Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
In diesem Abschnitt werden grundlegende Konzepte zusammengefasst, die sich auf CloudTrail.
Konzepte:
CloudTrail Ereignisse
Ein Ereignis in CloudTrail ist die Aufzeichnung einer Aktivität in einem AWS Konto. Bei dieser Aktivität kann es sich um eine Aktion handeln, die von einer IAM-Identität oder einem Dienst ausgeführt wird, der von überwacht werden kann. CloudTrail CloudTrailEreignisse bieten eine Historie sowohl der API- als auch der Nicht-API-Kontoaktivitäten AWS Management Console, die über die, AWS SDKs, Befehlszeilentools und andere Dienste ausgeführt wurden. AWS
CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass Ereignisse nicht in einer bestimmten Reihenfolge angezeigt werden.
CloudTrail protokolliert vier Arten von Ereignissen:
Alle Ereignistypen verwenden ein CloudTrail JSON-Protokollformat.
Standardmäßig protokollieren Trails und Ereignisdatenspeicher Verwaltungsereignisse, aber keine Daten- oder Insights-Ereignisse.
Informationen zur AWS-Services Integration mit finden Sie CloudTrail unterAWS Servicethemen für CloudTrail.
Verwaltungsereignisse
Verwaltungsereignisse enthalten Informationen über Verwaltungsvorgänge, die mit Ressourcen in Ihrem AWS Konto ausgeführt werden. Sie werden auch als Vorgänge auf Steuerebene bezeichnet.
Beispiele für Verwaltungsereignisse:
-
Konfiguration der Sicherheit (z. B. AWS Identity and Access Management
AttachRolePolicyAPI-Operationen). -
Registrierung von Geräten (z. B. EC2
CreateDefaultVpcAmazon-API-Operationen). -
Konfiguration von Regeln für das Routing von Daten (z. B. EC2
CreateSubnetAmazon-API-Operationen). -
Einrichtung der Protokollierung (z. B. AWS CloudTrail
CreateTrailAPI-Operationen).
Verwaltungsereignisse können auch andere als API-Ereignisse einschließen, die in Ihrem Konto auftreten. Wenn sich beispielsweise ein Benutzer bei Ihrem Konto CloudTrail anmeldet, wird das ConsoleLogin Ereignis protokolliert. Weitere Informationen finden Sie unter Nicht-API-Ereignisse, erfasst von CloudTrail.
In den Ereignisdaten von CloudTrail Trails und CloudTrail Lake werden standardmäßig Verwaltungsereignisse gespeichert. Weitere Informationen zur Protokollierung von Verwaltungsereignissen finden Sie unterProtokollieren von Verwaltungsereignissen.
Datenereignisse
Datenereignisse liefern Informationen zu Ressourcenoperationen, die für oder innerhalb einer Ressource ausgeführt wurden. Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume.
Beispiele für Datenereignisse:
-
Amazon S3 S3-API-Aktivität auf Objektebene (z. B.,
GetObjectDeleteObject, undPutObjectAPI-Operationen) für Objekte in S3-Buckets. -
AWS Lambda Aktivität zur Ausführung von Funktionen (die
InvokeAPI). -
CloudTrail
PutAuditEventsAktivität auf einem CloudTrail Lake-Kanal, der verwendet wird, um Ereignisse von außen zu protokollieren AWS. -
Publish- undPublishBatch-API-Operationen von Amazon SNS zu Themen.
In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Datenspeicher für Pfade und Ereignisse verfügbar sind. In der Spalte Ressourcentyp (Konsole) wird die entsprechende Auswahl in der Konsole angezeigt. In der Wertspalte resources.type wird der resources.type Wert angezeigt, den Sie angeben würden, um Datenereignisse dieses Typs mit oder in Ihren Trail- oder Event-Datenspeicher aufzunehmen. AWS CLI CloudTrail APIs
Für Trails können Sie einfache oder erweiterte Event-Selektoren verwenden, um Datenereignisse für Amazon S3 S3-Objekte in Allzweck-Buckets, Lambda-Funktionen und DynamoDB-Tabellen (in den ersten drei Zeilen der Tabelle dargestellt) zu protokollieren. Sie können nur erweiterte Event-Selektoren verwenden, um die in den verbleibenden Zeilen angezeigten Ressourcentypen zu protokollieren.
Für Ereignisdatenspeicher können Sie nur erweiterte Ereignisselektoren verwenden, um Datenereignisse einzubeziehen.
| AWS-Service | Beschreibung | Ressourcentyp (Konsole) | resources.type-Wert |
|---|---|---|---|
| Amazon-DynamoDB | Amazon DynamoDB DynamoDB-API-Aktivität auf Artikelebene für Tabellen (z. B., AnmerkungBei Tabellen mit aktivierten Streams enthält das |
DynamoDB |
|
| AWS Lambda | AWS Lambda Aktivität zur Funktionsausführung (die |
Lambda | AWS::Lambda::Function |
| Amazon S3 | API-Aktivitäten auf Amazon S3 S3-Objektebene (z. B., |
S3 | AWS::S3::Object |
| AWS AppConfig | AWS AppConfig API-Aktivität für Konfigurationsvorgänge wie Aufrufe von und. |
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | AWS AppSync API-Aktivität auf AppSync GraphQL APIs. |
AppSync GraphQL | AWS::AppSync::GraphQLApi |
| AWS B2B-Datenaustausch | B2B-Datenaustausch-API-Aktivität für Transformer-Operationen wie Aufrufe von |
B2B-Datenaustausch | AWS::B2BI::Transformer |
| AWS Backup | AWS Backup Suchdaten-API-Aktivität bei Suchaufträgen. |
AWS Backup Daten durchsuchen APIs | AWS::Backup::SearchJob |
| Amazon Bedrock | Amazon-Bedrock-API-Aktivität auf einem Agent-Alias. | Bedrock-Agent-Alias | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | Amazon Bedrock API-Aktivität bei asynchronen Aufrufen. | Asynchroner Aufruf von Bedrock | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | Amazon Bedrock API-Aktivität für einen Flow-Alias. | Bedrock Flow-Alias | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | Amazon Bedrock API-Aktivität auf Leitplanken. | Grundfels-Leitplanke | AWS::Bedrock::Guardrail |
| Amazon Bedrock | Amazon Bedrock API-Aktivität auf Inline-Agenten. | Bedrock Inline-Agent aufrufen | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | Amazon-Bedrock-API-Aktivität auf einer Wissensdatenbank. | Bedrock-Wissensdatenbank | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | Amazon Bedrock API-Aktivität für Modelle. | Bedrock-Modell | AWS::Bedrock::Model |
| Amazon Bedrock | Amazon Bedrock API-Aktivität bei Eingabeaufforderungen. | Bedrock-Eingabeaufforderung | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | Amazon Bedrock API-Aktivität in Sitzungen. | Bedrock-Sitzung | AWS::Bedrock::Session |
| Amazon CloudFront | CloudFront API-Aktivität auf einem KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS Cloud Map | AWS Cloud Map API-Aktivität in einem Namespace. | AWS Cloud Map Namespace | |
| AWS Cloud Map | AWS Cloud Map API-Aktivität für einen Dienst. | AWS Cloud Map Service nicht zulässig | |
| AWS CloudTrail | CloudTrail |
CloudTrail Kanal | AWS::CloudTrail::Channel |
| Amazon CloudWatch | CloudWatch Amazon-API-Aktivität in Bezug auf Metriken. |
CloudWatch Metrik | AWS::CloudWatch::Metric |
| Amazon CloudWatch Network Flow Monitor | Amazon CloudWatch Network Flow Monitor-API-Aktivität auf Monitoren. |
Network Flow Monitor überwachen | AWS::NetworkFlowMonitor::Monitor |
| Amazon CloudWatch Network Flow Monitor | Amazon CloudWatch Network Flow Monitor-API-Aktivität in Bereichen. |
Umfang von Network Flow Monitor | AWS::NetworkFlowMonitor::Scope |
| Amazon CloudWatch RUM | Amazon CloudWatch RUM-API-Aktivität auf App-Monitoren. |
RUM-App-Monitor | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | CodeGuru Profiler-API-Aktivität für Profilerstellungsgruppen. | CodeGuru Profiler-Profilerstellungsgruppe | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | CodeWhisperer Amazon-API-Aktivität bei einer Anpassung. | CodeWhisperer Anpassung | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | CodeWhisperer Amazon-API-Aktivität in einem Profil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | API-Aktivität von Amazon Cognito in Amazon-Cognito-Identitätspools. |
Cognito-Identitätspools | AWS::Cognito::IdentityPool |
| AWS Data Exchange | AWS Data Exchange API-Aktivität für Vermögenswerte. |
Datenaustausch-Asset |
|
| AWS Deadline Cloud | Deadline CloudAPI-Aktivität auf Flotten. |
Deadline Cloud Flotte |
|
| AWS Deadline Cloud | Deadline CloudAPI-Aktivität für Jobs. |
Deadline Cloud Arbeit |
|
| AWS Deadline Cloud | Deadline CloudAPI-Aktivität in Warteschlangen. |
Deadline Cloud Warteschlange |
|
| AWS Deadline Cloud | Deadline CloudAPI-Aktivität für Mitarbeiter. |
Deadline Cloud Arbeiter |
|
| Amazon-DynamoDB | API-Aktivitäten von Amazon DynamoDB in Streams. |
DynamoDB-Streams | AWS::DynamoDB::Stream |
| AWS SMS-Nachrichten für Endbenutzer | AWS SMS-API-Aktivität für Endbenutzer-Nachrichten auf Originalidentitäten. | Identität der SMS-Sprachquelle | AWS::SMSVoice::OriginationIdentity |
| AWS SMS-Nachrichten für Endbenutzer | AWS SMS-API-Aktivität für Endbenutzer-Nachrichten in Bezug auf Nachrichten. | SMS-Sprachnachricht | AWS::SMSVoice::Message |
| AWS Nachrichtenübermittlung für Endbenutzer in sozialen Netzwerken | AWS Social API-Aktivität für Endbenutzer im Bereich Messaging auf der Telefonnummer IDs. | ID der Telefonnummer für soziale Nachrichten | AWS::SocialMessaging::PhoneNumberId |
| AWS Social Messaging für Endbenutzer | AWS Soziale API-Aktivität für Endbenutzer-Messaging auf Waba IDs. | Waba-ID für soziale Nachrichten | AWS::SocialMessaging::WabaId |
| Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) direkt APIs, wie |
Amazon EBS direkt APIs | AWS::EC2::Snapshot |
| Amazon EMR | Amazon EMR-API-Aktivität in einem Write-Ahead-Log-Workspace. | EMR-Write-Ahead-Log-Workspace | AWS::EMRWAL::Workspace |
| Amazon FinSpace | API-Aktivitäten von Amazon FinSpace in Umgebungen. |
FinSpace | AWS::FinSpace::Environment |
| AWS Glue | AWS Glue API-Aktivität für Tabellen, die von Lake Formation erstellt wurden. |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | GuardDuty Amazon-API-Aktivität für einen Detektor. |
GuardDuty Detektor | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging API-Aktivität in Datenspeichern. |
MedicalImaging Datenspeicher | AWS::MedicalImaging::Datastore |
| AWS IoT | IoT-Zertifikat | AWS::IoT::Certificate |
|
| AWS IoT | IoT-Sache | AWS::IoT::Thing |
|
| AWS IoT Greengrass Version 2 | Greengrass-API-Aktivität von einem Greengrass-Core-Gerät auf einer Komponentenversion. AnmerkungGreengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde. |
IoT Greengrass-Komponentenversion | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | Greengrass-API-Aktivität von einem Greengrass-Core-Gerät in einer Bereitstellung. AnmerkungGreengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde. |
Einsatz von IoT Greengrass | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | SiteWise IoT-Anlage | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | SiteWise IoT-Zeitreihen | AWS::IoTSiteWise::TimeSeries |
|
| AWS IoT SiteWise Assistentin | API-Aktivität des Sitewise Assistant bei Konversationen. |
Sitewise Assistant-Konversation | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | TwinMaker IoT-API-Aktivität für eine Entität. |
TwinMaker IoT-Entität | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | TwinMaker IoT-API-Aktivität in einem Workspace. |
TwinMaker IoT-Arbeitsplatz | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | API-Aktivität von Amazon Kendra Intelligent Rankin für Rescore-Ausführungspläne. |
Kendra-Rangliste | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (für Apache Cassandra) | Amazon Keyspaces-API-Aktivität in einer Tabelle. | Cassandra-Tabelle | AWS::Cassandra::Table |
| Amazon Kinesis Data Streams | Kinesis Data Streams API-Aktivität in Streams. | Kinesis-Stream | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | Kinesis Data Streams API-Aktivität auf Stream-Verbrauchern. | Kinesis Stream Consumer | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | Kinesis Video Streams Streams-API-Aktivitäten in Videostreams, z. B. Aufrufe von GetMedia undPutMedia. |
Kinesis-Videostream | AWS::KinesisVideo::Stream |
| Amazon Location Maps | API-Aktivität von Amazon Location Maps. | Geokarten | AWS::GeoMaps::Provider |
| Amazon Location Places | API-Aktivität von Amazon Location Places. | Geo & Places | AWS::GeoPlaces::Provider |
| Amazon Location Routes | API-Aktivität von Amazon Location Routes. | Geo-Routen | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | API-Aktivität für Machine Learning auf ML-Modellen. | Passendes Lernen MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | API-Aktivität von Amazon Managed Blockchain in einem Netzwerk. |
Managed-Blockchain-Netzwerk | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | JSON-RPC-Aufrufe von Amazon Managed Blockchain in Ethereum-Knoten, zum Beispiel |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain Query | API-Aktivität für Amazon Managed Blockchain Query. |
Verwaltete Blockchain-Abfrage | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows für Apache Airflow | Amazon MWAA-API-Aktivität in Umgebungen. |
Verwalteter Apache Airflow | AWS::MWAA::Environment |
| Amazon-Neptune-Graph | Daten-API-Aktivitäten in einem Neptune-Graph, zum Beispiel Abfragen, Algorithmen oder Vektorsuche. |
Neptun-Graph | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | Amazon One Enterprise API-Aktivität auf einem UKey. |
Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | Amazon One Enterprise API-Aktivität für Benutzer. |
Amazon One-Benutzer | AWS::One::User |
| AWS Payment Cryptography | AWS Payment Cryptography API-Aktivität für Aliase. | Alias für Zahlungskryptografie | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | AWS Payment Cryptography API-Aktivität für Schlüssel. | Kryptografie-Schlüssel für Zahlungen | AWS::PaymentCryptography::Key |
| AWS Private CA | AWS Private CA Konnektor für Active Directory-API-Aktivitäten. |
AWS Private CA Konnektor für Active Directory | AWS::PCAConnectorAD::Connector |
| AWS Private CA | AWS Private CA Konnektor für die SCEP-API-Aktivität. |
AWS Private CA Konnektor für SCEP | AWS::PCAConnectorSCEP::Connector |
| Amazon Pinpoint | Amazon Pinpoint API-Aktivität in mobilen Targeting-Anwendungen. |
Anwendung für mobiles Targeting | AWS::Pinpoint::App |
| Amazon Q Apps | Daten-API-Aktivität auf Amazon Q Apps. |
Amazon Q Apps | AWS::QApps::QApp |
| Amazon Q Apps | Daten-API-Aktivität in Amazon Q App-Sitzungen. |
Amazon Q App-Sitzung | AWS::QApps::QAppSession |
| Amazon Q Business | Amazon-Q-Business-API-Aktivität auf einer Anwendung. |
Amazon-Q-Business-Anwendung | AWS::QBusiness::Application |
| Amazon Q Business | Amazon-Q-Business-API-Aktivität auf einer Datenquelle. |
Amazon-Q-Business-Datenquelle | AWS::QBusiness::DataSource |
| Amazon Q Business | Amazon-Q-Business-API-Aktivität auf einem Index. |
Amazon-Q-Business-Index | AWS::QBusiness::Index |
| Amazon Q Business | Amazon-Q-Business-API-Aktivität auf einem Weberlebnis. |
Amazon-Q-Business-Weberlebnis | AWS::QBusiness::WebExperience |
| Amazon Q Developer | Amazon Q Developer API-Aktivität für eine Integration. |
Q: Integration für Entwickler | AWS::QDeveloper::Integration |
| Amazon Q Developer | Amazon Q Developer API-Aktivität im Zusammenhang mit operativen Untersuchungen. |
AIOps Ermittlungsgruppe | AWS::AIOps::InvestigationGroup |
| Amazon RDS | Amazon RDS-API-Aktivität in einem DB-Cluster. |
RDS-Daten-API — DB-Cluster | AWS::RDS::DBCluster |
| AWS Ressourcen Explorer | Resource Explorer-API-Aktivität in verwalteten Ansichten. |
AWS Ressourcen Explorer verwaltete Ansicht | AWS::ResourceExplorer2::ManagedView |
| AWS Ressourcen Explorer | Resource Explorer-API-Aktivität für Ansichten. |
AWS Ressourcen Explorer anzeigen | AWS::ResourceExplorer2::View |
| Amazon S3 | Amazon S3 S3-API-Aktivität auf Access Points. |
S3-Zugangspunkt | AWS::S3::AccessPoint |
| Amazon S3 | Amazon S3 S3-API-Aktivität auf Objektebene (z. B., |
S3 Express | AWS::S3Express::Object |
| Amazon S3 | API-Aktivitäten für Amazon S3 Object Lambda Access Points, z. B. Aufrufe von |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 Tables | Amazon S3 S3-API-Aktivität für Tabellen. |
S3-Tabelle | AWS::S3Tables::Table |
| Amazon S3 Tables | Amazon S3 S3-API-Aktivität für Tabellen-Buckets. |
S3-Tabell-Bucket | AWS::S3Tables::TableBucket |
| Amazon S3 on Outposts | API-Aktivität auf Objektebene auf Amazon S3 on Outposts. |
S3-Outposts | AWS::S3Outposts::Object |
| Amazon SageMaker KI | SageMaker InvokeEndpointWithResponseStreamAmazon-KI-Aktivitäten auf Endpunkten. |
SageMaker KI-Endpunkt | AWS::SageMaker::Endpoint |
| Amazon SageMaker KI | Amazon SageMaker AI-API-Aktivität in Feature-Stores. |
SageMaker KI-Featurestore | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker KI | Amazon SageMaker AI-API-Aktivität für Komponenten von Experimenten und Studien. |
SageMaker Komponente für das Experiment mit KI-Metriken | AWS::SageMaker::ExperimentTrialComponent |
| AWS Signer | API-Aktivität des Unterzeichners beim Signieren von Aufträgen. |
Job beim Signieren durch den Unterzeichner | AWS::Signer::SigningJob |
| AWS Signer | API-Aktivität des Unterzeichners bei Signierprofilen. |
Signaturprofil des Unterzeichners | AWS::Signer::SigningProfile |
| Amazon SimpleDB | Amazon SimpleDB SimpleDB-API-Aktivität auf Domains. |
SimpleDB-Domäne | AWS::SDB::Domain |
| Amazon SNS |
|
SNS-Plattformendpunkt | AWS::SNS::PlatformEndpoint |
| Amazon SNS |
|
SNS-Thema | AWS::SNS::Topic |
| Amazon SQS | Amazon-SQS-API-Aktivität auf Nachrichten. |
SQS | AWS::SQS::Queue |
| AWS Step Functions | API-Aktivität von Step Functions für Aktivitäten. |
Step Functions | AWS::StepFunctions::Activity |
| AWS Step Functions | API-Aktivität von Step Functions auf Zustandsmaschinen. |
Step-Functions-Zustandsautomat | AWS::StepFunctions::StateMachine |
| AWS Supply Chain | AWS Supply Chain API-Aktivität auf einer Instanz. |
Lieferkette | AWS::SCN::Instance |
| Amazon SWF | SWF-Domäne | AWS::SWF::Domain |
|
| AWS Systems Manager | Systems Manager Manager-API-Aktivität auf Kontrollkanälen. | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | API-Aktivität von Systems Manager im Zusammenhang mit Folgenabschätzungen. | SSM-Folgenabschätzung | AWS::SSM::ExecutionPreview |
| AWS Systems Manager | Systems Manager Manager-API-Aktivität auf verwalteten Knoten. | Von Systems Manager verwalteter Knoten | AWS::SSM::ManagedNode |
| Amazon Timestream | Query-API-Aktivität von Amazon Timestream in Datenbanken. |
Timestream-Datenbank | AWS::Timestream::Database |
| Amazon Timestream | Amazon Timestream Timestream-API-Aktivität auf regionalen Endpunkten. | Regionaler Timestream-Endpunkt | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | Query-API-Aktivität von Amazon Timestream in Tabellen. |
Timestream-Tabelle | AWS::Timestream::Table |
| Amazon Verified Permissions | API-Aktivität von Amazon Verified Permissions in einem Richtlinienspeicher. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces Thin Client | WorkSpaces Thin Client-API-Aktivität auf einem Gerät. | Thin-Client-Gerät | AWS::ThinClient::Device |
| Amazon WorkSpaces Thin Client | WorkSpaces Thin Client-API-Aktivität in einer Umgebung. | Thin-Client-Umgebung | AWS::ThinClient::Environment |
| AWS X-Ray | Röntgenspur | AWS::XRay::Trace |
Datenereignisse werden standardmäßig nicht protokolliert, wenn Sie einen Trail oder einen Ereignisdatenspeicher erstellen. Um CloudTrail Datenereignisse aufzuzeichnen, müssen Sie jeden Ressourcentyp, für den Sie Aktivitäten erfassen möchten, explizit hinzufügen. Weitere Informationen zum Protokollieren von Datenereignissen finden Sie unter Protokollieren von Datenereignissen.
Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. CloudTrail Preisinformationen finden Sie unter AWS CloudTrail Preisgestaltung
Ereignisse im Zusammenhang mit Netzwerkaktivitäten
CloudTrail Netzwerkaktivitätsereignisse ermöglichen es VPC-Endpunktbesitzern, AWS API-Aufrufe aufzuzeichnen, die mit ihren VPC-Endpunkten von einer privaten VPC an die getätigt wurden. AWS-Service Netzwerkaktivitätsereignisse bieten Einblick in die Ressourcenoperationen, die in einer VPC ausgeführt werden.
Sie können Netzwerkaktivitätsereignisse für die folgenden Dienste protokollieren:
-
AWS CloudTrail
-
Amazon EC2
-
AWS KMS
-
Amazon S3
Anmerkung
Amazon S3 Multiregion Access Points werden nicht unterstützt.
-
AWS Secrets Manager
Netzwerkaktivitätsereignisse werden standardmäßig nicht protokolliert, wenn Sie einen Trail- oder Event-Datenspeicher erstellen. Um CloudTrail Netzwerkaktivitätsereignisse aufzuzeichnen, müssen Sie die Ereignisquelle, für die Sie Aktivitäten erfassen möchten, explizit angeben. Weitere Informationen finden Sie unter Protokollierung von Netzwerkaktivitätsereignissen.
Für die Protokollierung von Netzwerkaktivitätsereignissen fallen zusätzliche Gebühren an. CloudTrail Die Preise finden Sie unter AWS CloudTrail Preise
Einblicke und Ereignisse
CloudTrail Insights-Ereignisse erfassen ungewöhnliche API-Aufruf- oder Fehlerquoten in Ihrem AWS Konto, indem sie die CloudTrail Verwaltungsaktivitäten analysieren. Insights-Ereignisse stellen relevante Informationen bereit, z. B. die zugehörige API, den Fehlercode, die Vorfallzeit und Statistiken, die Ihnen helfen, ungewöhnliche Aktivitäten zu verstehen und darauf zu reagieren. Im Gegensatz zu anderen Arten von Ereignissen, die in einem CloudTrail Trail- oder Event-Datenspeicher erfasst werden, werden Insights-Ereignisse nur protokolliert, wenn Änderungen in der API-Nutzung Ihres Kontos oder bei der Protokollierung der Fehlerquote CloudTrail festgestellt werden, die sich erheblich von den typischen Nutzungsmustern des Kontos unterscheiden. Weitere Informationen finden Sie unter Mit CloudTrail Insights arbeiten.
Beispiele für Aktivitäten, bei denen ggf. Inights-Ereignisse generiert werden, sind:
-
Für Ihr Konto werden pro Minute normalerweise nicht mehr als 20
deleteBucket-API-Aufrufe vom Typ Amazon S3 protokolliert, aber unter Ihrem Konto werden nun durchschnittlich 100deleteBucket-API-Aufrufe pro Minute protokolliert. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Aktivitäten protokolliert und ein anderes Insights-Ereignis wird protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren. -
Ihr Konto protokolliert normalerweise 20 Aufrufe pro Minute an die EC2
AuthorizeSecurityGroupIngressAmazon-API, aber Ihr Konto beginnt, keine Aufrufe an zu protokollierenAuthorizeSecurityGroupIngress. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Aktivitäten protokolliert und zehn Minuten später, nachdem die ungewöhnlichen Aktivitäten nicht mehr auftreten, wird ein anderes Insights-Ereignis protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren. -
Ihr Konto protokolliert normalerweise weniger als einen
AccessDeniedException-Fehler in einem Zeitraum von sieben Tagen in der AWS Identity and Access Management -API,DeleteInstanceProfile. Ihr Konto beginnt mit der Protokollierung von durchschnittlich 12AccessDeniedException-Fehlern pro Minute für denDeleteInstanceProfile-API-Aufruf. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Fehlerraten-Aktivitäten protokolliert und ein anderes Insights-Ereignis wird protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren.
Diese Beispiele dienen nur zur Veranschaulichung. Ihre Ergebnisse können je nach Anwendungsfall abweichen.
Um CloudTrail Insights-Ereignisse zu protokollieren, müssen Sie Insights-Ereignisse explizit in einem neuen oder vorhandenen Trail- oder Event-Datenspeicher aktivieren. Weitere Informationen zum Erstellen eines Trails finden Sie unter Einen Trail mit der CloudTrail Konsole erstellen. Weitere Informationen zum Erstellen eines Ereignisdatenspeichers finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Insights-Ereignisse.
Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung
Ereignisverlauf
CloudTrail Der Ereignisverlauf bietet eine einsehbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der CloudTrail Verwaltungsereignisse der letzten 90 Tage in einem. AWS-Region Sie können diesen Verlauf verwenden, um sich einen Überblick über die Aktionen zu verschaffen, die in Ihrem AWS Konto in den AWS Management Console, AWS SDKs, Befehlszeilentools und anderen AWS Diensten ausgeführt wurden. Sie können Ihre Ansicht des Ereignisverlaufs in der CloudTrail Konsole anpassen, indem Sie auswählen, welche Spalten angezeigt werden. Weitere Informationen finden Sie unter Mit dem CloudTrail Eventverlauf arbeiten.
Trails
Ein Trail ist eine Konfiguration, die die Übertragung von CloudTrail Ereignissen an einen S3-Bucket mit optionaler Lieferung an CloudWatch Logs und Amazon ermöglicht EventBridge. Sie können einen Trail verwenden, um die CloudTrail Ereignisse auszuwählen, die Sie übertragen möchten, Ihre CloudTrail Ereignisprotokolldateien mit einem AWS KMS Schlüssel verschlüsseln und Amazon SNS SNS-Benachrichtigungen für die Übermittlung von Protokolldateien einrichten. Weitere Informationen zum Erstellen und Verwalten eines Trails finden Sie unter Erstellen Sie einen Trail für Ihren AWS-Konto.
Wanderwege mit mehreren Regionen und nur einer Region
Sie können sowohl Trails mit mehreren Regionen als auch Trails mit nur einer Region für Ihre erstellen. AWS-Konto
- Wanderwege mit mehreren Regionen
-
Wenn Sie einen Trail mit mehreren Regionen erstellen, CloudTrail zeichnet er alle Ereignisse auf, AWS-Regionen die in Ihrem aktiviert sind, AWS-Konto und übermittelt die CloudTrail Ereignisprotokolldateien an einen von Ihnen angegebenen S3-Bucket. Als bewährte Methode empfehlen wir, einen Trail mit mehreren Regionen zu erstellen, da er Aktivitäten in allen aktivierten Regionen erfasst. Alle mit der CloudTrail Konsole erstellten Pfade sind Trails mit mehreren Regionen. Sie können einen Pfad mit einer einzelnen Region in einen Pfad mit mehreren Regionen konvertieren, indem Sie den verwenden. AWS CLI Weitere Informationen finden Sie unter Grundlegendes zu Wanderwegen und optionalen Regionen, Einen Trail mit der Konsole erstellen und Umwandlung eines Trails mit einer einzelnen Region in einen Trail mit mehreren Regionen.
- Wanderwege für eine einzelne Region
-
Wenn Sie einen Pfad mit nur einer Region erstellen, werden nur die Ereignisse in dieser Region CloudTrail aufgezeichnet. Anschließend werden die CloudTrail Ereignisprotokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket gesendet. Sie können nur einen einzelnen Regions-Trail erstellen, indem Sie die AWS CLI verwenden. Wenn Sie zusätzliche einzelne Trails erstellen, können Sie festlegen, dass diese Trails CloudTrail Ereignisprotokolldateien an denselben S3-Bucket oder an separate Buckets liefern. Dies ist die Standardoption, wenn Sie einen Trail mithilfe der AWS CLI oder der CloudTrail API erstellen. Weitere Informationen finden Sie unter Trails erstellen, aktualisieren und verwalten mit dem AWS CLI.
Anmerkung
Für beide Arten von Trails können Sie einen Amazon-S3-Bucket aus einer beliebigen Region angeben.
Ein Wanderweg mit mehreren Regionen bietet die folgenden Vorteile:
-
Die Konfigurationseinstellungen für den Trail gelten konsistent für alle aktivierten AWS-Regionen Pfade.
-
Sie erhalten CloudTrail Ereignisse von allen, die AWS-Regionen in einem einzigen Amazon S3 S3-Bucket und optional in einer CloudWatch Logs-Protokollgruppe aktiviert sind.
-
Sie verwalten die Trail-Konfigurationen für alle aktivierten AWS-Regionen Dateien von einem Standort aus.
Die Erstellung eines Wanderweges mit mehreren Regionen hat folgende Auswirkungen:
-
CloudTrail liefert Protokolldateien für Kontoaktivitäten von allen aktivierten in AWS-Regionen den einzelnen Amazon S3 S3-Bucket, den Sie angeben, und optional in eine CloudWatch Logs-Protokollgruppe.
-
Wenn Sie ein Amazon SNS SNS-Thema für den Trail konfiguriert haben, AWS-Regionen werden SNS-Benachrichtigungen über Protokolldateizustellungen in allen aktivierten Versionen an dieses einzelne SNS-Thema gesendet.
-
Sie können sehen, dass der Trail für mehrere Regionen aktiviert ist AWS-Regionen, aber Sie können den Trail nur in der Heimatregion ändern, in der er erstellt wurde.
Unabhängig davon, ob es sich um einen Trail mit mehreren Regionen oder einer einzelnen Region handelt, EventBridge werden Ereignisse, die an Amazon gesendet werden, im Eventbus jeder Region empfangen und nicht in einem einzigen Eventbus.
Mehrere Trails pro Region
Wenn Sie zwar mehrere, aber ähnliche Benutzergruppen (wie Developer, Sicherheitspersonal und IT-Auditoren) haben, können Sie mehrere Trails pro Region erstellen. Auf diese Weise erhält jede Gruppe eine eigene Kopie der Protokolldateien.
CloudTrail unterstützt fünf Trails pro Region. Ein Pfad mit mehreren Regionen zählt als ein Weg pro Region.
Das Folgende ist ein Beispiel für eine Region mit fünf Wanderwegen:
-
Sie erstellen zwei Trails in der USA West (Nordkalifornien), die nur für diese Region gelten.
-
Sie erstellen zwei weitere Trails mit mehreren Regionen in der Region USA West (Nordkalifornien).
-
Sie erstellen einen weiteren Wanderweg mit mehreren Regionen in der Region Asien-Pazifik (Sydney). Dieser Trail ist auch in der Region USA West (Nordkalifornien) vorhanden.
Sie können eine Liste der Wanderwege auf AWS-Region der Seite Trails der CloudTrail Konsole einsehen. Weitere Informationen finden Sie unter Einen Trail mit der CloudTrail Konsole aktualisieren. CloudTrail Preise finden Sie unter AWS CloudTrail
Preise
Organisatorische Pfade
Ein Organisationspfad ist eine Konfiguration, die die Übertragung von CloudTrail Ereignissen im Verwaltungskonto und allen Mitgliedskonten einer AWS Organizations Organisation an denselben Amazon S3 S3-Bucket, dieselben CloudWatch Logs und Amazon ermöglicht EventBridge. Das Erstellen eines Organisations-Trails hilft Ihnen dabei, für Ihre Organisation eine einheitliche Ereignisprotokollierungsstrategie zu definieren.
Bei allen mit der Konsole erstellten Organisationspfaden handelt es sich um regionsübergreifende Organisationspfade, in denen Ereignisse von den AWS-Regionen in jedem Mitgliedskonto der Organisation aktivierten Konten protokolliert werden. Um Ereignisse in allen AWS Partitionen Ihrer Organisation zu protokollieren, erstellen Sie in jeder Partition einen regionsübergreifenden Organisationspfad. Sie können entweder einen Organisationspfad mit einer Region oder mit mehreren Regionen erstellen, indem Sie den verwenden. AWS CLI Wenn Sie einen Pfad mit nur einer Region erstellen, protokollieren Sie nur Aktivitäten in den Pfaden AWS-Region (auch als Heimatregion bezeichnet).
Obwohl die meisten Regionen standardmäßig für dich aktiviert AWS-Regionen sind AWS-Konto, musst du bestimmte Regionen (auch als Opt-in-Regionen bezeichnet) manuell aktivieren. Informationen darüber, welche Regionen standardmäßig aktiviert sind, finden Sie im AWS -Kontenverwaltung Referenzhandbuch unter Überlegungen vor dem Aktivieren und Deaktivieren von Regionen. Eine Liste der CloudTrail unterstützten Regionen finden Sie unterCloudTrail unterstützte Regionen.
Wenn Sie einen Organisationspfad erstellen, wird eine Kopie des Trails mit dem Namen, den Sie ihm geben, in den Mitgliedskonten Ihrer Organisation erstellt.
-
Wenn sich der Organisationspfad auf eine einzelne Region bezieht und die Heimatregion des Trails keine optionale Region ist, wird in jedem Mitgliedskonto eine Kopie des Trails in der Heimatregion des Organisationstrails erstellt.
-
Wenn sich der Organisationspfad auf eine einzelne Region bezieht und es sich bei der Heimatregion des Trails um eine optionale Region handelt, wird eine Kopie des Trails in der Heimatregion des Organisationstrails in den Mitgliedskonten erstellt, die diese Region aktiviert haben.
-
Wenn es sich bei dem Organigationspfad um einen Multi-Region-Trail handelt und die Heimatregion des Trails keine Region ist, in der sich der Trail angemeldet hat, wird in jedem Mitgliedskonto, das aktiviert AWS-Region ist, eine Kopie des Trails erstellt. Wenn ein Mitgliedskonto eine Opt-in-Region aktiviert, wird nach Abschluss der Aktivierung dieser Region eine Kopie des Multi-Region-Trails in der neu angemeldeten Region für das Mitgliedskonto erstellt.
-
Wenn es sich bei dem Organigationspfad um einen Multi-Region-Trail handelt und die Heimatregion eine optionale Region ist, senden Mitgliedskonten keine Aktivitäten an den Organisationspfad, es sei denn, sie entscheiden sich für den Ort, an AWS-Region dem der Multi-Region-Trail erstellt wurde. Wenn Sie beispielsweise einen Trail mit mehreren Regionen erstellen und die Region Europa (Spanien) als Heimatregion für den Trail auswählen, senden nur Mitgliedskonten, die die Region Europa (Spanien) für ihr Konto aktiviert haben, ihre Kontoaktivitäten an den Organisationspfad.
Anmerkung
CloudTrail erstellt Organisationspfade in Mitgliedskonten, auch wenn eine Ressourcenvalidierung fehlschlägt. Zu den Beispielen für fehlgeschlagene Überprüfungen gehören:
-
eine falsche Amazon S3 S3-Bucket-Richtlinie
-
eine falsche Amazon SNS SNS-Themenrichtlinie
-
Unfähigkeit, an eine CloudWatch Logs-Protokollgruppe zu liefern
-
unzureichende Rechte zur Verschlüsselung mit einem KMS-Schlüssel
Ein Mitgliedskonto mit CloudTrail Berechtigungen kann alle Validierungsfehler für einen Organisationspfad anzeigen, indem es die Detailseite des Trails in der CloudTrail Konsole aufruft oder indem es den AWS CLI get-trail-statusBefehl.
Benutzer mit CloudTrail Berechtigungen für Mitgliedskonten können Organisationspfade (einschließlich des Trail-ARN) sehen, wenn sie sich von ihren AWS
Konten aus bei der CloudTrail Konsole anmelden oder wenn sie AWS CLI Befehle wie ausführen describe-trails (allerdings müssen Mitgliedskonten den ARN für den Organisationspfad verwenden und nicht den Namen, wenn sie den verwenden AWS CLI). Benutzer mit Mitgliedskonten verfügen jedoch nicht über ausreichende Berechtigungen, um Organisationspfade zu löschen, die Anmeldung ein- oder auszuschalten, zu ändern, welche Arten von Ereignissen protokolliert werden, oder Organisationspfade auf andere Weise zu ändern. Weitere Informationen zu AWS Organizations finden Sie unter Terminologie und Konzepte von Organizations. Weitere Informationen zum Erstellen von und zum Arbeiten mit Organisations-Trails finden Sie unter Erstellen eines Trails für eine Organisation.
CloudTrail Datenspeicher für Seen und Ereignisse
CloudTrail Mit Lake können Sie feinkörnige SQL-basierte Abfragen zu Ihren Ereignissen ausführen und Ereignisse aus externen Quellen protokollieren AWS, z. B. aus Ihren eigenen Anwendungen und von Partnern, die integriert sind. CloudTrail Sie müssen in Ihrem Konto keinen Trail konfiguriert haben, um Lake verwenden zu können. CloudTrail
Die Ereignisse werden in Ereignisdatenspeichern zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von erweiterten Ereignisselektoren auswählen. Sie können die Ereignisdaten bis zu 3 653 Tage (etwa 10 Jahre) in einem Ereignisdatenspeicher speichern, wenn Sie sich für die Preisoption mit verlängerbarer Aufbewahrung von einem Jahr entscheiden, oder bis zu 2 557 Tage (etwa 7 Jahre), wenn Sie sich für die Preisoption mit siebenjähriger Aufbewahrung entscheiden. Sie können Lake-Abfragen für die zukünftige Verwendung speichern und die Ergebnisse von Abfragen bis zu sieben Tage lang anzeigen. Sie können Abfrageergebnisse auch in einem S3-Bucket speichern. CloudTrail Lake kann auch Ereignisse einer Organisation AWS Organizations in einem Ereignisdatenspeicher oder Ereignisse aus mehreren Regionen und Konten speichern. CloudTrail Lake ist Teil einer Auditing-Lösung, die Sie bei der Durchführung von Sicherheitsuntersuchungen und Problembehebungen unterstützt. Weitere Informationen erhalten Sie unter Mit AWS CloudTrail Lake arbeiten und CloudTrail Konzepte und Terminologie von Seen.
CloudTrail Einblicke
CloudTrail Mithilfe von Erkenntnissen AWS können Benutzer ungewöhnliche Mengen an API-Aufrufen oder bei API-Aufrufen protokollierte Fehler erkennen und darauf reagieren, indem CloudTrail Verwaltungsereignisse kontinuierlich analysiert werden. Ein Insights-Ereignis ist eine Aufzeichnung ungewöhnlicher write-Verwaltungs-API-Aktivitäten oder ungewöhnlicher Fehlermengen, die für Verwaltungs-API-Aktivitäten zurückgegeben werden. Standardmäßig protokollieren Trails und Event-Datenspeicher keine CloudTrail Insights-Ereignisse. In der Konsole können Sie auswählen, ob beim Erstellen oder Aktualisieren eines Trails oder Ereignisdatenspeichers Insights-Ereignisse protokolliert werden sollen. Wenn Sie die CloudTrail API verwenden, können Sie Insights-Ereignisse protokollieren, indem Sie die Einstellungen eines vorhandenen Trail- oder Event-Datenspeichers mit der PutInsightSelectorsAPI bearbeiten. Für die Protokollierung von CloudTrail Insights-Ereignissen fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter Mit CloudTrail Insights arbeiten und Preise zu AWS CloudTrail
Tags
Ein Tag ist ein vom Kunden definierter Schlüssel und ein optionaler Wert, der AWS Ressourcen wie CloudTrail Pfaden, Ereignisdatenspeichern und Kanälen, S3-Buckets zum Speichern von CloudTrail Protokolldateien, AWS Organizations Organisationen und Organisationseinheiten und vielem mehr zugewiesen werden kann. Indem Sie den Trails und den S3-Buckets, die Sie zum Speichern von Protokolldateien für Trails verwenden, dieselben Tags hinzufügen, können Sie die Verwaltung, Suche und Filterung dieser Ressourcen vereinfachen. AWS Resource Groups Sie können Tagging-Strategien implementieren, mit deren Hilfe Sie Ihre Ressourcen konsistent, effektiv und leicht finden und verwalten können. Weitere Informationen finden Sie unter Bewährte Methoden für das Taggen von Ressourcen AWS.
AWS Security Token Service und CloudTrail
AWS Security Token Service (AWS STS) ist ein Dienst, der über einen globalen Endpunkt verfügt und auch regionsspezifische Endpunkte unterstützt. Ein Endpunkt ist eine URL, die als Eintrittspunkt für Webserviceanforderungen fungiert. https://cloudtrail---us-west-2.amazonaws.com.rproxy.goskope.comIst beispielsweise der regionale Zugangspunkt USA West (Oregon) für den Service. AWS CloudTrail Regionale Endpunkte reduzieren die Latenzzeiten der Anwendungen.
Wenn Sie einen AWS STS regionsspezifischen Endpunkt verwenden, übermittelt der Trail in dieser Region nur die AWS STS Ereignisse, die in dieser Region auftreten. Wenn Sie beispielsweise den Endpunkt sts.us-west-2.amazonaws.com nutzen, übermittelt der Trail in „us-west-2“ nur solche AWS STS -Ereignisse, die aus der Region „us-west-2“ stammen. Weitere Informationen zu AWS STS regionalen Endpunkten finden Sie unter Aktivierung und Deaktivierung AWS STS in einer AWS Region im IAM-Benutzerhandbuch.
Eine vollständige Liste der AWS regionalen Endpunkte finden Sie unter AWS Regionen und Endpunkte in der. Allgemeine AWS-Referenz Weitere Informationen zu Ereignissen des globalen AWS STS -Endpunkts finden Sie unter Informationen zu globalen Serviceereignissen.
Informationen zu globalen Serviceereignissen
Wichtig
Am 22. November 2021 wurde die Art und Weise AWS CloudTrail geändert, wie Trails globale Serviceereignisse erfassen. Jetzt AWS STS werden Ereignisse, die von Amazon CloudFront, AWS Identity and Access Management, erstellt und in der Region aufgezeichnet wurden, in der sie erstellt wurden, der Region USA Ost (Nord-Virginia), us-east-1. Dadurch wird die Art und Weise, wie diese Dienste CloudTrail behandelt werden, mit der anderer AWS globaler Dienste konsistent. Um weiterhin globale Service-Events außerhalb von USA Ost (Nord-Virginia) zu erhalten, sollten Sie einzelregionale Trails unter Verwendung globaler Serviceereignisse außerhalb von USA Ost (Nord-Virginia) in multiregionale Trails konvertieren. Weitere Informationen zum Erfassen von globalen Serviceereignissen finden Sie Aktivieren und Deaktivieren der Protokollierung von globalen Serviceereignissen später in diesem Abschnitt.
Im Gegensatz dazu zeigen der Ereignisverlauf in der CloudTrail Konsole und der aws cloudtrail lookup-events Befehl diese Ereignisse dort an, AWS-Region wo sie aufgetreten sind.
Für die meisten Services werden Ereignisse in der Region aufgezeichnet, in der die Aktion aufgetreten ist. Bei globalen Diensten wie AWS Identity and Access Management (IAM) und Amazon werden Ereignisse an jeden beliebigen Trail übertragen CloudFront, der globale Dienste beinhaltet. AWS STS
Bei den meisten globalen Serviceen werden Ereignisse als in der Region USA Ost (Nord-Virginia) auftretend protokolliert, aber einige globale Serviceereignisse werden als in anderen Regionen auftretend protokolliert, z. B. in der Region USA Ost (Ohio) oder USA West (Oregon).
Damit die globalen Serviceereignisse nicht mehrfach übermittelt werden, beachten Sie Folgendes:
-
Globale Serviceereignisse werden standardmäßig an Trails übermittelt, die mit der CloudTrail Konsole erstellt wurden. Ereignisse werden an den Bucket für den Trail gesendet.
-
Wenn Sie über mehrere Einzelregion-Trails verfügen, sollten Sie Ihre Trails so konfigurieren, dass globale Serviceereignisse nur an einen der Trails gesendet werden. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der Protokollierung von globalen Serviceereignissen.
-
Wenn Sie einen Trail mit mehreren Regionen in einen Trail mit nur einer Region konvertieren, wird die globale Protokollierung von Serviceereignissen für diesen Trail automatisch deaktiviert. Wenn Sie einen Trail mit einer einzelnen Region in einen Trail mit mehreren Regionen konvertieren, wird die globale Protokollierung von Serviceereignissen ebenfalls automatisch für diesen Trail aktiviert.
Weitere Informationen zum Ändern der globalen Service-Ereignisprotokollierung für einen Trail finden Sie unter Aktivieren und Deaktivieren der Protokollierung von globalen Serviceereignissen.
Beispiel:
-
Sie erstellen einen Trail in der CloudTrail Konsole. Standardmäßig werden globale Serviceereignisse von diesem Trail protokolliert.
-
Sie haben mehrere Trails für eine einzelne Region.
-
Es ist nicht erforderlich, die globalen Services für die Trails der einzelnen Region zu aktivieren. Globale Serviceereignisse werden an den ersten Trail übermittelt. Weitere Informationen finden Sie unter Trails erstellen, aktualisieren und verwalten mit dem AWS CLI.
Anmerkung
Wenn Sie einen Trail mit der AWS CLI, oder CloudTrail API erstellen oder aktualisieren AWS SDKs, können Sie angeben, ob globale Serviceereignisse für Trails ein- oder ausgeschlossen werden sollen. Sie können die globale Protokollierung von Serviceereignissen nicht von der CloudTrail Konsole aus konfigurieren.
