Mit CloudTrail Protokolldateien arbeiten - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit CloudTrail Protokolldateien arbeiten

Sie können komplexere Aufgaben mit Ihren CloudTrail Dateien ausführen.

  • Erstellen Sie mehrere Trails pro Region.

  • Überwachen CloudTrail Sie Protokolldateien, indem Sie sie an CloudWatch Logs senden.

  • Sie können Protokolldateien zwischen Konten freigeben.

  • Verwenden Sie die AWS CloudTrail Processing Library, um Anwendungen zur Protokollverarbeitung in Java zu schreiben.

  • Überprüfen Sie Ihre Protokolldateien, um sicherzustellen, dass sie sich nach der Lieferung von nicht geändert haben CloudTrail.

Wenn in deinem Konto ein Ereignis eintritt, wird CloudTrail geprüft, ob das Ereignis den Einstellungen für deine Trails entspricht. Nur Ereignisse, die Ihren Trail-Einstellungen entsprechen, werden an Ihren Amazon S3 S3-Bucket und Ihre Amazon CloudWatch Logs-Protokollgruppe übermittelt.

Sie können mehrere Trails unterschiedlich konfigurieren, sodass die Trails nur die von Ihnen angegebenen Ereignisse protokollieren. So kann beispielsweise ein Trail so konfiguriert werden, dass nur schreibgeschützte Daten- und Verwaltungsereignisse protokolliert werden. So werden alle schreibgeschützten Ereignisse an einen S3-Bucket übermittelt. Ein weiterer Trail kann so konfiguriert werden, dass nur Daten- und Verwaltungsereignisse vom Typ Nur-Schreiben protokolliert werden, sodass alle Nur-Schreiben-Ereignisse an einen separaten S3-Bucket übermittelt werden.

Sie können Ihre Trails auch so konfigurieren, dass nur ein Trail-Protokoll verwendet wird und alle Verwaltungsereignisse an einen S3-Bucket übermittelt werden. Ein anderer Trail kann dann so eingerichtet werden, dass alle Datenereignisse protokolliert und an einen anderen S3-Bucket geliefert werden.

Sie können Ihre Trails konfigurieren, um Folgendes zu protokollieren:

  • Datenereignisse: Diese Ereignisse bieten Einblicke in die Ressourcenoperationen, die für oder innerhalb einer Ressource ausgeführt wurden. Sie werden auch als Vorgänge auf Datenebene bezeichnet.

  • Verwaltungsereignisse: Verwaltungsereignisse bieten Einblick in Verwaltungsvorgänge, die mit Ressourcen in Ihrem AWS Konto ausgeführt werden. Sie werden auch als Vorgänge auf Steuerebene bezeichnet. Verwaltungsereignisse können auch API Ereignisse umfassen, die nichts mit Ihrem Konto zu tun haben. Wenn sich beispielsweise ein Benutzer bei Ihrem Konto anmeldet, wird das ConsoleLogin Ereignis CloudTrail protokolliert. Weitere Informationen finden Sie unter APINichtereignisse erfasst von CloudTrail.

  • Insights-Ereignisse: In Insights-Ereignissen werden ungewöhnliche Aktivitäten erfasst, die für Ihr Konto erkannt werden. Wenn Sie Insights-Ereignisse aktiviert haben und CloudTrail ungewöhnliche Aktivitäten feststellen, werden Insights-Ereignisse im Ziel-S3-Bucket für Ihren Trail protokolliert, jedoch in einem anderen Ordner. Sie können auch die Art des Insights-Ereignisses und den Zeitraum des Vorfalls sehen, wenn Sie Insights-Ereignisse auf der CloudTrail Konsole aufrufen. Im Gegensatz zu anderen Arten von Ereignissen, die in einem CloudTrail Trail erfasst werden, werden Insights-Ereignisse nur protokolliert, wenn Änderungen in der API Nutzung Ihres Kontos CloudTrail festgestellt werden, die sich erheblich von den typischen Nutzungsmustern des Kontos unterscheiden.

    Insights-Ereignisse werden nur für die Verwaltung generiertAPIs. Weitere Informationen finden Sie unter Protokollieren von Insights-Ereignissen.

Anmerkung

CloudTrail übermittelt Protokolle in der Regel innerhalb von durchschnittlich etwa 5 Minuten nach einem API Anruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter AWS CloudTrail Service Level Agreement.

Wenn Sie Ihren Trail falsch konfigurieren (z. B. weil der S3-Bucket nicht erreichbar ist), CloudTrail wird versucht, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen. Für diese attempted-to-deliver Ereignisse fallen Standardgebühren an. CloudTrail Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.

Themen