CloudTrail Lake-Dashboards mit der CloudTrail Konsole anzeigen - AWS CloudTrail
EinschränkungenVoraussetzungenAuswählen eines DashboardsFiltern eines Dashboards nach Datum oder ZeitraumAnzeigen der Abfrage für ein Dashboard-Widget

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail Lake-Dashboards mit der CloudTrail Konsole anzeigen

Sie können CloudTrail Lake-Dashboards verwenden, um die Ereignisse in einem Ereignisdatenspeicher zu visualisieren. Sie haben mehrere verschiedene Dashboardtypen zur Auswahl. Die verfügbaren Dashboardtypen für einen Ereignisdatenspeicher hängen von der Konfiguration der erweiterten Ereignisselektoren des Ereignisdatenspeichers ab. Wenn ein Dashboard-Typ beispielsweise Informationen über CloudTrail Verwaltungsereignisse anzeigt, können Sie das Dashboard nur auswählen, wenn der aktuell ausgewählte Ereignisdatenspeicher CloudTrail Verwaltungsereignisse sammelt.

Jeder Dashboardtyp besteht aus mehreren Widgets und jedes Widget steht für eine SQL-Abfrage. Um die Abfrage für ein Widget anzuzeigen, wählen Sie Im Abfrage-Editor anzeigen und analysieren aus, um den Abfrage-Editor zu öffnen. Sie können die vom System generierte Abfrage, die zum Füllen des Widgets verwendet wird, nicht ändern. Sie können jedoch Änderungen an der Abfrage vornehmen und die Abfrage zur weiteren Analyse im Abfrage-Editor ausführen.

Um ein Dashboard aufzufüllen und zu aktualisieren, wählen Sie Abfragen ausführen aus. Wenn Sie Abfragen ausführen wählen, werden systemgenerierte Abfragen in Ihrem Namen CloudTrail ausgeführt. Da das Ausführen von Abfragen Kosten verursacht, werden Sie CloudTrail aufgefordert, die mit der Ausführung von Abfragen verbundenen Kosten zu bestätigen. Dies ist eine einmalige Bestätigung. Weitere Informationen zur Preisgestaltung finden Sie unter CloudTrail CloudTrail Preisgestaltung.

Einschränkungen

Die folgenden Einschränkungen gelten für die aktuelle Version.

  • Die aktuelle Version unterstützt keine benutzerdefinierten Dashboards, Widgets oder Abfragen.

  • Die aktuelle Version bietet nur Dashboards für Ereignisdatenspeicher, in denen CloudTrail Ereignisse (Datenereignisse, Verwaltungsereignisse) und Insights-Ereignisse erfasst werden.

  • Die aktuelle Version unterstützt nicht die Bearbeitung der systemgenerierten Abfragen, die zum Füllen des Dashboards verwendet werden. Sie können die zugrunde liegende Abfrage für jedes Widget auf der Registerkarte Abfrage-Editor anzeigen und bearbeiten. Alle Änderungen, die Sie an der Abfrage vornehmen, sind jedoch für zusätzliche Analysen außerhalb des Dashboards vorgesehen.

Voraussetzungen

Die folgenden Voraussetzungen gelten für Lake-Dashboards.

  • Um Lake-Dashboards anzeigen und verwenden zu können, müssen Sie mindestens einen CloudTrail Lake-Ereignisdatenspeicher erstellen. Sie können Ereignisdatenspeicher mithilfe der Konsole oder mithilfe von SDKs erstellen. AWS CLI Weitere Informationen zum Erstellen eines Ereignisdatenspeichers mit der Konsole finden Sie unter Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse. Hinweise zum Erstellen eines Ereignisdatenspeichers mithilfe von finden Sie AWS CLI unterErstellen, aktualisieren und verwalten Sie Ereignisdatenspeicher mit dem AWS CLI.

  • CloudTrail Führt Abfragen in Ihrem Namen aus, um das Dashboard zu füllen. Wenn Sie die Seite „Dashboards“ zum ersten Mal aufrufen, werden Sie CloudTrail aufgefordert, die mit der Ausführung von Abfragen verbundenen Kosten zu bestätigen. Wählen Sie Ich stimme zu aus, um die Kosten für die Ausführung von Abfragen zu akzeptieren.

Auswählen eines Dashboards

Gehen Sie wie folgt vor, um einen Ereignisdatenspeicher und einen Dashboardtyp für die Anzeige auszuwählen.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im linken Navigationsbereich unter Lake die Option Dashboard aus.

  3. Wählen Sie den Ereignisdatenspeicher aus, für den Sie Daten visualisieren möchten.

  4. Wählen Sie den Dashboardtyp aus, den Sie anzeigen möchten. Die Liste der Dashboards wird basierend auf der Konfiguration der erweiterten Ereignisselektoren des ausgewählten Ereignisdatenspeichers ausgefüllt.

    Die folgenden Dashboardtypen sind möglich:

    • Übersichts-Dashboard — Zeigt die aktivsten Benutzer AWS-Services nach Anzahl der Ereignisse an. AWS-Regionen Sie können auch Informationen über die Aktivität von read- und write-Verwaltungsereignissen, die am stärksten beeinträchtigten Ereignisse und die häufigsten Fehler anzeigen. Dieses Dashboard ist für Ereignisdatenspeicher verfügbar, die Verwaltungsereignisse erfassen.

    • Dashboard für Verwaltungsereignisse – Zeigt Anmeldeereignisse auf der Konsole, Ereignisse mit Zugriffsverweigerung, destruktive Aktionen und die häufigsten Fehler pro Benutzer an. Sie können auch Informationen zu TLS-Versionen und veralteten TLS-Aufrufen nach Benutzern anzeigen. Dieses Dashboard ist für Ereignisdatenspeicher verfügbar, die Verwaltungsereignisse erfassen.

    • Dashboard für S3-Datenereignisse – Zeigt die S3-Kontoaktivitäten, die am häufigsten aufgerufenen S3-Objekte, die wichtigsten S3-Benutzer und die wichtigsten S3-Aktionen an. Dieses Dashboard ist für Ereignisdatenspeicher verfügbar, die Amazon-S3-Datenaktionen erfassen.

    • Dashboard für Insights-Ereignisse – Zeigt den Gesamtanteil der Insights-Ereignisse nach Insights-Typ, den Anteil der Insights-Ereignisse nach Insights-Typ für die wichtigsten Benutzer und Services sowie die Anzahl der Insights-Ereignisse pro Tag. Das Dashboard enthält auch ein Widget, das Insights-Ereignisse für bis zu 30 Tage auflistet. Dieses Dashboard ist nur für Ereignisdatenspeicher verfügbar, die Insights-Ereignisse erfassen.

      Anmerkung

      • Nachdem Sie CloudTrail Insights zum ersten Mal im Quelldatenspeicher für Ereignisse aktiviert haben, kann es bis zu 7 Tage dauern, CloudTrail bis das erste Insights-Ereignis übermittelt wird, wenn ungewöhnliche Aktivitäten festgestellt werden. Weitere Informationen finden Sie unter Grundlegendes zur Insights-Ereignisbereitstellung.

      • Das Dashboard für Insights-Ereignisse zeigt nur Informationen zu den Insights-Ereignissen an, die vom ausgewählten Ereignisdatenspeicher erfasst wurden. Dies hängt von der Konfiguration des ursprünglichen Ereignisdatenspeicher ab. Wenn Sie beispielsweise den ursprünglichen Ereignisdatenspeicher so konfigurieren, dass Insights-Ereignisse für ApiCallRateInsight, aber nicht für ApiErrorRateInsight aktiviert werden, werden Ihnen keine Informationen über Insights-Ereignisse für ApiErrorRateInsight angezeigt.

  5. Wählen Sie, ob Sie die Dashboard-Daten nach einem absoluten Bereich oder einem relativen Bereich filtern möchten. Wählen Sie Absoluter Bereich, um ein bestimmtes Datum und eine bestimmte Zeitspanne auszuwählen. Wählen Sie Relativer Bereich, um einen vordefinierten Zeitraum oder einen benutzerdefinierten Bereich auszuwählen. Standardmäßig zeigt das Dashboard Ereignisdaten der letzten 24 Stunden an.

    Anmerkung

    CloudTrail Bei Lake-Abfragen fallen Kosten an, die von der Menge der gescannten Daten abhängen. Für eine bessere Kostenkontrolle können Sie nach einem engeren Zeitrahmen filtern. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise.

  6. Wählen Sie Abfragen ausführen aus, um die Abfragen für die Dashboard-Widgets auszuführen.

Filtern eines Dashboards nach Datum oder Zeitraum

Standardmäßig zeigt das Dashboard Daten der letzten 24 Stunden an. Sie können ein Dashboard nach einem absoluten Bereich oder einem relativen Bereich filtern.

Wählen Sie Absoluter Bereich, um ein bestimmtes Datum und eine bestimmte Zeitspanne auszuwählen.

Wählen Sie Relativer Bereich, um einen vordefinierten Zeitraum oder einen benutzerdefinierten Bereich auszuwählen.

Nachdem Sie den Zeitraum ausgewählt haben, wählen Sie Abfragen ausführen aus, um das Dashboard zu aktualisieren.

Anmerkung

CloudTrail Bei Lake-Abfragen fallen Kosten an, die von der Menge der gescannten Daten abhängen. Für eine bessere Kostenkontrolle können Sie nach einem engeren Zeitrahmen filtern. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise.

Anzeigen der Abfrage für ein Dashboard-Widget

Jedes Widget steht für eine SQL-Abfrage. Um die Abfrage für ein Widget anzuzeigen, wählen Sie Im Abfrage-Editor anzeigen und analysieren aus, um den Abfrage-Editor zu öffnen. Mithilfe des Abfrage-Editors können Sie die Abfrage außerhalb des Dashboards präzisieren und die Abfrage ausführen, um die Ergebnisse Ihrer aktualisierten Abfrage zu sehen. Weitere Informationen zum Arbeiten mit Abfragen finden Sie unter Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail .

Anmerkung

Sie können die vom System generierte Abfrage für ein Dashboard-Widget nicht ändern. Alle Änderungen, die an der Abfrage auf der Registerkarte Abfrage-Editor vorgenommen werden, dienen ausschließlich der weiteren Analyse außerhalb des Dashboards.