Aggregieren von Datenereignissen

Datenereignisse liefern Informationen zu Ressourcenoperationen, die für oder innerhalb einer Ressource ausgeführt wurden. Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume.

Indem Sie die Aggregation Ihrer Datenereignisse aktivieren, können Sie die Zugriffsmuster großer Datenmengen effizient überwachen, ohne große Mengen einzelner Ereignisse verarbeiten zu müssen. Diese Funktion konsolidiert Datenereignisse automatisch in 5-minütigen Zusammenfassungen, die wichtige Trends wie Zugriffshäufigkeit, Fehlerraten und am häufigsten verwendete Aktionen aufzeigen. Anstatt beispielsweise Tausende einzelner S3-Bucket-Zugriffsereignisse zu verarbeiten, um Nutzungsmuster zu verstehen, erhalten Sie konsolidierte Zusammenfassungen mit den wichtigsten Benutzern und Aktionen.

Sie können die Aggregation von Datenereignissen aktivieren, wenn Sie einen neuen Trail erstellen oder einen vorhandenen Trail aktualisieren, der Datenereignisse erfasst. Sie können eine oder alle der drei out-of-the-box Vorlagen auswählen, um Ihre Datenereignisse zu aggregieren:

• API-Aktivität, um eine 5-minütige Zusammenfassung Ihrer Datenereignisse auf der Grundlage der getätigten API-Aufrufe zu erhalten. Verwenden Sie dies, um Ihre API-Nutzungsmuster, einschließlich Häufigkeit, Anrufer und Quelle, zu verstehen.

• Ressourcenzugriff, um die Aktivitätsmuster auf Ihren AWS Ressourcen abzurufen. Anhand dieser Informationen können Sie nachvollziehen, wie auf Ihre AWS Ressourcen zugegriffen wird, wie oft innerhalb des 5-Minuten-Fensters auf sie zugegriffen wird, wer auf die Ressource zugreift und welche Aktionen ausgeführt werden.

• Benutzeraktionen, um Aktivitätsmuster zu ermitteln, die auf dem IAM-Prinzipal basieren, der API-Aufrufe in Ihrem Konto durchführt.

Aktivieren von Aggregationen für Datenereignisse mithilfe der Konsole

Um Aggregationen auf Pfaden zu aktivieren, wählen Sie zunächst die Protokollierung von Datenereignissen aus, wenn Sie einen Trail erstellen oder aktualisieren, und Datenereignisse so konfigurieren, dass Ereignisse im Trail protokolliert werden. Anschließend können Sie im Schritt „Ereignisaggregation konfigurieren“ Vorlagen wie API-Aktivität und Ressourcenzugriff aus der Dropdownliste „Aggregationsvorlagen“ auswählen, wie in der Abbildung unten gezeigt.

Aktivieren von Aggregationen für Datenereignisse mithilfe der AWS CLI

Sie können Ihre Trails so konfigurieren, dass sie Ereignisse mit dem AWS CLI aggregieren.

Führen Sie den get-event-configurations Befehl aus, um zu überprüfen, ob Ihr Trail Datenereignisse aggregiert.

aws cloudtrail get-event-configuration --region us-east-1 --trail-name TrailName

Der Befehl gibt die Aggregationskonfiguration für den Trail zurück.

Bevor Sie die Ereignisaggregation aktivieren, müssen Sie einen Trail erstellen und darin Datenereignisse konfigurieren.

Gehen Sie wie folgt vor, um die Ereignisaggregation in einem Trail zu aktivieren. Der Trail aggregiert Ereignisse auf der Grundlage der API_ACTIVITY RESOURCE_ACCESS Aggregationsvorlagen und.

aws cloudtrail put-event-configuration --region us-east-1 --trail TrailName \
--aggregation-configurations \
'[
    {
        "EventCategory": "Data",
        "Templates":
        [
            "API_ACTIVITY",
            "RESOURCE_ACCESS"
        ]
    }
]'

Beispiel: API_ACTIVITY aggregiertes Ereignis

Im Folgenden wird ein Beispiel für ein aggregiertes Ereignis für die API_ACTIVITY Vorlage gezeigt:

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "62759c1a-6248-48e1-a6b3-d5fb7e6c4bc0",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "eventName",
            "statistics":
            [
                {
                    "name": "PutObject",
                    "value": 1000
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "resourceARN",
                "statistics":
                [
                    {
                        "name": "arn:aws:s3:::bucket-1",
                        "value": 800
                    },
                    {
                        "name": "arn:aws:s3:::bucket-2",
                        "value": 150
                    },
                    {
                        "name": "arn:aws:s3:::bucket-3",
                        "value": 50
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}

Beispiel: Aggregiertes Ereignis RESOURCE_ACCESS

Im Folgenden wird ein Beispiel für ein aggregiertes Ereignis für die Vorlage gezeigt: RESOURCE_ACCESS

{
    "eventVersion": "1.0",
    "accountId": "111122223333",
    "eventId": "2ed87efa-45c1-412d-bc38-7e0879faa6df",
    "eventCategory": "Aggregated",
    "eventType": "AwsAggregatedEvent",
    "awsRegion": "us-west-2",
    "eventSource": "s3.amazonaws.com",
    "timeWindow":
    {
        "windowStart": "2025-11-17T19:20:00Z",
        "windowEnd": "2025-11-17T19:25:00Z",
        "windowSize": "PT5M"
    },
    "summary":
    {
        "primaryDimension":
        {
            "dimension": "resourceARN",
            "statistics":
            [
                {
                    "name": "arn:aws:s3:::bucket-1",
                    "value": 800
                }
            ],
            "aggregationType": "Count"
        },
        "details":
        [
            {
                "dimension": "eventName",
                "statistics":
                [
                    {
                        "name": "PutObject",
                        "value": 800
                    }
                ],
                "aggregationType": "Count"
            }
        ]
    }
}