Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie einen Pfad, um Verwaltungsereignisse zu protokollieren
Für Ihren ersten Trail empfehlen wir, einen Trail zu erstellen, der alle [Verwaltungsereignisse](cloudtrail-concepts.md#cloudtrail-concepts-management-events) protokolliert und keine [Datenereignisse](cloudtrail-concepts.md#cloudtrail-concepts-data-events) oder Insights-Ereignisse protokolliert. Beispiele für Verwaltungsereignisse sind etwa Sicherheitsereignisse wie IAM `CreateUser` und `AttachRolePolicy`-Ereignisse, Ressourcenereignisse wie `RunInstances` und `CreateBucket` und viele mehr. Sie erstellen einen Amazon S3 S3-Bucket, in dem Sie die Protokolldateien für den Trail als Teil der Erstellung des Trails in der CloudTrail Konsole speichern.
**Anmerkung**
AWS Control Tower richtet ein neues CloudTrail Traillogging-Management-Event ein, wenn Sie eine landing zone einrichten. Es handelt sich um ein Protokoll auf Organisationsebene, was bedeutet, dass alle Verwaltungsereignisse für das Verwaltungskonto und alle Mitgliedskonten in der Organisation protokolliert werden. Weitere Informationen finden Sie [AWS Control Tower im *AWS CloudTrail Benutzerhandbuch* unter Informationen zur Anmeldung](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html).
In diesem Tutorial wird davon ausgegangen, dass Sie Ihren ersten Trail erstellen. Abhängig von der Anzahl der Trails, die Sie in Ihrem AWS Konto haben, und davon, wie diese Trails konfiguriert sind, kann das folgende Verfahren Kosten verursachen oder auch nicht. CloudTrail speichert Protokolldateien in einem Amazon S3 S3-Bucket, was Kosten verursacht. Weitere Informationen zu Preisen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Amazon-S3-Preise](https://aws.amazon.com/s3/pricing/).
**So erstellen Sie einen Trail**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie in der **Regionsauswahl** die AWS Region aus, in der Ihr Trail erstellt werden soll. Hierbei handelt es sich um die Home-Region für den Trail.
**Anmerkung**
Die Heimatregion ist die einzige Region AWS-Region , in der Sie den Trail aktualisieren können, nachdem er erstellt wurde.
1. Wählen Sie auf der CloudTrail Service-Startseite, der **Trails-Seite** oder im Abschnitt **Trails** der **Dashboard-Seite** die Option **Trail erstellen** aus.
1. Geben Sie Ihrem Trail unter **Trail name (Trail-Name)** einen Namen an, z. B. *management-events*. Verwenden Sie dazu am besten einen Namen, der den Zweck des Trails schnell identifiziert. In diesem Fall erstellen Sie einen Trail, der Verwaltungsereignisse protokolliert.
1. Behalten Sie die Standardeinstellung **Für alle Konten in meiner Organisation aktivieren** bei. Diese Option kann nur geändert werden, wenn Sie Konten in Organizations konfiguriert haben.
1. Wählen Sie in **Speicherort** für **Neuen S3 Bucket erstellen**, um einen neuen Bucket zu erstellen. Wenn Sie einen Bucket erstellen, werden die erforderlichen Bucket-Richtlinien CloudTrail erstellt und angewendet. Wenn Sie sich dafür entscheiden, einen neuen S3-Bucket zu erstellen, muss Ihre IAM-Richtlinie die Genehmigung für die `s3:PutEncryptionConfiguration` Aktion enthalten, da die serverseitige Verschlüsselung standardmäßig für den Bucket aktiviert ist. Geben Sie Ihrem Bucket einen Namen, anhand dessen er leicht identifiziert werden kann.
Um das Auffinden Ihrer Logs zu erleichtern, erstellen Sie in einem vorhandenen Bucket einen neuen Ordner (auch als *Präfix* bezeichnet), um Ihre CloudTrail Logs zu speichern.
**Anmerkung**
Jeder Amazon-S3-Bucket muss einen global eindeutigen Namen haben. Weitere Informationen finden Sie unter [Benennungsregeln für Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) im *Benutzerhandbuch zu Amazon Simple Storage Service*.
1. Deaktivieren Sie das Kontrollkästchen, um die **SSE-KMS-Verschlüsselung der Protokolldatei zu deaktivieren**. Standardmäßig werden die Protokolldateien mit SSE-S3-Verschlüsselung verschlüsselt. Weitere Informationen zu dieser Einstellung finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)).
1. Belassen Sie die Standardeinstellungen unter **Zusätzliche Einstellungen**.
1. **Behalten Sie die Standardeinstellungen für Logs bei. CloudWatch ** Senden Sie vorerst keine Protokolle an Amazon CloudWatch Logs.
1. (Optional) Unter **Tags** können Sie bis zu 50 Tag-Schlüsselpaare hinzufügen, um den Zugriff auf Ihren Trail zu identifizieren, zu sortieren und zu kontrollieren. Mithilfe von Tags können Sie Ihre CloudTrail Trails und andere Ressourcen identifizieren, z. B. die Amazon S3 S3-Buckets, die CloudTrail Protokolldateien enthalten. Sie könnten beispielsweise ein Tag mit dem Namen **Compliance** und dem Wert **Auditing** anfügen.
**Anmerkung**
Sie können zwar Tags zu Trails hinzufügen, wenn Sie sie in der CloudTrail Konsole erstellen, und Sie können einen Amazon S3 S3-Bucket erstellen, um Ihre Protokolldateien in der CloudTrail Konsole zu speichern, aber Sie können dem Amazon S3 S3-Bucket keine Tags von der CloudTrail Konsole aus hinzufügen. Weitere Informationen zum Anzeigen und Ändern der Eigenschaften eines Amazon-S3-Buckets, einschließlich Hinzufügen von Tags zu einem Bucket, finden Sie im [https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html).
Wenn Sie fertig sind, klicken Sie auf **Weiter**.
1. Wählen Sie auf der Seite **Protokollereignisse auswählen** die zu protokollierenden Ereignistypen aus. Behalten Sie für diesen Trail die Standardeinstellung **Verwaltungsereignisse** bei. Wählen Sie im Bereich **Verwaltungsereignisse** aus, dass sowohl **Lese**- als auch **Schreib**ereignisse protokolliert werden sollen, falls diese nicht bereits ausgewählt sind. Lassen Sie die Kontrollkästchen für ** AWS KMS Ereignisse ausschließen** und **Amazon RDS Data API-Ereignisse ausschließen** leer, um alle Verwaltungsereignisse zu protokollieren.
![\[Die Seite Trail erstellen, Einstellungen für den Ereignistyp\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)
1. Behalten Sie die Standardeinstellungen für **Datenereignisse**, **Insights-Ereignisse** und **Netzwerkaktivitätsereignisse** bei. Dieser Trail protokolliert keine Datenereignisse, Insights-Ereignisse oder Netzwerkaktivitätsereignisse. Wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Überprüfen und erstellen** die Einstellungen, die Sie für Ihren Trail ausgewählt haben. Wählen Sie **Bearbeiten** für einen Abschnitt aus, um zurückzugehen und Änderungen vorzunehmen. Wenn Sie bereit sind, Ihren Trail zu erstellen, wählen Sie **Trail erstellen**.
1. Auf der Seite **Trails** wird Ihr neuer Trail in der Tabelle angezeigt. Beachten Sie, dass der Trail standardmäßig auf **Multi-Region-Trail** eingestellt ist und dass die Protokollierung für den Trail standardmäßig aktiviert ist.
![\[Die Seite Trail erstellen, Einstellungen für den Ereignistyp\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)
Weitere Informationen zu Pfaden finden Sie unter[Mit CloudTrail Trails arbeiten](cloudtrail-trails.md).
# Protokolldateien ansehen
Innerhalb von durchschnittlich etwa 5 Minuten nach der Erstellung Ihres ersten Trails werden CloudTrail die ersten Protokolldateien für Ihren Trail an den Amazon S3 S3-Bucket gesendet. Sie können diese Dateien anzeigen und sich mit ihren Informationen vertraut machen.
**Anmerkung**
CloudTrail übermittelt Protokolle in der Regel innerhalb von durchschnittlich etwa 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter [AWS CloudTrail Service Level Agreement](https://aws.amazon.com/cloudtrail/sla).
Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), CloudTrail wird versucht, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen. Für diese attempted-to-deliver Ereignisse fallen Standardgebühren an. CloudTrail Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.
**Zeigen Sie Protokolldateien wie folgt an:**
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. Wählen Sie im Navigationsbereich **Trails** aus. Suchen Sie auf der Seite **Trails** nach dem Namen des Trails, den Sie gerade erstellt haben (im Beispiel*management-events*).
1. Wählen Sie in der Zeile für den Trail den Wert für den S3-Bucket aus.
1. Die Amazon S3 S3-Konsole wird geöffnet und zeigt zwei Ordner für den Bucket an: `CloudTrail-Digest` und`CloudTrail`. Wählen Sie den **CloudTrail**Ordner aus, um die Protokolldateien anzuzeigen.
1. Wenn Sie einen Trail mit mehreren Regionen erstellt haben, gibt es für jeden AWS-Region einen Ordner. Wählen Sie den Ordner aus AWS-Region , in dem Sie die Protokolldateien überprüfen möchten. Beispiel: Wenn Sie die Protokolldateien für die Region USA Ost (Ohio) überprüfen möchten, wählen Sie **us-east-2**.
![\[Ein Amazon-S3-Bucket für einen Trail mit der Struktur für Protokolldateien in AWS -Regionen\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)
1. Navigieren Sie durch die Bucket-Ordnerstruktur zu Jahr, Monat und Tag, für den Sie Aktivitätsprotokolle der betreffenden region überprüfen möchten. Für diesen Tag gibt es eine Reihe von Dateien. Die Namen der Dateien beginnen mit Ihrer AWS-Konto ID und enden mit der Erweiterung`.gz`. Wenn Ihre Konto-ID beispielsweise lautet*123456789012*, würden Sie Dateien mit ähnlichen Namen sehen: *123456789012* \$1 \$1 CloudTrail *us-east-2* \$1 *20240512T0000Z\$1EXAMPLE* .json.gz.
Um diese Dateien anzuzeigen, können Sie sie herunterladen, entpacken und dann in einem Texteditor oder JSON-Dateiviewer anzeigen. Einige Browser unterstützen auch die Anzeige von .gz- und JSON-Dateien direkt. Wir empfehlen die Verwendung eines JSON-Viewers, da dies es einfacher macht, die Informationen in CloudTrail -Protokolldateien zu analysieren.