Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ereignisse an CloudWatch Logs senden
Wenn du deinen Trail so konfigurierst, dass er Ereignisse an CloudWatch Logs CloudTrail sendet, werden nur die Ereignisse gesendet, die deinen Trail-Einstellungen entsprechen. Wenn du deinen Trail beispielsweise so konfigurierst, dass nur Datenereignisse protokolliert werden, sendet dein Trail nur Datenereignisse an deine CloudWatch Logs-Protokollgruppe. CloudTrail unterstützt das Senden von Daten, Erkenntnissen und Verwaltungsereignissen an CloudWatch Logs. Weitere Informationen finden Sie unter Mit CloudTrail Protokolldateien arbeiten.
Anmerkung
Nur das Verwaltungskonto kann mithilfe der Konsole eine CloudWatch Logs-Protokollgruppe für einen Organisations-Trail konfigurieren. Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe mithilfe der UpdateTrail API-Operationen AWS CLI oder CloudTrail CreateTrail oder konfigurieren.
Um Ereignisse an eine CloudWatch Logs-Protokollgruppe zu senden:
-
Stellen Sie sicher, dass Sie über ausreichende Berechtigungen zum Erstellen oder Angeben einer IAM-Rolle verfügen. Weitere Informationen finden Sie unter Erteilen der Berechtigung zum Anzeigen und Konfigurieren von Amazon CloudWatch Logs-Informationen auf der CloudTrail Konsole.
-
Wenn Sie die CloudWatch Logs-Protokollgruppe mithilfe von konfigurieren AWS CLI, stellen Sie sicher, dass Sie über ausreichende Berechtigungen verfügen, um in der von Ihnen angegebenen Protokollgruppe einen CloudWatch Logs-Log-Stream zu erstellen und CloudTrail Ereignisse an diesen Log-Stream zu übermitteln. Weitere Informationen finden Sie unter Erstellen eines Richtliniendokuments.
-
Erstellen Sie einen neuen Trail oder wählen Sie einen vorhandenen aus. Weitere Informationen finden Sie unter Erstellen und Aktualisieren eines Trails mit der Konsole.
-
Erstellen Sie eine Protokollgruppe oder wählen Sie eine vorhandene aus.
-
Geben Sie eine IAM-Rolle an. Wenn Sie eine vorhandene IAM-Rolle für einen Organisations-Trail ändern, müssen Sie die Richtlinie manuell aktualisieren, damit die Protokollierung für den Organisations-Trail aktiv wird. Weitere Informationen finden Sie in diesem Richtlinienbeispiel und unter Erstellen eines Trails für eine Organisation.
-
Fügen Sie eine Rollenrichtlinie hinzu oder verwenden Sie die Standardwerte.
Inhalt
Konfiguration der CloudWatch Protokollüberwachung mit der Konsole
Sie können das verwenden AWS Management Console , um Ihren Trail so zu konfigurieren, dass Ereignisse zur Überwachung an CloudWatch Logs gesendet werden.
Erstellen einer Protokollgruppe oder Auswählen einer vorhandenen Protokollgruppe
CloudTrail verwendet eine CloudWatch Logs-Protokollgruppe als Übermittlungsendpunkt für Protokollereignisse. Sie können eine Protokollgruppe erstellen oder eine vorhandene auswählen.
Erstellen oder spezifizieren Sie eine Protokollgruppe für einen vorhandenen Trail wie folgt:
-
Stellen Sie sicher, dass Sie sich mit einem Administratorbenutzer oder einer Administratorrolle mit ausreichenden Rechten anmelden, um die CloudWatch Logs-Integration zu konfigurieren. Weitere Informationen finden Sie unter Erteilen der Berechtigung zum Anzeigen und Konfigurieren von Amazon CloudWatch Logs-Informationen auf der CloudTrail Konsole.
Anmerkung
Nur das Verwaltungskonto kann mithilfe der Konsole eine CloudWatch Logs-Protokollgruppe für einen Organisationstrail konfigurieren. Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe mithilfe der
UpdateTrailAPI-Operationen AWS CLI oder CloudTrailCreateTrailoder konfigurieren. Öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/
. -
Wählen Sie den Trail-Namen aus. Wenn Sie einen für alle Regionen geltenden Trail auswählen, werden Sie zu der Region weitergeleitet, in der dieser Trail erstellt wurde. Sie können eine Protokollgruppe erstellen oder eine vorhandene Protokollgruppe in derselben Region auswählen, in der sich der Trail befindet.
Anmerkung
Ein Trail, der für alle Regionen gilt, sendet Protokolldateien aus allen Regionen an die von Ihnen angegebene CloudWatch Logs-Protokollgruppe.
-
Wählen Sie unter CloudWatch Logs die Option Bearbeiten aus.
-
Wählen Sie für CloudWatch Protokolle die Option Aktiviert aus.
-
Wählen Sie unter Protokollgruppenname die Option Neu aus, um eine neue Protokollgruppe zu erstellen, oder Bestehend, um eine bestehende Gruppe zu verwenden. Wenn Sie Neu wählen, CloudTrail gibt Sie einen Namen für die neue Protokollgruppe an, oder Sie können einen Namen eingeben. Weitere Informationen zur Namensgebung finden Sie unter CloudWatch Benennung von Protokollgruppen und Protokolldatenströmen für CloudTrail.
-
Wenn Sie Vorhanden wählen, wählen Sie eine Protokollgruppe aus der Dropdown-Liste aus.
-
Wählen Sie unter Rollenname die Option Neu aus, um eine neue IAM-Rolle für Berechtigungen zum Senden von Protokollen an Logs zu CloudWatch erstellen. Wählen Sie Vorhanden, um eine vorhandene IAM-Rolle aus der Dropdown-Liste auszuwählen. Die Richtlinienanweisung für die neue oder vorhandene Rolle wird angezeigt, wenn Sie das Richtliniendokument erweitern. Weitere Informationen über diese Rolle finden Sie unter Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung.
Anmerkung
Beim Konfigurieren eines Trails können Sie einen S3 Bucket und ein SNS-Thema auswählen, die zu einem anderen Konto gehören. Wenn Sie jedoch Ereignisse CloudTrail an eine CloudWatch Logs-Protokollgruppe übermitteln möchten, müssen Sie eine Protokollgruppe auswählen, die in Ihrem aktuellen Konto vorhanden ist.
-
Wählen Sie Änderungen speichern aus.
Auswählen einer IAM-Rolle
Sie können eine Rolle angeben, von der CloudTrail die Übermittlung von Ereignissen an den Protokollstream übernommen werden soll.
So wählen Sie eine Rolle aus:
-
Standardmäßig ist
CloudTrail_CloudWatchLogs_Roleausgewählt. Die Standardrollenrichtlinie verfügt über die erforderlichen Berechtigungen, um einen CloudWatch Log-Log-Stream in einer von Ihnen angegebenen Protokollgruppe zu erstellen und CloudTrail Ereignisse an diesen Log-Stream zu übermitteln.Anmerkung
Wenn Sie diese Rolle für eine Protokollgruppe eines Organisations-Trails verwenden möchten, müssen Sie die Richtlinie nach dem Erstellen der Rolle manuell ändern. Weitere Informationen finden Sie in diesem Richtlinienbeispiel und unter Erstellen eines Trails für eine Organisation.
-
Rufen Sie die AWS Identity and Access Management Konsole unter https://console.aws.amazon.com/iam/
auf, um die Rolle zu überprüfen. -
Wählen Sie Rollen und dann die CloudWatchLogsRolle CloudTrail _ _aus.
-
Erweitern Sie auf der Registerkarte Berechtigungen die Richtlinie, um ihren Inhalt anzuzeigen.
-
-
Sie können eine andere Rolle angeben, müssen jedoch die erforderliche Rollenrichtlinie an die bestehende Rolle anhängen, wenn Sie sie zum Senden von Ereignissen an CloudWatch Logs verwenden möchten. Weitere Informationen finden Sie unter Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung.
Ereignisse in der CloudWatch Konsole anzeigen
Nachdem Sie Ihren Trail so konfiguriert haben, dass Ereignisse an Ihre Protokollgruppe CloudWatch Logs gesendet werden, können Sie die Ereignisse in der CloudWatch Konsole anzeigen. CloudTrail übermittelt Ereignisse in der Regel innerhalb von durchschnittlich etwa 5 Minuten nach einem API-Aufruf an Ihre Protokollgruppe. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter AWS CloudTrail Service Level Agreement
Um Ereignisse in der CloudWatch Konsole anzuzeigen
Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/
. -
Wählen Sie im linken Navigationsbereich unter Protokolle die Option Protokollgruppen aus.
-
Wählen Sie die Protokollgruppe aus, die Sie für den Trail angegeben haben.
-
Wählen Sie den Protokollstream aus, den Sie anzeigen möchten.
-
Wählen Sie ein vom Trail protokolliertes Ereignis aus, um Details dazu aufzurufen.
Anmerkung
In der Spalte Zeit (UTC) in der CloudWatch Konsole wird angezeigt, wann das Ereignis an Ihre Protokollgruppe übermittelt wurde. Die tatsächliche Uhrzeit, bis zu der das Ereignis protokolliert wurde CloudTrail, finden Sie in dem eventTime Feld.
Konfiguration der CloudWatch Protokollüberwachung mit dem AWS CLI
Sie können das AWS CLI zur Konfiguration verwenden, CloudTrail um Ereignisse zur Überwachung an CloudWatch Logs zu senden.
Erstellen einer Protokollgruppe
-
Wenn Sie noch keine Protokollgruppe haben, erstellen Sie mit dem
create-log-groupBefehl CloudWatch Logs eine Logs-Protokollgruppe als Übermittlungsendpunkt für Protokollereignisse. CloudWatchaws logs create-log-group --log-group-namenameIm folgenden Beispiel wird eine Protokollgruppe mit dem Namen
CloudTrail/logserstellt:aws logs create-log-group --log-group-name CloudTrail/logs -
Rufen Sie den ARN (Amazon Resource Name) der Protokollgruppe ab.
aws logs describe-log-groups
Erstellen einer Rolle
Erstellen Sie eine Rolle CloudTrail , die es ihr ermöglicht, Ereignisse an die Protokollgruppe CloudWatch Logs zu senden. Der IAM-Befehl create-role benötigt zwei Parameter, nämlich einen Rollennamen und einen Dateipfad, um das Dokument mit der Rollenrichtlinie im JSON-Format verwenden zu können. Das von Ihnen verwendete Richtliniendokument gewährt AssumeRole Berechtigungen für CloudTrail. Über den Befehl create-role wird die Rolle mit den erforderlichen Berechtigungen generiert.
Zum Erstellen der JSON-Datei, die das Richtliniendokument enthält, öffnen Sie einen Texteditor und speichern den folgenden Richtlinieninhalt in einer Datei mit dem Namen assume_role_policy_document.json.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Führen Sie den folgenden Befehl aus, um die Rolle mit den AssumeRole Berechtigungen für zu erstellen CloudTrail.
aws iam create-role --role-namerole_name--assume-role-policy-document file://<path to assume_role_policy_document>.json
Notieren Sie sich nach der Ausführung des Befehls den Rollen-ARN in der Ausgabe.
Erstellen eines Richtliniendokuments
Erstellen Sie das folgende Rollenrichtlinien-Dokument für CloudTrail. Dieses Dokument gewährt CloudTrail die erforderlichen Berechtigungen, um einen CloudWatch Log-Log-Stream in der von Ihnen angegebenen Protokollgruppe zu erstellen und CloudTrail Ereignisse an diesen Log-Stream zu übermitteln.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] } ] }
Speichern Sie das Richtliniendokument in einer Datei mit dem Namen role-policy-document.json.
Wenn Sie eine Richtlinie erstellen, die auch für Organisations-Trails verwendet werden soll, müssen Sie sie etwas anders konfigurieren. Die folgende Richtlinie gewährt beispielsweise CloudTrail die erforderlichen Berechtigungen, um einen CloudWatch Logs-Log-Stream in der von Ihnen angegebenen Protokollgruppe zu erstellen und CloudTrail Ereignisse an diesen Log-Stream zu übermitteln, und zwar sowohl für Pfade im AWS Konto 111111111111 als auch für Organisationspfade, die im Konto 1111111111 erstellt wurden und auf die AWS Organizations Organisation mit der ID o-exampleorgid angewendet werden:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }
Weitere Informationen zu Organisations-Trails finden Sie unter Erstellen eines Trails für eine Organisation.
Führen Sie den folgenden Befehl aus, damit die Richtlinie für die Rolle gilt.
aws iam put-role-policy --role-namerole_name--policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json
Aktualisieren des Trails
Aktualisieren Sie den Trail mithilfe des Befehls mit den Protokollgruppen- und Rolleninformationen. CloudTrail update-trail
aws cloudtrail update-trail --nametrail_name--cloud-watch-logs-log-group-arnlog_group_arn--cloud-watch-logs-role-arnrole_arn
Weitere Informationen zu den AWS CLI Befehlen finden Sie in der AWS CloudTrail Befehlszeilenreferenz.
Einschränkung
CloudWatch In den Protokollen ist EventBridge jeweils eine maximale Ereignisgröße von 256 KB zulässig. Obwohl die meisten Dienstereignisse eine maximale Größe von 256 KB haben, haben einige Dienste immer noch größere Ereignisse. CloudTrail sendet diese Ereignisse nicht an CloudWatch Logs oder EventBridge.
Ab der CloudTrail Ereignisversion 1.05 haben Ereignisse eine maximale Größe von 256 KB. Dies soll dazu beitragen, die Ausnutzung durch böswillige Akteure zu verhindern und die Nutzung von Ereignissen durch andere AWS Dienste wie CloudWatch Logs und EventBridge zu ermöglichen.
