Arbeiten mit CloudTrail-Protokolldateien - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit CloudTrail-Protokolldateien

Sie können mit den CloudTrail-Dateien komplexere Aufgaben erledigen.

  • Erstellen Sie mehrere Trails pro Region.

  • CloudTrail-Protokolldateien durch Senden an CloudWatch Logs überwachen.

  • Sie können Protokolldateien zwischen Konten freigeben.

  • Die AWS-CloudTrail-Verarbeitungsbibliothek zum Schreiben von Protokollverarbeitungsanwendungen in Java verwenden.

  • Validieren Sie die Protokolldateien, um sicherzustellen, dass sie nach der Bereitstellung durch CloudTrail nicht geändert wurden.

Wenn in Ihrem Konto ein Ereignis eintritt, bewertet CloudTrail, ob das Ereignis den Trail-Einstellungen entspricht. Nur Ereignisse, die mit den Trail-Einstellungen übereinstimmen, werden an Ihren Amazon-S3-Bucket und die Amazon-CloudWatch-Logs-Protokollgruppe übermittelt.

Sie können mehrere Trails unterschiedlich konfigurieren, sodass die Trails nur die von Ihnen angegebenen Ereignisse protokollieren. So kann beispielsweise ein Trail so konfiguriert werden, dass nur schreibgeschützte Daten- und Verwaltungsereignisse protokolliert werden. So werden alle schreibgeschützten Ereignisse an einen S3-Bucket übermittelt. Ein weiterer Trail kann so konfiguriert werden, dass nur Daten- und Verwaltungsereignisse vom Typ Nur-Schreiben protokolliert werden, sodass alle Nur-Schreiben-Ereignisse an einen separaten S3-Bucket übermittelt werden.

Sie können Ihre Trails auch so konfigurieren, dass nur ein Trail-Protokoll verwendet wird und alle Verwaltungsereignisse an einen S3-Bucket übermittelt werden. Ein anderer Trail kann dann so eingerichtet werden, dass alle Datenereignisse protokolliert und an einen anderen S3-Bucket geliefert werden.

Sie können Ihre Trails konfigurieren, um Folgendes zu protokollieren:

  • Datenereignisse: Diese Ereignisse bieten Einblicke in die Ressourcenoperationen, die für oder innerhalb einer Ressource ausgeführt wurden. Sie werden auch als Vorgänge auf Datenebene bezeichnet.

  • Verwaltungsereignisse: Verwaltungsereignisse bieten Einblicke in die Verwaltungsoperationen, die für Ressourcen in Ihrem AWS-Konto ausgeführt wurden. Sie werden auch als Vorgänge auf Steuerebene bezeichnet. Verwaltungsereignisse können auch andere als API-Ereignisse einschließen, die in Ihrem Konto auftreten. Meldet sich beispielsweise ein Benutzer beim Konto an, protokolliert CloudTrail das ConsoleLogin-Ereignis. Weitere Informationen finden Sie unter Von CloudTrail erfasste Nicht-API-Ereignisse.

    Anmerkung

    Nicht alle AWS-Services unterstützen CloudTrail-Ereignisse. Weitere Informationen über unterstützte Services finden Sie unter CloudTrail unterstützte Dienste und Integrationen. Einzelheiten zu den APIs, die für einen bestimmten Service protokolliert werden, finden Sie in der Service-Dokumentation unter CloudTrail unterstützte Dienste und Integrationen.

  • Insights-Ereignisse: In Insights-Ereignissen werden ungewöhnliche Aktivitäten erfasst, die für Ihr Konto erkannt werden. Wenn Sie Insights-Ereignisse aktiviert haben und von CloudTrail ungewöhnliche Aktivitäten erkannt werden, werden Insights-Ereignisse im Ziel S3-Bucket für Ihren Trail protokolliert, aber es wird ein anderer Ordner verwendet. Sie können auch den Typ des Insights-Ereignisses und den Zeitraum des Vorfalls sehen, wenn Sie Insights-Ereignisses in der CloudTrail-Konsole anzeigen. Im Gegensatz zu anderen Ereignistypen, die per CloudTrail-Trail erfasst werden, werden Insights-Ereignisse nur protokolliert, wenn CloudTrail in Ihrem Konto Änderungen der API-Nutzung erkennt, die sich deutlich von den üblichen Nutzungsmustern des Kontos unterscheiden.

    Insights-Ereignisse werden nur für Verwaltungs-APIs generiert. Weitere Informationen finden Sie unter Protokollieren von Insights-Ereignissen.

Anmerkung

Normalerweise liefert CloudTrail Protokolle innerhalb von 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter AWS CloudTrail Service Level Agreement.

Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), versucht CloudTrail, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen, und für diese Ereignisse, bei denen versucht wurde, diese Ereignisse zuzustellen, fallen die Standardgebühren von CloudTrail an. Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.

Themen