Funktionsweise CloudTrail von

CloudTrail ist in Ihrem AWS Konto aktiv, wenn Sie es erstellen. Wenn eine Aktivität in Ihrem AWS Konto auftritt, wird diese Aktivität in einem - CloudTrail Ereignis aufgezeichnet. Sie können die aufgezeichneten API-Aktivitäten der letzten 90 Tage (Verwaltungsereignisse) in einer AWS-Region in der - CloudTrail Konsole anzeigen, indem Sie zum Ereignisverlauf gehen.

Um Aktivitäten und Ereignisse in Ihrem AWS-Konto fortlaufend aufzuzeichnen, erstellen Sie einen Ereignisdatenspeicher oder einen Trail. Trails können Ereignisse für CloudTrail Verwaltungs-, Daten- und Insights-Ereignisse protokollieren. Ereignisdatenspeicher können CloudTrail Verwaltungs- und Datenereignisse, Insights CloudTrail -Ereignisse, AWS Config Konfigurationselemente, AWS Audit Manager Beweise und Nicht-AWS-Ereignisse aus Integrationen protokollieren.

Informationen zu den ersten Schritten mit CloudTrailfinden Sie unter Erste Schritte mit AWS CloudTrail Tutorials.

Die CloudTrail Preise finden Sie unter AWS CloudTrail – Preise. Informationen zu den Preisen von Amazon S3 und Amazon SNS finden Sie unter Amazon S3 – Preise und Amazon SNS – Preise.

Ereignisverlauf

Der Ereignisverlauf stellt eine anzeigbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der Verwaltungsereignisse der letzten 90 Tage in einer AWS-Region bereit. Sie können Verwaltungsereignisse ganz einfach in der - CloudTrail Konsole anzeigen, indem Sie die Seite Ereignisverlauf aufrufen. Sie können den Ereignisverlauf auch anzeigen, indem Sie den Befehl aws cloudtrail lookup-events oder den LookupEvents-API-Vorgang ausführen. Sie können im Ereignisverlauf nach Ereignissen suchen, indem Sie nach Ereignissen für ein einzelnes Attribut filtern. Weitere Informationen finden Sie unter Mit dem CloudTrail Eventverlauf arbeiten.

Der Ereignisverlauf ist nicht mit irgendwelchen Trails oder Ereignisdatenspeichern verknüpft, die in deinem Konto vorhanden sind, und wird auch nicht von Konfigurationsänderungen beeinflusst, die du an deinen Trails oder Ereignisdatenspeichern vornimmst.

CloudTrail Lake- und Ereignisdatenspeicher

Sie können einen CloudTrail Lake-Ereignisdatenspeicher erstellen, um Änderungen an Ihren AWS Ressourcen zu archivieren, zu analysieren und darauf zu reagieren. CloudTrail Lake konvertiert vorhandene Ereignisse im zeilenbasierten JSON-Format in das Apache-ORC-Format. ORC ist ein spaltenförmiges Speicherformat, das für den schnellen Abruf von Daten optimiert ist. Die Ereignisse werden in Ereignisdatenspeichern zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von erweiterten Ereignisselektoren auswählen. Sie können die Ereignisdaten bis zu 3 653 Tage (etwa 10 Jahre) in einem Ereignisdatenspeicher speichern, wenn Sie sich für die Preisoption mit verlängerbarer Aufbewahrung von einem Jahr entscheiden, oder bis zu 2 557 Tage (etwa 7 Jahre), wenn Sie sich für die Preisoption mit siebenjähriger Aufbewahrung entscheiden.

Sie können einen Ereignisdatenspeicher erstellen, um CloudTrail Verwaltungs- und Datenereignisse, Insights CloudTrail -Ereignisse, AWS Config Konfigurationselemente, AWS Audit Manager Beweise oder Nicht--AWSEreignisse zu erfassen. Sie können Ereignisdatenspeicher mithilfe der Konsole, der AWS CLIoder der CloudTrail API erstellen. Weitere Informationen zum Erstellen von Ereignisdatenspeichern mit der Konsole finden Sie unter Einen Ereignisdatenspeicher erstellen. Weitere Informationen zum Erstellen von Ereignisdatenspeichern mit der AWS CLI finden Sie unter Verwalten von CloudTrail Lake mithilfe der AWS CLI.

CloudTrail Mit Lake können Sie Ereignisse von Anwendungen außerhalb von protokollierenAWS, einschließlich aus jeder Quelle in Ihren Hybrid-Umgebungen, z. B. interne oder SaaS-Anwendungen, die On-Premises oder in der Cloud gehostet werden, virtuelle Maschinen oder Container, indem Sie Integrationen erstellen. Sie können Integrationen mit mehr als 12 Partnern erstellen, um Ereignisse in Ihrem Ereignisdatenspeicher zu protokollieren, die außerhalb von AWS auftreten. Um eine Integration zu erstellen, konfigurieren Sie zunächst einen Kanal, über den Ereignisse übertragen werden. Sie können CloudTrail Lake verwenden, um diese Daten zu speichern, darauf zuzugreifen, zu analysieren, Fehler zu beheben und Maßnahmen zu ergreifen, ohne mehrere Protokollaggregatoren und Berichtstools verwalten zu müssen.

Ereignisdatenspeicher können Ereignisse aus der aktuellen AWS-Region oder aus allen AWS-Regionen in Ihrem AWS-Konto protokollieren. Ereignisdatenspeicher, die Sie verwenden, um Integrations-Ereignisse außerhalb von AWS zu protokollieren, müssen nur für eine einzelne Region bestimmt sein; sie können keine Ereignisdatenspeicher für mehrere Regionen sein.

Um einen Ereignisdatenspeicher zu ändern, nachdem Sie ihn erstellt haben, können Sie den update-event-data-store Befehl ausführen oder die CloudTrail Lake-Konsole verwenden.

Wenn Sie eine Organisation in AWS Organizations erstellt haben, können Sie einen Organisations-Ereignisdatenspeicher erstellen, der alle Ereignisse für alle AWS-Konten in dieser Organisation protokolliert. Organisations-Ereignisdatenspeicher können für alle AWS-Regionen oder die aktuelle Region gelten. Organisations-Ereignisdatenspeicher müssen im Verwaltungskonto oder im Konto eines delegierten Administrators erstellt werden. Sobald sie auf eine Organisation angewendet werden, gelten sie automatisch auch für alle Mitgliedskonten in der Organisation. Mitgliedskonten können den Organisations-Ereignisdatenspeicher sehen, diesen aber weder ändern noch löschen. Standardmäßig haben Mitgliedskonten weder Zugriff auf die Protokolldateien für einen Organisations-Ereignisdatenspeicher, noch können sie Abfragen in Organisations-Ereignisdatenspeichern ausführen. Organisations-Ereignisdatenspeicher können nicht zum Sammeln von Ereignissen außerhalb von AWS verwendet werden. Weitere Informationen finden Sie unter Ereignisdatenspeicher einer Organisation.

Weitere Informationen zu den ersten Schritten mit CloudTrail Lake finden Sie unter Mit AWS CloudTrail Lake arbeiten in diesem Handbuch.

CloudTrail Trails

Sie können auch einen CloudTrail Trail erstellen, um Änderungen an Ihren AWS Ressourcen zu archivieren, zu analysieren und darauf zu reagieren. Trails können CloudTrail Verwaltungsereignisse, Datenereignisse und Insights-Ereignisse protokollieren.

Ein Trail ist eine Konfiguration, durch die Ereignisse an den von Ihnen angegebenen Amazon-S3-Bucket übermittelt werden. Sie können Ereignisse auch in einem Trail mit Amazon CloudWatch Logs und Amazon bereitstellen und analysieren EventBridge. Sie können Trails mit der - CloudTrail KonsoleAWS CLI, der oder der CloudTrail -API erstellen.

Sie können für ein AWS-Konto zwei Arten von Trails erstellen:

Ein Trail, der für alle Regionen gilt

Wenn Sie einen Trail erstellen, der für alle Regionen gilt, CloudTrail zeichnet Ereignisse in jeder Region auf und stellt die CloudTrail Ereignisprotokolldateien in einem von Ihnen angegebenen S3-Bucket bereit. Wenn eine Region hinzugefügt wird, nachdem Sie einen Trail erstellt, der auf alle Regionen angewendet wird, wird diese neue Region ist automatisch aufgenommen und alle Ereignisse in dieser Region werden protokolliert. Das Erstellen eines Trails mit mehreren Regionen wird als bewährte Methode empfohlen, da Sie Aktivitäten in allen Regionen in Ihrem Konto erfassen. Alle Trails, die Sie mit der CloudTrail Konsole erstellen, sind multiregional. Sie können einen einzelnen Regions-Trail aktualisieren, um alle Regionen zu protokollieren, indem Sie die AWS CLI verwenden. Weitere Informationen finden Sie unter Erstellen eines Trails in der Konsole und Umwandeln eines Trails, der für eine Region gilt, zu einem Trail für alle Regionen.

Ein Trail für eine Region

Wenn Sie einen Trail erstellen, der für eine Region gilt, CloudTrail zeichnet nur die Ereignisse in dieser Region auf. Anschließend werden die CloudTrail Ereignisprotokolldateien an einen von Ihnen angegebenen Amazon S3-Bucket übermittelt. Sie können nur einen einzelnen Regions-Trail erstellen, indem Sie die AWS CLI verwenden. Wenn Sie zusätzliche einzelne Trails erstellen, können diese Trails CloudTrail Ereignisprotokolldateien an denselben Amazon S3-Bucket oder an separate Buckets übermitteln. Dies ist die Standardoption, wenn Sie einen Trail mit der AWS CLI oder der CloudTrail API erstellen. Weitere Informationen finden Sie unter Trails erstellen, aktualisieren und verwalten mit AWS Command Line Interface.

Anmerkung

Für beide Arten von Trails können Sie einen Amazon-S3-Bucket aus einer beliebigen Region angeben.

Ab dem 12. April 2019 sind Trails nur in den AWS-Regionen anzeigbar, in denen sie Ereignisse protokollieren. Wenn Sie einen Trail erstellen, der Ereignisse in allen AWS-Regionen protokolliert, wird er in der Konsole in allen AWS-Regionen angezeigt. Wenn Sie einen Trail erstellen, der nur Ereignisse in einer einzelnen AWS-Region protokolliert, können Sie ihn nur in dieser AWS-Region anzeigen und verwalten.

Wenn Sie eine Organisation in AWS Organizations erstellt haben, können Sie einen Organisations-Trail erstellen, der alle Ereignisse für alle AWS-Konten in dieser Organisation protokolliert. Organisations-Trails können für alle AWS-Regionen oder die aktuelle Region gelten. Organisations-Trails müssen im Verwaltungskonto oder mit dem Konto eines delegierten Administrators erstellt werden. Sobald sie auf eine Organisation angewendet werden, gelten sie automatisch auch für alle Mitgliedskonten in der Organisation. Mitgliedskonten können den Organisations-Trail sehen, diesen aber weder ändern noch löschen. Standardmäßig wird Mitgliedskonten kein Zugriff auf die Protokolldateien für den Organisations-Trail im Amazon-S3-Bucket gewährt.

Sie können die Konfiguration eines Trails ändern, nachdem Sie ihn erstellt haben, wie z. B., ob er Ereignisse in einer Region oder in allen Regionen protokolliert. Um einen einzelnen Regions-Trail in einen Regions-Trail für alle Regionen oder umgekehrt zu ändern, müssen Sie den AWS CLI-Befehl update-trail ausführen. Sie können auch ändern, ob Daten oder CloudTrail Insights-Ereignisse protokolliert werden. Die Änderung, ob ein Trail Ereignisse in einer Region oder in allen Regionen protokolliert, wirkt sich darauf aus, welche Ereignisse protokolliert werden. Weitere Informationen finden Sie unter Verwaltung von Wanderwegen mit dem AWS CLI (AWS CLI) und Arbeiten mit CloudTrail-Protokolldateien.

Standardmäßig werden CloudTrail Ereignisprotokolldateien von Trails mit serverseitiger Amazon S3-Verschlüsselung (SSE) verschlüsselt. Sie können Ihre Protokolldateien auch mit einem AWS Key Management Service (AWS KMS)-Schlüssel verschlüsseln. Sie können Ihre Protokolldateien beliebig lange in Ihrem -Bucket speichern. Außerdem können Sie Amazon-S3-Lebenszyklusregeln definieren, um Protokolldateien automatisch zu archivieren oder zu löschen. Wenn Sie über die Protokolldateilieferung und -validierung informiert werden möchten, können Sie Amazon-SNS-Benachrichtigungen einrichten.

CloudTrail veröffentlicht Protokolldateien mehrmals pro Stunde, etwa alle 5 Minuten. Diese Protokolldateien enthalten API-Aufrufe von Services des Kontos, das CloudTrail unterstützt. Weitere Informationen finden Sie unter CloudTrail unterstützte Dienste und Integrationen.

Anmerkung

CloudTrail liefert Protokolle in der Regel innerhalb von durchschnittlich 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter AWS CloudTrail Service Level Agreement.

Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), CloudTrail versucht 30 Tage lang erneut, die Protokolldateien an Ihren S3-Bucket zuzustellen, und für diese attempted-to-deliver Ereignisse fallen CloudTrail Standardgebühren an. Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.

CloudTrail erfasst Aktionen, die direkt vom Benutzer oder im Namen des Benutzers von einem -AWSService durchgeführt wurden. Beispiel: Ein Aufruf der AWS CloudFormation-Funktion CreateStack kann zu zusätzlichen API-Aufrufen von Amazon EC2, Amazon RDS, Amazon EBS oder sonstigen Services (gemäß Anforderung der AWS CloudFormation-Vorlage) führen. Dieses Verhalten ist normal und wird erwartet. Sie können mit dem invokedby Feld im CloudTrail Ereignis feststellen, ob die Aktion von einem -AWSService ausgeführt wurde.

CloudTrail Kanäle

CloudTrail unterstützt zwei Arten von Kanälen:

Kanäle für CloudTrail Lake-Integrationen mit Ereignisquellen außerhalb von AWS

CloudTrail Lake verwendet Kanäle, um Nicht--AWSEreignisse von externen Partnern, die mit zusammenarbeiten CloudTrail, oder aus Ihren eigenen Quellen in CloudTrail Lake zu bringen. Wenn Sie einen Kanal erstellen, wählen Sie einen oder mehrere Ereignisdatenspeicher aus, um Ereignisse zu speichern, die von der Kanalquelle stammen. Sie können die Zielereignisdatenspeicher für einen Kanal nach Bedarf ändern, sofern die Zielereignisdatenspeicher so eingestellt sind, dass sie Ereignisse protokollieren. Wenn Sie einen Kanal für Ereignisse eines externen Partners erstellen, stellen Sie dem Partner oder der Quellanwendung einen Kanal-ARN zur Verfügung. Die dem Kanal beigefügte Ressourcenrichtlinie ermöglicht es der Quelle, Ereignisse über den Kanal zu übertragen. Weitere Informationen finden Sie unter Eine Integration mit einer Ereignisquelle außerhalb von AWS erstellen und CreateChannel in der AWS CloudTrail-API-Referenz.

Serviceverknüpfte Kanäle

AWS -Services können einen serviceverknüpften Kanal erstellen, um CloudTrail Ereignisse in Ihrem Namen zu empfangen. Der AWS-Service, der den serviceverknüpften Kanal erstellt, konfiguriert erweiterte Ereignis-Selektoren für den Kanal und gibt an, ob der Kanal für alle Regionen oder eine einzelne Region gilt.

Sie können die -CloudTrail Konsole oder verwendenAWS CLI, um Informationen zu allen CloudTrail serviceverknüpften Kanälen anzuzeigen, die von erstellt wurdenAWS-Services.