Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und -Objekte

Sie können CloudTrail Datenereignisse verwenden, um Informationen über Anfragen auf Bucket- und Objektebene in Amazon S3 abzurufen. Um CloudTrail Datenereignisse für alle Ihre Buckets oder für eine Liste bestimmter Buckets zu aktivieren, müssen Sie manuell einen Trail in erstellen. CloudTrail

Anmerkung

• In der Standardeinstellung für CloudTrail werden nur Verwaltungsereignisse gesucht. Prüfen Sie, ob Datenereignisse für das Konto aktiviert wurden.

• Ein S3-Bucket mit hoher Workload kann in kurzer Zeit Tausende Protokolle generieren. Denken Sie daran, wie lange Sie CloudTrail Datenereignisse für einen stark frequentierten Bereich aktivieren möchten.

CloudTrail speichert Amazon S3 S3-Datenereignisprotokolle in einem S3-Bucket Ihrer Wahl. Erwägen Sie die Verwendung eines Buckets in einem separaten Bucket AWS-Konto , um Ereignisse aus mehreren Buckets, die Sie möglicherweise besitzen, besser an einem zentralen Ort zu organisieren, um Abfragen und Analysen zu vereinfachen. AWS Organizations hilft Ihnen dabei AWS-Konto , einen zu erstellen, der mit dem Konto verknüpft ist, dem der Bucket gehört, den Sie überwachen. Weitere Informationen finden Sie unter Was ist AWS Organizations? im AWS Organizations Benutzerhandbuch.

Wenn Sie Datenereignisse für einen Trail in protokollieren, können Sie wählen CloudTrail, ob Sie erweiterte oder einfache Event-Selektoren verwenden möchten, um Datenereignisse für Objekte zu protokollieren, die in Allzweck-Buckets gespeichert sind. Um Datenereignisse für Objekte zu protokollieren, die in Verzeichnis-Buckets gespeichert sind, müssen Sie erweiterte Ereignisselektoren verwenden. Weitere Informationen finden Sie unter Logging with AWS CloudTrail für S3 Express One Zone.

Wenn Sie in der CloudTrail Konsole mithilfe erweiterter Event-Selektoren einen Trail erstellen, können Sie im Bereich Datenereignisse die Option Alle Ereignisse protokollieren für die Protokollauswahlvorlage auswählen, um alle Ereignisse auf Objektebene zu protokollieren. Wenn Sie in der CloudTrail Konsole mithilfe einfacher Ereignisauswahlen einen Trail erstellen, können Sie im Bereich Datenereignisse das Kontrollkästchen Alle S3-Buckets in Ihrem Konto auswählen aktivieren, um alle Ereignisse auf Objektebene zu protokollieren.

Anmerkung

• Eine bewährte Methode besteht darin, eine Lebenszykluskonfiguration für Ihren Datenereignis-Bucket in AWS CloudTrail zu erstellen. Konfigurieren Sie die Lebenszykluskonfiguration zum regelmäßigen Entfernen von Protokolldateien nach dem Zeitraum, der Ihres Erachtens für die Überprüfung erforderlich ist. Dadurch wird die Menge der Daten reduziert, die Athena in einer Abfrage analysiert. Weitere Informationen finden Sie unter Einstellung einer Lebenszykluskonfiguration für einen Bucket.

• Weitere Informationen zum Format der Protokolle finden Sie unter Protokollieren Amazon S3 API S3-Anrufen mit AWS CloudTrail.

• Beispiele für das Abfragen von CloudTrail Protokollen finden Sie im AWS Big-Data-Blogbeitrag Analyze Security, Compliance, and Operational Activity Using AWS CloudTrail and Amazon Athena.

Aktivieren der Protokollierung für Objekte in einem Bucket mit der Konsole

Sie können die Amazon S3 S3-Konsole verwenden, um einen AWS CloudTrail Trail zum Protokollieren von Datenereignissen für Objekte in einem S3-Bucket zu konfigurieren. CloudTrail unterstützt die Protokollierung von Amazon S3 API S3-Vorgängen auf Objektebene wie GetObjectDeleteObject, und. PutObject Diese Ereignisse werden als Datenereignisse bezeichnet.

Standardmäßig protokollieren CloudTrail Trails keine Datenereignisse, aber Sie können Trails so konfigurieren, dass Datenereignisse für von Ihnen angegebene S3-Buckets oder Datenereignisse für alle Amazon S3 S3-Buckets in Ihrem protokolliert werden. AWS-Konto Weitere Informationen finden Sie unter Protokollieren Amazon S3 API S3-Anrufen mit AWS CloudTrail.

CloudTrail fügt keine Datenereignisse in den CloudTrail Ereignisverlauf ein. Darüber hinaus werden nicht alle Aktionen auf Bucket-Ebene in den CloudTrail Ereignisverlauf eingetragen. Weitere Informationen zu den API Aktionen auf Amazon S3 S3-Bucket-Ebene, die durch CloudTrail Protokollierung verfolgt werden, finden Sie unter. Amazon S3 S3-Aktionen auf Bucket-Ebene, die durch Protokollierung verfolgt werden CloudTrail Weitere Informationen zum Abfragen von CloudTrail Protokollen finden Sie im AWS Knowledge Center-Artikel über die Verwendung von Amazon CloudWatch Logs-Filtermustern und Amazon Athena zum Abfragen von CloudTrail Protokollen.

Um einen Trail zum Protokollieren von Datenereignissen für einen S3-Bucket zu konfigurieren, können Sie entweder die AWS CloudTrail -Konsole oder die Amazon-S3-Konsole verwenden. Wenn Sie einen Trail konfigurieren, um Datenereignisse für alle Amazon S3 S3-Buckets in Ihrem zu protokollieren AWS-Konto, ist es einfacher, die CloudTrail Konsole zu verwenden. Informationen zur Verwendung der CloudTrail Konsole zur Konfiguration eines Trails zur Protokollierung von S3-Datenereignissen finden Sie unter Datenereignisse im AWS CloudTrail Benutzerhandbuch.

Wichtig

Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen finden Sie unter AWS CloudTrail – Preise.

Das folgende Verfahren zeigt, wie Sie mit der Amazon S3 S3-Konsole einen CloudTrail Trail zum Protokollieren von Datenereignissen für einen S3-Bucket konfigurieren.

Um die Protokollierung von CloudTrail Datenereignissen für Objekte in einem S3-Allzweck-Bucket oder in einem S3-Verzeichnis-Bucket zu aktivieren

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie in der Liste Buckets den Namen des Buckets aus.

3. Wählen Sie Properties (Eigenschaften).

4. Wählen Sie unter AWS CloudTrail Datenereignisse die Option Konfigurieren in CloudTrail.

   Sie können einen neuen CloudTrail Trail erstellen oder einen vorhandenen Trail wiederverwenden und Amazon S3 S3-Datenereignisse so konfigurieren, dass sie in Ihrem Trail protokolliert werden. Informationen zum Erstellen von Trails in der CloudTrail Konsole finden Sie unter Erstellen und Aktualisieren eines Trails mit der Konsole im AWS CloudTrail Benutzerhandbuch. Informationen zur Konfiguration der Amazon S3 S3-Datenereignisprotokollierung in der CloudTrail Konsole finden Sie unter Protokollieren von Datenereignissen für Amazon S3 S3-Objekte im AWS CloudTrail Benutzerhandbuch.

   Anmerkung

   Wenn Sie die CloudTrail Konsole oder die Amazon S3 S3-Konsole verwenden, um einen Trail zum Protokollieren von Datenereignissen für einen S3-Bucket zu konfigurieren, zeigt die Amazon S3 S3-Konsole an, dass die Protokollierung auf Objektebene für den Bucket aktiviert ist.

Um die Protokollierung CloudTrail von Datenereignissen für Objekte in einem S3-Bucket zu deaktivieren

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

2. Wählen Sie im linken Navigationsbereich Trails aus.

3. Wählen Sie den Namen des Trails aus, den Sie erstellt haben, um Ereignisse für den Bucket zu protokollieren.

4. Wählen Sie oben rechts auf der Detailseite des Trails Protokollierung beenden aus.

5. Wählen Sie im anschließend angezeigten Dialogfeld Protokollierung beenden aus.

Weitere Informationen zum Aktivieren der Protokollierung auf Objektebene, wenn Sie einen S3-Bucket erstellen, finden Sie unter Erstellen eines Buckets.

Weitere Informationen zur CloudTrail Protokollierung mit S3-Buckets finden Sie in den folgenden Themen:

• Anzeigen der Eigenschaften eines S3-Buckets

• Protokollieren Amazon S3 API S3-Anrufen mit AWS CloudTrail

• Arbeiten mit CloudTrail Protokolldateien im AWS CloudTrail Benutzerhandbuch