Erfassen und Verarbeiten von Protokollen

CloudWatch Logs kann verwendet werden, um Ihre Protokolldateien aus Amazon-EC2-Instances, AWS CloudTrail, Route 53 und anderen Quellen zu überwachen, zu speichern und zu öffnen. Weitere Informationen finden Sie auf der Dokumentationsseite AWS-Services, die Protokolle in CloudWatch Logs veröffentlichen.

Zu den Protokollinformationen gehören beispielsweise:

Individuell festgelegte Protokollierung des Zugriffs auf Amazon-S3-Objekte
Detaillierte Informationen über Datenströme im Netzwerk durch VPC-Flow Logs
Regelbasierte Konfigurationsprüfungen und -aktionen mit AWS Config-Regeln
Filterung und Nachverfolgung von HTTP-Zugriff auf Anwendungen mit Web Application Firewall (WAF)-Funktionen in CloudFront

Benutzerdefinierte Anwendungsmetriken und -protokolle können auch in CloudWatch Logs veröffentlicht werden, indem der CloudWatch-Agent auf Amazon-EC2-Instances oder lokalen Servern installiert wird.

Protokolle können mithilfe von CloudWatch Logs Insights interaktiv analysiert werden, wobei Abfragen durchgeführt werden, damit Sie effizienter und effektiver auf betriebliche Probleme reagieren können.

CloudWatch-Protokolle können durch Konfigurieren von Abonnementfiltern nahezu in Echtzeit verarbeitet und an andere Services wie einen Amazon OpenSearch Service (OpenSearch Service)-Cluster, einen Amazon-Kinesis-Stream, einen Amazon-Kinesis-Data-Firehose-Stream oder Lambda zur benutzerdefinierten Verarbeitung, Analyse oder zum Laden in andere Systeme übermittelt werden.

CloudWatch-Metrikfilter können verwendet werden, um Muster zu definieren, nach denen in Protokolldaten gesucht werden soll, sie in numerische CloudWatch-Metriken umzuwandeln und Alarme basierend auf Ihren Geschäftsanforderungen einzurichten. Wenn Sie beispielsweise der AWS-Empfehlung folgen, den Stammbenutzer nicht für alltägliche Aufgaben zu verwenden, ist es möglich, einen bestimmten CloudWatch-Metrikfilter in einem CloudTrail-Protokoll (an CloudWatch Logs übermittelt) einzurichten, um eine benutzerdefinierte Metrik zu erstellen und einen Alarm zu konfigurieren, um die relevanten Personen zu benachrichtigen, wenn Stamm-Anmeldeinformationen für den Zugriff auf Ihr AWS-Konto verwendet werden.

Protokolle wie Amazon-S3-Serverzugriffsprotokolle, Elastic-Load-Balancing-Zugriffsprotokolle, VPC-Flow-Protokolle und AWS Global Accelerator-Flow-Protokolle können direkt an einen Amazon-S3-Bucket übermittelt werden. Wenn Sie beispielsweise Serverzugriffsprotokolle von Amazon Simple Storage Service aktivieren, erhalten Sie detaillierte Informationen zu den Anfragen, die an Ihren Amazon-S3-Bucket gestellt wurden. Ein Zugriffsprotokoll-Datensatz enthält Details über jede Anfrage, wie beispielsweise den Anfragetyp, die in der Anfrage angegebenen Ressourcen sowie Uhrzeit und Datum der Anfrage. Weitere Informationen zu den Inhalten einer Protokollmeldung finden Sie im Abschnitt Serverzugriff-Protokollformat von Amazon Simple Storage Service im Entwicklerhandbuch zu Amazon Simple Storage Service. Serverzugriffsprotokolle sind für viele Anwendungen nützlich, da sie Bucket-Eigentümern Einblick in die Art der Anfragen bieten, die von Clients erstellt werden, die sich ihrer Kontrolle entziehen. Standardmäßig erfasst Amazon S3 keine Servicezugriffsprotokolle. Wenn Sie die Protokollierung jedoch aktivieren, liefert Amazon S3 normalerweise innerhalb weniger Stunden Zugriffsprotokolle an Ihren S3-Bucket. Wenn Sie eine schnellere Bereitstellung benötigen oder Protokolle an mehrere Ziele liefern müssen, sollten Sie CloudTrail-Protokolle oder eine Kombination aus CloudTrail-Protokollen und Amazon S3 verwenden. Protokolle können im Ruhezustand verschlüsselt werden, indem die standardmäßige Objektverschlüsselung im Ziel-Bucket konfiguriert wird. Die Verschlüsselung der Objekte erfolgt serverseitig mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder Kundenmasterschlüsseln (CMKs), die in AWS Key Management Service (AWS KMS) gespeichert sind.

In einem Amazon-S3-Bucket gespeicherte Protokolle können mit Amazon Athena abgefragt und analysiert werden. Amazon Athena ist ein interaktiver Abfrageservice, mit dem Sie Daten in S3 mit Standard-SQL analysieren können. Sie können Athena nutzen, um Ad-hoc-Abfragen mit ANSI SQL durchzuführen, ohne dafür die Daten aggregieren oder in Athena laden zu müssen. Athena kann unstrukturierte, halbstrukturierte und strukturierte Datensätze verarbeiten und lässt sich zur einfachen Visualisierung in Amazon QuickSight integrieren.

Protokolle sind auch eine nützliche Informationsquelle für die automatisierte Bedrohungserkennung. Amazon GuardDuty ist ein Service zur kontinuierlichen Sicherheitsüberwachung, der Ereignisse aus verschiedenen Quellen analysiert und verarbeitet, z. B. VPC Flow Logs, CloudTrail-Verwaltungsereignisprotokolle, CloudTrail-Amazon-S3-Datenereignisprotokolle und DNS-Protokolle. Er verwendet Bedrohungsdaten, z. B. Listen bösartiger IP-Adressen und Domänen, ebenso wie maschinelles Lernen, um unerwartete und potenziell nicht autorisierte bösartige Aktivitäten in Ihrer AWS-Umgebung zu identifizieren. Wenn Sie GuardDuty in einer Region aktivieren, wird sofort mit der Analyse Ihrer CloudTrail-Ereignisprotokolle begonnen. Er nutzt CloudTrail-Verwaltungs- und Amazon S3-Datenereignisse direkt aus CloudTrail über einen unabhängigen und doppelten Ereignisstrom.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Compliance-Prüfung und -Sicherheitsanalyse

Erkennen und Schützen von Daten in großem Umfang