Erstellen Sie eine benutzerdefinierte Integration mit der Konsole - AWS CloudTrail
(Optional) Berechnen Sie einen Prüfsummenwert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine benutzerdefinierte Integration mit der Konsole

Sie können CloudTrail damit Benutzeraktivitätsdaten aus beliebigen Quellen in Ihren Hybridumgebungen protokollieren und speichern, z. B. interne oder SaaS-Anwendungen, die vor Ort oder in der Cloud gehostet werden, virtuelle Maschinen oder Container. Führen Sie die erste Hälfte dieses Verfahrens in der CloudTrail Lake-Konsole aus und rufen Sie dann die PutAuditEventsAPIauf, um Ereignisse aufzunehmen. Geben Sie dabei Ihren Kanal ARN und Ihre Event-Payload an. Nachdem Sie die PutAuditEvents API zur Aufnahme Ihrer Anwendungsaktivitäten verwendet haben, können Sie CloudTrail Lake verwenden CloudTrail, um die Daten zu suchen, abzufragen und zu analysieren, die von Ihren Anwendungen protokolliert wurden.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im Navigationsbereich unter Lake die Option Integrationen aus.

  3. Geben Sie auf der Seite Integration hinzufügen einen Namen für Ihren Kanal ein. Der Name kann eine Länge von 3–128 Zeichen haben. Namen dürfen nur Buchstaben, Zahlen, Punkte, Unterstriche und Schrägstriche enthalten.

  4. Wählen Sie My custom integration (Meine benutzerdefinierte Integration).

  5. Wählen Sie unter Event delivery location (Ereignisübermittlungsort) aus, ob dieselben Aktivitätsereignisse in vorhandenen Ereignisdatenspeichern protokolliert werden sollen, oder ob Sie einen neuen Ereignisdatenspeicher erstellen möchten.

    Wenn Sie einen neuen Ereignisdatenspeicher erstellen, geben Sie einen Namen für den Ereignisdatenspeicher ein und geben Sie die Aufbewahrungsdauer in Tagen an. Sie können die Ereignisdaten bis zu 3 653 Tage (etwa 10 Jahre) in einem Ereignisdatenspeicher speichern, wenn Sie sich für die Preisoption mit verlängerbarer Aufbewahrung von einem Jahr entscheiden, oder bis zu 2 557 Tage (etwa 7 Jahre), wenn Sie sich für die Preisoption mit siebenjähriger Aufbewahrung entscheiden.

    Wenn Sie Aktivitätsereignisse in einem oder mehreren vorhandenen Ereignisdatenspeichern protokollieren möchten, wählen Sie die Ereignisdatenspeicher aus der Liste aus. Die Ereignisdatenspeicher können nur Aktivitätsereignisse enthalten. Der Ereignistyp in der Konsole muss Events from integrations (Ereignisse aus Integrationen) sein. In der API muss der eventCategory Wert seinActivityAuditLog.

  6. Konfigurieren Sie unter Resource policy (Ressourcenrichtlinie) die Ressourcenrichtlinie für den Kanal der Integration. Ressourcenrichtlinien sind JSON Richtliniendokumente, in denen festgelegt ist, welche Aktionen ein bestimmter Hauptbenutzer mit der Ressource ausführen kann und unter welchen Bedingungen. Die in der Ressourcenrichtlinie als Hauptbenutzer definierten Konten können die aufrufen PutAuditEventsAPI, um Ereignisse an deinen Kanal weiterzuleiten.

    Anmerkung

    Wenn du keine Ressourcenrichtlinie für den Kanal erstellst, kann nur der Kanalbesitzer den PutAuditEvents API auf dem Kanal aufrufen.

    1. (Optional) Stellen Sie eine eindeutige externe ID zur Verfügung, um eine zusätzliche Schutzebene zu bieten. Die externe ID ist eine eindeutige Zeichenfolge, wie beispielsweise eine Konto-ID, oder eine zufällig generierte Zeichenfolge, um Verwirrung des Stellvertreters zu vermeiden.

      Anmerkung

      Wenn die Ressourcenrichtlinie eine externe ID enthält, PutAuditEvents API müssen alle Aufrufe von die externe ID enthalten. Wenn die Richtlinie jedoch keine externe ID definiert, können Sie sie trotzdem aufrufen PutAuditEvents API und einen externalId Parameter angeben.

    2. Wählen Sie AWS Konto hinzufügen, um in der Ressourcenrichtlinie für den Kanal jede AWS Konto-ID anzugeben, die als Principal hinzugefügt werden soll.

  7. (Optional) Im Bereich Tags können Sie bis zu 50 Tag-Schlüssel- und Wertepaare hinzufügen, um den Zugriff auf Ihren Ereignisdatenspeicher und -kanal zu identifizieren, zu sortieren und zu steuern. Weitere Informationen dazu, wie Sie mithilfe von IAM Richtlinien den Zugriff auf einen Ereignisdatenspeicher auf der Grundlage von Tags autorisieren können, finden Sie unterBeispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags. Weitere Informationen darüber, wie Sie Tags verwenden können AWS, finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz

  8. Wenn Sie bereit sind, die neue Integration zu erstellen, wählen Sie Integration hinzufügen. Es gibt keine Bewertungsseite. CloudTrail erstellt die Integration, aber um Ihre benutzerdefinierten Ereignisse zu integrieren, müssen Sie den Kanal ARN in einer PutAuditEventsAnfrage angeben.

  9. Rufen Sie den PutAuditEvents API auf, in den Sie Ihre Aktivitätsereignisse aufnehmen CloudTrail möchten. Sie können bis zu 100 Aktivitätsereignisse (oder bis zu 1 MB) pro PutAuditEvents-Anforderung hinzufügen. Sie benötigen den KanalARN, den Sie in den vorherigen Schritten erstellt haben, die Payload der Ereignisse, die Sie hinzufügen CloudTrail möchten, und die externe ID (sofern in Ihrer Ressourcenrichtlinie angegeben). Stellen Sie sicher, dass die Event-Payload keine sensiblen oder persönlich identifizierbaren Informationen enthält, bevor Sie sie in die Payload aufnehmen. CloudTrail Ereignisse, in die Sie aufnehmen, müssen dem folgen. CloudTrail CloudTrail Ereignisschema für Lake Integrations

    Tipp

    Verwenden Sie diese AWS CloudShellOption, um sicherzustellen, dass Sie die AWS APIs aktuellste Version verwenden.

    Die folgenden Beispiele zeigen, wie der put-audit-events CLI Befehl verwendet wird. Die Parameter --audit-events und --channel-arn müssen angegeben werden. Sie benötigen den ARN Kanal, den Sie in den vorherigen Schritten erstellt haben, den Sie von der Seite mit den Integrationsdetails kopieren können. Der Wert von --audit-events ist ein JSON Array von Ereignisobjekten. --audit-eventsenthält eine erforderliche ID aus dem Ereignis, die erforderliche Nutzlast des Ereignisses als Wert von und eine optionale Prüfsumme EventData, mit deren Hilfe die Integrität des Ereignisses nach der Aufnahme in überprüft werden kann. CloudTrail

    aws cloudtrail-data put-audit-events \
--region region \
--channel-arn $ChannelArn \
--audit-events \
id="event_ID",eventData='"{event_payload}"' \
id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"

    Nachfolgend finden Sie einen Beispielbefehl mit zwei Ereignisbeispielen.

    aws cloudtrail-data put-audit-events \
--region us-east-1 \
--channel-arn arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--audit-events \
id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
\}"' \
id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
\}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"

    Der folgende Beispielbefehl fügt den --cli-input-json Parameter zur Angabe einer JSON Datei (custom-events.json) mit der Ereignisnutzlast hinzu.

    aws cloudtrail-data put-audit-events \
--channel-arn $channelArn \
--cli-input-json file://custom-events.json \
--region us-east-1

    Im Folgenden finden Sie den Beispielinhalt der JSON Beispieldatei,custom-events.json.

    {
    "auditEvents": [
      {
        "eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
        \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
        \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
        \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
        \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
        \"additionalEventData\":{\"key\":\"value\"},
        \"sourceIPAddress\":\"source_IP_address\",\"recipientAccountId\":\"recipient_account_ID\"}",
        "id": "1"
      }
   ]
}

(Optional) Berechnen Sie einen Prüfsummenwert

Mithilfe der Prüfsumme, die Sie EventDataChecksum in einer PutAuditEvents Anfrage als Wert für angeben, können Sie überprüfen, ob das Ereignis CloudTrail empfangen wird, das mit der Prüfsumme übereinstimmt. Sie hilft Ihnen dabei, die Integrität von Ereignissen zu überprüfen. Der Prüfsummenwert ist ein SHA256 Base64-Algorithmus, den Sie berechnen, indem Sie den folgenden Befehl ausführen.

printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
        \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
        \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
        \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
        \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
        \"additionalEventData\":{\"key\":\"value\"},
        \"sourceIPAddress\":\"source_IP_address\",
        \"recipientAccountId\":\"recipient_account_ID\"}",
        "id": "1"}" \
 | openssl dgst -binary -sha256 | base64

Der Befehl gibt die Prüfsumme zurück. Im Folgenden wird ein Beispiel gezeigt.

EXAMPLEHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=

Der Prüfsummenwert wird der Wert von EventDataChecksum in Ihrer PutAuditEvents-Anfrage. Wenn die Prüfsumme nicht mit der für das angegebene Ereignis übereinstimmt, wird das Ereignis mit einem CloudTrail Fehler zurückgewiesen. InvalidChecksum