Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS CloudTrail Protokollierung für AWS Transfer Family
AWS Transfer Family lässt sich sowohl mit Amazon als AWS CloudTrail auch mit Amazon integrieren CloudWatch. CloudTrail und CloudWatch dienen unterschiedlichen, aber sich ergänzenden Zwecken.
+ Dieses Thema behandelt die Integration mit einem AWS Dienst CloudTrail , der eine Aufzeichnung der in Ihrem System ausgeführten Aktionen erstellt AWS-Konto. Es überwacht und zeichnet kontinuierlich API-Operationen für Aktivitäten wie Konsolenanmeldungen, AWS Command Line Interface Befehle und SDK/API Operationen auf. Auf diese Weise können Sie protokollieren, wer wann und von wo aus welche Maßnahmen ergriffen hat. CloudTrail hilft bei der Prüfung, beim Zugriffsmanagement und bei der Einhaltung gesetzlicher Vorschriften, indem es einen Verlauf aller Aktivitäten in Ihrer AWS Umgebung bereitstellt. Einzelheiten finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
+ [CloudWatch Amazon-Protokollierung für AWS Transfer Family Server](structured-logging.md)behandelt die Integration mit CloudWatch, einem Überwachungsdienst für AWS Ressourcen und Anwendungen. Es sammelt Metriken und Protokolle, um einen Überblick über die Ressourcennutzung, die Anwendungsleistung und den allgemeinen Systemzustand zu erhalten. CloudWatch hilft bei betrieblichen Aufgaben wie der Behebung von Problemen, der Einstellung von Alarmen und der automatischen Skalierung. Einzelheiten finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html).
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Operationen, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS Konto, einschließlich der Ereignisse für AWS Transfer Family, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS -Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle AWS Transfer Family Aktionen werden von protokolliert CloudTrail und sind in der dokumentiert [https://docs.aws.amazon.com/transfer/latest/APIReference/API_Operations.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_Operations.html). Beispielsweise generieren Aufrufe von `ListUsers` und `StopServer` Aktionen Einträge in den CloudTrail Protokolldateien. `CreateServer`
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für AWS Transfer Family. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen.
Anhand der von gesammelten Informationen können Sie die Anfrage ermitteln CloudTrail, an die die Anfrage gestellt wurde AWS Transfer Family, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [Aktivieren Sie die AWS CloudTrail Protokollierung](#monitoring-enable-cloudtrail)
+ [Beispiel für einen Protokolleintrag zum Erstellen eines Servers](#create-server-ct-example)
+ [Beispiele für Datenzugriffsprotokolle](#data-access-log-examples)
## Aktivieren Sie die AWS CloudTrail Protokollierung
Sie können AWS Transfer Family API-Operationen überwachen mit AWS CloudTrail. Durch die Überwachung von API-Vorgängen erhalten Sie nützliche Sicherheits- und Betriebsinformationen. Wenn Sie die [Protokollierung auf Objektebene von Amazon S3 aktiviert](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/enable-cloudtrail-events.html) haben, `RoleSessionName` ist im Feld Anforderer enthalten als`[AWS:Role Unique Identifier]/username.sessionid@server-id`. *Weitere Informationen zu eindeutigen AWS Identity and Access Management (IAM-) Rollenbezeichnern finden Sie unter [Eindeutige Identifikatoren im Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids).AWS Identity and Access Management *
**Wichtig**
Die maximale Länge von beträgt 64 Zeichen`RoleSessionName`. Wenn der länger `RoleSessionName` ist, `server-id` wird der gekürzt.
### Amazon S3 S3-Datenereignisse aktivieren
Um Dateioperationen nachzuverfolgen, die in Ihren AWS Transfer Family Amazon S3 S3-Buckets ausgeführt wurden, müssen Sie Datenereignisse für diese Buckets aktivieren. Datenereignisse ermöglichen API-Aktivitäten auf Objektebene und eignen sich besonders für die Nachverfolgung von Datei-Uploads, Downloads und anderen von Benutzern ausgeführten Vorgängen. AWS Transfer Family
So aktivieren Sie Amazon S3 S3-Datenereignisse für Ihren AWS Transfer Family Server:
1. Öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich **Trails** aus und wählen Sie dann einen vorhandenen Trail aus, oder erstellen Sie einen neuen.
1. Wählen Sie unter **Datenereignisse** die Option **Bearbeiten** aus.
1. Wählen Sie als **Datenereignistyp** die Option **S3** aus.
1. Wählen Sie die Amazon S3 S3-Buckets aus, für die Datenereignisse protokolliert werden sollen. Sie können Datenereignisse für alle Buckets protokollieren oder einzelne Buckets angeben.
1. Wählen Sie aus, ob **Leseereignisse**, **Schreibereignisse** oder beides protokolliert werden sollen.
1. Wählen Sie **Änderungen speichern ** aus.
Nachdem Sie Datenereignisse aktiviert haben, können Sie auf diese Protokolle in dem für Ihren CloudTrail Trail konfigurierten Amazon S3 S3-Bucket zugreifen. Die Protokolle enthalten Details wie den Benutzer, der die Aktion ausgeführt hat, den Zeitstempel der Aktion, das betroffene Objekt und das `onBehalfOf` Feld, mit dessen Hilfe die vier durchgeführten Aktionen nachvollzogen werden können. `userId` AWS Transfer Family
## Beispiel für einen Protokolleintrag zum Erstellen eines Servers
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag (im JSON-Format), der die `CreateServer` Aktion demonstriert.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AAAA4FFF5HHHHH6NNWWWW:user1",
"arn": "arn:aws:sts::123456789102:assumed-role/Admin/user1",
"accountId": "123456789102",
"accessKeyId": "AAAA52C2WWWWWW3BB4Z",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-12-18T20:03:57Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AAAA4FFF5HHHHH6NNWWWW",
"arn": "arn:aws:iam::123456789102:role/Admin",
"accountId": "123456789102",
"userName": "Admin"
}
}
},
"eventTime": "2024-02-05T19:18:53Z",
"eventSource": "transfer.amazonaws.com",
"eventName": "CreateServer",
"awsRegion": "us-east-1",
"sourceIPAddress": "11.22.1.2",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36",
"requestParameters": {
"domain": "S3",
"hostKey": "HIDDEN_DUE_TO_SECURITY_REASONS",
"protocols": [
"SFTP"
],
"protocolDetails": {
"passiveIp": "AUTO",
"tlsSessionResumptionMode": "ENFORCED",
"setStatOption": "DEFAULT"
},
"securityPolicyName": "TransferSecurityPolicy-2020-06",
"s3StorageOptions": {
"directoryListingOptimization": "ENABLED"
}
},
"responseElements": {
"serverId": "s-1234abcd5678efghi"
},
"requestID": "6fe7e9b1-72fc-45b0-a7f9-5840268aeadf",
"eventID": "4781364f-7c1e-464e-9598-52d06aa9e63a",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789102",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "transfer.us-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}
```
## Beispiele für Datenzugriffsprotokolle
Wenn Sie Amazon S3 S3-Datenereignisse für Ihren CloudTrail Trail aktivieren, können Sie die ausgeführten Dateioperationen verfolgen AWS Transfer Family. Mithilfe dieser Protokolle können Sie überwachen, wer wann und wie auf welche Daten zugegriffen hat.
### Beispiel für einen Protokolleintrag für einen erfolgreichen Datenzugriff
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen erfolgreichen Dateidownload-Vorgang durch AWS Transfer Family.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLEID:TransferSessionUser",
"arn": "arn:aws:sts::123456789012:assumed-role/TransferS3AccessRole/TransferSessionUser",
"accountId": "123456789012",
"accessKeyId": "ASIAEXAMPLEKEY",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLEID",
"arn": "arn:aws:iam::123456789012:role/TransferS3AccessRole",
"accountId": "123456789012",
"userName": "TransferS3AccessRole"
},
"attributes": {
"creationDate": "2025-07-15T16:12:05Z",
"mfaAuthenticated": "true"
}
},
"invokedBy": "transfer.amazonaws.com"
},
"eventTime": "2025-07-15T16:15:22Z",
"eventSource": "s3.amazonaws.com",
"eventName": "GetObject",
"awsRegion": "us-east-1",
"sourceIPAddress": "transfer.amazonaws.com",
"userAgent": "transfer.amazonaws.com",
"requestParameters": {
"bucketName": "my-transfer-bucket",
"key": "users/john.doe/reports/quarterly-report-2025-Q2.pdf",
"Host": "my-transfer-bucket.s3.amazonaws.com",
"x-amz-request-payer": "requester"
},
"responseElements": null,
"additionalEventData": {
"SignatureVersion": "SigV4",
"CipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"bytesTransferredIn": 0,
"bytesTransferredOut": 2458732,
"x-amz-id-2": "EXAMPLE123456789+abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ="
},
"requestID": "EXAMPLE123456789",
"eventID": "example12-3456-7890-abcd-ef1234567890",
"readOnly": true,
"resources": [
{
"type": "AWS::S3::Object",
"ARN": "arn:aws:s3:::my-transfer-bucket/users/john.doe/reports/quarterly-report-2025-Q2.pdf"
},
{
"accountId": "123456789012",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::my-transfer-bucket"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data",
"requestParameters": {
"x-amz-onBehalfOf": "john.doe.sessionid@s-abcd1234efgh5678"
}
}
```
Beachten Sie in diesem Beispiel die folgenden wichtigen Felder:
+ `eventName`: Zeigt den S3-API-Vorgang an, der ausgeführt wurde (GetObject für einen Dateidownload).
+ `requestParameters.bucketName`und`requestParameters.key`: Zeigt an, auf welches S3-Objekt zugegriffen wurde.
+ `additionalEventData.bytesTransferredOut`: Zeigt die Größe der heruntergeladenen Datei in Byte an.
+ `requestParameters.x-amz-onBehalfOf`: Enthält den AWS Transfer Family Benutzernamen und die Sitzungs-ID, sodass Sie nachvollziehen können, welcher AWS Transfer Family Benutzer die Aktion ausgeführt hat.
Das `x-amz-onBehalfOf` Feld ist besonders wichtig, da es den S3-API-Rückruf mit dem spezifischen AWS Transfer Family Benutzer verknüpft, der die Aktion initiiert hat. Dieses Feld folgt dem Format`username.sessionid@server-id`, wobei:
+ `username`ist der AWS Transfer Family Nutzername.
+ `sessionid`ist eine eindeutige Kennung für die Sitzung des Benutzers.
+ `server-id`ist die ID des AWS Transfer Family Servers.
### Allgemeine Datenzugriffsvorgänge
Bei der Überwachung des Datenzugriffs über AWS Transfer Family werden in Ihren CloudTrail Protokollen in der Regel die folgenden S3-API-Operationen angezeigt:
**Allgemeine S3-Operationen in AWS Transfer Family Protokollen**
| S3-API-Betrieb | AWS Transfer Family Aktion | Beschreibung |
| --- | --- | --- |
| GetObject | Datei herunterladen | Der Benutzer hat eine Datei vom Server heruntergeladen |
| PutObject | Datei-Upload | Der Benutzer hat eine Datei auf den Server hochgeladen |
| DeleteObject | Löschen von Dateien | Der Benutzer hat eine Datei vom Server gelöscht |
| ListObjects oder ListObjects V2 | Verzeichnisliste | Vom Benutzer aufgelistete Dateien in einem Verzeichnis |
| CopyObject | Datei kopieren | Der Benutzer hat eine Datei auf den Server kopiert |
Durch die Überwachung dieser Vorgänge in Ihren CloudTrail Protokollen können Sie alle Dateiaktivitäten verfolgen, die über Ihren AWS Transfer Family Server ausgeführt werden. So können Sie Compliance-Anforderungen erfüllen und unbefugten Zugriff erkennen.