Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung von Wanderwegen mit dem AWS CLI
Das AWS CLI beinhaltet mehrere andere Befehle, die dir helfen, deine Trails zu verwalten. Diese Befehle fügen Tags zu Trails hinzu, rufen den Trail-Status ab, starten und stoppen die Protokollierung für Trails und löschen Trails. Sie müssen diese Befehle in derselben AWS Region ausführen, in der der Trail erstellt wurde (in der Heimatregion). Denken Sie bei der Verwendung von daran AWS CLI, dass Ihre Befehle in der AWS Region ausgeführt werden, die für Ihr Profil konfiguriert ist. Wenn Sie die Befehle in einer anderen Region ausführen möchten, ändern Sie entweder die Standardregion für Ihr Profil, oder verwenden Sie den **--region**-Parameter mit dem Befehl.
**Topics**
+ [Hinzufügen eines oder mehrerer Tags zu einem Trail](#cloudtrail-additional-cli-commands-add-tag)
+ [Auflisten von Tags für einen oder mehrere Trails](#cloudtrail-additional-cli-commands-list-tags)
+ [Entfernen eines oder mehrerer Tags aus einem Trail](#cloudtrail-additional-cli-commands-remove-tag)
+ [Abruf von Trail-Einstellungen und des Status eines Trails](#cloudtrail-additional-cli-commands-retrieve)
+ [Konfiguration von CloudTrail Insights-Ereignisselektoren](#configuring-insights-selector)
+ [Konfigurieren von fortschrittlichen Ereignisauswahlen](#configuring-adv-event-selector-examples)
+ [Konfiguration grundlegender Event-Selektoren](#configuring-event-selector-examples)
+ [Anhalten und Starten der Protokollierung für einen Trail](#cloudtrail-start-stop-logging-cli-commands)
+ [Löschen eines Trails](#cloudtrail-delete-trail-cli)
## Hinzufügen eines oder mehrerer Tags zu einem Trail
Führen Sie zum Hinzufügen eines oder mehrerer Tags zu einem Trail den Befehl **add-tags** aus.
Im folgenden Beispiel wird einem Trail mit dem ARN *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*my-trail** in der Region USA Ost (Ohio) ein Tag mit dem Namen *Owner* und dem Wert von hinzugefügt. *Mary*
```
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2
```
Bei erfolgreicher Ausführung gibt dieser Befehl nichts zurück.
## Auflisten von Tags für einen oder mehrere Trails
Verwenden Sie zur Anzeige der mit einem oder mehreren vorhandenen Trails verbundenen Tags den **list-tags**-Befehl.
Das folgende Beispiel listet die Tags für *Trail1* und auf*Trail2*.
```
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
```
Ist der Befehl erfolgreich, wird eine Ausgabe zurückgegeben, die wie folgt aussehen sollte.
```
{
"ResourceTagList": [
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1",
"TagsList": [
{
"Value": "Alice",
"Key": "Name"
},
{
"Value": "Ohio",
"Key": "Location"
}
]
},
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2",
"TagsList": [
{
"Value": "Bob",
"Key": "Name"
}
]
}
]
}
```
## Entfernen eines oder mehrerer Tags aus einem Trail
Führen Sie zum Entfernen eines oder mehrerer Tags aus einem vorhandenen Trail den Befehl **remove-tags** aus.
Im folgenden Beispiel werden Tags mit den Namen *Location* und *Name* aus einem Trail mit dem ARN *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*Trail1** in der Region USA Ost (Ohio) entfernt.
```
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2
```
Bei erfolgreicher Ausführung gibt dieser Befehl nichts zurück.
## Abruf von Trail-Einstellungen und des Status eines Trails
Führen Sie den `describe-trails` Befehl aus, um Informationen über Wanderwege in einer AWS Region abzurufen. Das folgende Beispiel gibt Informationen zu in der Region USA Ost (Ohio) konfigurierten Trails aus.
```
aws cloudtrail describe-trails --region us-east-2
```
Wird der Befehl erfolgreich ausgeführt, wird Ihnen eine Ausgabe ähnlich der folgenden angezeigt.
```
{
"trailList": [
{
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket1",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
},
{
"Name": "my-special-trail",
"S3BucketName": "amzn-s3-demo-bucket2",
"S3KeyPrefix": "example-prefix",
"IncludeGlobalServiceEvents": false,
"IsMultiRegionTrail": false,
"HomeRegion": "us-east-2",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": true,
"IsOrganizationTrail": false
},
{
"Name": "my-org-trail",
"S3BucketName": "amzn-s3-demo-bucket3",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-1"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": true
}
]
}
```
Rufen Sie mit dem Befehl `get-trail` Einstellungsinformationen zu einem bestimmten Trail ab. Im folgenden Beispiel werden Einstellungsinformationen für einen Pfad mit dem Namen zurückgegeben*my-trail*.
```
aws cloudtrail get-trail - -name my-trail
```
Ist der Befehl erfolgreich, wird eine Ausgabe zurückgegeben, die wie folgt aussehen sollte.
```
{
"Trail": {
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
}
}
```
Führen Sie den Befehl `get-trail-status` aus, um den Status eines Trails abzurufen. Sie müssen diesen Befehl entweder von der AWS Region aus ausführen, in der er erstellt wurde (der Heimatregion), oder Sie müssen diese Region angeben, indem Sie den **--region** Parameter hinzufügen.
**Anmerkung**
Wenn es sich bei dem Trail um einen Organisations-Trail handelt und Sie ein Mitgliedskonto in der Organisation sind AWS Organizations, müssen Sie den vollständigen ARN dieses Trails angeben und nicht nur den Namen.
```
aws cloudtrail get-trail-status --name my-trail
```
Wird der Befehl erfolgreich ausgeführt, wird Ihnen eine Ausgabe ähnlich der folgenden angezeigt.
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
Neben den im vorherigen JSON-Code gezeigten Feldern, enthält der Status bei Vorliegen von Amazon-SNS- oder Amazon-S3-Fehlern die folgenden Felder:
+ `LatestNotificationError`. Enthält den von Amazon SNS ausgegebenen Fehler, falls das Abonnieren eines Themas fehlgeschlagen ist.
+ `LatestDeliveryError`. Enthält den von Amazon S3 ausgegebenen Fehler, wenn CloudTrail keine Protokolldatei an einen Bucket gesendet werden kann.
## Konfiguration von CloudTrail Insights-Ereignisselektoren
Aktivieren Sie Insights-Ereignisse für einen Trail, indem Sie den Befehl **put-insight-selectors** ausführen und `ApiCallRateInsight` und/oder `ApiErrorRateInsight` als Wert des Attributs `InsightType` angeben. Um für einen Trail die Einstellungen zur Insights-Auswahl anzuzeigen, führen Sie den Befehl `get-insight-selectors` aus. Sie müssen diesen Befehl entweder von der AWS Region aus ausführen, in der der Trail erstellt wurde (der Heimatregion), oder Sie müssen diese Region angeben, indem Sie dem Befehl den **--region** Parameter hinzufügen.
**Anmerkung**
Um Insights-Ereignisse für `ApiCallRateInsight` zu protokollieren, muss der Trail `write`-Verwaltungsereignisse protokollieren. Um Insights-Ereignisse für `ApiErrorRateInsight` zu protokollieren, muss der Trail `read`- oder `write`-Verwaltungsereignisse protokollieren.
### Beispiel-Trail zum Protokollieren von Insights-Ereignissen
Das folgende Beispiel verwendet**put-insight-selectors**, um einen Insights-Ereignisselektor für einen Trail mit dem Namen *TrailName3* zu erstellen. Dadurch wird die Erfassung von Insights-Ereignissen für den *TrailName3* Trail aktiviert. Die Insights-Ereignisauswahl protokolliert sowohl `ApiErrorRateInsight`- als auch `ApiCallRateInsight`-Insights-Ereignistypen.
```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
Im Beispiel wird die Insights-Ereignisauswahl zurückgegeben, die für den Trail konfiguriert wurde.
```
{
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```
### Beispiel: Sammlung von Insights-Ereignissen deaktivieren
Im folgenden Beispiel wird **put-insight-selectors** die Insights-Ereignisauswahl für einen Trail mit dem Namen *TrailName3* entfernt. Durch das Löschen der JSON-Zeichenfolge der Insights-Selektoren wird die Insights-Ereigniserfassung für den Trail deaktiviert. *TrailName3*
```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'
```
Im Beispiel wird die jetzt leere Insights-Ereignisauswahl zurückgegeben, die für den Trail konfiguriert wurde.
```
{
"InsightSelectors": [ ],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```
## Konfigurieren von fortschrittlichen Ereignisauswahlen
Sie können erweiterte Event-Selektoren verwenden, um [Verwaltungsereignisse, [Datenereignisse](logging-data-events-with-cloudtrail.md)](logging-management-events-with-cloudtrail.md) für alle Ressourcentypen und [Netzwerkaktivitätsereignisse](logging-network-events-with-cloudtrail.md) zu protokollieren. Im Gegensatz dazu können Sie einfache Ereignisauswahlfunktionen verwenden, um Verwaltungsereignisse und Datenereignisse für die `AWS::S3::Object` Ressourcentypen `AWS::DynamoDB::Table``AWS::Lambda::Function`, und zu protokollieren. Sie können entweder einfache oder erweiterte Ereignisselektoren verwenden, aber nicht beide. Wenn Sie erweiterte Event-Selektoren auf einen Trail anwenden, der einfache Event-Selektoren verwendet, werden die grundlegenden Event-Selektoren überschrieben.
Um einen Trail in erweiterte Event-Selektoren umzuwandeln, führen Sie den **get-event-selectors** Befehl aus, um die aktuellen Event-Selektoren zu bestätigen, und konfigurieren Sie dann die erweiterten Event-Selektoren so, dass sie der Reichweite der vorherigen Event-Selektoren entsprechen, und fügen Sie dann weitere Selektoren hinzu.
Sie müssen den `get-event-selectors` Befehl entweder von dem Ort aus ausführen, AWS-Region an dem der Trail erstellt wurde (der Heimatregion), oder Sie müssen diese Region angeben, indem Sie den Parameter hinzufügen. **--region**
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
**Anmerkung**
Wenn es sich bei dem Trail um einen Organisationspfad handelt und Sie mit einem Mitgliedskonto in der Organisation angemeldet sind AWS Organizations, müssen Sie den vollständigen ARN des Trails angeben und nicht nur den Namen.
Das folgende Beispiel zeigt die Einstellungen für einen Trail, der erweiterte Event-Selektoren verwendet, um Verwaltungsereignisse zu protokollieren. Standardmäßig ist ein Trail so konfiguriert, dass alle Verwaltungsereignisse und keine Datenereignisse oder Netzwerkaktivitätsereignisse protokolliert werden.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
]
}
```
Um eine fortschrittliche Ereignisauswahl zu erstellen, führen Sie den Befehl `put-event-selectors` aus. Wenn in Ihrem Konto ein Ereignis eintritt, wird die Konfiguration für Ihre Trails CloudTrail ausgewertet. Entspricht das Ereignis einer für den Trail festgelegten fortschrittlichen Ereignisauswahl, verarbeitet und protokolliert der Trail das Ereignis. Sie können bis zu 500 Bedingungen auf einem Trail konfigurieren, einschließlich aller Werte, die für alle erweiterten Ereignisselektoren auf Ihrem Trail angegeben sind. Weitere Informationen erhalten Sie unter [Protokollieren von Datenereignissen](logging-data-events-with-cloudtrail.md) und [Protokollierung von Netzwerkaktivitätsereignissen](logging-network-events-with-cloudtrail.md).
**Topics**
+ [Beispiel-Trail mit bestimmten fortschrittlichen Ereignisauswahlen](#configuring-adv-event-selector-specific)
+ [Beispiel-Trail, der benutzerdefinierte erweiterte Event-Selektoren verwendet, um AWS Outposts Datenereignisse in Amazon S3 zu protokollieren](#configuring-adv-event-selector-outposts)
+ [Beispiel für einen Trail, der erweiterte Event-Selektoren verwendet, um Ereignisse auszuschließen AWS Key Management Service](#configuring-adv-event-selector-exclude)
+ [Beispielpfad, der erweiterte Event-Selektoren verwendet, um Amazon RDS Data API-Verwaltungsereignisse auszuschließen](#configuring-adv-event-selector-exclude-rds)
### Beispiel-Trail mit bestimmten fortschrittlichen Ereignisauswahlen
Das folgende Beispiel erstellt benutzerdefinierte erweiterte Event-Selektoren für einen Trail, der so benannt ist, *TrailName* dass er Lese- und Schreibverwaltungsereignisse (durch Weglassen des `readOnly` Selektors) `PutObject` und `DeleteObject` Datenereignisse für alle Amazon S3 S3-Bucket/Präfix-Kombinationen mit Ausnahme eines Buckets mit dem Namen`amzn-s3-demo-bucket`, Datenereignisse für eine AWS Lambda Funktion mit dem Namen und Netzwerkaktivitätsereignisse für Ereignisse mit AWS KMS Zugriffsverweigerung über einen VPC-Endpunkt umfasst. `MyLambdaFunction` Da es sich um benutzerdefinierte erweiterte Ereignisselektoren handelt, hat jeder Satz von Selektoren einen beschreibenden Namen. Beachten Sie, dass ein abschließender Schrägstrich Teil des ARN-Werts für S3 Buckets ist.
```
aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
{ "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
{ "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["NetworkActivity"]},
{ "Field": "eventSource", "Equals": ["kms.amazonaws.com"]},
{ "Field": "errorCode", "Equals": ["VpceAccessDenied"]}
]
}
]'
```
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
}
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::S3::Object" ]
},
{
"Field": "resources.ARN",
"NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
},
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::Lambda::Function" ]
},
{
"Field": "eventName",
"Equals": [ "Invoke" ]
},
{
"Field": "resources.ARN",
"Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ]
}
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Beispiel-Trail, der benutzerdefinierte erweiterte Event-Selektoren verwendet, um AWS Outposts Datenereignisse in Amazon S3 zu protokollieren
Das folgende Beispiel zeigt, wie Sie Ihren Trail so konfigurieren, dass er alle Datenereignisse für alle Amazon S3 AWS Outposts S3-Objekte in Ihrem Außenposten enthält. In dieser Version ist der unterstützte Wert für S3 bei AWS Outposts Ereignissen für das `resources.type` `AWS::S3Outposts::Object` Feld.
```
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
]
}
]'
```
Der Befehl gibt die folgende Beispielausgabe zurück.
```
{
"AdvancedEventSelectors": [
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3Outposts::Object"
]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName"
}
```
### Beispiel für einen Trail, der erweiterte Event-Selektoren verwendet, um Ereignisse auszuschließen AWS Key Management Service
Im folgenden Beispiel wird eine erweiterte Ereignisauswahl für einen Trail erstellt, der so benannt ist, *TrailName* dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz (durch Weglassen des `readOnly` Selektors), aber Ereignisse ausschließt (). AWS Key Management Service AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, entfernen Sie den `eventSource` Selektor und führen Sie den Befehl erneut aus.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
]
}
]'
```
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "kms.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Um die Protokollierung ausgeschlossener Ereignisse erneut in einen Trail zu starten, entfernen Sie den `eventSource`-Selektor, wie im folgenden Befehl gezeigt.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
### Beispielpfad, der erweiterte Event-Selektoren verwendet, um Amazon RDS Data API-Verwaltungsereignisse auszuschließen
Im folgenden Beispiel wird ein erweiterter Event-Selektor für einen Trail erstellt, der so benannt ist*TrailName*, dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz (durch Weglassen des `readOnly` Selektors) einschließt, Amazon RDS Data API-Verwaltungsereignisse jedoch ausschließt. Um Amazon RDS Data API-Verwaltungsereignisse auszuschließen, geben Sie die Amazon RDS-Daten-API-Ereignisquelle im Zeichenfolgenwert für das `eventSource` Feld an:`rdsdata.amazonaws.com`.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden Amazon RDS Data API-Verwaltungsereignisse nicht protokolliert, und Sie können die Einstellungen für die Amazon RDS Data API-Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von Amazon RDS Data API-Verwaltungsereignissen in einem Trail zu beginnen, entfernen Sie den `eventSource` Selektor und führen Sie den Befehl erneut aus.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
]
}
]'
```
Das Beispiel gibt die für den Trail konfigurierten fortschrittlichen Ereignisauswahlen zurück.
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "rdsdata.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Um die Protokollierung ausgeschlossener Ereignisse erneut in einen Trail zu starten, entfernen Sie den `eventSource`-Selektor, wie im folgenden Befehl gezeigt.
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
## Konfiguration grundlegender Event-Selektoren
Sie können nur grundlegende Ereignisselektoren verwenden, um Verwaltungsereignisse und Datenereignisse für die `AWS::S3::Object` Ressourcentypen `AWS::DynamoDB::Table``AWS::Lambda::Function`, und zu protokollieren. Sie können Verwaltungsereignisse, alle Datenressourcentypen und Netzwerkaktivitätsereignisse mithilfe erweiterter Ereignisauswahlfunktionen protokollieren.
Sie können entweder einfache oder erweiterte Ereignisauswahlen verwenden, aber nicht beide. Wenn Sie einfache Event-Selektoren auf einen Trail anwenden, der erweiterte Event-Selektoren verwendet, werden die erweiterten Event-Selektoren überschrieben.
Um für einen Trail die Einstellungen zu den Ereignisauswahlen anzuzeigen, führen Sie den `get-event-selectors`-Befehl aus. Sie müssen diesen Befehl entweder von dem Ort aus ausführen, AWS-Region an dem er erstellt wurde (in der Heimatregion), oder Sie müssen diese Region mithilfe des Parameters angeben. **--region**
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
**Anmerkung**
Wenn es sich bei dem Trail um einen Organisations-Trail handelt und Sie ein Mitgliedskonto in der Organisation sind AWS Organizations, müssen Sie den vollständigen ARN dieses Trails angeben und nicht nur den Namen.
Das folgende Beispiel zeigt die Einstellungen für einen Trail, der grundlegende Ereignisauswahlfunktionen verwendet, um Verwaltungsereignisse zu protokollieren.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Um eine Ereignisauswahl zu erstellen, führen Sie den Befehl `put-event-selectors` aus. Wenn Sie mit dem Trail Insights-Ereignisse protokollieren möchten, stellen Sie sicher, dass die Ereignisauswahl die Protokollierung der Insights-Typen aktiviert, für die Sie Ihren Trail konfigurieren möchten. Weitere Informationen zum Protokollieren von Insights-Ereignissen finden Sie unter [Mit CloudTrail Insights arbeiten](logging-insights-events-with-cloudtrail.md).
Wenn ein Ereignis im Konto auftritt, wertet CloudTrail die Konfiguration für die Trails aus. Entspricht das Ereignis einer für den Trail festgelegten Ereignisauswahl, verarbeitet und protokolliert der Trail das Ereignis. Sie können bis zu 5 Ereignisauswahlen und bis zu 250 Datenressourcen für einen Trail konfigurieren. Weitere Informationen finden Sie unter [Protokollieren von Datenereignissen](logging-data-events-with-cloudtrail.md).
**Topics**
+ [Beispiel-Trail mit bestimmten Ereignisauswahlen](#configuring-event-selector-example1)
+ [Beispiel-Trail, für den alle Verwaltungs- und Datenereignisse protokolliert werden](#configuring-event-selector-example2)
+ [Beispiel für einen Trail, der keine Ereignisse protokolliert AWS Key Management Service](#configuring-event-selector-example-kms)
+ [Ein Beispiel-Trail, der relevante Ereignisse mit geringem Volumen AWS Key Management Service protokolliert](#configuring-event-selector-log-kms)
+ [Beispiel-Trail, für den keine Amazon-RDS-Daten-API-Ereignisse protokolliert werden](#configuring-event-selector-example-rds)
### Beispiel-Trail mit bestimmten Ereignisauswahlen
Das folgende Beispiel erstellt einen Event-Selector für einen Trail, der so benannt ist, *TrailName* dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz, Datenereignisse für zwei Amazon S3 bucket/prefix S3-Kombinationen und Datenereignisse für eine einzelne Funktion mit dem Namen umfasst. AWS Lambda *hello-world-python-function*
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
```
Das Beispiel gibt die für den Trail konfigurierte Ereignisauswahl zurück.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::amzn-s3-demo-bucket/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function"
],
"Type": "AWS::Lambda::Function"
},
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Beispiel-Trail, für den alle Verwaltungs- und Datenereignisse protokolliert werden
Das folgende Beispiel erstellt einen Event-Selektor für einen Trail mit dem Namen*TrailName2*, der alle Verwaltungsereignisse, einschließlich schreibgeschützter und schreibgeschützter Verwaltungsereignisse, und Datenereignisse für alle Amazon S3 S3-Buckets, AWS Lambda Funktionen und Amazon DynamoDB-Tabellen in der enthält. AWS-Konto Da dieses Beispiel grundlegende Event-Selektoren verwendet, kann es nicht die Protokollierung für S3-Ereignisse AWS Outposts, Amazon Managed Blockchain JSON-RPC-Aufrufe auf Ethereum-Knoten oder andere erweiterte Event-Selector-Ressourcentypen konfigurieren. Sie können Netzwerkaktivitätsereignisse auch nicht mit einfachen Event-Selektoren protokollieren. Sie müssen erweiterte Ereignisauswahlfunktionen verwenden, um Netzwerkaktivitätsereignisse und Datenereignisse für alle anderen Ressourcentypen zu protokollieren. Weitere Informationen finden Sie unter [Konfigurieren von fortschrittlichen Ereignisauswahlen](#configuring-adv-event-selector-examples).
**Anmerkung**
Wenn der Trail nur für eine Region gilt, werden nur Ereignisse in dieser Region protokolliert, auch wenn die Ereignisauswahlparameter alle Amazon-S3-Buckets und Lambda-Funktionen angeben. Ereignisauswahlen gelten nur für die Regionen, in denen der Trail erstellt wurde.
```
aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
```
Das Beispiel gibt die für den Trail konfigurierten Ereignisauswahlen zurück.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda"
],
"Type": "AWS::Lambda::Function"
},
{
"Values": [
"arn:aws:dynamodb"
],
"Type": "AWS::DynamoDB::Table"
}
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"
}
```
### Beispiel für einen Trail, der keine Ereignisse protokolliert AWS Key Management Service
Im folgenden Beispiel wird eine Ereignisauswahl für einen Trail erstellt, der so benannt ist*TrailName*, dass er Verwaltungsereignisse mit Schreibschutz und Lesezugriff, aber Ereignisse () ausschließt. AWS Key Management Service AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst. Der Benutzer in diesem Beispiel hat sich entschieden, AWS KMS -Ereignisse für jeden Trail – bis auf einen – auszuschließen. Fügen Sie Ihren Ereignisauswahlen zum Ausschließen einer Ereignisquelle das Element `ExcludeManagementEventSources` hinzu und geben Sie im Zeichenfolgenwert eine Ereignisquelle an.
Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert von`ExcludeManagementEventSources`.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
```
Im Beispiel wird die Ereignisauswahl zurückgegeben, die für den Trail konfiguriert ist.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "kms.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Um wieder mit der Protokollierung von AWS KMS Ereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert von`ExcludeManagementEventSources`, wie im folgenden Befehl gezeigt.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
### Ein Beispiel-Trail, der relevante Ereignisse mit geringem Volumen AWS Key Management Service protokolliert
Im folgenden Beispiel wird eine Ereignisauswahl für einen Trail erstellt, der so benannt ist, dass er Verwaltungsereignisse und Ereignisse enthält*TrailName*, die nur Schreibzugriff haben. AWS KMS Da AWS KMS Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst. Der Benutzer in diesem Beispiel hat sich dafür entschieden, AWS KMS **Write-Ereignisse** einzubeziehen`Disable`, zu denen auch `Delete` und gehören`ScheduleKey`, aber nicht mehr umfangreiche Aktionen wie`Encrypt`,`Decrypt`, und `GenerateDataKey` (diese werden jetzt als **Lese-Ereignisse** behandelt).
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
Im Beispiel wird die Ereignisauswahl zurückgegeben, die für den Trail konfiguriert ist. Dadurch werden Verwaltungsereignisse, einschließlich Ereignisse, nur für Schreibvorgänge protokolliert. AWS KMS
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "WriteOnly"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### Beispiel-Trail, für den keine Amazon-RDS-Daten-API-Ereignisse protokolliert werden
Das folgende Beispiel erstellt einen Event-Selector für einen Trail, der so benannt ist*TrailName*, dass er Verwaltungsereignisse mit Schreibschutz und Schreibschutz enthält, aber Amazon RDS Data API-Ereignisse ausschließt. Da Amazon RDS Data API-Ereignisse als Verwaltungsereignisse behandelt werden und es eine große Anzahl von Ereignissen geben kann, können sie erhebliche Auswirkungen auf Ihre CloudTrail Rechnung haben, wenn Sie mehr als einen Trail haben, der Verwaltungsereignisse erfasst. Der Benutzer in diesem Beispiel hat sich entschieden, Amazon-RDS-Daten-API-Ereignisse für jeden Trail – bis auf einen – auszuschließen. Fügen Sie Ihren Ereignisauswahlen zum Ausschließen einer Ereignisquelle das Element `ExcludeManagementEventSources` hinzu und geben Sie im Zeichenfolgenwert eine Amazon-RDS-Daten-API-Ereignisquelle an: `rdsdata.amazonaws.com`.
Wenn Sie Verwaltungsereignisse nicht protokollieren möchten, werden Amazon-RDS-Daten-API-Ereignisse nicht protokolliert und Sie können die Einstellungen für die Ereignisprotokollierung nicht ändern.
Um wieder mit der Protokollierung von Amazon RDS Data API-Verwaltungsereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert von`ExcludeManagementEventSources`.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
```
Im Beispiel wird die Ereignisauswahl zurückgegeben, die für den Trail konfiguriert ist.
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
Um wieder mit der Protokollierung von Amazon RDS Data API-Verwaltungsereignissen in einem Trail zu beginnen, übergeben Sie ein leeres Array als Wert von`ExcludeManagementEventSources`, wie im folgenden Befehl gezeigt.
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
## Anhalten und Starten der Protokollierung für einen Trail
Die folgenden Befehle starten und beenden die CloudTrail Protokollierung.
```
aws cloudtrail start-logging --name awscloudtrail-example
```
```
aws cloudtrail stop-logging --name awscloudtrail-example
```
**Anmerkung**
Führen Sie vor dem Löschen eines Buckets den Befehl `stop-logging` aus, um die Bereitstellung von Ereignissen im Bucket zu beenden. Wenn Sie die Protokollierung nicht beenden, wird CloudTrail versucht, Protokolldateien für einen begrenzten Zeitraum in einen Bucket mit demselben Namen zu übertragen.
Wenn Sie die Protokollierung beenden oder einen Trail löschen, ist CloudTrail Insights für diesen Trail deaktiviert.
**Die Ereigniszustellung nach der Protokollierung wurde gestoppt**
Nachdem Sie die Protokollierung für einen Trail beendet haben, kann der Trail immer noch Ereignisse empfangen, die vor dem Beenden der Protokollierung aufgetreten sind. Ereignisse können aus einer Reihe von Gründen verzögert werden, z. B. durch hohen Netzwerkverkehr, Verbindungsprobleme, einen Dienstausfall oder die Aktualisierung vorhandener Ereignisse. CloudTrail verwendet den Zeitpunkt, zu dem die Protokollierung zuletzt beendet wurde, um zu bestimmen, ob verzögerte Ereignisse ausgelöst werden sollen, und nicht den Protokollierungsstatus des Trails zum Zeitpunkt des Auftretens des Ereignisses. Somit können verzögerte Ereignisse, die vor dem letzten Stopp der Protokollierung aufgetreten sind, weiterhin in den Trail aufgenommen werden. Weitere Informationen zur verzögerten Übermittlung von Ereignissen finden Sie in dem `addendum` entsprechenden Feld unter[CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md).
Darüber hinaus werden Event-Selektoren und erweiterte Event-Selektoren nicht im Hinblick auf verzögerte Ereignisse ausgewertet, die nach Beendigung der Protokollierung an einen Trail weitergeleitet werden. Das bedeutet, dass ein Trail jede Art von Ereignis empfangen kann, das vor dem Ende der Protokollierung aufgetreten ist, unabhängig von der Konfiguration der Ereignisauswahl des Trails.
## Löschen eines Trails
Wenn Sie CloudTrail Verwaltungsereignisse in Amazon Security Lake aktiviert haben, müssen Sie mindestens einen organisatorischen Pfad verwalten, der mehrere Regionen umfasst `read` und sowohl Verwaltungsereignisse als auch `write` Verwaltungsereignisse protokolliert. Sie können einen Trail nicht löschen, wenn er der einzige Trail ist, den Sie haben, der diese Anforderung erfüllt, es sei denn, Sie deaktivieren CloudTrail Verwaltungsereignisse in Security Lake.
Sie können einen Trail mit dem folgenden Befehl löschen. Sie können einen Trail nur in der Region Löschen, in der er erstellt wurde (Home Region).
**Wichtig**
Das Löschen eines CloudTrail Trails ist zwar eine unumkehrbare Aktion, löscht CloudTrail jedoch keine Protokolldateien im Amazon S3 S3-Bucket für diesen Trail, im Amazon S3 S3-Bucket selbst oder in der CloudWatch Protokollgruppe, an die der Trail Ereignisse übermittelt. Durch das Löschen eines Trails mit mehreren Regionen wird die Protokollierung von Ereignissen in allen AWS Regionen beendet, die in Ihrem AWS-Konto aktiviert sind. Durch das Löschen eines Trails mit nur einer Region wird die Protokollierung von Ereignissen nur in dieser Region beendet. Die Protokollierung von Ereignissen in anderen Regionen wird nicht beendet, auch wenn die Pfade in diesen anderen Regionen identische Namen wie der gelöschte Trail haben.
Informationen zur Kontoschließung und zum Löschen von CloudTrail Trails findest du unter[AWS-Konto Sperrung und Wege](cloudtrail-account-closure.md).
```
aws cloudtrail delete-trail --name awscloudtrail-example
```
Wenn Sie einen Trail löschen, löschen Sie nicht den Amazon-S3-Bucket oder das mit diesem verbundene Amazon-SNS-Thema. Verwenden Sie die Dienst-API AWS-Managementkonsole AWS CLI, oder, um diese Ressourcen separat zu löschen.