Abfragen von Rohprotokollen in Detective - Amazon Detective
Rohprotokolle für eine AWS Rolle abfragenAbfragen von Rohprotokollen für einen Amazon EKS-ClusterAbfragen von Rohprotokollen für eine Amazon-Instance EC2

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Abfragen von Rohprotokollen in Detective

Nachdem Sie Detective in Security Lake integriert haben, beginnt Detective mit dem Abrufen von Rohprotokollen aus Security Lake, die sich auf AWS CloudTrail Verwaltungsereignisse und Amazon Virtual Private Cloud (Amazon VPC) Flow Logs beziehen.

Anmerkung

Für die Abfrage von Rohprotokollen in Detective fallen keine zusätzlichen Gebühren an. Nutzungsgebühren für andere AWS Services, einschließlich Amazon Athena, fallen weiterhin zu den veröffentlichten Tarifen an.

AWS CloudTrail Management-Ereignisse sind für die folgenden Profile verfügbar:

  • AWS Konto

  • AWS Nutzer

  • AWS Rolle

  • AWS Rolle Sitzung

  • EC2 Amazon-Instanz

  • Amazon-S3-Bucket

  • IP-Adresse

  • Kubernetes-Cluster

  • Kubernetes-Pod

  • Kubernetes-Thema

  • IAM-Rolle

  • IAM-Rollensitzung

  • IAM-Benutzer

Amazon FLow VPC-Protokolle sind für die folgenden Profile verfügbar:

  • EC2 Amazon-Instanz

  • Kubernetes-Pod

Eine Demonstration der Verwendung von Amazon Detective mit Amazon Security Lake mithilfe der Detective-Konsole finden Sie im folgenden Video:

Zur Abfrage von Rohprotokollen für ein AWS-Konto

  1. Öffnen Sie die Detective-Konsole unter https://console.aws.amazon.com/detective/.

  2. Wählen Sie im Navigationsbereich Suche und suchen Sie dann nach einem AWS account.

  3. Wählen Sie im Abschnitt Gesamtes API-Aufrufvolumen die Option Details zur Rahmenzeit anzeigen.

  4. Von hier aus können Sie mit der Abfrage von Rohprotokollen beginnen.

In der Vorschautabelle für Rohprotokolle können Sie die Protokolle und Ereignisse anzeigen, die durch Abfragen von Daten aus Security Lake abgerufen wurden. Weitere Informationen zu den unbearbeiteten Ereignisprotokollen finden Sie in den in Amazon Athena angezeigten Daten.

In der Vorschautabelle für Rohprotokolle können Sie die Protokolle und Ereignisse anzeigen, die durch Abfragen von Daten aus Security Lake abgerufen wurden. Weitere Informationen zu den unbearbeiteten Ereignisprotokollen finden Sie in den in Amazon Athena angezeigten Daten.

In der Vorschautabelle für Rohprotokolle können Sie die Protokolle und Ereignisse anzeigen, die durch Abfragen von Daten aus Security Lake abgerufen wurden. Weitere Informationen zu den unbearbeiteten Ereignisprotokollen finden Sie in den in Amazon Athena angezeigten Daten.

In der Tabelle „Rohdatenprotokolle abfragen“ können Sie die Abfrageanfrage stornieren, Ergebnisse in Amazon Athena anzeigen und Ergebnisse als Datei mit kommagetrennten Werten (.csv) herunterladen.

Wenn Sie Protokolle in Detective sehen, die Abfrage aber keine Ergebnisse lieferte, kann das aus den folgenden Gründen passieren.

  • Rohprotokolle werden möglicherweise in Detective verfügbar, bevor sie in den Security-Lake-Protokolltabellen angezeigt werden. Bitte versuchen Sie es später erneut.

  • In Security Lake fehlen möglicherweise Protokolle. Wenn Sie über einen längeren Zeitraum gewartet haben, deutet dies darauf hin, dass Protokolle in Security Lake fehlen. Wenden Sie sich an Ihren Security-Lake-Administrator, um das Problem zu beheben.

Rohprotokolle für eine AWS Rolle abfragen

Wenn Sie die Aktivität einer AWS Rolle in einer neuen Geolokalisierung verstehen möchten, können Sie dies in der Detective-Konsole tun.

Abfragen von Rohprotokollen für eine AWS-Rolle

  1. Öffnen Sie die Detective-Konsole unter https://console.aws.amazon.com/detective/.

  2. Notieren Sie sich auf der Seite Detective Summary New Observed Geolocations die Rolle. AWS

  3. Wählen Sie im Navigationsbereich Suche und suchen Sie nach der AWS role.

  4. Erweitern Sie für die AWS Rolle die Ressource, sodass die spezifischen API-Aufrufe angezeigt werden, die von dieser Ressource von dieser IP-Adresse aus gesendet wurden.

  5. Wählen Sie das Lupensymbol neben dem API-Aufruf, den Sie untersuchen möchten, um die Tabelle mit der Vorschau des Rohprotokolls zu öffnen.

    In der Vorschautabelle für Rohprotokolle können Sie die Protokolle und Ereignisse anzeigen, die durch Abfragen von Daten aus Security Lake abgerufen wurden. Weitere Informationen zu den unbearbeiteten Ereignisprotokollen finden Sie in den in Amazon Athena angezeigten Daten.

Abfragen von Rohprotokollen für einen Amazon EKS-Cluster

  1. Öffnen Sie die Detective-Konsole unter https://console.aws.amazon.com/detective/.

  2. Navigieren Sie auf der Seite Detective Summary im Abschnitt Container-Cluster mit den meisten erstellten Pods zu einem Amazon EKS-Cluster.

  3. Wählen Sie auf der Seite mit den Amazon EKS-Cluster-Details den Tab Kubernetes-API-Aktivität aus.

  4. Wählen Sie im Abschnitt Allgemeine Kubernetes-API-Aktivität, an der dieser Amazon EKS-Cluster beteiligt ist, die Option Details anzeigen für den Geltungsbereich aus.

  5. Von hier aus können Sie mit der Abfrage von Rohprotokollen beginnen.

Abfragen von Rohprotokollen für eine Amazon-Instance EC2

  1. Öffnen Sie die Detective-Konsole unter https://console.aws.amazon.com/detective/.

  2. Wählen Sie im Navigationsbereich Suche und suchen Sie dann nach einem Amazon EC2 instance.

  3. Wählen Sie im Abschnitt Gesamtvolumen des VPC-Durchflusses das Lupensymbol neben dem API-Aufruf, den Sie untersuchen möchten, um die Tabelle mit der Vorschau des Rohprotokolls zu öffnen.

  4. Von hier aus können Sie mit der Abfrage von Rohprotokollen beginnen.

    In der Vorschautabelle für Rohprotokolle können Sie die Protokolle und Ereignisse anzeigen, die durch Abfragen von Daten aus Security Lake abgerufen wurden. Weitere Informationen zu den unbearbeiteten Ereignisprotokollen finden Sie in den in Amazon Athena angezeigten Daten.

In der Vorschautabelle für Rohprotokolle können Sie die Protokolle und Ereignisse anzeigen, die durch Abfragen von Daten aus Security Lake abgerufen wurden. Weitere Informationen zu den unbearbeiteten Ereignisprotokollen finden Sie in den in Amazon Athena angezeigten Daten.

In der Tabelle „Rohdatenprotokolle abfragen“ können Sie die Abfrageanfrage stornieren, Ergebnisse in Amazon Athena anzeigen und Ergebnisse als Datei mit kommagetrennten Werten (.csv) herunterladen.