Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse

Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

Wählen Sie im Navigationsbereich unter Lake die Option Ereignisdatenspeicher aus.

Wählen Sie Ereignisdatenspeicher erstellen aus.

Geben Sie auf der Seite Konfigurieren eines Ereignisdatenspeichers in Allgemeine Angaben einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.

Wählen Sie die Preisoption aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter AWS CloudTrail -Preise und Verwaltung der CloudTrail Seekosten.

Die folgenden Optionen sind verfügbar:

Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die Preisoption mit siebenjähriger Aufbewahrungsdauer liegen.

CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb eventTime des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie eventTime älter als 90 Tage sind.

(Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie Eigene verwenden aus AWS KMS key. Wählen Sie „Neu“, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie „Bestehend“, um einen vorhandenen KMS Schlüssel zu verwenden. Geben Sie KMS unter Alias eingeben einen Alias im folgenden Format an alias/MyAliasName. Wenn Sie Ihren eigenen KMS Schlüssel verwenden, müssen Sie Ihre KMS Schlüsselrichtlinie bearbeiten, damit Ihr Ereignisdatenspeicher ver- und entschlüsselt werden kann. Weitere Informationen finden Sie unterKonfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail. CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter Verwenden von Schlüsseln für mehrere Regionen im AWS Key Management Service -Entwicklerhandbuch.

Wenn Sie Ihren eigenen KMS Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einem Schlüssel einen Ereignisdatenspeicher zugeordnet haben, kann der KMS KMS Schlüssel nicht mehr entfernt oder geändert werden.

(Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie Aktivieren in Lake-Abfrageverbund. Mit Federation können Sie die mit dem Ereignisdatenspeicher verknüpften Metadaten im AWS Glue Datenkatalog anzeigen und SQL Abfragen für die Ereignisdaten in Athena ausführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter Verbund für einen Ereignisdatenspeicher erstellen.

Wählen Sie Aktivieren und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:

1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine bestehende IAM Rolle verwenden möchten. AWS Lake Formationverwendet diese Rolle, um die Berechtigungen für den Verbunddatenspeicher für Ereignisse zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die erforderlichen Mindestberechtigungen vorsieht.

2. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.

3. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.

(Optional) Wählen Sie „Ressourcenrichtlinie aktivieren“, um Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Mit ressourcenbasierten Richtlinien können Sie steuern, welche Principals Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher.

Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die Prinzipale, denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.

Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:

CloudTrail Erstellt für Datenspeicher von Organisationsereignissen eine ressourcenbasierte Standardrichtlinie, in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).

(Optional) Im Bereich Tags können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen zur Verwendung von IAM Richtlinien zur Autorisierung des Zugriffs auf einen Ereignisdatenspeicher auf der Grundlage von Tags finden Sie unter. Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags Weitere Informationen zur Verwendung von Tags finden Sie unter Tagging AWS Resources im Tagging Resources User Guide AWS . AWS

Wählen Sie Next (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.

Wählen Sie auf der Seite Ereignisse auswählen die Option AWS Ereignisse und dann Ereignisse ausCloudTrail.

Wählen Sie für CloudTrail Ereignisse mindestens einen Ereignistyp aus. Verwaltungsereignisse ist standardmäßig ausgewählt. Sie können Verwaltungsereignisse, Datenereignisse und Netzwerkaktivitätsereignisse zu Ihrem Ereignisdatenspeicher hinzufügen.

(Optional) Wählen Sie Trail-Ereignisse kopieren, wenn Sie Ereignisse aus einem vorhandenen Trail kopieren möchten, um Abfragen für vergangene Ereignisse auszuführen. Um Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation zu kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Über das Konto eines delegierten Administrators können Trail-Ereignisse nicht in den Ereignisdatenspeicher einer Organisation kopiert werden. Weitere Informationen zu Überlegungen zum Kopieren von Trail-Ereignissen finden Sie unter Überlegungen zum Kopieren von Trail-Ereignissen.

Damit Ihr Ereignisdatenspeicher Ereignisse von allen Konten in einer AWS Organizations -Organisation erfasst, wählen Sie Für alle Konten in meiner Organisation aktivieren aus. Sie müssen beim Verwaltungskonto oder beim Konto eines delegierten Administrators der Organisation angemeldet sein, um einen Ereignisdatenspeicher zu erstellen, der Ereignisse für eine Organisation erfasst.

Erweitern Sie Zusätzliche Einstellungen, um auszuwählen, ob Ihr Ereignisdatenspeicher Ereignisse für alle AWS-Regionen oder nur für die aktuellen Ereignisse erfassen soll AWS-Region, und wählen Sie aus, ob der Ereignisdatenspeicher Ereignisse aufnimmt. Standardmäßig erfasst der Ereignisdatenspeicher Ereignisse aus allen Regionen in Ihrem Konto und beginnt ab der Erstellung damit, Ereignisse aufzunehmen.

1. Wählen Sie Nur die aktuelle Region in meinen Ereignisdatenspeicher einbeziehen aus, um nur Ereignisse einzubeziehen, die in der aktuellen Region protokolliert werden. Wenn Sie diese Option nicht auswählen, enthält der Ereignisdatenspeicher Ereignisse aus allen Regionen.

2. Deaktivieren Sie die Option Ereignisse aufnehmen, wenn Sie nicht möchten, dass der Ereignisdatenspeicher mit der Aufnahme von Ereignissen beginnt. Es könnte zum Beispiel sinnvoll sein, die Option Ereignisse aufnehmen zu deaktivieren, wenn Sie Trail-Ereignisse kopieren und nicht möchten, dass der Ereignisdatenspeicher zukünftige Ereignisse enthält. Standardmäßig beginnt der Ereignisdatenspeicher mit der Aufnahme von Ereignissen, wenn er erstellt wird.

Wenn Ihr Ereignisdatenspeicher Verwaltungsereignisse enthält, haben Sie folgende Optionen zur Wahl. Weitere Informationen zur Verwaltungsereignissen finden Sie unter Protokollieren von Verwaltungsereignissen.

1. Wählen Sie zwischen einfacher Ereigniserfassung und erweiterter Ereigniserfassung:

   • Wählen Sie Einfache Ereigniserfassung, wenn Sie alle Ereignisse, nur Leseereignisse oder nur Schreibereignisse protokollieren möchten. Sie können sich auch dafür entscheiden, Amazon RDS API Data-Ereignisse auszuschließen AWS Key Management Service .

   • Wählen Sie Erweiterte Ereigniserfassung, wenn Sie Verwaltungsereignisse auf der Grundlage der Werte der Felder für die erweiterte Ereignisauswahl, einschließlich der Felder,,, unduserIdentity.arn,,,,,,,,,,,,,,,,,,,,,eventName,,,,eventType,,eventSource,,sessionCredentialFromConsole,,,,,,

2. Wenn Sie Einfache Ereigniserfassung ausgewählt haben, wählen Sie aus, ob Sie alle Ereignisse, nur Leseereignisse oder nur Schreibereignisse protokollieren möchten. Sie können sich auch dafür entscheiden, Ereignisse AWS KMS und Amazon RDS API Data-Ereignisse auszuschließen.

3. Wenn Sie Advanced Event Collection ausgewählt haben, treffen Sie die folgenden Auswahlen:

   1. Wählen Sie unter Vorlage für die Protokollauswahl eine Vorlage oder Benutzerdefiniert aus, um eine benutzerdefinierte Konfiguration auf der Grundlage von Feldwerten für die erweiterte Ereignisauswahl zu erstellen.

   2. (Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Verwaltungsereignisse von Sitzungen protokollieren“. AWS Management Console Der Name des Selektors wird wie Name in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die Ansicht erweitern. JSON

   3. Wenn Sie Benutzerdefiniert ausgewählt haben, erstellen Event-Selektoren in Advanced einen Ausdruck, der auf Feldwerten der erweiterten Ereignisauswahl basiert.

      Anmerkung

      Selektoren unterstützen nicht die Verwendung von Platzhaltern wie. * Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können SieStartsWith,, oder verwenden EndsWithNotStartsWith, NotEndsWith um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.

      1. Wählen Sie aus den folgenden Feldern.

         • readOnly— readOnly kann auf den Wert true oder false gesetzt werden. Wenn dieser Wert auf gesetzt istfalse, protokolliert der Ereignisdatenspeicher Verwaltungsereignisse, die nur auf Schreibzugriff beschränkt sind. Schreibgeschützte Verwaltungsereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. OR-Ereignisse. Get* Describe* Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. Put*-, Delete*- oder Write*-Ereignisse. Um sowohl Lese - als auch Schreibereignisse zu protokollieren, fügen Sie keinen Selektor hinzu. readOnly

         • eventName— eventName kann einen beliebigen Operator verwenden. Sie können ihn verwenden, um jedes Verwaltungsereignis wie CreateAccessPoint oder ein- oder auszuschließenGetAccessPoint.

         • userIdentity.arn— Ereignisse für Aktionen, die von bestimmten IAM Identitäten ausgeführt werden, einschließen oder ausschließen. Weitere Informationen finden Sie unter CloudTrail userIdentity Element.

         • sessionCredentialFromConsole— Ereignisse, die aus einer AWS Management Console Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf gleich oder ungleich mit dem Wert von gesetzt werden. true

         • eventSource— Sie können es verwenden, um bestimmte Ereignisquellen ein- oder auszuschließen. Das eventSource ist in der Regel eine Kurzform des Dienstnamens ohne Leerzeichen (Plus).amazonaws.com. Sie könnten beispielsweise eventSource equals so festlegen, dass ec2.amazonaws.com nur EC2 Amazon-Management-Ereignisse protokolliert werden.

         • eventType— Die eventType, die eingeschlossen oder ausgeschlossen werden sollen. Sie können dieses Feld beispielsweise auf „Ungleich“ setzenAwsServiceEvent, um AWS-Service Ereignisse auszuschließen.

      2. Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.

         Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet

         Anmerkung

         Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie eventName ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.

      3. Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.

   4. Erweitern Sie optional die JSONAnsicht, um Ihre erweiterten Event-Selektoren als JSON Block anzuzeigen.

4. Wählen Sie Erfassung von Insights-Ereignissen aktivieren, um Insights zu aktivieren. Um Insights zu aktivieren, müssen Sie einen Zielereignisdatenspeicher einrichten, der Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher erfasst.

   Wenn Sie Insights aktivieren möchten, gehen Sie wie folgt vor.

   1. Wählen Sie den Zielereignisspeicher aus, in dem Insights-Ereignisse protokolliert werden sollen. Der Zielereignisdatenspeicher erfasst Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher. Weitere Informationen zum Erstellen des Zielereignisdatenspeichers finden Sie unter Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert.

   2. Wählen Sie die Insights-Typen aus. Sie können zwischen APIAnrufrate, APIFehlerrate oder beidem wählen. Sie müssen Write-Management-Ereignisse protokollieren, um Insights-Ereignisse für die APIAnrufrate protokollieren zu können. Sie müssen Verwaltungsereignisse vom Typ Lesen oder Schreiben protokollieren, um Insights-Ereignisse im Hinblick auf die APIFehlerquote protokollieren zu können.

Gehen Sie wie folgt vor, um Datenereignisse in Ihren Ereignisdatenspeicher aufzunehmen.

1. Wählen Sie einen Ressourcentyp. Dies ist die AWS-Service Ressource, auf der Datenereignisse protokolliert werden.

2. Wählen Sie unter Protokollselektorvorlage eine Vorlage aus. Sie können alle Datenereignisse, readOnly-Ereignisse, writeOnly-Ereignisse oder Benutzerdefiniert protokollieren, um einen benutzerdefinierten Protokollselektor zu erstellen.

3. (Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird wie Name in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die JSON Ansicht erweitern.

4. Wenn Sie Benutzerdefiniert ausgewählt haben, erstellen Event-Selektoren unter Advanced einen Ausdruck, der auf den Werten der erweiterten Event-Selektor-Felder basiert.

   Anmerkung

   Selektoren unterstützen nicht die Verwendung von Platzhaltern wie. * Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können SieStartsWith,, oder verwenden EndsWithNotStartsWith, NotEndsWith um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.

   1. Wählen Sie aus den folgenden Feldern.

      • readOnly- readOnly kann so gesetzt werden, dass sie einem Wert von true oder falseentspricht. Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. Get*- oder Describe*-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. Put*-, Delete*- oder Write*-Ereignisse. Um sowohl read- als auch write-Ereignisse zu protokollieren, fügen Sie keinen readOnly-Selektor hinzu.

      • eventName – eventName kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B. PutBucketGetItem, oderGetSnapshotBlock.

      • eventSource— Die Ereignisquelle, die ein- oder ausgeschlossen werden soll. In diesem Feld kann ein beliebiger Operator verwendet werden.

      • eventType— Der Ereignistyp, der ein- oder ausgeschlossen werden soll. Sie können dieses Feld beispielsweise auf „Ungleich“ setzen, AwsServiceEvent um es auszuschließenAWS-Service Ereignisse. Eine Liste der Ereignistypen finden Sie eventTypeunterCloudTrail Inhalt aufzeichnen.

      • sessionCredentialFromKonsole — Ereignisse, die aus einer AWS Management Console Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf Gleich oder Ungleich mit dem Wert von gesetzt werden. true

      • userIdentity.arn — Ereignisse für Aktionen, die von bestimmten Identitäten ausgeführt werden, einschließen oder ausschließen. IAM Weitere Informationen finden Sie unter CloudTrail userIdentity Element.

      • resources.ARN- Sie können jeden Operator mit verwendenresources.ARN, aber wenn Sie „gleich“ oder „ungleich“ verwenden, muss der Wert exakt dem ARN Wert einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert für angegeben haben. resources.type Weitere Informationen finden Sie unter Filterung von Datenereignissen nach resources.ARN.

        Anmerkung

        Sie können das resources.ARN Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall ist. ARNs

      Weitere Informationen zu den ARN Formaten von Datenereignisressourcen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Aktionen, Ressourcen und Bedingungsschlüssel.

   2. Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf Ressourcen setzen. ARN, legen Sie fest, dass der Operator für nicht mit beginnt, und fügen Sie ihn dann in einen S3-Bucket ein, ARN für den Sie keine Ereignisse protokollieren möchten.

      Um den zweiten S3-Bucket hinzuzufügen, wählen Sie + Condition und wiederholen Sie dann die vorherige Anweisung, indem Sie das ARN für einfügen oder nach einem anderen Bucket suchen.

      Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet

      Anmerkung

      Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie eventName ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.

   3. Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise ARN in einem Selektor nicht an, dass ein Wert gleich einem Wert ist, und geben Sie dann an, dass das ARN nicht dem gleichen Wert in einem anderen Selektor entspricht.

5. Erweitern Sie optional die JSONAnsicht, um Ihre erweiterten Event-Selektoren als Block anzuzeigen. JSON

6. Um einen weiteren Ressourcentyp hinzuzufügen, auf dem Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen. Wiederholen Sie die Schritte a bis zu diesem Schritt, um erweiterte Event-Selektoren für den Ressourcentyp zu konfigurieren.

Gehen Sie wie folgt vor, um Netzwerkaktivitätsereignisse in Ihren Ereignisdatenspeicher aufzunehmen.

1. Wählen Sie unter Netzwerkaktivitätsereignisquelle die Quelle für Netzwerkaktivitätsereignisse aus.

2. Wählen Sie unter Protokollselektorvorlage eine Vorlage aus. Sie können wählen, ob alle Netzwerkaktivitätsereignisse, alle Ereignisse, bei denen der Zugriff verweigert wurde, protokolliert werden sollen, oder Benutzerdefiniert wählen, um eine benutzerdefinierte Protokollauswahl zu erstellen, die nach mehreren Feldern filtert, z. B. eventName undvpcEndpointId.

3. (Optional) Geben Sie einen Namen ein, um den Selektor zu identifizieren. Der Name des Selektors wird in der erweiterten Ereignisauswahl als Name aufgeführt und ist sichtbar, wenn Sie die Ansicht erweitern. JSON

4. In der erweiterten Version erstellen Event-Selektoren Ausdrücke, indem sie Werte für Feld, Operator und Wert auswählen. Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.

   1. Um Netzwerkaktivitätsereignisse auszuschließen oder einzubeziehen, können Sie in der Konsole aus den folgenden Feldern wählen.

      • eventName— Sie können jeden Operator mit verwendeneventName. Sie können ihn verwenden, um jedes Ereignis ein- oder auszuschließen, CreateKey z.

      • errorCode— Sie können es verwenden, um nach einem Fehlercode zu filtern. Derzeit wird nur Folgendes unterstützterrorCode:VpceAccessDenied.

      • vpcEndpointId— Identifiziert den VPC Endpunkt, den der Vorgang durchlaufen hat. Sie können jeden beliebigen Operator mit verwendenvpcEndpointId.

   2. Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.

   3. Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.

5. Um eine weitere Ereignisquelle hinzuzufügen, für die Sie Netzwerkaktivitätsereignisse protokollieren möchten, wählen Sie „Netzwerkaktivitätsereignisauswahl hinzufügen“.

6. Erweitern Sie optional die JSONAnsicht, um Ihre erweiterten Event-Selektoren als JSON Block anzuzeigen.

Gehen Sie wie folgt vor, um vorhandene Trail-Ereignisse in Ihren Ereignisdatenspeicher zu kopieren.

1. Wählen Sie den Trail aus, die Sie kopieren möchten. Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im CloudTrail Präfix des S3-Buckets und die Präfixe innerhalb des CloudTrail Präfixes enthalten sind, und überprüft keine Präfixe für andere Dienste. AWS Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, wählen Sie Enter S3 und dann Browse S3 URI, um zu dem Präfix zu navigieren. Wenn der S3-Quell-Bucket für den Trail einen KMS Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS Schlüsselrichtlinie das Entschlüsseln der Daten zulässt CloudTrail . Wenn Ihr S3-Quell-Bucket mehrere KMS Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren, damit CloudTrail die Daten im Bucket entschlüsselt werden können. Weitere Informationen zur Aktualisierung der KMS Schlüsselrichtlinie finden Sie unterKMSwichtige Richtlinie für die Entschlüsselung von Daten im S3-Quell-Bucket.

2. Wählen Sie den Zeitraum für das Kopieren der Ereignisse aus. CloudTrail überprüft das Präfix und den Namen der Protokolldatei, um sicherzustellen, dass der Name ein Datum zwischen dem ausgewählten Start- und Enddatum enthält, bevor versucht wird, Trail-Ereignisse zu kopieren. Sie können einen Relative range (Relativen Bereich) oder einen Absolute range (Absoluten Bereich) wählen. Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum aus, der vor der Erstellung des Ereignisdatenspeichers liegt.

   Anmerkung

   CloudTrail kopiert nur Trail-Ereignisse, die eventTime innerhalb der Aufbewahrungsfrist des Event-Datenspeichers liegen. Wenn die Aufbewahrungsfrist eines Event-Datenspeichers beispielsweise 90 Tage beträgt, CloudTrail werden keine Trail-Ereignisse kopiert, die eventTime älter als 90 Tage sind.

   • Wenn Sie Relativer Bereich wählen, können Sie wählen, ob Ereignisse kopiert werden sollen, die in den letzten 6 Monaten, 1 Jahr, 2 Jahren, 7 Jahren oder in einem benutzerdefinierten Bereich protokolliert wurden. CloudTrail kopiert die Ereignisse, die innerhalb des ausgewählten Zeitraums protokolliert wurden.

   • Wenn Sie „Absoluter Bereich“ wählen, können Sie ein bestimmtes Start- und Enddatum wählen. CloudTrail kopiert die Ereignisse, die zwischen dem ausgewählten Start- und Enddatum aufgetreten sind.

3. Wählen Sie für Berechtigungen eine der folgenden IAM Rollenoptionen aus. Wenn Sie eine vorhandene IAM Rolle auswählen, stellen Sie sicher, dass die IAM Rollenrichtlinie die erforderlichen Berechtigungen bereitstellt. Weitere Informationen zur Aktualisierung der IAM Rollenberechtigungen finden Sie unterIAMBerechtigungen für das Kopieren von Trail-Ereignissen.

   • Wählen Sie Neue Rolle erstellen (empfohlen), um eine neue IAM Rolle zu erstellen. Geben Sie IAM unter Rollennamen eingeben einen Namen für die Rolle ein. CloudTrail erstellt automatisch die erforderlichen Berechtigungen für diese neue Rolle.

   • Wählen Sie Benutzerdefinierte IAM Rolle verwenden ausARN, um eine benutzerdefinierte IAM Rolle zu verwenden, die nicht aufgeführt ist. Geben Sie für IAM Rolle ARN eingeben den ein IAMARN.

   • Wählen Sie eine vorhandene IAM Rolle aus der Drop-down-Liste aus.

Wählen Sie Next (Weiter) aus, um Ihre Auswahl zu überprüfen.

Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie Ereignisdatenspeicher erstellen aus.

Der neue Ereignisdatenspeicher ist in der Tabelle Ereignisdatenspeicher auf der Seite Ereignisdatenspeicher sichtbar.

Ab diesem Zeitpunkt erfasst der Ereignisdatenspeicher Ereignisse, die mit den erweiterten Ereignisauswahlen übereinstimmen (wenn die Option Ereignisse aufnehmen ausgewählt ist). Ereignisse, die aufgetreten sind, bevor Sie den Ereignisdatenspeicher erstellt haben, befinden sich nicht im Ereignisdatenspeicher, es sei denn Sie haben sich für das Kopieren der bestehenden Trail-Ereignissen entschieden.