Speicherort von Digest-Dateien Inhalt von Digest-Beispieldateien Beschreibungen der Felder in Digest-Dateien Digest-Startdatei „Leere“ Digest-Dateien Signatur der Digest-Datei Verkettung von Digest-Dateien

CloudTrail Struktur der Digest-Datei

Jede Digest-Datei enthält die Namen der Protokolldateien, die während der letzten Stunde an den Amazon-S3-Bucket übermittelt wurden, die Hashwerte für diese Protokolldateien und die digitalen Signaturen der vorherigen Digest-Datei. Die Signatur für die aktuelle Digest-Datei ist in den Metadateneigenschaften des Digest-Dateiobjekts gespeichert. Die digitalen Signaturen und Hashwerte werden zur Validierung der Integrität der Protokolldateien und der Digest-Datei selbst verwendet.

Speicherort von Digest-Dateien

Digest-Dateien werden an einen Amazon-S3-Bucket-Speicherort übermittelt, der dieser Syntax folgt.


s3://amzn-s3-demo-bucket/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/
    region/digest-end-year/digest-end-month/digest-end-date/
    aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz

Anmerkung

Für Organisationstrails enthält der Bucket-Speicherort auch die ID der Organisationseinheit, wie folgt:


s3://amzn-s3-demo-bucket/optional-prefix/AWSLogs/O-ID/aws-account-id/CloudTrail-Digest/
    region/digest-end-year/digest-end-month/digest-end-date/
    aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz

Inhalt von Digest-Beispieldateien

Die folgende Beispiel-Digest-Datei enthält Informationen für ein CloudTrail Protokoll.


{
  "awsAccountId": "111122223333",
  "digestStartTime": "2015-08-17T14:01:31Z",
  "digestEndTime": "2015-08-17T15:01:31Z",
  "digestS3Bucket": "amzn-s3-demo-bucket",
  "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T150131Z.json.gz",
  "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff",
  "digestSignatureAlgorithm": "SHA256withRSA",
  "newestEventTime": "2015-08-17T14:52:27Z",
  "oldestEventTime": "2015-08-17T14:42:27Z",
  "previousDigestS3Bucket": "amzn-s3-demo-bucket",
  "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T140131Z.json.gz",
  "previousDigestHashValue": "97fb791cf91ffc440d274f8190dbdd9aa09c34432aba82739df18b6d3c13df2d",
  "previousDigestHashAlgorithm": "SHA-256",
  "previousDigestSignature": "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",
  "logFiles": [
    {
      "s3Bucket": "amzn-s3-demo-bucket",
      "s3Object": "AWSLogs/111122223333/CloudTrail/us-east-2/2015/08/17/111122223333_CloudTrail_us-east-2_20150817T1445Z_9nYN7gp2eWAJHIfT.json.gz",
      "hashValue": "9bb6196fc6b84d6f075a56548feca262bd99ba3c2de41b618e5b6e22c1fc71f6",
      "hashAlgorithm": "SHA-256",
      "newestEventTime": "2015-08-17T14:52:27Z",
      "oldestEventTime": "2015-08-17T14:42:27Z"
    }
  ]
}

Beschreibungen der Felder in Digest-Dateien

Im Folgenden sind Beschreibungen für die einzelnen Felder in der Digest-Datei aufgeführt:

awsAccountId: Die AWS Konto-ID, für die die Digest-Datei geliefert wurde.

digestStartTime: Der UTC Startzeitraum, den die Digest-Datei abdeckt, wobei als Referenz die Zeit verwendet wird, bis zu der die Protokolldateien übermittelt wurden. CloudTrail Dies bedeutet, dass, wenn der Zeitraum [Ta, Tb] ist, die Digest-Datei alle Protokolldateien enthält, die zwischen Ta und Tb an den Kunden übermittelt wurden.

digestEndTime: Der UTC Endzeitraum, den die Digest-Datei abdeckt, wobei als Referenz die Zeit verwendet wird, bis zu der die Protokolldateien übermittelt wurden. CloudTrail Dies bedeutet, dass, wenn der Zeitraum [Ta, Tb] ist, die Digest-Datei alle Protokolldateien enthält, die zwischen Ta und Tb an den Kunden übermittelt wurden.

digestS3Bucket: Der Name des Amazon-S3-Buckets, an den die aktuelle Digest-Datei übermittelt wurde.

digestS3Object: Der Amazon-S3-Objektschlüssel (d. h. der Amazon-S3-Bucket-Speicherort) der aktuellen Digest-Datei. Die ersten beiden Regionen in der Zeichenfolge zeigen die Region an, aus der die Digest-Datei übermittelt wurde. Die letzte Region (nach your-trail-name) ist die Ursprungsregion des Trails. Die Ursprungsregion ist die Region, in der der Trail erstellt wurde. Bei einem Trail mit mehreren Regionen kann diese von der Region abweichen, aus der die Digest-Datei übermittelt wurde.

newestEventTime: Die UTC Uhrzeit des letzten Ereignisses unter allen Ereignissen in den Protokolldateien im Digest.

oldestEventTime: Die UTC Zeit des ältesten Ereignisses unter allen Ereignissen in den Protokolldateien im Digest.

Anmerkung
Wenn die Digest-Datei spät übermittelt wird, ist der oldestEventTime-Wert früher als der digestStartTime-Wert.

previousDigestS3Bucket: Der Amazon-S3-Bucket, an den die vorherige Digest-Datei übermittelt wurde.

previousDigestS3Object: Der Amazon-S3-Objektschlüssel (d. h. der Amazon-S3-Bucket-Speicherort) der vorherigen Digest-Datei.

previousDigestHashValue: Der im Hexadezimalformat verschlüsselte Hashwert des unkomprimierten Inhalts der vorherigen Digest-Datei.

previousDigestHashAlgorithm: Der Name des Hash-Algorithmus, der für das Hashing der vorherigen Digest-Datei verwendet wurde.

publicKeyFingerprint: Der im Hexadezimalformat verschlüsselte Fingerabdruck des öffentlichen Schlüssels, der dem privaten Schlüssel entspricht, der zum Signieren dieser Digest-Datei verwendet wurde. Sie können die öffentlichen Schlüssel für den Zeitraum abrufen, der der Digest-Datei entspricht, indem Sie den AWS CLI oder den verwenden. CloudTrail API Von den zurückgegebenen öffentlichen Schlüsseln kann derjenige zum Validieren der Digest-Datei verwendet werden, dessen Fingerabdruck mit diesem Wert übereinstimmt. Informationen zum Abrufen von öffentlichen Schlüsseln für Digestdateien finden Sie unter dem AWS CLI list-public-keysBefehl oder dem. CloudTrail ListPublicKeysAPI

Anmerkung
CloudTrail verwendet unterschiedliche private/öffentliche Schlüsselpaare pro Region. Jede Digest-Datei ist mit einem für die jeweilige Region eindeutigen privaten Schlüssel signiert. Wenn Sie also eine Digest-Datei aus einer bestimmten Region validieren, müssen Sie in derselben Region nach dem entsprechenden öffentlichen Schlüssel suchen.

digestSignatureAlgorithm: Der zum Signieren der Digest-Datei verwendete Algorithmus.

logFiles.s3Bucket: Der Name des Amazon-S3-Buckets für die Protokolldatei.

logFiles.s3Object: Der Amazon-S3-Objektschlüssel der aktuellen Protokolldatei.

logFiles.newestEventTime: Die UTC Uhrzeit des letzten Ereignisses in der Protokolldatei. Diese Uhrzeit entspricht auch dem Zeitstempel der Protokolldatei selbst.

logFiles.oldestEventTime: Die UTC Uhrzeit des ältesten Ereignisses in der Protokolldatei.

logFiles.hashValue: Der im Hexadezimalformat verschlüsselte Hashwert des unkomprimierten Inhalts der Protokolldatei.

logFiles.hashAlgorithm: Der für das Hashing der Protokolldatei verwendete Hash-Algorithmus.

Digest-Startdatei

Beim Start der Integritätsvalidierung von Protokolldateien wird eine Digest-Startdatei erstellt. Eine Digest-Startdatei wird ebenfalls erstellt, wenn die Integritätsvalidierung von Protokolldateien erneut gestartet wird (wenn entweder die Integritätsvalidierung von Protokolldateien deaktiviert und anschließend erneut aktiviert wird oder wenn die Protokollierung beendet und anschließend erneut gestartet wird, wobei die Validierung aktiviert ist). In einer Digest-Startdatei sind die folgenden Felder mit Bezug auf die vorherige Digest-Datei leer:

previousDigestS3Bucket
previousDigestS3Object
previousDigestHashValue
previousDigestHashAlgorithm
previousDigestSignature

„Leere“ Digest-Dateien

CloudTrail stellt eine Übersichtsdatei bereit, auch wenn in Ihrem Konto während des Zeitraums von einer Stunde, für den die Übersichtsdatei steht, keine API Aktivität stattgefunden hat. Dies kann nützlich sein, wenn Sie sicherstellen müssen, dass während der in der Digest-Datei dargestellten Stunde keine Protokolldateien übermittelt wurden.

Das folgende Beispiel zeigt den Inhalt einer Digest-Datei, in der eine Stunde aufgezeichnet wurde, in der keine API Aktivität stattfand. Beachten Sie, dass das Feld logFiles:[ ] am Ende der Digest-Datei leer ist.


{
  "awsAccountId": "111122223333",
  "digestStartTime": "2015-08-20T17:01:31Z",
  "digestEndTime": "2015-08-20T18:01:31Z",
  "digestS3Bucket": "amzn-s3-demo-bucket",
  "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T180131Z.json.gz",
  "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff",
  "digestSignatureAlgorithm": "SHA256withRSA",
  "newestEventTime": null,
  "oldestEventTime": null,
  "previousDigestS3Bucket": "amzn-s3-demo-bucket",
  "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T170131Z.json.gz",
  "previousDigestHashValue": "ed96c4bac9eaa8fe9716ca0e515da51938be651b1db31d781956416a9d05cdfa",
  "previousDigestHashAlgorithm": "SHA-256",
  "previousDigestSignature": "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",
  "logFiles": []
}

Signatur der Digest-Datei

Die Signaturinformationen für eine Digest-Datei befinden sich in zwei Objektmetadaten-Eigenschaften des Amazon-S3-Digest-Dateiobjekts. Jede Digest-Datei weist die folgenden Metadateneinträge auf:

x-amz-meta-signature

Der im Hexadezimalformat verschlüsselte Wert der Digest-Dateisignatur. Es folgt ein Beispiel für eine Signatur:



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
05d3ffcb5d2dd5dc28f8bb5b7993938e8a5f912a82b448a367eccb2ec0f198ba71e23eb0b97278cf65f3c8d1e652c6de33a22ca8428821ffc95bf8b726ba9f37cfbc20c54dc5bd6159bdea1c4d951b68cb8e0528852c55bb0c5e499ea60560f7c2bb3af7f694407da863a2594f7a2f2838cb09254afbaf8003587746e719a0437f85eeffae534f283f3837eb939a9bccc3c71573500661245891051231b580ac92d9e0e68c6f47ad38975f493e2c40e7f303353c4adc7d563ef1e875977afac2e085f0c824045d998c9543d8a3293ad3c063b7a109d0bfd84b0b1e3f72c4f057e744e6a2cf9cc97727b08584f44bfa47799c5072b60f0b619aea88a17de585e9

x-amz-meta-signature-algorithm

Das folgende Beispiel zeigt einen Wert des zum Erstellen der Digest-Signatur verwendeten Algorithmus:

SHA256withRSA

Verkettung von Digest-Dateien

Die Tatsache, dass jede Digest-Datei einen Verweis auf ihre vorherige Digest-Datei enthält, ermöglicht eine „Verkettung“, die es Validierungstools wie der ermöglicht, AWS CLI zu erkennen, ob eine Digest-Datei gelöscht wurde. Außerdem ermöglicht diese Tatsache eine sukzessive Prüfung der Digest-Dateien in einem angegebenen Zeitraum, beginnend mit der aktuellen Datei.

Anmerkung

Wenn Sie die Integritätsprüfung der Protokolldatei deaktivieren, ist die Kette der Digestdateien nach einer Stunde unterbrochen. CloudTrail erstellt keine Digest-Dateien für Protokolldateien, die während eines Zeitraums übermittelt wurden, in dem die Überprüfung der Integrität der Protokolldateien deaktiviert war. Wenn Sie beispielsweise die Integritätsvalidierung von Protokolldateien am Mittag des 1. Januar aktivieren, am Mittag des 2. Januar deaktivieren und am Mittag des 10. Januar erneut aktivieren, werden keine Digest-Dateien für die Protokolldateien erstellt, die zwischen dem Mittag des 2. Januar und dem Mittag des 10. Januar übermittelt wurden. Das Gleiche gilt, wenn Sie die CloudTrail Protokollierung beenden oder einen Trail löschen.

Wenn die S3-Bucket-Richtlinie Ihres Trails falsch konfiguriert ist oder es zu CloudTrail einer unerwarteten Dienstunterbrechung kommt, erhalten Sie möglicherweise nicht alle oder einige Digest-Dateien. Führen Sie den get-trail-statusBefehl aus und überprüfen Sie den LatestDigestDeliveryError Parameter auf Fehler, um zu überprüfen, ob Ihr Trail Fehler bei der Übermittlung der Digests aufweist. Sobald das Zustellungsproblem behoben ist (z. B. durch Korrektur der Bucket-Richtlinie), CloudTrail wird versucht, alle fehlenden Digest-Dateien erneut zuzustellen. Während des Zeitraums für die erneute Zustellung werden die Digest-Dateien möglicherweise nicht in der richtigen Reihenfolge zugestellt, sodass die Kette vorübergehend unterbrochen zu sein scheint.

Wenn die Protokollierung gestoppt oder der Trail gelöscht wird, CloudTrail wird eine endgültige Übersichtsdatei geliefert. Diese Digest-Datei kann Informationen für alle verbleibenden Protokolldateien enthalten, die Ereignisse bis einschließlich des Ereignisses StopLogging abdecken.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Überprüfen der Integrität der CloudTrail Protokolldatei mit dem AWS CLI

Benutzerdefinierte Implementierungen der CloudTrail Integritätsprüfung von Protokolldateien