Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# CloudTrail Logdateien abrufen und einsehen
Nachdem Sie einen Trail so eingerichtet haben, dass die gewünschten Protokolldateien erfasst werden, müssen Sie die Protokolldateien finden und die darin enthaltenen Informationen interpretieren können.
CloudTrail übermittelt Ihre Protokolldateien an einen Amazon S3 S3-Bucket, den Sie bei der Erstellung des Trails angeben. CloudTrail übermittelt Protokolle in der Regel innerhalb von durchschnittlich etwa 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter [AWS CloudTrail Service Level Agreement](https://aws.amazon.com/cloudtrail/sla). Normalerweise werden Insights-Ereignisse in Ihrem Bucket innerhalb von 30 Minuten mit ungewöhnlichen Aktivitäten in Ihrem Bucket angezeigt. Nachdem Sie Insights-Ereignisse zum ersten Mal aktiviert haben, kann es bis zu 36 Stunden dauern, bis nach der Erkennung von ungewöhnlichen Aktivitäten die ersten Insights-Ereignisse erscheinen.
**Anmerkung**
Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), CloudTrail wird versucht, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen. Für diese attempted-to-deliver Ereignisse fallen Standardgebühren an. CloudTrail Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.
**Topics**
+ [Finden Sie Ihre Protokolldateien CloudTrail](#cloudtrail-find-log-files)
+ [Deine CloudTrail Logdateien herunterladen](cloudtrail-read-log-files.md)
## Finden Sie Ihre Protokolldateien CloudTrail
CloudTrail veröffentlicht Protokolldateien in Ihrem S3-Bucket in einem GZIP-Archiv. In diesem S3-Bucket hat die Protokolldatei einen formatierten Namen, der die folgenden Elemente enthält:
+ Der Bucket-Name, den Sie bei der Erstellung des Trails angegeben haben (zu finden auf der Trails-Seite der CloudTrail Konsole)
+ Das (optionale) Präfix, das Sie beim Erstellen des Trails angegeben haben
+ Die Zeichenfolge "AWSLogs“
+ Die Kontonummer
+ Die Zeichenfolge "CloudTrail" für Daten, Verwaltungsereignisse
+ Die Zeichenfolge "CloudTrail-Insight“ für Insights-Ereignisse
+ Die Zeichenfolge "CloudTrail-NetworkActivity" für Netzwerkaktivitätsereignisse
+ Die Zeichenfolge "CloudTrail-Aggregated“ für aggregierte Ereignisse für Datenereignisse
+ Eine Regions-ID, z. B. "us-west-1"
+ Das Jahr, in dem die Protokolldatei veröffentlicht wurde, im Format `YYYY`
+ Den Monat, in dem die Protokolldatei veröffentlicht wurde, im Format `MM`
+ Den Tag, an dem die Protokolldatei veröffentlicht wurde, im Format `DD`
+ Eine alphanumerische Zeichenfolge, anhand derer sich die Datei von anderen Dateien zu demselben Zeitraum unterscheidet
Das folgende Beispiel zeigt einen vollständigen Protokolldateiobjektnamen für Daten und Verwaltungsereignisse:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
```
Das folgende Beispiel zeigt einen vollständigen Protokolldatei-Objektnamen für Insight-Ereignisse:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-Insight/region/YYYY/MM/DD/file_name.json.gz
```
Das folgende Beispiel zeigt einen vollständigen Protokolldatei-Objektnamen für Netzwerkaktivitätsereignisse:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-NetworkActivity/region/YYYY/MM/DD/file_name.json.gz
```
Das folgende Beispiel zeigt einen vollständigen Protokolldatei-Objektnamen für Datenereignisaggregationen:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/Account ID/CloudTrail-Aggregated/region/YYYY/MM/DD/file_name.json.gz
```
**Anmerkung**
Bei Organisationstrails enthält der Objektname der Protokolldatei im S3-Bucket die ID der Organisationseinheit im Pfad, und zwar wie folgt:
```
amzn-s3-demo-bucket/prefix_name/AWSLogs/O-ID/Account ID/CloudTrail/Region/YYYY/MM/DD/file_name.json.gz
```
Zum Abrufen einer Protokolldatei können Sie die Amazon-S3-Konsole, die Amazon-S3-Befehlszeilenschnittstelle (CLI) oder die API verwenden.
**Suchen Sie Protokolldateien mit der Amazon-S3-Konsole wie folgt**
1. Öffnen Sie die Amazon S3-Konsole.
1. Wählen Sie den Bucket aus, den Sie angegeben haben.
1. Navigieren Sie durch die Objekthierarchie, bis Sie die gewünschte Protokolldatei finden.
Alle Protokolldateien haben eine GZ-Erweiterung.
Sie navigieren dabei durch eine Objekthierarchie, die dem folgenden Beispiel ähnelt; Bucket-Name, Konto-ID, Region und Datum sind jedoch anders.
```
All Buckets
amzn-s3-demo-bucket
AWSLogs
123456789012
CloudTrail
us-west-1
2014
06
20
```
Eine Protokolldatei für die obige Objekthierarchie sieht wie folgt aus:
```
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
```
**Anmerkung**
In seltenen Fällen kann es vorkommen, dass Sie Protokolldateien erhalten, die eines oder mehrere doppelte Ereignisse enthalten. In den meisten Fällen haben doppelte Ereignisse dieselbe `eventID`. Weitere Informationen zum Feld `eventID` finden Sie unter [CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md).
# Deine CloudTrail Logdateien herunterladen
Protokolldateien haben das Format JSON. Wenn Sie ein Add-On für die Anzeige von JSON installiert haben, können Sie die Dateien direkt in Ihrem Browser anzeigen. Doppelklicken Sie auf den Namen der Protokolldatei im Bucket, um ein neues Browserfenster oder eine neue Registerkarte zu öffnen. Die JSON-Datei wird in einem lesbaren Format angezeigt.
CloudTrail Protokolldateien sind Amazon S3 S3-Objekte. Sie können die Amazon S3 S3-Konsole, die AWS Command Line Interface (CLI) oder die Amazon S3 S3-API verwenden, um Protokolldateien abzurufen.
Weitere Informationen finden Sie in der [Amazon S3 S3-Objektübersicht](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingObjects.html) im *Amazon Simple Storage Service-Benutzerhandbuch.*
Im folgenden Verfahren wird beschrieben, wie Sie eine Protokolldatei mit der AWS-Managementkonsole herunterladen.
**So laden Sie eine Protokolldatei herunter und lesen sie**
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie den Bucket und die Protokolldatei, die Sie herunterladen möchten.
1. Wählen Sie **Download** oder **Download as** und befolgen Sie die Anweisungen, um die Datei zu speichern. Hierdurch wird die Datei in einem komprimierten Format gespeichert.
**Anmerkung**
Einige Browser, wie beispielsweise Chrome, extrahieren die Protokolldatei automatisch für Sie. Wenn Ihr Browser dies unterstützt, fahren Sie mit Schritt 5 fort.
1. Verwenden Sie ein Produkt wie [7-Zip](https://www.7-zip.org/), um die Protokolldatei zu extrahieren.
1. Öffnen Sie die Protokolldatei in einem Texteditor wie Notepad\$1\$1.
Weitere Informationen über die Ereignis-Felder, die in einem Protokolldateieintrag angezeigt werden können, finden Sie unter [CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md).
AWS arbeitet mit externen Spezialisten für Protokollierung und Analyse zusammen, um Lösungen bereitzustellen, die CloudTrail Ergebnisse verwenden. Weitere Informationen finden Sie unter [AWS CloudTrail Partner](https://aws.amazon.com/cloudtrail/partners/).
**Anmerkung**
Sie können den **Ereignisverlauf** auch verwenden, um Ereignisse im Zusammenhang mit dem Erstellen, Aktualisieren und Löschen von API-Aktivitäten während der letzten 90 Tage nachzuschlagen.
Weitere Informationen finden Sie unter [Mit der CloudTrail Ereignishistorie arbeiten](view-cloudtrail-events.md).