Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Das AWS CLI beinhaltet mehrere andere Befehle, die dir helfen, deine Trails zu verwalten. Diese Befehle fügen Tags zu Trails hinzu, rufen den Trail-Status ab, starten und stoppen die Protokollierung für Trails und löschen Trails. Sie müssen diese Befehle in derselben AWS Region ausführen, in der der Trail erstellt wurde (in der Heimatregion). Denken Sie bei der Verwendung von daran AWS CLI, dass Ihre Befehle in der AWS Region ausgeführt werden, die für Ihr Profil konfiguriert ist. Wenn Sie die Befehle in einer anderen Region ausführen möchten, ändern Sie entweder die Standardregion für Ihr Profil, oder verwenden Sie den --region-Parameter mit dem Befehl.
Themen
Hinzufügen eines oder mehrerer Tags zu einem Trail
Führen Sie zum Hinzufügen eines oder mehrerer Tags zu einem Trail den Befehl add-tags aus.
Im folgenden Beispiel wird einem Trail mit dem ARN arn:aws:cloudtrail: in der Region USA Ost (Ohio) ein Tag mit dem Namen us-east-2:123456789012:trail/my-trailOwner und dem Wert von hinzugefügt. Mary
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail--tags-list Key=Owner,Value=Mary--region us-east-2
Bei erfolgreicher Ausführung gibt dieser Befehl nichts zurück.
Auflisten von Tags für einen oder mehrere Trails
Verwenden Sie zur Anzeige der mit einem oder mehreren vorhandenen Trails verbundenen Tags den list-tags-Befehl.
Im folgenden Beispiel werden die Tags für Trail1 und aufgeführtTrail2.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
Ist der Befehl erfolgreich, wird eine Ausgabe zurückgegeben, die wie folgt aussehen sollte.
{
"ResourceTagList": [
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1",
"TagsList": [
{
"Value": "Alice",
"Key": "Name"
},
{
"Value": "Ohio",
"Key": "Location"
}
]
},
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2",
"TagsList": [
{
"Value": "Bob",
"Key": "Name"
}
]
}
]
}Entfernen eines oder mehrerer Tags aus einem Trail
Führen Sie zum Entfernen eines oder mehrerer Tags aus einem vorhandenen Trail den Befehl remove-tags aus.
Im folgenden Beispiel werden Tags mit den Namen Location und Name aus einem Trail mit dem ARN arn:aws:cloudtrail: in der Region USA Ost (Ohio) entfernt. us-east-2:123456789012:trail/Trail1
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1--tags-list Key=Name Key=Location --region us-east-2
Bei erfolgreicher Ausführung gibt dieser Befehl nichts zurück.
Abruf von Trail-Einstellungen und des Status eines Trails
Führen Sie den describe-trails Befehl aus, um Informationen über Wanderwege in einer AWS Region abzurufen. Das folgende Beispiel gibt Informationen zu in der Region USA Ost (Ohio) konfigurierten Trails aus.
aws cloudtrail describe-trails --region us-east-2
Wird der Befehl erfolgreich ausgeführt, wird Ihnen eine Ausgabe ähnlich der folgenden angezeigt.
{
"trailList": [
{
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket1",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
},
{
"Name": "my-special-trail",
"S3BucketName": "amzn-s3-demo-bucket2",
"S3KeyPrefix": "example-prefix",
"IncludeGlobalServiceEvents": false,
"IsMultiRegionTrail": false,
"HomeRegion": "us-east-2",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": true,
"IsOrganizationTrail": false
},
{
"Name": "my-org-trail",
"S3BucketName": "amzn-s3-demo-bucket3",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-1"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": true
}
]
}Rufen Sie mit dem Befehl get-trail Einstellungsinformationen zu einem bestimmten Trail ab. Im folgenden Beispiel werden Einstellungsinformationen für einen Pfad mit dem Namen zurückgegebenmy-trail.
aws cloudtrail get-trail - -namemy-trail
Ist der Befehl erfolgreich, wird eine Ausgabe zurückgegeben, die wie folgt aussehen sollte.
{
"Trail": {
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
}
}Führen Sie den Befehl get-trail-status aus, um den Status eines Trails abzurufen. Sie müssen diesen Befehl entweder von der AWS Region aus ausführen, in der er erstellt wurde (der Heimatregion), oder Sie müssen diese Region angeben, indem Sie den --region Parameter hinzufügen.
Anmerkung
Wenn es sich bei dem Trail um einen Organisations-Trail handelt und Sie ein Mitgliedskonto in der Organisation sind AWS Organizations, müssen Sie den vollständigen ARN dieses Trails angeben und nicht nur den Namen.
aws cloudtrail get-trail-status --namemy-trail
Wird der Befehl erfolgreich ausgeführt, wird Ihnen eine Ausgabe ähnlich der folgenden angezeigt.
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}Neben den im vorherigen JSON-Code gezeigten Feldern, enthält der Status bei Vorliegen von Amazon-SNS- oder Amazon-S3-Fehlern die folgenden Felder:
-
LatestNotificationError. Enthält den von Amazon SNS ausgegebenen Fehler, falls das Abonnieren eines Themas fehlgeschlagen ist. -
LatestDeliveryError. Enthält den von Amazon S3 ausgegebenen Fehler, wenn CloudTrail keine Protokolldatei an einen Bucket gesendet werden kann.
Konfiguration von CloudTrail Insights-Ereignisselektoren
Aktivieren Sie Insights-Ereignisse für einen Trail, indem Sie den Befehl put-insight-selectors ausführen und ApiCallRateInsight und/oder ApiErrorRateInsight als Wert des Attributs InsightType angeben. Um für einen Trail die Einstellungen zur Insights-Auswahl anzuzeigen, führen Sie den Befehl get-insight-selectors aus. Sie müssen diesen Befehl entweder von der AWS Region aus ausführen, in der der Trail erstellt wurde (der Heimatregion), oder Sie müssen diese Region angeben, indem Sie dem Befehl den --region Parameter hinzufügen.
Anmerkung
Um Insights-Ereignisse für ApiCallRateInsight zu protokollieren, muss der Trail write-Verwaltungsereignisse protokollieren. Um Insights-Ereignisse für ApiErrorRateInsight zu protokollieren, muss der Trail read- oder write-Verwaltungsereignisse protokollieren.
Beispiel-Trail zum Protokollieren von Insights-Ereignissen
Im folgenden Beispiel wird put-insight-selectors ein Insights-Ereignisselektor für einen Trail mit dem Namen TrailName3 erstellt. Dadurch wird die Erfassung von Insights-Ereignissen für den TrailName3 Trail aktiviert. Die Insights-Ereignisauswahl protokolliert sowohl ApiErrorRateInsight- als auch ApiCallRateInsight-Insights-Ereignistypen.
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
Im Beispiel wird die Insights-Ereignisauswahl zurückgegeben, die für den Trail konfiguriert wurde.
{
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}Beispiel: Sammlung von Insights-Ereignissen deaktivieren
Im folgenden Beispiel wird der put-insight-selectors Insights-Ereignisselektor für einen Trail mit dem Namen TrailName3 entfernt. Durch das Löschen der JSON-Zeichenfolge der Insights-Selektoren wird die Insights-Ereigniserfassung für den Trail deaktiviert. TrailName3
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[]'
Im Beispiel wird die jetzt leere Insights-Ereignisauswahl zurückgegeben, die für den Trail konfiguriert wurde.
{
"InsightSelectors": [ ],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}Konfigurieren von fortschrittlichen Ereignisauswahlen
Sie können erweiterte Event-Selektoren verwenden, um Verwaltungsereignisse, Datenereignisse für alle Ressourcentypen und Netzwerkaktivitätsereignisse (in der Vorschau) zu protokollieren. Im Gegensatz dazu können Sie einfache Ereignisauswahlfunktionen verwenden, um Verwaltungsereignisse und Datenereignisse für die AWS::S3::Object Ressourcentypen AWS::DynamoDB::TableAWS::Lambda::Function, und zu protokollieren. Sie können entweder einfache oder erweiterte Ereignisselektoren verwenden, aber nicht beide. Wenn Sie erweiterte Event-Selektoren auf einen Trail anwenden, der einfache Event-Selektoren verwendet, werden die grundlegenden Event-Selektoren überschrieben.
Um einen Trail in erweiterte Event-Selektoren umzuwandeln, führen Sie den get-event-selectors Befehl aus, um die aktuellen Event-Selektoren zu bestätigen, und konfigurieren Sie dann die erweiterten Event-Selektoren so, dass sie der Reichweite der vorherigen Event-Selektoren entsprechen, und fügen Sie dann weitere Selektoren hinzu.
Sie müssen den get-event-selectors Befehl entweder von dem Ort aus ausführen, AWS-Region an dem der Trail erstellt wurde (der Heimatregion), oder Sie müssen diese Region angeben, indem Sie den Parameter hinzufügen. --region
aws cloudtrail get-event-selectors --trail-nameTrailName
Anmerkung
Wenn es sich bei dem Trail um einen Organisationspfad handelt und Sie mit einem Mitgliedskonto in der Organisation angemeldet sind AWS Organizations, müssen Sie den vollständigen ARN des Trails angeben und nicht nur den Namen.
Das folgende Beispiel zeigt die Einstellungen für einen Trail, der erweiterte Event-Selektoren verwendet, um Verwaltungsereignisse zu protokollieren. Standardmäßig ist ein Trail so konfiguriert, dass alle Verwaltungsereignisse und keine Datenereignisse oder Netzwerkaktivitätsereignisse protokolliert werden.
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
]
}Um eine fortschrittliche Ereignisauswahl zu erstellen, führen Sie den Befehl put-event-selectors aus. Wenn in Ihrem Konto ein Ereignis eintritt, wird die Konfiguration für Ihre Trails CloudTrail ausgewertet. Entspricht das Ereignis einer für den Trail festgelegten fortschrittlichen Ereignisauswahl, verarbeitet und protokolliert der Trail das Ereignis. Sie können bis zu 500 Bedingungen auf einem Trail konfigurieren, einschließlich aller Werte, die für alle erweiterten Ereignisselektoren auf Ihrem Trail angegeben sind. Weitere Informationen erhalten Sie unter Protokollieren von Datenereignissen und Protokollierung von Netzwerkaktivitätsereignissen.
Beispiel-Trail mit bestimmten fortschrittlichen Ereignisauswahlen
Das folgende Beispiel erstellt benutzerdefinierte erweiterte Event-Selektoren für einen Trail, der so benannt ist, TrailName dass er Lese- und Schreibverwaltungsereignisse (durch Weglassen des readOnly Selektors) PutObject und DeleteObject Datenereignisse für alle Amazon S3 S3-Bucket/Präfix-Kombinationen mit Ausnahme eines Buckets mit dem Namenamzn-s3-demo-bucket, Datenereignisse für eine AWS Lambda Funktion mit dem Namen und Netzwerkaktivitätsereignisse für Ereignisse mit AWS KMS Zugriffsverweigerung über einen VPC-Endpunkt umfasst. MyLambdaFunction Da es sich um benutzerdefinierte erweiterte Ereignisselektoren handelt, hat jeder Satz von Selektoren einen beschreibenden Namen. Beachten Sie, dass ein abschließender Schrägstrich Teil des ARN-Werts für S3 Buckets ist.
aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
{ "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
{ "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["NetworkActivity"]},
{ "Field": "eventSource", "Equals": ["kms.amazonaws.com"]},
{ "Field": "errorCode", "Equals": ["VpceAccessDenied"]}
]
}
]'Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{
"AdvancedEventSelectors": [
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
}
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::S3::Object" ]
},
{
"Field": "resources.ARN",
"NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
},
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::Lambda::Function" ]
},
{
"Field": "eventName",
"Equals": [ "Invoke" ]
},
{
"Field": "resources.ARN",
"Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ]
}
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}Beispiel-Trail, der benutzerdefinierte erweiterte Event-Selektoren verwendet, um AWS Outposts Datenereignisse in Amazon S3 zu protokollieren
Das folgende Beispiel zeigt, wie Sie Ihren Trail so konfigurieren, dass er alle Datenereignisse für alle Amazon S3 AWS Outposts S3-Objekte in Ihrem Außenposten enthält. In dieser Version ist der unterstützte Wert für S3 bei AWS Outposts Ereignissen für das resources.type AWS::S3Outposts::Object Feld.
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
]
}
]'
Der Befehl gibt die folgende Beispielausgabe zurück.
{
"AdvancedEventSelectors": [
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3Outposts::Object"
]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName"
}Beispiel für einen Trail, der erweiterte Event-Selektoren verwendet, um Ereignisse auszuschließen AWS Key Management Service
Im folgenden Beispiel wird eine erweiterte Ereignisauswahl für einen Trail erstellt, der so benannt ist, TrailName dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz (durch Weglassen des readOnly Selektors), aber Ereignisse ausschließt (). AWS Key Management Service AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, entfernen Sie die eventSource Auswahl und führen Sie den Befehl erneut aus.
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
]
}
]'Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "kms.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}Um die Protokollierung ausgeschlossener Ereignisse erneut in einen Trail zu starten, entfernen Sie den eventSource-Selektor, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'Beispielpfad, der erweiterte Event-Selektoren verwendet, um Amazon RDS Data API-Verwaltungsereignisse auszuschließen
Im folgenden Beispiel wird ein erweiterter Event-Selektor für einen Trail erstellt, der so benannt istTrailName, dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz (durch Weglassen des readOnly Selektors) einschließt, Amazon RDS Data API-Verwaltungsereignisse jedoch ausschließt. Um Amazon RDS Data API-Verwaltungsereignisse auszuschließen, geben Sie die Amazon RDS-Daten-API-Ereignisquelle im Zeichenfolgenwert für das eventSource Feld an:rdsdata.amazonaws.com.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden Amazon RDS Data API-Verwaltungsereignisse nicht protokolliert, und Sie können die Einstellungen für die Amazon RDS Data API-Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von Amazon RDS Data API-Verwaltungsereignissen in einem Trail zu beginnen, entfernen Sie den eventSource Selektor und führen Sie den Befehl erneut aus.
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
]
}
]'Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "rdsdata.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}Um die Protokollierung ausgeschlossener Ereignisse erneut in einen Trail zu starten, entfernen Sie den eventSource-Selektor, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'Konfiguration grundlegender Event-Selektoren
Sie können nur grundlegende Ereignisselektoren verwenden, um Verwaltungsereignisse und Datenereignisse für die AWS::S3::Object Ressourcentypen AWS::DynamoDB::TableAWS::Lambda::Function, und zu protokollieren. Sie können Verwaltungsereignisse, alle Datenressourcentypen und Netzwerkaktivitätsereignisse (in der Vorschau) protokollieren, indem Sie erweiterte Ereignisauswahlfunktionen verwenden.
Sie können entweder einfache oder erweiterte Ereignisauswahlen verwenden, aber nicht beide. Wenn Sie einfache Event-Selektoren auf einen Trail anwenden, der erweiterte Event-Selektoren verwendet, werden die erweiterten Event-Selektoren überschrieben.
Um für einen Trail die Einstellungen zu den Ereignisauswahlen anzuzeigen, führen Sie den get-event-selectors-Befehl aus. Sie müssen diesen Befehl entweder von dem Ort aus ausführen, AWS-Region an dem er erstellt wurde (in der Heimatregion), oder Sie müssen diese Region mithilfe des Parameters angeben. --region
aws cloudtrail get-event-selectors --trail-nameTrailName
Anmerkung
Wenn es sich bei dem Trail um einen Organisations-Trail handelt und Sie ein Mitgliedskonto in der Organisation sind AWS Organizations, müssen Sie den vollständigen ARN dieses Trails angeben und nicht nur den Namen.
Das folgende Beispiel zeigt die Einstellungen für einen Trail, der grundlegende Ereignisauswahlfunktionen verwendet, um Verwaltungsereignisse zu protokollieren.
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}Um eine Ereignisauswahl zu erstellen, führen Sie den Befehl put-event-selectors aus. Wenn Sie mit dem Trail Insights-Ereignisse protokollieren möchten, stellen Sie sicher, dass die Ereignisauswahl die Protokollierung der Insights-Typen aktiviert, für die Sie Ihren Trail konfigurieren möchten. Weitere Informationen zum Protokollieren von Insights-Ereignissen finden Sie unter Mit CloudTrail Insights arbeiten.
Wenn ein Ereignis im Konto auftritt, wertet CloudTrail die Konfiguration für die Trails aus. Entspricht das Ereignis einer für den Trail festgelegten Ereignisauswahl, verarbeitet und protokolliert der Trail das Ereignis. Sie können bis zu 5 Ereignisauswahlen und bis zu 250 Datenressourcen für einen Trail konfigurieren. Weitere Informationen finden Sie unter Protokollieren von Datenereignissen.
Themen
Beispiel-Trail mit bestimmten Ereignisauswahlen
Das folgende Beispiel erstellt einen Event-Selector für einen Trail, der so benannt ist, TrailName dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz, Datenereignisse für zwei Amazon S3 S3-Bucket/Präfix-Kombinationen und Datenereignisse für eine einzelne Funktion mit dem Namen umfasst. AWS Lambda hello-world-python-function
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
Das Beispiel gibt die für den Trail konfigurierte Ereignisauswahl zurück.
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::amzn-s3-demo-bucket/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function"
],
"Type": "AWS::Lambda::Function"
},
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}Beispiel-Trail, für den alle Verwaltungs- und Datenereignisse protokolliert werden
Das folgende Beispiel erstellt einen Event-Selektor für einen Trail mit dem NamenTrailName2, der alle Verwaltungsereignisse, einschließlich schreibgeschützter und schreibgeschützter Verwaltungsereignisse, und Datenereignisse für alle Amazon S3 S3-Buckets, AWS Lambda Funktionen und Amazon DynamoDB-Tabellen in der enthält. AWS-Konto Da dieses Beispiel grundlegende Event-Selektoren verwendet, kann es nicht die Protokollierung für S3-Ereignisse AWS Outposts, Amazon Managed Blockchain JSON-RPC-Aufrufe auf Ethereum-Knoten oder andere erweiterte Event-Selector-Ressourcentypen konfigurieren. Sie können Netzwerkaktivitätsereignisse auch nicht mit einfachen Event-Selektoren protokollieren. Sie müssen erweiterte Ereignisauswahlfunktionen verwenden, um Netzwerkaktivitätsereignisse und Datenereignisse für alle anderen Ressourcentypen zu protokollieren. Weitere Informationen finden Sie unter Konfigurieren von fortschrittlichen Ereignisauswahlen.
Anmerkung
Wenn der Trail nur für eine Region gilt, werden nur Ereignisse in dieser Region protokolliert, auch wenn die Ereignisauswahlparameter alle Amazon-S3-Buckets und Lambda-Funktionen angeben. Ereignisauswahlen gelten nur für die Regionen, in denen der Trail erstellt wurde.
aws cloudtrail put-event-selectors --trail-nameTrailName2--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
Das Beispiel gibt die für den Trail konfigurierten Ereignisauswahlen zurück.
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda"
],
"Type": "AWS::Lambda::Function"
},
{
"Values": [
"arn:aws:dynamodb"
],
"Type": "AWS::DynamoDB::Table"
}
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"
}Beispiel für einen Trail, der keine Ereignisse protokolliert AWS Key Management Service
Im folgenden Beispiel wird eine Ereignisauswahl für einen Trail erstellt, der so benannt istTrailName, dass er Verwaltungsereignisse mit Schreibschutz und Lesezugriff, aber Ereignisse () ausschließt. AWS Key Management Service AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst. Der Benutzer in diesem Beispiel hat sich entschieden, AWS KMS -Ereignisse für jeden Trail – bis auf einen – auszuschließen. Fügen Sie Ihren Ereignisauswahlen zum Ausschließen einer Ereignisquelle das Element ExcludeManagementEventSources hinzu und geben Sie im Zeichenfolgenwert eine Ereignisquelle an.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert vonExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
Im Beispiel wird die Ereignisauswahl zurückgegeben, die für den Trail konfiguriert ist.
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "kms.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert vonExcludeManagementEventSources, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Ein Beispiel-Trail, der relevante Ereignisse mit geringem Volumen AWS Key Management Service protokolliert
Im folgenden Beispiel wird eine Ereignisauswahl für einen Trail erstellt, der so benannt ist, dass er Verwaltungsereignisse und Ereignisse enthältTrailName, die nur Schreibzugriff haben. AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst. Der Benutzer in diesem Beispiel hat sich dafür entschieden, AWS KMS Write-Ereignisse einzubeziehenDisable, die Delete undScheduleKey, aber nicht mehr umfangreiche Aktionen wieEncrypt,Decrypt, und beinhalten GenerateDataKey (diese werden jetzt als Lese-Ereignisse behandelt).
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Im Beispiel wird die Ereignisauswahl zurückgegeben, die für den Trail konfiguriert ist. Dadurch werden Verwaltungsereignisse, einschließlich Ereignisse, nur für Schreibvorgänge protokolliert. AWS KMS
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "WriteOnly"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}Beispiel-Trail, für den keine Amazon-RDS-Daten-API-Ereignisse protokolliert werden
Das folgende Beispiel erstellt einen Event-Selector für einen Trail, der so benannt istTrailName, dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz enthält, aber Amazon RDS Data API-Ereignisse ausschließt. Da Amazon RDS Data API-Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst. Der Benutzer in diesem Beispiel hat sich entschieden, Amazon-RDS-Daten-API-Ereignisse für jeden Trail – bis auf einen – auszuschließen. Fügen Sie Ihren Ereignisauswahlen zum Ausschließen einer Ereignisquelle das Element ExcludeManagementEventSources hinzu und geben Sie im Zeichenfolgenwert eine Amazon-RDS-Daten-API-Ereignisquelle an: rdsdata.amazonaws.com.
Wenn Sie Verwaltungsereignisse nicht protokollieren möchten, werden Amazon-RDS-Daten-API-Ereignisse nicht protokolliert und Sie können die Einstellungen für die Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von Amazon RDS Data API-Verwaltungsereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert vonExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
Im Beispiel wird die Ereignisauswahl zurückgegeben, die für den Trail konfiguriert ist.
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}Um wieder mit der Protokollierung von Amazon RDS Data API-Verwaltungsereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert vonExcludeManagementEventSources, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Anhalten und Starten der Protokollierung für einen Trail
Die folgenden Befehle starten und beenden die CloudTrail Protokollierung.
aws cloudtrail start-logging --nameawscloudtrail-example
aws cloudtrail stop-logging --nameawscloudtrail-example
Anmerkung
Führen Sie vor dem Löschen eines Buckets den Befehl stop-logging aus, um die Bereitstellung von Ereignissen im Bucket zu beenden. Wenn Sie die Protokollierung nicht beenden, wird CloudTrail versucht, Protokolldateien für einen begrenzten Zeitraum in einen Bucket mit demselben Namen zu übertragen.
Wenn Sie die Protokollierung beenden oder einen Trail löschen, ist CloudTrail Insights für diesen Trail deaktiviert.
Löschen eines Trails
Wenn Sie CloudTrail Verwaltungsereignisse in Amazon Security Lake aktiviert haben, müssen Sie mindestens einen organisatorischen Pfad verwalten, der mehrere Regionen umfasst read und sowohl Verwaltungsereignisse als auch write Verwaltungsereignisse protokolliert. Sie können einen Trail nicht löschen, wenn er der einzige Trail ist, den Sie haben, der diese Anforderung erfüllt, es sei denn, Sie deaktivieren CloudTrail Verwaltungsereignisse in Security Lake.
Sie können einen Trail mit dem folgenden Befehl löschen. Sie können einen Trail nur in der Region Löschen, in der er erstellt wurde (Home Region).
aws cloudtrail delete-trail --nameawscloudtrail-example
Wenn Sie einen Trail löschen, löschen Sie nicht den Amazon-S3-Bucket oder das mit diesem verbundene Amazon-SNS-Thema. Verwenden Sie die Dienst-API AWS Management Console AWS CLI, oder, um diese Ressourcen separat zu löschen.
