Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Aktuelle Managementereignisse anzeigen mit dem AWS CLI
Mit dem **aws cloudtrail lookup-events** Befehl können Sie nach CloudTrail Verwaltungsereignissen der letzten 90 Tage für den aktuellen AWS-Region Zeitraum suchen. Der **aws cloudtrail lookup-events** Befehl zeigt Ereignisse AWS-Region dort an, wo sie aufgetreten sind.
Die Suche unterstützt die folgenden Attribute für Verwaltungsereignisse:
+ AWS Zugriffstaste
+ Ereignis-ID
+ Ereignisname
+ Ereignisquelle
+ Nur Lesezugriff
+ Ressourcenname
+ Ressourcentyp
+ Benutzername
Alle Attribute sind optional.
Der Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/lookup-events.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/lookup-events.html) umfasst die folgenden Optionen:
+ `--max-items`**— Die Gesamtzahl der Elemente, die in der Ausgabe des Befehls zurückgegeben werden sollen. Ist die Gesamtzahl der verfügbaren Elemente größer als der angegebene Wert, wird ein `NextToken` in der Ausgabe des Befehls bereitgestellt. Um die Seitennummerierung fortzusetzen, geben Sie den `NextToken`-Wert im starting-Token-Argument eines nachfolgenden Befehls an. Verwenden Sie das `NextToken`-Antwortelement nicht direkt außerhalb der AWS CLI.
+ `--start-time`**— Gibt an, dass nur Ereignisse zurückgegeben werden, die nach oder zum angegebenen Zeitpunkt eintreten. Falls die angegebene Anfangszeit nach der angegebenen Endzeit liegt, wird ein Fehler zurückgegeben.
+ `--lookup-attributes`**— Enthält eine Liste von Suchattributen. Derzeit kann die Liste nur ein Element enthalten.
+ `--generate-cli-skeleton`**— Druckt ein JSON-Skelett auf die Standardausgabe, ohne eine API-Anfrage zu senden. Wenn kein Wert oder die Werteingabe angegeben wird, wird ein JSON-Eingabebeispiel ausgegeben, das als Argument für `--cli-input-json` verwendet werden kann. In ähnlicher Weise wird bei Angabe einer Yaml-Eingabe ein Beispiel für die Eingabe von YAML ausgegeben, das mit `--cli-input-yaml` verwendet werden kann. Wenn es mit der Wertausgabe geliefert wird, validiert es die Befehlseingaben und gibt ein Beispiel-Ausgabe-JSON für diesen Befehl zurück. Das generierte JSON-Skelett ist zwischen den Versionen von nicht stabil AWS CLI und es gibt keine Garantien für die Abwärtskompatibilität im generierten JSON-Skelett.
+ `--cli-input-json`**— Liest Argumente aus der angegebenen JSON-Zeichenfolge. Die JSON-Zeichenfolge folgt dem vom `--generate-cli-skeleton`-Parameter bereitgestellten Format. Wenn andere Argumente in der Befehlszeile angegeben werden, überschreiben diese Werte die von JSON bereitgestellten Werte. Es ist nicht möglich, beliebige Binärwerte mit einem von JSON bereitgestellten Wert zu übergeben, da die Zeichenfolge wörtlich genommen wird. Dies darf nicht zusammen mit dem Parameter `--cli-input-yaml` angegeben werden.
Allgemeine Informationen zur Verwendung der AWS Befehlszeilenschnittstelle finden Sie im [AWS Command Line Interface Benutzerhandbuch](https://docs.aws.amazon.com/cli/latest/userguide/).
**Contents**
+ [Voraussetzungen](#aws-cli-prerequisites-for-aws-cloudtrail)
+ [Erhalten der Befehlszeilenhilfe](#getting-command-line-help)
+ [Suchen von Ereignissen](#looking-up-events-with-the-aws-cli)
+ [Angabe der Anzahl der zurückzugebenden Ereignisse](#specify-the-number-of-events-to-return)
+ [Suchen von Ereignissen nach Zeitbereich](#look-up-events-by-time-range)
+ [Suchen von Ereignissen nach Attribut](#look-up-events-by-attributes)
+ [Beispiele für die Attributsuche](#attribute-lookup-example)
+ [Angabe der nächsten Ergebnisseite](#specify-next-page-of-lookup-results)
+ [Abrufen der JSON-Eingabe aus einer Datei](#json-input-from-file)
+ [Ausgabefelder der Suche](#view-cloudtrail-events-cli-output-fields)
## Voraussetzungen
+ Um AWS CLI Befehle auszuführen, müssen Sie den installieren AWS CLI. Weitere Informationen finden Sie unter [Erste Schritte mit dem AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Stellen Sie sicher, dass Ihre AWS CLI Version höher als 1.6.6 ist. Sie können die CLI-Version verifizieren, indem Sie **aws --version** in der Befehlszeile ausführen.
+ Verwenden Sie den **aws configure** Befehl AWS-Region, um das Konto und das Standardausgabeformat für eine AWS CLI Sitzung festzulegen. Weitere Informationen finden Sie unter [Konfiguration der AWS Befehlszeilenschnittstelle](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
**Anmerkung**
Bei den CloudTrail AWS CLI Befehlen wird zwischen Groß- und Kleinschreibung unterschieden.
## Erhalten der Befehlszeilenhilfe
Wenn Sie die Befehlszeilenhilfe zu `lookup-events` anzeigen möchten, geben Sie den folgenden Befehl ein:
```
aws cloudtrail lookup-events help
```
## Suchen von Ereignissen
**Wichtig**
Die Rate der Suchanfragen ist auf zwei pro Sekunde, pro Konto und Region begrenzt. Wenn dieses Limit überschritten wird, tritt ein Drosselungsfehler auf.
Um die zehn neuesten Ereignisse anzuzeigen, geben Sie den folgenden Befehl ein:
```
aws cloudtrail lookup-events --max-items 10
```
Ein zurückgegebenes Ereignis sieht etwa wie im Folgenden dargestellt aus. Dieses fiktive Beispiel wurde zur besseren Lesbarkeit formatiert:
```
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=",
"Events": [
{
"EventId": "0ebbaee4-6e67-431d-8225-ba0d81df5972",
"Username": "root",
"EventTime": 1424476529.0,
"CloudTrailEvent": "{
\"eventVersion\":\"1.02\",
\"userIdentity\":{
\"type\":\"Root\",
\"principalId\":\"111122223333\",
\"arn\":\"arn:aws:iam::111122223333:root\",
\"accountId\":\"111122223333\"},
\"eventTime\":\"2015-02-20T23:55:29Z\",
\"eventSource\":\"signin.amazonaws.com\",
\"eventName\":\"ConsoleLogin\",
\"awsRegion\":\"us-east-2\",
\"sourceIPAddress\":\"203.0.113.4\",
\"userAgent\":\"Mozilla/5.0\",
\"requestParameters\":null,
\"responseElements\":{\"ConsoleLogin\":\"Success\"},
\"additionalEventData\":{
\"MobileVersion\":\"No\",
\"LoginTo\":\"https://console.aws.amazon.com/console/home",
\"MFAUsed\":\"No\"},
\"eventID\":\"0ebbaee4-6e67-431d-8225-ba0d81df5972\",
\"eventType\":\"AwsApiCall\",
\"recipientAccountId\":\"111122223333\"}",
"EventName": "ConsoleLogin",
"Resources": []
}
]
}
```
Eine Erläuterung der suchbezogenen Felder in der Ausgabe finden Sie im Abschnitt [Ausgabefelder der Suche](#view-cloudtrail-events-cli-output-fields) später in diesem Dokument. Eine Erläuterung der Felder in dem CloudTrail Ereignis finden Sie unter[CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md).
## Angabe der Anzahl der zurückzugebenden Ereignisse
Geben Sie den folgenden Befehl ein, um die Anzahl der zurückzugebenden Ereignisse anzugeben:
```
aws cloudtrail lookup-events --max-items
```
Mögliche Werte: 1 bis 50. Im folgenden Beispiel wird ein Ereignis zurückgegeben.
```
aws cloudtrail lookup-events --max-items 1
```
## Suchen von Ereignissen nach Zeitbereich
Für die Suche sind die Ereignisse der letzten 90 Tage verfügbar. Geben Sie den folgenden Befehl ein, um einen Zeitbereich anzugeben:
```
aws cloudtrail lookup-events --start-time --end-time
```
`--start-time ` gibt in UTC an, dass nur Ereignisse, die zum angegebenen Zeitpunkt oder danach eintreten, zurückgegeben werden. Falls die angegebene Anfangszeit nach der angegebenen Endzeit liegt, wird ein Fehler zurückgegeben.
`--end-time ` gibt in UTC an, dass nur Ereignisse, die zum angegebenen Zeitpunkt oder davor eintreten, zurückgegeben werden. Falls die angegebene Endzeit vor der angegebenen Anfangszeit liegt, wird ein Fehler zurückgegeben.
Standardmäßige Anfangszeit ist das früheste Datum, an dem innerhalb der letzten 90 Tage Daten verfügbar sind. Standardmäßige Endzeit ist der Zeitpunkt des Ereignisses, das zu dem der aktuellen Zeit am nächsten liegenden Zeitpunkt eingetreten ist.
Alle Zeitstempel werden in UTC angezeigt.
## Suchen von Ereignissen nach Attribut
Geben Sie zum Filtern nach einem Attribut den folgenden Befehl ein:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=,AttributeValue=
```
Sie können für jeden **lookup-events** Befehl nur key/value ein Attributpaar angeben. Im Folgenden sehen Sie gültige Werte für `AttributeKey`. Bei den Wertnamen muss die Groß- und Kleinschreibung beachtet werden.
+ `AccessKeyId`
+ `EventId`
+ `EventName`
+ `EventSource`
+ `ReadOnly`
+ `ResourceName`
+ `ResourceType`
+ `Username`
Die maximale Länge für den `AttributeValue` beträgt 2000 Zeichen. Die folgenden Zeichen ('`_`', '', ` ` '', `,` '`\\n`') gelten als zwei Zeichen im Verhältnis zur Obergrenze von 2000 Zeichen.
### Beispiele für die Attributsuche
Der folgende Beispielbefehl gibt die Ereignisse zurück, in denen der Wert von `AccessKeyId` `AKIAIOSFODNN7EXAMPLE` ist.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=AccessKeyId,AttributeValue=AKIAIOSFODNN7EXAMPLE
```
Der folgende Beispielbefehl gibt das Ereignis für den angegebenen CloudTrail `EventId` zurück.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventId,AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```
Der folgende Beispielbefehl gibt die Ereignisse zurück, in denen der Wert von `EventName` `RunInstances` ist.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances
```
Der folgende Beispielbefehl gibt die Ereignisse zurück, in denen der Wert von `EventSource` `iam.amazonaws.com` ist.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventSource,AttributeValue=iam.amazonaws.com
```
Der folgende Beispielbefehl gibt Schreibereignisse zurück. Er schließt Leseereignisse wie `GetBucketLocation` und `DescribeStream` aus.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ReadOnly,AttributeValue=false
```
Der folgende Beispielbefehl gibt die Ereignisse zurück, in denen der Wert von `ResourceName` `CloudTrail_CloudWatchLogs_Role` ist.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=CloudTrail_CloudWatchLogs_Role
```
Der folgende Beispielbefehl gibt die Ereignisse zurück, in denen der Wert von `ResourceType` `AWS::S3::Bucket` ist.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::S3::Bucket
```
Der folgende Beispielbefehl gibt die Ereignisse zurück, in denen der Wert von `Username` `root` ist.
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
```
## Angabe der nächsten Ergebnisseite
Um die nächste Ergebnisseite eines Befehls `lookup-events` abzurufen, geben Sie den folgenden Befehl ein:
```
aws cloudtrail lookup-events --next-token=
```
wobei der ** Wert für aus dem ersten Feld der Ausgabe des vorherigen Befehls stammt.
Wenn Sie `--next-token` in einem Befehl verwenden, müssen Sie dieselben Parameter wie im vorherigen Befehl verwenden. Angenommen, Sie führen den folgenden Befehl aus:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
```
Um die nächste Ergebnisseite abzurufen, würde Ihr nächster Befehl wie folgt aussehen:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root --next-token=kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=
```
## Abrufen der JSON-Eingabe aus einer Datei
AWS CLI Für einige AWS Dienste gibt es zwei Parameter, `--generate-cli-skeleton` mit denen Sie eine JSON-Vorlage generieren können, die Sie ändern und als Eingabe für den `--cli-input-json` Parameter verwenden können. `--cli-input-json` In diesem Abschnitt wird die Verwendung dieser Parameter mit `aws cloudtrail lookup-events` beschrieben. Allgemeinere Informationen finden Sie unter [AWS CLI Skelette und Eingabedateien](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).
**So suchen Sie nach CloudTrail Ereignissen, indem Sie JSON-Eingaben aus einer Datei abrufen**
1. Erstellen Sie eine Eingabevorlage für die Verwendung mit `lookup-events` und leiten Sie dazu die `--generate-cli-skeleton`-Ausgabe in eine Datei um, wie im folgenden Beispiel dargestellt.
```
aws cloudtrail lookup-events --generate-cli-skeleton > LookupEvents.txt
```
Die generierte Vorlagendatei (in diesem LookupEvents Fall.txt) sieht wie folgt aus:
```
{
"LookupAttributes": [
{
"AttributeKey": "",
"AttributeValue": ""
}
],
"StartTime": null,
"EndTime": null,
"MaxResults": 0,
"NextToken": ""
}
```
1. Ändern Sie die JSON-Daten in einem Texteditor nach Bedarf. Die JSON-Eingabe darf nur angegebene Werte umfassen.
**Wichtig**
Die Vorlage kann erst verwendet werden, nachdem alle leeren Werte oder Nullwerte daraus entfernt wurden.
Im folgenden Beispiel sind ein Zeitraum und die maximale Anzahl der zurückzugebenden Ergebnisse angegeben.
```
{
"StartTime": "2023-11-01",
"EndTime": "2023-12-12",
"MaxResults": 10
}
```
1. Um die bearbeitete Datei als Eingabe zu verwenden, verwenden Sie die Syntax `--cli-input-json file://` ** wie im folgenden Beispiel:
```
aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt
```
**Anmerkung**
Sie können in derselben Befehlszeile wie `--cli-input-json` weitere Argumente verwenden.
## Ausgabefelder der Suche
**Ereignisse**
Eine Liste der Suchereignisse basierend auf dem angegebenen Suchattribut und Zeitbereich. Die Ereignisliste ist nach Zeit sortiert, das neueste Ereignis ist zuerst aufgeführt. Jeder Eintrag enthält Informationen über die Suchanfrage und eine Zeichenfolgendarstellung des abgerufenen CloudTrail Ereignisses.
Die folgenden Einträge beschreiben die Felder in den einzelnen Suchereignissen.
**CloudTrailEvent**
Eine JSON-Zeichenfolge, die eine Objektdarstellung des zurückgegebenen Ereignisses enthält. Weitere Informationen zu den einzelnen zurückgegebenen Elementen finden Sie im Abschnitt [Datensatzinhalte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
**EventId**
Eine Zeichenfolge, die die GUID des zurückgegebenen Ereignisses enthält.
**EventName**
Eine Zeichenfolge, die den Namen des zurückgegebenen Ereignisses enthält.
**EventSource**
Der AWS Dienst, an den die Anfrage gestellt wurde.
**EventTime**
Datum und Uhrzeit des Ereignisses im UNIX-Zeitformat.
**Ressourcen**
Eine Liste der Ressourcen, auf die von dem zurückgegebenen Ereignis verwiesen wird. In jedem Ressourceneintrag ist ein Ressourcentyp und ein Ressourcenname angegeben.
**ResourceName**
Eine Zeichenfolge, die den Namen der Ressource enthält, auf die von dem Ereignis verwiesen wird.
**ResourceType**
Eine Zeichenfolge, die den Typ einer Ressource enthält, auf die von dem Ereignis verwiesen wird. Wenn der Ressourcentyp nicht ermittelt werden kann, wird Null zurückgegeben.
**Username**
Eine Zeichenfolge, die den Benutzernamen des Kontos für das zurückgegebene Ereignis enthält.
**NextToken**
Eine Zeichenfolge zum Abrufen der nächsten Ergebnisseite eines vorherigen `lookup-events`-Befehls. Um das Token verwenden zu können, müssen die Parameter mit den Parametern im ursprünglichen Befehl übereinstimmen. Wenn es in der Ausgabe keinen `NextToken`-Eintrag gibt, sind keine weiteren Ergebnisse vorhanden, die zurückgegeben werden können.