Grundlegendes zur Insights-Ereignisbereitstellung Protokollieren von Insights-Ereignissen mit dem AWS Management Console Protokollieren von Insights-Ereignissen mit dem AWS Command Line Interface Protokollieren von Insights-Ereignissen mit den AWS SDKs

Protokollieren von Insights-Ereignissen

AWS CloudTrail Insights helfen AWS Benutzern, ungewöhnliche Aktivitäten im Zusammenhang mit API-Aufrufen und API-Fehlerraten zu identifizieren und darauf zu reagieren, indem CloudTrail Verwaltungsereignisse kontinuierlich analysiert werden. CloudTrail Insights analysiert Ihre normalen Muster des API-Aufrufvolumens und der API-Fehlerraten, auch Basiswerte genannt, und generiert Insights-Ereignisse, wenn das Aufrufvolumen oder die Fehlerraten außerhalb der normalen Muster liegen. Insights-Ereignisse zum API-Aufrufvolume werden für write-Verwaltungs-APIs und Insights-Ereignisse zur API-Fehlerrate für read- und write-Verwaltungs-APIs generiert.

Anmerkung

Um Insights-Ereignisse auf dem API-Aufrufvolumen zu protokollieren, muss der Trail- oder Ereignisdatenspeicher write-Verwaltungsereignisse protokollieren. Um Insights-Ereignisse auf der API-Fehlerrate zu protokollieren, muss der Trail oder Ereignisdatenspeicher read- oder write-Verwaltungsereignisse protokollieren.

CloudTrail Insights analysiert Managementereignisse, die in einer einzelnen Region und nicht weltweit auftreten. Ein CloudTrail Insights-Ereignis wird in derselben Region generiert, in der auch die unterstützenden Managementereignisse generiert werden.

Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung.

Inhalt

Grundlegendes zur Insights-Ereignisbereitstellung

Im Gegensatz zu anderen Arten von Ereignissen, die CloudTrail erfasst werden, werden Insights-Ereignisse nur protokolliert, wenn Änderungen in der API-Nutzung Ihres Kontos CloudTrail festgestellt werden, die sich erheblich von den typischen Nutzungsmustern des Kontos unterscheiden.

Wo Ereignisse CloudTrail übermittelt werden und wie lange es dauert, bis Insights-Ereignisse empfangen werden, unterscheidet sich je nach Trail- und Ereignisdatenspeicher.

Insights-Ereignisse für Trails bereitstellen

Wenn du Insights-Ereignisse auf einem Trail aktiviert hast und ungewöhnliche Aktivitäten CloudTrail feststellst, werden CloudTrail Insights-Ereignisse an den /CloudTrail-Insight Ordner im ausgewählten S3-Ziel-Bucket für deinen Trail gesendet. Nachdem Sie CloudTrail Insights zum ersten Mal auf einem Trail aktiviert haben, kann es bis zu 36 Stunden dauern, CloudTrail bis das erste Insights-Ereignis übermittelt wird, wenn ungewöhnliche Aktivitäten erkannt werden.

Wenn Sie die Protokollierung von Insights-Ereignissen in einem Trail deaktivieren und dann wieder aktivieren oder die Protokollierung für CloudTrail einen Trail beenden und neu starten, kann es bis zu 36 Stunden dauern, bis die Bereitstellung von Insights-Ereignissen wieder aufgenommen wird, wenn ungewöhnliche Aktivitäten festgestellt werden.

Insights-Ereignisse für Ereignisdatenspeicher bereitstellen

Wenn Sie Insights-Ereignisse in einem Quell-Eventdatenspeicher aktiviert haben, CloudTrail werden Insights-Ereignisse an den Ziel-Ereignisdatenspeicher übermittelt. Nachdem Sie CloudTrail Insights zum ersten Mal im Quell-Eventdatenspeicher aktiviert haben, kann es bis zu 7 Tage dauern, CloudTrail bis das erste Insights-Ereignis an den Ziel-Ereignisdatenspeicher übermittelt wird, falls ungewöhnliche Aktivitäten festgestellt werden.

Wenn Sie die Protokollierung von Insights-Ereignissen in einem Quellereignisdatenspeicher deaktivieren und dann Insights-Ereignisse erneut aktivieren oder die Ereignisaufnahme in einem Quellereignisdatenspeicher beenden und neu starten, kann es bis zu 7 Tage dauern, CloudTrail bis die Übermittlung von Insights-Ereignissen wieder aufgenommen wird, wenn ungewöhnliche Aktivitäten festgestellt werden. Für die Aufnahme von Insights-Ereignissen in Lake fallen zusätzliche Gebühren an. CloudTrail Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise.

Protokollieren von Insights-Ereignissen mit dem AWS Management Console

Sie können Insights-Ereignisse in einem Trail- oder Ereignisdatenspeicher mithilfe der Konsole aktivieren.

Themen

CloudTrail Insights-Ereignisse auf einem vorhandenen Trail aktivieren
Aktivierung von CloudTrail Insights-Ereignissen in einem vorhandenen Ereignisdatenspeicher

CloudTrail Insights-Ereignisse auf einem vorhandenen Trail aktivieren

Gehen Sie wie folgt vor, um CloudTrail Insights-Ereignisse auf einem vorhandenen Trail zu aktivieren. Standardmäßig sind Insights-Ereignisse nicht aktiviert.

Öffnen Sie im linken Navigationsbereich der CloudTrail Konsole die Seite Trails und wählen Sie einen Trailnamen aus.
Wählen Sie unter Insights-Ereignisse Bearbeiten aus.

Anmerkung
Für die Protokollierung von Insights-Ereignissen fallen zusätzliche Gebühren an. CloudTrail Preise finden Sie unter AWS CloudTrail Preisgestaltung.
Wählen Sie unter Ereignistyp Insights-Ereignisse.
Wählen Sie in Insights-Ereignisse unter Insights-Typen API-Aufrufrate und/oder API-Fehlerrate aus. Ihr Trail muss Schreibverwaltungsereignisse protokollieren, um Insights-Ereignisse für die API-Aufrufrate zu protokollieren. Ihr Trail muss Lese- und Schreib-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die API-Fehlerrate zu protokollieren.
Wählen Sie Änderungen speichern aus, um Ihre Änderungen zu speichern.

Es kann bis zu 36 Stunden dauern, CloudTrail bis die ersten Insights-Ereignisse gemeldet werden, wenn ungewöhnliche Aktivitäten festgestellt werden.

Aktivierung von CloudTrail Insights-Ereignissen in einem vorhandenen Ereignisdatenspeicher

Gehen Sie wie folgt vor, um CloudTrail Insights-Ereignisse in einem vorhandenen Ereignisdatenspeicher zu aktivieren. Standardmäßig sind Insights-Ereignisse nicht aktiviert.

Für die Aufnahme von Insights-Veranstaltungen in CloudTrail Lake fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise.

Anmerkung

Sie können CloudTrail Insights-Ereignisse nur für Ereignisdatenspeicher aktivieren, die CloudTrail Verwaltungsereignisse enthalten. Sie können CloudTrail Insights-Ereignisse nicht für andere Typen von Ereignisdatenspeichern aktivieren.

Wählen Sie im linken Navigationsbereich der CloudTrail Konsole unter Lake die Option Event Data Stores aus.
Wählen Sie den Namen des Ereignisdatenspeichers aus.
Wählen Sie für Verwaltungsereignisse Bearbeiten aus.
Wählen Sie Insights aktivieren aus.
Wählen Sie den Ziel-Eventdatenspeicher aus, in den Insights-Ereignisse übertragen CloudTrail werden sollen. Der Zielereignisdatenspeicher erfasst Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher. Weitere Informationen zum Erstellen des Zielereignisdatenspeichers finden Sie unter Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert.
Wählen Sie unter Insights-Typen auswählen API-Aufrufrate, API-Fehlerrate oder beides aus. Der Ereignisdatenspeicher muss Schreib-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die API-Aufrufrate zu protokollieren. Der Ereignisdatenspeicher muss Lese- und Schreib-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die API-Fehlerrate zu protokollieren.
Wählen Sie Änderungen speichern aus, um Ihre Änderungen zu speichern.

Es kann bis zu 7 Tage dauern, CloudTrail bis die ersten Insights-Ereignisse zugestellt werden, wenn ungewöhnliche Aktivitäten festgestellt werden.

Protokollieren von Insights-Ereignissen mit dem AWS Command Line Interface

Sie können Ihre Trails und Ereignisdatenspeicher so konfigurieren, dass Insights-Ereignisse per AWS CLI protokolliert werden.

Anmerkung

Themen

Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI
Protokollieren von Insights-Ereignissen für einen Ereignisdatenspeicher mit dem AWS CLI

Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI

Führen Sie den Befehl get-insight-selectors aus, um anzuzeigen, ob Ihr Trail Insights-Ereignisse protokolliert.


aws cloudtrail get-insight-selectors --trail-name TrailName

Das folgende Ergebnis enthält die Standardeinstellungen für einen Trail. Standardmäßig werden für Trails keine Insights-Ereignisse protokolliert. Der Attributwert InsightType ist leer, und es wird keine Auswahl für Insights-Ereignisse angezeigt, weil die Erfassung von Insights-Ereignissen nicht aktiviert ist.

Wenn Sie keine Insights-Selektoren hinzufügen, gibt der get-insight-selectors Befehl die folgende Fehlermeldung zurück: „Beim Aufrufen der GetInsightSelectors Operation ist ein Fehler aufgetreten (InsightNotEnabledException): Beim Namen des Trails ist Insights nicht aktiviert. Edit the trail settings to enable Insights, and then try the operation again.“


{
  "InsightSelectors": [ ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Führen Sie den Befehl put-insight-selectors aus, um Ihren Trail für die Protokollierung von Insights-Ereignissen zu konfigurieren. Im folgenden Beispiel wird veranschaulicht, wie Sie Ihren Trail für Insights-Ereignisse konfigurieren. Insights-Selektor-Werte können ApiCallRateInsight und/oder ApiErrorRateInsight sein.


aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

Das folgende Ergebnis enthält die Auswahl für Insights-Ereignisse, die für den Trail konfiguriert wurde.


{
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"
}

Protokollieren von Insights-Ereignissen für einen Ereignisdatenspeicher mit dem AWS CLI

Um Insights in einem Ereignisdatenspeicher zu aktivieren, benötigen Sie einen Quellereignisdatenspeicher, der Verwaltungsereignisse protokolliert, und einen Zielereignisdatenspeicher, der Insights-Ereignisse protokolliert.

Führen Sie den Befehl get-insight-selectors aus, um zu überprüfen, ob Insights-Ereignisse in einem Ereignisdatenspeicher aktiviert sind.


aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Führen Sie den Befehl get-event-data-store aus, um zu überprüfen, ob Insights-Ereignisse oder Verwaltungsereignisse in einem Ereignisdatenspeicher aktiviert sind.


aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

Das folgende Verfahren zeigt, wie Sie die Ziel- und Quellereignisdatenspeicher erstellen und anschließend Insights-Ereignisse aktivieren.

Führen Sie den Befehl aws cloudtrail create-event-data-store aus, um einen Zielereignisdatenspeicher zu erstellen, der Insights-Ereignisse sammelt. Der Wert für eventCategory muss Insight sein. retention-period-daysErsetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten.

Wenn Sie mit dem Verwaltungskonto für eine AWS Organizations Organisation angemeldet sind, geben Sie den --organization-enabled Parameter an, wenn Sie Ihrem delegierten Administrator Zugriff auf den Ereignisdatenspeicher gewähren möchten.


aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

Nachfolgend finden Sie eine Beispielantwort.


{
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}

Sie verwenden die ARN (oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter --insights-destination in Schritt 3.

Um einen Quellereignisdatenspeicher zu erstellen, der Verwaltungsereignisse protokolliert, führen Sie den Befehl aws cloudtrail create-event-data-store aus. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse. Sie müssen keine erweiterten Ereignisselektoren angeben, um alle Verwaltungsereignisse zu protokollieren. retention-period-daysErsetzen Sie ihn durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten. Wenn Sie einen Datenspeicher für Organisationsereignisse erstellen, fügen Sie den Parameter --organization-enabled hinzu.


aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

Nachfolgend finden Sie eine Beispielantwort.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}

Sie verwenden die ARN (oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter --event-data-store in Schritt 3.

Führen Sie den Befehl put-insight-selectors aus, um Insights-Ereignisse zu aktivieren. Insights-Selektorwerte können ApiCallRateInsight und/oder ApiErrorRateInsight sein. Geben Sie für den Parameter --event-data-store den ARN (oder das ID-Suffix der ARN) des Quellereignisdatenspeichers an, der Verwaltungsereignisse protokolliert und Insights aktiviert. Geben Sie für den Parameter --insights-destination den ARN (oder das ID-Suffix des ARN) des Zielereignisdatenspeichers an, der Insights-Ereignisse protokolliert.
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
Das folgende Ergebnis zeigt den Insights-Ereignisselektor, der für den Ereignisdatenspeicher konfiguriert wurde.
```
{
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}
```
Nachdem Sie CloudTrail Insights zum ersten Mal in einem Ereignisdatenspeicher aktiviert haben, kann es bis zu 7 Tage dauern, CloudTrail bis das erste Insights-Ereignis übermittelt wird, wenn ungewöhnliche Aktivitäten festgestellt werden.

CloudTrail Insights analysiert Verwaltungsereignisse, die in einer einzelnen Region und nicht global auftreten. Ein CloudTrail Insights-Ereignis wird in derselben Region generiert, in der auch die unterstützenden Managementereignisse generiert werden.

CloudTrail Analysiert bei einem Datenspeicher für Organisationsereignisse Verwaltungsereignisse aus den Konten der einzelnen Mitglieder, anstatt die Aggregation aller Verwaltungsereignisse für die Organisation zu analysieren.

Für die Aufnahme von Insights-Veranstaltungen in Lake fallen zusätzliche Gebühren an CloudTrail . Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise.

Protokollieren von Insights-Ereignissen mit den AWS SDKs

Führen Sie den GetInsightSelectorsVorgang aus, um festzustellen, ob Ihr Trail- oder Event-Datenspeicher Insights-Ereignisse aktiviert. Sie können Ihre Datenspeicher für Pfade oder Ereignisse so konfigurieren, dass Insights-Ereignisse während des PutInsightSelectorsVorgangs aktiviert werden. Weitere Informationen finden Sie in der AWS CloudTrail -API-Referenz.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Filtern von Datenereignissen mithilfe erweiterter Ereignisselektoren

CloudTrail Inhalt aufzeichnen