Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Insights-Ereignisse - AWS CloudTrail
Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliertErstellen eines Quellereignisdatenspeichers, der Insights-Ereignisse aktiviert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Insights-Ereignisse

AWS CloudTrail Insights helfen AWS Benutzern, ungewöhnliche Aktivitäten im Zusammenhang mit API-Aufrufen und API-Fehlerraten zu identifizieren und darauf zu reagieren, indem CloudTrail Verwaltungsereignisse kontinuierlich analysiert werden. CloudTrail Insights analysiert Ihre normalen Muster des API-Aufrufvolumens und der API-Fehlerraten, die auch als Baseline bezeichnet werden, und generiert Insights-Ereignisse, wenn das Aufrufvolumen oder die Fehlerraten außerhalb der normalen Muster liegen. Insights-Ereignisse zum API-Aufrufvolume werden für write-Verwaltungs-APIs und Insights-Ereignisse zur API-Fehlerrate für read- und write-Verwaltungs-APIs generiert.

Um Insights-Ereignisse in CloudTrail Lake zu protokollieren, benötigen Sie einen Zielereignisdatenspeicher, der Insights-Ereignisse protokolliert, und einen Quellereignisdatenspeicher, der Insights aktiviert und Verwaltungsereignisse protokolliert.

Anmerkung

Um Insights-Ereignisse anhand des API-Aufrufvolumens zu protokollieren, muss der Quellereignisdatenspeicher write-Verwaltungsereignisse protokollieren. Um Insights-Ereignisse anhand der API-Fehlerrate zu protokollieren, muss der Quellereignisdatenspeicher read- oder write-Verwaltungsereignisse protokollieren.

Wenn Sie CloudTrail Insights in einem Quell-Eventdatenspeicher aktiviert haben und ungewöhnliche CloudTrail Aktivitäten erkennen, CloudTrail werden Insights-Ereignisse an Ihren Zielereignisdatenspeicher übermittelt. Im Gegensatz zu anderen Arten von Ereignissen, die in einem CloudTrail Ereignisdatenspeicher erfasst werden, werden Insights-Ereignisse nur protokolliert, wenn Änderungen in der API-Nutzung Ihres Kontos CloudTrail festgestellt werden, die sich erheblich von den typischen Nutzungsmustern des Kontos unterscheiden.

Nachdem Sie CloudTrail Insights zum ersten Mal in einem Ereignisdatenspeicher aktiviert haben, kann es bis zu 7 Tage dauern, CloudTrail bis das erste Insights-Ereignis übermittelt wird, wenn ungewöhnliche Aktivitäten festgestellt werden.

CloudTrail Insights analysiert Verwaltungsereignisse, die in einer einzelnen Region und nicht global auftreten. Ein CloudTrail Insights-Ereignis wird in derselben Region generiert, in der auch die unterstützenden Managementereignisse generiert werden.

CloudTrail Analysiert bei einem Datenspeicher für Organisationsereignisse Verwaltungsereignisse aus den Konten der einzelnen Mitglieder, anstatt die Aggregation aller Verwaltungsereignisse für die Organisation zu analysieren.

Für die Aufnahme von Insights-Veranstaltungen in Lake fallen zusätzliche Gebühren an CloudTrail . Wenn Sie Insights sowohl für Trails als auch für CloudTrail Lake-Event-Datenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise.

Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert

Wenn Sie einen Insights-Ereignisdatenspeicher erstellen, haben Sie die Option, einen vorhandenen Quellereignisdatenspeicher auszuwählen, der Verwaltungsereignisse protokolliert, und dann die Insights-Typen anzugeben, die Sie empfangen möchten. Alternativ können Sie Insights auch in einem neuen oder vorhandenen Ereignisdatenspeicher aktivieren, nachdem Sie Ihren Insights-Ereignisdatenspeicher erstellt haben und ihn dann als Zielereignisdatenspeicher auswählen.

Mit den folgenden Schritten erstellen Sie einen Zielereignisdatenspeicher, der Insights-Ereignisse protokolliert.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Öffnen Sie im Navigationsbereich das Untermenü Lake und wählen Sie dann Event Data Stores (Ereignisdatenspeicher) aus.

  3. Wählen Sie Ereignisdatenspeicher erstellen aus.

  4. Geben Sie auf der Seite Konfigurieren eines Ereignisdatenspeichers in Allgemeine Angaben einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.

  5. Wählen Sie die Preisoption aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter AWS CloudTrail -Preise und Verwaltung der CloudTrail Seekosten.

    Die folgenden Optionen sind verfügbar:

    • Preisoption mit verlängerbarer Aufbewahrung für ein Jahr – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine erweiterte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.

      • Standardaufbewahrungsdauer: 366 Tage.

      • Maximale Aufbewahrungsdauer: beträgt 3 653 Tage.

    • Preisoption für die Aufbewahrung über sieben Jahre – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.

      • Standardaufbewahrungsdauer: 2 557 Tage.

      • Maximale Aufbewahrungsdauer: beträgt 2 557 Tage.

  6. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher in Tagen an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die Preisoption mit siebenjähriger Aufbewahrungsdauer liegen. Der Ereignisdatenspeicher behält Ereignisdaten für die angegebene Anzahl von Tagen bei.

  7. (Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie Eigene verwenden aus AWS KMS key. Wählen Sie Neu, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie Bestehend, um einen vorhandenen KMS-Schlüssel zu verwenden. Geben Sie unter KMS-Alias eingeben einen Alias im folgenden Format an alias/ MyAliasName. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, um das Verschlüsseln und Entschlüsseln von CloudTrail Protokollen zuzulassen. Weitere Informationen finden Sie unterKonfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail. CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter Verwenden von Schlüsseln für mehrere Regionen im AWS Key Management Service -Entwicklerhandbuch.

    Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.

    Anmerkung

    Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.

  8. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie Aktivieren in Lake-Abfrageverbund. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -Datenkatalog einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter Verbund für einen Ereignisdatenspeicher erstellen.

    Wählen Sie Aktivieren und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:

    1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. AWS Lake Formation verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die erforderlichen Mindestberechtigungen vorsieht.

    2. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.

    3. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.

  9. (Optional) Im Bereich Tags können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags. Weitere Informationen zur Verwendung von Tags finden Sie unter Tagging Your AWS Resources User Guide im Tagging AWS Resources User Guide. AWS

  10. Wählen Sie Next (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.

  11. Wählen Sie auf der Seite Ereignisse auswählen die Option AWS Ereignisse und dann CloudTrailInsights-Ereignisse aus.

  12. Gehen Sie CloudTrail unter Insights-Ereignisse wie folgt vor.

    1. Wählen Sie Delegierten Administratorzugriff zulassen, wenn Sie dem delegierten Administrator Ihrer Organisation Zugriff auf diesen Ereignisdatenspeicher gewähren möchten. Diese Option ist nur verfügbar, wenn Sie mit dem Verwaltungskonto einer AWS Organizations Organisation angemeldet sind.

    2. (Optional) Wählen Sie einen vorhandenen Quellereignisdatenspeicher aus, der Verwaltungsereignisse protokolliert, und geben Sie die Insights-Typen an, die Sie empfangen möchten.

      Führen Sie die folgenden Schritte aus, um einen Quellereignisdatenspeicher hinzuzufügen:

      1. Wählen Sie Quell-Ereignisdatenspeicher hinzufügen aus.

      2. Wählen Sie den gewünschten Quellereignisdatenspeicher aus.

      3. Wählen Sie den Instance-Typen aus, den Sie empfangen möchten.

        • ApiCallRateInsight: Der Insights-Typ ApiCallRateInsight analysiert nur schreibgeschützte Verwaltungs-API-Aufrufe, die pro Minute anhand eines festgelegten API-Aufruf-Volumens aggregiert werden. Um Insights zu ApiCallRateInsight empfangen zu können, muss der Quellereignisdatenspeicher Schreib-Verwaltungsereignisse protokollieren.

        • ApiErrorRateInsight: Der Insights-Typ ApiErrorRateInsight analysiert Verwaltungs-API-Aufrufe, die zu Fehlercodes führen. Der Fehler wird angezeigt, wenn der API-Aufruf fehlschlägt. Um Insights zu ApiErrorRateInsight empfangen zu können, muss der Quellereignisdatenspeicher Schreib- und Leseverwaltungsereignisse protokollieren.

      4. Wiederholen Sie die beiden vorherigen Schritte (ii und iii), um weitere Insights-Typen hinzuzufügen, die Sie empfangen möchten.

  13. Wählen Sie Next (Weiter) aus, um Ihre Auswahl zu überprüfen.

  14. Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie Ereignisdatenspeicher erstellen aus.

  15. Der neue Ereignisdatenspeicher ist in der Tabelle Ereignisdatenspeicher auf der Seite Ereignisdatenspeicher sichtbar.

  16. Wenn Sie in Schritt 10 keinen Quellereignisdatenspeicher ausgewählt haben, folgen Sie den Schritten unter Erstellen eines Quellereignisdatenspeichers, der Insights-Ereignisse aktiviert, um Quellereignisdatenspeicher zu erstellen.

Erstellen eines Quellereignisdatenspeichers, der Insights-Ereignisse aktiviert

Mit den folgenden Schritten erstellen Sie einen Quellereignisdatenspeicher, der Insights-Ereignisse aktiviert und Verwaltungsereignisse protokolliert.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Öffnen Sie im Navigationsbereich das Untermenü Lake und wählen Sie dann Event Data Stores (Ereignisdatenspeicher) aus.

  3. Wählen Sie Ereignisdatenspeicher erstellen aus.

  4. Geben Sie auf der Seite Konfigurieren eines Ereignisdatenspeichers in Allgemeine Angaben einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.

  5. Wählen Sie die Preisoption aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter AWS CloudTrail -Preise und Verwaltung der CloudTrail Seekosten.

    Die folgenden Optionen sind verfügbar:

    • Preisoption mit verlängerbarer Aufbewahrung für ein Jahr – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine erweiterte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.

      • Standardaufbewahrungsdauer: 366 Tage.

      • Maximale Aufbewahrungsdauer: beträgt 3 653 Tage.

    • Preisoption für die Aufbewahrung über sieben Jahre – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.

      • Standardaufbewahrungsdauer: 2 557 Tage.

      • Maximale Aufbewahrungsdauer: beträgt 2 557 Tage.

  6. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die Preisoption mit siebenjähriger Aufbewahrungsdauer liegen.

    CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb eventTime des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie eventTime älter als 90 Tage sind.

  7. (Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie Eigene verwenden aus AWS KMS key. Wählen Sie Neu, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie Bestehend, um einen vorhandenen KMS-Schlüssel zu verwenden. Geben Sie unter KMS-Alias eingeben einen Alias im folgenden Format an alias/ MyAliasName. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, um das Verschlüsseln und Entschlüsseln von CloudTrail Protokollen zuzulassen. Weitere Informationen finden Sie unterKonfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail. CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter Verwenden von Schlüsseln für mehrere Regionen im AWS Key Management Service -Entwicklerhandbuch.

    Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.

    Anmerkung

    Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.

  8. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie Aktivieren in Lake-Abfrageverbund. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -Datenkatalog einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter Verbund für einen Ereignisdatenspeicher erstellen.

    Wählen Sie Aktivieren und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:

    1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. AWS Lake Formation verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die erforderlichen Mindestberechtigungen vorsieht.

    2. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.

    3. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.

  9. (Optional) Im Bereich Tags können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags. Weitere Informationen zur Verwendung von Tags finden Sie unter Tagging Your AWS Resources User Guide im Tagging AWS Resources User Guide. AWS

  10. Wählen Sie Next (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.

  11. Wählen Sie auf der Seite Ereignisse auswählen die Option AWS Ereignisse und dann Ereignisse ausCloudTrail.

  12. Lassen Sie CloudTrail unter Ereignisse die Option Management-Ereignisse ausgewählt.

  13. Damit Ihr Ereignisdatenspeicher Ereignisse von allen Konten in einer AWS Organizations -Organisation erfasst, wählen Sie Für alle Konten in meiner Organisation aktivieren aus. Sie müssen beim Verwaltungskonto der Organisation angemeldet sein, um einen Ereignisdatenspeicher zu erstellen, der Insights aktiviert.

  14. Erweitern Sie Zusätzliche Einstellungen, um auszuwählen, ob Ihr Ereignisdatenspeicher Ereignisse für alle AWS-Regionen oder nur für die aktuellen Ereignisse erfassen soll AWS-Region, und wählen Sie aus, ob der Ereignisdatenspeicher Ereignisse aufnimmt. Standardmäßig erfasst der Ereignisdatenspeicher Ereignisse aus allen Regionen in Ihrem Konto und beginnt ab der Erstellung damit, Ereignisse aufzunehmen.

    1. Wählen Sie Nur die aktuelle Region in meinen Ereignisdatenspeicher einbeziehen aus, um nur Ereignisse einzubeziehen, die in der aktuellen Region protokolliert werden. Wenn Sie diese Option nicht auswählen, enthält der Ereignisdatenspeicher Ereignisse aus allen Regionen.

    2. Lassen Sie die Option Ereignisse aufnehmen ausgewählt.

  15. Wählen Sie die Verwaltungsereignistypen aus, die in den Ereignisdatenspeicher einbezogen werden sollen. Sie können Lesen, Schreiben oder beides auswählen. Mindestens eine Option muss ausgewählt werden.

    Anmerkung

    Um Insights-Ereignisse anhand des API-Aufrufvolumens zu protokollieren, muss der Ereignisdatenspeicher write-Verwaltungsereignisse protokollieren. Um Insights-Ereignisse anhand der API-Fehlerrate zu protokollieren, muss der Ereignisdatenspeicher read- oder write-Verwaltungsereignisse protokollieren.

  16. Sie können wählen, ob Sie Amazon RDS Data API-Ereignisse aus Ihrem Ereignisdatenspeicher ausschließen AWS Key Management Service oder aus diesem ausschließen möchten. Weitere Informationen zu diesen Optionen finden Sie unter Protokollieren von Verwaltungsereignissen.

  17. Wählen Sie Insights aktivieren aus.

  18. Wählen Sie unter Insights aktivieren den Zielereignisspeicher aus, in dem Insights-Ereignisse protokolliert werden sollen. Der Zielereignisdatenspeicher erfasst Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher. Weitere Informationen zum Erstellen des Zielereignisdatenspeichers finden Sie unter Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert.

  19. Wählen Sie die Insights-Typen aus. Sie können die API-Aufrufrate, die API-Fehlerrate oder beides auswählen. Sie müssen Schreib-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die API-Aufrufrate zu protokollieren. Sie müssen Lese- und Schreib-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die API-Fehlerrate zu protokollieren.

  20. Wählen Sie Next (Weiter) aus, um Ihre Auswahl zu überprüfen.

  21. Überprüfen Sie auf der Seite Prüfen und erstellen Ihre Auswahl. Wählen Sie Bearbeiten aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie Ereignisdatenspeicher erstellen aus.

  22. Der neue Ereignisdatenspeicher ist in der Tabelle Ereignisdatenspeicher auf der Seite Ereignisdatenspeicher sichtbar.

    Ab diesem Zeitpunkt erfasst der Ereignisdatenspeicher Ereignisse, die mit seinen erweiterten Ereignisselektoren übereinstimmen. Nachdem Sie CloudTrail Insights zum ersten Mal in Ihrem Quell-Ereignisdatenspeicher aktiviert haben, kann es bis zu 7 Tage dauern, CloudTrail bis das erste Insights-Ereignis an Ihren Ziel-Ereignisdatenspeicher übermittelt wird, falls ungewöhnliche Aktivitäten festgestellt werden.

    Sie können das CloudTrail Lake-Dashboard aufrufen, um die Insights-Ereignisse in Ihrem Zielereignisdatenspeicher zu visualisieren. Weitere Informationen zu Lake-Dashboards finden Sie unter CloudTrail Lake-Dashboards mit der CloudTrail Konsole anzeigen.

Für die Aufnahme von Insights-Veranstaltungen in CloudTrail Lake fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise.