Datenereignisse Schreibgeschützte Ereignisse und Nur-Schreiben-Ereignisse Protokollieren von Datenereignissen mit dem AWS Management Console Protokollieren von Datenereignissen mit dem AWS Command Line Interface Protokollieren von Datenereignissen für AWS Config -Compliance Protokollieren von Datenereignissen mit dem AWS SDKs

Protokollieren von Datenereignissen

In diesem Abschnitt wird beschrieben, wie Datenereignisse mithilfe der CloudTrail Konsole und protokolliert AWS CLIwerden.

Standardmäßig werden Datenereignisse nicht von Trails und Ereignisdatenspeichern protokolliert. Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung.

Datenereignisse liefern Informationen zu Ressourcenoperationen, die für oder innerhalb einer Ressource ausgeführt wurden. Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume.

Beispiele für Datenereignisse:

Amazon S3 API S3-Aktivitäten auf Objektebene (z. B., GetObjectDeleteObject, und PutObject API Operationen) für Objekte in S3-Buckets.
AWS Lambda Aktivität zur Ausführung von Funktionen (die). Invoke API
CloudTrail PutAuditEventsAktivität auf einem CloudTrail Lake-Kanal, der verwendet wird, um Ereignisse von außen zu protokollieren AWS.
Amazon SNS Publishund PublishBatchAPIOperationen zu Themen.

Sie können erweiterte Event-Selektoren verwenden, um detaillierte Selektoren zu erstellen, die Ihnen helfen, die Kosten zu kontrollieren, indem sie nur die spezifischen Ereignisse protokollieren, die für Ihre Anwendungsfälle von Interesse sind. Sie können beispielsweise erweiterte Event-Selektoren verwenden, um bestimmte API Aufrufe zu protokollieren, indem Sie dem Feld einen Filter hinzufügen. eventName Weitere Informationen finden Sie unter Filtern von Datenereignissen mithilfe erweiterter Event-Selektoren.

Anmerkung

Die Ereignisse, die von Ihren Trails protokolliert werden, sind bei Amazon verfügbar EventBridge. Wenn Sie beispielsweise für den Trail festlegen, dass er Datenereignisse für S3-Objekte, aber keine Verwaltungsereignisse protokolliert, verarbeitet und protokolliert Ihr Trail nur Datenereignisse für die angegebenen S3-Objekte. Die Datenereignisse für diese S3-Objekte sind in Amazon verfügbar EventBridge. Weitere Informationen finden Sie unter Events from AWS services im EventBridge Amazon-Benutzerhandbuch.

Inhalt

Datenereignisse

In der folgenden Tabelle sind die Datenereignistypen aufgeführt, die für Trails und Ereignisdatenspeicher verfügbar sind. In der Spalte Datenereignistyp (Konsole) wird die entsprechende Auswahl in der Konsole angezeigt. Die Wertspalte resources.type zeigt den resources.type Wert, den Sie angeben würden, um Datenereignisse dieses Typs in Ihren Trail- oder Event-Datenspeicher aufzunehmen, indem Sie das AWS CLI oder verwenden. CloudTrail APIs

Für Trails können Sie einfache oder erweiterte Event-Selektoren verwenden, um Datenereignisse für Amazon S3 S3-Objekte in Allzweck-Buckets, Lambda-Funktionen und DynamoDB-Tabellen (in den ersten drei Zeilen der Tabelle dargestellt) zu protokollieren. Sie können nur erweiterte Ereignisselektoren verwenden, um die in den verbleibenden Zeilen angezeigten Datenereignistypen zu protokollieren.

Für Ereignisdatenspeicher können Sie nur erweiterte Ereignisselektoren verwenden, um Datenereignisse einzubeziehen.

AWS-Service	Beschreibung	Typ des Datenereignisses (Konsole)	resources.type-Wert
Amazon-DynamoDB	Amazon DynamoDB API DynamoDB-Aktivitäten auf Artikelebene für Tabellen (z. B., `PutItemDeleteItem`, und Operationen). `UpdateItem` API Anmerkung Bei Tabellen mit aktivierten Streams enthält das `resources`-Feld im Datenereignis sowohl `AWS::DynamoDB::Stream` als auch `AWS::DynamoDB::Table`. Wenn Sie `AWS::DynamoDB::Table` als `resources.type` angeben, werden standardmäßig sowohl DynamoDB-Tabellen- als auch DynamoDB-Stream-Ereignisse protokolliert. Um Streams-Ereignisse auszuschließen, fügen Sie dem Feld einen Filter hinzu. `eventName`	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda Aktivität zur Funktionsausführung (die `Invoke`API).	Lambda	`AWS::Lambda::Function`
Amazon S3	Amazon S3 API S3-Aktivitäten auf Objektebene (z. B., `GetObjectDeleteObject`, und `PutObject` API Operationen) für Objekte in Allzweck-Buckets.	S3	`AWS::S3::Object`
AWS AppConfig	AWS AppConfig APIAktivität für Konfigurationsvorgänge wie Aufrufe von und. `StartConfigurationSession` `GetLatestConfiguration`	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS B2B-Datenaustausch	APIB2B-Datenaustauschaktivität für Transformer-Operationen wie Aufrufe von `GetTransformerJob` und`StartTransformerJob`.	B2B-Datenaustausch	`AWS::B2BI::Transformer`
Amazon Bedrock	Amazon API Bedrock-Aktivität auf einem Agent-Alias.	Bedrock-Agent-Alias	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	Amazon API Bedrock-Aktivität auf einem Flow-Alias.	Bedrock Flow-Alias	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	Amazon API Bedrock-Aktivität auf Leitplanken.	Leitplanke im Grundgestein	`AWS::Bedrock::Guardrail`
Amazon Bedrock	Amazon API Bedrock-Aktivität in einer Wissensdatenbank.	Bedrock-Wissensdatenbank	`AWS::Bedrock::KnowledgeBase`
Amazon Bedrock	Amazon API Bedrock-Aktivität an Modellen.	Bedrock-Modell	`AWS::Bedrock::Model`
Amazon CloudFront	CloudFront APIAktivität auf einem KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	AWS Cloud Map APIAktivität in einem Namespace.	AWS Cloud Map Namespace	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	AWS Cloud Map APIAktivität in einem Dienst.	AWS Cloud Map Service nicht zulässig	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents`Aktivität auf einem CloudTrail Lake-Kanal, der verwendet wird, um Ereignisse von außen zu protokollieren AWS.	CloudTrail Kanal	`AWS::CloudTrail::Channel`
Amazon CloudWatch	CloudWatch APIAmazon-Aktivitäten in Bezug auf Metriken.	CloudWatch Metrik	`AWS::CloudWatch::Metric`
Amazon CloudWatch RUM	CloudWatch RUMAPIAmazon-Aktivitäten auf App-Monitoren.	RUMApp-Monitor	`AWS::RUM::AppMonitor`
Amazon CodeWhisperer	CodeWhisperer APIAmazon-Aktivität im Zusammenhang mit einer Anpassung.	CodeWhisperer Anpassung	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	CodeWhisperer APIAmazon-Aktivitäten in einem Profil.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	Amazon Cognito API Cognito-Aktivitäten in Amazon Cognito Cognito-Identitätspools.	Cognito-Identitätspools	`AWS::Cognito::IdentityPool`
AWS Data Exchange	AWS Data Exchange APIAktivität in Bezug auf Vermögenswerte.	Datenaustausch-Asset	`AWS::DataExchange::Asset`
AWS Deadline Cloud	Deadline Cloud APIAktivitäten auf Flotten.	Deadline Cloud Flotte	`AWS::Deadline::Fleet`
AWS Deadline Cloud	Deadline Cloud APIAktivität an Arbeitsplätzen.	Deadline Cloud Arbeit	`AWS::Deadline::Job`
AWS Deadline Cloud	Deadline Cloud APIAktivität in Warteschlangen.	Deadline Cloud Warteschlange	`AWS::Deadline::Queue`
AWS Deadline Cloud	Deadline Cloud APIAktivität bei Arbeitern.	Deadline Cloud Arbeiter	`AWS::Deadline::Worker`
Amazon-DynamoDB	Amazon DynamoDB API DynamoDB-Aktivität in Streams.	DynamoDB-Streams	`AWS::DynamoDB::Stream`
AWS Nachrichten für Endbenutzer in sozialen Netzwerken	AWS Endbenutzer-Nachrichtenübermittlung Soziale API Aktivitäten unter der TelefonnummerIDs.	ID der Telefonnummer für soziale Nachrichten	`AWS::SocialMessaging::PhoneNumberId`
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS) direktAPIs, wie `PutSnapshotBlockGetSnapshotBlock`, und `ListChangedBlocks` auf EBS Amazon-Snapshots.	Amazon EBS direkt APIs	`AWS::EC2::Snapshot`
Amazon EMR	EMRAPIAmazon-Aktivitäten in einem Write-Ahead-Log-Workspace.	EMRWorkspace für Write-Ahead-Logs	`AWS::EMRWAL::Workspace`
Amazon FinSpace	Amazon FinSpaceAPIAktivität in Umgebungen.	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue APIAktivität an Tabellen, die von Lake Formation erstellt wurden.	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	GuardDuty APIAmazon-Aktivität für einen Detektor.	GuardDuty Detektor	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging APIAktivität in Datenspeichern.	MedicalImaging Datenspeicher	`AWS::MedicalImaging::Datastore`
AWS IoT	AWS IoT APIAktivität im Zusammenhang mit Zertifikaten.	IoT-Zertifikat	`AWS::IoT::Certificate`
AWS IoT	AWS IoT APIAktivität an Dingen.	IoT-Sache	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	APIGreengrass-Aktivität von einem Greengrass-Core-Gerät auf einer Komponentenversion. Anmerkung Greengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde.	IoT Greengrass-Komponentenversion	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	APIGreengrass-Aktivität von einem Greengrass-Core-Gerät in einer Bereitstellung. Anmerkung Greengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde.	Einsatz von IoT Greengrass	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	SiteWise APIIoT-Aktivitäten an Anlagen.	SiteWise IoT-Anlage	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	SiteWise APIIoT-Aktivität in Zeitreihen.	SiteWise IoT-Zeitreihen	`AWS::IoTSiteWise::TimeSeries`
AWS IoT TwinMaker	TwinMaker APIIoT-Aktivität auf einer Entität.	TwinMaker IoT-Entität	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	TwinMaker APIIoT-Aktivität an einem Arbeitsplatz.	TwinMaker IoT-Arbeitsplatz	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra Intelligent Ranking	Amazon Kendra Intelligent API Ranking-Aktivität für Rescore-Ausführungspläne.	Kendra-Rangliste	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (für Apache Cassandra)	Amazon API Keyspaces-Aktivität auf einem Tisch.	Cassandra-Tisch	`AWS::Cassandra::Table`
Amazon-Kinesis-Data-Streams	Kinesis Data Streams API Streams-Aktivität in Streams.	Kinesis-Stream	`AWS::Kinesis::Stream`
Amazon-Kinesis-Data-Streams	Kinesis Data Streams API Streams-Aktivität auf Stream-Verbrauchern.	Kinesis Stream Consumer	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Kinesis Video Streams API Streams-Aktivitäten in Videostreams, z. B. Anrufe an `GetMedia` und`PutMedia`.	Kinesis-Videostream	`AWS::KinesisVideo::Stream`
Amazon Machine Learning	APIAktivität für Machine Learning an ML-Modellen.	Passendes Lernen MlModel	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	Amazon Managed Blockchain API Blockchain-Aktivität in einem Netzwerk.	Managed-Blockchain-Netzwerk	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Amazon Managed Blockchain JSON — RPC ruft Ethereum-Knoten wie `eth_getBalance` oder auf`eth_getBlockByNumber`.	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Amazon-Neptune-Graph	APIDatenaktivitäten, zum Beispiel Abfragen, Algorithmen oder Vektorsuche, in einem Neptundiagramm.	Neptun-Graph	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	Amazon One API Enterprise-Aktivität auf einemUKey.	Amazon Eins UKey	`AWS::One::UKey`
Amazon One Enterprise	Amazon One API Enterprise-Aktivitäten für Benutzer.	Amazon One-Benutzer	`AWS::One::User`
AWS Payment Cryptography	AWS Payment Cryptography APIAktivität auf Aliasnamen.	Alias für Zahlungskryptografie	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	AWS Payment Cryptography APIAktivität auf Schlüsseln.	Kryptografie-Schlüssel für Zahlungen	`AWS::PaymentCryptography::Key`
AWS Private CA	AWS Private CA Konnektor für Active API Directory-Aktivitäten.	AWS Private CA Konnektor für Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA Konnektor für SCEP API Aktivität.	AWS Private CA Anschluss für SCEP	`AWS::PCAConnectorSCEP::Connector`
Amazon Q Apps	APIDatenaktivität auf Amazon Q Apps.	Amazon Q Apps	`AWS::QApps:QApp`
Amazon Q Business	Amazon Q API Geschäftsaktivität in einer Anwendung.	Amazon-Q-Business-Anwendung	`AWS::QBusiness::Application`
Amazon Q Business	Amazon Q API Geschäftsaktivität in einer Datenquelle.	Amazon-Q-Business-Datenquelle	`AWS::QBusiness::DataSource`
Amazon Q Business	Amazon Q API Geschäftsaktivität in einem Index.	Amazon-Q-Business-Index	`AWS::QBusiness::Index`
Amazon Q Business	Amazon Q API Geschäftsaktivität in einem Web-Erlebnis.	Amazon-Q-Business-Weberlebnis	`AWS::QBusiness::WebExperience`
Amazon RDS	RDSAPIAmazon-Aktivitäten in einem DB-Cluster.	RDSDaten API — DB-Cluster	`AWS::RDS::DBCluster`
Amazon S3	Amazon S3 API S3-Aktivität auf Access Points.	S3-Zugangspunkt	`AWS::S3::AccessPoint`
Amazon S3	Amazon S3 API S3-Aktivitäten auf Objektebene (z. B., `GetObjectDeleteObject`, und `PutObject` API Operationen) für Objekte in Verzeichnis-Buckets.	S3 Express	`AWS::S3Express::Object`
Amazon S3	APIAktivität der Amazon S3 Object Lambda Access Points, z. B. Aufrufe von `CompleteMultipartUpload` und`GetObject`.	S3 Objekt Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 in Outposts	Aktivität auf Objektebene API von Amazon S3 on Outposts.	S3-Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker	SageMaker `InvokeEndpointWithResponseStream`Amazon-Aktivitäten auf Endpunkten.	SageMaker Endpunkt	`AWS::SageMaker::Endpoint`
Amazon SageMaker	SageMaker APIAmazon-Aktivitäten in Feature-Stores.	SageMaker feature store	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker	SageMaker APIAmazon-Aktivitäten im Zusammenhang mit Komponenten von Versuchsversuchen.	SageMaker Metriken, Experiment, Versuchskomponente	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SNS	SNS`Publish`APIAmazon-Operationen auf Plattformendpunkten.	SNSPlattform-Endpunkt	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Amazon SNS `Publish`und `PublishBatch`APIOperationen zu Themen.	SNSThema	`AWS::SNS::Topic`
Amazon SQS	SQSAPIAmazon-Aktivitäten in Bezug auf Nachrichten.	SQS	`AWS::SQS::Queue`
AWS Step Functions	Step Functions API Functions-Aktivität auf einer Zustandsmaschine.	Step-Functions-Zustandsautomat	`AWS::StepFunctions::StateMachine`
AWS Supply Chain	AWS Supply Chain APIAktivität auf einer Instanz.	Lieferkette	`AWS::SCN::Instance`
Amazon SWF	SWFAPIAmazon-Aktivitäten auf Domains.	SWFDomäne	`AWS::SWF::Domain`
AWS Systems Manager	APISystemmanager-Aktivität auf Steuerkanälen.	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	Systems Manager API Manager-Aktivität auf verwalteten Knoten.	Von Systems Manager verwalteter Knoten	`AWS::SSM::ManagedNode`
Amazon Timestream	Amazon Timestream `Query`APITimestream-Aktivitäten in Datenbanken.	Timestream-Datenbank	`AWS::Timestream::Database`
Amazon Timestream	Amazon Timestream `Query`APITimestream-Aktivität in Tabellen.	Timestream-Tabelle	`AWS::Timestream::Table`
Amazon Verified Permissions	APIAktivität „Amazon Verified Permissions“ in einem Policy Store.	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces Thin Client	WorkSpaces Thin API Client-Aktivität auf einem Gerät.	Thin-Client-Gerät	`AWS::ThinClient::Device`
Amazon WorkSpaces Thin Client	WorkSpaces Thin API Client-Aktivität in einer Umgebung.	Thin-Client-Umgebung	`AWS::ThinClient::Environment`
AWS X-Ray	APIRöntgenaktivität auf Spuren.	Röntgenspur	`AWS::XRay::Trace`

Um CloudTrail Datenereignisse aufzuzeichnen, müssen Sie jeden Ressourcentyp, für den Sie Aktivitäten erfassen möchten, explizit hinzufügen. Weitere Informationen erhalten Sie unter Einen Trail mit der CloudTrail Konsole erstellen und Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse.

In einem Trail oder einem Ereignisspeicher mit einer Region können Sie Datenereignisse nur für Ressourcen protokollieren, auf die Sie in dieser Region zugreifen können. Obwohl S3-Buckets global sind, sind AWS Lambda Funktionen und DynamoDB-Tabellen regional.

Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. CloudTrail Preise finden Sie unter Preise.AWS CloudTrail

Beispiele: Protokollieren von Datenereignissen für Amazon-S3-Objekte

Protokollierung von Datenereignissen für alle S3-Objekte in einem S3-Bucket

Das folgende Beispiel veranschaulicht, wie die Protokollierung funktioniert, wenn Sie die Protokollierung aller Datenereignisse für einen S3-Bucket mit dem Namen amzn-s3-demo-bucket konfigurieren. In diesem Beispiel hat der CloudTrail Benutzer ein leeres Präfix und die Option angegeben, sowohl Lese - als auch Schreibdatenereignisse zu protokollieren.

Ein Benutzer lädt ein Objekt auf amzn-s3-demo-bucket hoch.
Der PutObject API Vorgang erfolgt auf Amazon S3 S3-ObjektebeneAPI. Es wird als Datenereignis in aufgezeichnet. CloudTrail Da der CloudTrail Benutzer einen S3-Bucket mit einem leeren Präfix angegeben hat, werden Ereignisse, die für jedes Objekt in diesem Bucket auftreten, protokolliert. Der Trail oder der Ereignisdatenspeicher verarbeitet und protokolliert das Ereignis.
Ein weiterer Benutzer lädt ein Objekt auf amzn-s3-demo-bucket2 hoch.
Der PutObject API Vorgang wurde für ein Objekt in einem S3-Bucket ausgeführt, das nicht für den Trail- oder Event-Datenspeicher angegeben wurde. Der Trail- oder Ereignisdatenspeicher protokolliert das Ereignis nicht.

Protokollierung von Datenereignissen für bestimmte S3-Objekte

Das folgende Beispiel zeigt, wie die Protokollierung funktioniert, wenn Sie einen Trail oder Ereignisdatenspeicher so konfigurieren, dass Ereignisse für bestimmte S3-Objekte protokolliert werden. In diesem Beispiel hat der CloudTrail Benutzer einen S3-Bucket mit dem Namenamzn-s3-demo-bucket3, mit dem Präfix angegeben my-imagesund die Option, nur Write-Data-Ereignisse zu protokollieren.

Ein Benutzer löscht im Bucket ein Objekt, das mit dem my-images-Präfix beginnt, beispielsweise arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.
Der DeleteObject API Vorgang erfolgt auf Amazon S3 S3-ObjektebeneAPI. Er wird als Write-Data-Ereignis in aufgezeichnet. CloudTrail Das Ereignis ist bei einem Objekt eingetreten, das mit dem in dem Trail oder Ereignisdatenspeicher angegebenen S3-Bucket und Präfix übereinstimmt. Der Trail oder der Ereignisdatenspeicher verarbeitet und protokolliert das Ereignis.
Ein weiterer Benutzer löscht im S3-Bucket ein Objekt mit einem anderen Präfix, beispielsweise arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi.
Das Ereignis ist bei einem Objekt aufgetreten, das nicht mit dem in Ihrem Trail oder Ereignisdatenspeicher angegebenen Präfix übereinstimmt. Der Trail- oder Ereignisdatenspeicher protokolliert das Ereignis nicht.
Ein Benutzer ruft die GetObject API Operation für das Objekt auf,arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.
Das Ereignis trat in einem Bucket und einem Präfix auf, die im Trail- oder Event-Datenspeicher angegeben sind, es sich jedoch um eine Amazon S3 S3-Objektebene vom Lesetyp GetObject handelt. API Es wird als Ereignis zum Lesen von Daten aufgezeichnet CloudTrail, und der Trail- oder Ereignisdatenspeicher ist nicht für die Protokollierung von Leseereignissen konfiguriert. Der Trail- oder Ereignisdatenspeicher protokolliert das Ereignis nicht.

Anmerkung

Wenn Sie für Trails Datenereignisse für bestimmte Amazon-S3-Buckets protokollieren, wird empfohlen, keinen Amazon-S3-Bucket für die Protokollierung von Datenereignissen zu verwenden, um Protokolldateien zu empfangen, die Sie im Abschnitt für Datenereignisse angegeben haben. Wenn Sie denselben Amazon-S3-Bucket verwenden, protokolliert Ihr Trail jedes Mal ein Datenereignis, wenn die Protokolldateien an Ihren Amazon-S3-Bucket übergeben werden. Bei den Protokolldateien handelt es sich um aggregierte Ereignisse, die in regelmäßigen Abständen geliefert werden. Es handelt sich also nicht um ein 1:1-Verhältnis von Ereignis zu Protokolldatei; das Ereignis wird in der nächsten Protokolldatei aufgezeichnet. Wenn beispielsweise Protokolle CloudTrail übermittelt werden, tritt das PutObject Ereignis im S3-Bucket auf. Wenn der S3-Bucket auch im Abschnitt Datenereignisse angegeben ist, verarbeitet und protokolliert der Trail das PutObject-Ereignis als Datenereignis. Diese Aktion ist ein weiteres PutObject-Ereignis, und die Spur verarbeitet und protokolliert das Ereignis erneut.

Um die Protokollierung von Datenereignissen für den Amazon S3 S3-Bucket zu vermeiden, in dem Sie Protokolldateien erhalten, wenn Sie einen Trail zur Protokollierung aller Amazon S3 S3-Datenereignisse in Ihrem AWS Konto konfigurieren, sollten Sie die Übertragung von Protokolldateien an einen Amazon S3 S3-Bucket konfigurieren, der zu einem anderen AWS Konto gehört. Weitere Informationen finden Sie unter Empfangen von CloudTrail Protokolldateien von mehreren Konten.

Protokollierung von Datenereignissen für S3-Objekte in anderen AWS Konten

Wenn Sie Ihren Trail so konfigurieren, dass Datenereignisse protokolliert werden, können Sie auch S3-Objekte angeben, die zu anderen AWS Konten gehören. Wenn ein Ereignis für ein bestimmtes Objekt eintritt, wird CloudTrail ausgewertet, ob das Ereignis mit irgendwelchen Pfaden in den einzelnen Konten übereinstimmt. Wenn das Ereignis mit den Einstellungen für ein Trail übereinstimmt, verarbeitet und protokolliert den Trail das Ereignis für dieses Konto. Im Allgemeinen können sowohl API Anrufer als auch Ressourcenbesitzer Ereignisse empfangen.

Wenn Sie Eigentümer eines S3-Objekts sind und es in Ihrem Trail angeben, protokolliert Ihr Trail Ereignisse, die auf dem Objekt in Ihrem Konto auftreten. Da das Objekt Ihnen gehört, protokolliert der Trail auch Ereignisse, wenn andere Konten das Objekt aufrufen.

Wenn Sie ein S3-Objekt in Ihrem Trail angeben und das Objekt ist einem anderen Konto zugeordnet, protokolliert der Trail nur Ereignisse, die auf diesem Objekt in Ihrem Konto auftreten. Ereignisse, die in anderen Konten auftreten, werden von Ihrem Trail nicht protokolliert.

Beispiel: Protokollieren von Datenereignissen für ein Amazon-S3-Objekt für zwei AWS -Konten

Das folgende Beispiel zeigt, wie zwei AWS Konten so konfiguriert werden CloudTrail , dass sie Ereignisse für dasselbe S3-Objekt protokollieren.

In Ihrem Konto möchten Sie, dass Ihr Trail Datenereignisse für alle Objekte in Ihrem S3-Bucket namens amzn-s3-demo-bucket protokolliert. Sie konfigurieren den Trail, indem Sie den S3-Bucket mit einem leeren Objektpräfix angeben.
Bob hat ein separates Konto, das auf den S3-Bucket zugreifen kann. Bob möchte auch Datenereignisse für alle Objekte im selben S3-Bucket protokollieren. Für sein Trail konfiguriert er sein Trail und gibt denselben S3-Bucket mit einem leeren Objektpräfix an.
Bob lädt mit der PutObject API Operation ein Objekt in den S3-Bucket hoch.
Dieses Ereignis ist in seinem Konto aufgetreten und stimmt mit den Trail-Einstellungen überein. Bobs Trail verarbeitet und protokolliert das Ereignis.
Da der S3-Bucket Ihnen zugeordnet ist und das Ereignis mit den Einstellungen für Ihren Trail übereinstimmt, verarbeitet und protokolliert Ihr Trail das Ereignis ebenfalls. Da es jetzt zwei Kopien des Ereignisses gibt (eine ist in Bobs Spur und eine in Ihrer Datenbank protokolliert), CloudTrail fallen Gebühren für zwei Kopien des Datenereignisses an.
Sie laden ein Objekt in den S3-Bucket hoch.
Dieses Ereignis tritt in Ihrem Konto auf und entspricht den Einstellungen für Ihren Pfad. Ihr Trail verarbeitet und protokolliert das Ereignis.
Da das Ereignis nicht in Bobs Konto eingetreten ist und ihm der S3-Bucket nicht gehört, protokolliert Bobs Trail das Ereignis nicht. CloudTrail berechnet nur eine Kopie dieses Datenereignisses.

Beispiel: Protokollierung von Datenereignissen für alle Buckets, einschließlich eines S3-Buckets, der von zwei AWS Konten genutzt wird

Das folgende Beispiel zeigt das Protokollierungsverhalten, wenn „Alle S3-Buckets in Ihrem Konto auswählen“ für Trails aktiviert ist, die Datenereignisse in einem AWS Konto erfassen.

Ihr Trail soll in Ihrem Konto Datenereignisse für alle S3-Buckets protokollieren. Sie konfigurieren den Trail, indem Sie Lese-Ereignisse, Schreib-Ereignisse oder beides für Alle aktuellen und zukünftigen S3 Buckets in Datenereignisse auswählen.
Bob hat ein separates Konto, das Zugriff auf einen S3-Bucket in Ihrem Konto erhalten hat. Er möchte Datenereignisse für den Bucket protokollieren, auf den er Zugriff hat. Er konfiguriert seinen Trail so, dass er Datenereignisse für alle S3-Buckets erhält.
Bob lädt mit der Operation ein Objekt in den S3-Bucket hoch. PutObject API
Dieses Ereignis ist in seinem Konto aufgetreten und stimmt mit den Trail-Einstellungen überein. Bobs Trail verarbeitet und protokolliert das Ereignis.
Da Sie Eigentümer des S3-Buckets sind und das Ereignis den Einstellungen für Ihren Trail entspricht, verarbeitet und protokolliert Ihr Trail das Ereignis ebenfalls. Da es jetzt zwei Kopien des Ereignisses gibt (eine ist in Bobs Spur und eine in Ihrem Konto angemeldet), wird für jedes Konto eine Kopie des Datenereignisses CloudTrail berechnet.
Sie laden ein Objekt in den S3-Bucket hoch.
Dieses Ereignis tritt in Ihrem Konto auf und entspricht den Einstellungen für Ihren Pfad. Ihr Trail verarbeitet und protokolliert das Ereignis.
Da das Ereignis nicht in Bobs Konto eingetreten ist und ihm der S3-Bucket nicht gehört, protokolliert Bobs Trail das Ereignis nicht. CloudTrail Gebühren für nur eine Kopie dieses Datenereignisses in Ihrem Konto.
Ein dritter Benutzer, Mary, hat Zugriff auf den S3-Bucket und führt einen GetObject-Vorgang auf dem Bucket aus. Sie hat eine Spur konfiguriert, um Datenereignisse auf allen S3-Buckets in ihrem Konto zu protokollieren. Da sie die API Anruferin ist, CloudTrail protokolliert sie ein Datenereignis. Obwohl Bob Zugriff auf den Bucket hat, ist er nicht der Eigentümer der Ressource, so dass diesmal kein Bucket in seinem Trail protokolliert wird. Als Eigentümerin der Ressource erhalten Sie in Ihrem Protokoll ein Ereignis über die GetObject Operation, die Mary aufgerufen hat. CloudTrailbelastet Ihr Konto und Marys Konto mit jeder Kopie des Datenereignisses: eine Kopie in Marys Spur und eine in Ihrer.

Schreibgeschützte Ereignisse und Nur-Schreiben-Ereignisse

Wenn Sie Ihren Trail oder Ereignisdatenspeicher so konfigurieren, dass er Daten und Verwaltungsereignisse protokolliert, können Sie angeben, ob Sie Nur-Lesen-Ereignisse, Nur-Schreiben-Ereignisse oder beides wünschen.

Read (Lesen)

Zu den Leseereignissen gehören API Vorgänge, bei denen Ihre Ressourcen gelesen, aber keine Änderungen vorgenommen werden. Zu den schreibgeschützten Ereignissen gehören beispielsweise Amazon EC2 DescribeSecurityGroups und DescribeSubnets API Operations. Diese Vorgänge geben nur Informationen über Ihre EC2 Amazon-Ressourcen zurück und ändern Ihre Konfigurationen nicht.
Write (Schreiben)

Zu den Schreibereignissen gehören API Vorgänge, die Ihre Ressourcen ändern (oder ändern könnten). Beispielsweise modifizieren Amazon EC2 RunInstances und TerminateInstances API Operations Ihre Instances.

Beispiel: protokollieren von Lese- und Schreibereignissen für separate Trails

Das folgende Beispiel zeigt, wie Sie Trails so konfigurieren können, dass die Protokollaktivität für ein Konto in separate S3-Buckets aufgeteilt wird: Ein Bucket mit dem Namen amzn-s3-demo-bucket1 empfängt schreibgeschützte Ereignisse und ein zweiter amzn-s3-demo-bucket2 empfängt schreibgeschützte Ereignisse.

Sie erstellen einen Trail amzn-s3-demo-bucket1 und wählen den S3-Bucket mit dem Namen für den Empfang von Protokolldateien aus. Anschließend aktualisieren Sie den Trail, um anzugeben, dass Sie Schreib-Verwaltungs- und Datenereignisse protokollieren möchten.
Sie erstellen einen zweiten Trail und wählen den S3-Bucket ausamzn-s3-demo-bucket2 , der die Protokolldateien empfangen soll. Anschließend aktualisieren Sie den Trail, um anzugeben, dass Sie Verwaltungs- und Datenereignisse vom Typ Schreiben protokollieren möchten.
Amazon EC2 DescribeInstances und die TerminateInstances API Operationen finden in Ihrem Konto statt.
Der DescribeInstances API Vorgang ist nur lesbar und entspricht den Einstellungen für den ersten Trail. Der Trail protokolliert das Ereignis und liefert es an den amzn-s3-demo-bucket1.
Bei dem TerminateInstances API Vorgang handelt es sich um ein Ereignis, das nur beim Schreiben verwendet werden kann, und es entspricht den Einstellungen für den zweiten Trail. Der Trail protokolliert das Ereignis und liefert es an den amzn-s3-demo-bucket2 .

Protokollieren von Datenereignissen mit dem AWS Management Console

In den folgenden Verfahren wird beschrieben, wie Sie einen vorhandenen Ereignisdatenspeicher oder Trail aktualisieren, um Datenereignisse mit der AWS Management Console zu protokollieren. Weitere Informationen zum Erstellen eines Ereignisdatenspeichers zum Speichern von Protokolldatenereignissen finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse. Weitere Informationen zum Erstellen eines Trails zum Protokollieren von Datenereignissen finden Sie unter Erstellen eines Trails in der Konsole.

Bei Trails unterscheiden sich die Schritte zum Protokollieren von Datenereignissen je nachdem, ob Sie erweiterte oder einfache Event-Selektoren verwenden. Sie können Datenereignisse für alle Datenereignisarten mithilfe erweiterter Event-Selektoren protokollieren. Wenn Sie jedoch einfache Event-Selektoren verwenden, sind Sie auf die Protokollierung von Datenereignissen für Amazon S3 S3-Buckets und Bucket-Objekte, AWS Lambda Funktionen und Amazon DynamoDB-Tabellen beschränkt.

Verwenden Sie das folgende Verfahren, um einen vorhandenen Ereignisdatenspeicher zu aktualisieren und Datenereignisse zu protokollieren. Weitere Informationen zur Verwendung erweiterter Ereignisselektoren finden Sie unter Filtern von Datenereignissen mithilfe erweiterter Event-Selektoren diesem Thema.

Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.
Wählen Sie im Navigationsbereich unter Lake Ereignisdatenspeicher aus.
Wählen Sie auf der Seite Ereignisdatenspeicher den Ereignisdatenspeicher aus, den Sie aktualisieren möchten.

Anmerkung
Sie können Datenereignisse nur in Ereignisdatenspeichern aktivieren, die CloudTrail Ereignisse enthalten. Sie können keine Datenereignisse in CloudTrail Ereignisdatenspeichern für AWS Config Konfigurationselemente, CloudTrail Insights-Ereignisse oder AWS Nichtereignisse aktivieren.
Wählen Sie auf der Detailseite unter Datenereignisse die Option Bearbeiten aus.
Wenn Sie noch keine Datenereignisse protokollieren, aktivieren Sie das Kontrollkästchen Datenereignisse.
Wählen Sie für Datenereignistyp den Ressourcentyp aus, für den Sie Datenereignisse protokollieren möchten.
Wählen Sie eine Protokollauswahlvorlage aus. CloudTrail enthält vordefinierte Vorlagen, die alle Datenereignisse für den Ressourcentyp protokollieren. Um eine benutzerdefinierte Protokoll-Selektorvorlage zu erstellen, wählen Sie Benutzerdefiniert aus.
(Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird wie Name in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die JSON Ansicht erweitern.

Erstellen Sie in den erweiterten Ereignisselektoren einen Ausdruck für die spezifischen Ressourcen, für die Sie Datenereignisse protokollieren möchten. Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.

Wählen Sie aus den folgenden Feldern.

readOnly- readOnly kann so eingestellt werden, dass er einem Wert von oder entspricht. true false Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. Get*- oder Describe*-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. Put*-, Delete*- oder Write*-Ereignisse. Um sowohl read- als auch write-Ereignisse zu protokollieren, fügen Sie keinen readOnly-Selektor hinzu.
eventName – eventName kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B. PutBucketGetItem, oderGetSnapshotBlock.

resources.ARN- Sie können einen beliebigen Operator mit verwendenresources.ARN, aber wenn Sie „gleich“ oder „ungleich“ verwenden, muss der Wert exakt dem ARN Wert einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert für angegeben haben. resources.type

Die folgende Tabelle zeigt das jeweils resources.type gültige ARN Format.

Anmerkung

Sie können das resources.ARN Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall istARNs.

resources.type	Ressourcen. ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::FlowAlias`	`arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID`
`AWS::Bedrock::Guardrail`	`arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Bedrock::Model`	Das ARN muss in einem der folgenden Formate vorliegen: `arn:partition:bedrock:region::foundation-model/resource_ID` `arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID` `arn:partition:bedrock:region:account_ID:custom-model/resource_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DataExchange::Asset`	`arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID`
`AWS::Deadline::Fleet`	`arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID`
`AWS::Deadline::Job`	`arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID`
`AWS::Deadline::Queue`	`arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID`
`AWS::Deadline::Worker`	`arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::Kinesis::Stream`	`arn:partition:kinesis:region:account_ID:stream/stream_name`
`AWS::Kinesis::StreamConsumer`	`arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::MachineLearning::MlModel`	`arn:partition:machinelearning:region:account_ID:mlmodel/model_ID`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::One::UKey`	`arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID`
`AWS::One::User`	`arn:partition:one:region:account_ID:user/user_ID`
`AWS::PaymentCryptography::Alias`	`arn:partition:payment-cryptography:region:account_ID:alias/alias`
`AWS::PaymentCryptography::Key`	`arn:partition:payment-cryptography:region:account_ID:key/key_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::PCAConnectorSCEP::Connector`	`arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID`
`AWS::QApps:QApp`	`arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::RUM::AppMonitor`	`arn:partition:rum:region:account_ID:appmonitor/app_monitor_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3Express::Object`	`arn:partition:s3express:region:account_ID:bucket/bucket_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SocialMessaging::PhoneNumberId`	`arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	Das ARN muss in einem der folgenden Formate vorliegen: `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::StepFunctions::StateMachine`	Das ARN muss in einem der folgenden Formate vorliegen: `arn:partition:states:region:account_ID:stateMachine:stateMachine_name` `arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

¹ Bei Tabellen mit aktivierten Streams enthält das resources-Feld im Datenereignis sowohl AWS::DynamoDB::Stream als auch AWS::DynamoDB::Table. Wenn Sie AWS::DynamoDB::Table als resources.type angeben, werden standardmäßig sowohl DynamoDB-Tabellen- als auch DynamoDB-Stream-Ereignisse protokolliert. Um Streams-Ereignisse auszuschließen, fügen Sie dem eventName Feld einen Filter hinzu.

² Um alle Datenereignisse für alle Objekte in einem bestimmten S3-Bucket zu protokollieren, verwenden Sie den StartsWith Operator und geben Sie nur den Bucket ARN als passenden Wert an. Der abschließende Schrägstrich ist beabsichtigt; schließen Sie ihn nicht aus.

³ Um Ereignisse für alle Objekte in einem S3-Zugriffspunkt zu protokollieren, empfehlen wir, nur den Access Point zu verwendenARN, den Objektpfad nicht einzubeziehen und die NotStartsWith Operatoren StartsWith oder zu verwenden.

Weitere Informationen zu den ARN Formaten von Datenereignisressourcen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Aktionen, Ressourcen und Bedingungsschlüssel.

Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf Ressourcen setzen. ARN, legen Sie fest, dass der Operator nicht mit beginnt, und fügen Sie ihn dann entweder in einen S3-Bucket ARN ein oder suchen Sie nach den S3-Buckets, für die Sie keine Ereignisse protokollieren möchten.

Um den zweiten S3-Bucket hinzuzufügen, wählen Sie + Condition und wiederholen Sie dann die vorherige Anweisung, indem Sie das ARN für einfügen oder nach einem anderen Bucket suchen.

Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. Wie werden mehrere Bedingungen für CloudTrail ein Feld ausgewertet

Anmerkung
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie eventName ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.
Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise ARN in einem Selektor nicht an, dass ein Wert gleich einem Wert ist, und geben Sie dann an, dass das ARN nicht dem gleichen Wert in einem anderen Selektor entspricht.

Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen. Wiederholen Sie die 6 Schritte bis zu diesem Schritt, um erweiterte Ereignisselektoren für den Datenereignistyp zu konfigurieren.
Nachdem Sie Ihre Auswahl überprüft und bestätigt haben, wählen Sie Änderungen speichern aus.

Wenn Ihr Trail erweiterte Event-Selektoren verwendet AWS Management Console, können Sie aus vordefinierten Vorlagen wählen, die alle Datenereignisse auf einer ausgewählten Ressource protokollieren. Nachdem Sie eine Protokol- Selektorvorlage ausgewählt haben, können Sie die Vorlage so anpassen, dass sie nur die Datenereignisse enthält, die Sie am meisten sehen möchten. Weitere Informationen zur Verwendung erweiterter Event-Selektoren finden Sie unter Filtern von Datenereignissen mithilfe erweiterter Event-Selektoren diesem Thema.

Wählen Sie auf den Seiten Dashboard oder Trails der CloudTrail Konsole den Trail aus, den Sie aktualisieren möchten.
Wählen Sie auf der Detailseite unter Datenereignisse die Option Bearbeiten aus.
Wenn Sie noch keine Datenereignisse protokollieren, aktivieren Sie das Kontrollkästchen Datenereignisse.
Wählen Sie für Datenereignistyp den Ressourcentyp aus, für den Sie Datenereignisse protokollieren möchten.
Wählen Sie eine Protokollauswahlvorlage aus. CloudTrail enthält vordefinierte Vorlagen, die alle Datenereignisse für den Ressourcentyp protokollieren. Um eine benutzerdefinierte Protokoll-Selektorvorlage zu erstellen, wählen Sie Benutzerdefiniert aus.

Anmerkung
Wenn Sie eine vordefinierte Vorlage für S3-Buckets auswählen, wird die Protokollierung von Datenereignissen für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie nach Abschluss der Erstellung des Trails erstellen. Es ermöglicht auch die Protokollierung der Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl einer vordefinierten Vorlage, die alle S3 Buckets protokolliert, die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto protokolliert.
Wenn Sie einen Trail für alle Regionen erstellen, aktiviert die Auswahl einer vordefinierten Vorlage für Lambda-Funktionen die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (bei Pfaden ist dies nur mit der möglich AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
(Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird wie Name in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die JSON Ansicht erweitern.

Wählen Sie aus den folgenden Feldern.

readOnly- readOnly kann so eingestellt werden, dass er einem Wert von oder entspricht. true false Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. Get*- oder Describe*-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. Put*-, Delete*- oder Write*-Ereignisse. Um sowohl read- als auch write-Ereignisse zu protokollieren, fügen Sie keinen readOnly-Selektor hinzu.
eventName – eventName kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B. PutBucketGetItem, oderGetSnapshotBlock.

Die folgende Tabelle zeigt das jeweils resources.type gültige ARN Format.

Anmerkung

Sie können das resources.ARN Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall istARNs.

resources.type	Ressourcen. ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::FlowAlias`	`arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID`
`AWS::Bedrock::Guardrail`	`arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Bedrock::Model`	Das ARN muss in einem der folgenden Formate vorliegen: `arn:partition:bedrock:region::foundation-model/resource_ID` `arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID` `arn:partition:bedrock:region:account_ID:custom-model/resource_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DataExchange::Asset`	`arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID`
`AWS::Deadline::Fleet`	`arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID`
`AWS::Deadline::Job`	`arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID`
`AWS::Deadline::Queue`	`arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID`
`AWS::Deadline::Worker`	`arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::Kinesis::Stream`	`arn:partition:kinesis:region:account_ID:stream/stream_name`
`AWS::Kinesis::StreamConsumer`	`arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::MachineLearning::MlModel`	`arn:partition:machinelearning:region:account_ID:mlmodel/model_ID`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::One::UKey`	`arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID`
`AWS::One::User`	`arn:partition:one:region:account_ID:user/user_ID`
`AWS::PaymentCryptography::Alias`	`arn:partition:payment-cryptography:region:account_ID:alias/alias`
`AWS::PaymentCryptography::Key`	`arn:partition:payment-cryptography:region:account_ID:key/key_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::PCAConnectorSCEP::Connector`	`arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID`
`AWS::QApps:QApp`	`arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::RUM::AppMonitor`	`arn:partition:rum:region:account_ID:appmonitor/app_monitor_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3Express::Object`	`arn:partition:s3express:region:account_ID:bucket/bucket_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SocialMessaging::PhoneNumberId`	`arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	Das ARN muss in einem der folgenden Formate vorliegen: `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::StepFunctions::StateMachine`	Das ARN muss in einem der folgenden Formate vorliegen: `arn:partition:states:region:account_ID:stateMachine:stateMachine_name` `arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

Weitere Informationen zu den ARN Formaten von Datenereignisressourcen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Aktionen, Ressourcen und Bedingungsschlüssel.

Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf Ressourcen setzen. ARN, legen Sie fest, dass der Operator nicht mit beginnt, und fügen Sie ihn dann entweder in einen S3-Bucket ARN ein oder suchen Sie nach den S3-Buckets, für die Sie keine Ereignisse protokollieren möchten.

Um den zweiten S3-Bucket hinzuzufügen, wählen Sie + Condition und wiederholen Sie dann die vorherige Anweisung, indem Sie das ARN für einfügen oder nach einem anderen Bucket suchen.

Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. Wie werden mehrere Bedingungen für CloudTrail ein Feld ausgewertet

Anmerkung
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie eventName ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.
Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise ARN in einem Selektor nicht an, dass ein Wert gleich einem Wert ist, und geben Sie dann an, dass das ARN nicht dem gleichen Wert in einem anderen Selektor entspricht.

Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen. Wiederholen Sie die Schritte 4 bis zu diesem Schritt, um erweiterte Ereignisselektoren für den Datenereignistyp zu konfigurieren.
Nachdem Sie Ihre Auswahl überprüft und bestätigt haben, wählen Sie Änderungen speichern aus.

Verwenden Sie das folgende Verfahren, um einen vorhandenen Trail zu aktualisieren und Datenereignisse mit grundlegenden Ereignisselektoren zu protokollieren.

Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.
Öffnen Sie die Trails-Seite der CloudTrail Konsole und wählen Sie den Namen des Trails aus.

Anmerkung
Sie können zwar einen vorhandenen Trail bearbeiten, um Datenereignisse zu protokollieren, doch es ist eine bewährte Methode, einen separaten Trail speziell für das Protokollieren von Datenereignissen zu erstellen.
Wählen Sie für Datenereignisse Bearbeiten aus.
Für Amazon-S3-Buckets:
1. Wählen Sie für Daten-Ereignissquelle S3 aus.
2. Sie können wählen, ob Sie alle aktuellen und zukünftigen S3 Buckets protokollieren oder einzelne Buckets oder Funktionen angeben möchten. Standardmäßig werden Datenereignisse für alle aktuellen und zukünftigen S3 Buckets protokolliert.
  
  Anmerkung
  Wenn Sie die Standardoption Alle aktuellen und future S3-Buckets beibehalten, wird die Datenereignisprotokollierung für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie erstellen, nachdem Sie den Trail erstellt haben. Es ermöglicht auch die Protokollierung der Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
  Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktivieren Sie bei Auswahl der Option Alle S3-Buckets in Ihrem Konto auswählen die Protokollierung von Datenereignissen für alle Buckets in derselben Region wie Ihr Trail und für alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto protokolliert.
3. Wenn Sie die Standardeinstellung Alle aktuellen und zukünftigen S3 Buckets beibehalten, können Sie Leseereignisse, Schreibereignisse oder beides protokollieren.
4. Um einzelne Buckets auszuwählen, leeren Sie die Kontrollkästchen Lesen und Schreiben für Alle aktuellen und zukünftigen S3 Buckets. Suchen Sie unter Individuelle Bucket-Auswahl nach einem Bucket, in dem Datenereignisse protokolliert werden sollen. Um bestimmte Buckets zu suchen, geben Sie ein Bucket-Präfix für den gewünschten Bucket ein. Sie können in diesem Fenster mehrere Buckets auswählen. Wählen Sie Bucket hinzufügen, um Datenereignisse für weitere Buckets zu protokollieren. Wählen Sie, ob Sie Read (Lesen)-Ereignisse wie GetObject, Write (Schreiben)-Ereignisse wie PutObject oder Ereignisse beider Typen protokolliert werden sollen.
  
  Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Buckets konfigurieren. Wenn Sie beispielsweise die Protokollierung von Lese-Ereignissen für alle S3-Buckets festlegen und dann einen bestimmten Bucket für die Protokollierung von Datenereignissen hinzufügen, ist für den hinzugefügten Bucket bereits Lesen ausgewählt. Sie können die Auswahl nicht löschen. Sie können die Option nur für Write (Schreiben) konfigurieren.
  
  Um einen Bucket aus der Protokollierung zu entfernen, wählen Sie X aus.
Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen.
Für Lambda-Funktionen:
1. Wählen Sie für Daten-Ereignissquelle Lambda aus.
2. Wählen Sie unter Lambda-Funktion die Option Alle Regionen aus, um alle Lambda-Funktionen zu protokollieren, oder Eingabefunktion, ARN um Datenereignisse für eine bestimmte Funktion zu protokollieren.
  
  Um Datenereignisse für alle Lambda-Funktionen in Ihrem AWS -Konto zu protokollieren, wählen Sie Log all current and future functions (Alle aktuellen und zukünftigen Funktionen protokollieren). Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Funktionen vornehmen. Alle Funktionen werden protokolliert, auch wenn nicht alle Funktionen angezeigt werden.
  
  Anmerkung
  Wenn Sie einen Trail für alle Regionen erstellen, wird durch diese Auswahl die Datenereignisprotokollierung für alle Funktionen aktiviert, die sich derzeit in Ihrem AWS -Konto befinden, sowie für alle Lambda-Funktionen, die Sie ggf. in einer Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
  Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
3. Wenn Sie Eingabefunktion als wählenARN, geben Sie die ARN einer Lambda-Funktion ein.
  
  Anmerkung
  Wenn Sie mehr als 15.000 Lambda-Funktionen in Ihrem Konto haben, können Sie beim Erstellen eines Trails nicht alle Funktionen in der CloudTrail Konsole anzeigen oder auswählen. Sie können weiterhin die Option wählen, alle Funktionen zu protokollieren, auch wenn sie nicht angezeigt werden. Wenn Sie Datenereignisse für bestimmte Funktionen protokollieren möchten, können Sie eine Funktion manuell hinzufügen, sofern Sie sie kennen. ARN Sie können die Erstellung des Trails auch in der Konsole abschließen und dann den Befehl AWS CLI und den put-event-selectors Befehl verwenden, um die Datenereignisprotokollierung für bestimmte Lambda-Funktionen zu konfigurieren. Weitere Informationen finden Sie unter Verwaltung von Wanderwegen mit dem AWS CLI.
Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen.
Für DynamoDB-Tabellen:
1. Wählen Sie für Daten-Ereignissquelle DynamoDB aus.
2. Wählen Sie DynamoDB DynamoDB-Tabellenauswahl die Option Durchsuchen, um eine Tabelle auszuwählen, oder fügen Sie sie in eine DynamoDB-Tabelle ein, auf die Sie Zugriff haben. ARN Eine DynamoDB-Tabelle ARN verwendet das folgende Format:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
  Um eine weitere Tabelle hinzuzufügen, wählen Sie Zeile hinzufügen und suchen Sie nach einer Tabelle, oder fügen Sie sie in eine Tabelle ein, auf die Sie Zugriff haben. ARN
Wählen Sie Änderungen speichern.

Protokollieren von Datenereignissen mit dem AWS Command Line Interface

Sie können Ihre Trails oder Ereignisdatenspeicher so konfigurieren, dass Datenereignisse per AWS CLI protokolliert werden.

Themen

Protokollierung von Datenereignissen für Trails mit dem AWS CLI
Protokollieren von Datenereignissen für Ereignisdatenspeicher mit dem AWS CLI

Protokollierung von Datenereignissen für Trails mit dem AWS CLI

Sie können Ihre Trails so konfigurieren, dass Verwaltungs- und Datenereignisse mit AWS CLI protokolliert werden.

Anmerkung

Beachten Sie, dass Sie Gebühren anfallen, wenn Ihr Konto mehr als eine Kopie von Verwaltungsereignissen protokolliert. Für die Protokollierung von Datenereignissen fällt immer eine Gebühr an. Weitere Informationen finden Sie unter Preise zu AWS CloudTrail.
Sie können entweder erweiterte Ereignisselektoren oder einfache Ereignisselektoren verwenden, aber nicht beide. Wenn Sie erweiterte Ereignisselektoren auf einen Trail anwenden, werden alle vorhandenen grundlegenden Ereignisselektoren überschrieben.
Wenn Ihr Trail grundlegende Ereignisselektoren verwendet, können Sie nur die folgenden Ressourcentypen protokollieren:
- AWS::DynamoDB::Table
- AWS::Lambda::Function
- AWS::S3::Object
Um zusätzliche Ressourcentypen zu protokollieren, müssen Sie erweiterte Ereignisselektoren verwenden. Um einen Trail in erweiterte Ereignisselektoren umzuwandeln, führen Sie den Befehl get-event-selectors aus, um die aktuellen Ereignisselektoren zu bestätigen, und konfigurieren Sie dann die erweiterten Ereignisselektoren so, dass sie der Abdeckung der vorherigen Ereignisselektoren entsprechen. Fügen Sie dann Selektoren für alle Ressourcentypen hinzu, für die Sie Datenereignisse protokollieren möchten.
Mithilfe erweiterter Ereignisselektoren können Sie nach dem Wert der Felder eventName, resources.ARN und readOnly filtern, sodass Sie nur die Datenereignisse protokollieren, die für Sie von Interesse sind. Weitere Informationen zur Konfiguration dieser Felder finden Sie unter AdvancedFieldSelectorin der AWS CloudTrail APIReferenz und Filtern von Datenereignissen mithilfe erweiterter Event-Selektoren in diesem Thema.

Führen Sie den Befehl get-event-selectors aus, um anzuzeigen, ob Ihr Trail Verwaltungs- und Datenereignisse protokolliert.


aws cloudtrail get-event-selectors --trail-name TrailName

Der Befehl gibt die Event-Selektoren für den Trail zurück.

Themen

Protokollieren von Ereignissen mithilfe erweiterter Ereignisselektoren
Protokollieren Sie alle Amazon S3 S3-Ereignisse für einen Amazon S3 S3-Bucket mithilfe erweiterter Event-Selektoren
Protokollieren von Amazon S3 bei AWS Outposts -Ereignissen mithilfe erweiterter Ereignisselektoren
Protokollieren von Ereignissen mithilfe grundlegender Ereignisselektoren

Protokollieren von Ereignissen mithilfe erweiterter Ereignisselektoren

Anmerkung

Wenn Sie erweiterte Ereignisselektoren auf einen Trail anwenden, werden alle vorhandenen grundlegenden Ereignisselektoren überschrieben. Bevor Sie die erweiterten Ereignisselektoren konfigurieren, führen Sie den Befehl get-event-selectors aus, um die aktuellen Ereignisselektoren zu bestätigen. Anschließend konfigurieren Sie die erweiterten Ereignisselektoren so, dass sie der Abdeckung der vorherigen Ereignisselektoren entsprechen, und fügen dann Selektoren für zusätzliche Datenereignisse hinzu, die Sie protokollieren möchten.

Im folgenden Beispiel werden benutzerdefinierte erweiterte Event-Selektoren für einen Trail mit dem Namen erstellt TrailName um Lese- und Schreibverwaltungsereignisse (durch Weglassen des readOnly Selektors) PutObject und DeleteObject Datenereignisse für alle Amazon S3 S3-Bucket/Präfix-Kombinationen mit Ausnahme eines Buckets namens amzn-s3-demo-bucket und Datenereignisse für eine benannte Funktion einzubeziehen. AWS Lambda MyLambdaFunction Da es sich um benutzerdefinierte erweiterte Ereignisselektoren handelt, hat jeder Satz von Selektoren einen beschreibenden Namen. Beachten Sie, dass ein abschließender Schrägstrich Teil des Werts für S3-Buckets ist. ARN


aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
  {
    "Name": "Log readOnly and writeOnly management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  },
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
    ]
  },
  {
    "Name": "Log data plane actions on MyLambdaFunction",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
      { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
    ]
  }
]'

Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log readOnly and writeOnly management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        }
      ]
    },
    {
      "Name": "Log PutObject and DeleteObject events for all but one bucket",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::S3::Object" ]
        },
        {
          "Field": "resources.ARN", 
          "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
        },
      ]
    },
{
      "Name": "Log data plane actions on MyLambdaFunction",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::Lambda::Function" ]
        },
        {
          "Field": "eventName", 
          "Equals": [ "Invoke" ]
        },
        {
          "Field": "resources.ARN", 
          "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Protokollieren Sie alle Amazon S3 S3-Ereignisse für einen Amazon S3 S3-Bucket mithilfe erweiterter Event-Selektoren

Anmerkung

Wenn Sie erweiterte Ereignisselektoren auf einen Trail anwenden, werden alle vorhandenen grundlegenden Ereignisselektoren überschrieben.

Das folgende Beispiel zeigt, wie Sie Ihren Trail so konfigurieren, dass alle Datenereignisse für alle Amazon-S3-Objekte in einem bestimmten S3 Bucket enthalten sind. Der Wert für S3-Ereignisse für das resources.type-Feld ist AWS::S3::Object. Da sich die ARN Werte für S3-Objekte und S3-Buckets geringfügig unterscheiden, müssen Sie den StartsWith Operator for hinzufügen, um alle resources.ARN Ereignisse zu erfassen.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
            ]
        }
]'

Der Befehl gibt die folgende Beispielausgabe zurück.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                }
            ]
        }
    ]
}

Protokollieren von Amazon S3 bei AWS Outposts -Ereignissen mithilfe erweiterter Ereignisselektoren

Anmerkung

Wenn Sie erweiterte Ereignisselektoren auf einen Trail anwenden, werden alle vorhandenen grundlegenden Ereignisselektoren überschrieben.

Das folgende Beispiel zeigt, wie Sie Ihren Trail so konfigurieren, dass alle Datenereignisse für alle Amazon S3 on Outposts-Objekte in Ihrem Outpost enthalten sind.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
    }
]'

Der Befehl gibt die folgende Beispielausgabe zurück.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ]
}

Protokollieren von Ereignissen mithilfe grundlegender Ereignisselektoren

Das Folgende ist ein Beispielergebnis des get-event-selectors-Befehls, das grundlegende Ereignisselektoren zeigt. Wenn Sie einen Trail mithilfe von erstellen AWS CLI, protokolliert ein Trail standardmäßig alle Verwaltungsereignisse. Standardmäßig protokollieren die Trails keine Datenereignisse.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ]
}

Führen Sie den Befehl put-event-selectors aus, um Ihren Trail für die Protokollierung von Verwaltungs- und Datenereignissen zu konfigurieren.

Das folgende Beispiel zeigt, wie Sie grundlegende Ereignisselektoren verwenden, um Ihren Trail so zu konfigurieren, dass er alle Verwaltungs- und Datenereignisse für die S3-Objekte in zwei S3-Bucket-Präfixen enthält. Sie können zwischen 1 und 5 Ereignisselektoren für einen Trail angeben. Sie können zwischen 1 und 250 Datenressourcen für einen Trail festlegen.

Anmerkung

Die maximale Anzahl von S3-Datenressourcen beträgt 250, wenn Sie Datenereignisse mithilfe einfacher Ereignisselektoren begrenzen.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2;/prefix2"] }] }]'

Der Befehl gibt die Ereignisselektoren zurück, die für den Trail konfiguriert sind.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket1/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ],
                    "Type": "AWS::S3::Object"
                }
            ],
            "ReadWriteType": "All"
        }
    ]
}

Protokollieren von Datenereignissen für Ereignisdatenspeicher mit dem AWS CLI

Sie können Ihre Ereignisdatenspeicher so konfigurieren, dass Datenereignisse per AWS CLI protokolliert werden. Verwenden Sie den Befehl create-event-data-store, um einen neuen Ereignisdatenspeicher zum Protokollieren von Datenereignissen zu erstellen. Verwenden Sie den Befehl update-event-data-store, um die erweiterten Ereignisselektoren für einen vorhandenen Ereignisdatenspeicher zu aktualisieren.

Führen Sie den Befehl get-event-data-store aus, um zu überprüfen, ob Ihr Ereignisdatenspeicher Datenereignisse enthält.


aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN

Der Befehl gibt die Einstellungen für den Ereignisdatenspeicher zurück.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa",
    "Name": "ebs-data-events",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Log all EBS direct APIs on EBS snapshots",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::EC2::Snapshot"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00"
}

Themen

Einschließen aller Amazon-S3-Ereignisse für einen Bucket
Einschließen von Amazon S3 in AWS Outposts -Ereignissen

Einschließen aller Amazon-S3-Ereignisse für einen Bucket

Das folgende Beispiel zeigt, wie Sie Ihren Ereignisdatenspeicher so konfigurieren, dass alle Datenereignisse für alle Amazon-S3-Objekte in einem bestimmten S3-Bucket enthalten sind. Der Wert für S3-Ereignisse für das resources.type-Feld ist AWS::S3::Object. Da sich die ARN Werte für S3-Objekte und S3-Buckets geringfügig unterscheiden, müssen Sie den StartsWith Operator for hinzufügen, resources.ARN um alle Ereignisse zu erfassen.


aws cloudtrail create-event-data-store --name "EventDataStoreName" --multi-region-enabled \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
            ]
        }
]'

Der Befehl gibt die folgende Beispielausgabe zurück.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
    "Name": "EventDataStoreName",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:49:21.766000+00:00"
}

Einschließen von Amazon S3 in AWS Outposts -Ereignissen

Das folgende Beispiel zeigt, wie Sie Ihren Ereignisdatenspeicher so konfigurieren, dass alle Datenereignisse für alle Objekte von Amazon S3 on Outposts in Ihrem Outpost enthalten sind.


aws cloudtrail create-event-data-store --name EventDataStoreName \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
        }
]'

Der Befehl gibt die folgende Beispielausgabe zurück.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00"
}

Protokollieren von Datenereignissen für AWS Config -Compliance

Wenn Sie AWS Config Conformance Packs verwenden, um Ihr Unternehmen bei der Einhaltung formalisierter Standards zu unterstützen, wie sie beispielsweise vom Federal Risk and Authorization Management Program (FedRAMP) oder vom National Institute of Standards and Technology (NIST) gefordert werden, erfordern Konformitätspakete für Compliance-Frameworks in der Regel, dass Sie mindestens Datenereignisse für Amazon S3 S3-Buckets protokollieren. Compliance-Pakete für Compliance-Frameworks enthalten eine verwaltete Regel namens cloudtrail-s3-dataevents-enabled, die die S3-Datenereignisprotokollierung in Ihrem Konto überprüft. Viele Compliance-Pakete, die nicht mit Compliance-Frameworks verknüpft sind, erfordern auch die S3-Datenereignisprotokollierung. Im Folgenden finden Sie Beispiele für Konformitätspakete, die diese Regel enthalten.

Eine vollständige Liste der in verfügbaren Mustervorlagen für Conformance Packs finden Sie im AWS ConfigAWS Config Developer Guide unter Conformance Pack Sample Templates.

Protokollieren von Datenereignissen mit dem AWS SDKs

Führen Sie den GetEventSelectorsVorgang aus, um festzustellen, ob Ihr Trail Datenereignisse protokolliert. Sie können Ihre Trails so konfigurieren, dass Datenereignisse protokolliert werden, indem Sie den PutEventSelectorsVorgang ausführen. Weitere Informationen finden Sie in der AWS CloudTrail APIReferenz.

Führen Sie den GetEventDataStoreVorgang aus, um festzustellen, ob Ihr Ereignisdatenspeicher Datenereignisse protokolliert. Sie können Ihre Ereignisdatenspeicher so konfigurieren, dass sie Datenereignisse enthalten, indem Sie die UpdateEventDataStoreOperationen CreateEventDataStoreoder ausführen und erweiterte Ereignisselektoren angeben. Weitere Informationen finden Sie unter Erstellen, aktualisieren und verwalten Sie Ereignisdatenspeicher mit dem AWS CLI und in der AWS CloudTrail APIReferenz.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwaltungsereignisse

Filtern von Datenereignissen mithilfe erweiterter Event-Selektoren