Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und -Objekte

Sie können CloudTrail Datenereignisse verwenden, um Informationen zu Anforderungen auf Bucket- und Objektebene in Amazon S3 abzurufen. Um CloudTrail Datenereignisse für alle Ihre Buckets oder für eine Liste bestimmter Buckets zu aktivieren, müssen Sie manuell einen Trail in erstellen CloudTrail.

Anmerkung

• Die Standardeinstellung für CloudTrail besteht darin, nur Verwaltungsereignisse zu finden. Prüfen Sie, ob Datenereignisse für das Konto aktiviert wurden.

• Ein S3-Bucket mit hoher Workload kann in kurzer Zeit Tausende Protokolle generieren. Beachten Sie, wie lange Sie CloudTrail Datenereignisse für einen ausgelasteten Bucket aktivieren möchten.

CloudTrail speichert Amazon S3-Datenereignisprotokolle in einem S3-Bucket Ihrer Wahl. Erwägen Sie, einen Bucket in einem separaten zu verwenden, AWS-Konto um Ereignisse aus mehreren Buckets, die Sie möglicherweise besitzen, besser an einem zentralen Ort zu organisieren und so die Abfrage und Analyse zu vereinfachen. AWS Organizations hilft Ihnen, ein zu erstellen AWS-Konto , das mit dem Konto verknüpft ist, dem der Bucket gehört, den Sie überwachen. Weitere Informationen finden Sie unter Was ist AWS Organizations? im AWS Organizations -Benutzerhandbuch.

Wenn Sie einen Trail in erstellen CloudTrail, können Sie im Abschnitt Datenereignisse das Kontrollkästchen Alle S3-Buckets in Ihrem Konto auswählen aktivieren, um alle Ereignisse auf Objektebene zu protokollieren.

Anmerkung

• Eine bewährte Methode besteht darin, eine Lebenszykluskonfiguration für Ihren Datenereignis-Bucket in AWS CloudTrail zu erstellen. Konfigurieren Sie die Lebenszykluskonfiguration zum regelmäßigen Entfernen von Protokolldateien nach dem Zeitraum, der Ihres Erachtens für die Überprüfung erforderlich ist. Dadurch wird die Menge der Daten reduziert, die Athena in einer Abfrage analysiert. Weitere Informationen finden Sie unter Festlegen der Lebenszyklus-Konfiguration für einen Bucket.

• Weitere Informationen zum Format der Protokolle finden Sie unter Protokollieren von Amazon S3-API-Aufrufen mit AWS CloudTrail.

• Beispiele für das Abfragen von CloudTrail Protokollen finden Sie im AWS -Big-Data-Blogbeitrag Analyze Security, Compliance, and Operational Activity Using AWS CloudTrail and Amazon Athena .

Aktivieren der Protokollierung für Objekte in einem Bucket mit der Konsole

Sie können die Amazon S3-Konsole verwenden, um einen - AWS CloudTrail Trail zum Protokollieren von Datenereignissen für Objekte in einem S3-Bucket zu konfigurieren. CloudTrail unterstützt die Protokollierung von Amazon S3-API-Operationen auf Objektebene wie GetObject, DeleteObjectund PutObject. Diese Ereignisse werden als Datenereignisse bezeichnet.

Standardmäßig protokollieren CloudTrail Trails keine Datenereignisse, aber Sie können Trails so konfigurieren, dass Datenereignisse für von Ihnen angegebene S3-Buckets oder Datenereignisse für alle Amazon S3-Buckets in Ihrem protokolliert werden AWS-Konto. Weitere Informationen finden Sie unter Protokollieren von Amazon S3-API-Aufrufen mit AWS CloudTrail.

CloudTrail füllt keine Datenereignisse im CloudTrail Ereignisverlauf aus. Darüber hinaus werden nicht alle Aktionen auf Bucket-Ebene im CloudTrail Ereignisverlauf ausgefüllt. Weitere Informationen zu den Amazon S3-API-Aktionen auf Bucket-Ebene, die durch die CloudTrail Protokollierung verfolgt werden, finden Sie unter Amazon S3-Aktionen auf Bucket-Ebene, die durch die CloudTrail Protokollierung verfolgt werden. Weitere Informationen zum Abfragen von CloudTrail Protokollen finden Sie im AWS Knowledge-Center-Artikel über die Verwendung von Amazon- CloudWatch Logs-Filtermustern und Amazon Athena zum Abfragen von CloudTrail Protokollen.

Um einen Trail zum Protokollieren von Datenereignissen für einen S3-Bucket zu konfigurieren, können Sie entweder die AWS CloudTrail -Konsole oder die Amazon-S3-Konsole verwenden. Wenn Sie einen Trail zum Protokollieren von Datenereignissen für alle Amazon S3-Buckets in Ihrem konfigurieren AWS-Konto, ist es einfacher, die CloudTrail Konsole zu verwenden. Informationen zur Verwendung der CloudTrail Konsole zum Konfigurieren eines Trails zum Protokollieren von S3-Datenereignissen finden Sie unter Datenereignisse im AWS CloudTrail -Benutzerhandbuch.

Wichtig

Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen finden Sie unter AWS CloudTrail – Preise.

Das folgende Verfahren zeigt, wie Sie mit der Amazon S3-Konsole einen CloudTrail Trail zum Protokollieren von Datenereignissen für einen S3-Bucket konfigurieren.

So aktivieren Sie die Protokollierung von CloudTrail Datenereignissen für Objekte in einem S3-Bucket

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie in der Liste Buckets den Namen des Buckets aus.

3. Wählen Sie Properties (Eigenschaften).

4. Wählen Sie unter AWS CloudTrail Datenereignisse die Option Konfigurieren in aus CloudTrail.

   Sie können einen neuen CloudTrail Trail erstellen oder einen vorhandenen Trail wiederverwenden und Amazon S3-Datenereignisse so konfigurieren, dass sie in Ihrem Trail protokolliert werden. Informationen zum Erstellen von Trails in der CloudTrail Konsole finden Sie unter Erstellen und Aktualisieren eines Trails mit der Konsole im AWS CloudTrail -Benutzerhandbuch. Informationen zum Konfigurieren der Amazon S3-Datenereignisprotokollierung in der CloudTrail Konsole finden Sie unter Protokollieren von Datenereignissen für Amazon S3-Objekte im AWS CloudTrail -Benutzerhandbuch.

   Anmerkung

   Wenn Sie die CloudTrail Konsole oder die Amazon S3-Konsole verwenden, um einen Trail zum Protokollieren von Datenereignissen für einen S3-Bucket zu konfigurieren, zeigt die Amazon S3-Konsole, dass die Protokollierung auf Objektebene für den Bucket aktiviert ist.

So deaktivieren Sie die Protokollierung von CloudTrail Datenereignissen für Objekte in einem S3-Bucket

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die - CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

2. Wählen Sie im linken Navigationsbereich Trails aus.

3. Wählen Sie den Namen des Trails aus, den Sie erstellt haben, um Ereignisse für den Bucket zu protokollieren.

4. Wählen Sie oben rechts auf der Detailseite des Trails Protokollierung beenden aus.

5. Wählen Sie im anschließend angezeigten Dialogfeld Protokollierung beenden aus.

Weitere Informationen zum Aktivieren der Protokollierung auf Objektebene, wenn Sie einen S3-Bucket erstellen, finden Sie unter Erstellen eines Buckets.

Weitere Informationen zur CloudTrail Protokollierung mit S3-Buckets finden Sie in den folgenden Themen:

• Anzeigen der Eigenschaften eines S3-Buckets

• Protokollieren von Amazon S3-API-Aufrufen mit AWS CloudTrail

• Arbeiten mit CloudTrail Protokolldateien im AWS CloudTrail -Benutzerhandbuch