Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Protokollieren von Verwaltungsereignissen
Standardmäßig protokollieren Trails und Ereignisdatenspeicher Verwaltungsereignisse und enthalten keine Datenereignisse oder Insights-Ereignisse.
Für Daten- bzw. Insights-Ereignisse fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung
Inhalt
- Verwaltungsereignisse
- Lesen und Schreiben von Ereignissen
- Protokollierung von Verwaltungsereignissen mit dem AWS Management Console
- Protokollieren von Verwaltungsereignissen mit der AWS CLI
- Protokollierung von Verwaltungsereignissen mit den SDKs AWS
Verwaltungsereignisse
Verwaltungsereignisse bieten Einblick in Verwaltungsvorgänge, die mit Ressourcen in Ihrem AWS Konto ausgeführt werden. Sie werden auch als Vorgänge auf Steuerebene bezeichnet. Beispiele für Verwaltungsereignisse:
-
Konfigurieren von Sicherheit (z. B.
AttachRolePolicy
-API-Operationen von IAM) -
Registrieren von Geräten (z. B.
CreateDefaultVpc
-API-Operationen von Amazon EC2) -
Konfigurieren von Regeln für die Datenweiterleitung (z. B.
CreateSubnet
-API-Operationen von Amazon EC2) -
Einrichtung der Protokollierung (z. B. AWS CloudTrail
CreateTrail
API-Operationen)
Verwaltungsereignisse können auch andere als API-Ereignisse einschließen, die in Ihrem Konto auftreten. Wenn sich beispielsweise ein Benutzer bei Ihrem Konto anmeldet, wird das ConsoleLogin
Ereignis CloudTrail protokolliert. Weitere Informationen finden Sie unter Nicht-API-Ereignisse, erfasst von CloudTrail.
Standardmäßig sind Trails und Ereignisdatenspeicher so konfiguriert, dass sie Verwaltungsereignisse protokollieren.
Anmerkung
Die Funktion „ CloudTrail Ereignisverlauf“ unterstützt nur Verwaltungsereignisse. Sie können keine Amazon RDS Data API-Ereignisse aus dem Event-Verlauf ausschließen AWS KMS . Einstellungen, die Sie auf einen Trail- oder Event-Datenspeicher anwenden, gelten nicht für den Event-Verlauf. Weitere Informationen finden Sie unter Mit dem CloudTrail Eventverlauf arbeiten.
Lesen und Schreiben von Ereignissen
Wenn Sie Ihren Trail oder Ereignisdatenspeicher für das Protokollieren von Verwaltungsereignissen konfigurieren, können Sie festlegen, ob Nur-Lesen-Ereignisse, Nur-Schreiben-Ereignisse oder beides protokolliert werden sollen.
-
Read (Lesen)
Schreibgeschützte Ereignisse umfassen API-Operationen, die Ihre Ressourcen lesen, aber keine Änderungen vornehmen. Schreibgeschützte Ereignisse enthalten beispielsweise die API-Operationen Amazon EC2
DescribeSecurityGroups
undDescribeSubnets
. Diese Operationen geben nur Informationen über die Amazon-EC2-Ressourcen zurück und ändern nicht die Konfigurationen. -
Write (Scheriben)
Nur-Schreiben-Ereignisse enthalten API-Operationen, die (möglicherweise) Ihre Ressourcen ändern. Die API-Operationen Amazon EC2
RunInstances
undTerminateInstances
ändern beispielsweise Ihre Instances.
Beispiel: protokollieren von Lese- und Schreibereignissen für separate Trails
Das folgende Beispiel zeigt, wie Sie Trails konfigurieren können, um die Protokollaktivität für ein Konto in separate S3-Buckets aufzuteilen: ein Bucket empfängt schreibgeschützte Ereignisse und ein zweiter Bucket empfängt schreibgeschützte Ereignisse.
-
Sie erstellen einen Pfad und wählen einen S3-Bucket namens
DOC-EXAMPLE-BUCKET1
für den Empfang von Protokolldateien aus. Anschließend aktualisieren Sie den Trail, um anzugeben, dass Sie Lese-Verwaltungsereignisse haben möchten. -
Sie erstellen einen zweiten Trail und wählen einen S3-Bucket namens
DOC-EXAMPLE-BUCKET2
aus, der die Protokolldateien aufnehmen soll. Anschließend aktualisieren Sie den Trail, um anzugeben, dass Sie Verwaltungsereignisse vom Typ Schreiben protokollieren möchten. -
Die API-Operationen Amazon EC2
DescribeInstances
undTerminateInstances
werden in Ihrem Konto ausgeführt. -
Der
DescribeInstances
-API-Vorgang ist ein schreibgeschütztes Ereignis und entspricht den Einstellungen für den ersten Trail. Der Trail protokolliert das Ereignis und übermittelt es anDOC-EXAMPLE-BUCKET1
. -
Die
TerminateInstances
-API-Operation ist ein Nur-Schreiben-Ereignis und stimmt mit den Einstellungen für den zweiten Trail überein. Der Trail protokolliert das Ereignis und übermittelt es anDOC-EXAMPLE-BUCKET2
.
Protokollierung von Verwaltungsereignissen mit dem AWS Management Console
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/
. -
Um einen Trail zu aktualisieren, öffne die Trail-Seite der CloudTrail Konsole und wähle den Namen des Trails aus.
Um einen Ereignisdatenspeicher zu aktualisieren, öffnen Sie in der CloudTrail Konsole die Seite mit den Ereignisdatenspeichern und wählen Sie den Namen des Ereignisdatenspeichers aus.
-
Wählen Sie für Management-Ereignisse Bearbeiten aus.
-
Wählen Sie aus, ob Ihr Trail oder Ereignisdatenspeicher Leseereignisse, Schreibereignisse oder beides protokollieren soll.
-
Wählen Sie AWS KMS Ereignisse ausschließen, um Ereignisse aus Ihrem Trail- oder Event-Datenspeicher herauszufiltern AWS Key Management Service (AWS KMS). Die Standardeinstellung ist, alle AWS KMS Ereignisse einzubeziehen.
Die Option zum Protokollieren oder Ausschließen von AWS KMS Ereignissen ist nur verfügbar, wenn Sie Verwaltungsereignisse in Ihrem Trail- oder Ereignisdatenspeicher protokollieren. Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
AWS KMS Aktionen wie
Encrypt
Decrypt
, und erzeugenGenerateDataKey
in der Regel ein großes Volumen (mehr als 99%) von Ereignissen. Diese Aktionen werden nun als Leseereignisse protokolliert. Relevante AWS KMS Aktionen mit geringem Volumen wieDisable
Delete
, undScheduleKey
(die in der Regel weniger als 0,5% des AWS KMS Ereignisvolumens ausmachen) werden als Write-Ereignisse protokolliert.Wenn Sie Ereignisse mit hohem Volumen wie
Encrypt
, und ausschließen möchtenDecrypt
GenerateDataKey
, aber dennoch relevante Ereignisse wie,Delete
und protokollieren möchtenDisable
ScheduleKey
, wählen Sie die Option Schreibverwaltungsereignisse protokollieren und deaktivieren Sie das Kontrollkästchen für Ereignisse ausschließen. AWS KMS -
Klicken Sie auf Amazon-RDS-Daten-API-Ereignisse ausschließen zum Filtern von Daten-API-Ereignissen von Amazon Relational Database Service aus Ihrem Trail oder Ereignisdatenspeicher. Die Standardeinstellung besteht darin, alle Amazon-RDS-Daten-API-Ereignisse einzubeziehen. Weitere Informationen über die Amazon-RDS-Daten-API finden Sie unter Protokollieren von Daten-API-Aufrufen mit AWS CloudTrail imAmazon-RDS-Benutzerhandbuch für Aurora.
-
-
Klicken Sie auf Änderungen speichern, wenn Sie fertig sind.
Protokollieren von Verwaltungsereignissen mit der AWS CLI
Sie können Ihre Trails oder Ereignisdatenspeicher so konfigurieren, dass Verwaltungsereignisse mit AWS CLI protokolliert werden.
Themen
Beispiel: Protokollieren von Verwaltungsereignissen für Trails
Führen Sie den Befehl get-event-selectors
aus, um anzuzeigen, ob Ihr Trail Verwaltungsereignisse protokolliert.
aws cloudtrail get-event-selectors --trail-name
TrailName
Das folgende Beispiel gibt die Standardeinstellungen für einen Trail zurück. Standardmäßig protokollieren Trails alle Verwaltungsereignisse, Ereignisse aller Ereignisquellen und keine Datenereignisse.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Sie können entweder einfache oder erweiterte Ereignisauswahlfunktionen verwenden, um Verwaltungsereignisse zu protokollieren. Sie können nicht sowohl Ereignisauswahlen als auch erweiterte Ereignisauswahlen auf einen Trail anwenden. Wenn Sie erweiterte Ereignisselektoren auf einen Trail anwenden, werden alle vorhandenen grundlegenden Ereignisselektoren überschrieben. Die folgenden Abschnitte enthalten Beispiele für die Protokollierung von Verwaltungsereignissen mithilfe erweiterter Ereignisselektoren und einfacher Ereignisselektoren.
Themen
Beispiele: Protokollierung von Verwaltungsereignissen für Trails mithilfe erweiterter Event-Selektoren
Im folgenden Beispiel wird eine erweiterte Ereignisauswahl für einen Trail erstellt, der so benannt ist, TrailName
dass er Verwaltungsereignisse mit Schreibschutz und Schreibzugriff (durch Weglassen des readOnly
Selektors), aber Ereignisse ausschließt (). AWS Key Management Service AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, entfernen Sie den eventSource
Selektor und führen Sie den Befehl erneut aus.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Um die Protokollierung ausgeschlossener Ereignisse erneut in einen Trail zu starten, entfernen Sie den eventSource
-Selektor, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Im nächsten Beispiel wird ein erweiterter Event-Selektor für einen Trail erstellt, der so benannt ist TrailName
, dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz (durch Weglassen des readOnly
Selektors) einschließt, Amazon RDS Data API-Verwaltungsereignisse jedoch ausschließt. Um Amazon RDS Data API-Verwaltungsereignisse auszuschließen, geben Sie die Amazon RDS-Daten-API-Ereignisquelle im Zeichenfolgenwert für das eventSource
Feld an:rdsdata.amazonaws.com
.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden Amazon RDS Data API-Verwaltungsereignisse nicht protokolliert, und Sie können die Einstellungen für die Amazon RDS Data API-Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von Amazon RDS Data API-Verwaltungsereignissen in einem Trail zu beginnen, entfernen Sie den eventSource
Selektor und führen Sie den Befehl erneut aus.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/
TrailName
" }
Um die Protokollierung ausgeschlossener Ereignisse erneut in einen Trail zu starten, entfernen Sie den eventSource
-Selektor, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-name
TrailName
\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Beispiele: Protokollierung von Verwaltungsereignissen für Trails mithilfe einfacher Event-Selektoren
Führen Sie den Befehl put-event-selectors
aus, um Ihren Trail für die Protokollierung von Verwaltungsereignissen zu konfigurieren. Im folgenden Beispiel wird gezeigt, wie Sie den Trail so konfigurieren, dass alle Verwaltungsereignisse für zwei S3-Objekte eingeschlossen werden. Sie können zwischen 1 und 5 Ereignisselektoren für einen Trail angeben. Sie können zwischen 1 und 250 Datenressourcen für einen Trail festlegen.
Anmerkung
Die maximale Anzahl der S3-Datenressourcen beträgt 250, unabhängig von der Anzahl der Ereignisauswahlen.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/prefix2"] }] }]'
Das folgende Beispiel gibt die für den Trail konfigurierte Ereignisauswahl zurück.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] }
Um Ereignisse AWS Key Management Service (AWS KMS) aus den Protokollen eines Trails auszuschließen, führen Sie den put-event-selectors
Befehl aus und fügen Sie das Attribut ExcludeManagementEventSources
mit dem Wert hinzu. kms.amazonaws.com
Im folgenden Beispiel wird eine Ereignisauswahl für einen Trail erstellt, der so benannt ist, TrailName
dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz enthält, Ereignisse jedoch ausschließt. AWS KMS Da eine große Anzahl von Ereignissen generiert werden AWS KMS kann, möchte der Benutzer in diesem Beispiel möglicherweise Ereignisse einschränken, um die Kosten eines Trails zu senken.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
Das Beispiel gibt die für den Trail konfigurierte Ereignisauswahl zurück.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] }
Um Verwaltungsereignisse der Amazon RDS Data API aus den Protokollen eines Trails auszuschließen, führen Sie den put-event-selectors
Befehl aus und fügen Sie das Attribut ExcludeManagementEventSources
mit dem Wert hinzurdsdata.amazonaws.com
. Das folgende Beispiel erstellt einen Event-Selector für einen Trail, der so benannt ist, TrailName
dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz enthält, aber Amazon RDS Data API-Verwaltungsereignisse ausschließt. Da die Amazon RDS Data API eine große Anzahl von Verwaltungsereignissen generieren kann, möchte der Benutzer in diesem Beispiel möglicherweise Ereignisse einschränken, um die Kosten eines Trails zu verwalten.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/
TrailName
", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] }
Um wieder mit der Protokollierung AWS KMS oder von Amazon RDS Data API-Verwaltungsereignissen in einem Trail zu beginnen, übergeben Sie eine leere Zeichenfolge als Wert vonExcludeManagementEventSources
, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Um relevante AWS KMS Ereignisse in einem Trail wie Delete
und zu protokollieren Disable
ScheduleKey
, aber umfangreiche AWS KMS Ereignisse wie, und auszuschließen Encrypt
Decrypt
GenerateDataKey
, protokollieren Sie Verwaltungsereignisse nur mit Schreibzugriff und behalten Sie die Standardeinstellung für das Protokollieren von AWS KMS Ereignissen bei, wie im folgenden Beispiel gezeigt.
aws cloudtrail put-event-selectors --trail-name
TrailName
--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Beispiele: Protokollieren von Verwaltungsereignissen für Ereignisdatenspeicher
Führen Sie den Befehl „get-event-data-store“ aus, um zu überprüfen, ob Ihr Ereignisdatenspeicher Verwaltungsereignisse enthält.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Nachfolgend finden Sie eine Beispielantwort. Die Erstellung und die letzten aktualisierten Zeiten sind im timestamp
-Format.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "myManagementEvents", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00", "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00" }
Um einen Ereignisdatenspeicher zu erstellen, der alle Verwaltungsereignisse enthält, führen Sie den Befehl „create-event-data-store“ aus. Sie müssen keine erweiterten Ereignisselektoren angeben, um alle Verwaltungsereignisse einzubeziehen.
aws cloudtrail create-event-data-store --name my-event-data-store --retention-period 90\
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00", "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00" }
Um einen Ereignisdatenspeicher zu erstellen, der Ereignisse AWS Key Management Service (AWS KMS) ausschließt, führen Sie den create-event-data-store
Befehl aus und geben Sie an, dass eventSource
der Wert ungleich ist. kms.amazonaws.com
Im folgenden Beispiel wird ein Ereignisdatenspeicher erstellt, der Verwaltungsereignisse mit Schreibschutz und Schreibschutz enthält, Ereignisse jedoch ausschließt. AWS KMS
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]} ] } ]'
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Um einen Ereignisdatenspeicher zu erstellen, der Verwaltungsereignisse der Amazon RDS Data API ausschließt, führen Sie den create-event-data-store
Befehl aus und geben Sie an, dass eventSource
dies ungleich rdsdata.amazonaws.com
ist. Im folgenden Beispiel wird ein Ereignisdatenspeicher erstellt, bei dem Verwaltungsereignisse vom Typ „Nur Lesen“ und „Nur Schreiben“ ein- aber Daten-API-Ereignisse von Amazon RDS ausgeschlossen werden.
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]} ] } ]'
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Protokollierung von Verwaltungsereignissen mit den SDKs AWS
Verwenden Sie den GetEventSelectorsVorgang, um festzustellen, ob Ihr Trail Verwaltungsereignisse für einen Trail protokolliert. Sie können Ihre Trails so konfigurieren, dass sie Verwaltungsereignisse während des PutEventSelectorsVorgangs protokollieren. Weitere Informationen finden Sie in der AWS CloudTrail -API-Referenz.
Führen Sie den GetEventDataStoreVorgang aus, um festzustellen, ob Ihr Ereignisdatenspeicher Verwaltungsereignisse enthält. Sie können Ihre Ereignisdatenspeicher so konfigurieren, dass sie Verwaltungsereignisse enthalten, indem Sie die UpdateEventDataStoreOperationen CreateEventDataStoreoder ausführen. Weitere Informationen finden Sie unter Erstellen, aktualisieren und verwalten Sie Ereignisdatenspeicher mit dem AWS CLI und der AWS CloudTrail -API-Referenz.