Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wie CloudTrail funktioniert
Sie haben automatisch Zugriff auf den CloudTrail Eventverlauf, wenn Sie Ihren erstellen AWS-Konto. Der Ereignisverlauf stellt eine anzeigbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der Verwaltungsereignisse der letzten 90 Tage in einer AWS-Region bereit.
Für eine fortlaufende Aufzeichnung der Ereignisse in AWS-Konto den letzten 90 Tagen erstellen Sie einen Trail- oder CloudTrail Lake-Event-Datenspeicher.
Themen
CloudTrail Verlauf der Ereignisse
Sie können die Verwaltungsereignisse der letzten 90 Tage ganz einfach in der CloudTrail Konsole einsehen, indem Sie die Seite mit dem Ereignisverlauf aufrufen. Sie können den Ereignisverlauf auch anzeigen, indem Sie den aws cloudtrail
lookup-eventsBefehl oder den LookupEventsAPIVorgang ausführen. Sie können im Ereignisverlauf nach Ereignissen suchen, indem Sie nach Ereignissen für ein einzelnes Attribut filtern. Weitere Informationen finden Sie unter Mit dem CloudTrail Eventverlauf arbeiten.
Der Ereignisverlauf ist nicht mit irgendwelchen Trails oder Ereignisdatenspeichern verknüpft, die in deinem Konto vorhanden sind, und wird auch nicht von Konfigurationsänderungen beeinflusst, die du an deinen Trails oder Ereignisdatenspeichern vornimmst.
Für das Anzeigen der Seite mit dem Ereignisverlauf oder die Ausführung des lookup-events Befehls CloudTrail fallen keine Gebühren an.
CloudTrail Datenspeicher für Seen und Ereignisse
Sie können einen Ereignisdatenspeicher erstellen, um CloudTrail Ereignisse (Verwaltungsereignisse, Datenereignisse, Netzwerkaktivitätsereignisse), CloudTrailInsights-Ereignisse, AWS Audit Manager Beweise, AWS Config Konfigurationselemente oder Ereignisse außerhalb von zu protokollieren AWS.
Anmerkung
Netzwerkaktivitätsereignisse befinden sich in der Vorschauversion für CloudTrail und können sich ändern.
In Ereignisdatenspeichern können Ereignisse aus dem aktuellen AWS-Region Konto oder aus allen Ereignissen AWS-Regionen in Ihrem AWS Konto protokolliert werden. Ereignisdatenspeicher, die Sie verwenden, um Integrationsereignisse von außerhalb zu protokollieren, AWS dürfen nur für eine einzelne Region bestimmt sein. Es kann sich nicht um Ereignisdatenspeicher mit mehreren Regionen handeln.
Wenn Sie eine Organisation in erstellt haben AWS Organizations, können Sie einen Datenspeicher für Organisationsereignisse erstellen, der alle Ereignisse für alle AWS Konten in dieser Organisation protokolliert. Organisations-Ereignisdatenspeicher können für alle AWS -Regionen oder die aktuelle Region gelten. Organisations-Ereignisdatenspeicher müssen im Verwaltungskonto oder im Konto eines delegierten Administrators erstellt werden. Sobald sie auf eine Organisation angewendet werden, gelten sie automatisch auch für alle Mitgliedskonten in der Organisation. Mitgliedskonten können den Organisations-Ereignisdatenspeicher sehen, diesen aber weder ändern noch löschen. Datenspeicher für Organisationsereignisse können nicht zum Sammeln von Ereignissen von außerhalb von verwendet werden AWS. Weitere Informationen finden Sie unter Informationen zu den Datenspeichern von Organisationsereignissen.
Standardmäßig werden alle Ereignisse in einem Ereignisdatenspeicher von verschlüsselt CloudTrail. Wenn Sie einen Ereignisdatenspeicher konfigurieren, können Sie wählen, ob Sie Ihren eigenen verwenden möchten AWS KMS key. Wenn Sie Ihren eigenen KMS Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einem Schlüssel einen Ereignisdatenspeicher zugeordnet haben, kann der KMS KMS Schlüssel nicht mehr entfernt oder geändert werden. Weitere Informationen finden Sie unter CloudTrail Logdateien mit AWS KMS Schlüsseln verschlüsseln (SSE-KMS).
Die folgende Tabelle enthält Informationen zu Aufgaben, die Sie mit Ereignisdatenspeichern ausführen können.
| Aufgabe | Beschreibung |
|---|---|
|
Sie können CloudTrail Lake-Dashboards verwenden, um Veranstaltungstrends für die Ereignisdatenspeicher in Ihrem Konto zu sehen. Sie können verwaltete Dashboards anzeigen, benutzerdefinierte Dashboards erstellen und das Highlights-Dashboard aktivieren, um die Highlights Ihrer von Lake kuratierten und verwalteten Veranstaltungsdaten zu sehen. CloudTrail |
|
|
Konfigurieren Sie Ihren Ereignisdatenspeicher so, dass er schreibgeschützte, schreibgeschützte oder alle Verwaltungsereignisse protokolliert. Standardmäßig protokollieren Ereignisdaten Verwaltungsereignisse. Sie können Verwaltungsereignisse nach den folgenden erweiterten Ereignisauswahlfeldern filtern: |
|
|
Konfigurieren Sie Ihren Ereignisdatenspeicher so, dass Datenereignisse protokolliert werden. Sie können Datenereignisse nach den folgenden erweiterten Ereignisauswahlfeldern filtern: |
|
|
Konfigurieren Sie Ihren Ereignisdatenspeicher so, dass Netzwerkaktivitätsereignisse protokolliert werden. Sie können erweiterte Ereignisauswahlen verwenden, um nach den AnmerkungNetzwerkaktivitätsereignisse befinden sich in der Vorschauversion für CloudTrail und können sich ändern. |
|
Konfigurieren Sie Ihre Ereignisdatenspeicher so, dass sie Insights-Ereignisse protokollieren, damit Sie ungewöhnliche Aktivitäten im Zusammenhang mit API Managementanrufen identifizieren und darauf reagieren können. Weitere Informationen finden Sie unter Mit CloudTrail Insights arbeiten. Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail
-Preisgestaltung |
|
Sie können Trail-Ereignisse in einen neuen oder vorhandenen Ereignisdatenspeicher kopieren, um eine point-in-time Momentaufnahme der im Trail protokollierten Ereignisse zu erstellen. |
|
Sie können einen Ereignisdatenspeicher verbinden, um die mit dem Ereignisdatenspeicher verknüpften Metadaten im AWS Glue Datenkatalog zu sehen und SQL Abfragen der Ereignisdaten mit Amazon Athena auszuführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. |
|
Stoppen oder starten Sie die Erfassung von Ereignissen in einem Ereignisdatenspeicher |
Sie können die Erfassung von Ereignissen in Ereignisdatenspeichern, in denen CloudTrail Verwaltungs- und Datenereignisse oder Konfigurationselemente erfasst werden, beenden und starten. AWS Config |
Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS |
Sie können CloudTrail Lake-Integrationen verwenden, um Benutzeraktivitätsdaten von außerhalb zu protokollieren und zu speichern AWS; aus beliebigen Quellen in Ihren Hybridumgebungen, z. B. internen oder SaaS-Anwendungen, die vor Ort oder in der Cloud gehostet werden, virtuellen Maschinen oder Containern. Informationen zu verfügbaren Integrationspartnern finden Sie unter AWS CloudTrail Lake-Integrationen |
Sehen Sie sich die Lake-Beispielabfragen in der Konsole an CloudTrail |
Die CloudTrail Konsole bietet eine Reihe von Beispielabfragen, die Ihnen den Einstieg in das Schreiben eigener Abfragen erleichtern können. |
Abfragen in CloudTrail werden in verfasst. SQL Sie können eine Abfrage auf der Registerkarte CloudTrail Lake Editor erstellen, indem Sie die Abfrage SQL von Grund auf neu schreiben oder indem Sie eine gespeicherte Abfrage oder eine Beispielabfrage öffnen und bearbeiten. |
|
|
Wenn Sie eine Abfrage ausführen, können Sie die Abfrageergebnisse in einem S3-Bucket speichern. |
|
Sie können eine CSV Datei mit Ihren gespeicherten CloudTrail Lake-Abfrageergebnissen herunterladen. |
|
Mithilfe der Integritätsprüfung von CloudTrail Abfrageergebnissen können Sie feststellen, ob die Abfrageergebnisse nach der Übermittlung der Abfrageergebnisse CloudTrail an den S3-Bucket geändert, gelöscht oder unverändert wurden. |
Weitere Informationen zu CloudTrail Lake finden Sie unterMit AWS CloudTrail Lake arbeiten.
CloudTrail Für Datenspeicher und Abfragen von Ereignissen in Lake fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Wenn Sie Abfragen in Lake ausführen, zahlen Sie auf der Grundlage der Menge der gescannten Daten. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter AWS CloudTrail Preise
CloudTrail Lake-Dashboards
Sie können CloudTrail Lake-Dashboards verwenden, um Veranstaltungstrends für die Ereignisdatenspeicher in Ihrem Konto zu sehen. CloudTrail Lake bietet die folgenden Arten von Dashboards:
-
Verwaltete Dashboards — Sie können ein verwaltetes Dashboard aufrufen, um Ereignistrends für einen Ereignisdatenspeicher zu sehen, in dem Verwaltungsereignisse, Datenereignisse oder Insights-Ereignisse erfasst werden. Diese Dashboards stehen Ihnen automatisch zur Verfügung und werden von Lake verwaltet CloudTrail . CloudTrail bietet 14 verwaltete Dashboards zur Auswahl. Sie können verwaltete Dashboards manuell aktualisieren. Sie können die Widgets für diese Dashboards nicht ändern, hinzufügen oder entfernen. Sie können jedoch ein verwaltetes Dashboard als benutzerdefiniertes Dashboard speichern, wenn Sie die Widgets ändern oder einen Aktualisierungszeitplan festlegen möchten.
-
Benutzerdefinierte Dashboards — Mit benutzerdefinierten Dashboards können Sie Ereignisse in jedem beliebigen Ereignisdatenspeichertyp abfragen. Sie können einem benutzerdefinierten Dashboard bis zu 10 Widgets hinzufügen. Sie können ein benutzerdefiniertes Dashboard manuell aktualisieren oder einen Aktualisierungszeitplan festlegen.
-
Highlights-Dashboards — Aktivieren Sie das Highlights-Dashboard, um einen at-a-glance Überblick über die AWS Aktivitäten zu erhalten, die von den Ereignisdatenspeichern in Ihrem Konto erfasst wurden. Das Highlights-Dashboard wird von Ihrem Konto verwaltet CloudTrail und enthält Widgets, die für Ihr Konto relevant sind. Die im Highlights-Dashboard angezeigten Widgets sind für jedes Konto einzigartig. Diese Widgets könnten festgestellte abnormale Aktivitäten oder Anomalien aufdecken. Ihr Highlights-Dashboard könnte beispielsweise das Widget „Kontoübergreifender Zugriff insgesamt“ enthalten, das anzeigt, ob es zu einer Zunahme abnormaler kontoübergreifender Aktivitäten kommt. CloudTrail aktualisiert das Highlights-Dashboard alle 6 Stunden. Das Dashboard zeigt die Daten der letzten 24 Stunden aus dem letzten Update.
Jedes Dashboard besteht aus einem oder mehreren Widgets und jedes Widget steht für eine SQL Abfrage.
Weitere Informationen finden Sie unter CloudTrail Lake-Dashboards.
CloudTrail Pfade
Ein Trail ist eine Konfiguration, durch die Ereignisse an den von Ihnen angegebenen Amazon-S3-Bucket übermittelt werden. Mit Amazon CloudWatch Logs und Amazon können Sie Ereignisse auch in einem Trail bereitstellen und analysieren EventBridge.
Trails kann CloudTrail Verwaltungsereignisse, Datenereignisse, Netzwerkaktivitätsereignisse und Insights-Ereignisse protokollieren.
Anmerkung
Netzwerkaktivitätsereignisse befinden sich in der Vorschauversion für CloudTrail und können sich ändern.
Sie können sowohl Trails mit mehreren Regionen als auch Trails mit nur einer Region für Ihren erstellen. AWS-Konto
- Wanderwege mit mehreren Regionen
-
Wenn Sie einen Trail mit mehreren Regionen erstellen, CloudTrail zeichnet er alle Ereignisse AWS-Regionen in der AWS Partition auf, in der Sie arbeiten, und übermittelt die CloudTrail Ereignisprotokolldateien an einen von Ihnen angegebenen S3-Bucket. Wenn ein Trail hinzugefügt AWS-Region wird, nachdem Sie einen Trail mit mehreren Regionen erstellt haben, wird diese neue Region automatisch hinzugefügt, und Ereignisse in dieser Region werden protokolliert. Das Erstellen eines Trails mit mehreren Regionen wird als bewährte Methode empfohlen, da Sie Aktivitäten in allen Regionen in Ihrem Konto erfassen. Alle Trails, die Sie mit der CloudTrail Konsole erstellen, sind regionsübergreifend. Sie können einen Pfad mit einer einzelnen Region in einen Pfad mit mehreren Regionen konvertieren, indem Sie den verwenden. AWS CLI Weitere Informationen erhalten Sie unter Einen Trail mit der Konsole erstellen und Umwandeln eines Trails, der für eine Region gilt, zu einem Trail für alle Regionen.
- Wanderwege für eine einzelne Region
-
Wenn Sie einen Pfad mit nur einer Region erstellen, werden nur die Ereignisse in dieser Region CloudTrail aufgezeichnet. Anschließend werden die CloudTrail Ereignisprotokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket gesendet. Sie können nur einen einzelnen Regions-Trail erstellen, indem Sie die AWS CLI verwenden. Wenn Sie zusätzliche einzelne Trails erstellen, können Sie festlegen, dass diese Trails CloudTrail Ereignisprotokolldateien an denselben S3-Bucket oder an separate Buckets liefern. Dies ist die Standardoption, wenn Sie einen Trail mit dem AWS CLI oder dem CloudTrail API erstellen. Weitere Informationen finden Sie unter Trails erstellen, aktualisieren und verwalten mit dem AWS CLI.
Anmerkung
Für beide Arten von Trails können Sie einen Amazon-S3-Bucket aus einer beliebigen Region angeben.
Wenn Sie in eine Organisation erstellt haben AWS Organizations, können Sie einen Organisationspfad erstellen, der alle Ereignisse für alle AWS Konten in dieser Organisation protokolliert. Organisationspfade können für alle AWS Regionen oder für die aktuelle Region gelten. Organisations-Trails müssen im Verwaltungskonto oder mit dem Konto eines delegierten Administrators erstellt werden. Sobald sie auf eine Organisation angewendet werden, gelten sie automatisch auch für alle Mitgliedskonten in der Organisation. Mitgliedskonten können den Organisationspfad sehen, ihn aber nicht ändern oder löschen. Standardmäßig wird Mitgliedskonten kein Zugriff auf die Protokolldateien für den Organisations-Trail im Amazon-S3-Bucket gewährt.
Wenn Sie in der CloudTrail Konsole einen Trail erstellen, werden Ihre Ereignisprotokolldateien standardmäßig mit einem KMS Schlüssel verschlüsselt. Wenn Sie die KMSVerschlüsselung nicht aktivieren SSE möchten, werden Ihre Ereignisprotokolle mit der serverseitigen Amazon S3 S3-Verschlüsselung (SSE) verschlüsselt. Sie können Ihre Protokolldateien beliebig lange in Ihrem -Bucket speichern. Außerdem können Sie Amazon-S3-Lebenszyklusregeln definieren, um Protokolldateien automatisch zu archivieren oder zu löschen. Wenn Sie Benachrichtigungen über die Lieferung und Validierung von Protokolldateien wünschen, können Sie SNS Amazon-Benachrichtigungen einrichten.
CloudTrail veröffentlicht Protokolldateien mehrmals pro Stunde, etwa alle 5 Minuten. Diese Protokolldateien enthalten API Aufrufe von Diensten im Konto, die dies unterstützen CloudTrail. Weitere Informationen finden Sie unter CloudTrail unterstützte Dienste und Integrationen.
Anmerkung
CloudTrail In der Regel werden Protokolle innerhalb von durchschnittlich etwa 5 Minuten nach einem API Anruf übermittelt. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter AWS CloudTrail Service Level Agreement
Wenn Sie Ihren Trail falsch konfigurieren (z. B. weil der S3-Bucket nicht erreichbar ist), CloudTrail wird versucht, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen. Für diese attempted-to-deliver Ereignisse fallen Standardgebühren an. CloudTrail Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.
CloudTrail erfasst Aktionen, die direkt vom Benutzer oder im Namen des Benutzers von einem Dienst ausgeführt werden. AWS Beispielsweise kann ein AWS CloudFormation CreateStack Anruf zu zusätzlichen API Aufrufen bei AmazonEC2, AmazonRDS, Amazon oder anderen Diensten führenEBS, wie es die AWS CloudFormation Vorlage erfordert. Dieses Verhalten ist normal und wird erwartet. Anhand des invokedby Felds im CloudTrail Ereignis können Sie feststellen, ob die Aktion von einem AWS Service ausgeführt wurde.
Die folgende Tabelle enthält Informationen zu Aufgaben, die Sie auf Trails ausführen können.
| Aufgabe | Beschreibung |
|---|---|
|
Konfigurieren Sie Ihre Trails so, dass sie nur Lese-, Schreib- oder alle Verwaltungsereignisse protokollieren. |
|
|
Sie können erweiterte Ereignisselektoren verwenden, um detaillierte Selektoren zu erstellen, um nur die Datenereignisse zu protokollieren, die für Sie von Interesse sind. Wenn Sie erweiterte Event-Selektoren verwenden, können Sie nach dem |
|
|
Konfigurieren Sie Ihre Trails so, dass Netzwerkaktivitätsereignisse protokolliert werden. Sie können erweiterte Event-Selektoren so konfigurieren, dass sie nach den AnmerkungNetzwerkaktivitätsereignisse befinden sich in der Vorschauversion für CloudTrail und können sich ändern. |
|
|
Konfigurieren Sie Ihre Trails so, dass Insights-Ereignisse protokolliert werden, damit Sie ungewöhnliche Aktivitäten im Zusammenhang mit API Managementanrufen identifizieren und darauf reagieren können. Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung |
|
|
Nachdem Sie CloudTrail Insights on a trail aktiviert haben, können Sie sich Insights-Ereignisse von bis zu 90 Tagen über die CloudTrail Konsole oder das ansehen AWS CLI. |
|
|
Nachdem Sie CloudTrail Insights on a Trail aktiviert haben, können Sie eine CSV JSON OR-Datei herunterladen, die Insights-Ereignisse der letzten 90 Tage für Ihren Trail enthält. |
|
|
Sie können vorhandene Trail-Ereignisse in einen CloudTrail Lake Event Data Store kopieren, um eine point-in-time Momentaufnahme der im Trail protokollierten Ereignisse zu erstellen. |
|
|
Abonnieren Sie ein Thema, um Benachrichtigungen darüber zu erhalten, dass Protokolldateien in Ihrem Bucket bereitgestellt wurden. Amazon SNS kann Sie auf verschiedene Arten benachrichtigen, auch programmgesteuert mit Amazon Simple Queue Service. AnmerkungWenn Sie SNS Benachrichtigungen über Protokolldatei-Lieferungen aus allen Regionen erhalten möchten, geben Sie nur ein SNS Thema für Ihren Trail an. Informationen zur programmgesteuerten Verarbeitung aller Ereignisse finden Sie unter Verwendung der CloudTrail Processing Library. |
|
|
Suchen Sie nach Ihren Protokolldateien und laden Sie sie aus dem S3-Bucket herunter. |
|
|
Sie können Ihren Trail so konfigurieren, dass Ereignisse an CloudWatch Logs gesendet werden. Anschließend können Sie CloudWatch Logs verwenden, um Ihr Konto auf bestimmte API Anrufe und Ereignisse hin zu überwachen. AnmerkungWenn Sie einen Trail konfigurieren, der für alle Regionen gilt, sodass Ereignisse an eine CloudWatch Logs-Protokollgruppe CloudTrail gesendet werden, werden Ereignisse aus allen Regionen an eine einzelne Protokollgruppe gesendet. |
|
|
Die Verschlüsselung von Protokolldateien bietet eine zusätzliche Sicherheitsebene für Ihre Protokolldateien. |
|
|
Mithilfe der Überprüfung der Integrität von Protokolldateien können Sie überprüfen, ob die Protokolldateien seit ihrer Übermittlung CloudTrail unverändert geblieben sind. |
|
|
Sie können Protokolldateien zwischen Konten teilen. |
|
|
Sie können Protokolldateien aus mehrere Konten in einem einzelnen Bucket zusammenführen. |
|
|
Analysieren Sie CloudTrail Ihre Ergebnisse mit einer Partnerlösung, die sich in integrieren lässt CloudTrail. Partnerlösungen bieten eine breite Palette von Funktionen wie die Änderungsnachverfolgung, Problembehebung und Sicherheitsanalyse. |
Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an Ihren S3-Bucket senden, CloudTrail indem Sie einen Trail erstellen. Es fallen jedoch Amazon S3 S3-Speichergebühren an. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise
CloudTrail Einblicke und Ereignisse
AWS CloudTrail Insights helfen AWS Benutzern, ungewöhnliche Aktivitäten im Zusammenhang mit API Anrufraten und API Fehlerquoten zu erkennen und darauf zu reagieren, indem CloudTrail Verwaltungsereignisse kontinuierlich analysiert werden. CloudTrail Insights analysiert Ihre normalen Muster in Bezug auf API Anrufvolumen und API Fehlerraten, auch Basiswerte genannt, und generiert Insights-Ereignisse, wenn das Anrufvolumen oder die Fehlerraten außerhalb der normalen Muster liegen. Insights-Ereignisse zur API Anrufrate werden für das write Management generiertAPIs, und Insights-Ereignisse zur API Fehlerquote werden read sowohl für das Management als auch für das write Management generiertAPIs.
Standardmäßig protokollieren CloudTrail Trails und Event-Datenspeicher keine Insights-Ereignisse. Sie müssen Ihren Trail- oder Event-Datenspeicher so konfigurieren, dass Insights-Ereignisse protokolliert werden. Weitere Informationen erhalten Sie unter Protokollieren von Insights-Ereignissen mit der CloudTrail Konsole und Protokollieren von Insights-Ereignissen mit dem AWS CLI.
Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung
Insights-Ereignisse für Trails und Event-Datenspeicher anzeigen
CloudTrail unterstützt Insights-Ereignisse sowohl für Trails als auch für Event-Datenspeicher. Es gibt jedoch einige Unterschiede in der Art und Weise, wie du Insights-Ereignisse ansiehst und darauf zugreifst.
Anzeigen von Insights-Ereignissen für Trails
Wenn du Insights-Ereignisse für einen Trail aktiviert hast und ungewöhnliche Aktivitäten CloudTrail feststellst, werden Insights-Ereignisse in einem anderen Ordner oder Präfix im Ziel-S3-Bucket für deinen Trail protokolliert. Sie können auch die Art der Insights und den Zeitraum des Vorfalls sehen, wenn Sie Insights-Ereignisse auf der CloudTrail Konsole aufrufen. Weitere Informationen finden Sie unter Insights-Ereignisse für Trails mit der Konsole anzeigen.
Nachdem Sie CloudTrail Insights zum ersten Mal für einen Trail aktiviert haben, CloudTrail kann es bis zu 36 Stunden dauern, bis die Bereitstellung von Insights-Ereignissen beginnt, nachdem Sie Insights-Ereignisse für einen Trail aktiviert haben, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.
Anzeigen von Insights-Ereignissen für Ereignisdatenspeicher
Um Insights-Ereignisse in CloudTrail Lake zu protokollieren, benötigen Sie einen Zielereignisdatenspeicher, der Insights-Ereignisse protokolliert, und einen Quellereignisdatenspeicher, der Insights aktiviert und Verwaltungsereignisse protokolliert. Weitere Informationen finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Insights-Ereignisse.
Nachdem Sie CloudTrail Insights zum ersten Mal im Quell-Ereignisdatenspeicher aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.
Wenn Sie CloudTrail Insights in einem Quell-Eventdatenspeicher aktiviert haben und ungewöhnliche CloudTrail Aktivitäten erkennen, werden CloudTrail Insights-Ereignisse an Ihren Ziel-Ereignisdatenspeicher gesendet. Anschließend können Sie Ihren Zielereignisdatenspeicher abfragen, um Informationen zu Ihren Insights-Ereignissen zu erhalten, und die Abfrageergebnisse optional in einem S3-Bucket speichern. Weitere Informationen erhalten Sie unter Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail und Beispielabfragen mit der CloudTrail Konsole anzeigen.
Sie können das Insights-Event-Dashboard aufrufen, um die Insights-Ereignisse in Ihrem Zielereignisdatenspeicher zu visualisieren. Weitere Informationen zu Lake-Dashboards finden Sie unter CloudTrail Lake-Dashboards.
CloudTrail Kanäle
CloudTrail unterstützt zwei Arten von Kanälen:
- Kanäle für CloudTrail Lake-Integrationen mit Eventquellen außerhalb von AWS
-
CloudTrail Lake verwendet Kanäle, um Ereignisse von außerhalb von CloudTrail Lake AWS zu übertragen, und zwar von externen Partnern, die mit Ihnen zusammenarbeiten CloudTrail, oder aus Ihren eigenen Quellen. Wenn Sie einen Kanal erstellen, wählen Sie einen oder mehrere Ereignisdatenspeicher aus, um Ereignisse zu speichern, die von der Kanalquelle stammen. Sie können die Zielereignisdatenspeicher für einen Kanal nach Bedarf ändern, sofern die Zielereignisdatenspeicher so eingestellt sind, dass sie Ereignisse protokollieren. Wenn Sie einen Kanal für Ereignisse von einem externen Partner erstellen, stellen Sie dem Partner oder der Quellanwendung einen Kanal ARN zur Verfügung. Die dem Kanal beigefügte Ressourcenrichtlinie ermöglicht es der Quelle, Ereignisse über den Kanal zu übertragen. Weitere Informationen finden Sie unter Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS und
CreateChannelin der AWS CloudTrail APIReferenz. - Serviceverknüpfte Kanäle
-
AWS Dienste können einen mit Diensten verknüpften Kanal einrichten, über den CloudTrail Ereignisse in Ihrem Namen empfangen werden. Der AWS Dienst, der den serviceverknüpften Kanal erstellt, konfiguriert erweiterte Ereignisauswahlmöglichkeiten für den Kanal und gibt an, ob der Kanal für alle Regionen oder für die aktuelle Region gilt.
Sie können die CloudTrail Konsole oder AWS CLIzum Anzeigen von Informationen über alle CloudTrail dienstverknüpften Kanäle verwenden, die von erstellt wurden. AWS-Services
