Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse - AWS CloudTrail
Um einen Ereignisdatenspeicher für CloudTrail Ereignisse zu erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse

Ereignisdatenspeicher für CloudTrail Ereignisse können CloudTrail Verwaltungsereignisse, Datenereignisse und Netzwerkaktivitätsereignisse umfassen. Sie können die Ereignisdaten bis zu 3 653 Tage (etwa 10 Jahre) in einem Ereignisdatenspeicher aufbewahren, wenn Sie die Preisoption mit verlängerbarer Aufbewahrung für ein Jahr wählen, oder bis zu 2 557 Tage (ca. 7 Jahre), wenn Sie die Preisoption für die Aufbewahrung von sieben Jahren wählen.

Anmerkung

Netzwerkaktivitätsereignisse befinden sich in der Vorschauversion für CloudTrail und können sich ändern.

CloudTrail Für Datenspeicher mit Ereignissen in Lake fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter AWS CloudTrail Preise undVerwaltung der CloudTrail Seekosten.

Um einen Ereignisdatenspeicher für CloudTrail Ereignisse zu erstellen

Gehen Sie wie folgt vor, um einen Ereignisdatenspeicher zu erstellen, der CloudTrail Verwaltungsereignisse, Datenereignisse oder Netzwerkaktivitätsereignisse protokolliert.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im Navigationsbereich unter Lake die Option Ereignisdatenspeicher aus.

  3. Wählen Sie Ereignisdatenspeicher erstellen aus.

  4. Geben Sie auf der Seite Konfigurieren eines Ereignisdatenspeichers in Allgemeine Angaben einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.

  5. Wählen Sie die Preisoption aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter AWS CloudTrail -Preise und Verwaltung der CloudTrail Seekosten.

    Die folgenden Optionen sind verfügbar:

    • Preisoption mit verlängerbarer Aufbewahrung für ein Jahr – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine erweiterte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.

      • Standardaufbewahrungsdauer: 366 Tage.

      • Maximale Aufbewahrungsdauer: beträgt 3 653 Tage.

    • Preisoption für die Aufbewahrung über sieben Jahre – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.

      • Standardaufbewahrungsdauer: 2 557 Tage.

      • Maximale Aufbewahrungsdauer: beträgt 2 557 Tage.

  6. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die Preisoption mit siebenjähriger Aufbewahrungsdauer liegen.

    CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb eventTime des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie eventTime älter als 90 Tage sind.

    Anmerkung

    Wenn Sie Trail-Ereignisse in diesen Ereignisdatenspeicher kopieren, CloudTrail wird ein Ereignis nicht kopiert, wenn eventTime es älter als der angegebene Aufbewahrungszeitraum ist. Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher behalten möchten (Aufbewahrungszeitraum = oldest-event-in-days + number-days-to-retain). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher behalten möchten, würden Sie die Aufbewahrungsfrist auf 90 Tage festlegen.

  7. (Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie Eigene verwenden aus AWS KMS key. Wählen Sie „Neu“, um einen für Sie AWS KMS key erstellen zu lassen, oder „Bestehend“, um einen vorhandenen KMS Schlüssel zu verwenden. Geben Sie KMS unter Alias eingeben einen Alias im folgenden Format an alias/MyAliasName. Wenn Sie Ihren eigenen KMS Schlüssel verwenden, müssen Sie Ihre KMS Schlüsselrichtlinie so bearbeiten, dass CloudTrail Protokolle verschlüsselt und entschlüsselt werden können. Weitere Informationen finden Sie unterKonfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail. CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter Verwenden von Schlüsseln für mehrere Regionen im AWS Key Management Service -Entwicklerhandbuch.

    Wenn Sie Ihren eigenen KMS Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einem Schlüssel einen Ereignisdatenspeicher zugeordnet haben, kann der KMS KMS Schlüssel nicht mehr entfernt oder geändert werden.

    Anmerkung

    Um die AWS Key Management Service Verschlüsselung für den Datenspeicher eines Organisationsereignisses zu aktivieren, müssen Sie einen vorhandenen KMS Schlüssel für das Verwaltungskonto verwenden.

  8. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie Aktivieren in Lake-Abfrageverbund. Mit Federation können Sie die mit dem Ereignisdatenspeicher verknüpften Metadaten im AWS Glue Datenkatalog anzeigen und SQL Abfragen für die Ereignisdaten in Athena ausführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter Verbund für einen Ereignisdatenspeicher erstellen.

    Wählen Sie Aktivieren und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:

    1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine bestehende IAM Rolle verwenden möchten. AWS Lake Formationverwendet diese Rolle, um die Berechtigungen für den Verbunddatenspeicher für Ereignisse zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die erforderlichen Mindestberechtigungen vorsieht.

    2. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.

    3. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.

  9. (Optional) Im Bereich Tags können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen zur Verwendung von IAM Richtlinien zur Autorisierung des Zugriffs auf einen Ereignisdatenspeicher auf der Grundlage von Tags finden Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags Sie unter. Weitere Informationen zur Verwendung von Tags finden Sie unter Tagging AWS Resources im Tagging Resources User Guide AWS . AWS

  10. Wählen Sie Next (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.

  11. Wählen Sie auf der Seite Ereignisse auswählen die Option AWS Ereignisse und dann Ereignisse ausCloudTrail.

  12. Wählen Sie für CloudTrail Ereignisse mindestens einen Ereignistyp aus. Verwaltungsereignisse ist standardmäßig ausgewählt. Sie können Verwaltungsereignisse, Datenereignisse und Netzwerkaktivitätsereignisse zu Ihrem Ereignisdatenspeicher hinzufügen.

  13. (Optional) Wählen Sie Trail-Ereignisse kopieren, wenn Sie Ereignisse aus einem vorhandenen Trail kopieren möchten, um Abfragen für vergangene Ereignisse auszuführen. Um Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation zu kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Über das Konto eines delegierten Administrators können Trail-Ereignisse nicht in den Ereignisdatenspeicher einer Organisation kopiert werden. Weitere Informationen zu Überlegungen zum Kopieren von Trail-Ereignissen finden Sie unter Überlegungen zum Kopieren von Trail-Ereignissen.

  14. Damit Ihr Ereignisdatenspeicher Ereignisse von allen Konten in einer AWS Organizations -Organisation erfasst, wählen Sie Für alle Konten in meiner Organisation aktivieren aus. Sie müssen beim Verwaltungskonto oder beim Konto eines delegierten Administrators der Organisation angemeldet sein, um einen Ereignisdatenspeicher zu erstellen, der Ereignisse für eine Organisation erfasst.

    Anmerkung

    Um Trail-Ereignisse zu kopieren oder Insights-Ereignisse zu aktivieren, müssen Sie beim Verwaltungskonto für Ihre Organisation angemeldet sein.

  15. Erweitern Sie Zusätzliche Einstellungen, um auszuwählen, ob Ihr Ereignisdatenspeicher Ereignisse für alle AWS-Regionen oder nur für die aktuellen Ereignisse erfassen soll AWS-Region, und wählen Sie aus, ob der Ereignisdatenspeicher Ereignisse aufnimmt. Standardmäßig erfasst der Ereignisdatenspeicher Ereignisse aus allen Regionen in Ihrem Konto und beginnt ab der Erstellung damit, Ereignisse aufzunehmen.

    1. Wählen Sie Nur die aktuelle Region in meinen Ereignisdatenspeicher einbeziehen aus, um nur Ereignisse einzubeziehen, die in der aktuellen Region protokolliert werden. Wenn Sie diese Option nicht auswählen, enthält der Ereignisdatenspeicher Ereignisse aus allen Regionen.

    2. Deaktivieren Sie die Option Ereignisse aufnehmen, wenn Sie nicht möchten, dass der Ereignisdatenspeicher mit der Aufnahme von Ereignissen beginnt. Es könnte zum Beispiel sinnvoll sein, die Option Ereignisse aufnehmen zu deaktivieren, wenn Sie Trail-Ereignisse kopieren und nicht möchten, dass der Ereignisdatenspeicher zukünftige Ereignisse enthält. Standardmäßig beginnt der Ereignisdatenspeicher mit der Aufnahme von Ereignissen, wenn er erstellt wird.

  16. Wenn Ihr Ereignisdatenspeicher Verwaltungsereignisse enthält, haben Sie folgende Optionen zur Wahl. Weitere Informationen zur Verwaltungsereignissen finden Sie unter Protokollieren von Verwaltungsereignissen.

    1. Wählen Sie aus, ob Sie Leseereignisse, Schreibereignisse oder beides einbeziehen möchten. Mindestens eine Option muss ausgewählt werden.

    2. Wählen Sie aus, ob Sie Amazon RDS API Data-Ereignisse aus Ihrem Event-Datenspeicher ausschließen AWS Key Management Service oder Amazon Data-Ereignisse ausschließen möchten.

    3. Wählen Sie aus, ob Insights aktiviert werden sollen. Um Insights zu aktivieren, müssen Sie einen Zielereignisdatenspeicher einrichten, der Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher erfasst.

      Wenn Sie Insights aktivieren möchten, gehen Sie wie folgt vor.

      1. Wählen Sie unter Insights aktivieren den Zielereignisspeicher aus, in dem Insights-Ereignisse protokolliert werden sollen. Der Zielereignisdatenspeicher erfasst Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher. Weitere Informationen zum Erstellen des Zielereignisdatenspeichers finden Sie unter Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert.

      2. Wählen Sie die Insights-Typen aus. Sie können zwischen APIAnrufrate, APIFehlerrate oder beidem wählen. Sie müssen Write-Management-Ereignisse protokollieren, um Insights-Ereignisse für die APIAnrufrate protokollieren zu können. Sie müssen Verwaltungsereignisse vom Typ Lesen oder Schreiben protokollieren, um Insights-Ereignisse im Hinblick auf die APIFehlerquote protokollieren zu können.

  17. Gehen Sie wie folgt vor, um Datenereignisse in Ihren Ereignisdatenspeicher aufzunehmen.

    1. Wählen Sie einen Datenereignistyp aus. Dies ist die AWS-Service Ressource, auf der Datenereignisse protokolliert werden. Um Datenereignisse für von Lake Formation erstellte AWS Glue Tabellen zu protokollieren, wählen Sie Lake Formation als Datentyp aus.

    2. Wählen Sie unter Protokollselektorvorlage eine Vorlage aus. Sie können alle Datenereignisse, readOnly-Ereignisse, writeOnly-Ereignisse oder Benutzerdefiniert protokollieren, um einen benutzerdefinierten Protokollselektor zu erstellen.

    3. (Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird wie Name in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die JSON Ansicht erweitern.

    4. Erstellen Sie in den erweiterten Ereignisselektoren einen Ausdruck für die spezifischen Ressourcen, für die Sie Datenereignisse protokollieren möchten. Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.

      1. Wählen Sie aus den folgenden Feldern.

        • readOnly- readOnly kann so eingestellt werden, dass er einem Wert von oder entspricht. true false Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. Get*- oder Describe*-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. Put*-, Delete*- oder Write*-Ereignisse. Um sowohl read- als auch write-Ereignisse zu protokollieren, fügen Sie keinen readOnly-Selektor hinzu.

        • eventNameeventName kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B. PutBucketGetItem, oderGetSnapshotBlock.

        • resources.ARN- Sie können jeden beliebigen Operator mit verwendenresources.ARN, aber wenn Sie „gleich“ oder „ungleich“ verwenden, muss der Wert exakt dem ARN Wert einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert für angegeben haben. resources.type

          Die folgende Tabelle zeigt das jeweils resources.type gültige ARN Format.

          Anmerkung

          Sie können das resources.ARN Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall istARNs.

          resources.type Ressourcen. ARN
          AWS::DynamoDB::Table1 
          arn:partition:dynamodb:region:account_ID:table/table_name
          AWS::Lambda::Function 
          arn:partition:lambda:region:account_ID:function:function_name

          AWS::S3::Object2

          		 
          arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
          AWS::AppConfig::Configuration 
          arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
          AWS::B2BI::Transformer 
          arn:partition:b2bi:region:account_ID:transformer/transformer_ID
          AWS::Bedrock::AgentAlias 
          arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
          AWS::Bedrock::FlowAlias 
          arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
          AWS::Bedrock::Guardrail 
          arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
          AWS::Bedrock::KnowledgeBase 
          arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
          AWS::Bedrock::Model

          Das ARN muss in einem der folgenden Formate vorliegen:

          • arn:partition:bedrock:region::foundation-model/resource_ID

          • arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID

          • arn:partition:bedrock:region:account_ID:custom-model/resource_ID
          AWS::Cassandra::Table 
          arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
          AWS::CloudFront::KeyValueStore 
          arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
          AWS::CloudTrail::Channel 
          arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
          AWS::CodeWhisperer::Customization 
          arn:partition:codewhisperer:region:account_ID:customization/customization_ID
          AWS::CodeWhisperer::Profile 
          arn:partition:codewhisperer:region:account_ID:profile/profile_ID
          AWS::Cognito::IdentityPool 
          arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
          AWS::DataExchange::Asset 
          arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
          AWS::Deadline::Fleet 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
          AWS::Deadline::Job 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
          AWS::Deadline::Queue 
          arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
          AWS::Deadline::Worker 
          arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
          AWS::DynamoDB::Stream 
          arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
          AWS::EC2::Snapshot 
          arn:partition:ec2:region::snapshot/snapshot_ID
          AWS::EMRWAL::Workspace 
          arn:partition:emrwal:region:account_ID:workspace/workspace_name
          AWS::FinSpace::Environment 
          arn:partition:finspace:region:account_ID:environment/environment_ID
          AWS::Glue::Table 
          arn:partition:glue:region:account_ID:table/database_name/table_name
          AWS::GreengrassV2::ComponentVersion 
          arn:partition:greengrass:region:account_ID:components/component_name
          AWS::GreengrassV2::Deployment 
          arn:partition:greengrass:region:account_ID:deployments/deployment_ID
          AWS::GuardDuty::Detector 
          arn:partition:guardduty:region:account_ID:detector/detector_ID
          AWS::IoT::Certificate 
          arn:partition:iot:region:account_ID:cert/certificate_ID
          AWS::IoT::Thing 
          arn:partition:iot:region:account_ID:thing/thing_ID
          AWS::IoTSiteWise::Asset 
          arn:partition:iotsitewise:region:account_ID:asset/asset_ID
          AWS::IoTSiteWise::TimeSeries 
          arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
          AWS::IoTTwinMaker::Entity 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
          AWS::IoTTwinMaker::Workspace 
          arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
          AWS::KendraRanking::ExecutionPlan 
          arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
          AWS::Kinesis::Stream 
          arn:partition:kinesis:region:account_ID:stream/stream_name
          AWS::Kinesis::StreamConsumer 
          arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
          AWS::KinesisVideo::Stream 
          arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
          AWS::MachineLearning::MlModel 
          arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
          AWS::ManagedBlockchain::Network 
          arn:partition:managedblockchain:::networks/network_name
          AWS::ManagedBlockchain::Node 
          arn:partition:managedblockchain:region:account_ID:nodes/node_ID
          AWS::MedicalImaging::Datastore 
          arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
          AWS::NeptuneGraph::Graph 
          arn:partition:neptune-graph:region:account_ID:graph/graph_ID
          AWS::One::UKey 
          arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
          AWS::One::User 
          arn:partition:one:region:account_ID:user/user_ID
          AWS::PaymentCryptography::Alias 
          arn:partition:payment-cryptography:region:account_ID:alias/alias
          AWS::PaymentCryptography::Key 
          arn:partition:payment-cryptography:region:account_ID:key/key_ID
          AWS::PCAConnectorAD::Connector 
          arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
          AWS::PCAConnectorSCEP::Connector 
          arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
          AWS::QApps:QApp 
          arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
          AWS::QBusiness::Application 
          arn:partition:qbusiness:region:account_ID:application/application_ID
          AWS::QBusiness::DataSource 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
          AWS::QBusiness::Index 
          arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
          AWS::QBusiness::WebExperience 
          arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
          AWS::RDS::DBCluster 
          arn:partition:rds:region:account_ID:cluster/cluster_name
          AWS::RUM::AppMonitor 
          arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

          AWS::S3::AccessPoint3

          		 
          arn:partition:s3:region:account_ID:accesspoint/access_point_name

          AWS::S3Express::Object

          		 
          arn:partition:s3express:region:account_ID:bucket/bucket_name
          AWS::S3ObjectLambda::AccessPoint 
          arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
          AWS::S3Outposts::Object 
          arn:partition:s3-outposts:region:account_ID:object_path
          AWS::SageMaker::Endpoint 
          arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
          AWS::SageMaker::ExperimentTrialComponent 
          arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
          AWS::SageMaker::FeatureGroup 
          arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
          AWS::SCN::Instance 
          arn:partition:scn:region:account_ID:instance/instance_ID
          AWS::ServiceDiscovery::Namespace 
          arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
          AWS::ServiceDiscovery::Service 
          arn:partition:servicediscovery:region:account_ID:service/service_ID
          AWS::SNS::PlatformEndpoint 
          arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
          AWS::SNS::Topic 
          arn:partition:sns:region:account_ID:topic_name
          AWS::SocialMessaging::PhoneNumberId

          arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
          AWS::SQS::Queue 
          arn:partition:sqs:region:account_ID:queue_name
          AWS::SSM::ManagedNode

          Das ARN muss in einem der folgenden Formate vorliegen:

          • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

          • arn:partition:ec2:region:account_ID:instance/instance_ID
          AWS::SSMMessages::ControlChannel 
          arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
          AWS::StepFunctions::StateMachine

          Das ARN muss in einem der folgenden Formate vorliegen:

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

          • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
          AWS::SWF::Domain 
          arn:partition:swf:region:account_ID:/domain/domain_name
          AWS::ThinClient::Device 
          arn:partition:thinclient:region:account_ID:device/device_ID
          AWS::ThinClient::Environment 
          arn:partition:thinclient:region:account_ID:environment/environment_ID
          AWS::Timestream::Database 
          arn:partition:timestream:region:account_ID:database/database_name
          AWS::Timestream::Table 
          arn:partition:timestream:region:account_ID:database/database_name/table/table_name
          AWS::VerifiedPermissions::PolicyStore 
          arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

          1 Bei Tabellen mit aktivierten Streams enthält das resources-Feld im Datenereignis sowohl AWS::DynamoDB::Stream als auch AWS::DynamoDB::Table. Wenn Sie AWS::DynamoDB::Table als resources.type angeben, werden standardmäßig sowohl DynamoDB-Tabellen- als auch DynamoDB-Stream-Ereignisse protokolliert. Um Streams-Ereignisse auszuschließen, fügen Sie dem eventName Feld einen Filter hinzu.

          2 Um alle Datenereignisse für alle Objekte in einem bestimmten S3-Bucket zu protokollieren, verwenden Sie den StartsWith Operator und geben Sie nur den Bucket ARN als passenden Wert an. Der abschließende Schrägstrich ist beabsichtigt; schließen Sie ihn nicht aus.

          3 Um Ereignisse für alle Objekte in einem S3-Zugriffspunkt zu protokollieren, empfehlen wir, nur den Access Point zu verwendenARN, den Objektpfad nicht einzubeziehen und die NotStartsWith Operatoren StartsWith oder zu verwenden.

        Weitere Informationen zu den ARN Formaten von Datenereignisressourcen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Aktionen, Ressourcen und Bedingungsschlüssel.

      2. Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf Ressourcen setzen. ARN, legen Sie fest, dass der Operator nicht mit beginnt, und fügen Sie ihn dann entweder in einen S3-Bucket ARN ein oder suchen Sie nach den S3-Buckets, für die Sie keine Ereignisse protokollieren möchten.

        Um den zweiten S3-Bucket hinzuzufügen, wählen Sie + Condition und wiederholen Sie dann die vorherige Anweisung, indem Sie das ARN für einfügen oder nach einem anderen Bucket suchen.

        Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. Wie werden mehrere Bedingungen für CloudTrail ein Feld ausgewertet

        Anmerkung

        Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie eventName ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.

      3. Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht ARN in einem Selektor an, dass ein Wert gleich einem Wert ist, und geben Sie dann an, dass das ARN nicht dem gleichen Wert in einem anderen Selektor entspricht.

    5. Erweitern Sie optional die JSONAnsicht, um Ihre erweiterten Event-Selektoren als Block anzuzeigen. JSON

    6. Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen. Wiederholen Sie die Schritte a bis zu diesem Schritt, um erweiterte Event-Selektoren für den Datenereignistyp zu konfigurieren.

  18. Gehen Sie wie folgt vor, um Netzwerkaktivitätsereignisse in Ihren Ereignisdatenspeicher aufzunehmen.

    1. Wählen Sie unter Netzwerkaktivitätsereignisquelle die Quelle für Netzwerkaktivitätsereignisse aus.

    2. Wählen Sie unter Protokollselektorvorlage eine Vorlage aus. Sie können wählen, ob alle Netzwerkaktivitätsereignisse, alle Ereignisse, bei denen der Zugriff auf Netzwerkaktivitäten verweigert wurde, protokolliert werden sollen, oder Benutzerdefiniert wählen, um eine benutzerdefinierte Protokollauswahl zu erstellen, die nach mehreren Feldern filtert, z. B. eventName undvpcEndpointId.

    3. (Optional) Geben Sie einen Namen ein, um den Selektor zu identifizieren. Der Name des Selektors wird in der erweiterten Ereignisauswahl als Name aufgeführt und ist sichtbar, wenn Sie die Ansicht erweitern. JSON

    4. In der erweiterten Version erstellen Event-Selektoren Ausdrücke, indem sie Werte für Feld, Operator und Wert auswählen. Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.

      1. Um Netzwerkaktivitätsereignisse auszuschließen oder einzubeziehen, können Sie in der Konsole aus den folgenden Feldern wählen.

        • eventName— Sie können jeden Operator mit verwendeneventName. Sie können ihn verwenden, um jedes Ereignis ein- oder auszuschließen, CreateKey z.

        • errorCode— Sie können es verwenden, um nach einem Fehlercode zu filtern. Derzeit wird nur Folgendes unterstützterrorCode:VpceAccessDenied.

        • vpcEndpointId— Identifiziert den VPC Endpunkt, den der Vorgang durchlaufen hat. Sie können jeden beliebigen Operator mit verwendenvpcEndpointId.

      2. Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.

      3. Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.

    5. Um eine weitere Ereignisquelle hinzuzufügen, für die Sie Netzwerkaktivitätsereignisse protokollieren möchten, wählen Sie „Netzwerkaktivitätsereignisauswahl hinzufügen“.

    6. Erweitern Sie optional die JSONAnsicht, um Ihre erweiterten Event-Selektoren als JSON Block anzuzeigen.

  19. Gehen Sie wie folgt vor, um vorhandene Trail-Ereignisse in Ihren Ereignisdatenspeicher zu kopieren.

    1. Wählen Sie den Trail aus, die Sie kopieren möchten. Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im CloudTrail Präfix des S3-Buckets und die Präfixe innerhalb des CloudTrail Präfixes enthalten sind, und überprüft keine Präfixe für andere Dienste. AWS Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, wählen Sie Enter S3 und dann Browse S3 URI, um zu dem Präfix zu navigieren. Wenn der S3-Quell-Bucket für den Trail einen KMS Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS Schlüsselrichtlinie das Entschlüsseln der Daten zulässt CloudTrail . Wenn Ihr S3-Quell-Bucket mehrere KMS Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren, damit CloudTrail die Daten im Bucket entschlüsselt werden können. Weitere Informationen zur Aktualisierung der KMS Schlüsselrichtlinie finden Sie unterKMSwichtige Richtlinie für die Entschlüsselung von Daten im S3-Quell-Bucket.

    2. Wählen Sie den Zeitraum für das Kopieren der Ereignisse aus. CloudTrail überprüft das Präfix und den Namen der Protokolldatei, um sicherzustellen, dass der Name ein Datum zwischen dem ausgewählten Start- und Enddatum enthält, bevor versucht wird, Trail-Ereignisse zu kopieren. Sie können einen Relative range (Relativen Bereich) oder einen Absolute range (Absoluten Bereich) wählen. Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum aus, der vor der Erstellung des Ereignisdatenspeichers liegt.

      Anmerkung

      CloudTrail kopiert nur Trail-Ereignisse, deren Aufbewahrungsfrist eventTime innerhalb des Ereignisdatenspeichers liegt. Wenn die Aufbewahrungsfrist eines Event-Datenspeichers beispielsweise 90 Tage beträgt, CloudTrail werden keine Trail-Ereignisse kopiert, die eventTime älter als 90 Tage sind.

      • Wenn Sie Relativer Bereich wählen, können Sie wählen, ob Ereignisse kopiert werden sollen, die in den letzten 6 Monaten, 1 Jahr, 2 Jahren, 7 Jahren oder in einem benutzerdefinierten Bereich protokolliert wurden. CloudTrail kopiert die Ereignisse, die innerhalb des ausgewählten Zeitraums protokolliert wurden.

      • Wenn Sie „Absoluter Bereich“ wählen, können Sie ein bestimmtes Start- und Enddatum wählen. CloudTrail kopiert die Ereignisse, die zwischen dem ausgewählten Start- und Enddatum aufgetreten sind.

    3. Wählen Sie für Berechtigungen eine der folgenden IAM Rollenoptionen aus. Wenn Sie eine vorhandene IAM Rolle auswählen, stellen Sie sicher, dass die IAM Rollenrichtlinie die erforderlichen Berechtigungen bereitstellt. Weitere Informationen zur Aktualisierung der IAM Rollenberechtigungen finden Sie unterIAMBerechtigungen für das Kopieren von Trail-Ereignissen.

      • Wählen Sie Neue Rolle erstellen (empfohlen), um eine neue IAM Rolle zu erstellen. Geben Sie IAM unter Rollennamen eingeben einen Namen für die Rolle ein. CloudTrail erstellt automatisch die erforderlichen Berechtigungen für diese neue Rolle.

      • Wählen Sie Benutzerdefinierte IAM Rolle verwenden ausARN, um eine benutzerdefinierte IAM Rolle zu verwenden, die nicht aufgeführt ist. Geben Sie für IAM Rolle ARN eingeben den ein IAMARN.

      • Wählen Sie eine vorhandene IAM Rolle aus der Drop-down-Liste aus.

  20. Wählen Sie Next (Weiter) aus, um Ihre Auswahl zu überprüfen.

  21. Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie Ereignisdatenspeicher erstellen aus.

  22. Der neue Ereignisdatenspeicher ist in der Tabelle Ereignisdatenspeicher auf der Seite Ereignisdatenspeicher sichtbar.

    Ab diesem Zeitpunkt erfasst der Ereignisdatenspeicher Ereignisse, die mit den erweiterten Ereignisauswahlen übereinstimmen (wenn die Option Ereignisse aufnehmen ausgewählt ist). Ereignisse, die aufgetreten sind, bevor Sie den Ereignisdatenspeicher erstellt haben, befinden sich nicht im Ereignisdatenspeicher, es sei denn Sie haben sich für das Kopieren der bestehenden Trail-Ereignissen entschieden.

Nun können Sie Abfragen in Ihrem neuen Ereignisdatenspeicher ausführen. Die Registerkarte Sample queries (Beispiel für Abfragen) enthält Beispielabfragen, die Ihnen den Einstieg erleichtern. Weitere Informationen zum Erstellen und Bearbeiten von Abfragen finden Sie unter Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail .

Sie können sich auch das CloudTrail Lake-Dashboard ansehen, um die Management- und S3-Datenereignisse in Ihrem Eventdatenspeicher zu visualisieren. Weitere Informationen zu Lake-Dashboards finden Sie unter CloudTrail Lake-Dashboards mit der CloudTrail Konsole anzeigen.