Protokollieren Amazon MQ API MQ-Anrufen mit AWS CloudTrail

Amazon MQ ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Amazon MQ MQ-Aufrufe bereitstellt, die ein Benutzer, eine Rolle oder ein AWS Service tätigt. CloudTrail erfasst API Anrufe im Zusammenhang mit Amazon MQ-Brokern und Konfigurationen als Ereignisse, einschließlich Aufrufe von der Amazon MQ-Konsole und Codeaufrufen von Amazon MQ. APIs Weitere Informationen zu CloudTrail finden Sie im AWS CloudTrail Benutzerhandbuch.

Anmerkung

CloudTrail protokolliert keine API Aufrufe im Zusammenhang mit ActiveMQ-Vorgängen (z. B. Senden und Empfangen von Nachrichten) oder mit der ActiveMQ Web Console. Um Informationen zu ActiveMQ-Vorgängen zu protokollieren, können Sie Amazon MQ so konfigurieren, dass allgemeine Protokolle und Auditprotokolle in Amazon Logs veröffentlicht werden. CloudWatch

Anhand der CloudTrail gesammelten Informationen können Sie eine bestimmte Anfrage an einen Amazon MQAPI, die IP-Adresse des Anfragenden, die Identität des Anfragenden, Datum und Uhrzeit der Anfrage usw. identifizieren. Wenn Sie einen Trail konfigurieren, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse im Ereignisverlauf in der CloudTrail Konsole einsehen. Weitere Informationen finden Sie unter Übersicht zum Erstellen eines Trails im AWS CloudTrail Benutzerhandbuch.

Amazon MQ MQ-Informationen in CloudTrail

Wenn Sie Ihr AWS Konto erstellen, CloudTrail ist aktiviert. Wenn eine unterstützte Amazon MQ MQ-Ereignisaktivität auftritt, wird sie zusammen mit anderen AWS Serviceereignissen in der CloudTrail Ereignishistorie als Ereignis aufgezeichnet. Sie können die neuesten Ereignisse für Ihr AWS -Konto anzeigen, durchsuchen und herunterladen. Weitere Informationen finden Sie im AWS CloudTrail Benutzerhandbuch unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.

Ein Trail ermöglicht CloudTrail die Übertragung von Protokolldateien an einen Amazon S3 S3-Bucket. Sie können einen Trail erstellen, um die Ereignisse in Ihrem AWS Konto fortlaufend aufzuzeichnen. Wenn du einen Trail mit dem erstellst AWS Management Console, gilt der Trail standardmäßig für alle AWS Regionen. Der Trail protokolliert Ereignisse aus allen AWS Regionen und übermittelt Protokolldateien an den angegebenen Amazon S3 S3-Bucket. Sie können auch andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie in folgenden Themen im AWS CloudTrail -Benutzerhandbuch:

• CloudTrail Unterstützte Dienste und Integrationen

• Konfiguration von SNS Amazon-Benachrichtigungen für CloudTrail

• Empfangen von CloudTrail Protokolldateien aus mehreren Regionen

• Empfangen von CloudTrail Protokolldateien von mehreren Konten

Amazon MQ unterstützt die Protokollierung sowohl der Anforderungsparameter als auch der Antworten für Folgendes APIs als Ereignisse in CloudTrail Protokolldateien:

• CreateConfiguration

• DeleteBroker

• DeleteUser

• RebootBroker

• UpdateBroker

Anmerkung

RebootBroker Protokolldateien werden protokolliert, wenn Sie den Broker neu starten. Während des Wartungsfensters wird der Dienst automatisch neu gestartet, und die RebootBroker Protokolldateien werden nicht protokolliert.

Wichtig

Bei den folgenden GET APIs Methoden werden die Anforderungsparameter protokolliert, die Antworten jedoch geschwärzt:

• DescribeBroker

• DescribeConfiguration

• DescribeConfigurationRevision

• DescribeUser

• ListBrokers

• ListConfigurationRevisions

• ListConfigurations

• ListUsers

Im Folgenden APIs werden die Anforderungsparameter data und die password Anforderungsparameter durch Sternchen () verdeckt: ***

• CreateBroker (POST)

• CreateUser (POST)

• UpdateConfiguration (PUT)

• UpdateUser (PUT)

Jedes Ereignis oder jeder Protokolleintrag enthält Informationen über den Ersteller der Anforderung. Mit diesen Informationen können Sie Folgendes bestimmen:

• Wurde die Anforderung mit Root- oder -Benutzeranmeldeinformationen ausgeführt?

• Wurde die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen verbundenen Benutzer ausgeführt?

• Wurde die Anfrage von einem anderen AWS Dienst gestellt?

Weitere Informationen finden Sie unter CloudTrail userIdentity Element im AWS CloudTrail Benutzerhandbuch.

Beispiel für einen Amazon MQ-Protokolldateieintrag

Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an den angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge.

Ein Ereignis stellt eine einzelne Anfrage aus einer beliebigen Quelle dar und umfasst Informationen über die Anfrage an einen Amazon MQAPI, die IP-Adresse des Anforderers, die Identität des Anfragenden, Datum und Uhrzeit der Anfrage usw.

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für einen Anruf. CreateBrokerAPI

Anmerkung

Da es CloudTrail sich bei Protokolldateien nicht um einen geordneten öffentlichen Stack-Trace handeltAPIs, listen sie Informationen nicht in einer bestimmten Reihenfolge auf.

{
    "eventVersion": "1.06",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "userName": "AmazonMqConsole"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateBroker",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "engineVersion": "5.15.9",
        "deploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
        "maintenanceWindowStartTime": {
            "dayOfWeek": "THURSDAY",
            "timeOfDay": "22:45",
            "timeZone": "America/Los_Angeles"
        },
        "engineType": "ActiveMQ",
        "hostInstanceType": "mq.m5.large",
        "users": [
            {
                "username": "MyUsername123",
                "password": "***",
                "consoleAccess": true,
                "groups": [
                    "admins",
                    "support"
                ]
            },
            {
                "username": "MyUsername456",
                "password": "***",
                "groups": [
                    "admins"
                ]
            }
        ],
        "creatorRequestId": "1",
        "publiclyAccessible": true,
        "securityGroups": [
            "sg-a1b234cd"
        ],
        "brokerName": "MyBroker",
        "autoMinorVersionUpgrade": false,
        "subnetIds": [
            "subnet-12a3b45c",
            "subnet-67d8e90f"
        ]
    },
    "responseElements": {
        "brokerId": "b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9",
        "brokerArn": "arn:aws:mq:us-east-2:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"
    },
    "requestID": "a1b2c345-6d78-90e1-f2g3-4hi56jk7l890",
    "eventID": "a12bcd3e-fg45-67h8-ij90-12k34d5l16mn",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}