Erstellen eines Trails - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen eines Trails

Als bewährte Methode sollten Sie einen Trail erstellen, der für alle AWS-Regionen gilt. Dies ist die Standardeinstellung beim Erstellen eines Trails in der CloudTrail-Konsole. Wenn ein Trail für alle Regionen gilt, CloudTrail stellt Protokolldateien aus allen Regionen in der AWS Partition bereit, in der Sie an einen von Ihnen angegebenen S3-Bucket arbeiten. Nachdem Sie den Trail erstellt haben, beginnt AWS CloudTrail automatisch mit der Protokollierung der von Ihnen angegebenen Ereignisse.

Anmerkung

Nachdem Sie einen Trail erstellt haben, können Sie andere konfigurieren, AWS-Services um die in den CloudTrail Protokollen erfassten Ereignisdaten weiter zu analysieren und entsprechend zu agieren. Weitere Informationen finden Sie unter AWS -Serviceintegrationen mit - CloudTrail Protokollen.

Erstellen eines Trails in der Konsole

Führen Sie die folgenden Schritte aus, um einen Trail zu erstellen, der Ereignisse in allen AWS-Regionen in der AWS-Partition protokolliert, in der Sie arbeiten. Dies ist eine empfohlene bewährte Methode. Um Ereignisse in einer einzelnen Region zu protokollieren (nicht empfohlen), verwenden Sie AWS CLI.

So erstellen Sie einen CloudTrail Trail mit der AWS Management Console
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die - CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie auf der CloudTrail Service-Startseite, der Seite Trails oder dem Abschnitt Trails der Dashboard-Seite die Option Trail erstellen aus.

  3. Geben Sie auf der Seite Create Trail in Trail nameeinen Namen für den Trail ein. Weitere Informationen finden Sie unter Benennungsanforderungen.

  4. Wenn es sich um einen AWS Organizations-Organisations-Trail handelt, können Sie den Trail für alle Konten in Ihrer Organisation aktivieren. Diese Option wird nur angezeigt, wenn Sie sich mit einem Benutzer oder einer Rolle im Verwaltungskonto oder im Konto eines delegierten Administrators bei der Konsole anmelden. Zur Erstellung eines Organisations-Trails müssen dem Benutzer oder der Rolle ausreichende Berechtigungen zugewiesen sein. Weitere Informationen finden Sie unter Erstellen eines Trails für eine Organisation.

  5. Wählen Sie in Speicherort für Neuen S3 Bucket erstellen, um einen neuen Bucket zu erstellen. Wenn Sie einen Bucket erstellen, erstellt CloudTrail die erforderlichen Bucket-Richtlinien und wendet sie an.

    Anmerkung

    Wenn Sie die Option Vorhandenen S3-Bucket verwenden ausgewählt haben, geben Sie in Name des Trail-Protokoll-Buckets einen Bucket an oder wählen Sie Durchsuchen aus, um einen Bucket in Ihrem Konto auszuwählen. Wenn Sie einen Bucket aus einem anderen Konto verwenden möchten, müssen Sie den Bucket-Namen angeben. Die Bucket-Richtlinie muss die CloudTrail Berechtigung zum Schreiben erteilen. Informationen zur manuellen Bearbeitung der Bucket-Richtlinie finden Sie im Abschnitt Amazon-S3-Bucket-Richtlinie für CloudTrail.

    Um das Auffinden Ihrer Protokolle zu erleichtern, erstellen Sie einen neuen Ordner (auch als Präfix bezeichnet) in einem vorhandenen Bucket, in dem Ihre CloudTrail Protokolle gespeichert werden. Geben Sie das Präfix in Präfix ein.

  6. Wählen Sie unter Log file SSE-KMS encryption (SSE-KMS-Verschlüsselung der Protokolldatei) die Option Enabled (Aktiviert) aus, wenn Sie Ihre Protokolldateien mit der SSE-KMS-Verschlüsselung anstelle der SSE-S3-Verschlüsselung verschlüsseln möchten. Der Standard ist aktiviert. Wenn Sie die SSE-KMS-Verschlüsselung nicht aktivieren, werden die Protokolle mit der SSE-S3-Verschlüsselung verschlüsselt. Weitere Informationen zur SSE-KMS-Verschlüsselung finden Sie unter Verwenden der serverseitigen Verschlüsselung mit AWS Key Management Service (SSE-KMS). Weitere Informationen zur SSE-S3-Verschlüsselung finden Sie unter Verwenden der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3).

    Wenn Sie die SSE-KMS-Verschlüsselung aktivieren, wählen Sie ein neues oder vorhandenes AWS KMS key. Geben Sie unter AWS KMS Alias einen Alias im Format analias/MyAliasName. Weitere Informationen finden Sie unter Aktualisieren einer Ressource zur Verwendung des KMS-Schlüssels. CloudTrail unterstützt auch AWS KMS multiregionale Schlüssel. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter Verwenden von Schlüsseln für mehrere Regionen im AWS Key Management Service-Entwicklerhandbuch.

    Anmerkung

    Sie können auch den ARN eines Schlüssels aus einem anderen Konto eingeben. Weitere Informationen finden Sie unter Aktualisieren einer Ressource zur Verwendung des KMS-Schlüssels. Die Schlüsselrichtlinie muss zulassen CloudTrail , dass den -Schlüssel zum Verschlüsseln Ihrer Protokolldateien verwendet, und den von Ihnen angegebenen Benutzern erlauben, Protokolldateien unverschlüsselt zu lesen. Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter AWS KMS-Schlüsselrichtlinien für CloudTrail konfigurieren.

  7. Konfigurieren Sie unter Zusätzliche Einstellungen Folgendes.

    1. Wähen Sie für Protokolldateivalidierung Aktiviert, damit Ihrem S3 Bucket Protokoll-Digests übermittelt werden. Sie können die Digest-Dateien verwenden, um zu überprüfen, ob sich Ihre Protokolldateien nach der CloudTrail Zustellung nicht geändert haben. Weitere Informationen finden Sie unter Validieren der Integrität von CloudTrail-Protokolldateien.

    2. Wählen Sie für SNS-Benachrichtigungszustellung die Option Aktiviert aus, um jedes Mal benachrichtigt zu werden, wenn ein Protokoll an Ihren Bucket übermittelt wird. CloudTrail speichert mehrere Ereignisse in einer Protokolldatei. SNS-Benachrichtigungen werden für jede Protokolldatei, nicht für jedes Ereignis gesendet. Weitere Informationen finden Sie unter Konfigurieren von Amazon-SNS-Benachrichtigungen für CloudTrail.

      Wenn Sie SNS-Benachrichtigungen aktivieren, wählen Sie für Neues SNS-Thema erstellen die Option Neu aus, um ein Thema zu erstellen, oder wählen Sie Vorhanden aus, um ein vorhandenes Thema zu verwenden. Wenn Sie einen Trail erstellen, der für alle Regionen gilt, werden SNS-Benachrichtigungen für Protokolldateizustellungen aus allen Regionen an das von Ihnen erstellte einzelne SNS-Thema gesendet.

      Wenn Sie Neu wählen, CloudTrail gibt einen Namen für das neue Thema für Sie an, oder Sie können einen Namen eingeben. Wenn Sie Vorhanden wählen, wählen Sie ein SNS-Thema aus der Dropdown-Liste aus. Sie können auch den ARN eines Themas aus einer anderen Region oder aus einem Konto mit den entsprechenden Berechtigungen eingeben. Weitere Informationen finden Sie unter Amazon-SNS-Themenrichtlinie für CloudTrail.

      Wenn Sie ein Thema erstellen, müssen Sie das Thema abonnieren, um über die Zustellung von Protokolldateien benachrichtigt zu werden. Sie können das Abonnement von der Amazon-SNS-Konsole aus vornehmen. Aufgrund der Häufigkeit der Benachrichtigungen empfehlen wir, das Abonnement so zu konfigurieren, dass eine Amazon-SQS-Warteschlange zur programmgesteuerten Bearbeitung der Benachrichtigungen verwendet wird. Weitere Informationen dazu erhalten Sie unter Amazon-Simple-Notification-Service-Handbuch für Erste Schritte.

  8. Konfigurieren Sie optional so, CloudTrail dass Protokolldateien an - CloudWatch Protokolle gesendet werden, indem Sie in CloudWatch -Protokolle die Option Aktiviert auswählen. Weitere Informationen finden Sie unter Senden von Ereignissen an CloudWatch Logs.

    1. Wenn Sie die Integration mit - CloudWatch Protokollen aktivieren, wählen Sie Neu, um eine neue Protokollgruppe zu erstellen, oder Vorhanden, um eine vorhandene zu verwenden. Wenn Sie Neu wählen, CloudTrail gibt einen Namen für die neue Protokollgruppe für Sie an, oder Sie können einen Namen eingeben.

    2. Wenn Sie Vorhanden wählen, wählen Sie eine Protokollgruppe aus der Dropdown-Liste aus.

    3. Wählen Sie Neu, um eine neue IAM-Rolle für Berechtigungen zum Senden von Protokollen an CloudWatch -Protokolle zu erstellen. Wählen Sie Vorhanden, um eine vorhandene IAM-Rolle aus der Dropdown-Liste auszuwählen. Die Richtlinienanweisung für die neue oder vorhandene Rolle wird angezeigt, wenn Sie das Richtliniendokument erweitern. Weitere Informationen über diese Rolle finden Sie unter Rollenrichtliniendokument für CloudTrail zur Verwendung von CloudWatch Logs für die Überwachung.

      Anmerkung
      • Beim Konfigurieren eines Trails können Sie einen S3 Bucket und ein SNS-Thema auswählen, die zu einem anderen Konto gehören. Wenn Sie jedoch Ereignisse an eine CloudWatch Logs CloudTrail -Protokollgruppe übermitteln möchten, müssen Sie eine Protokollgruppe auswählen, die in Ihrem aktuellen Konto vorhanden ist.

      • Nur das Verwaltungskonto kann mithilfe der Konsole eine CloudWatch Protokollgruppe für einen Organisations-Trail konfigurieren. Der delegierte Administrator kann eine CloudWatch Protokollgruppe mithilfe der UpdateTrail API-Operationen AWS CLI oder CloudTrail CreateTrail oder konfigurieren.

  9. Fügen Sie für Tags ein oder mehrere benutzerdefinierte Tags (Schlüssel-Wert-Paare) zu Ihrem Trail hinzu. Tags können Ihnen helfen, sowohl Ihre CloudTrail Trails als auch die Amazon S3-Buckets zu identifizieren, die CloudTrail Protokolldateien enthalten. Anschließend können Sie Ressourcengruppen für Ihre CloudTrail Ressourcen verwenden. Weitere Informationen finden Sie unter AWS Resource Groups und Warum sollten Sie Tags für - CloudTrail Ressourcen verwenden?.

  10. Wählen Sie auf der Seite Protokollereignisse auswählen die Ereignistypen aus, die Sie protokollieren möchten. Führen Sie unter Management events (Verwaltungsereignisse) die folgenden Schritte aus.

    1. Wählen Sie für API-Aktivität aus, ob Ihr Trail Leseereignisse, Schreibereignisse oder beides protokollieren soll. Weitere Informationen finden Sie unter Verwaltungsereignisse.

    2. Wählen Sie AWS KMS-Ereignisse ausschließen, um AWS Key Management Service-(AWS KMS)-Ereignisse aus Ihrem Trail herauszufiltern. Die Standardeinstellung besteht darin, alle AWS KMS-Ereignissen einzuschließen.

      Die Option zum Protokollieren oder Ausschließen von AWS KMS-Ereignissen ist nur verfügbar, wenn Sie Verwaltungsereignisse in Ihrem Trail protokollieren. Wenn Sie Verwaltungsereignisse nicht protokollieren möchten, werden AWS KMS-Ereignisse nicht protokolliert und Sie können die Einstellungen für die AWS KMS-Ereignisprotokollierung nicht ändern.

      AWS KMS-Aktionen wie Encrypt, Decrypt und GenerateDataKey generieren in der Regel ein großes Volumen (mehr als 99 %) der Ereignisse. Diese Aktionen werden nun als Leseereignisse protokolliert. Relevante AWS KMS-Aktionen mit geringem Volume wie Disable, Delete und ScheduleKey (die normalerweise weniger als 0,5 % des AWS KMS-Ereignis-Volumes ausmachen) werden als Schreibereignisse protokolliert.

      Um Ereignisse mit hohem Volume wie Encrypt, Decrypt und GenerateDataKey auszuschließen, aber dennoch relevante Ereignisse wie Disable, Delete und ScheduleKey zu protokollieren, wählen Sie Schreibverwaltungsereignisse protokollieren und deaktivieren Sie das Kontrollkästchen für AWS KMS-Ereignisse ausschließen.

    3. Klicken Sie auf Amazon-RDS-Daten-API ausschließen zum Filtern von Ereignissen der Amazon-Relational-Database-Service-Daten-API aus Ihrem Trail. Die Standardeinstellung besteht darin, alle Amazon-RDS-Daten-API-Ereignisse einzubeziehen. Weitere Informationen über die Amazon-RDS-Daten-API finden Sie unter Protokollieren von Daten-API-Aufrufen mit AWS CloudTrail imAmazon-RDS-Benutzerhandbuch für Aurora.

  11. Zum Protokollieren von Datenereignissen wählen Sie Datenereignisse aus. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter AWS CloudTrail-Preisgestaltung.

  12. Wichtig

    Die Schritte 12 bis 16 betreffen die Konfiguration von Datenereignissen mithilfe erweiterter Ereignisauswahlen, was die Standardeinstellung ist. Mithilfe erweiterter Ereignisauswahlen können Sie mehr Datenereignistypen konfigurieren und genau steuern, welche Datenereignisse in Ihrem Trail erfasst werden. Wenn Sie sich für die Verwendung grundlegender Ereignisauswahlen entschieden haben, führen Sie die Schritte unter Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen aus und fahren Sie anschließend mit Schritt 17 dieses Verfahrens fort.

    Wählen Sie für Datenereignistyp den Ressourcentyp aus, für den Sie Datenereignisse protokollieren möchten. Weitere Informationen zu den verfügbaren Datenereignistypen finden Sie unter Datenereignisse.

    Anmerkung

    Um Datenereignisse für AWS Glue-Tabellen zu protokollieren, die von Lake Formation erstellt wurden, wählen Sie Lake Formation aus.

  13. Wählen Sie eine Protokollauswahlvorlage aus. CloudTrail enthält vordefinierte Vorlagen, die alle Datenereignisse für den Ressourcentyp protokollieren. Um eine benutzerdefinierte Protokoll-Selektorvorlage zu erstellen, wählen Sie Benutzerdefiniert aus.

    Anmerkung

    Wenn Sie eine vordefinierte Vorlage für S3 Buckets auswählen, wird die Datenereignisprotokollierung für alle Buckets aktiviert, die sich derzeit in Ihrem AWS-Konto befinden und alle Buckets, die Sie erstellen, nachdem Sie den Trail erstellt haben. Außerdem wird dadurch die Protokollierung von Datenereignisaktivitäten ermöglicht, die von einer beliebigen IAM-Identität in Ihrem AWS-Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen AWS-Konto gehört.

    Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl einer vordefinierten Vorlage, die alle S3 Buckets protokolliert, die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Protokolldatenereignisse für Amazon-S3-Buckets in anderen Regionen in Ihrem AWS-Konto protokolliert.

    Wenn Sie einen Trail für alle Regionen erstellen, aktiviert die Auswahl einer vordefinierten Vorlage für Lambda-Funktionen die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in Ihrem AWS-Konto befinden und alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), wird durch diese Auswahl die Datenereignisprotokollierung für alle Funktionen aktiviert, die sich derzeit in dieser Region in Ihrem AWS-Konto befinden, sowie für alle Lambda-Funktionen, die Sie ggf. in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.

    Die Protokollierung von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM-Identität in Ihrem AWS-Konto ausgeführt werden, selbst wenn diese Aktivität in einer Funktion ausgeführt wird, die zu einem anderen AWS-Konto gehört.

  14. (Optional) Geben Sie unter Selektorname einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird als Name in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die JSON-Ansicht erweitern.

  15. Erstellen Sie in den erweiterten Ereignisselektoren einen Ausdruck für die spezifischen Ressourcen, für die Sie Datenereignisse protokollieren möchten. Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.

    1. Wählen Sie aus den folgenden Feldern.

      • readOnlyreadOnly kann auf einen Wert von true oder gesetzt werdenfalse. Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. Get*- oder Describe*-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. Put*-, Delete*- oder Write*-Ereignisse. Um sowohl read- als auch write-Ereignisse zu protokollieren, fügen Sie keinen readOnly-Selektor hinzu.

      • eventNameeventName kann einen beliebigen Operator verwenden. Sie können damit alle Datenereignisse ein- oder ausschließenPutBucket, die in protokolliert wurden CloudTrail, z. B. PutItem, oder GetSnapshotBlock.

      • resources.ARN – Sie können jeden Operator mit verwendenresources.ARN, aber wenn Sie gleich oder nicht gleich verwenden, muss der Wert genau mit dem ARN einer gültigen Ressource des Typs übereinstimmen, den Sie in der Vorlage als Wert von angegeben habenresources.type.

        In der folgenden Tabelle wird das gültige ARN-Format für alle resources.type-Werte aufgeführt.

        resources.type resources.ARN
        AWS::DynamoDB::Table1
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/
        AWS::AppConfig::Configuration
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::KnowledgeBase
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::KinesisVideo::Stream
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::ManagedBlockchain::Network
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::PCAConnectorAD::Connector
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::QBusiness::Application
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster
        arn:partition:rds:region:account_ID:cluster/cluster_name

        AWS::S3::AccessPoint3

        arn:partition:s3:region:account_ID:accesspoint/access_point_name
        AWS::S3ObjectLambda::AccessPoint
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSMMessages::ControlChannel
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::ThinClient::Device
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 Bei Tabellen mit aktivierten Streams enthält das resources-Feld im Datenereignis sowohl AWS::DynamoDB::Stream als auch AWS::DynamoDB::Table. Wenn Sie AWS::DynamoDB::Table als resources.type angeben, werden standardmäßig sowohl DynamoDB-Tabellen- als auch DynamoDB-Stream-Ereignisse protokolliert. Um Streams-Ereignisse auszuschließen, fügen Sie einen Filter für das eventName Feld hinzu.

        2 Um alle Datenereignisse für alle Objekte in einem bestimmten S3-Bucket zu protokollieren, verwenden Sie den StartsWith-Operator und geben Sie nur die Bucket-ARN als übereinstimmenden Wert an. Der abschließende Schrägstrich ist beabsichtigt; schließen Sie ihn nicht aus.

        3 Um Ereignisse zu allen Objekten in einem S3-Zugangspunkt zu protokollieren, empfehlen wir, nur die Zugangspunkt-ARN zu verwenden, den Objektpfad nicht einzuschließen und die StartsWith- oder NotStartsWith-Operatoren oder zu verwenden.

      Weitere Informationen zu den ARN-Formaten von Datenereignisressourcen finden Sie unter Actions, resources, and condition keys (Aktionen, Ressourcen und Bedingungsschlüssel) im AWS Identity and Access Management-Benutzerhandbuch.

    2. Wählen Sie für jedes Feld + Bedingung aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Trail protokolliert werden, können Sie das Feld auf resources.ARN setzen, den Operator für nicht mit beginnen und dann entweder einen S3-Bucket-ARN einfügen oder nach den S3-Buckets suchen, für die Sie keine Ereignisse protokollieren möchten.

      Um den zweiten S3-Bucket hinzuzufügen, wählen Sie + Bedingung und wiederholen Sie dann die vorherige Anweisung, indem Sie den ARN für einen anderen Bucket einfügen oder nach einem anderen Bucket suchen.

      Anmerkung

      Sie können maximal 500 Werte für alle Selektoren auf einem Trail haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie eventName ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.

      Wenn Sie mehr als 15 000 Lambda-Funktionen in Ihrem Konto haben, können Sie beim Erstellen eines Trails nicht alle Funktionen in der CloudTrail Konsole anzeigen oder auswählen. Sie können jedoch alle Funktionen mit einer vordefinierten Selektorvorlage protokollieren, auch wenn sie nicht angezeigt werden. Wenn Sie Datenereignisse für bestimmte Funktionen protokollieren möchten, können Sie eine Funktion manuell hinzufügen, wenn Sie deren ARN kennen. Sie können die Erstellung des Trails auch in der Konsole abschließen und dann die AWS CLI und den Befehl put-event-selectors verwenden, um die Datenereignisprotokollierung für bestimmte Lambda-Funktionen zu konfigurieren. Für weitere Informationen, siehe Verwalten von Trails mit der AWS CLI.

    3. Wählen Sie + Feld, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht an, dass ein ARN in einem Selektor einem Wert entspricht, und geben Sie dann an, dass der ARN in einem anderen Selektor nicht dem gleichen Wert entspricht.

    4. Speichern Sie die Änderungen an Ihrer benutzerdefinierten Selektorvorlage, indem Sie Weiter wählen. Wählen Sie keine andere Protokoll-Selektorvorlage aus und verlassen Sie diese Seite nicht, da Ihre benutzerdefinierten Selektoren sonst verloren gehen.

  16. Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen. Wiederholen Sie die Schritte 12 bis zu diesem Schritt, um erweiterte Ereignisselektoren für den Datenereignistyp zu konfigurieren.

  17. Wählen Sie Insights-Ereignisse aus, wenn Ihr Trail Insights-Ereignisse protokollieren CloudTrail soll.

    Wählen Sie unter Ereignistyp Insights-Ereignisse aus. Sie müssen Schreib-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die API-Aufrufrate zu protokollieren. Sie müssen Lese- und Schreib-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die API-Fehlerrate zu protokollieren.

    CloudTrail Insights analysiert Verwaltungsereignisse auf ungewöhnliche Aktivitäten und protokolliert Ereignisse, wenn Anomalien erkannt werden. Standardmäßig werden für Trails keine Insights-Ereignisse protokolliert. Weitere Informationen zu Insights-Ereignissen erhalten Sie unter Protokollieren von Insights-Ereignissen. Für die Protokollierung von Insights-Ereignissen fallen zusätzliche Gebühren an. Die CloudTrail Preise finden Sie unter -AWS CloudTrailPreise.

    Insights-Ereignisse werden an einen anderen Ordner mit /CloudTrail-Insightdem Namen desselben S3-Buckets übermittelt, der im Bereich Speicherort der Trail-Detailseite angegeben ist. CloudTrail erstellt das neue Präfix für Sie. Wenn beispielsweise Ihr aktueller S3-Ziel-Bucket den Namen S3bucketName/AWSLogs/CloudTrail/ hat, lautet der Name mit dem Präfix als Zusatz S3bucketName/AWSLogs/CloudTrail-Insight/.

  18. Wenn Sie die Auswahl der zu protokollierenden Ereignistypen abgeschlossen haben, wählen Sie Weiter aus.

  19. Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten in einem Abschnitt, um die in diesem Abschnitt angezeigten Trail-Einstellungen zu ändern. Wenn Sie bereit sind, den Trail zu erstellen, wählen Sie Trail erstellen.

  20. Der neue Trail wird auf der Seite Trails angezeigt. In etwa 5 Minuten CloudTrail veröffentlicht Protokolldateien, die die APIAWS-Aufrufe in Ihrem Konto anzeigen. Sie können die Protokolldateien in dem von Ihnen angegebenen S3-Bucket anzeigen. Es kann bis zu 36 Stunden dauern CloudTrail , bis das erste Insights-Ereignis bereitstellt, wenn Sie die Insights-Ereignisprotokollierung aktiviert haben und ungewöhnliche Aktivitäten erkannt werden.

    Anmerkung

    CloudTrail liefert Protokolle in der Regel innerhalb von durchschnittlich 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter AWS CloudTrail Service Level Agreement.

    Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), CloudTrail versucht 30 Tage lang erneut, die Protokolldateien an Ihren S3-Bucket zuzustellen, und für diese attempted-to-deliver Ereignisse fallen CloudTrail Standardgebühren an. Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.

Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen

Sie können grundlegende Ereignisauswahlen verwenden, um Datenereignisse für Amazon-S3-Buckets, AWS Lambda-Funktionen und Amazon-DynamoDB-Tabellen zu protokollieren.


                    Grundlegende Ereignisauswahlen für Datenereignisse in einem Trail

Führen Sie die folgenden Schritte aus, um Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen zu konfigurieren.

Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen
  1. Wählen Sie unter Ereignisse die Option Datenereignisse aus, um Datenereignisse zu protokollieren. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter AWS CloudTrail-Preisgestaltung.

  2. Für Amazon-S3-Buckets:

    1. Wählen Sie für Daten-Ereignissquelle S3 aus.

    2. Sie können wählen, ob Sie alle aktuellen und zukünftigen S3 Buckets protokollieren oder einzelne Buckets oder Funktionen angeben möchten. Standardmäßig werden Datenereignisse für alle aktuellen und zukünftigen S3 Buckets protokolliert.

      Anmerkung

      Die Auswahl der Option Alle aktuellen und zukünftigen S3 Buckets als Standardoption ermöglicht die Datenereignisprotokollierung für alle Buckets, die sich derzeit im AWS-Konto befinden, sowie all jener Buckets, die Sie ggf. nach dem Erstellen des Trails erstellen. Außerdem wird dadurch die Protokollierung von Datenereignisaktivitäten ermöglicht, die von einer beliebigen IAM-Identität in Ihrem AWS-Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen AWS-Konto gehört.

      Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert die Auswahl von Alle aktuellen und zukünftigen S3 Buckets die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Protokolldatenereignisse für Amazon-S3-Buckets in anderen Regionen in Ihrem AWS-Konto protokolliert.

    3. Wenn Sie die Standardeinstellung Alle aktuellen und zukünftigen S3 Buckets beibehalten, können Sie Leseereignisse, Schreibereignisse oder beides protokollieren.

    4. Um einzelne Buckets auszuwählen, leeren Sie die Kontrollkästchen Lesen und Schreiben für Alle aktuellen und zukünftigen S3 Buckets. Suchen Sie unter Individuelle Bucket-Auswahl nach einem Bucket, in dem Datenereignisse protokolliert werden sollen. Suchen Sie nach bestimmten Buckets, indem Sie ein Bucket-Präfix für den gewünschten Bucket eingeben. Sie können in diesem Fenster mehrere Buckets auswählen. Wählen Sie Bucket hinzufügen, um Datenereignisse für weitere Buckets zu protokollieren. Wählen Sie, ob Sie Read (Lesen)-Ereignisse wie GetObject, Write (Schreiben)-Ereignisse wie PutObject oder Ereignisse beider Typen protokolliert werden sollen.

      Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Buckets konfigurieren. Wenn Sie beispielsweise die Protokollierung von Lese-Ereignissen für alle S3-Buckets festlegen und dann einen bestimmten Bucket für die Protokollierung von Datenereignissen hinzufügen, ist für den hinzugefügten Bucket bereits Lesen ausgewählt. Sie können die Auswahl nicht löschen. Sie können die Option nur für Write (Schreiben) konfigurieren.

      Um einen Bucket aus der Protokollierung zu entfernen, wählen Sie X aus.

  3. Um einen weiteren Datentyp hinzuzufügen, für den Datenereignisse protokolliert werden sollen, wählen Sie Datenereignistyp hinzufügen.

  4. Für Lambda-Funktionen:

    1. Wählen Sie für Daten-Ereignissquelle Lambda aus.

    2. Wählen Sie in der Lambda-Funktion Alle Regionen aus, um alle Lambda-Funktionen zu protokollieren, oder Eingabefunktion als ARN, um Datenereignisse für eine bestimmte Funktion zu protokollieren.

      Um Datenereignisse für alle Lambda-Funktionen in Ihrem AWS-Konto zu protokollieren, wählen Sie Log all current and future functions (Alle aktuellen und zukünftigen Funktionen protokollieren). Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Funktionen vornehmen. Alle Funktionen werden protokolliert, auch wenn nicht alle Funktionen angezeigt werden.

      Anmerkung

      Wenn Sie einen Trail für alle Regionen erstellen, wird durch diese Auswahl die Datenereignisprotokollierung für alle Funktionen aktiviert, die sich derzeit in Ihrem AWS-Konto befinden, sowie für alle Lambda-Funktionen, die Sie ggf. in einer Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), wird durch diese Auswahl die Datenereignisprotokollierung für alle Funktionen aktiviert, die sich derzeit in dieser Region in Ihrem AWS-Konto befinden, sowie für alle Lambda-Funktionen, die Sie ggf. in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.

      Die Protokollierung von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM-Identität in Ihrem AWS-Konto ausgeführt werden, selbst wenn diese Aktivität in einer Funktion ausgeführt wird, die zu einem anderen AWS-Konto gehört.

    3. Wenn Sie Eingabefunktion als ARN wählen, geben Sie den ARN einer Lambda-Funktion ein.

      Anmerkung

      Wenn Sie mehr als 15 000 Lambda-Funktionen in Ihrem Konto haben, können Sie beim Erstellen eines Trails nicht alle Funktionen in der CloudTrail Konsole anzeigen oder auswählen. Sie können weiterhin die Option wählen, alle Funktionen zu protokollieren, auch wenn sie nicht angezeigt werden. Wenn Sie Datenereignisse für bestimmte Funktionen protokollieren möchten, können Sie eine Funktion manuell hinzufügen, wenn Sie deren ARN kennen. Sie können die Erstellung des Trails auch in der Konsole abschließen und dann die AWS CLI und den Befehl put-event-selectors verwenden, um die Datenereignisprotokollierung für bestimmte Lambda-Funktionen zu konfigurieren. Weitere Informationen finden Sie unter Verwalten von Trails mit der AWS CLI.

  5. Für DynamoDB-Tabellen:

    1. Wählen Sie für Daten-Ereignissquelle DynamoDB aus.

    2. Wählen Sie unter DynamoDB table selection (DynamoDB-Tabellenauswahl) die Option Browse (Durchsuchen), um eine Tabelle auszuwählen, oder fügen Sie den ARN einer DynamoDB-Tabelle ein, auf die Sie Zugriff haben. Ein DynamoDB-Tabellen-ARN verwendet das folgende Format:

      arn:partition:dynamodb:region:account_ID:table/table_name

      Um eine weitere Tabelle hinzuzufügen, wählen Sie Add row (Zeile hinzufügen) und suchen Sie nach einer Tabelle oder fügen Sie den ARN einer Tabelle ein, auf die Sie Zugriff haben.

  6. Um Insights-Ereignisse und andere Einstellungen für Ihren Trail zu konfigurieren, kehren Sie zum vorherigen Verfahren in diesem Thema zurück, Erstellen eines Trails in der Konsole.

Nächste Schritte

Nach der Trail-Erstellung können Sie zu dem Trail zurückkehren, um Änderungen vorzunehmen: