Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudTrail Ereignisse verstehen
Ein Ereignis in CloudTrail ist die Aufzeichnung einer Aktivität in einem AWS Konto. Bei dieser Aktivität kann es sich um eine Aktion handeln, die von einer IAM-Identität oder einem Dienst ausgeführt wird, der von überwacht werden kann. CloudTrail CloudTrail Ereignisse bieten einen Verlauf der API- und Nicht-API-Kontoaktivitäten, die mithilfe von AWS SDKs AWS Management Console, Befehlszeilentools und anderen Programmen durchgeführt wurden. AWS-Services
CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass Ereignisse nicht in einer bestimmten Reihenfolge angezeigt werden.
Es gibt drei Arten von CloudTrail Ereignissen:
Standardmäßig protokollieren Trails und Ereignisdatenspeicher Verwaltungsereignisse, aber keine Daten- oder Insights-Ereignisse.
Alle Ereignistypen verwenden ein CloudTrail JSON-Protokollformat. Das Protokoll enthält Informationen zu Anforderungen von Ressourcen in Ihrem Konto, z. B. wer die Anforderung gestellt hat, welche Services verwendet, welche Aktionen ausgeführt und welche Parameter für die Aktion eingesetzt wurden. Die Ereignisdaten sind in einem Records-Array enthalten.
Hinweise zu Feldern für CloudTrail Ereignisdatensätze finden Sie unterCloudTrail Inhalt aufzeichnen.
Verwaltungsereignisse
Verwaltungsereignisse enthalten Informationen über Verwaltungsvorgänge, die mit Ressourcen in Ihrem AWS Konto ausgeführt werden. Sie werden auch als Vorgänge auf Steuerebene bezeichnet.
Beispiele für Verwaltungsereignisse:
-
Konfiguration der Sicherheit (z. B. AWS Identity and Access Management
AttachRolePolicyAPI-Operationen). -
Registrieren von Geräten (z. B.
CreateDefaultVpc-API-Operationen von Amazon EC2). -
Konfigurieren von Regeln für die Datenweiterleitung (z. B.
CreateSubnet-API-Operationen von Amazon EC2). -
Einrichtung der Protokollierung (z. B. AWS CloudTrail
CreateTrailAPI-Operationen).
Verwaltungsereignisse können auch andere als API-Ereignisse einschließen, die in Ihrem Konto auftreten. Wenn sich beispielsweise ein Benutzer bei Ihrem Konto CloudTrail anmeldet, wird das ConsoleLogin Ereignis protokolliert. Weitere Informationen finden Sie unter Nicht-API-Ereignisse, erfasst von CloudTrail.
In den Ereignisdaten von CloudTrail Trails und CloudTrail Lake werden standardmäßig Verwaltungsereignisse gespeichert. Weitere Informationen zur Protokollierung von Verwaltungsereignissen finden Sie unterProtokollieren von Verwaltungsereignissen.
Das folgende Beispiel zeigt einen einzelnen Protokolldatensatz eines Verwaltungsereignisses. In diesem Fall Mary_Major führte ein IAM-Benutzer mit dem Namen den aws cloudtrail start-logging Befehl aus, um die CloudTrail StartLoggingAktion zum Starten des Protokollierungsprozesses in einem Pfad mit dem Namen myTrail aufzurufen.
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLE6E4XEGITWATV6R", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "attributes": { "creationDate": "2023-07-19T21:11:57Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-19T21:33:41Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.5 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-logging", "requestParameters": { "name": "myTrail" }, "responseElements": null, "requestID": "9d478fc1-4f10-490f-a26b-EXAMPLE0e932", "eventID": "eae87c48-d421-4626-94f5-EXAMPLEac994", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
Im nächsten Beispiel hat ein IAM-Benutzer mit dem Namen Paulo_Santos den Befehl aws cloudtrail start-event-data-store-ingestion ausgeführt, um die Aktion StartEventDataStoreIngestion aufzurufen und die Aufnahme in einen Ereignisdatenspeicher zu starten.
{ "eventVersion": "1.09", "userIdentity": { "type": "IAMUser", "principalId": "EXAMPLEPHCNW5EQV7NA54", "arn": "arn:aws:iam::123456789012:user/Paulo_Santos", "accountId": "123456789012", "accessKeyId": "(AKIAIOSFODNN7EXAMPLE", "userName": "Paulo_Santos", "sessionContext": { "attributes": { "creationDate": "2023-07-21T21:55:30Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-07-21T21:57:28Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartEventDataStoreIngestion", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.13.1 Python/3.11.4 Linux/4.14.255-314-253.539.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off command/cloudtrail.start-event-data-store-ingestion", "requestParameters": { "eventDataStore": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/2a8f2138-0caa-46c8-a194-EXAMPLE87d41" }, "responseElements": null, "requestID": "f62a3494-ba4e-49ee-8e27-EXAMPLE4253f", "eventID": "d97ca7e2-04fe-45b4-882d-EXAMPLEa9b2c", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true" }
Datenereignisse
Datenereignisse liefern Informationen zu Ressourcenoperationen, die für oder innerhalb einer Ressource ausgeführt wurden. Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume.
Beispiele für Datenereignisse:
-
Amazon S3 S3-API-Aktivität auf Objektebene (z. B.,
GetObjectDeleteObject, undPutObjectAPI-Operationen) für Objekte in S3-Buckets. -
AWS Lambda Aktivität zur Ausführung von Funktionen (die
InvokeAPI). -
CloudTrail
PutAuditEventsAktivität auf einem CloudTrail Lake-Kanal, der verwendet wird, um Ereignisse von außen zu protokollieren AWS. -
Publish- undPublishBatch-API-Operationen von Amazon SNS zu Themen.
In der folgenden Tabelle sind die Datenereignistypen aufgeführt, die für Trails und Ereignisdatenspeicher verfügbar sind. In der Spalte Datenereignistyp (Konsole) wird die entsprechende Auswahl in der Konsole angezeigt. In der Wertspalte resources.type wird der resources.type Wert angezeigt, den Sie angeben würden, um Datenereignisse dieses Typs mithilfe der APIs oder in Ihren Trail- oder Event-Datenspeicher aufzunehmen. AWS CLI CloudTrail
Für Trails können Sie einfache oder erweiterte Event-Selektoren verwenden, um Datenereignisse für Amazon S3 S3-Objekte in Allzweck-Buckets, Lambda-Funktionen und DynamoDB-Tabellen (in den ersten drei Zeilen der Tabelle dargestellt) zu protokollieren. Sie können nur erweiterte Ereignisselektoren verwenden, um die in den verbleibenden Zeilen angezeigten Datenereignistypen zu protokollieren.
Für Ereignisdatenspeicher können Sie nur erweiterte Ereignisselektoren verwenden, um Datenereignisse einzubeziehen.
| AWS-Service | Beschreibung | Typ des Datenereignisses (Konsole) | resources.type-Wert |
|---|---|---|---|
| Amazon-DynamoDB | Amazon DynamoDB DynamoDB-API-Aktivität auf Artikelebene für Tabellen (z. B., AnmerkungBei Tabellen mit aktivierten Streams enthält das |
DynamoDB |
|
| AWS Lambda | AWS Lambda Aktivität zur Funktionsausführung (die |
Lambda | AWS::Lambda::Function |
| Amazon S3 | API-Aktivitäten auf Amazon S3 S3-Objektebene (z. B., |
S3 | AWS::S3::Object |
| AWS AppConfig | AWS AppConfig API-Aktivität für Konfigurationsvorgänge wie Aufrufe von und. |
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS B2B-Datenaustausch | B2B-Datenaustausch-API-Aktivität für Transformer-Operationen wie Aufrufe von |
B2B-Datenaustausch | AWS::B2BI::Transformer |
| Amazon Bedrock | Amazon-Bedrock-API-Aktivität auf einem Agent-Alias. | Bedrock-Agent-Alias | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | Amazon-Bedrock-API-Aktivität auf einer Wissensdatenbank. | Bedrock-Wissensdatenbank | AWS::Bedrock::KnowledgeBase |
| Amazon CloudFront | CloudFront API-Aktivität auf einem KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS Cloud Map | AWS Cloud Map API-Aktivität in einem Namespace. | AWS Cloud Map Namespace | |
| AWS Cloud Map | AWS Cloud Map API-Aktivität für einen Dienst. | AWS Cloud Map Service nicht zulässig | |
| AWS CloudTrail | CloudTrail |
CloudTrail Kanal | AWS::CloudTrail::Channel |
| Amazon CloudWatch | CloudWatch Amazon-API-Aktivität in Bezug auf Metriken. |
CloudWatch Metrik | AWS::CloudWatch::Metric |
| Amazon CodeWhisperer | CodeWhisperer Amazon-API-Aktivität bei einer Anpassung. | CodeWhisperer Anpassung | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | CodeWhisperer Amazon-API-Aktivität in einem Profil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | API-Aktivität von Amazon Cognito in Amazon-Cognito-Identitätspools. |
Cognito-Identitätspools | AWS::Cognito::IdentityPool |
| Amazon-DynamoDB | API-Aktivitäten von Amazon DynamoDB in Streams. |
DynamoDB-Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | Direkte APIs von Amazon Elastic Block Store (EBS) wie |
Amazon EBS Direct-APIs | AWS::EC2::Snapshot |
| Amazon EMR | API-Aktivität von Amazon EMR in einem Write-Ahead-Log-Workspace. | EMR-Write-Ahead-Log-Workspace | AWS::EMRWAL::Workspace |
| Amazon FinSpace | API-Aktivitäten von Amazon FinSpace in Umgebungen. |
FinSpace | AWS::FinSpace::Environment |
| AWS Glue | AWS Glue API-Aktivität für Tabellen, die von Lake Formation erstellt wurden. |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | GuardDuty Amazon-API-Aktivität für einen Detektor. |
GuardDuty Detektor | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging API-Aktivität in Datenspeichern. |
MedicalImaging Datenspeicher | AWS::MedicalImaging::Datastore |
| AWS IoT | IoT-Zertifikat | AWS::IoT::Certificate |
|
| AWS IoT | IoT-Sache | AWS::IoT::Thing |
|
| AWS IoT Greengrass Version 2 | Greengrass-API-Aktivität von einem Greengrass-Core-Gerät auf einer Komponentenversion. AnmerkungGreengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde. |
IoT Greengrass-Komponentenversion | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | Greengrass-API-Aktivität von einem Greengrass-Core-Gerät in einer Bereitstellung. AnmerkungGreengrass protokolliert keine Ereignisse, bei denen der Zugriff verweigert wurde. |
Einsatz von IoT Greengrass | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | SiteWise IoT-Anlage | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | SiteWise IoT-Zeitreihen | AWS::IoTSiteWise::TimeSeries |
|
| AWS IoT TwinMaker | TwinMaker IoT-API-Aktivität für eine Entität. |
TwinMaker IoT-Entität | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | TwinMaker IoT-API-Aktivität in einem Workspace. |
TwinMaker IoT-Arbeitsplatz | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | API-Aktivität von Amazon Kendra Intelligent Rankin für Rescore-Ausführungspläne. |
Kendra-Rangliste | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (für Apache Cassandra) | Amazon Keyspaces-API-Aktivität in einer Tabelle. | Cassandra-Tabelle | AWS::Cassandra::Table |
| Amazon-Kinesis-Data-Streams | Kinesis Data Streams Streams-API-Aktivität in Streams. | Kinesis-Stream | AWS::Kinesis::Stream |
| Amazon-Kinesis-Data-Streams | Kinesis Data Streams Streams-API-Aktivität auf Stream-Verbrauchern. | Kinesis Stream Consumer | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | Kinesis Video Streams Streams-API-Aktivitäten in Videostreams, z. B. Aufrufe von GetMedia undPutMedia. |
Kinesis-Videostream | AWS::KinesisVideo::Stream |
| Amazon Machine Learning | API-Aktivität für Machine Learning auf ML-Modellen. | Passendes Lernen MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | API-Aktivität von Amazon Managed Blockchain in einem Netzwerk. |
Managed-Blockchain-Netzwerk | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | JSON-RPC-Aufrufe von Amazon Managed Blockchain in Ethereum-Knoten, zum Beispiel |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon-Neptune-Graph | Daten-API-Aktivitäten in einem Neptune-Graph, zum Beispiel Abfragen, Algorithmen oder Vektorsuche. |
Neptun-Graph | AWS::NeptuneGraph::Graph |
| AWS Private CA | AWS Private CA Konnektor für Active Directory-API-Aktivitäten. |
AWS Private CA Konnektor für Active Directory | AWS::PCAConnectorAD::Connector |
| AWS Private CA | AWS Private CA Konnektor für die SCEP-API-Aktivität. |
AWS Private CA Konnektor für SCEP | AWS::PCAConnectorSCEP::Connector |
| Amazon Q Apps | Daten-API-Aktivität auf Amazon Q Apps. |
Amazon Q Apps | AWS::QApps:QApp |
| Amazon Q Business | Amazon-Q-Business-API-Aktivität auf einer Anwendung. |
Amazon-Q-Business-Anwendung | AWS::QBusiness::Application |
| Amazon Q Business | Amazon-Q-Business-API-Aktivität auf einer Datenquelle. |
Amazon-Q-Business-Datenquelle | AWS::QBusiness::DataSource |
| Amazon Q Business | Amazon-Q-Business-API-Aktivität auf einem Index. |
Amazon-Q-Business-Index | AWS::QBusiness::Index |
| Amazon Q Business | Amazon-Q-Business-API-Aktivität auf einem Weberlebnis. |
Amazon-Q-Business-Weberlebnis | AWS::QBusiness::WebExperience |
| Amazon RDS | Amazon RDS-API-Aktivität in einem DB-Cluster. |
RDS-Daten-API — DB-Cluster | AWS::RDS::DBCluster |
| Amazon S3 | Amazon S3 S3-API-Aktivität auf Access Points. |
S3-Zugangspunkt | AWS::S3::AccessPoint |
| Amazon S3 | API-Aktivitäten für Amazon S3 Object Lambda Access Points, z. B. Aufrufe von |
S3 Objekt Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 in Outposts | API-Aktivität auf Objektebene auf Amazon S3 on Outposts. |
S3-Outposts | AWS::S3Outposts::Object |
| Amazon SageMaker | SageMaker InvokeEndpointWithResponseStreamAmazon-Aktivitäten auf Endpunkten. |
SageMaker Endpunkt | AWS::SageMaker::Endpoint |
| Amazon SageMaker | SageMaker Amazon-API-Aktivität in Feature-Stores. |
SageMaker feature store | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker | SageMaker Amazon-API-Aktivität für Versuchskomponenten. |
SageMaker Metriken, Experiment, Versuchskomponente | AWS::SageMaker::ExperimentTrialComponent |
| Amazon SNS |
|
SNS-Plattformendpunkt | AWS::SNS::PlatformEndpoint |
| Amazon SNS |
|
SNS-Thema | AWS::SNS::Topic |
| Amazon SQS | Amazon-SQS-API-Aktivität auf Nachrichten. |
SQS | AWS::SQS::Queue |
| AWS Step Functions | API-Aktivität von Step Functions auf einer Zustandsmaschine. |
Step-Functions-Zustandsautomat | AWS::StepFunctions::StateMachine |
| AWS Supply Chain | AWS Supply Chain API-Aktivität auf einer Instanz. |
Lieferkette | AWS::SCN::Instance |
| Amazon SWF | SWF-Domäne | AWS::SWF::Domain |
|
| AWS Systems Manager | Systems Manager Manager-API-Aktivität auf Kontrollkanälen. | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | Systems Manager Manager-API-Aktivität auf verwalteten Knoten. | Von Systems Manager verwalteter Knoten | AWS::SSM::ManagedNode |
| Amazon Timestream | Query-API-Aktivität von Amazon Timestream in Datenbanken. |
Timestream-Datenbank | AWS::Timestream::Database |
| Amazon Timestream | Query-API-Aktivität von Amazon Timestream in Tabellen. |
Timestream-Tabelle | AWS::Timestream::Table |
| Amazon Verified Permissions | API-Aktivität von Amazon Verified Permissions in einem Richtlinienspeicher. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces Thin Client | WorkSpaces Thin Client-API-Aktivität auf einem Gerät. | Thin-Client-Gerät | AWS::ThinClient::Device |
| Amazon WorkSpaces Thin Client | WorkSpaces Thin Client-API-Aktivität in einer Umgebung. | Thin-Client-Umgebung | AWS::ThinClient::Environment |
| AWS X-Ray | Röntgenspur | AWS::XRay::Trace |
Datenereignisse werden standardmäßig nicht protokolliert, wenn Sie einen Trail oder einen Ereignisdatenspeicher erstellen. Um CloudTrail Datenereignisse aufzuzeichnen, müssen Sie explizit die unterstützten Ressourcen oder Ressourcentypen hinzufügen, für die Sie Aktivitäten erfassen möchten. Weitere Informationen finden Sie unter Einen Trail mit der CloudTrail Konsole erstellen und Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse.
Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. CloudTrail Die Preise finden Sie unter AWS CloudTrail Preisgestaltung
Das folgende Beispiel zeigt einen einzelnen Protokolleintrag eines Datenereignisses für die Amazon SNS Publish SNS-Aktion.
{ "eventVersion": "1.09", "userIdentity": { "type": "AssumedRole", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Bob", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/Admin", "accountId": "123456789012", "userName": "ExampleUser" }, "attributes": { "creationDate": "2023-08-21T16:44:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-08-21T16:48:37Z", "eventSource": "sns.amazonaws.com", "eventName": "Publish", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16", "requestParameters": { "topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic", "message": "HIDDEN_DUE_TO_SECURITY_REASONS", "subject": "HIDDEN_DUE_TO_SECURITY_REASONS", "messageStructure": "json", "messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": { "messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840" }, "requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d", "eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0", "readOnly": false, "resources": [{ "accountId": "123456789012", "type": "AWS::SNS::Topic", "ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "123456789012", "eventCategory": "Data", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "sns.us-east-1.amazonaws.com" } }
Das nächste Beispiel zeigt einen einzelnen Protokolldatensatz eines Datenereignisses für die Amazon Cognito GetCredentialsForIdentity Cognito-Aktion.
{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-01-19T16:55:08Z", "eventSource": "cognito-identity.amazonaws.com", "eventName": "GetCredentialsForIdentity", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.4", "userAgent": "aws-cli/2.7.25 Python/3.9.11 Darwin/21.6.0 exe/x86_64 prompt/off command/cognito-identity.get-credentials-for-identity", "requestParameters": { "logins": { "cognito-idp.us-east-1.amazonaws.com/us-east-1_aaaaaaaaa": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "responseElements": { "credentials": { "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionToken": "aAaAaAaAaAaAab1111111111EXAMPLE", "expiration": "Jan 19, 2023 5:55:08 PM" }, "identityId": "us-east-1:1cf667a2-49a6-454b-9e45-23199EXAMPLE" }, "requestID": "659dfc23-7c4e-4e7c-858a-1abce884d645", "eventID": "6ad1c766-5a41-4b28-b5ca-e223ccb00f0d", "readOnly": false, "resources": [{ "accountId": "111122223333", "type": "AWS::Cognito::IdentityPool", "ARN": "arn:aws:cognito-identity:us-east-1:111122223333:identitypool/us-east-1:2dg778b3-50b7-565c-0f56-34200EXAMPLE" }], "eventType": "AwsApiCall", "managementEvent": false, "recipientAccountId": "111122223333", "eventCategory": "Data" }
Einblicke und Ereignisse
CloudTrail Insights-Ereignisse erfassen ungewöhnliche API-Aufruf- oder Fehlerquoten in Ihrem AWS Konto, indem sie die CloudTrail Verwaltungsaktivitäten analysieren. Insights-Ereignisse stellen relevante Informationen bereit, z. B. die zugehörige API, den Fehlercode, die Vorfallzeit und Statistiken, die Ihnen helfen, ungewöhnliche Aktivitäten zu verstehen und darauf zu reagieren. Im Gegensatz zu anderen Arten von Ereignissen, die in einem CloudTrail Trail- oder Event-Datenspeicher erfasst werden, werden Insights-Ereignisse nur protokolliert, wenn Änderungen in der API-Nutzung Ihres Kontos oder bei der Protokollierung der Fehlerquote CloudTrail festgestellt werden, die sich erheblich von den typischen Nutzungsmustern des Kontos unterscheiden.
Beispiele für Aktivitäten, bei denen ggf. Inights-Ereignisse generiert werden, sind:
-
Für Ihr Konto werden pro Minute normalerweise nicht mehr als 20
deleteBucket-API-Aufrufe vom Typ Amazon S3 protokolliert, aber unter Ihrem Konto werden nun durchschnittlich 100deleteBucket-API-Aufrufe pro Minute protokolliert. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Aktivitäten protokolliert und ein anderes Insights-Ereignis wird protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren. -
Für Ihr Konto werden pro Minute normalerweise 20 Aufrufe der Amazon-EC2-
AuthorizeSecurityGroupIngress-API protokolliert, aber unter Ihrem Konto werden nun keine Aufrufe vonAuthorizeSecurityGroupIngressmehr protokolliert. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Aktivitäten protokolliert und zehn Minuten später, nachdem die ungewöhnlichen Aktivitäten nicht mehr auftreten, wird ein anderes Insights-Ereignis protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren. -
Ihr Konto protokolliert normalerweise weniger als einen
AccessDeniedException-Fehler in einem Zeitraum von sieben Tagen in der AWS Identity and Access Management -API,DeleteInstanceProfile. Ihr Konto beginnt mit der Protokollierung von durchschnittlich 12AccessDeniedException-Fehlern pro Minute für denDeleteInstanceProfile-API-Aufruf. Ein Insights-Ereignis wird zu Beginn der ungewöhnlichen Fehlerraten-Aktivitäten protokolliert und ein anderes Insights-Ereignis wird protokolliert, um das Ende der ungewöhnlichen Aktivitäten zu markieren.
Diese Beispiele dienen nur zur Veranschaulichung. Ihre Ergebnisse können je nach Anwendungsfall abweichen.
Um CloudTrail Insights-Ereignisse zu protokollieren, müssen Sie Insights-Ereignisse in einem neuen oder vorhandenen Trail- oder Event-Datenspeicher explizit aktivieren. Weitere Informationen zum Erstellen eines Trails finden Sie unter Einen Trail mit der CloudTrail Konsole erstellen. Weitere Informationen zum Erstellen eines Ereignisdatenspeichers finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Insights-Ereignisse.
Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung
In CloudTrail Insights werden zwei Ereignisse protokolliert, die auf ungewöhnliche Aktivitäten hinweisen: ein Startereignis und ein Endereignis. Im folgenden Beispiel wird ein einzelner Protokolldatensatz mit einem Insights-Ereignis veranschaulicht, das aufgetreten ist, als CompleteLifecycleAction für die Application-Auto-Scaling-API ungewöhnlich häufig aufgerufen wurde. Bei Insights-Ereignissen hat eventCategory den Wert Insight. Mit einem insightDetails-Block werden Ereignisstatus, Quelle, Name, Insights-Typ und Kontext, einschließlich Statistiken und Attributionen, identifiziert. Weitere Informationen zum insightDetails-Block finden Sie unter CloudTrail insightDetailsElement „Einblicke“.
{ "eventVersion": "1.08", "eventTime": "2023-07-10T01:42:00Z", "awsRegion": "us-east-1", "eventID": "55ed45c5-0b0c-4228-9fe5-EXAMPLEc3f4d", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "979c82fe-14d4-4e4c-aa01-EXAMPLE3acee", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 9.82222E-5 }, "insight": { "average": 5.0 }, "insightDuration": 1, "baselineDuration": 10181 }, "attributions": [{ "attribute": "userIdentityArn", "insight": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole2", "average": 5.0 }, { "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole3", "average": 5.0 }], "baseline": [{ "value": "arn:aws:sts::123456789012:assumed-role/CodeDeployRole1", "average": 9.82222E-5 }] }, { "attribute": "userAgent", "insight": [{ "value": "codedeploy.amazonaws.com", "average": 5.0 }], "baseline": [{ "value": "codedeploy.amazonaws.com", "average": 9.82222E-5 }] }, { "attribute": "errorCode", "insight": [{ "value": "null", "average": 5.0 }], "baseline": [{ "value": "null", "average": 9.82222E-5 }] }] } }, "eventCategory": "Insight" }
