Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vorbereiten der Erstellung eines Trails für Ihre Organisation in der Konsole
Um einen Organisationspfad von der CloudTrail Konsole aus zu erstellen, müssen Sie sich bei der Konsole als Benutzer oder als Rolle im Verwaltungs- oder delegierten Administratorkonto anmelden, das über ausreichende Berechtigungen verfügt. Wenn Sie sich nicht mit dem Verwaltungs- oder delegierten Administratorkonto anmelden, wird Ihnen beim Erstellen oder Bearbeiten eines Trails von der Konsole aus die Option zum Anwenden CloudTrail eines Trails auf eine Organisation nicht angezeigt.
Um einen Organisations-Trail mit dem zu erstellen AWS Management Console
Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/
. Sie müssen mit einer IAM Identität im Verwaltungs- oder delegierten Administratorkonto angemeldet sein und über ausreichende Berechtigungen verfügen, um einen Organisationspfad zu erstellen.
-
Wählen Sie Trails und anschließend Create Trail (Trail erstellen).
-
Geben Sie auf der Seite Create Trail in Trail nameeinen Namen für den Trail ein. Weitere Informationen finden Sie unter Benennungsanforderungen für CloudTrail Ressourcen, S3-Buckets und Schlüssel KMS.
-
Wählen Sie Aktivieren für alle Konten in meiner Organisation aus. Diese Option wird nur angezeigt, wenn Sie sich mit einem Benutzer oder einer Rolle im Verwaltungskonto oder im Konto eines delegierten Administrators bei der Konsole anmelden. Zur Erstellung eines Organisations-Trails müssen dem Benutzer oder der Rolle ausreichende Berechtigungen zugewiesen sein.
-
Wählen Sie in Speicherort für Neuen S3 Bucket erstellen, um einen neuen Bucket zu erstellen. Wenn Sie einen Bucket erstellen, werden die erforderlichen Bucket-Richtlinien CloudTrail erstellt und angewendet.
Anmerkung
Wenn Sie Vorhandenen S3 Bucket verwenden ausgewählt haben, geben Sie einen Bucket im Namen des Trail-Protokoll-Buckets an oder wählen Sie Durchsuchen, um einen Bucket auszuwählen. Sie können einen Bucket auswählen, der zu einem beliebigen Konto gehört. Die Bucket-Richtlinie muss jedoch die CloudTrail Schreibberechtigung für diesen Bucket gewähren. Informationen zur manuellen Bearbeitung der Bucket-Richtlinie finden Sie im Abschnitt Amazon S3 S3-Bucket-Richtlinie für CloudTrail.
Um das Auffinden Ihrer Logs zu erleichtern, erstellen Sie in einem vorhandenen Bucket einen neuen Ordner (auch als Präfix bezeichnet), um Ihre CloudTrail Logs zu speichern. Geben Sie das Präfix in Präfix ein.
-
Wählen Sie für SSEKMSProtokolldateiverschlüsselung die Option Aktiviert aus, wenn Sie Ihre Protokolldateien mit SSE - KMS Verschlüsselung statt mit SSE -S3-Verschlüsselung verschlüsseln möchten. Der Standard ist aktiviert. Wenn Sie die SSE KMS --Verschlüsselung nicht aktivieren, werden Ihre Logs mit der SSE -S3-Verschlüsselung verschlüsselt. Weitere Hinweise zur SSE - KMS Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit AWS Key Management Service (SSE-KMS) verwenden. Weitere Informationen zur SSE -S3-Verschlüsselung finden Sie unter Serverseitige Verschlüsselung mit Amazon S3-Managed Encryption Keys (-S3) verwenden. SSE
Wenn Sie die KMS Verschlüsselung aktivieren, wählen Sie „SSENeu“ oder „Bestehend“. AWS KMS key Geben Sie unter AWS KMS Alias einen Alias im Format an
alias/
MyAliasName
. Weitere Informationen finden Sie unter Eine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden.Anmerkung
Sie können auch einen Schlüssel ARN aus einem anderen Konto eingeben. Weitere Informationen finden Sie unter Eine Ressource aktualisieren, um Ihren KMS Schlüssel mit der Konsole zu verwenden. Die Schlüsselrichtlinie muss die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokolldateien ermöglichen und den von Ihnen angegebenen Benutzern das Lesen von Protokolldateien in unverschlüsselter Form ermöglichen. CloudTrail Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail.
-
Konfigurieren Sie unter Zusätzliche Einstellungen Folgendes.
-
Wähen Sie für Protokolldateivalidierung Aktiviert, damit Ihrem S3 Bucket Protokoll-Digests übermittelt werden. Sie können die Digest-Dateien verwenden, um zu überprüfen, ob sich Ihre Protokolldateien nach CloudTrail der Übermittlung nicht geändert haben. Weitere Informationen finden Sie unter Überprüfen der Integrität der CloudTrail Protokolldatei.
-
Wählen Sie für die Zustellung von SNS Benachrichtigungen die Option Aktiviert aus, um jedes Mal benachrichtigt zu werden, wenn ein Protokoll an Ihren Bucket gesendet wird. CloudTrail speichert mehrere Ereignisse in einer Protokolldatei. SNSBenachrichtigungen werden für jede Protokolldatei gesendet, nicht für jedes Ereignis. Weitere Informationen finden Sie unter Konfiguration von SNS Amazon-Benachrichtigungen für CloudTrail.
Wenn Sie SNS Benachrichtigungen aktivieren, wählen Sie unter Neues SNS Thema erstellen die Option Neu aus, um ein Thema zu erstellen, oder wählen Sie Bestehend, um ein vorhandenes Thema zu verwenden. Wenn Sie einen Trail erstellen, der für alle Regionen gilt, werden SNS Benachrichtigungen für Protokolldateizustellungen aus allen Regionen an das einzelne SNS Thema gesendet, das Sie erstellen.
Wenn Sie „Neu“ wählen CloudTrail , geben Sie einen Namen für das neue Thema an, oder Sie können einen Namen eingeben. Wenn Sie „Bestehend“ wählen, wählen Sie ein SNS Thema aus der Dropdownliste aus. Sie können auch ein Thema ARN aus einer anderen Region oder von einem Konto mit den entsprechenden Berechtigungen eingeben. Weitere Informationen finden Sie unter SNSAmazon-Themenrichtlinie für CloudTrail.
Wenn Sie ein Thema erstellen, müssen Sie das Thema abonnieren, um über die Zustellung von Protokolldateien benachrichtigt zu werden. Sie können über die SNS Amazon-Konsole abonnieren. Aufgrund der Häufigkeit von Benachrichtigungen empfehlen wir Ihnen, das Abonnement so zu konfigurieren, dass eine SQS Amazon-Warteschlange verwendet wird, um Benachrichtigungen programmgesteuert zu verarbeiten. Weitere Informationen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide.
-
-
Optional können Sie konfigurieren, CloudTrail dass Protokolldateien an Logs gesendet werden, indem Sie unter CloudWatch Logs die Option Aktiviert CloudWatch wählen. Weitere Informationen finden Sie unter Ereignisse an CloudWatch Logs senden.
Anmerkung
Nur das Verwaltungskonto kann mithilfe der Konsole eine CloudWatch Protokollgruppe „Logs“ für einen Organization Trail konfigurieren. Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe mithilfe der
UpdateTrail
API Operationen AWS CLI oder CloudTrailCreateTrail
oder konfigurieren.-
Wenn Sie die Integration mit CloudWatch Logs aktivieren, wählen Sie Neu, um eine neue Protokollgruppe zu erstellen, oder Existierend, um eine bestehende zu verwenden. Wenn Sie „Neu“ wählen CloudTrail , geben Sie einen Namen für die neue Protokollgruppe an, oder Sie können einen Namen eingeben.
-
Wenn Sie Vorhanden wählen, wählen Sie eine Protokollgruppe aus der Dropdown-Liste aus.
-
Wählen Sie Neu, um eine neue IAM Rolle für Berechtigungen zum Senden von Protokollen an Logs zu CloudWatch erstellen. Wählen Sie Existiert, um eine bestehende IAM Rolle aus der Drop-down-Liste auszuwählen. Die Richtlinienanweisung für die neue oder vorhandene Rolle wird angezeigt, wenn Sie das Richtliniendokument erweitern. Weitere Informationen über diese Rolle finden Sie unter Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung.
Anmerkung
Wenn Sie einen Trail konfigurieren, können Sie einen S3-Bucket und ein SNS Amazon-Thema auswählen, die zu einem anderen Konto gehören. Wenn Sie jedoch Ereignisse CloudTrail an eine CloudWatch Logs-Protokollgruppe übermitteln möchten, müssen Sie eine Protokollgruppe auswählen, die in Ihrem aktuellen Konto vorhanden ist.
-
-
Für Tags können Sie bis zu 50 Tag-Schlüsselpaare hinzufügen, um den Zugriff auf Ihren Trail zu identifizieren, zu sortieren und zu kontrollieren. Mithilfe von Tags können Sie sowohl Ihre CloudTrail Trails als auch die Amazon S3 S3-Buckets identifizieren, die CloudTrail Protokolldateien enthalten. Anschließend können Sie Ressourcengruppen für Ihre CloudTrail -Ressourcen verwenden. Weitere Informationen erhalten Sie unter AWS Resource Groups und Tags.
-
Wählen Sie auf der Seite Protokollereignisse auswählen die Ereignistypen aus, die Sie protokollieren möchten. Führen Sie unter Management events (Verwaltungsereignisse) die folgenden Schritte aus.
-
Wählen Sie für APIAktivitäten aus, ob Ihr Trail Lese-Ereignisse, Schreibereignisse oder beides protokollieren soll. Weitere Informationen finden Sie unter Verwaltungsereignisse.
-
Wähle AWS KMS Ereignisse ausschließen, um Ereignisse aus deinem Trail herauszufiltern AWS Key Management Service (AWS KMS). Die Standardeinstellung besteht darin, alle AWS KMS -Ereignissen einzuschließen.
Die Option, AWS KMS Ereignisse zu protokollieren oder auszuschließen, ist nur verfügbar, wenn Sie Verwaltungsereignisse auf Ihrem Trail protokollieren. Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
AWS KMS Aktionen wie
Encrypt
Decrypt
, und erzeugenGenerateDataKey
in der Regel ein großes Volumen (mehr als 99%) von Ereignissen. Diese Aktionen werden nun als Leseereignisse protokolliert. Relevante AWS KMS Aktionen mit geringem Volumen wieDisable
Delete
, undScheduleKey
(die in der Regel weniger als 0,5% des AWS KMS Ereignisvolumens ausmachen) werden als Write-Ereignisse protokolliert.Um Ereignisse mit hohem Volume wie
Encrypt
,Decrypt
undGenerateDataKey
auszuschließen, aber dennoch relevante Ereignisse wieDisable
,Delete
undScheduleKey
zu protokollieren, wählen Sie Schreibverwaltungsereignisse protokollieren und deaktivieren Sie das Kontrollkästchen für AWS KMS -Ereignisse ausschließen. -
Wählen Sie RDSAPIAmazon-Datenereignisse ausschließen, um API Datenereignisse von Amazon Relational Database Service aus Ihrem Trail herauszufiltern. In der Standardeinstellung sind alle Amazon RDS API Data-Ereignisse enthalten. Weitere Informationen zu Amazon RDS API Data-Ereignissen finden Sie unter Logging Data API Calls with AWS CloudTrail im RDSAmazon-Benutzerhandbuch für Aurora.
-
-
Zum Protokollieren von Datenereignissen wählen Sie Datenereignisse aus. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung
. -
Wichtig
Die Schritte 12 bis 16 betreffen die Konfiguration von Datenereignissen mithilfe erweiterter Ereignisauswahlen, was die Standardeinstellung ist. Mithilfe erweiterter Event-Selektoren können Sie mehr Ressourcentypen konfigurieren und genau steuern, welche Datenereignisse Ihr Trail erfasst. Wenn Sie Netzwerkaktivitätsereignisse protokollieren möchten (in der Vorschau), müssen Sie erweiterte Ereignisauswahlfunktionen verwenden. Wenn Sie einfache Event-Selektoren verwenden, führen Sie die Schritte unter aus und kehren Sie dann zu Schritt 17 dieses Verfahrens zurück. Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen
Wählen Sie unter Ressourcentyp den Ressourcentyp aus, für den Sie Datenereignisse protokollieren möchten. Weitere Informationen zu verfügbaren Ressourcentypen finden Sie unterDatenereignisse.
-
Wählen Sie eine Protokollauswahlvorlage aus. CloudTrail enthält vordefinierte Vorlagen, die alle Datenereignisse für den Ressourcentyp protokollieren. Um eine benutzerdefinierte Protokoll-Selektorvorlage zu erstellen, wählen Sie Benutzerdefiniert aus.
Anmerkung
Wenn Sie eine vordefinierte Vorlage für S3-Buckets auswählen, wird die Protokollierung von Datenereignissen für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie nach Abschluss der Erstellung des Trails erstellen. Es ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl einer vordefinierten Vorlage, die alle S3 Buckets protokolliert, die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Protokolldatenereignisse für Amazon-S3-Buckets in anderen Regionen in Ihrem AWS -Konto protokolliert.
Wenn Sie einen Trail für alle Regionen erstellen, aktiviert die Auswahl einer vordefinierten Vorlage für Lambda-Funktionen die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
-
(Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird wie
Name
in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die JSON Ansicht erweitern. -
Wenn Sie Benutzerdefiniert ausgewählt haben, erstellen Event-Selektoren unter Advanced einen Ausdruck, der auf den Werten der erweiterten Event-Selektor-Felder basiert.
Anmerkung
Selektoren unterstützen nicht die Verwendung von Platzhaltern wie.
*
Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können SieStartsWith
,, oder verwendenEndsWith
NotStartsWith
,NotEndsWith
um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.-
Wählen Sie aus den folgenden Feldern.
-
readOnly
-readOnly
kann so gesetzt werden, dass sie einem Wert vontrue
oderfalse
entspricht. Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B.Get*
- oderDescribe*
-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B.Put*
-,Delete*
- oderWrite*
-Ereignisse. Um sowohlread
- als auchwrite
-Ereignisse zu protokollieren, fügen Sie keinenreadOnly
-Selektor hinzu. -
eventName
–eventName
kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B.PutBucket
GetItem
, oderGetSnapshotBlock
. -
resources.ARN
- Sie können einen beliebigen Operator mit verwendenresources.ARN
, aber wenn Sie „gleich“ oder „ungleich“ verwenden, muss der Wert exakt dem ARN Wert einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert für angegeben haben.resources.type
Weitere Informationen finden Sie unter Filterung von Datenereignissen nach resources.ARN.Anmerkung
Sie können das
resources.ARN
Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall ist. ARNs
Weitere Informationen zu den ARN Formaten von Datenereignisressourcen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Aktionen, Ressourcen und Bedingungsschlüssel.
-
-
Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf Ressourcen setzen. ARN, legen Sie fest, dass der Operator für nicht mit beginnt, und fügen Sie ihn dann in einen S3-Bucket ein, ARN für den Sie keine Ereignisse protokollieren möchten.
Um den zweiten S3-Bucket hinzuzufügen, wählen Sie + Condition und wiederholen Sie dann die vorherige Anweisung, indem Sie das ARN für einfügen oder nach einem anderen Bucket suchen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet
Anmerkung
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie
eventName
ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen. -
Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise ARN in einem Selektor nicht an, dass ein Wert gleich einem Wert ist, und geben Sie dann an, dass das ARN nicht dem gleichen Wert in einem anderen Selektor entspricht.
-
-
Um einen Ressourcentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen. Wiederholen Sie die Schritte 12 bis zu diesem Schritt, um erweiterte Ereignisauswahlen für den Ressourcentyp zu konfigurieren.
-
Um Netzwerkaktivitätsereignisse zu protokollieren, wählen Sie Netzwerkaktivitätsereignisse. Netzwerkaktivitätsereignisse ermöglichen es VPC Endpunktbesitzern, AWS API Anrufe aufzuzeichnen, die über ihre VPC Endgeräte von einem privaten Gerät VPC an den AWS-Service getätigt wurden. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung
. Anmerkung
Netzwerkaktivitätsereignisse befinden sich in der Vorschauversion für CloudTrail und können sich ändern.
Gehen Sie wie folgt vor, um Netzwerkaktivitätsereignisse zu protokollieren:
-
Wählen Sie unter Quelle für Netzwerkaktivitätsereignisse die Quelle für Netzwerkaktivitätsereignisse aus.
-
Wählen Sie unter Protokollselektorvorlage eine Vorlage aus. Sie können wählen, ob alle Netzwerkaktivitätsereignisse, alle Ereignisse, bei denen der Zugriff auf Netzwerkaktivitäten verweigert wurde, protokolliert werden sollen, oder Benutzerdefiniert wählen, um eine benutzerdefinierte Protokollauswahl zu erstellen, die nach mehreren Feldern filtert, z. B.
eventName
undvpcEndpointId
. -
(Optional) Geben Sie einen Namen ein, um den Selektor zu identifizieren. Der Name des Selektors wird in der erweiterten Ereignisauswahl als Name aufgeführt und ist sichtbar, wenn Sie die Ansicht erweitern. JSON
-
In der erweiterten Version erstellen Event-Selektoren Ausdrücke, indem sie Werte für Feld, Operator und Wert auswählen. Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.
-
Um Netzwerkaktivitätsereignisse auszuschließen oder einzubeziehen, können Sie in der Konsole aus den folgenden Feldern wählen.
-
eventName
— Sie können jeden Operator mit verwendeneventName
. Sie können ihn verwenden, um jedes Ereignis ein- oder auszuschließen,CreateKey
z. -
errorCode
— Sie können es verwenden, um nach einem Fehlercode zu filtern. Derzeit wird nur Folgendes unterstützterrorCode
:VpceAccessDenied
. -
vpcEndpointId
— Identifiziert den VPC Endpunkt, den der Vorgang durchlaufen hat. Sie können jeden beliebigen Operator mit verwendenvpcEndpointId
.
-
-
Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.
-
Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.
-
-
Um eine weitere Ereignisquelle hinzuzufügen, für die Sie Netzwerkaktivitätsereignisse protokollieren möchten, wählen Sie „Netzwerkaktivitätsereignisauswahl hinzufügen“.
-
Erweitern Sie optional die JSONAnsicht, um Ihre erweiterten Event-Selektoren als JSON Block anzuzeigen.
-
-
Wählen Sie Insights-Ereignisse, wenn Ihr Trail CloudTrail Insights-Ereignisse protokollieren soll.
Wählen Sie unter Ereignistyp Insights-Ereignisse aus. Wählen Sie unter Insights-Ereignisse die APIAnrufrate, die APIFehlerrate oder beides aus. Sie müssen Write-Management-Ereignisse protokollieren, um Insights-Ereignisse für die APIAnrufrate protokollieren zu können. Sie müssen Verwaltungsereignisse vom Typ Lesen oder Schreiben protokollieren, um Insights-Ereignisse im Hinblick auf die APIFehlerquote protokollieren zu können.
CloudTrail Insights analysiert Verwaltungsereignisse auf ungewöhnliche Aktivitäten und protokolliert Ereignisse, wenn Anomalien festgestellt werden. Standardmäßig werden für Trails keine Insights-Ereignisse protokolliert. Weitere Informationen zu Insights-Ereignissen erhalten Sie unter Mit CloudTrail Insights arbeiten. Für die Protokollierung von Insights-Ereignissen fallen zusätzliche Gebühren an. Preise finden Sie unter CloudTrail AWS CloudTrail Preisgestaltung.
Insights-Ereignisse werden in einen anderen Ordner übertragen,
/CloudTrail-Insight
der nach demselben S3-Bucket benannt ist, der auf der Seite mit den Trail-Details im Bereich Speicherort angegeben ist. CloudTrailerstellt das neue Präfix für Sie. Wenn beispielsweise Ihr aktueller S3-Ziel-Bucket den Namenamzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/
hat, lautet der Name mit dem Präfix als Zusatzamzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/
. -
Wenn Sie die Auswahl der zu protokollierenden Ereignistypen abgeschlossen haben, wählen Sie Weiter aus.
-
Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten in einem Abschnitt, um die in diesem Abschnitt angezeigten Trail-Einstellungen zu ändern. Wenn Sie bereit sind, den Trail zu erstellen, wählen Sie Trail erstellen.
-
Der neue Trail wird auf der Seite Trails angezeigt. Es kann bis zu 24 Stunden dauern, bis ein Organisations-Trail in allen Regionen und in allen Mitgliedskonten erstellt wird. Auf der Seite Trails werden die Trails in Ihrem Konto aus allen Regionen angezeigt. Veröffentlicht in etwa 5 Minuten CloudTrail Protokolldateien, in denen die in Ihrer Organisation getätigten AWS API Anrufe aufgeführt sind. Sie können die Protokolldateien in dem von Ihnen angegebenen Amazon-S3-Bucket anzeigen.
Anmerkung
Es ist nicht möglich, einen Trail nach dem Erstellen umzubenennen. Stattdessen können Sie den Trail löschen und einen neuen erstellen.
Nächste Schritte
Nach der Trail-Erstellung können Sie zu dem Trail zurückkehren, um Änderungen vorzunehmen:
-
Ändern Sie die Konfiguration Ihres Trails, indem Sie ihn bearbeiten. Weitere Informationen finden Sie unter Einen Trail mit der CloudTrail Konsole aktualisieren.
-
Konfigurieren Sie den Amazon-S3-Bucket bei Bedarf so, dass bestimmte Benutzer in Mitgliedskonten die Protokolldateien für die Organisation lesen können. Weitere Informationen finden Sie unter CloudTrail Protokolldateien zwischen AWS Konten teilen.
-
Konfigurieren Sie CloudTrail das Senden von Protokolldateien an CloudWatch Logs. Weitere Informationen finden Sie unter Ereignisse an CloudWatch Logs senden und das Element CloudWatch Protokolle unterVorbereiten der Erstellung eines Trails für Ihre Organisation.
Anmerkung
Nur das Verwaltungskonto kann eine Protokollgruppe „ CloudWatch Logs“ für einen Organization Trail konfigurieren.
-
Erstellen Sie eine Tabelle zur Ausführung einer Abfrage in Amazon Athena, um die AWS -Service-Aktivitäten zu analysieren. Weitere Informationen finden Sie unter Erstellen einer Tabelle für CloudTrail Protokolle in der CloudTrail Konsole im Amazon Athena Athena-Benutzerhandbuch.
-
Fügen Sie benutzerdefinierte Tags (Schlüssel-Wert-Paare) zum Trail hinzu.
-
Kehren Sie zur Seite Trails zurück und wählen Sie Create trail (Trail erstellen), um einen anderen Trail zu erstellen.
Anmerkung
Wenn Sie einen Trail konfigurieren, können Sie einen Amazon S3 S3-Bucket und ein SNS Thema auswählen, die zu einem anderen Konto gehören. Wenn Sie jedoch Ereignisse CloudTrail an eine CloudWatch Logs-Protokollgruppe übermitteln möchten, müssen Sie eine Protokollgruppe auswählen, die in Ihrem aktuellen Konto vorhanden ist.