Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Protokollieren von Verwaltungsereignissen
Standardmäßig protokollieren Trails und Ereignisdatenspeicher Verwaltungsereignisse und enthalten keine Datenereignisse oder Insights-Ereignisse.
Für Daten- bzw. Insights-Ereignisse fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter AWS CloudTrail -Preisgestaltung
Inhalt
- Verwaltungsereignisse
- Lesen und Schreiben von Ereignissen
- Protokollierung von Verwaltungsereignissen mit dem AWS Management Console
- Protokollieren von Verwaltungsereignissen mit der AWS CLI
- Protokollierung von Verwaltungsereignissen mit den SDKs AWS
Verwaltungsereignisse
Verwaltungsereignisse bieten Einblick in Verwaltungsvorgänge, die mit Ressourcen in Ihrem AWS Konto ausgeführt werden. Sie werden auch als Vorgänge auf Steuerebene bezeichnet. Beispiele für Verwaltungsereignisse:
-
Konfigurieren von Sicherheit (z. B.
AttachRolePolicy-API-Operationen von IAM) -
Registrieren von Geräten (z. B.
CreateDefaultVpc-API-Operationen von Amazon EC2) -
Konfigurieren von Regeln für die Datenweiterleitung (z. B.
CreateSubnet-API-Operationen von Amazon EC2) -
Einrichtung der Protokollierung (z. B. AWS CloudTrail
CreateTrailAPI-Operationen)
Verwaltungsereignisse können auch andere als API-Ereignisse einschließen, die in Ihrem Konto auftreten. Wenn sich beispielsweise ein Benutzer bei Ihrem Konto anmeldet, wird das ConsoleLogin Ereignis CloudTrail protokolliert. Weitere Informationen finden Sie unter Nicht-API-Ereignisse, erfasst von CloudTrail.
Standardmäßig sind Trails und Ereignisdatenspeicher so konfiguriert, dass sie Verwaltungsereignisse protokollieren.
Anmerkung
Die Funktion „ CloudTrail Ereignisverlauf“ unterstützt nur Verwaltungsereignisse. Sie können keine Amazon RDS Data API-Ereignisse aus dem Event-Verlauf ausschließen AWS KMS . Einstellungen, die Sie auf einen Trail- oder Event-Datenspeicher anwenden, gelten nicht für den Event-Verlauf. Weitere Informationen finden Sie unter Mit dem CloudTrail Eventverlauf arbeiten.
Lesen und Schreiben von Ereignissen
Wenn Sie Ihren Trail oder Ereignisdatenspeicher für das Protokollieren von Verwaltungsereignissen konfigurieren, können Sie festlegen, ob Nur-Lesen-Ereignisse, Nur-Schreiben-Ereignisse oder beides protokolliert werden sollen.
-
Read (Lesen)
Schreibgeschützte Ereignisse umfassen API-Operationen, die Ihre Ressourcen lesen, aber keine Änderungen vornehmen. Schreibgeschützte Ereignisse enthalten beispielsweise die API-Operationen Amazon EC2
DescribeSecurityGroupsundDescribeSubnets. Diese Operationen geben nur Informationen über die Amazon-EC2-Ressourcen zurück und ändern nicht die Konfigurationen. -
Write (Scheriben)
Nur-Schreiben-Ereignisse enthalten API-Operationen, die (möglicherweise) Ihre Ressourcen ändern. Die API-Operationen Amazon EC2
RunInstancesundTerminateInstancesändern beispielsweise Ihre Instances.
Beispiel: protokollieren von Lese- und Schreibereignissen für separate Trails
Das folgende Beispiel zeigt, wie Sie Trails konfigurieren können, um die Protokollaktivität für ein Konto in separate S3-Buckets aufzuteilen: ein Bucket empfängt schreibgeschützte Ereignisse und ein zweiter Bucket empfängt schreibgeschützte Ereignisse.
-
Sie erstellen einen Pfad und wählen einen S3-Bucket namens
DOC-EXAMPLE-BUCKET1für den Empfang von Protokolldateien aus. Anschließend aktualisieren Sie den Trail, um anzugeben, dass Sie Lese-Verwaltungsereignisse haben möchten. -
Sie erstellen einen zweiten Trail und wählen einen S3-Bucket namens
DOC-EXAMPLE-BUCKET2aus, der die Protokolldateien aufnehmen soll. Anschließend aktualisieren Sie den Trail, um anzugeben, dass Sie Verwaltungsereignisse vom Typ Schreiben protokollieren möchten. -
Die API-Operationen Amazon EC2
DescribeInstancesundTerminateInstanceswerden in Ihrem Konto ausgeführt. -
Der
DescribeInstances-API-Vorgang ist ein schreibgeschütztes Ereignis und entspricht den Einstellungen für den ersten Trail. Der Trail protokolliert das Ereignis und übermittelt es anDOC-EXAMPLE-BUCKET1. -
Die
TerminateInstances-API-Operation ist ein Nur-Schreiben-Ereignis und stimmt mit den Einstellungen für den zweiten Trail überein. Der Trail protokolliert das Ereignis und übermittelt es anDOC-EXAMPLE-BUCKET2.
Protokollierung von Verwaltungsereignissen mit dem AWS Management Console
-
Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/
. -
Um einen Trail zu aktualisieren, öffne die Trail-Seite der CloudTrail Konsole und wähle den Namen des Trails aus.
Um einen Ereignisdatenspeicher zu aktualisieren, öffnen Sie in der CloudTrail Konsole die Seite mit den Ereignisdatenspeichern und wählen Sie den Namen des Ereignisdatenspeichers aus.
-
Wählen Sie für Management-Ereignisse Bearbeiten aus.
-
Wählen Sie aus, ob Ihr Trail oder Ereignisdatenspeicher Leseereignisse, Schreibereignisse oder beides protokollieren soll.
-
Wählen Sie AWS KMS Ereignisse ausschließen, um Ereignisse aus Ihrem Trail- oder Event-Datenspeicher herauszufiltern AWS Key Management Service (AWS KMS). Die Standardeinstellung ist, alle AWS KMS Ereignisse einzubeziehen.
Die Option zum Protokollieren oder Ausschließen von AWS KMS Ereignissen ist nur verfügbar, wenn Sie Verwaltungsereignisse in Ihrem Trail- oder Ereignisdatenspeicher protokollieren. Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
AWS KMS Aktionen wie
EncryptDecrypt, und erzeugenGenerateDataKeyin der Regel ein großes Volumen (mehr als 99%) von Ereignissen. Diese Aktionen werden nun als Leseereignisse protokolliert. Relevante AWS KMS Aktionen mit geringem Volumen wieDisableDelete, undScheduleKey(die in der Regel weniger als 0,5% des AWS KMS Ereignisvolumens ausmachen) werden als Write-Ereignisse protokolliert.Wenn Sie Ereignisse mit hohem Volumen wie
Encrypt, und ausschließen möchtenDecryptGenerateDataKey, aber dennoch relevante Ereignisse wie,Deleteund protokollieren möchtenDisableScheduleKey, wählen Sie die Option Schreibverwaltungsereignisse protokollieren und deaktivieren Sie das Kontrollkästchen für Ereignisse ausschließen. AWS KMS -
Klicken Sie auf Amazon-RDS-Daten-API-Ereignisse ausschließen zum Filtern von Daten-API-Ereignissen von Amazon Relational Database Service aus Ihrem Trail oder Ereignisdatenspeicher. Die Standardeinstellung besteht darin, alle Amazon-RDS-Daten-API-Ereignisse einzubeziehen. Weitere Informationen über die Amazon-RDS-Daten-API finden Sie unter Protokollieren von Daten-API-Aufrufen mit AWS CloudTrail imAmazon-RDS-Benutzerhandbuch für Aurora.
-
-
Klicken Sie auf Änderungen speichern, wenn Sie fertig sind.
Protokollieren von Verwaltungsereignissen mit der AWS CLI
Sie können Ihre Trails oder Ereignisdatenspeicher so konfigurieren, dass Verwaltungsereignisse mit AWS CLI protokolliert werden.
Themen
Beispiel: Protokollieren von Verwaltungsereignissen für Trails
Führen Sie den Befehl get-event-selectors aus, um anzuzeigen, ob Ihr Trail Verwaltungsereignisse protokolliert.
aws cloudtrail get-event-selectors --trail-nameTrailName
Das folgende Beispiel gibt die Standardeinstellungen für einen Trail zurück. Standardmäßig protokollieren Trails alle Verwaltungsereignisse, Ereignisse aller Ereignisquellen und keine Datenereignisse.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ] }
Sie können entweder einfache oder erweiterte Ereignisauswahlfunktionen verwenden, um Verwaltungsereignisse zu protokollieren. Sie können nicht sowohl Ereignisauswahlen als auch erweiterte Ereignisauswahlen auf einen Trail anwenden. Wenn Sie erweiterte Ereignisselektoren auf einen Trail anwenden, werden alle vorhandenen grundlegenden Ereignisselektoren überschrieben. Die folgenden Abschnitte enthalten Beispiele für die Protokollierung von Verwaltungsereignissen mithilfe erweiterter Ereignisselektoren und einfacher Ereignisselektoren.
Themen
Beispiele: Protokollierung von Verwaltungsereignissen für Trails mithilfe erweiterter Event-Selektoren
Im folgenden Beispiel wird eine erweiterte Ereignisauswahl für einen Trail erstellt, der so benannt ist, TrailNamedass er Verwaltungsereignisse mit Schreibschutz und Schreibzugriff (durch Weglassen des readOnly Selektors), aber Ereignisse ausschließt (). AWS Key Management Service AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, entfernen Sie den eventSource Selektor und führen Sie den Befehl erneut aus.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Um die Protokollierung ausgeschlossener Ereignisse erneut in einen Trail zu starten, entfernen Sie den eventSource-Selektor, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Im nächsten Beispiel wird ein erweiterter Event-Selektor für einen Trail erstellt, der so benannt ist TrailName, dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz (durch Weglassen des readOnly Selektors) einschließt, Amazon RDS Data API-Verwaltungsereignisse jedoch ausschließt. Um Amazon RDS Data API-Verwaltungsereignisse auszuschließen, geben Sie die Amazon RDS-Daten-API-Ereignisquelle im Zeichenfolgenwert für das eventSource Feld an:rdsdata.amazonaws.com.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden Amazon RDS Data API-Verwaltungsereignisse nicht protokolliert, und Sie können die Einstellungen für die Amazon RDS Data API-Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von Amazon RDS Data API-Verwaltungsereignissen in einem Trail zu beginnen, entfernen Sie den eventSource Selektor und führen Sie den Befehl erneut aus.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
Um die Protokollierung ausgeschlossener Ereignisse erneut in einen Trail zu starten, entfernen Sie den eventSource-Selektor, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
Beispiele: Protokollierung von Verwaltungsereignissen für Trails mithilfe einfacher Event-Selektoren
Führen Sie den Befehl put-event-selectors aus, um Ihren Trail für die Protokollierung von Verwaltungsereignissen zu konfigurieren. Im folgenden Beispiel wird gezeigt, wie Sie den Trail so konfigurieren, dass alle Verwaltungsereignisse für zwei S3-Objekte eingeschlossen werden. Sie können zwischen 1 und 5 Ereignisselektoren für einen Trail angeben. Sie können zwischen 1 und 250 Datenressourcen für einen Trail festlegen.
Anmerkung
Die maximale Anzahl der S3-Datenressourcen beträgt 250, unabhängig von der Anzahl der Ereignisauswahlen.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/prefix2"] }] }]'
Das folgende Beispiel gibt die für den Trail konfigurierte Ereignisauswahl zurück.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [ { "Type": "AWS::S3::Object", "Values": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/prefix2", ] } ], "ExcludeManagementEventSources": [] } ] }
Um Ereignisse AWS Key Management Service (AWS KMS) aus den Protokollen eines Trails auszuschließen, führen Sie den put-event-selectors Befehl aus und fügen Sie das Attribut ExcludeManagementEventSources mit dem Wert hinzu. kms.amazonaws.com Im folgenden Beispiel wird eine Ereignisauswahl für einen Trail erstellt, der so benannt ist, TrailNamedass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz enthält, Ereignisse jedoch ausschließt. AWS KMS Da eine große Anzahl von Ereignissen generiert werden AWS KMS kann, möchte der Benutzer in diesem Beispiel möglicherweise Ereignisse einschränken, um die Kosten eines Trails zu senken.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true}]'
Das Beispiel gibt die für den Trail konfigurierte Ereignisauswahl zurück.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "kms.amazonaws.com" ] } ] }
Um Verwaltungsereignisse der Amazon RDS Data API aus den Protokollen eines Trails auszuschließen, führen Sie den put-event-selectors Befehl aus und fügen Sie das Attribut ExcludeManagementEventSources mit dem Wert hinzurdsdata.amazonaws.com. Das folgende Beispiel erstellt einen Event-Selector für einen Trail, der so benannt ist, TrailNamedass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz enthält, aber Amazon RDS Data API-Verwaltungsereignisse ausschließt. Da die Amazon RDS Data API eine große Anzahl von Verwaltungsereignissen generieren kann, möchte der Benutzer in diesem Beispiel möglicherweise Ereignisse einschränken, um die Kosten eines Trails zu verwalten.
{ "TrailARN": "arn:aws:cloudtrail:us-east-1:111122223333:trail/TrailName", "EventSelectors": [ { "ReadWriteType": "All", "IncludeManagementEvents": true, "DataResources": [], "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ] } ] }
Um wieder mit der Protokollierung AWS KMS oder von Amazon RDS Data API-Verwaltungsereignissen in einem Trail zu beginnen, übergeben Sie eine leere Zeichenfolge als Wert vonExcludeManagementEventSources, wie im folgenden Befehl gezeigt.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Um relevante AWS KMS Ereignisse in einem Trail wie Delete und zu protokollieren DisableScheduleKey, aber umfangreiche AWS KMS Ereignisse wie, und auszuschließen Encrypt DecryptGenerateDataKey, protokollieren Sie Verwaltungsereignisse nur mit Schreibzugriff und behalten Sie die Standardeinstellung für das Protokollieren von AWS KMS Ereignissen bei, wie im folgenden Beispiel gezeigt.
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true}]'
Beispiele: Protokollieren von Verwaltungsereignissen für Ereignisdatenspeicher
Führen Sie den Befehl „get-event-data-store“ aus, um zu überprüfen, ob Ihr Ereignisdatenspeicher Verwaltungsereignisse enthält.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
Nachfolgend finden Sie eine Beispielantwort. Die Erstellung und die letzten aktualisierten Zeiten sind im timestamp-Format.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "myManagementEvents", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-02-04T15:56:27.418000+00:00", "UpdatedTimestamp": "2023-02-04T15:56:27.544000+00:00" }
Um einen Ereignisdatenspeicher zu erstellen, der alle Verwaltungsereignisse enthält, führen Sie den Befehl „create-event-data-store“ aus. Sie müssen keine erweiterten Ereignisselektoren angeben, um alle Verwaltungsereignisse einzubeziehen.
aws cloudtrail create-event-data-store --name my-event-data-store --retention-period 90\
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T16:41:57.224000+00:00", "UpdatedTimestamp": "2023-11-13T16:41:57.357000+00:00" }
Um einen Ereignisdatenspeicher zu erstellen, der Ereignisse AWS Key Management Service (AWS KMS) ausschließt, führen Sie den create-event-data-store Befehl aus und geben Sie an, dass eventSource der Wert ungleich ist. kms.amazonaws.com Im folgenden Beispiel wird ein Ereignisdatenspeicher erstellt, der Verwaltungsereignisse mit Schreibschutz und Schreibschutz enthält, Ereignisse jedoch ausschließt. AWS KMS
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["kms.amazonaws.com"]} ] } ]'
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "event-data-store-name", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Um einen Ereignisdatenspeicher zu erstellen, der Verwaltungsereignisse der Amazon RDS Data API ausschließt, führen Sie den create-event-data-store Befehl aus und geben Sie an, dass eventSource dies ungleich rdsdata.amazonaws.com ist. Im folgenden Beispiel wird ein Ereignisdatenspeicher erstellt, bei dem Verwaltungsereignisse vom Typ „Nur Lesen“ und „Nur Schreiben“ ein- aber Daten-API-Ereignisse von Amazon RDS ausgeschlossen werden.
aws cloudtrail create-event-data-store --name event-data-store-name --retention-period 90 --advanced-event-selectors '[ { "Name": "Management events selector", "FieldSelectors": [ {"Field": "eventCategory","Equals": ["Management"]}, {"Field": "eventSource","NotEquals": ["rdsdata.amazonaws.com"]} ] } ]'
Nachfolgend finden Sie eine Beispielantwort.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:12345678910:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Management events selector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-13T17:02:02.067000+00:00", "UpdatedTimestamp": "2023-11-13T17:02:02.241000+00:00" }
Protokollierung von Verwaltungsereignissen mit den SDKs AWS
Verwenden Sie den GetEventSelectorsVorgang, um festzustellen, ob Ihr Trail Verwaltungsereignisse für einen Trail protokolliert. Sie können Ihre Trails so konfigurieren, dass sie Verwaltungsereignisse während des PutEventSelectorsVorgangs protokollieren. Weitere Informationen finden Sie in der AWS CloudTrail -API-Referenz.
Führen Sie den GetEventDataStoreVorgang aus, um festzustellen, ob Ihr Ereignisdatenspeicher Verwaltungsereignisse enthält. Sie können Ihre Ereignisdatenspeicher so konfigurieren, dass sie Verwaltungsereignisse enthalten, indem Sie die UpdateEventDataStoreOperationen CreateEventDataStoreoder ausführen. Weitere Informationen finden Sie unter Erstellen, aktualisieren und verwalten Sie Ereignisdatenspeicher mit dem AWS CLI und der AWS CloudTrail -API-Referenz.
