ereignisse auszuschließen AWS Key Management Service
- Beispielpfad, der erweiterte Event-Selektoren verwendet, um Amazon RDS Data API Management-Ereignisse auszuschließen
Beispiel-Trail mit bestimmten fortschrittlichen Ereignisauswahlen
Im folgenden Beispiel werden benutzerdefinierte erweiterte Event-Selektoren für einen Trail mit dem Namen erstellt TrailName um Lese- und Schreibverwaltungsereignisse (durch Weglassen des readOnly Selektors) PutObject und DeleteObject Datenereignisse für alle Amazon S3 S3-Bucket-/Präfix-Kombinationen mit Ausnahme eines Buckets mit dem Namenamzn-s3-demo-bucket, Datenereignisse für eine benannte AWS Lambda MyLambdaFunction Funktion und Netzwerkaktivitätsereignisse für Ereignisse mit AWS KMS Zugriffsverweigerung über einen Endpunkt einzubeziehen. VPC Da es sich um benutzerdefinierte erweiterte Ereignisselektoren handelt, hat jeder Satz von Selektoren einen beschreibenden Namen. Beachten Sie, dass ein abschließender Schrägstrich Teil des Werts für S3-Buckets ist. ARN
aws cloudtrail put-event-selectors --trail-nameTrailName--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] }, { "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"]}, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"]}, { "Field": "errorCode", "Equals": ["VpceAccessDenied"]} ] } ]'
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ] } ] }, { "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["NetworkActivity"] }, { "Field": "eventSource", "Equals": ["kms.amazonaws.com"] }, { "Field": "errorCode", "Equals": ["VpceAccessDenied"] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Beispiel-Trail, der benutzerdefinierte erweiterte Event-Selektoren verwendet, um AWS Outposts Datenereignisse in Amazon S3 zu protokollieren
Das folgende Beispiel zeigt, wie Sie Ihren Trail so konfigurieren, dass er alle Datenereignisse für alle Amazon S3 AWS Outposts S3-Objekte in Ihrem Außenposten enthält. In dieser Version ist der unterstützte Wert für S3 bei AWS Outposts Ereignissen für das resources.type AWS::S3Outposts::Object Feld.
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Der Befehl gibt die folgende Beispielausgabe zurück.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName" }
Beispiel für einen Trail, der erweiterte Event-Selektoren verwendet, um Ereignisse auszuschließen AWS Key Management Service
Im folgenden Beispiel wird ein erweiterter Event-Selektor für einen Trail mit dem Namen erstellt TrailName um Verwaltungsereignisse mit Schreibschutz und Schreibschutz einzubeziehen (durch Weglassen des readOnly Selektors), aber Ereignisse () auszuschließen. AWS Key Management Service AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, entfernen Sie die eventSource Auswahl und führen Sie den Befehl erneut aus.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Um die Protokollierung ausgeschlossener Ereignisse erneut in einen Trail zu starten, entfernen Sie den eventSource-Selektor, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Beispielpfad, der erweiterte Event-Selektoren verwendet, um Amazon RDS Data API Management-Ereignisse auszuschließen
Das folgende Beispiel erstellt einen erweiterten Event-Selektor für einen Trail mit dem Namen TrailName um Verwaltungsereignisse mit Schreibschutz und Schreibschutz einzubeziehen (indem der readOnly Selektor weggelassen wird), aber um Amazon Data-Management-Ereignisse auszuschließen. RDS API Um Amazon RDS API Data-Management-Ereignisse auszuschließen, geben Sie die Amazon RDS API Data-Ereignisquelle im Zeichenfolgenwert für das eventSource Feld an:rdsdata.amazonaws.com.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden Amazon RDS API Data-Management-Ereignisse nicht protokolliert, und Sie können die Einstellungen für die Amazon RDS API Data-Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von Amazon RDS API Data-Management-Ereignissen in einem Trail zu beginnen, entfernen Sie den eventSource Selektor und führen Sie den Befehl erneut aus.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Um die Protokollierung ausgeschlossener Ereignisse erneut in einen Trail zu starten, entfernen Sie den eventSource-Selektor, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Konfiguration grundlegender Event-Selektoren
Sie können nur grundlegende Ereignisselektoren verwenden, um Verwaltungsereignisse und Datenereignisse für die AWS::S3::Object Ressourcentypen AWS::DynamoDB::TableAWS::Lambda::Function, und zu protokollieren. Sie können Verwaltungsereignisse, alle Datenressourcentypen und Netzwerkaktivitätsereignisse (in der Vorschau) protokollieren, indem Sie erweiterte Ereignisauswahlfunktionen verwenden.
Sie können entweder einfache oder erweiterte Ereignisauswahlen verwenden, aber nicht beide. Wenn Sie einfache Event-Selektoren auf einen Trail anwenden, der erweiterte Event-Selektoren verwendet, werden die erweiterten Event-Selektoren überschrieben.
Um für einen Trail die Einstellungen zu den Ereignisauswahlen anzuzeigen, führen Sie den get-event-selectors-Befehl aus. Sie müssen diesen Befehl entweder von dem Ort aus ausführen, AWS-Region an dem er erstellt wurde (in der Heimatregion), oder Sie müssen diese Region mithilfe des Parameters angeben. --region
aws cloudtrail get-event-selectors --trail-nameTrailName
Anmerkung
Wenn es sich bei dem Trail um einen Organisations-Trail handelt und Sie ein Mitgliedskonto in der Organisation sind AWS Organizations, müssen Sie den gesamten ARN Trail angeben und nicht nur den Namen.
Das folgende Beispiel zeigt die Einstellungen für einen Trail, der grundlegende Ereignisauswahlfunktionen verwendet, um Verwaltungsereignisse zu protokollieren.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Um eine Ereignisauswahl zu erstellen, führen Sie den Befehl put-event-selectors aus. Wenn Sie mit dem Trail Insights-Ereignisse protokollieren möchten, stellen Sie sicher, dass die Ereignisauswahl die Protokollierung der Insights-Typen aktiviert, für die Sie Ihren Trail konfigurieren möchten. Weitere Informationen zum Protokollieren von Insights-Ereignissen finden Sie unter Protokollieren von Insights-Ereignissen.
Wenn in Ihrem Konto ein Ereignis eintritt, wird die Konfiguration für Ihre Trails CloudTrail ausgewertet. Entspricht das Ereignis einer für den Trail festgelegten Ereignisauswahl, verarbeitet und protokolliert der Trail das Ereignis. Sie können bis zu 5 Ereignisauswahlen und bis zu 250 Datenressourcen für einen Trail konfigurieren. Weitere Informationen finden Sie unter Protokollieren von Datenereignissen.
Themen
- Beispiel-Trail mit bestimmten Ereignisauswahlen
- Beispiel-Trail, für den alle Verwaltungs- und Datenereignisse protokolliert werden
- Beispiel für einen Trail, der keine Ereignisse protokolliert AWS Key Management Service
- Ein Beispielpfad, der relevante Ereignisse mit geringem Volumen AWS Key Management Service protokolliert
- Beispiel-Trail, der keine RDS API Amazon-Datenereignisse protokolliert
Beispiel-Trail mit bestimmten Ereignisauswahlen
Im folgenden Beispiel wird ein Event-Selector für einen Trail mit dem Namen erstellt TrailName um Verwaltungsereignisse mit Schreibschutz und Schreibschutz, Datenereignisse für zwei Amazon S3 S3-Bucket-/Präfix-Kombinationen und Datenereignisse für eine einzelne Funktion mit dem Namen einzubeziehen AWS Lambda hello-world-python-function.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
Das Beispiel gibt die für den Trail konfigurierte Ereignisauswahl zurück.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Beispiel-Trail, für den alle Verwaltungs- und Datenereignisse protokolliert werden
Das folgende Beispiel erstellt einen Event-Selektor für einen Trail mit dem Namen TrailName2 dazu gehören alle Verwaltungsereignisse, einschließlich Verwaltungsereignisse mit Schreibschutz und Schreibschutz, sowie Datenereignisse für alle Amazon S3 S3-Buckets, AWS Lambda Funktionen und Amazon DynamoDB-Tabellen in der. AWS-Konto Da dieses Beispiel grundlegende Event-Selektoren verwendet, kann es nicht die Protokollierung von S3-Ereignissen auf AWS Outposts Amazon Managed Blockchain JSON — RPC Aufrufen auf Ethereum-Knoten oder anderen erweiterten Event-Selector-Ressourcentypen konfigurieren. Sie können Netzwerkaktivitätsereignisse auch nicht mit einfachen Event-Selektoren protokollieren. Sie müssen erweiterte Ereignisauswahlfunktionen verwenden, um Netzwerkaktivitätsereignisse und Datenereignisse für alle anderen Ressourcentypen zu protokollieren. Weitere Informationen finden Sie unter Konfigurieren von fortschrittlichen Ereignisauswahlen.
Anmerkung
Wenn der Trail nur für eine Region gilt, werden nur Ereignisse in dieser Region protokolliert, auch wenn die Ereignisauswahlparameter alle Amazon-S3-Buckets und Lambda-Funktionen angeben. Ereignisauswahlen gelten nur für die Regionen, in denen der Trail erstellt wurde.
aws cloudtrail put-event-selectors --trail-nameTrailName2--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
Das Beispiel gibt die für den Trail konfigurierten Ereignisauswahlen zurück.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }
Beispiel für einen Trail, der keine Ereignisse protokolliert AWS Key Management Service
Im folgenden Beispiel wird eine Ereignisauswahl für einen Trail mit dem Namen erstellt TrailName um Verwaltungsereignisse mit Schreibschutz und Schreibschutz einzubeziehen, Ereignisse jedoch auszuschließen (). AWS Key Management Service AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst. Der Benutzer in diesem Beispiel hat sich entschieden, AWS KMS -Ereignisse für jeden Trail – bis auf einen – auszuschließen. Fügen Sie Ihren Ereignisauswahlen zum Ausschließen einer Ereignisquelle das Element ExcludeManagementEventSources hinzu und geben Sie im Zeichenfolgenwert eine Ereignisquelle an.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert vonExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
Im Beispiel wird die Ereignisauswahl zurückgegeben, die für den Trail konfiguriert ist.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert vonExcludeManagementEventSources, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Ein Beispielpfad, der relevante Ereignisse mit geringem Volumen AWS Key Management Service protokolliert
Im folgenden Beispiel wird eine Ereignisauswahl für einen Trail mit dem Namen erstellt TrailName um Verwaltungsereignisse und Ereignisse einzubeziehen, die nur Schreibzugriff haben. AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehrere Protokolle haben, in denen Verwaltungsereignisse erfasst werden. Der Benutzer in diesem Beispiel hat sich dafür entschieden, AWS KMS Write-Ereignisse einzubeziehenDisable, zu denen auch Delete und gehörenScheduleKey, aber nicht mehr umfangreiche Aktionen wieEncrypt,Decrypt, und GenerateDataKey (diese werden jetzt als Lese-Ereignisse behandelt).
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Im Beispiel wird die Ereignisauswahl zurückgegeben, die für den Trail konfiguriert ist. Dadurch werden Verwaltungsereignisse, einschließlich Ereignisse, nur für Schreibvorgänge protokolliert. AWS KMS
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Beispiel-Trail, der keine RDS API Amazon-Datenereignisse protokolliert
Das folgende Beispiel erstellt einen Event-Selector für einen Trail mit dem Namen TrailName um Verwaltungsereignisse mit Schreibschutz und Schreibschutz einzubeziehen, Amazon Data-Ereignisse jedoch auszuschließen. RDS API Da Amazon RDS API Data-Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst. Der Benutzer in diesem Beispiel hat sich dafür entschieden, Amazon RDS API Data-Ereignisse von allen Spuren bis auf einen auszuschließen. Um eine Ereignisquelle auszuschließen, fügen Sie ExcludeManagementEventSources sie zu Ihren Event-Selektoren hinzu und geben Sie die Amazon RDS API Data-Ereignisquelle in der Zeichenfolge value an:rdsdata.amazonaws.com.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden Amazon RDS API Data-Ereignisse nicht protokolliert, und Sie können die Einstellungen für die Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von Amazon RDS Data API Management-Ereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert vonExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
Im Beispiel wird die Ereignisauswahl zurückgegeben, die für den Trail konfiguriert ist.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Um wieder mit der Protokollierung von Amazon RDS Data API Management-Ereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert vonExcludeManagementEventSources, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Anhalten und Starten der Protokollierung für einen Trail
Die folgenden Befehle starten und beenden die CloudTrail Protokollierung.
aws cloudtrail start-logging --nameawscloudtrail-example
aws cloudtrail stop-logging --nameawscloudtrail-example
Anmerkung
Führen Sie vor dem Löschen eines Buckets den Befehl stop-logging aus, um die Bereitstellung von Ereignissen im Bucket zu beenden. Wenn Sie die Protokollierung nicht beenden, wird CloudTrail versucht, Protokolldateien für einen begrenzten Zeitraum in einen Bucket mit demselben Namen zu übertragen.
Wenn Sie die Protokollierung beenden oder einen Trail löschen, ist CloudTrail Insights für diesen Trail deaktiviert.
Löschen eines Trails
Wenn Sie CloudTrail Verwaltungsereignisse in Amazon Security Lake aktiviert haben, müssen Sie mindestens einen organisatorischen Pfad verwalten, der mehrere Regionen umfasst read und sowohl Verwaltungsereignisse als auch write Verwaltungsereignisse protokolliert. Sie können einen Trail nicht löschen, wenn er der einzige Trail ist, den Sie haben, der diese Anforderung erfüllt, es sei denn, Sie deaktivieren CloudTrail Verwaltungsereignisse in Security Lake.
Sie können einen Trail mit dem folgenden Befehl löschen. Sie können einen Trail nur in der Region Löschen, in der er erstellt wurde (Home Region).
aws cloudtrail delete-trail --nameawscloudtrail-example
Wenn Sie einen Trail löschen, löschen Sie weder den Amazon S3 S3-Bucket noch das damit verknüpfte SNS Amazon-Thema. Verwenden Sie den Dienst AWS Management Console AWS CLI, oder, API um diese Ressourcen separat zu löschen.
