Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen, aktualisieren und verwalten Sie CloudTrail Lake-Integrationen mit dem AWS CLI
<a name="lake-integrations-cli"></a>

In diesem Abschnitt werden die Befehle beschrieben, mit denen Sie Ihre CloudTrail Lake-Integrationen mithilfe von erstellen, aktualisieren und verwalten können. AWS CLI

Denken Sie bei der Verwendung von daran AWS CLI, dass Ihre Befehle in der für Ihr Profil AWS-Region konfigurierten Version ausgeführt werden. Wenn Sie die Befehle in einer anderen Region ausführen möchten, ändern Sie entweder die Standardregion für Ihr Profil, oder verwenden Sie den **--region**-Parameter mit dem Befehl.

## Verfügbare Befehle für CloudTrail Lake-Integrationen
<a name="lake-integrations-cli-commands"></a>

Zu den Befehlen zum Erstellen, Aktualisieren und Verwalten von Integrationen in CloudTrail Lake gehören:
+ `create-event-data-store`um einen Ereignisdatenspeicher für Ereignisse außerhalb von AWS zu erstellen.
+ `delete-channel`um einen Kanal zu löschen, der für eine Integration verwendet wird.
+ `[delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/delete-resource-policy.html)`um die Ressourcenrichtlinie zu löschen, die einem Kanal für eine CloudTrail Lake-Integration zugeordnet ist.
+ `[get-channel](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-channel.html)`um Informationen über einen CloudTrail Kanal zurückzugeben.
+ `[get-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-resource-policy.html)`um den JSON-Text des ressourcenbasierten Richtliniendokuments abzurufen, das dem Kanal beigefügt ist. CloudTrail 
+ `[list-channels](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-channels.html)`um die Kanäle im Girokonto und ihre Quellnamen aufzulisten.
+ `[put-audit-events](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail-data/put-audit-events.html)`um Ihre Anwendungsereignisse in CloudTrail Lake aufzunehmen. Ein erforderlicher Parameter akzeptiert die JSON-Datensätze (auch Payload genannt) von Ereignissen, die Sie aufnehmen CloudTrail möchten. `auditEvents` Sie können bis zu 100 dieser Ereignisse (oder bis zu 1 MB) pro `PutAuditEvents` Anfrage hinzufügen.
+ `[put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html)`um einem CloudTrail Kanal, der für eine Integration mit einer Ereignisquelle außerhalb von verwendet wird, eine ressourcenbasierte Berechtigungsrichtlinie zuzuweisen. AWS[Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien.](security_iam_resource-based-policy-examples.md)
+ `update-channel`um einen Kanal zu aktualisieren, der durch einen erforderlichen Kanal-ARN oder eine UUID angegeben ist.

Eine Liste der verfügbaren Befehle für CloudTrail Lake-Ereignisdatenspeicher finden Sie unter. [Verfügbare Befehle für Ereignisdatenspeicher](lake-eds-cli.md#lake-eds-cli-commands)

Eine Liste der verfügbaren Befehle für CloudTrail Lake-Abfragen finden Sie unter[Verfügbare Befehle für CloudTrail Lake-Abfragen](lake-queries-cli.md#lake-queries-cli-commands).

Eine Liste der verfügbaren Befehle für CloudTrail Lake-Dashboards finden Sie unter[Verfügbare Befehle für Dashboards](lake-dashboard-cli.md#lake-dashboard-cli-commands).

# Erstellen Sie eine Integration zur Protokollierung von Ereignissen von außen AWS mit dem AWS CLI
<a name="lake-cli-create-integration"></a>

In diesem Abschnitt wird beschrieben, wie Sie die verwenden können AWS CLI , um eine CloudTrail Lake-Integration zu erstellen, um Ereignisse von außerhalb von zu protokollieren AWS.

In der AWS CLI erstellen Sie eine Integration in vier Befehlen (drei, wenn Sie bereits über einen Ereignisdatenspeicher verfügen, der die Kriterien erfüllt). Ereignisdatenspeicher, die Sie als Ziele für eine Integration verwenden, müssen für eine einzelne Region und ein einzelnes Konto bestimmt sein. Sie können nicht regionsübergreifend sein, sie können keine Ereignisse für Organisationen protokollieren und sie können nur Aktivitätsereignisse enthalten. AWS Organizations Der Ereignistyp in der Konsole muss **Events from integrations** (Ereignisse aus Integrationen) sein. In der API muss der `eventCategory`-Wert `ActivityAuditLog` sein. Weitere Informationen über Integrationen finden Sie unter [Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS](query-event-data-store-integration.md).

1. Führen Sie den Vorgang [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/index.html) aus, um einen Ereignisdatenspeicher zu erstellen, falls Sie nicht bereits über einen oder mehrere Ereignisdatenspeicher verfügen, die Sie für die Integration verwenden können.

   Der folgende AWS CLI Beispielbefehl erstellt einen Ereignisdatenspeicher, der Ereignisse von außen AWS protokolliert. Für Aktivitätsereignisse lautet der `eventCategory`-Feldauswahlwert `ActivityAuditLog`. Der Aufbewahrungszeitraum des Ereignisdatenspeichers beträgt 90 Tage. Standardmäßig sammelt der Ereignisdatenspeicher Ereignisse aus allen Regionen. Da es sich jedoch um AWS Nichtereignisse handelt, legen Sie ihn auf eine einzelne Region fest, indem Sie die `--no-multi-region-enabled` Option hinzufügen. Der Kündigungsschutz ist standardmäßig aktiviert, und der Ereignisdatenspeicher erfasst keine Ereignisse für Konten in einer Organisation.

   ```
   aws cloudtrail create-event-data-store \
   --name my-event-data-store \
   --no-multi-region-enabled \
   --retention-period 90 \
   --advanced-event-selectors '[
       {
         "Name": "Select all external events",
         "FieldSelectors": [
             { "Field": "eventCategory", "Equals": ["ActivityAuditLog"] }
           ]
       }
     ]'
   ```

   Nachfolgend finden Sie eine Beispielantwort.

   ```
   {
       "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
       "Name": "my-event-data-store",
       "AdvancedEventSelectors": [
           {
              "Name": "Select all external events",
              "FieldSelectors": [
                 {
                     "Field": "eventCategory",
                     "Equals": [
                         "ActivityAuditLog"
                       ]
                   }
               ]
           }
       ],
       "MultiRegionEnabled": true,
       "OrganizationEnabled": false,
       "BillingMode": "EXTENDABLE_RETENTION_PRICING",
       "RetentionPeriod": 90,
       "TerminationProtectionEnabled": true,
       "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
       "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
   }
   ```

   Sie benötigen die Ereignisdatenspeicher-ID (das Suffix des ARN oder `EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE` im vorherigen Antwortbeispiel), um mit dem nächsten Schritt fortzufahren und Ihren Kanal zu erstellen.

1. Führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-channel.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-channel.html)Befehl aus, um einen Kanal zu erstellen, der es einer Partner- oder Quellanwendung ermöglicht, Ereignisse an einen Ereignisdatenspeicher in zu senden CloudTrail.

   Ein Kanal umfasst die folgenden Komponenten:  
**Quelle**  
CloudTrail verwendet diese Informationen, um die Partner zu ermitteln, an die in CloudTrail Ihrem Namen Ereignisdaten gesendet werden. Eine Quelle ist erforderlich und kann entweder `Custom` für alle gültigen Nicht-AWS -Ereignisse oder für den Namen einer Partnerereignisquelle verwendet werden. Pro Quelle ist maximal ein Kanal zulässig.  
Informationen zu den `Source`-Werten für verfügbare Partner finden Sie unter [Zusätzliche Informationen über Integrationspartner](query-event-data-store-integration.md#cloudtrail-lake-partner-information).  
**Status der Aufnahme**  
Der Kanalstatus zeigt an, wann die letzten Ereignisse von einer Kanalquelle empfangen wurden.  
**Ziele**  
Die Ziele sind die CloudTrail Lake-Ereignisdatenspeicher, die Ereignisse vom Kanal empfangen. Sie können die Zielereignisdatenspeicher für einen Kanal ändern.

   Um keine Ereignisse mehr von einer Quelle zu empfangen, löschen Sie den Kanal.

   Sie benötigen die ID von mindestens einem Zielereignisdatenspeicher, um diesen Befehl auszuführen. Der gültige Zieltyp ist `EVENT_DATA_STORE`. Sie können aufgenommene Ereignisse an mehr als einen Ereignisdatenspeicher senden. Mit dem folgenden Beispielbefehl wird ein Kanal erstellt, der Ereignisse an zwei Ereignisdatenspeicher sendet, die IDs im `Location` Attribut des `--destinations` Parameters durch sie repräsentiert werden. Die Parameter `--destinations`, `--name` und `--source` müssen angegeben werden. Um Ereignisse von einem CloudTrail Partner aufzunehmen, geben Sie den Namen des Partners als Wert von an`--source`. Wenn Sie Ereignisse aus Ihren eigenen externen Anwendungen aufnehmen möchten AWS, geben Sie `Custom` den Wert von an. `--source`

   ```
   aws cloudtrail create-channel \
       --region us-east-1 \
       --destinations '[{"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE"}, {"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEg922-5n2l-3vz1- apqw8EXAMPLE"}]'
       --name my-partner-channel \
       --source $partnerSourceName \
   ```

   Kopieren Sie als Antwort auf Ihren **create-channel**-Befehl den ARN des neuen Kanals. Sie benötigen den ARN, um die `put-resource-policy`- und `put-audit-events`-Befehle und in den nächsten Schritten auszuführen.

1.  Führen Sie den **put-resource-policy**Befehl aus, um eine Ressourcenrichtlinie an den Kanal anzuhängen. Ressourcenrichtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für die Ressource ausführen kann. Die in der Ressourcenrichtlinie des Kanals als Prinzipale definierten Konten können die `PutAuditEvents`-API aufrufen, um Ereignisse zu übermitteln. 
**Anmerkung**  
Wenn Sie keine Ressourcenrichtlinie für den Kanal erstellen, kann nur der Kanalbesitzer die `PutAuditEvents`-API auf dem Kanal aufrufen.

   Die für die Richtlinie erforderlichen Informationen werden durch den Integrationstyp bestimmt.
   + Bei einer Direktionsintegration CloudTrail muss die Richtlinie das AWS Konto IDs des Partners enthalten und Sie müssen die vom Partner bereitgestellte eindeutige externe ID eingeben. CloudTrail fügt das AWS Konto des Partners automatisch IDs zur Ressourcenrichtlinie hinzu, wenn Sie eine Integration mithilfe der CloudTrail Konsole erstellen. In der [Dokumentation des Partners](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html#cloudtrail-lake-partner-information#lake-integration-partner-documentation) erfahren Sie, wie Sie die für die Richtlinie erforderlichen AWS Kontonummern erhalten.
   + Für eine Lösungsintegration müssen Sie mindestens eine AWS Konto-ID als Principal angeben und können optional eine externe ID eingeben, um zu verhindern, dass der Stellvertreter verwirrt wird.

   Die folgenden Anforderungen sind für die Ressourcenrichtlinie erforderlich:
   + Der in der Richtlinie definierte Ressourcen-ARN muss mit dem Kanal-ARN übereinstimmen, an den die Richtlinie angehängt ist.
   +  Die Richtlinie enthält nur eine Aktion: cloudtrail-data: PutAuditEvents 
   +  Jede Richtlinie muss mindestens eine Aussage enthalten. Die Richtlinie kann maximal 20 Aussagen umfassen. 
   +  Jede Aussage enthält mindestens einen Prinzipal. Eine Aussage kann maximal 50 Prinzipale haben. 

   ```
   aws cloudtrail put-resource-policy \
       --resource-arn "channelARN" \
       --policy "{
       "Version": "2012-10-17",		 	 	 
       "Statement":
       [
           {
               "Sid": "ChannelPolicy",
               "Effect": "Allow",
               "Principal":
               {
                   "AWS":
                   [
                       "arn:aws:iam::111122223333:root",
                       "arn:aws:iam::444455556666:root",
                       "arn:aws:iam::123456789012:root"
                   ]
               },
               "Action": "cloudtrail-data:PutAuditEvents",
               "Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b",
               "Condition":
               {
                   "StringEquals":
                   {
                       "cloudtrail:ExternalId": "UniqueExternalIDFromPartner"
                   }
               }
           }
       ]
   }"
   ```

   Weitere Informationen zu Ressourcenrichtlinien finden Sie unter [AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien](security_iam_resource-based-policy-examples.md).

1. Führen Sie die [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API aus, in die Ihre Aktivitätsereignisse aufgenommen werden sollen. CloudTrail Sie benötigen die Payload der Ereignisse, die Sie hinzufügen CloudTrail möchten. Stellen Sie sicher, dass die Event-Payload keine sensiblen oder persönlich identifizierbaren Informationen enthält, bevor Sie sie aufnehmen. CloudTrail Beachten Sie, dass die `PutAuditEvents`-API den `cloudtrail-data`-CLI-Endpunkt verwendet, nicht den `cloudtrail`-Endpunkt.

   Die folgenden Beispiele demonstrieren die Verwendung des CLI-Befehls **put-audit-events**. Die Parameter **--audit-events** und **--channel-arn** müssen angegeben werden. Der **--external-id**-Parameter ist erforderlich, wenn in der Ressourcenrichtlinie eine externe ID definiert ist. Sie benötigen den ARN des Kanals, den Sie im vorherigen Schritt erstellt haben. Der Wert von **--audit-events** ist ein JSON-Array von Ereignisobjekten. `--audit-events`enthält eine erforderliche ID aus dem Ereignis, die erforderliche Nutzlast des Ereignisses als Wert von und eine [optionale Prüfsumme `EventData`](#lake-cli-integration-checksum.title), um die Integrität des Ereignisses nach der Aufnahme in zu überprüfen. CloudTrail

   ```
   aws cloudtrail-data put-audit-events \
   --channel-arn $ChannelArn \
   --external-id $UniqueExternalIDFromPartner \
   --audit-events \
   id="event_ID",eventData='"{event_payload}"' \
   id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"
   ```

   Nachfolgend finden Sie einen Beispielbefehl mit zwei Ereignisbeispielen.

   ```
   aws cloudtrail-data put-audit-events \
   --channel-arn arn:aws:cloudtrail:us-east-1:123456789012:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
   --external-id UniqueExternalIDFromPartner \
   --audit-events \
   id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
   \}"' \
   id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
   \}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"
   ```

   Der folgende Beispielbefehl fügt den `--cli-input-json`-Parameter hinzu, um eine JSON-Datei (`custom-events.json`) mit Ereignis-Nutzlast anzugeben.

   ```
   aws cloudtrail-data put-audit-events --channel-arn $channelArn --external-id $UniqueExternalIDFromPartner --cli-input-json file://custom-events.json --region us-east-1
   ```

   Es folgen Beispiele für den Inhalt der Beispiel-JSON–Datei `custom-events.json`.

   ```
   {
       "auditEvents": [
         {
           "eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
           \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
           \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
           \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
           \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
           \"additionalEventData\":{\"key\":\"value\"},
           \"sourceIPAddress\":\"12.34.56.78\",\"recipientAccountId\":\"152089810396\"}",
           "id": "1"
         }
      ]
   }
   ```

Sie können überprüfen, ob die Integration funktioniert und Ereignisse aus der Quelle CloudTrail korrekt aufnimmt, indem Sie den Befehl ausführen. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-channel.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-channel.html) Die Ausgabe von **get-channel** zeigt den letzten Zeitstempel, mit dem Ereignisse CloudTrail empfangen wurden.

```
aws cloudtrail get-channel --channel arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE
```

## (Optional) Berechnen Sie einen Prüfsummenwert
<a name="lake-cli-integration-checksum"></a>

Anhand der Prüfsumme, die Sie `EventDataChecksum` in einer `PutAuditEvents` Anforderung als Wert angeben, können Sie überprüfen, ob das Ereignis CloudTrail empfangen wird, das mit der Prüfsumme übereinstimmt. Sie hilft Ihnen dabei, die Integrität von Ereignissen zu überprüfen. Der Prüfsummenwert ist ein SHA256 Base64-Algorithmus, den Sie berechnen, indem Sie den folgenden Befehl ausführen.

```
printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
        \"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
        \"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
        \"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
        \"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
        \"additionalEventData\":{\"key\":\"value\"},
        \"sourceIPAddress\":\"source_IP_address\",
        \"recipientAccountId\":\"recipient_account_ID\"}",
        "id": "1"}" \
 | openssl dgst -binary -sha256 | base64
```

Der Befehl gibt die Prüfsumme zurück. Im Folgenden wird ein -Beispiel gezeigt.

```
EXAMPLEDHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=
```

Der Prüfsummenwert wird der Wert von `EventDataChecksum` in Ihrer `PutAuditEvents`-Anfrage. Wenn die Prüfsumme nicht mit der für das angegebene Ereignis übereinstimmt, wird das Ereignis mit einem CloudTrail Fehler zurückgewiesen. `InvalidChecksum`

# Aktualisiere einen Kanal mit AWS CLI
<a name="lake-cli-update-channel"></a>

In diesem Abschnitt wird beschrieben, wie Sie den verwenden können AWS CLI , um einen Kanal für eine CloudTrail Lake-Integration zu aktualisieren. Sie können den `update-channel` Befehl ausführen, um den Namen des Kanals zu aktualisieren oder einen anderen Zielereignisdatenspeicher anzugeben. Sie können die Quelle eines Kanals nicht aktualisieren.

Wenn Sie den Befehl ausführen, ist der `--channel` Parameter erforderlich.

Das folgende Beispiel zeigt, wie der Kanalname und das Ziel aktualisiert werden.

```
aws cloudtrail update-channel \
--channel aws:cloudtrail:us-east-1:123456789012:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--name "new-channel-name" \
--destinations '[{"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE"}, {"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEg922-5n2l-3vz1- apqw8EXAMPLE"}]'
```

# Löschen Sie einen Kanal, um eine Integration mit dem zu löschen AWS CLI
<a name="lake-cli-delete-integration"></a>

In diesem Abschnitt wird beschrieben, wie der `delete-channel` Befehl zum Löschen des Kanals für eine CloudTrail Lake-Integration ausgeführt wird. Sie würden einen Kanal löschen, wenn Sie die Aufnahme von Partnerereignissen oder anderen Aktivitätsereignissen außerhalb von AWS beenden möchten. Der ARN oder die Kanal-ID (das ARN-Suffix) des Kanals, den Sie löschen möchten, ist erforderlich.

Das folgende Beispiel zeigt, wie der Kanal gelöscht wird.

```
aws cloudtrail delete-channel \
--channel EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE
```