Erstellen Sie einen Ereignisdatenspeicher mit dem AWS CLI - AWS CloudTrail
Erstellen Sie einen Ereignisdatenspeicher für S3-Datenereignisse mit dem AWS CLIErstellen Sie einen Ereignisdatenspeicher für KMS Netzwerkaktivitätsereignisse mit dem AWS CLIErstellen Sie einen Ereignisdatenspeicher für AWS Config Konfigurationselemente mit dem AWS CLIErstellen Sie einen Datenspeicher für Organisationsereignisse für Verwaltungsereignisse mit dem AWS CLIErstellen Sie Ereignisdatenspeicher für Insights-Ereignisse mit dem AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen Ereignisdatenspeicher mit dem AWS CLI

In diesem Abschnitt wird beschrieben, wie der create-event-data-storeBefehl zum Erstellen eines Ereignisdatenspeichers verwendet wird, und es werden Beispiele für verschiedene Arten von Ereignisdatenspeichern bereitgestellt, die Sie erstellen können.

Beim Erstellen eines Ereignisdatenspeichers ist der einzige erforderliche Parameter der --name, der zur Identifizierung des Ereignisdatenspeichers verwendet wird. Sie können zusätzliche optionale Parameter konfigurieren, darunter:

  • --advanced-event-selectors – Gibt die Kategorie der Ereignisse an, die im Ereignisdatenspeicher aufgenommen werden sollen. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse. Weitere Informationen zu erweiterten Ereignisselektoren finden Sie AdvancedEventSelectorin der CloudTrail API Referenz.

  • --kms-key-id- Gibt die KMS Schlüssel-ID an, die zur Verschlüsselung der von übermittelten Ereignisse verwendet werden soll. CloudTrail Der Wert kann ein Aliasname mit dem Präfixalias/, ein vollständig für einen Alias spezifizierter ARN Name, ein vollständig für einen Schlüssel spezifizierter ARN Name oder ein global eindeutiger Bezeichner sein.

  • --multi-region-enabled- Erstellt einen Ereignisdatenspeicher für mehrere Regionen, in dem Ereignisse für alle AWS-Regionen in Ihrem Konto protokolliert werden. Standardmäßig ist --multi-region-enabled festgelegt, auch wenn der Parameter nicht hinzugefügt wurde.

  • --organization-enabled – Ermöglicht es einem Ereignisdatenspeicher, Ereignisse für alle Konten in einer Organisation zu erfassen. Der Ereignisdatenspeicher ist standardmäßig nicht für alle Konten in einer Organisation aktiviert.

  • --billing-mode – Bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher.

    Die folgenden Werte sind möglich:

    • EXTENDABLE_RETENTION_PRICING – Dieser Abrechnungsmodus wird generell empfohlen, wenn Sie weniger als 25 TB an Ereignisdaten pro Monat erfassen und einen flexiblen Aufbewahrungszeitraum von bis zu 3 653 Tagen (etwa 10 Jahre) wünschen. Der Standardaufbewahrungszeitraum für diesen Abrechnungsmodus beträgt 366 Tage.

    • FIXED_RETENTION_PRICING – Dieser Abrechnungsmodus wird empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 2 557 Tagen (ca. 7 Jahren) wünschen. Der Standardaufbewahrungszeitraum für diesen Abrechnungsmodus beträgt 2 557 Tage.

    Der Standardwert ist EXTENDABLE_RETENTION_PRICING.

  • --retention-period – Die Anzahl der Tage, wie lange Ereignisse im Ereignisdatenspeicher aufbewahrt werden sollen. Gültige Werte sind Ganzzahlen zwischen 7 und 3 653, wenn der --billing-mode EXTENDABLE_RETENTION_PRICING ist, oder zwischen 7 und 2 557, wenn der --billing-mode auf FIXED_RETENTION_PRICING gesetzt ist. Wenn Sie dies nicht angeben--retention-period, CloudTrail wird der Standardaufbewahrungszeitraum für verwendet. --billing-mode

  • --start-ingestion – Der Parameter --start-ingestion startet die Erfassung von Ereignissen im Ereignisdatenspeicher, wenn er erstellt wird. Dieser Parameter wird auch dann festgelegt, wenn der Parameter nicht hinzugefügt wurde.

    Geben Sie --no-start-ingestion an, wenn der Ereignisdatenspeicher keine Live-Ereignisse erfassen soll. Sie können diesen Parameter beispielsweise festlegen, wenn Sie Ereignisse in den Ereignisdatenspeicher kopieren und die Ereignisdaten nur für die Analyse vergangener Ereignisse verwenden möchten. Der Parameter --no-start-ingestion ist nur gültig, wenn der eventCategory des Workflows Management, Data oder ConfigurationItem ist.

Die folgenden Beispiele veranschaulichen, wie Sie verschiedene Typen von Ereignisdatenspeichern erstellen können.

Erstellen Sie einen Ereignisdatenspeicher für S3-Datenereignisse mit dem AWS CLI

Der folgende create-event-data-store Beispielbefehl AWS Command Line Interface (AWS CLI) erstellt einen Ereignisdatenspeicher mit dem Namenmy-event-data-store, der alle Amazon S3 S3-Datenereignisse auswählt und mit einem KMS Schlüssel verschlüsselt wird.

aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
            ]
        }
    ]'

Nachfolgend finden Sie eine Beispielantwort.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
    "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}

Erstellen Sie einen Ereignisdatenspeicher für KMS Netzwerkaktivitätsereignisse mit dem AWS CLI

Anmerkung

Netzwerkaktivitätsereignisse befinden sich in der Vorschauversion für CloudTrail und können sich ändern.

Das folgende Beispiel zeigt, wie Sie einen Ereignisdatenspeicher erstellen, der VpceAccessDenied Netzwerkaktivitätsereignisse für enthält AWS KMS. In diesem Beispiel wird das errorCode Feld auf VpceAccessDenied Ereignisse und das eventSource Feld auf gleich gesetztkms.amazonaws.com.

aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
     {
        "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
        "FieldSelectors": [
            {
                "Field": "eventCategory",
                "Equals": ["NetworkActivity"]
            },
            {
                "Field": "eventSource",
                "Equals": ["kms.amazonaws.com"]
            },
            {
                "Field": "errorCode",
                "Equals": ["VpceAccessDenied"]
            }
        ]
    }
]'

Der Befehl gibt die folgende Beispielausgabe zurück.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "NetworkActivity"
                    ]
                },
                {
                    "Field": "eventSource",
                    "Equals": [
                        "kms.amazonaws.com"
                    ]
                },
                {
                    "Field": "errorCode",
                    "Equals": [
                        "VpceAccessDenied"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}

Weitere Hinweise zu Netzwerkaktivitätsereignissen finden Sie unterProtokollierung von Netzwerkaktivitätsereignissen.

Erstellen Sie einen Ereignisdatenspeicher für AWS Config Konfigurationselemente mit dem AWS CLI

Der folgende AWS CLI create-event-data-store Beispielbefehl erstellt einen Ereignisdatenspeicher mit dem Namenconfig-items-eds, der AWS Config Konfigurationselemente auswählt. Um Konfigurationselemente zu erfassen, geben Sie an, dass das Feld eventCategory dem ConfigurationItem in den erweiterten Ereignisselektoren entspricht.

aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Nachfolgend finden Sie eine Beispielantwort.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "config-items-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select AWS Config configuration items",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "ConfigurationItem"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
    "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}

Erstellen Sie einen Datenspeicher für Organisationsereignisse für Verwaltungsereignisse mit dem AWS CLI

Der folgende AWS CLI create-event-data-store Beispielbefehl erstellt einen Datenspeicher für Organisationsereignisse, der alle Verwaltungsereignisse sammelt und den --billing-mode Parameter auf festlegtFIXED_RETENTION_PRICING.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING

Nachfolgend finden Sie eine Beispielantwort.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

Erstellen Sie Ereignisdatenspeicher für Insights-Ereignisse mit dem AWS CLI

Um Insights-Ereignisse in CloudTrail Lake zu protokollieren, benötigen Sie einen Ziel-Ereignisdatenspeicher, der Insights-Ereignisse sammelt, und einen Quell-Ereignisdatenspeicher, der Insights aktiviert und Verwaltungsereignisse protokolliert.

Dieses Verfahren zeigt, wie Sie die Ziel- und Quellereignisdatenspeicher erstellen und anschließend Insights-Ereignisse aktivieren.

  1. Führen Sie den Befehl aws cloudtrail create-event-data-store aus, um einen Zielereignisdatenspeicher zu erstellen, der Insights-Ereignisse sammelt. Der Wert für eventCategory muss Insight sein. retention-period-daysErsetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten. Gültige Werte sind Ganzzahlen zwischen 7 und 3 653, wenn der --billing-mode EXTENDABLE_RETENTION_PRICING ist, oder zwischen 7 und 2 557, wenn der --billing-mode auf FIXED_RETENTION_PRICING gesetzt ist. Wenn Sie keine Angabe machen--retention-period, CloudTrail verwendet die Standardaufbewahrungsdauer für--billing-mode.

    Wenn Sie mit dem Verwaltungskonto einer AWS Organizations Organisation angemeldet sind, geben Sie den --organization-enabled Parameter an, wenn Sie Ihrem delegierten Administrator Zugriff auf den Ereignisdatenspeicher gewähren möchten.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    Nachfolgend finden Sie eine Beispielantwort.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}

    Sie verwenden das ARN (oder das ID-Suffix vonARN) aus der Antwort als Wert für den --insights-destination Parameter in Schritt 3.

  2. Um einen Quellereignisdatenspeicher zu erstellen, der Verwaltungsereignisse protokolliert, führen Sie den Befehl aws cloudtrail create-event-data-store aus. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse. Sie müssen keine erweiterten Ereignisselektoren angeben, um alle Verwaltungsereignisse zu protokollieren. retention-period-daysErsetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher behalten möchten. Gültige Werte sind Ganzzahlen zwischen 7 und 3 653, wenn der --billing-mode EXTENDABLE_RETENTION_PRICING ist, oder zwischen 7 und 2 557, wenn der --billing-mode auf FIXED_RETENTION_PRICING gesetzt ist. Wenn Sie keine Angabe machen--retention-period, CloudTrail verwendet die Standardaufbewahrungsdauer für--billing-mode. Wenn Sie einen Datenspeicher für Organisationsereignisse erstellen, fügen Sie den Parameter --organization-enabled hinzu.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    Nachfolgend finden Sie eine Beispielantwort.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}

    Sie verwenden das ARN (oder das ID-Suffix vonARN) aus der Antwort als Wert für den --event-data-store Parameter in Schritt 3.

  3. Führen Sie den Befehl put-insight-selectors aus, um Insights-Ereignisse zu aktivieren. Insights-Selektorwerte können ApiCallRateInsight und/oder ApiErrorRateInsight sein. Geben Sie für den --event-data-store Parameter den Quellereignisdatenspeicher ARN (oder das ID-Suffix vonARN) an, der Verwaltungsereignisse protokolliert und Insights aktiviert. Geben Sie für den --insights-destination Parameter den Zielereignisdatenspeicher ARN (oder das ID-Suffix vonARN) an, in dem Insights-Ereignisse protokolliert werden.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    Das folgende Ergebnis zeigt den Insights-Ereignisselektor, der für den Ereignisdatenspeicher konfiguriert wurde.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    Nachdem Sie CloudTrail Insights zum ersten Mal in einem Ereignisdatenspeicher aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.

    CloudTrail Insights analysiert Verwaltungsereignisse, die in einer einzelnen Region und nicht weltweit auftreten. Ein CloudTrail Insights-Ereignis wird in derselben Region generiert, in der auch die unterstützenden Managementereignisse generiert werden.

    CloudTrail Analysiert bei einem Datenspeicher für Organisationsereignisse Verwaltungsereignisse aus den Konten der einzelnen Mitglieder, anstatt die Aggregation aller Verwaltungsereignisse für die Organisation zu analysieren.

Für die Aufnahme von Insights-Veranstaltungen in Lake fallen zusätzliche Gebühren an CloudTrail . Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise.