Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Protokollieren von Datenereignissen
In diesem Abschnitt wird beschrieben, wie Datenereignisse mithilfe der CloudTrail Konsole und protokolliert AWS CLIwerden.
Standardmäßig werden Datenereignisse nicht von Trails und Ereignisdatenspeichern protokolliert. Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung
Datenereignisse liefern Informationen zu Ressourcenoperationen, die für oder innerhalb einer Ressource ausgeführt wurden. Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume.
Beispiele für Datenereignisse:
-
Amazon S3 API S3-Aktivitäten auf Objektebene (z. B.,
GetObject
DeleteObject
, undPutObject
API Operationen) für Objekte in S3-Buckets. -
AWS Lambda Aktivität zur Ausführung von Funktionen (die).
Invoke
API -
CloudTrail
PutAuditEvents
Aktivität auf einem CloudTrail Lake-Kanal, der verwendet wird, um Ereignisse von außen zu protokollieren AWS. -
Amazon SNS
Publish
undPublishBatch
APIOperationen zu Themen.
Sie können erweiterte Event-Selektoren verwenden, um detaillierte Selektoren zu erstellen, die Ihnen helfen, die Kosten zu kontrollieren, indem sie nur die spezifischen Ereignisse protokollieren, die für Ihre Anwendungsfälle von Interesse sind. Sie können beispielsweise erweiterte Event-Selektoren verwenden, um bestimmte API Aufrufe zu protokollieren, indem Sie dem Feld einen Filter hinzufügen. eventName
Weitere Informationen finden Sie unter Filtern von Datenereignissen mithilfe erweiterter Event-Selektoren.
Anmerkung
Die Ereignisse, die von Ihren Trails protokolliert werden, sind bei Amazon verfügbar EventBridge. Wenn Sie beispielsweise für den Trail festlegen, dass er Datenereignisse für S3-Objekte, aber keine Verwaltungsereignisse protokolliert, verarbeitet und protokolliert Ihr Trail nur Datenereignisse für die angegebenen S3-Objekte. Die Datenereignisse für diese S3-Objekte sind in Amazon verfügbar EventBridge. Weitere Informationen finden Sie unter Events from AWS services im EventBridge Amazon-Benutzerhandbuch.
Inhalt
- Datenereignisse
- Schreibgeschützte Ereignisse und Nur-Schreiben-Ereignisse
- Protokollieren von Datenereignissen mit AWS Management Console
- Protokollieren von Datenereignissen mit dem AWS Command Line Interface
- Protokollierung von Datenereignissen für Trails mit dem AWS CLI
- Protokollieren von Ereignissen mithilfe erweiterter Ereignisselektoren
- Protokollieren Sie alle Amazon S3 S3-Ereignisse für einen Amazon S3 S3-Bucket mithilfe erweiterter Event-Selektoren
- Protokollieren von Amazon S3 bei AWS Outposts -Ereignissen mithilfe erweiterter Ereignisselektoren
- Protokollieren von Ereignissen mithilfe grundlegender Ereignisselektoren
- Protokollieren von Datenereignissen für Ereignisdatenspeicher mit dem AWS CLI
- Protokollierung von Datenereignissen für Trails mit dem AWS CLI
- Filtern von Datenereignissen mithilfe erweiterter Event-Selektoren
- Protokollieren von Datenereignissen für AWS Config -Compliance
- Protokollieren von Datenereignissen mit dem AWS SDKs
Datenereignisse
In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Datenspeicher für Wanderwege und Ereignisse verfügbar sind. In der Spalte Ressourcentyp (Konsole) wird die entsprechende Auswahl in der Konsole angezeigt. In der Wertspalte resources.type wird der resources.type
Wert angezeigt, den Sie angeben würden, um Datenereignisse dieses Typs mit oder in Ihren Trail- oder Event-Datenspeicher aufzunehmen. AWS CLI CloudTrail APIs
Für Trails können Sie einfache oder erweiterte Event-Selektoren verwenden, um Datenereignisse für Amazon S3 S3-Objekte in Allzweck-Buckets, Lambda-Funktionen und DynamoDB-Tabellen (in den ersten drei Zeilen der Tabelle dargestellt) zu protokollieren. Sie können nur erweiterte Event-Selektoren verwenden, um die in den verbleibenden Zeilen angezeigten Ressourcentypen zu protokollieren.
Für Ereignisdatenspeicher können Sie nur erweiterte Ereignisselektoren verwenden, um Datenereignisse einzubeziehen.
AWS-Service | Beschreibung | Ressourcentyp (Konsole) | resources.type-Wert |
---|---|---|---|
Amazon-DynamoDB | Amazon DynamoDB API DynamoDB-Aktivitäten auf Artikelebene für Tabellen (z. B., AnmerkungBei Tabellen mit aktivierten Streams enthält das |
DynamoDB |
|
AWS Lambda | AWS Lambda Aktivität zur Funktionsausführung (die |
Lambda | AWS::Lambda::Function |
Amazon S3 | Amazon S3 API S3-Aktivitäten auf Objektebene (z. B., |
S3 | AWS::S3::Object |
AWS AppConfig | AWS AppConfig APIAktivität für Konfigurationsvorgänge wie Aufrufe von und. |
AWS AppConfig | AWS::AppConfig::Configuration |
AWS AppSync | AWS AppSync APIAktivität auf AppSync GraphQLAPIs. |
AppSync GraphQL | AWS::AppSync::GraphQL |
AWS B2B-Datenaustausch | APIB2B-Datenaustauschaktivität für Transformer-Operationen wie Aufrufe von |
B2B-Datenaustausch | AWS::B2BI::Transformer |
Amazon Bedrock | Amazon API Bedrock-Aktivität auf einem Agent-Alias. | Bedrock-Agent-Alias | AWS::Bedrock::AgentAlias |
Amazon Bedrock | Amazon API Bedrock-Aktivität bei asynchronen Aufrufen. | Asynchroner Aufruf von Bedrock | AWS::Bedrock::AsyncInvoke |
Amazon Bedrock | Amazon API Bedrock-Aktivität auf einem Flow-Alias. | Bedrock Flow-Alias | AWS::Bedrock::FlowAlias |
Amazon Bedrock | Amazon API Bedrock-Aktivität auf Leitplanken. | Leitplanke im Grundgestein | AWS::Bedrock::Guardrail |
Amazon Bedrock | Amazon API Bedrock-Aktivität bei Inline-Agenten. | Bedrock Inline-Agent aufrufen | AWS::Bedrock::InlineAgent |
Amazon Bedrock | Amazon API Bedrock-Aktivität in einer Wissensdatenbank. | Bedrock-Wissensdatenbank | AWS::Bedrock::KnowledgeBase |
Amazon Bedrock | Amazon API Bedrock-Aktivität an Modellen. | Bedrock-Modell | AWS::Bedrock::Model |
Amazon CloudFront | CloudFront APIAktivität auf einem KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
AWS Cloud Map | AWS Cloud Map APIAktivität in einem Namespace. | AWS Cloud Map Namespace |
|
AWS Cloud Map | AWS Cloud Map APIAktivität in einem Dienst. | AWS Cloud Map Service nicht zulässig |
|
AWS CloudTrail | CloudTrail |
CloudTrail Kanal | AWS::CloudTrail::Channel |
Amazon CloudWatch | CloudWatch APIAmazon-Aktivitäten in Bezug auf Metriken. |
CloudWatch Metrik | AWS::CloudWatch::Metric |
Amazon CloudWatch RUM | CloudWatch RUMAPIAmazon-Aktivitäten auf App-Monitoren. |
RUMApp-Monitor | AWS::RUM::AppMonitor |
Amazon CodeGuru Profiler | CodeGuru APIProfiler-Aktivität in Profilerstellungsgruppen. | CodeGuru Profiler-Profilgruppe | AWS::CodeGuruProfiler::ProfilingGroup |
Amazon CodeWhisperer | CodeWhisperer APIAmazon-Aktivität bei einer Anpassung. | CodeWhisperer Anpassung | AWS::CodeWhisperer::Customization |
Amazon CodeWhisperer | CodeWhisperer APIAmazon-Aktivitäten in einem Profil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
Amazon Cognito | Amazon Cognito API Cognito-Aktivitäten in Amazon Cognito Cognito-Identitätspools. |
Cognito-Identitätspools | AWS::Cognito::IdentityPool |
AWS Data Exchange | AWS Data Exchange APIAktivität in Bezug auf Vermögenswerte. |
Datenaustausch-Asset |
|
AWS Deadline Cloud | Deadline CloudAPIAktivitäten auf Flotten. |
Deadline Cloud Flotte |
|
AWS Deadline Cloud | Deadline CloudAPIAktivität an Arbeitsplätzen. |
Deadline Cloud Arbeit |
|
AWS Deadline Cloud | Deadline CloudAPIAktivität in Warteschlangen. |
Deadline Cloud Warteschlange |
|
AWS Deadline Cloud | Deadline CloudAPIAktivität bei Arbeitern. |
Deadline Cloud Arbeiter |
|
Amazon-DynamoDB | Amazon DynamoDB API DynamoDB-Aktivität in Streams. |
DynamoDB-Streams | AWS::DynamoDB::Stream |
AWS Nachrichten für Endbenutzer SMS | AWS SMSAPINachrichtenaktivitäten für Endbenutzer in Bezug auf Originationsidentitäten. | SMSIdentität der Sprachherkunft | AWS::SMSVoice::OriginationIdentity |
AWS Nachrichten für Endbenutzer SMS | AWS SMSAPINachrichtenaktivitäten für Endbenutzer in Bezug auf Nachrichten. | SMSSprachnachricht | AWS::SMSVoice::Message |
AWS Nachrichtenübermittlung für Endbenutzer in sozialen Netzwerken | AWS Endbenutzer-Nachrichtenübermittlung Soziale API Aktivitäten unter der TelefonnummerIDs. | ID der Telefonnummer für soziale Nachrichten | AWS::SocialMessaging::PhoneNumberId |
AWS Social Messaging für Endbenutzer | AWS Endbenutzer-Nachrichtenübermittlung Soziale API Aktivitäten auf WabaIDs. | Waba-ID für soziale Nachrichten | AWS::SocialMessaging::WabaId |
Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) direktAPIs, wie |
Amazon EBS direkt APIs | AWS::EC2::Snapshot |
Amazon EMR | EMRAPIAmazon-Aktivitäten in einem Write-Ahead-Log-Workspace. | EMRWorkspace für Write-Ahead-Logs | AWS::EMRWAL::Workspace |
Amazon FinSpace | Amazon FinSpaceAPIAktivität in Umgebungen. |
FinSpace | AWS::FinSpace::Environment |
AWS Glue | AWS Glue APIAktivität an Tabellen, die von Lake Formation erstellt wurden. |
Lake Formation | AWS::Glue::Table |
Amazon GuardDuty | GuardDuty APIAmazon-Aktivität für einen Detektor. |
GuardDuty Detektor | AWS::GuardDuty::Detector |
AWS HealthImaging | AWS HealthImaging APIAktivität in Datenspeichern. |
MedicalImaging Datenspeicher | AWS::MedicalImaging::Datastore |
AWS IoT | AWS IoT APIAktivität im Zusammenhang mit Zertifikaten. |
IoT-Zertifikat | AWS::IoT::Certificate |
AWS IoT | IoT-Sache | AWS::IoT::Thing |
|
AWS IoT Greengrass Version 2 | APIGreengrass-Aktivität von einem Greengrass-Core-Gerät auf einer Komponentenversion. AnmerkungGreengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde. |
IoT Greengrass-Komponentenversion | AWS::GreengrassV2::ComponentVersion |
AWS IoT Greengrass Version 2 | APIGreengrass-Aktivität von einem Greengrass-Core-Gerät in einer Bereitstellung. AnmerkungGreengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde. |
Einsatz von IoT Greengrass | AWS::GreengrassV2::Deployment |
AWS IoT SiteWise | SiteWise IoT-Anlage | AWS::IoTSiteWise::Asset |
|
AWS IoT SiteWise | SiteWise IoT-Zeitreihen | AWS::IoTSiteWise::TimeSeries |
|
AWS IoT SiteWise Assistentin | Sitewise API Assistant-Aktivität bei Konversationen. |
Sitewise Assistant-Konversation | AWS::SitewiseAssistant::Conversation |
AWS IoT TwinMaker | TwinMaker APIIoT-Aktivität auf einer Entität. |
TwinMaker IoT-Entität | AWS::IoTTwinMaker::Entity |
AWS IoT TwinMaker | TwinMaker APIIoT-Aktivität an einem Arbeitsplatz. |
TwinMaker IoT-Arbeitsplatz | AWS::IoTTwinMaker::Workspace |
Amazon Kendra Intelligent Ranking | Amazon Kendra Intelligent API Ranking-Aktivität für Rescore-Ausführungspläne. |
Kendra-Rangliste | AWS::KendraRanking::ExecutionPlan |
Amazon Keyspaces (für Apache Cassandra) | Amazon API Keyspaces-Aktivität auf einem Tisch. | Cassandra-Tisch | AWS::Cassandra::Table |
Amazon-Kinesis-Data-Streams | Kinesis Data Streams API Streams-Aktivität in Streams. | Kinesis-Stream | AWS::Kinesis::Stream |
Amazon-Kinesis-Data-Streams | Kinesis Data Streams API Streams-Aktivität auf Stream-Verbrauchern. | Kinesis Stream Consumer | AWS::Kinesis::StreamConsumer |
Amazon Kinesis Video Streams | Kinesis Video Streams API Streams-Aktivitäten in Videostreams, z. B. Anrufe an GetMedia undPutMedia . |
Kinesis-Videostream | AWS::KinesisVideo::Stream |
Amazon Location Maps | APIAktivität von Amazon Location Maps. | Geokarten | AWS::GeoMaps::Provider |
Amazon Location Places | APIAktivität von Amazon Location Places. | Geo Places | AWS::GeoPlaces::Provider |
Amazon Location Routes | APIAktivität von Amazon Location Routes. | Geo-Routen | AWS::GeoRoutes::Provider |
Amazon Machine Learning | APIAktivität für Machine Learning an ML-Modellen. | Passendes Lernen MlModel | AWS::MachineLearning::MlModel |
Amazon Managed Blockchain | Amazon Managed Blockchain API Blockchain-Aktivität in einem Netzwerk. |
Managed-Blockchain-Netzwerk | AWS::ManagedBlockchain::Network |
Amazon Managed Blockchain | Amazon Managed Blockchain JSON — RPC ruft Ethereum-Knoten wie |
Managed Blockchain | AWS::ManagedBlockchain::Node |
Amazon Managed Workflows für Apache Airflow | MWAAAPIAmazon-Aktivitäten in Umgebungen. |
Verwalteter Apache Airflow | AWS::MWAA::Environment |
Amazon-Neptune-Graph | APIDatenaktivitäten, zum Beispiel Abfragen, Algorithmen oder Vektorsuche, in einem Neptundiagramm. |
Neptun-Graph | AWS::NeptuneGraph::Graph |
Amazon One Enterprise | Amazon One API Enterprise-Aktivität auf einemUKey. |
Amazon One UKey | AWS::One::UKey |
Amazon One Enterprise | Amazon One API Enterprise-Aktivitäten für Benutzer. |
Amazon One-Benutzer | AWS::One::User |
AWS Payment Cryptography | AWS Payment Cryptography APIAktivität auf Aliasnamen. | Alias für Zahlungskryptografie | AWS::PaymentCryptography::Alias |
AWS Payment Cryptography | AWS Payment Cryptography APIAktivität auf Schlüsseln. | Kryptografie-Schlüssel für Zahlungen | AWS::PaymentCryptography::Key |
AWS Private CA | AWS Private CA Konnektor für Active API Directory-Aktivitäten. |
AWS Private CA Konnektor für Active Directory | AWS::PCAConnectorAD::Connector |
AWS Private CA | AWS Private CA Konnektor für SCEP API Aktivität. |
AWS Private CA Anschluss für SCEP | AWS::PCAConnectorSCEP::Connector |
Amazon Q Apps | APIDatenaktivität auf Amazon Q Apps. |
Amazon Q Apps | AWS::QApps::QApp |
Amazon Q Apps | APIDatenaktivität in Amazon Q App-Sitzungen. |
Amazon Q App-Sitzung | AWS::QApps::QAppSession |
Amazon Q Business | Amazon Q API Geschäftsaktivität in einer Anwendung. |
Amazon-Q-Business-Anwendung | AWS::QBusiness::Application |
Amazon Q Business | Amazon Q API Geschäftsaktivität in einer Datenquelle. |
Amazon-Q-Business-Datenquelle | AWS::QBusiness::DataSource |
Amazon Q Business | Amazon Q API Geschäftsaktivität in einem Index. |
Amazon-Q-Business-Index | AWS::QBusiness::Index |
Amazon Q Business | Amazon Q API Geschäftsaktivität auf einem Weberlebnis. |
Amazon-Q-Business-Weberlebnis | AWS::QBusiness::WebExperience |
Amazon Q Developer | Amazon Q API Developer-Aktivität im Zusammenhang mit einer Integration. |
Q: Integration für Entwickler | AWS::QDeveloper::Integration |
Amazon Q Developer | APITätigkeit von Amazon Q Developer im Rahmen operativer Untersuchungen. |
AIOpsErmittlungsgruppe | AWS::AIOps::InvestigationGroup |
Amazon RDS | RDSAPIAmazon-Aktivitäten in einem DB-Cluster. |
RDSDaten API — DB-Cluster | AWS::RDS::DBCluster |
AWS Ressourcen Explorer | Resource API Explorer-Aktivität in verwalteten Ansichten. |
AWS Ressourcen Explorer verwaltete Ansicht | AWS::ResourceExplorer2::ManagedView |
AWS Ressourcen Explorer | Resource API Explorer-Aktivität für Ansichten. |
AWS Ressourcen Explorer anzeigen | AWS::ResourceExplorer2::View |
Amazon S3 | Amazon S3 API S3-Aktivität auf Access Points. |
S3-Zugangspunkt | AWS::S3::AccessPoint |
Amazon S3 | Amazon S3 API S3-Aktivitäten auf Objektebene (z. B., |
S3 Express | AWS::S3Express::Object |
Amazon S3 | APIAktivität der Amazon S3 Object Lambda Access Points, z. B. Aufrufe von |
S3 Objekt Lambda | AWS::S3ObjectLambda::AccessPoint |
Amazon S3 S3-Tabellen | Amazon S3 API S3-Aktivität in Tabellen. |
S3-Tabelle | AWS::S3Tables::Table |
Amazon S3 S3-Tabellen | Amazon S3 API S3-Aktivität in Tabellen-Buckets. |
S3-Tabell-Bucket | AWS::S3Tables::TableBucket |
Amazon S3 in Outposts | S3-Outposts | AWS::S3Outposts::Object |
|
Amazon SageMaker KI | SageMaker InvokeEndpointWithResponseStream Amazon-KI-Aktivitäten auf Endpunkten. |
SageMaker KI-Endpunkt | AWS::SageMaker::Endpoint |
Amazon SageMaker KI | SageMaker APIAmazon-KI-Aktivitäten in Feature-Stores. |
SageMaker KI-Featurestore | AWS::SageMaker::FeatureGroup |
Amazon SageMaker KI | SageMaker APIAmazon-KI-Aktivität an Komponenten von Experimenten und Studien. |
SageMaker Komponente für das Experiment mit KI-Metriken | AWS::SageMaker::ExperimentTrialComponent |
Amazon SimpleDB | Amazon SimpleDB API SimpleDB-Aktivität auf Domains. |
SimpleDB-Domäne | AWS::SDB::Domain |
Amazon SNS | SNS |
SNSPlattform-Endpunkt | AWS::SNS::PlatformEndpoint |
Amazon SNS | Amazon SNS |
SNSThema | AWS::SNS::Topic |
Amazon SQS | SQSAPIAmazon-Aktivitäten in Bezug auf Nachrichten. |
SQS | AWS::SQS::Queue |
AWS Step Functions | Step Functions API Functions-Aktivität auf einer Zustandsmaschine. |
Step-Functions-Zustandsautomat | AWS::StepFunctions::StateMachine |
AWS Supply Chain | AWS Supply Chain APIAktivität auf einer Instanz. |
Lieferkette | AWS::SCN::Instance |
Amazon SWF | SWFDomäne | AWS::SWF::Domain |
|
AWS Systems Manager | APISystemmanager-Aktivität auf Steuerkanälen. | Systems Manager | AWS::SSMMessages::ControlChannel |
AWS Systems Manager | Systems Manager API Manager-Aktivität auf verwalteten Knoten. | Von Systems Manager verwalteter Knoten | AWS::SSM::ManagedNode |
Amazon Timestream | Amazon Timestream Query APITimestream-Aktivität in Datenbanken. |
Timestream-Datenbank | AWS::Timestream::Database |
Amazon Timestream | Amazon Timestream Query APITimestream-Aktivität in Tabellen. |
Timestream-Tabelle | AWS::Timestream::Table |
Amazon Verified Permissions | APIAktivität „Amazon Verified Permissions“ in einem Policy-Shop. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
Amazon WorkSpaces Thin Client | WorkSpaces Thin API Client-Aktivität auf einem Gerät. | Thin-Client-Gerät | AWS::ThinClient::Device |
Amazon WorkSpaces Thin Client | WorkSpaces Thin API Client-Aktivität in einer Umgebung. | Thin-Client-Umgebung | AWS::ThinClient::Environment |
AWS X-Ray | Röntgenspur | AWS::XRay::Trace |
Um CloudTrail Datenereignisse aufzuzeichnen, müssen Sie jeden Ressourcentyp, für den Sie Aktivitäten erfassen möchten, explizit hinzufügen. Weitere Informationen erhalten Sie unter Einen Trail mit der CloudTrail Konsole erstellen und Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse.
In einem Trail oder einem Ereignisspeicher mit einer Region können Sie Datenereignisse nur für Ressourcen protokollieren, auf die Sie in dieser Region zugreifen können. Obwohl S3-Buckets global sind, sind AWS Lambda Funktionen und DynamoDB-Tabellen regional.
Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. CloudTrail Die Preise finden Sie unter Preise.AWS CloudTrail
Beispiele: Protokollieren von Datenereignissen für Amazon-S3-Objekte
Protokollierung von Datenereignissen für alle S3-Objekte in einem S3-Bucket
Das folgende Beispiel veranschaulicht, wie die Protokollierung funktioniert, wenn Sie die Protokollierung aller Datenereignisse für einen S3-Bucket mit dem Namen amzn-s3-demo-bucket
konfigurieren. In diesem Beispiel hat der CloudTrail Benutzer ein leeres Präfix und die Option angegeben, sowohl Lese - als auch Schreibdatenereignisse zu protokollieren.
-
Ein Benutzer lädt ein Objekt auf
amzn-s3-demo-bucket
hoch. -
Der
PutObject
API Vorgang erfolgt auf Amazon S3 S3-ObjektebeneAPI. Es wird als Datenereignis in aufgezeichnet. CloudTrail Da der CloudTrail Benutzer einen S3-Bucket mit einem leeren Präfix angegeben hat, werden Ereignisse, die für jedes Objekt in diesem Bucket auftreten, protokolliert. Der Trail oder der Ereignisdatenspeicher verarbeitet und protokolliert das Ereignis. -
Ein weiterer Benutzer lädt ein Objekt auf
amzn-s3-demo-bucket2
hoch. -
Der
PutObject
API Vorgang wurde für ein Objekt in einem S3-Bucket ausgeführt, das nicht für den Trail- oder Event-Datenspeicher angegeben wurde. Der Trail- oder Ereignisdatenspeicher protokolliert das Ereignis nicht.
Protokollierung von Datenereignissen für bestimmte S3-Objekte
Das folgende Beispiel zeigt, wie die Protokollierung funktioniert, wenn Sie einen Trail oder Ereignisdatenspeicher so konfigurieren, dass Ereignisse für bestimmte S3-Objekte protokolliert werden. In diesem Beispiel gab der CloudTrail Benutzer einen S3-Bucket mit dem Namenamzn-s3-demo-bucket3
, mit dem Präfix und der Option anmy-images
, nur Write-Data-Ereignisse zu protokollieren.
-
Ein Benutzer löscht im Bucket ein Objekt, das mit dem
my-images
-Präfix beginnt, beispielsweisearn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg
. -
Der
DeleteObject
API Vorgang erfolgt auf Amazon S3 S3-ObjektebeneAPI. Er wird als Write-Data-Ereignis in aufgezeichnet. CloudTrail Das Ereignis ist bei einem Objekt eingetreten, das mit dem in dem Trail oder Ereignisdatenspeicher angegebenen S3-Bucket und Präfix übereinstimmt. Der Trail oder der Ereignisdatenspeicher verarbeitet und protokolliert das Ereignis. -
Ein weiterer Benutzer löscht im S3-Bucket ein Objekt mit einem anderen Präfix, beispielsweise
arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi
. -
Das Ereignis ist bei einem Objekt aufgetreten, das nicht mit dem in Ihrem Trail oder Ereignisdatenspeicher angegebenen Präfix übereinstimmt. Der Trail- oder Ereignisdatenspeicher protokolliert das Ereignis nicht.
-
Ein Benutzer ruft die
GetObject
API Operation für das Objekt auf,arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg
. -
Das Ereignis trat in einem Bucket und einem Präfix auf, die im Trail- oder Event-Datenspeicher angegeben sind, es sich jedoch um eine Amazon S3 S3-Objektebene vom Lesetyp
GetObject
handelt. API Es wird als Ereignis zum Lesen von Daten aufgezeichnet CloudTrail, und der Trail- oder Ereignisdatenspeicher ist nicht für die Protokollierung von Leseereignissen konfiguriert. Der Trail- oder Ereignisdatenspeicher protokolliert das Ereignis nicht.
Anmerkung
Wenn Sie für Trails Datenereignisse für bestimmte Amazon-S3-Buckets protokollieren, wird empfohlen, keinen Amazon-S3-Bucket für die Protokollierung von Datenereignissen zu verwenden, um Protokolldateien zu empfangen, die Sie im Abschnitt für Datenereignisse angegeben haben. Wenn Sie denselben Amazon-S3-Bucket verwenden, protokolliert Ihr Trail jedes Mal ein Datenereignis, wenn die Protokolldateien an Ihren Amazon-S3-Bucket übergeben werden. Bei den Protokolldateien handelt es sich um aggregierte Ereignisse, die in regelmäßigen Abständen geliefert werden. Es handelt sich also nicht um ein 1:1-Verhältnis von Ereignis zu Protokolldatei; das Ereignis wird in der nächsten Protokolldatei aufgezeichnet. Wenn beispielsweise Protokolle CloudTrail übermittelt werden, tritt das PutObject
Ereignis im S3-Bucket auf. Wenn der S3-Bucket auch im Abschnitt Datenereignisse angegeben ist, verarbeitet und protokolliert der Trail das PutObject
-Ereignis als Datenereignis. Diese Aktion ist ein weiteres PutObject
-Ereignis, und die Spur verarbeitet und protokolliert das Ereignis erneut.
Um die Protokollierung von Datenereignissen für den Amazon S3 S3-Bucket zu vermeiden, in dem Sie Protokolldateien erhalten, wenn Sie einen Trail zur Protokollierung aller Amazon S3 S3-Datenereignisse in Ihrem AWS Konto konfigurieren, sollten Sie die Übertragung von Protokolldateien an einen Amazon S3 S3-Bucket konfigurieren, der zu einem anderen AWS Konto gehört. Weitere Informationen finden Sie unter Empfangen von CloudTrail Protokolldateien von mehreren Konten.
Protokollierung von Datenereignissen für S3-Objekte in anderen AWS Konten
Wenn Sie Ihren Trail so konfigurieren, dass Datenereignisse protokolliert werden, können Sie auch S3-Objekte angeben, die zu anderen AWS Konten gehören. Tritt ein Ereignis für das angegebene Objekt auf, prüft CloudTrail , ob das Ereignis einem Trail im jeweiligen Konto entspricht. Wenn das Ereignis mit den Einstellungen für ein Trail übereinstimmt, verarbeitet und protokolliert den Trail das Ereignis für dieses Konto. Im Allgemeinen können sowohl API Anrufer als auch Ressourcenbesitzer Ereignisse empfangen.
Wenn Sie Eigentümer eines S3-Objekts sind und es in Ihrem Trail angeben, protokolliert Ihr Trail Ereignisse, die auf dem Objekt in Ihrem Konto auftreten. Da das Objekt Ihnen gehört, protokolliert der Trail auch Ereignisse, wenn andere Konten das Objekt aufrufen.
Wenn Sie ein S3-Objekt in Ihrem Trail angeben und das Objekt ist einem anderen Konto zugeordnet, protokolliert der Trail nur Ereignisse, die auf diesem Objekt in Ihrem Konto auftreten. Ereignisse, die in anderen Konten auftreten, werden von Ihrem Trail nicht protokolliert.
Beispiel: Protokollieren von Datenereignissen für ein Amazon-S3-Objekt für zwei AWS -Konten
Das folgende Beispiel zeigt, wie zwei AWS Konten so konfiguriert werden CloudTrail , dass sie Ereignisse für dasselbe S3-Objekt protokollieren.
-
In Ihrem Konto möchten Sie, dass Ihr Trail Datenereignisse für alle Objekte in Ihrem S3-Bucket namens
amzn-s3-demo-bucket
protokolliert. Sie konfigurieren den Trail, indem Sie den S3-Bucket mit einem leeren Objektpräfix angeben. -
Bob hat ein separates Konto, das auf den S3-Bucket zugreifen kann. Bob möchte auch Datenereignisse für alle Objekte im selben S3-Bucket protokollieren. Für sein Trail konfiguriert er sein Trail und gibt denselben S3-Bucket mit einem leeren Objektpräfix an.
-
Bob lädt mit der
PutObject
API Operation ein Objekt in den S3-Bucket hoch. -
Dieses Ereignis ist in seinem Konto aufgetreten und stimmt mit den Trail-Einstellungen überein. Bobs Trail verarbeitet und protokolliert das Ereignis.
-
Da der S3-Bucket Ihnen zugeordnet ist und das Ereignis mit den Einstellungen für Ihren Trail übereinstimmt, verarbeitet und protokolliert Ihr Trail das Ereignis ebenfalls. Da es jetzt zwei Kopien des Ereignisses gibt (eine ist in Bobs Spur und eine in Ihrer Datenbank protokolliert), CloudTrail fallen Gebühren für zwei Kopien des Datenereignisses an.
-
Sie laden ein Objekt in den S3-Bucket hoch.
-
Dieses Ereignis tritt in Ihrem Konto auf und entspricht den Einstellungen für Ihren Pfad. Ihr Trail verarbeitet und protokolliert das Ereignis.
-
Da das Ereignis nicht in Bobs Konto eingetreten ist und ihm der S3-Bucket nicht gehört, protokolliert Bobs Trail das Ereignis nicht. CloudTrail berechnet nur eine Kopie dieses Datenereignisses.
Beispiel: Protokollierung von Datenereignissen für alle Buckets, einschließlich eines S3-Buckets, der von zwei AWS Konten genutzt wird
Das folgende Beispiel zeigt das Protokollierungsverhalten, wenn „Alle S3-Buckets in Ihrem Konto auswählen“ für Trails aktiviert ist, die Datenereignisse in einem AWS Konto erfassen.
-
Ihr Trail soll in Ihrem Konto Datenereignisse für alle S3-Buckets protokollieren. Sie konfigurieren den Trail, indem Sie Lese-Ereignisse, Schreib-Ereignisse oder beides für Alle aktuellen und zukünftigen S3 Buckets in Datenereignisse auswählen.
-
Bob hat ein separates Konto, das Zugriff auf einen S3-Bucket in Ihrem Konto erhalten hat. Er möchte Datenereignisse für den Bucket protokollieren, auf den er Zugriff hat. Er konfiguriert seinen Trail so, dass er Datenereignisse für alle S3-Buckets erhält.
-
Bob lädt mit der Operation ein Objekt in den S3-Bucket hoch.
PutObject
API -
Dieses Ereignis ist in seinem Konto aufgetreten und stimmt mit den Trail-Einstellungen überein. Bobs Trail verarbeitet und protokolliert das Ereignis.
-
Da Sie Eigentümer des S3-Buckets sind und das Ereignis den Einstellungen für Ihren Trail entspricht, verarbeitet und protokolliert Ihr Trail das Ereignis ebenfalls. Da es jetzt zwei Kopien des Ereignisses gibt (eine ist in Bobs Spur und eine in Ihrem Konto angemeldet), wird für jedes Konto eine Kopie des Datenereignisses CloudTrail berechnet.
-
Sie laden ein Objekt in den S3-Bucket hoch.
-
Dieses Ereignis tritt in Ihrem Konto auf und entspricht den Einstellungen für Ihren Pfad. Ihr Trail verarbeitet und protokolliert das Ereignis.
-
Da das Ereignis nicht in Bobs Konto eingetreten ist und ihm der S3-Bucket nicht gehört, protokolliert Bobs Trail das Ereignis nicht. CloudTrail Gebühren für nur eine Kopie dieses Datenereignisses in Ihrem Konto.
-
Ein dritter Benutzer, Mary, hat Zugriff auf den S3-Bucket und führt einen
GetObject
-Vorgang auf dem Bucket aus. Sie hat eine Spur konfiguriert, um Datenereignisse auf allen S3-Buckets in ihrem Konto zu protokollieren. Da sie die API Anruferin ist, CloudTrail protokolliert sie ein Datenereignis. Obwohl Bob Zugriff auf den Bucket hat, ist er nicht der Eigentümer der Ressource, so dass diesmal kein Bucket in seinem Trail protokolliert wird. Als Ressourcenbesitzer erhalten Sie ein Ereignis über dieGetObject
-Operation, die Mary angerufen hat, in Ihrem Trail. CloudTrail belastet Ihr und Marys Konto für jede Kopie des Datenereignisses: eins in Marys Trail und eins in Ihrem.
Schreibgeschützte Ereignisse und Nur-Schreiben-Ereignisse
Wenn Sie Ihren Trail oder Ereignisdatenspeicher so konfigurieren, dass er Daten und Verwaltungsereignisse protokolliert, können Sie angeben, ob Sie Nur-Lesen-Ereignisse, Nur-Schreiben-Ereignisse oder beides wünschen.
-
Read (Lesen)
Zu den Leseereignissen gehören API Vorgänge, bei denen Ihre Ressourcen gelesen, aber keine Änderungen vorgenommen werden. Zu den schreibgeschützten Ereignissen gehören beispielsweise Amazon EC2
DescribeSecurityGroups
undDescribeSubnets
API Operations. Diese Vorgänge geben nur Informationen über Ihre EC2 Amazon-Ressourcen zurück und ändern Ihre Konfigurationen nicht. -
Write (Schreiben)
Zu den Schreibereignissen gehören API Vorgänge, die Ihre Ressourcen ändern (oder ändern könnten). Beispielsweise modifizieren Amazon EC2
RunInstances
undTerminateInstances
API Operations Ihre Instances.
Beispiel: protokollieren von Lese- und Schreibereignissen für separate Trails
Das folgende Beispiel zeigt, wie Sie Trails so konfigurieren können, dass die Protokollaktivität für ein Konto in separate S3-Buckets aufgeteilt wird: Ein Bucket mit dem Namen amzn-s3-demo-bucket1 empfängt schreibgeschützte Ereignisse und ein zweiter amzn-s3-demo-bucket2 empfängt schreibgeschützte Ereignisse.
-
Sie erstellen einen Trail
amzn-s3-demo-bucket1
und wählen den S3-Bucket mit dem Namen für den Empfang von Protokolldateien aus. Anschließend aktualisieren Sie den Trail, um anzugeben, dass Sie Schreib-Verwaltungs- und Datenereignisse protokollieren möchten. -
Sie erstellen einen zweiten Trail und wählen den S3-Bucket aus
amzn-s3-demo-bucket2
, der die Protokolldateien empfangen soll. Anschließend aktualisieren Sie den Trail, um anzugeben, dass Sie Verwaltungs- und Datenereignisse vom Typ Schreiben protokollieren möchten. -
Amazon EC2
DescribeInstances
und dieTerminateInstances
API Operationen finden in Ihrem Konto statt. -
Der
DescribeInstances
API Vorgang ist nur lesbar und entspricht den Einstellungen für den ersten Trail. Der Trail protokolliert das Ereignis und liefert es an denamzn-s3-demo-bucket1
. -
Bei dem
TerminateInstances
API Vorgang handelt es sich um ein Ereignis, das nur beim Schreiben verwendet werden kann, und es entspricht den Einstellungen für den zweiten Trail. Der Trail protokolliert das Ereignis und liefert es an denamzn-s3-demo-bucket2
.
Protokollieren von Datenereignissen mit AWS Management Console
In den folgenden Verfahren wird beschrieben, wie Sie einen vorhandenen Ereignisdatenspeicher oder Trail aktualisieren, um Datenereignisse mit der AWS Management Console zu protokollieren. Weitere Informationen zum Erstellen eines Ereignisdatenspeichers zum Speichern von Protokolldatenereignissen finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse. Weitere Informationen zum Erstellen eines Trails zum Protokollieren von Datenereignissen finden Sie unter Erstellen eines Trails in der Konsole.
Bei Trails unterscheiden sich die Schritte zum Protokollieren von Datenereignissen je nachdem, ob Sie erweiterte oder einfache Event-Selektoren verwenden. Sie können Datenereignisse für alle Ressourcentypen mithilfe erweiterter Event-Selektoren protokollieren. Wenn Sie jedoch einfache Event-Selektoren verwenden, sind Sie auf die Protokollierung von Datenereignissen für Amazon S3 S3-Buckets und Bucket-Objekte, AWS Lambda Funktionen und Amazon DynamoDB-Tabellen beschränkt.
Verwenden Sie das folgende Verfahren, um einen vorhandenen Ereignisdatenspeicher zu aktualisieren und Datenereignisse zu protokollieren. Weitere Informationen zur Verwendung erweiterter Ereignisselektoren finden Sie unter Filtern von Datenereignissen mithilfe erweiterter Event-Selektoren diesem Thema.
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/
. -
Wählen Sie im Navigationsbereich unter Lake Ereignisdatenspeicher aus.
-
Wählen Sie auf der Seite Ereignisdatenspeicher den Ereignisdatenspeicher aus, den Sie aktualisieren möchten.
Anmerkung
Sie können Datenereignisse nur in Ereignisdatenspeichern aktivieren, die CloudTrail Ereignisse enthalten. Sie können keine Datenereignisse in CloudTrail Ereignisdatenspeichern für AWS Config Konfigurationselemente, CloudTrail Insights-Ereignisse oder AWS Nichtereignisse aktivieren.
-
Wählen Sie auf der Detailseite unter Datenereignisse die Option Bearbeiten aus.
-
Wenn Sie noch keine Datenereignisse protokollieren, aktivieren Sie das Kontrollkästchen Datenereignisse.
-
Wählen Sie unter Ressourcentyp den Ressourcentyp aus, für den Sie Datenereignisse protokollieren möchten.
-
Wählen Sie eine Protokollauswahlvorlage aus. CloudTrail enthält vordefinierte Vorlagen, die alle Datenereignisse für den Ressourcentyp protokollieren. Um eine benutzerdefinierte Protokoll-Selektorvorlage zu erstellen, wählen Sie Benutzerdefiniert aus.
-
(Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird wie
Name
in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die JSON Ansicht erweitern. -
Wenn Sie Benutzerdefiniert ausgewählt haben, erstellen Event-Selektoren unter Advanced einen Ausdruck, der auf den Werten der erweiterten Event-Selektor-Felder basiert.
-
Wählen Sie aus den folgenden Feldern.
-
readOnly
-readOnly
kann so gesetzt werden, dass sie einem Wert von oder entspricht.true
false
Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B.Get*
- oderDescribe*
-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B.Put*
-,Delete*
- oderWrite*
-Ereignisse. Um sowohlread
- als auchwrite
-Ereignisse zu protokollieren, fügen Sie keinenreadOnly
-Selektor hinzu. -
eventName
–eventName
kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B.PutBucket
GetItem
, oderGetSnapshotBlock
. -
eventSource
— Die Ereignisquelle, die ein- oder ausgeschlossen werden soll. In diesem Feld kann ein beliebiger Operator verwendet werden. -
eventType— Der Ereignistyp, der ein- oder ausgeschlossen werden soll. Sie können dieses Feld beispielsweise auf „Ungleich“ setzen,
AwsServiceEvent
um es auszuschließenAWS-Service Ereignisse. Eine Liste der Ereignistypen finden Sie eventTypeunterCloudTrail Inhalt aufzeichnen. -
sessionCredentialFromKonsole — Ereignisse, die aus einer AWS Management Console Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf gleich oder ungleich mit dem Wert von gesetzt werden.
true
-
userIdentity.arn — Ereignisse für Aktionen, die von bestimmten Identitäten ausgeführt werden, einschließen oder ausschließen. IAM Weitere Informationen finden Sie unter CloudTrail userIdentity Element.
-
resources.ARN
- Sie können jeden Operator mit verwendenresources.ARN
, aber wenn Sie „gleich“ oder „ungleich“ verwenden, muss der Wert exakt dem ARN Wert einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert für angegeben haben.resources.type
Weitere Informationen finden Sie unter Filterung von Datenereignissen nach resources.ARN.Anmerkung
Sie können das
resources.ARN
Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall ist. ARNs
Weitere Informationen zu den ARN Formaten von Datenereignisressourcen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Aktionen, Ressourcen und Bedingungsschlüssel.
-
-
Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf Ressourcen setzen. ARN, legen Sie fest, dass der Operator für nicht mit beginnt, und fügen Sie ihn dann in einen S3-Bucket ein, ARN für den Sie keine Ereignisse protokollieren möchten.
Um den zweiten S3-Bucket hinzuzufügen, wählen Sie + Condition und wiederholen Sie dann die vorherige Anweisung, indem Sie das ARN für einfügen oder nach einem anderen Bucket suchen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. Wie werden mehrere Bedingungen für CloudTrail ein Feld ausgewertet
Anmerkung
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie
eventName
ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen. -
Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht ARN in einem Selektor an, dass ein Wert gleich einem Wert ist, und geben Sie dann an, dass das ARN nicht dem gleichen Wert in einem anderen Selektor entspricht.
-
-
Um einen weiteren Ressourcentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen. Wiederholen Sie die Schritte 6 bis zu diesem Schritt, um erweiterte Event-Selektoren für einen anderen Ressourcentyp zu konfigurieren.
-
Nachdem Sie Ihre Auswahl überprüft und bestätigt haben, wählen Sie Änderungen speichern aus.
Wenn Ihr Trail erweiterte Event-Selektoren verwendet AWS Management Console, können Sie aus vordefinierten Vorlagen wählen, die alle Datenereignisse auf einer ausgewählten Ressource protokollieren. Nachdem Sie eine Protokol- Selektorvorlage ausgewählt haben, können Sie die Vorlage so anpassen, dass sie nur die Datenereignisse enthält, die Sie am meisten sehen möchten. Weitere Informationen zur Verwendung erweiterter Event-Selektoren finden Sie unter Filtern von Datenereignissen mithilfe erweiterter Event-Selektoren diesem Thema.
-
Wählen Sie auf den Seiten Dashboard oder Trails der CloudTrail Konsole den Trail aus, den Sie aktualisieren möchten.
-
Wählen Sie auf der Detailseite unter Datenereignisse die Option Bearbeiten aus.
-
Wenn Sie noch keine Datenereignisse protokollieren, aktivieren Sie das Kontrollkästchen Datenereignisse.
-
Wählen Sie unter Ressourcentyp den Ressourcentyp aus, auf dem Sie Datenereignisse protokollieren möchten.
-
Wählen Sie eine Protokollauswahlvorlage aus. CloudTrail enthält vordefinierte Vorlagen, die alle Datenereignisse für den Ressourcentyp protokollieren. Um eine benutzerdefinierte Protokoll-Selektorvorlage zu erstellen, wählen Sie Benutzerdefiniert aus.
Anmerkung
Wenn Sie eine vordefinierte Vorlage für S3-Buckets auswählen, wird die Protokollierung von Datenereignissen für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie nach Abschluss der Erstellung des Trails erstellen. Es ermöglicht auch die Protokollierung der Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl einer vordefinierten Vorlage, die alle S3 Buckets protokolliert, die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto protokolliert.
Wenn Sie einen Trail für alle Regionen erstellen, aktiviert die Auswahl einer vordefinierten Vorlage für Lambda-Funktionen die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (bei Pfaden ist dies nur mit der möglich AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
-
(Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird wie
Name
in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die JSON Ansicht erweitern. -
Wenn Sie Benutzerdefiniert ausgewählt haben, erstellen Event-Selektoren unter Advanced einen Ausdruck, der auf den Werten der erweiterten Event-Selektor-Felder basiert.
-
Wählen Sie aus den folgenden Feldern.
-
readOnly
-readOnly
kann so gesetzt werden, dass sie einem Wert von oder entspricht.true
false
Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B.Get*
- oderDescribe*
-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B.Put*
-,Delete*
- oderWrite*
-Ereignisse. Um sowohlread
- als auchwrite
-Ereignisse zu protokollieren, fügen Sie keinenreadOnly
-Selektor hinzu. -
eventName
–eventName
kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B.PutBucket
GetItem
, oderGetSnapshotBlock
. -
resources.ARN
- Sie können einen beliebigen Operator mit verwendenresources.ARN
, aber wenn Sie „gleich“ oder „ungleich“ verwenden, muss der Wert exakt dem ARN Wert einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert für angegeben haben.resources.type
Weitere Informationen finden Sie unter Filterung von Datenereignissen nach resources.ARN.Anmerkung
Sie können das
resources.ARN
Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall ist. ARNs
Weitere Informationen zu den ARN Formaten von Datenereignisressourcen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Aktionen, Ressourcen und Bedingungsschlüssel.
-
-
Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf Ressourcen setzen. ARN, legen Sie fest, dass der Operator für nicht mit beginnt, und fügen Sie ihn dann in einen S3-Bucket ein, ARN für den Sie keine Ereignisse protokollieren möchten.
Um den zweiten S3-Bucket hinzuzufügen, wählen Sie + Condition und wiederholen Sie dann die vorherige Anweisung, indem Sie das ARN für einfügen oder nach einem anderen Bucket suchen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. Wie werden mehrere Bedingungen für CloudTrail ein Feld ausgewertet
Anmerkung
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie
eventName
ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen. -
Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht ARN in einem Selektor an, dass ein Wert gleich einem Wert ist, und geben Sie dann an, dass das ARN nicht dem gleichen Wert in einem anderen Selektor entspricht.
-
-
Um einen weiteren Ressourcentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen. Wiederholen Sie die Schritte 4 bis zu diesem Schritt, um erweiterte Ereignisauswahlen für den Ressourcentyp zu konfigurieren.
-
Nachdem Sie Ihre Auswahl überprüft und bestätigt haben, wählen Sie Änderungen speichern aus.
Verwenden Sie das folgende Verfahren, um einen vorhandenen Trail zu aktualisieren und Datenereignisse mit grundlegenden Ereignisselektoren zu protokollieren.
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/
. -
Öffnen Sie die Trails-Seite der CloudTrail Konsole und wählen Sie den Namen des Trails aus.
Anmerkung
Sie können zwar einen vorhandenen Trail bearbeiten, um Datenereignisse zu protokollieren, doch es ist eine bewährte Methode, einen separaten Trail speziell für das Protokollieren von Datenereignissen zu erstellen.
-
Wählen Sie für Datenereignisse Bearbeiten aus.
-
Für Amazon-S3-Buckets:
-
Wählen Sie für Daten-Ereignissquelle S3 aus.
-
Sie können wählen, ob Sie alle aktuellen und zukünftigen S3 Buckets protokollieren oder einzelne Buckets oder Funktionen angeben möchten. Standardmäßig werden Datenereignisse für alle aktuellen und zukünftigen S3 Buckets protokolliert.
Anmerkung
Wenn Sie die Standardoption Alle aktuellen und future S3-Buckets beibehalten, wird die Datenereignisprotokollierung für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie erstellen, nachdem Sie den Trail erstellt haben. Es ermöglicht auch die Protokollierung der Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktivieren Sie durch Auswahl der Option Alle S3-Buckets in Ihrem Konto auswählen die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und für alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto protokolliert.
-
Wenn Sie die Standardeinstellung Alle aktuellen und zukünftigen S3 Buckets beibehalten, können Sie Leseereignisse, Schreibereignisse oder beides protokollieren.
-
Um einzelne Buckets auszuwählen, leeren Sie die Kontrollkästchen Lesen und Schreiben für Alle aktuellen und zukünftigen S3 Buckets. Suchen Sie unter Individuelle Bucket-Auswahl nach einem Bucket, in dem Datenereignisse protokolliert werden sollen. Um bestimmte Buckets zu suchen, geben Sie ein Bucket-Präfix für den gewünschten Bucket ein. Sie können in diesem Fenster mehrere Buckets auswählen. Wählen Sie Bucket hinzufügen, um Datenereignisse für weitere Buckets zu protokollieren. Wählen Sie, ob Sie Read (Lesen)-Ereignisse wie
GetObject
, Write (Schreiben)-Ereignisse wiePutObject
oder Ereignisse beider Typen protokolliert werden sollen.Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Buckets konfigurieren. Wenn Sie beispielsweise die Protokollierung von Lese-Ereignissen für alle S3-Buckets festlegen und dann einen bestimmten Bucket für die Protokollierung von Datenereignissen hinzufügen, ist für den hinzugefügten Bucket bereits Lesen ausgewählt. Sie können die Auswahl nicht löschen. Sie können die Option nur für Write (Schreiben) konfigurieren.
Um einen Bucket aus der Protokollierung zu entfernen, wählen Sie X aus.
-
-
Um einen weiteren Ressourcentyp hinzuzufügen, auf dem Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen.
-
Für Lambda-Funktionen:
-
Wählen Sie für Daten-Ereignissquelle Lambda aus.
-
Wählen Sie unter Lambda-Funktion die Option Alle Regionen aus, um alle Lambda-Funktionen zu protokollieren, oder Eingabefunktion, ARN um Datenereignisse für eine bestimmte Funktion zu protokollieren.
Um Datenereignisse für alle Lambda-Funktionen in Ihrem AWS -Konto zu protokollieren, wählen Sie Log all current and future functions (Alle aktuellen und zukünftigen Funktionen protokollieren). Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Funktionen vornehmen. Alle Funktionen werden protokolliert, auch wenn nicht alle Funktionen angezeigt werden.
Anmerkung
Wenn Sie einen Trail für alle Regionen erstellen, wird durch diese Auswahl die Datenereignisprotokollierung für alle Funktionen aktiviert, die sich derzeit in Ihrem AWS -Konto befinden, sowie für alle Lambda-Funktionen, die Sie ggf. in einer Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
-
Wenn Sie Eingabefunktion als wählenARN, geben Sie die ARN einer Lambda-Funktion ein.
Anmerkung
Wenn Sie mehr als 15.000 Lambda-Funktionen in Ihrem Konto haben, können Sie beim Erstellen eines Trails nicht alle Funktionen in der CloudTrail Konsole anzeigen oder auswählen. Sie können weiterhin die Option wählen, alle Funktionen zu protokollieren, auch wenn sie nicht angezeigt werden. Wenn Sie Datenereignisse für bestimmte Funktionen protokollieren möchten, können Sie eine Funktion manuell hinzufügen, sofern Sie sie kennen. ARN Sie können die Erstellung des Trails auch in der Konsole abschließen und dann den Befehl AWS CLI und den put-event-selectors Befehl verwenden, um die Datenereignisprotokollierung für bestimmte Lambda-Funktionen zu konfigurieren. Weitere Informationen finden Sie unter Verwaltung von Wanderwegen mit dem AWS CLI.
-
-
Um einen weiteren Ressourcentyp hinzuzufügen, auf dem Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen.
-
Für DynamoDB-Tabellen:
-
Wählen Sie für Daten-Ereignissquelle DynamoDB aus.
-
Wählen Sie DynamoDB DynamoDB-Tabellenauswahl die Option Durchsuchen, um eine Tabelle auszuwählen, oder fügen Sie sie in eine DynamoDB-Tabelle ein, auf die Sie Zugriff haben. ARN Eine DynamoDB-Tabelle ARN verwendet das folgende Format:
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
Um eine weitere Tabelle hinzuzufügen, wählen Sie Zeile hinzufügen und suchen Sie nach einer Tabelle, oder fügen Sie sie in eine Tabelle ein, auf die Sie Zugriff haben. ARN
-
-
Wählen Sie Änderungen speichern.
Protokollieren von Datenereignissen mit dem AWS Command Line Interface
Sie können Ihre Trails oder Ereignisdatenspeicher so konfigurieren, dass Datenereignisse per AWS CLI protokolliert werden.
Themen
Protokollierung von Datenereignissen für Trails mit dem AWS CLI
Sie können Ihre Trails so konfigurieren, dass Verwaltungs- und Datenereignisse mit AWS CLI protokolliert werden.
Anmerkung
-
Beachten Sie, dass Sie Gebühren anfallen, wenn Ihr Konto mehr als eine Kopie von Verwaltungsereignissen protokolliert. Für die Protokollierung von Datenereignissen fällt immer eine Gebühr an. Weitere Informationen finden Sie unter Preise zu AWS CloudTrail
. -
Sie können entweder erweiterte Ereignisselektoren oder einfache Ereignisselektoren verwenden, aber nicht beide. Wenn Sie erweiterte Ereignisselektoren auf einen Trail anwenden, werden alle vorhandenen grundlegenden Ereignisselektoren überschrieben.
-
Wenn Ihr Trail grundlegende Ereignisselektoren verwendet, können Sie nur die folgenden Ressourcentypen protokollieren:
-
AWS::DynamoDB::Table
-
AWS::Lambda::Function
-
AWS::S3::Object
Um zusätzliche Ressourcentypen zu protokollieren, müssen Sie erweiterte Ereignisselektoren verwenden. Um einen Trail in erweiterte Ereignisselektoren umzuwandeln, führen Sie den Befehl get-event-selectors aus, um die aktuellen Ereignisselektoren zu bestätigen, und konfigurieren Sie dann die erweiterten Ereignisselektoren so, dass sie der Abdeckung der vorherigen Ereignisselektoren entsprechen. Fügen Sie dann Selektoren für alle Ressourcentypen hinzu, für die Sie Datenereignisse protokollieren möchten.
-
-
Mithilfe erweiterter Ereignisselektoren können Sie nach dem Wert der Felder
eventName
,resources.ARN
undreadOnly
filtern, sodass Sie nur die Datenereignisse protokollieren, die für Sie von Interesse sind. Weitere Informationen zur Konfiguration dieser Felder finden Sie unter AdvancedFieldSelectorin der AWS CloudTrail APIReferenz und Filtern von Datenereignissen mithilfe erweiterter Event-Selektoren in diesem Thema.
Führen Sie den Befehl get-event-selectors
aws cloudtrail get-event-selectors --trail-name
TrailName
Der Befehl gibt die Event-Selektoren für den Trail zurück.
Themen
- Protokollieren von Ereignissen mithilfe erweiterter Ereignisselektoren
- Protokollieren Sie alle Amazon S3 S3-Ereignisse für einen Amazon S3 S3-Bucket mithilfe erweiterter Event-Selektoren
- Protokollieren von Amazon S3 bei AWS Outposts -Ereignissen mithilfe erweiterter Ereignisselektoren
- Protokollieren von Ereignissen mithilfe grundlegender Ereignisselektoren
Protokollieren von Ereignissen mithilfe erweiterter Ereignisselektoren
Anmerkung
Wenn Sie erweiterte Ereignisselektoren auf einen Trail anwenden, werden alle vorhandenen grundlegenden Ereignisselektoren überschrieben. Bevor Sie die erweiterten Ereignisselektoren konfigurieren, führen Sie den Befehl get-event-selectors aus, um die aktuellen Ereignisselektoren zu bestätigen. Anschließend konfigurieren Sie die erweiterten Ereignisselektoren so, dass sie der Abdeckung der vorherigen Ereignisselektoren entsprechen, und fügen dann Selektoren für zusätzliche Datenereignisse hinzu, die Sie protokollieren möchten.
Das folgende Beispiel erstellt benutzerdefinierte erweiterte Event-Selektoren für einen Trail, der so benannt ist, TrailName
dass er Lese- und Schreibverwaltungsereignisse (durch Weglassen des readOnly
Selektors) PutObject
und DeleteObject
Datenereignisse für alle Amazon S3 S3-Bucket/Präfix-Kombinationen mit Ausnahme eines Buckets mit dem Namen amzn-s3-demo-bucket
und Datenereignisse für eine Funktion mit dem Namen enthält. AWS Lambda MyLambdaFunction
Da es sich um benutzerdefinierte erweiterte Ereignisselektoren handelt, hat jeder Satz von Selektoren einen beschreibenden Namen. Beachten Sie, dass ein abschließender Schrägstrich Teil des Werts für S3-Buckets ist. ARN
aws cloudtrail put-event-selectors --trail-name
TrailName
--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Protokollieren Sie alle Amazon S3 S3-Ereignisse für einen Amazon S3 S3-Bucket mithilfe erweiterter Event-Selektoren
Anmerkung
Wenn Sie erweiterte Ereignisselektoren auf einen Trail anwenden, werden alle vorhandenen grundlegenden Ereignisselektoren überschrieben.
Das folgende Beispiel zeigt, wie Sie Ihren Trail so konfigurieren, dass alle Datenereignisse für alle Amazon-S3-Objekte in einem bestimmten S3 Bucket enthalten sind. Der Wert für S3-Ereignisse für das resources.type
-Feld ist AWS::S3::Object
. Da sich die ARN Werte für S3-Objekte und S3-Buckets geringfügig unterscheiden, müssen Sie den StartsWith
Operator for hinzufügen, um alle resources.ARN
Ereignisse zu erfassen.
aws cloudtrail put-event-selectors --trail-name
TrailName
--regionregion
\ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition
:s3:::amzn-s3-demo-bucket
/"] } ] } ]'
Der Befehl gibt die folgende Beispielausgabe zurück.
{ "TrailARN": "arn:aws:cloudtrail:
region
:account_ID
:trail/TrailName
", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:partition
:s3:::amzn-s3-demo-bucket
/" ] } ] } ] }
Protokollieren von Amazon S3 bei AWS Outposts -Ereignissen mithilfe erweiterter Ereignisselektoren
Anmerkung
Wenn Sie erweiterte Ereignisselektoren auf einen Trail anwenden, werden alle vorhandenen grundlegenden Ereignisselektoren überschrieben.
Das folgende Beispiel zeigt, wie Sie Ihren Trail so konfigurieren, dass alle Datenereignisse für alle Amazon S3 on Outposts-Objekte in Ihrem Outpost enthalten sind.
aws cloudtrail put-event-selectors --trail-name
TrailName
--regionregion
\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Der Befehl gibt die folgende Beispielausgabe zurück.
{ "TrailARN": "arn:aws:cloudtrail:
region
:account_ID
:trail/TrailName
", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ] }
Protokollieren von Ereignissen mithilfe grundlegender Ereignisselektoren
Das Folgende ist ein Beispielergebnis des get-event-selectors-Befehls, das grundlegende Ereignisselektoren zeigt. Wenn Sie einen Trail mithilfe von erstellen AWS CLI, protokolliert ein Trail standardmäßig alle Verwaltungsereignisse. Standardmäßig protokollieren die Trails keine Datenereignisse.
{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ] }
Führen Sie den Befehl put-event-selectors
Das folgende Beispiel zeigt, wie Sie grundlegende Ereignisselektoren verwenden, um Ihren Trail so zu konfigurieren, dass er alle Verwaltungs- und Datenereignisse für die S3-Objekte in zwei S3-Bucket-Präfixen enthält. Sie können zwischen 1 und 5 Ereignisselektoren für einen Trail angeben. Sie können zwischen 1 und 250 Datenressourcen für einen Trail festlegen.
Anmerkung
Die maximale Anzahl von S3-Datenressourcen beträgt 250, wenn Sie Datenereignisse mithilfe einfacher Ereignisselektoren begrenzen.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1
/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2
;/prefix2"] }] }]'
Der Befehl gibt die Ereignisselektoren zurück, die für den Trail konfiguriert sind.
{ "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
", "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::amzn-s3-demo-bucket1
/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2
/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ] }
Protokollieren von Datenereignissen für Ereignisdatenspeicher mit dem AWS CLI
Sie können Ihre Ereignisdatenspeicher so konfigurieren, dass Datenereignisse per AWS CLI protokolliert werden. Verwenden Sie den Befehl create-event-data-store
update-event-data-store
Sie konfigurieren erweiterte Ereignisselektoren, um Datenereignisse in einem Ereignisdatenspeicher zu protokollieren.
Die folgenden erweiterten Ereignisauswahlfelder werden für die Protokollierung von Datenereignissen in Ereignisdatenspeichern unterstützt:
-
eventCategory
— Sie müssen deneventCategory
Wert gleich festlegen, um DatenereignisseData
zu protokollieren. Dies ist ein Pflichtfeld. -
resources.type — Dieses Feld wird verwendet, um den Ressourcentyp auszuwählen, für den Sie Datenereignisse protokollieren möchten. Die Tabelle mit Datenereignissen zeigt die möglichen Werte. Dieses Feld kann nur den
Equals
Operator verwenden und ist erforderlich. -
eventName
–eventName
kann einen beliebigen Operator verwenden. Sie können es verwenden, um jedes Datenereignis, wie z. B. oder, einPutBucket
- oder auszuschließenDeleteObject
. -
eventSource
— Sie können es verwenden, um bestimmte Ereignisquellen ein- oder auszuschließen. DaseventSource
ist in der Regel eine Kurzform des Dienstnamens ohne Leerzeichen (Plus).amazonaws.com
. Sie könnten beispielsweise festlegeneventSource
Equals
, dass nur EC2 Amazon-Management-Ereignisse protokolliert werden.ec2.amazonaws.com
-
eventType
— Die eventType, die aufgenommen oder ausgeschlossen werden sollen. Sie können dieses Feld beispielsweise so einstellen, dassNotEquals
AwsServiceEvent
AWS-Service Ereignisse ausgeschlossen werden. -
readOnly
-readOnly
kann auf denEquals
Werttrue
oder gesetzt werdenfalse
. Wenn dieser Wert auf gesetzt istfalse
, protokolliert der Ereignisdatenspeicher Datenereignisse, die nur Schreibzugriff haben. Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B.Get*
- oderDescribe*
-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B.Put*
-,Delete*
- oderWrite*
-Ereignisse. Um sowohl Lese - als auch Schreibereignisse zu protokollieren, fügen Sie keinen Selektor hinzu.readOnly
-
resources.ARN
— Sie können einen beliebigen Operator mit verwendenresources.ARN
, aber wenn SieEquals
oder verwendenNotEquals
, muss der Wert exakt dem ARN Wert einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert für angegeben haben.resources.type
-
userIdentity.arn
— Ereignisse für Aktionen, die von bestimmten IAM Identitäten ausgeführt werden, einschließen oder ausschließen. Weitere Informationen finden Sie unter CloudTrail userIdentity Element. -
sessionCredentialFromConsole
— Ereignisse, die aus einer AWS Management Console Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann aufEquals
oderNotEquals
mit einem Wert von gesetzt werdentrue
.
Führen Sie den Befehl get-event-data-store
aws cloudtrail get-event-data-store --event-data-store
EventDataStoreARN
Der Befehl gibt die Einstellungen für den Ereignisdatenspeicher zurück.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa", "Name": "ebs-data-events", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log all EBS direct APIs on EBS snapshots", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::EC2::Snapshot" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00" }
Themen
Schließt alle Amazon S3 S3-Ereignisse für einen bestimmten Bucket ein
Das folgende Beispiel zeigt, wie Sie einen Ereignisdatenspeicher erstellen, um alle Datenereignisse für alle Amazon S3 S3-Objekte in einem speziellen S3-Bucket für allgemeine Zwecke aufzunehmen und AWS-Service Ereignisse und Ereignisse auszuschließen, die von der generiert wurden bucket-scanner-role
userIdentity
. Der Wert für S3-Ereignisse für das resources.type
-Feld ist AWS::S3::Object
. Da sich die ARN Werte für S3-Objekte und S3-Buckets geringfügig unterscheiden, müssen Sie den StartsWith
Operator for hinzufügen, resources.ARN
um alle Ereignisse zu erfassen.
aws cloudtrail create-event-data-store --name "
EventDataStoreName
" --multi-region-enabled \ --advanced-event-selectors \ '[ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:partition
:s3:::amzn-s3-demo-bucket
/"] }, { "Field": "userIdentity.arn", "NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]}, { "Field": "eventType","NotEquals": ["AwsServiceEvent"]} ] } ]'
Der Befehl gibt die folgende Beispielausgabe zurück.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa", "Name": "EventDataStoreName", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "S3EventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:
partition
:s3:::amzn-s3-demo-bucket
/" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "userIdentity.arn", "NotStartsWith": [ "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role" ] }, { "Field": "eventType", "NotEquals": [ "AwsServiceEvent" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2024-11-04T15:57:33.701000+00:00", "UpdatedTimestamp": "2024-11-20T20:49:21.766000+00:00" }
Einschließen von Amazon S3 in AWS Outposts -Ereignissen
Das folgende Beispiel zeigt, wie Sie Ihren Ereignisdatenspeicher so konfigurieren, dass alle Datenereignisse für alle Objekte von Amazon S3 on Outposts in Ihrem Outpost enthalten sind.
aws cloudtrail create-event-data-store --name
EventDataStoreName
\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
Der Befehl gibt die folgende Beispielausgabe zurück.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890", "Name": "EventDataStoreName", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00", "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00" }
Protokollieren von Datenereignissen für AWS Config -Compliance
Wenn Sie AWS Config Conformance Packs verwenden, um Ihr Unternehmen bei der Einhaltung formalisierter Standards zu unterstützen, wie sie beispielsweise vom Federal Risk and Authorization Management Program (FedRAMP) oder vom National Institute of Standards and Technology (NIST) gefordert werden, erfordern Konformitätspakete für Compliance-Frameworks in der Regel, dass Sie mindestens Datenereignisse für Amazon S3 S3-Buckets protokollieren. Compliance-Pakete für Compliance-Frameworks enthalten eine verwaltete Regel namens cloudtrail-s3-dataevents-enabled
, die die S3-Datenereignisprotokollierung in Ihrem Konto überprüft. Viele Compliance-Pakete, die nicht mit Compliance-Frameworks verknüpft sind, erfordern auch die S3-Datenereignisprotokollierung. Im Folgenden finden Sie Beispiele für Konformitätspakete, die diese Regel enthalten.
Eine vollständige Liste der in verfügbaren Mustervorlagen für Conformance Packs finden Sie im AWS ConfigAWS Config Developer Guide unter Conformance Pack Sample Templates.
Protokollieren von Datenereignissen mit dem AWS SDKs
Führen Sie den GetEventSelectorsVorgang aus, um festzustellen, ob Ihr Trail Datenereignisse protokolliert. Sie können Ihre Trails so konfigurieren, dass Datenereignisse protokolliert werden, indem Sie den PutEventSelectorsVorgang ausführen. Weitere Informationen finden Sie in der AWS CloudTrail APIReferenz.
Führen Sie den GetEventDataStoreVorgang aus, um festzustellen, ob Ihr Ereignisdatenspeicher Datenereignisse protokolliert. Sie können Ihre Ereignisdatenspeicher so konfigurieren, dass sie Datenereignisse enthalten, indem Sie die UpdateEventDataStoreOperationen CreateEventDataStoreoder ausführen und erweiterte Ereignisselektoren angeben. Weitere Informationen finden Sie unter Erstellen, aktualisieren und verwalten Sie Ereignisdatenspeicher mit dem AWS CLI und in der AWS CloudTrail APIReferenz.