Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erste Schritte mit AWS CloudTrail Tutorials
Wenn Sie noch nicht damit vertraut sind AWS CloudTrail, können Ihnen diese Tutorials dabei helfen, die Funktionen zu nutzen. Um CloudTrail Funktionen nutzen zu können, benötigen Sie die entsprechenden Berechtigungen. Auf dieser Seite werden die verfügbaren verwalteten Richtlinien beschrieben CloudTrail und Informationen dazu bereitgestellt, wie Sie Berechtigungen gewähren können.
**Topics**
+ [Erteilen Sie Nutzungsberechtigungen CloudTrail](#tutorial-grant-permissions)
+ [Event-Historie anzeigen](tutorial-event-history.md)
+ [Erstellen Sie einen Pfad, um Verwaltungsereignisse zu protokollieren](tutorial-trail.md)
+ [Erstellen Sie einen Ereignisdatenspeicher für S3-Datenereignisse](tutorial-lake-S3.md)
## Erteilen Sie Nutzungsberechtigungen CloudTrail
Um CloudTrail Ressourcen wie Pfade, Veranstaltungsdatenspeicher und Kanäle zu erstellen, zu aktualisieren und zu verwalten, müssen Sie Nutzungsberechtigungen erteilen CloudTrail. Dieser Abschnitt enthält Informationen zu den verwalteten Richtlinien, die für verfügbar sind CloudTrail.
**Anmerkung**
Die Berechtigungen, die Sie Benutzern zur Durchführung von CloudTrail Verwaltungsaufgaben gewähren, sind nicht dieselben wie die Berechtigungen, die für die Übermittlung von Protokolldateien an Amazon S3 S3-Buckets oder das Senden von Benachrichtigungen an Amazon SNS SNS-Themen CloudTrail erforderlich sind. Weitere Informationen zu diesen Berechtigungen finden Sie unter [Amazon S3 S3-Bucket-Richtlinie für CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Wenn Sie die Integration mit Amazon CloudWatch Logs konfigurieren, benötigt es CloudTrail auch eine Rolle, die es übernehmen kann, um Ereignisse an eine Amazon CloudWatch Logs-Protokollgruppe zu übermitteln. Sie müssen die Rolle erstellen, die CloudTrail verwendet. Weitere Informationen erhalten Sie unter [Erteilen der Berechtigung zum Anzeigen und Konfigurieren von Amazon CloudWatch Logs-Informationen auf der CloudTrail Konsole](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users) und [Ereignisse an CloudWatch Logs senden](send-cloudtrail-events-to-cloudwatch-logs.md).
Die folgenden AWS verwalteten Richtlinien sind verfügbar für CloudTrail:
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)— Diese Richtlinie bietet vollen Zugriff auf CloudTrail Aktionen in CloudTrail Bezug auf Ressourcen wie Pfade, Ereignisdatenspeicher und Kanäle. Diese Richtlinie bietet die erforderlichen Berechtigungen zum Erstellen, Aktualisieren und Löschen von CloudTrail Pfaden, Ereignisdatenspeichern und Kanälen.
Diese Richtlinie bietet auch Berechtigungen zur Verwaltung des Amazon S3 S3-Buckets, der Protokollgruppe für CloudWatch Logs und eines Amazon SNS SNS-Themas für einen Trail. Die `AWSCloudTrail_FullAccess` verwaltete Richtlinie bietet jedoch keine Berechtigungen zum Löschen des Amazon S3 S3-Buckets, der Protokollgruppe für CloudWatch Logs oder eines Amazon SNS SNS-Themas. Informationen zu verwalteten Richtlinien für andere AWS Dienste finden Sie im [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
**Anmerkung**
Die **AWSCloudTrail\$1FullAccess**Richtlinie ist nicht für die allgemeine Verbreitung in Ihrem Unternehmen vorgesehen AWS-Konto. Benutzer mit dieser Rolle können die sensibelsten und wichtigsten Auditing-Funktionen in ihren AWS-Konten deaktivieren oder konfigurieren. Aus diesem Grund dürfen Sie diese Richtlinie nur auf Kontoadministratoren anwenden. Sie müssen die Anwendung dieser Richtlinie genau kontrollieren und überwachen.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)— Diese Richtlinie gewährt Berechtigungen zum Anzeigen der CloudTrail Konsole, einschließlich aktueller Ereignisse und des Ereignisverlaufs. Diese Richtlinie ermöglicht es Ihnen auch, vorhandene Trails, Ereignisdatenspeicher und Kanäle einzusehen. Rollen und Benutzer mit dieser Richtlinie können [den Ereignisverlauf herunterladen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events), aber sie können keine Trails, Ereignisdatenspeicher oder Kanäle erstellen oder aktualisieren.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
# Event-Historie anzeigen
In diesem Abschnitt wird beschrieben, wie Sie auf der Seite „ CloudTrail **Ereignisverlauf**“ auf der CloudTrail Konsole die Verwaltungsereignisse der letzten 90 Tage AWS-Konto für Sie anzeigen können AWS-Region.
**So zeigen Sie den **Event-Verlauf** an**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich **Event history (Ereignisverlauf)** aus. Sie sehen eine gefilterte Liste der Ereignisse. Die neuesten Ereignisse werden zuerst angezeigt. Der Standardfilter für Ereignisse ist **Read only (Schreibgeschützt)**, gesetzt auf **false**. Sie können diesen Filter deaktivieren, indem Sie das **X** rechts neben dem Filter auswählen. Sie können im **Ereignisverlauf** nach Ereignissen suchen, indem Sie nach Ereignissen für ein einzelnes Attribut filtern.
![\[Die Seite mit dem CloudTrail Ereignisverlauf, auf der der schreibgeschützte Filter hervorgehoben wird\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-event-history.png)
1. Wählen Sie ein Attribut aus, nach dem gefiltert werden soll, und geben Sie den vollständigen Wert für das Attribut ein. CloudTrail kann nicht nach einem Teilwert filtern. Um beispielsweise alle Anmeldeereignisse auf der Konsole anzuzeigen, wählen Sie den Filter „**Ereignisname**“ und geben Sie **ConsoleLogin**den Attributwert an.
![\[Die Seite mit dem CloudTrail Ereignisverlauf wurde nach dem ConsoleLogin Ereignis gefiltert.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-event-history-filters.png)
Oder, um aktuelle CloudTrail Verwaltungsereignisse anzuzeigen, wählen Sie „**Ereignisquelle**“ und geben Sie Folgendes an`cloudtrail.amazonaws.com`. Informationen zu den Ereignissen, die ein Dienst protokolliert CloudTrail, finden Sie in der API-Referenz des Dienstes.
![\[Die Seite mit dem CloudTrail Ereignisverlauf wurde nach einer bestimmten Ereignisquelle gefiltert\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/event-history-event-source.png)
1. Um ein bestimmtes Verwaltungsereignis anzuzeigen, wählen Sie den Namen des Ereignisses aus. Auf der Seite mit den Ereignisdetails können Sie Details zu dem Ereignis, alle Referenz-Ressourcen und den Ereignisdatensatz einsehen.
1. Um Ereignisse zu vergleichen, wählen Sie bis zu fünf Ereignisse aus, indem Sie ihre Kontrollkästchen am linken Rand der** Ereignisverlaufstabelle** ausfüllen. Sie können Details zu ausgewählten Ereignissen side-by-side in der Tabelle „**Eventdetails vergleichen**“ einsehen.
1. Sie können den Ereignisverlauf speichern, indem Sie ihn als Datei im CSV- oder JSON-Format herunterladen. Das Herunterladen Ihres Ereignisverlaufs kann einige Minuten dauern.
![\[Die Seite mit dem CloudTrail Veranstaltungsverlauf mit den Download-Optionen\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-event-history-download.png)
Weitere Informationen finden Sie unter [Mit der CloudTrail Ereignishistorie arbeiten](view-cloudtrail-events.md).
# Erstellen Sie einen Pfad, um Verwaltungsereignisse zu protokollieren
Für Ihren ersten Trail empfehlen wir, einen Trail zu erstellen, der alle [Verwaltungsereignisse](cloudtrail-concepts.md#cloudtrail-concepts-management-events) protokolliert und keine [Datenereignisse](cloudtrail-concepts.md#cloudtrail-concepts-data-events) oder Insights-Ereignisse protokolliert. Beispiele für Verwaltungsereignisse sind etwa Sicherheitsereignisse wie IAM `CreateUser` und `AttachRolePolicy`-Ereignisse, Ressourcenereignisse wie `RunInstances` und `CreateBucket` und viele mehr. Sie erstellen einen Amazon S3 S3-Bucket, in dem Sie die Protokolldateien für den Trail als Teil der Erstellung des Trails in der CloudTrail Konsole speichern.
**Anmerkung**
AWS Control Tower richtet ein neues CloudTrail Traillogging-Management-Event ein, wenn Sie eine landing zone einrichten. Es handelt sich um ein Protokoll auf Organisationsebene, was bedeutet, dass alle Verwaltungsereignisse für das Verwaltungskonto und alle Mitgliedskonten in der Organisation protokolliert werden. Weitere Informationen finden Sie [AWS Control Tower im *AWS CloudTrail Benutzerhandbuch* unter Informationen zur Anmeldung](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html).
In diesem Tutorial wird davon ausgegangen, dass Sie Ihren ersten Trail erstellen. Abhängig von der Anzahl der Trails, die Sie in Ihrem AWS Konto haben, und davon, wie diese Trails konfiguriert sind, kann das folgende Verfahren Kosten verursachen oder auch nicht. CloudTrail speichert Protokolldateien in einem Amazon S3 S3-Bucket, was Kosten verursacht. Weitere Informationen zu Preisen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Amazon-S3-Preise](https://aws.amazon.com/s3/pricing/).
**So erstellen Sie einen Trail**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie in der **Regionsauswahl** die AWS Region aus, in der Ihr Trail erstellt werden soll. Hierbei handelt es sich um die Home-Region für den Trail.
**Anmerkung**
Die Heimatregion ist die einzige Region AWS-Region , in der Sie den Trail aktualisieren können, nachdem er erstellt wurde.
1. Wählen Sie auf der CloudTrail Service-Startseite, der **Trails-Seite** oder im Abschnitt **Trails** der **Dashboard-Seite** die Option **Trail erstellen** aus.
1. Geben Sie Ihrem Trail unter **Trail name (Trail-Name)** einen Namen an, z. B. *management-events*. Verwenden Sie dazu am besten einen Namen, der den Zweck des Trails schnell identifiziert. In diesem Fall erstellen Sie einen Trail, der Verwaltungsereignisse protokolliert.
1. Behalten Sie die Standardeinstellung **Für alle Konten in meiner Organisation aktivieren** bei. Diese Option kann nur geändert werden, wenn Sie Konten in Organizations konfiguriert haben.
1. Wählen Sie in **Speicherort** für **Neuen S3 Bucket erstellen**, um einen neuen Bucket zu erstellen. Wenn Sie einen Bucket erstellen, werden die erforderlichen Bucket-Richtlinien CloudTrail erstellt und angewendet. Wenn Sie sich dafür entscheiden, einen neuen S3-Bucket zu erstellen, muss Ihre IAM-Richtlinie die Genehmigung für die `s3:PutEncryptionConfiguration` Aktion enthalten, da die serverseitige Verschlüsselung standardmäßig für den Bucket aktiviert ist. Geben Sie Ihrem Bucket einen Namen, anhand dessen er leicht identifiziert werden kann.
Um das Auffinden Ihrer Logs zu erleichtern, erstellen Sie in einem vorhandenen Bucket einen neuen Ordner (auch als *Präfix* bezeichnet), um Ihre CloudTrail Logs zu speichern.
**Anmerkung**
Jeder Amazon-S3-Bucket muss einen global eindeutigen Namen haben. Weitere Informationen finden Sie unter [Benennungsregeln für Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) im *Benutzerhandbuch zu Amazon Simple Storage Service*.
1. Deaktivieren Sie das Kontrollkästchen, um die **SSE-KMS-Verschlüsselung der Protokolldatei zu deaktivieren**. Standardmäßig werden die Protokolldateien mit SSE-S3-Verschlüsselung verschlüsselt. Weitere Informationen zu dieser Einstellung finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)).
1. Belassen Sie die Standardeinstellungen unter **Zusätzliche Einstellungen**.
1. **Behalten Sie die Standardeinstellungen für Logs bei. CloudWatch ** Senden Sie vorerst keine Protokolle an Amazon CloudWatch Logs.
1. (Optional) Unter **Tags** können Sie bis zu 50 Tag-Schlüsselpaare hinzufügen, um den Zugriff auf Ihren Trail zu identifizieren, zu sortieren und zu kontrollieren. Mithilfe von Tags können Sie Ihre CloudTrail Trails und andere Ressourcen identifizieren, z. B. die Amazon S3 S3-Buckets, die CloudTrail Protokolldateien enthalten. Sie könnten beispielsweise ein Tag mit dem Namen **Compliance** und dem Wert **Auditing** anfügen.
**Anmerkung**
Sie können zwar Tags zu Trails hinzufügen, wenn Sie sie in der CloudTrail Konsole erstellen, und Sie können einen Amazon S3 S3-Bucket erstellen, um Ihre Protokolldateien in der CloudTrail Konsole zu speichern, aber Sie können dem Amazon S3 S3-Bucket keine Tags von der CloudTrail Konsole aus hinzufügen. Weitere Informationen zum Anzeigen und Ändern der Eigenschaften eines Amazon-S3-Buckets, einschließlich Hinzufügen von Tags zu einem Bucket, finden Sie im [https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html).
Wenn Sie fertig sind, klicken Sie auf **Weiter**.
1. Wählen Sie auf der Seite **Protokollereignisse auswählen** die zu protokollierenden Ereignistypen aus. Behalten Sie für diesen Trail die Standardeinstellung **Verwaltungsereignisse** bei. Wählen Sie im Bereich **Verwaltungsereignisse** aus, dass sowohl **Lese**- als auch **Schreib**ereignisse protokolliert werden sollen, falls diese nicht bereits ausgewählt sind. Lassen Sie die Kontrollkästchen für ** AWS KMS Ereignisse ausschließen** und **Amazon RDS Data API-Ereignisse ausschließen** leer, um alle Verwaltungsereignisse zu protokollieren.
![\[Die Seite Trail erstellen, Einstellungen für den Ereignistyp\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)
1. Behalten Sie die Standardeinstellungen für **Datenereignisse**, **Insights-Ereignisse** und **Netzwerkaktivitätsereignisse** bei. Dieser Trail protokolliert keine Datenereignisse, Insights-Ereignisse oder Netzwerkaktivitätsereignisse. Wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Überprüfen und erstellen** die Einstellungen, die Sie für Ihren Trail ausgewählt haben. Wählen Sie **Bearbeiten** für einen Abschnitt aus, um zurückzugehen und Änderungen vorzunehmen. Wenn Sie bereit sind, Ihren Trail zu erstellen, wählen Sie **Trail erstellen**.
1. Auf der Seite **Trails** wird Ihr neuer Trail in der Tabelle angezeigt. Beachten Sie, dass der Trail standardmäßig auf **Multi-Region-Trail** eingestellt ist und dass die Protokollierung für den Trail standardmäßig aktiviert ist.
![\[Die Seite Trail erstellen, Einstellungen für den Ereignistyp\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)
Weitere Informationen zu Pfaden finden Sie unter[Mit CloudTrail Trails arbeiten](cloudtrail-trails.md).
# Protokolldateien ansehen
Innerhalb von durchschnittlich etwa 5 Minuten nach der Erstellung Ihres ersten Trails werden CloudTrail die ersten Protokolldateien für Ihren Trail an den Amazon S3 S3-Bucket gesendet. Sie können diese Dateien anzeigen und sich mit ihren Informationen vertraut machen.
**Anmerkung**
CloudTrail übermittelt Protokolle in der Regel innerhalb von durchschnittlich etwa 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter [AWS CloudTrail Service Level Agreement](https://aws.amazon.com/cloudtrail/sla).
Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), CloudTrail wird versucht, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen. Für diese attempted-to-deliver Ereignisse fallen Standardgebühren an. CloudTrail Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.
**Zeigen Sie Protokolldateien wie folgt an:**
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Wählen Sie im Navigationsbereich **Trails** aus. Suchen Sie auf der Seite **Trails** nach dem Namen des Trails, den Sie gerade erstellt haben (im Beispiel*management-events*).
1. Wählen Sie in der Zeile für den Trail den Wert für den S3-Bucket aus.
1. Die Amazon S3 S3-Konsole wird geöffnet und zeigt zwei Ordner für den Bucket an: `CloudTrail-Digest` und`CloudTrail`. Wählen Sie den **CloudTrail**Ordner aus, um die Protokolldateien anzuzeigen.
1. Wenn Sie einen Trail mit mehreren Regionen erstellt haben, gibt es für jeden AWS-Region einen Ordner. Wählen Sie den Ordner aus AWS-Region , in dem Sie die Protokolldateien überprüfen möchten. Beispiel: Wenn Sie die Protokolldateien für die Region USA Ost (Ohio) überprüfen möchten, wählen Sie **us-east-2**.
![\[Ein Amazon-S3-Bucket für einen Trail mit der Struktur für Protokolldateien in AWS -Regionen\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)
1. Navigieren Sie durch die Bucket-Ordnerstruktur zu Jahr, Monat und Tag, für den Sie Aktivitätsprotokolle der betreffenden region überprüfen möchten. Für diesen Tag gibt es eine Reihe von Dateien. Die Namen der Dateien beginnen mit Ihrer AWS-Konto ID und enden mit der Erweiterung`.gz`. Wenn Ihre Konto-ID beispielsweise lautet*123456789012*, würden Sie Dateien mit ähnlichen Namen sehen: *123456789012* \$1 \$1 CloudTrail *us-east-2* \$1 *20240512T0000Z\$1EXAMPLE* .json.gz.
Um diese Dateien anzuzeigen, können Sie sie herunterladen, entpacken und dann in einem Texteditor oder JSON-Dateiviewer anzeigen. Einige Browser unterstützen auch die Anzeige von .gz- und JSON-Dateien direkt. Wir empfehlen die Verwendung eines JSON-Viewers, da dies es einfacher macht, die Informationen in CloudTrail -Protokolldateien zu analysieren.
# Erstellen Sie einen Ereignisdatenspeicher für S3-Datenereignisse
Sie können einen Ereignisdatenspeicher erstellen, um CloudTrail Ereignisse (Verwaltungsereignisse, Datenereignisse), [CloudTrail Insights-Ereignisse](query-event-data-store-insights.md), [AWS Audit Manager Beweise](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder), [AWS Config Konfigurationselemente](query-event-data-store-config.md) oder [AWS Nichtereignisse zu](event-data-store-integration-events.md) protokollieren.
Wenn Sie einen Ereignisdatenspeicher für Datenereignisse erstellen, wählen Sie die Ressourcentypen AWS-Services und die Ressourcentypen aus, für die Sie Datenereignisse protokollieren möchten. Informationen dazu AWS-Services , wie Datenereignisse protokolliert werden, finden Sie unter[Datenereignisse](logging-data-events-with-cloudtrail.md#logging-data-events).
Diese exemplarische Vorgehensweise zeigt Ihnen, wie Sie einen Ereignisdatenspeicher für Amazon S3 S3-Datenereignisse erstellen. In diesem Tutorial wählen wir, anstatt alle Amazon-S3-Datenereignisse zu protokollieren, eine benutzerdefinierte Protokollauswahlvorlage, um Ereignisse nur zu protokollieren, wenn ein Objekt aus einem bestimmten S3-Bucket gelöscht wird.
**Erstellen Sie einen Ereignisdatenspeicher für S3-Datenereignisse wie folgt:**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Geben Sie auf der Seite „**Event-Datenspeicher konfigurieren**“ unter **Allgemeine Details** Ihrem Event-Datenspeicher einen Namen, z. *s3-data-events-eds* B. Verwenden Sie dazu am besten einen Namen, der den Zweck des Ereignisdatenspeichers schnell identifiziert. Informationen zu den CloudTrail Benennungsanforderungen finden Sie unter[Benennungsanforderungen für CloudTrail Ressourcen, S3-Buckets und KMS-Schlüssel](cloudtrail-trail-naming-requirements.md).
1. Wählen Sie die **Preisoption** aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
Die folgenden Optionen sind verfügbar:
+ **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine verlängerte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.
+ **Standardaufbewahrungsdauer:** 366 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 3 653 Tage.
+ **Preisoption für die Aufbewahrung über sieben Jahre** – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.
+ **Standardaufbewahrungsdauer:** 2 557 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 2 557 Tage.
1. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die **Preisoption mit siebenjähriger Aufbewahrungsdauer** liegen.
CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb `eventTime` des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie `eventTime` älter als 90 Tage sind.
1. (Optional) Wählen Sie unter **Verschlüsselung** aus, ob Sie den Ereignisdatenspeicher mit Ihrem eigenen KMS-Schlüssel verschlüsseln möchten. Standardmäßig werden alle Ereignisse in einem Ereignisdatenspeicher CloudTrail mithilfe eines KMS-Schlüssels verschlüsselt, der für Sie verantwortlich AWS ist und für Sie verwaltet wird.
Um die Verschlüsselung mit Ihrem eigenen KMS-Schlüssel zu aktivieren, wählen Sie **Meinen eigenen AWS KMS key verwenden**. Wählen Sie **Neu**, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie **Bestehend**, um einen vorhandenen KMS-Schlüssel zu verwenden. **Geben Sie unter KMS-Alias** eingeben einen Alias im folgenden Format an `alias/`*MyAliasName*. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, damit CloudTrail Protokolle verschlüsselt und entschlüsselt werden können. Weitere Informationen finden Sie unter[Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
**Anmerkung**
Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.
1. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie **Aktivieren** in **Lake-Abfrageverbund**. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -[Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter [Verbund für einen Ereignisdatenspeicher erstellen](query-federation.md).
Wählen Sie **Aktivieren** und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:
1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.
1. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.
1. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.
1. (Optional) Wählen Sie „**Ressourcenrichtlinie aktivieren**“, um Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Mit ressourcenbasierten Richtlinien können Sie steuern, welche Principals Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html), denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.
Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [ressourcenbasierte Standardrichtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).
1. (Optional) Fügen Sie unter **Tags** ein oder mehrere benutzerdefinierte Tags (Schlüssel-Wert-Paare) zu Ihrem Ereignisdatenspeicher hinzu. Mithilfe von Tags können Sie Ihre CloudTrail Ereignisdatenspeicher identifizieren. Sie könnten beispielsweise ein Tag mit dem Namen **stage** und dem Wert **prod** anfügen. Sie können Tags verwenden, um den Zugriff auf Ihren Ereignisdatenspeicher einzuschränken. Sie können Tags auch verwenden, um die Abfrage- und Aufnahmekosten für Ihren Ereignisdatenspeicher zu verfolgen.
Informationen dazu, wie Sie mithilfe von Tags Kosten nachverfolgen, finden Sie unter [Erstellen von benutzerdefinierten Kostenzuweisungs-Tags für CloudTrail Lake-Event-Datenspeicher](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags). Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Informationen darüber, wie Sie Tags verwenden können AWS, finden Sie unter [Tagging Your AWS Resources User Guide](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) im *Tagging AWS Resources User Guide*.
1. Wählen Sie **Next** (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.
1. Behalten Sie auf der Seite **Ereignisse auswählen** die Standardauswahl für den **Ereignistyp** bei.
![\[Auswählen des Ereignistyps für den Ereignisdatenspeicher\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/lake-event-type.png)
1. **Wählen Sie für **CloudTrail Ereignisse** die Option **Datenereignisse** und deaktivieren Sie Verwaltungsereignisse.** Weitere Informationen zu Datenereignissen finden Sie unter [Protokollieren von Datenereignissen](logging-data-events-with-cloudtrail.md).
![\[Wählen Sie CloudTrail Datenereignisse für den Ereignisdatenspeicher\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-events-data.png)
1. Behalten Sie die Standardeinstellung für **Trail-Ereignisse kopieren** bei. Sie würden diese Option verwenden, um vorhandene Trail-Ereignisse in Ihren Ereignisdatenspeicher zu kopieren. Weitere Informationen finden Sie unter [Kopieren von Trail-Ereignissen in einen Ereignisdatenspeicher](cloudtrail-copy-trail-to-lake-eds.md).
1. Wählen Sie **Für alle Konten in meiner Organisation aktivieren** aus, wenn es sich um einen Ereignisdatenspeicher für eine Organisation handelt. Diese Option kann nur geändert werden, wenn Sie Konten in AWS Organizations konfiguriert haben.
1. Behalten Sie für **Zusätzliche Einstellungen** die Standardauswahl bei. Standardmäßig sammelt ein Ereignisdatenspeicher Ereignisse für alle AWS-Regionen und beginnt, Ereignisse zu erfassen, sobald er erstellt wird.
1. Treffen Sie für **Datenereignisse** die folgenden Auswahlen:
1. Wählen Sie unter **Ressourcentyp** die Option **S3** aus. Der Ressourcentyp identifiziert die Ressource AWS-Service und die Ressource, auf der Datenereignisse protokolliert werden.
1. Wählen Sie unter **Protokoll-Selektorvorlage** **Benutzerdefiniert** aus. Wenn Sie **Benutzerdefiniert** wählen, können Sie einen benutzerdefinierten Ereignisselektor festlegen, um nach den Feldern `eventName`, `resources.ARN` und `readOnly` zu filtern. Informationen zu diesen Feldern finden Sie [AdvancedFieldSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)in der *AWS CloudTrail API-Referenz*.
1. (Optional) Geben Sie unter **Selektorname** einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein beschreibender Name für einen erweiterten Event-Selektor, z. B. „ DeleteObject API-Aufrufe für einen bestimmten S3-Bucket protokollieren“. Der Name des Selektors wird als `Name` in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die **JSON-Ansicht** erweitern.
![\[Erweiterte JSON-Ansicht mit erweiterten Ereignisselektoren\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/json-view-selector-name.png)
1. In **Advanced Event Selectors** erstellen wir den benutzerdefinierten Event-Selektor, um nach den Feldern und zu filtern. `eventName` `resources.ARN` Erweiterte Ereignisselektoren für einen Ereignisdatenspeicher funktionieren genauso wie erweiterte Ereignisselektoren, die Sie auf einen Trail anwenden. Weitere Informationen zum Erstellen von erweiterten Ereignisauswahlen finden Sie unter [Protokollieren von Datenereignissen mit erweiterten Ereignisauswahlen](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced).
1. Wählen Sie für **Feld** die Option **EventName**. Wählen Sie für **Operator** die Option **Equals** aus. Geben Sie für **Wert** **DeleteObject** ein. Wählen Sie **\$1 Feld, um nach einem anderen Feld** zu filtern.
1. Wählen Sie für **Feld** **resources.ARN** aus. Wählen Sie für **Operator** die Option **StartsWith**. Geben Sie **unter Value** den ARN für Ihren Bucket ein (z. B. arn:aws:s3:::). *amzn-s3-demo-bucket* Informationen zum Abrufen des ARN finden Sie unter [Amazon-S3-Ressourcen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html) im *Benutzerhandbuch von Amazon Simple Storage Service*.
![\[Konfiguration von S3-Datenereignissen\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/eds-data-events.png)
1. Wählen Sie **Next** (Weiter) aus, um Ihre Auswahl zu überprüfen.
1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Der neue Ereignisdatenspeicher ist in der Tabelle **Ereignisdatenspeicher** auf der Seite **Ereignisdatenspeicher** sichtbar.
Ab diesem Zeitpunkt erfasst der Ereignisdatenspeicher Ereignisse, die mit seinen erweiterten Ereignisselektoren übereinstimmen. Ereignisse, die aufgetreten sind, bevor Sie den Ereignisdatenspeicher erstellt haben, befinden sich nicht im Ereignisdatenspeicher, es sei denn Sie haben sich für das Kopieren der bestehenden Trail-Ereignissen entschieden.
Sie können jetzt Abfragen in Ihrem neuen Ereignisdatenspeicher ausführen. Informationen zum Anzeigen und Ausführen von Beispielabfragen finden Sie unter [Beispielabfragen mit der CloudTrail Konsole anzeigen](lake-console-queries.md).
Weitere Informationen CloudTrail zu Lake finden Sie unter. [Mit AWS CloudTrail Lake arbeiten](cloudtrail-lake.md)