CloudTrail Lake-Dashboards anzeigen

In dieser exemplarischen Vorgehensweise erfahren Sie, wie Sie CloudTrail Lake-Dashboards anzeigen. CloudTrailMit Lake-Dashboards können Sie die Ereignisse in Ihrem Ereignisdatenspeicher visualisieren und Trends erkennen, z. B. die häufigsten Benutzer und die häufigsten Fehler.

Jedes Dashboard besteht aus mehreren Widgets und jedes Widget steht für eine SQL Abfrage. CloudTrail Führt systemgenerierte Abfragen aus, um das Dashboard zu füllen. Für Abfragen fallen Gebühren an, die auf der Menge der gescannten Daten basieren.

Anmerkung

Derzeit sind Dashboards nur für Ereignisdatenspeicher verfügbar, die CloudTrail Verwaltungsereignisse, Amazon S3 S3-Datenereignisse und Insights-Ereignisse erfassen.

Zeigen Sie Lake-Dashboards wie folgt an:

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

2. Wählen Sie im Navigationsbereich unter Lake die Option Dashboard aus.

3. Wenn Sie die Seite „Dashboards“ zum ersten Mal aufrufen, werden Sie CloudTrail aufgefordert, die mit der Ausführung von Abfragen verbundenen Kosten zu bestätigen. Wählen Sie Ich stimme zu aus, um die Kosten für die Ausführung von Abfragen zu akzeptieren. Dies ist eine einmalige Bestätigung. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter CloudTrailPreise.

4. Wählen Sie Ihren Ereignisdatenspeicher aus der Liste aus und wählen Sie dann den Dashboard-Typ aus, den Sie anzeigen möchten.

   Die folgenden Dashboardtypen sind möglich:

   • Übersichts-Dashboard — Zeigt die aktivsten Benutzer AWS-Services nach Anzahl der Ereignisse an. AWS-Regionen Sie können auch Informationen über die Aktivität von read- und write-Verwaltungsereignissen, die am stärksten beeinträchtigten Ereignisse und die häufigsten Fehler anzeigen. Dieses Dashboard ist für Ereignisdatenspeicher verfügbar, die Verwaltungsereignisse erfassen.

   • Dashboard für Verwaltungsereignisse – Zeigt Anmeldeereignisse auf der Konsole, Ereignisse mit Zugriffsverweigerung, destruktive Aktionen und die häufigsten Fehler pro Benutzer an. Sie können auch Informationen zu TLS Versionen und veralteten TLS Aufrufen nach Benutzern anzeigen. Dieses Dashboard ist für Ereignisdatenspeicher verfügbar, die Verwaltungsereignisse erfassen.

   • Dashboard für S3-Datenereignisse – Zeigt die S3-Kontoaktivitäten, die am häufigsten aufgerufenen S3-Objekte, die wichtigsten S3-Benutzer und die wichtigsten S3-Aktionen an. Dieses Dashboard ist für Ereignisdatenspeicher verfügbar, die Amazon-S3-Datenaktionen erfassen.

   • Dashboard für Insights-Ereignisse – Zeigt den Gesamtanteil der Insights-Ereignisse nach Insights-Typ, den Anteil der Insights-Ereignisse nach Insights-Typ für die wichtigsten Benutzer und Services sowie die Anzahl der Insights-Ereignisse pro Tag. Das Dashboard enthält auch ein Widget, das Insights-Ereignisse für bis zu 30 Tage auflistet. Dieses Dashboard ist nur für Ereignisdatenspeicher verfügbar, die Insights-Ereignisse erfassen.

     Anmerkung

     • Nachdem Sie CloudTrail Insights zum ersten Mal im Quelldatenspeicher für Ereignisse aktiviert haben, kann es bis zu 7 Tage dauern, CloudTrail bis das erste Insights-Ereignis übermittelt wird, wenn ungewöhnliche Aktivitäten festgestellt werden. Weitere Informationen finden Sie unter Grundlegendes zur Insights-Ereignisbereitstellung.

     • Das Dashboard für Insights-Ereignisse zeigt nur Informationen zu den Insights-Ereignissen an, die vom ausgewählten Ereignisdatenspeicher erfasst wurden. Dies hängt von der Konfiguration des ursprünglichen Ereignisdatenspeicher ab. Wenn Sie beispielsweise den ursprünglichen Ereignisdatenspeicher so konfigurieren, dass Insights-Ereignisse für ApiCallRateInsight, aber nicht für ApiErrorRateInsight aktiviert werden, werden Ihnen keine Informationen über Insights-Ereignisse für ApiErrorRateInsight angezeigt.

   In diesem Beispiel haben wir das Dashboard Übersicht ausgewählt.

   

5. Wählen Sie das Datumsfeld aus, um nach einem Zeitraum zu filtern, und wählen Sie dann Anwenden. Wählen Sie Absoluter Bereich, um ein bestimmtes Datum und eine bestimmte Zeitspanne auszuwählen. Wählen Sie Relativer Bereich, um einen vordefinierten Zeitraum oder einen benutzerdefinierten Bereich auszuwählen. Standardmäßig zeigt das Dashboard Ereignisdaten der letzten 24 Stunden an.

   Anmerkung

   Da CloudTrail Abfragen auf der Grundlage der Menge der gescannten Daten berechnet werden, können Sie die Kosten senken, indem Sie nach einem engeren Zeitraum filtern.

   

6. Wählen Sie Abfragen ausführen aus, um das Dashboard mit Daten zu füllen. Jedes Widget zeigt einzeln den Status der zugehörigen Abfrage an und präsentiert Daten, wenn die Abfrage abgeschlossen ist.

   Sie können zusätzliche Filter für einige Widgets durchführen, z. B. für Kontoaktivitäten, sodass Sie nach read- und write-Ereignisaktivitäten filtern können.

   

7. Um die Abfrage für ein Widget anzuzeigen, wählen Sie Im Abfrage-Editor anzeigen und analysieren aus.

   

   Wenn Sie im Abfrage-Editor anzeigen und analysieren wählen, wird die Abfrage im Abfrage-Editor von CloudTrail Lake geöffnet, sodass Sie die Abfrageergebnisse außerhalb des Dashboards weiter analysieren können. Weitere Informationen zum Bearbeiten einer Abfrage finden Sie unter Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail . Weitere Informationen zum Ausführen einer Abfrage und zum Speichern von Abfrageergebnissen finden Sie unter Führen Sie eine Abfrage aus und speichern Sie die Abfrageergebnisse mit der Konsole.

   

   Weitere Informationen zu Dashboards finden Sie unter CloudTrail Lake-Dashboards mit der CloudTrail Konsole anzeigen.