Funktionsweise von CloudTrail - AWS CloudTrail

Funktionsweise von CloudTrail

CloudTrail wird beim Erstellen des AWS-Kontos für Sie aktiviert. Erfolgen Aktivitäten im AWS-Konto, werden diese als CloudTrail-Ereignisse erfasst. Sie können Ereignisse in der CloudTrail-Konsole ganz einfach über Event history (Ereignisverlauf) anzeigen.

Der Ereignisverlauf ermöglicht Ihnen, die Daten der Aktivitäten, die in den letzten 90 Tagen in Ihrem AWS-Konto erfolgt sind, anzuzeigen, zu suchen und herunterzuladen. Darüber hinaus können Sie einen CloudTrail-Trail für die Archivierung, Analyse und Reaktion auf Änderungen an AWS-Ressourcen erstellen. Ein Trail ist eine Konfiguration, durch die Ereignisse an den von Ihnen angegebenen Amazon S3-Bucket übermittelt werden. Mit Amazon CloudWatch Logs und Amazon CloudWatch Events können Sie zudem Ereignisse in einem Trail übermitteln und analysieren. Sie können einen Trail mit der CloudTrail-Konsole, der AWS CLI oder der CloudTrail-API erstellen.

Sie können für ein AWS-Konto zwei Arten von Trails erstellen:

Ein Trail, der für alle Regionen gilt

Wenn Sie einen Trail erstellen, der für alle Regionen gilt, zeichnet CloudTrail die Ereignisse in jeder Region auf und sendet die CloudTrail-Ereignisprotokolldateien an einen von Ihnen angegebenen S3-Bucket. Wenn eine Region hinzugefügt wird, nachdem Sie einen Trail erstellt, der auf alle Regionen angewendet wird, wird diese neue Region ist automatisch aufgenommen und alle Ereignisse in dieser Region werden protokolliert. Das ist die Standardoption beim Erstellen eines Trails in der CloudTrail-Konsole. Weitere Informationen finden Sie unter Erstellen eines Trails in der Konsole.

Ein Trail für eine Region

Wenn Sie einen Trail erstellen, der nur für eine Region gilt, zeichnet CloudTrail die Ereignisse auch nur in der betreffenden Region auf. Anschließend werden die CloudTrail-Ereignisprotokolldateien an einen von Ihnen angegebenen Amazon S3-Bucket übermittelt. Wenn Sie zusätzliche individuelle Trails erstellen, können Sie veranlassen, dass diese Trails CloudTrail-Ereignisprotokolldateien an denselben Amazon S3-Bucket oder an separate Buckets senden. Das ist die Standardoption beim Erstellen eines Trails bei Verwendung der AWS CLI oder der CloudTrail-API. Weitere Informationen finden Sie unter Erstellen, Aktualisieren und Verwalten von Trails mit der AWS Command Line Interface.

Anmerkung

Für beide Arten von Trails können Sie einen Amazon S3-Bucket aus einer beliebigen Region angeben.

Ab dem 12. April 2019 sind Trails nur in den AWS-Regionen anzeigbar, in denen sie Ereignisse protokollieren. Wenn Sie einen Trail erstellen, der Ereignisse in allen AWS-Regionen protokolliert, wird er in der Konsole in allen AWS-Regionen angezeigt. Wenn Sie einen Trail erstellen, der nur Ereignisse in einer einzelnen AWS-Region protokolliert, können Sie ihn nur in dieser AWS-Region anzeigen und verwalten.

Wenn Sie in AWS Organizations eine Organisation erstellt haben, können Sie auch einen Trail anlegen, der in dieser Organisation alle Ereignisse für alle AWS-Konten protokolliert. Ein solcher Trail wird als Organisations-Trail bezeichnet. Organisations-Trails können auf alle AWS-Regionen oder auf eine Region angewendet werden. Organisations-Trails müssen im Hauptkonto erstellt werden. Sobald sie auf eine Organisation angewendet werden, gelten sie automatisch auch für alle Mitgliedskonten in dieser Organisation. Über Mitgliedskonten kann der Organisations-Trail angezeigt, aber nicht geändert oder gelöscht werden. Standardmäßig wird Mitgliedskonten kein Zugriff auf die Protokolldateien für den Organisations-Trail im Amazon S3-Bucket gewährt.

Sie können die Konfiguration eines Trails ändern, nachdem Sie ihn erstellt haben, wie z. B., ob er Ereignisse in einer Region oder in allen Regionen protokolliert. Sie können auch ändern, ob Daten- oder CloudTrail Insights-Ereignisse protokolliert werden. Die Änderung, ob ein Trail Ereignisse in einer Region oder in allen Regionen protokolliert, wirkt sich darauf aus, welche Ereignisse protokolliert werden. Weitere Informationen erhalten Sie unter Aktualisieren eines Trails (Konsole), Verwalten von Trails mit der AWS CLI (AWS CLI) und Arbeiten mit CloudTrail-Protokolldateien.

Standardmäßig werden CloudTrail-Ereignisprotokolldateien mit serverseitiger Amazon S3-Verschlüsselung (SSE) verschlüsselt. Sie können Ihre Protokolldateien auch mit einem AWS Key Management Service (AWS KMS)-Schlüssel verschlüsseln. Sie können Ihre Protokolldateien beliebig lange in Ihrem Bucket speichern. Außerdem können Sie Amazon S3-Lebenszyklusregeln definieren, um Protokolldateien automatisch zu archivieren oder zu löschen. Wenn Sie über die Protokolldateilieferung und -validierung informiert werden möchten, können Sie Amazon SNS-Benachrichtigungen einrichten.

CloudTrail übermittelt Protokolldateien in der Regel innerhalb von 15 Minuten nach einer Kontoaktivität. Darüber hinaus veröffentlicht CloudTrail Protokolldateien mehrfach pro Stunde, ca. alle fünf Minuten. Diese Protokolldateien enthalten API-Aufrufe von Services des Kontos, das CloudTrail unterstützt. Weitere Informationen finden Sie unter Von CloudTrail unterstützte Services und Integrationen.

Anmerkung

CloudTrail erfasst API-Aktionen, die direkt vom Benutzer oder von einem AWS-Service im Namen des Benutzers vorgenommen wurden. Beispiel: Ein Aufruf der AWS CloudFormation-Funktion CreateStack kann zu zusätzlichen API-Aufrufen von Amazon EC2, Amazon RDS, Amazon EBS oder sonstigen Services (gemäß Anforderung der AWS CloudFormation-Vorlage) führen. Dieses Verhalten ist normal und wird erwartet. Sie können über das invokedby-Feld im CloudTrail-Ereignis feststellen, ob die Aktion von einem AWS-Service durchgeführt wurde.

Informationen zu den ersten Schritten mit CloudTrail finden Sie unter Praktische Anleitung: Erste Schritte mit AWS CloudTrail.

Informationen zu CloudTrail-Preisen finden Sie unter AWS CloudTrail – Preise. Preisinformationen für Amazon S3 und Amazon SNS finden Sie unter Amazon S3 – Preise und Amazon SNS – Preise.