Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wie CloudTrail funktioniert
Sie haben automatisch Zugriff auf den CloudTrail Eventverlauf, wenn Sie Ihren erstellen AWS-Konto. Der Ereignisverlauf stellt eine anzeigbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der Verwaltungsereignisse der letzten 90 Tage in einer AWS-Region bereit.
Erstellen Sie einen Trail oder einen Ereignisdatenspeicher in CloudTrail Lake, um Aktivitäten und Ereignisse in Ihrer AWS-Konto über 90 Tage hinaus fortlaufend aufzuzeichnen.
Themen
CloudTrail Ereignisverlauf
Sie können Verwaltungsereignisse der letzten 90 Tage ganz einfach in der CloudTrail Konsole einsehen, indem Sie zur Seite Ereignisverlauf gehen. Sie können den Ereignisverlauf auch anzeigen, indem Sie den Befehl aws cloudtrail
lookup-events oder den LookupEvents-API-Vorgang ausführen. Sie können im Ereignisverlauf nach Ereignissen suchen, indem Sie nach Ereignissen für ein einzelnes Attribut filtern. Weitere Informationen finden Sie unter Mit der CloudTrail Ereignishistorie arbeiten.
Der Ereignisverlauf ist nicht mit irgendwelchen Trails oder Ereignisdatenspeichern verknüpft, die in deinem Konto vorhanden sind, und wird auch nicht von Konfigurationsänderungen beeinflusst, die du an deinen Trails oder Ereignisdatenspeichern vornimmst.
Für das Anzeigen der Seite mit dem Ereignisverlauf oder das Ausführen des lookup-events Befehls CloudTrail fallen keine Gebühren an.
CloudTrail See- und Ereignisdatenspeicher
Sie können einen Ereignisdatenspeicher erstellen, um CloudTrail Ereignisse (Verwaltungsereignisse, Datenereignisse, Netzwerkaktivitätsereignisse), CloudTrailInsights-Ereignisse, AWS Audit Manager Beweise, AWS Config Konfigurationselemente oder Ereignisse außerhalb von zu protokollieren AWS.
Ereignisdatenspeicher können Ereignisse aus der aktuellen AWS-Region oder aus allen AWS-Regionen in Ihrem AWS -Konto protokollieren. Ereignisdatenspeicher, die Sie verwenden, um Integration (Integrations) -Ereignisse außerhalb von zu protokollieren, AWS müssen nur für eine einzelne Region bestimmt sein; sie können keine Ereignisdatenspeicher für mehrere Regionen sein.
Wenn Sie eine Organisation in erstellt haben AWS Organizations, können Sie einen Organisations-Ereignisdatenspeicher erstellen, der alle Ereignisse für alle AWS -Konten in dieser Organisation protokolliert. Organisations-Ereignisdatenspeicher können für alle AWS -Regionen oder die aktuelle Region gelten. Organisations-Ereignisdatenspeicher müssen im Verwaltungskonto oder im Konto eines delegierten Administrators erstellt werden. Sobald sie auf eine Organisation angewendet werden, gelten sie automatisch auch für alle Mitgliedskonten in der Organisation. Mitgliedskonten können den Organisations-Ereignisdatenspeicher sehen, diesen aber weder ändern noch löschen. Ereignisdatenspeicher einer Organisation können nicht zum Sammeln von Ereignissen außerhalb von verwendet werden AWS. Weitere Informationen finden Sie unter Informationen zu den Datenspeichern von Organisationsereignissen.
Standardmäßig werden alle Ereignisse in einem Ereignisdatenspeicher von verschlüsselt CloudTrail. Beim Konfigurieren eines Ereignisdatenspeichers können Sie wahlweise einen eigenen verwenden AWS KMS key. Bei Nutzung eines eigenen KMS-Schlüssels fallen AWS KMS -Kosten für die Ver- und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden. Weitere Informationen finden Sie unter Verschlüsselung von CloudTrail Protokolldateien, Digest-Dateien und Ereignisdatenspeichern mit AWS KMS Schlüsseln (SSE-KMS).
Die folgende Tabelle enthält Informationen über die Aufgaben, die mit Ereignisdatenspeichern durchgeführt werden können.
| Aufgabe | Beschreibung |
|---|---|
|
Sie können CloudTrail Lake-Dashboards verwenden, um Veranstaltungstrends für die Ereignisdatenspeicher in Ihrem Konto zu sehen. Sie können verwaltete Dashboards anzeigen, benutzerdefinierte Dashboards erstellen und das Highlights-Dashboard aktivieren, um die Highlights Ihrer von Lake kuratierten und verwalteten Veranstaltungsdaten zu sehen. CloudTrail |
|
|
Konfigurieren Sie den Ereignisdatenspeicher so, dass nur lesbare, nur schreibbare oder alle Verwaltungsereignisse protokolliert werden. Standardmäßig protokollieren die Ereignisdatenspeicher Verwaltungsereignisse. Sie können Verwaltungsereignisse nach den folgenden erweiterten Ereignisauswahlfeldern filtern: |
|
|
Sie können erweiterte Ereignisselektoren verwenden, um detaillierte Selektoren zu erstellen, um nur die Datenereignisse zu protokollieren, die für Sie von Interesse sind. Sie können beispielsweise nach dem |
|
|
Konfigurieren Sie Ihren Ereignisdatenspeicher so, dass Netzwerkaktivitätsereignisse protokolliert werden. Sie können erweiterte Event-Selektoren verwenden, um nach den |
|
Konfigurieren Sie Ihre Ereignisdatenspeicher für die Protokollierung von Insights-Ereignissen, damit Sie ungewöhnliche Aktivitäten, die mit Aufrufen der Verwaltungs-API verbunden sind, identifizieren und darauf reagieren können. Weitere Informationen finden Sie unter Mit CloudTrail Insights arbeiten. Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail
– Preise |
|
Sie können Trail-Ereignisse in einen neuen oder vorhandenen Ereignisdatenspeicher kopieren, um einen point-in-time Snapshot der im Trail protokollierten Ereignisse zu erstellen. |
|
Sie können einen Verbund zu einem Ereignisdatenspeicher einrichten, um die mit dem Ereignisdatenspeicher verbundenen Metadaten im - AWS Glue Datenkatalog zu sehen und SQL-Abfragen über die Ereignisdaten mit Amazon Athena durchzuführen. Mithilfe der im AWS Glue -Datenkatalog gespeicherten Tabellenmetadaten kann die Athena-Abfrage-Engine wissen, wie die Daten, die Sie abfragen möchten, gefunden, gelesen und verarbeitet werden. |
|
Aufnahme in einen Ereignisdatenspeicher stoppen oder starten |
Sie können die Aufnahme von Ereignissen in Ereignisdatenspeichern, die CloudTrail Verwaltungs- und Datenereignisse oder AWS Config -Konfigurationselemente erfassen, beenden und starten. |
Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS |
Sie können CloudTrail Lake-Integrationen verwenden, um Benutzeraktivitätsdaten außerhalb von zu protokollieren und zu speichern AWS; aus beliebigen Quellen in Ihren Hybridumgebungen, z. B. interne oder On-Premises oder in der Cloud gehostete SaaS-Anwendungen, virtuelle Maschinen oder Container. Informationen zu verfügbaren Integrationspartnern finden Sie unter AWS CloudTrail Lake-Integrationen |
Die CloudTrail Konsole enthält Beispiele für Abfragen, die Ihnen dabei helfen können, Ihre eigenen Abfragen zu schreiben. |
|
Abfragen in CloudTrail werden in SQL erstellt. Sie können eine Abfrage auf der Registerkarte CloudTrail Lake Editor erstellen, indem Sie die Abfrage von Grund auf in SQL schreiben oder eine gespeicherte oder Beispielabfrage öffnen und bearbeiten. |
|
|
Wenn Sie eine Abfrage ausführen, können Sie die Abfrageergebnisse in einem S3-Bucket speichern. |
|
Sie können eine CSV-Datei herunterladen, die Ihre gespeicherten CloudTrail Lake-Abfrageergebnisse enthält. |
|
Sie können die Integritätsprüfung von CloudTrail Abfrageergebnissen verwenden, um zu ermitteln, ob die Abfrageergebnisse geändert, gelöscht oder unverändert sind, nachdem die Abfrageergebnisse an den S3-Bucket CloudTrail geliefert wurden. |
Weitere Informationen zu CloudTrail Lake finden Sie unterArbeiten mit AWS CloudTrail Lake.
CloudTrail Für -Lake-Ereignisdatenspeicher und -abfragen fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Wenn Sie Abfragen in Lake ausführen, zahlen Sie auf der Grundlage der Menge der gescannten Daten. Weitere Informationen zu CloudTrail Preisen und zum Management der Lake-Kosten finden Sie unter AWS CloudTrail — Preise
CloudTrail Lake-Dashboards
Sie können CloudTrail Lake-Dashboards verwenden, um Veranstaltungstrends für die Ereignisdatenspeicher in Ihrem Konto zu sehen. CloudTrail Lake bietet die folgenden Arten von Dashboards:
-
Verwaltete Dashboards — Sie können ein verwaltetes Dashboard verwenden, um Ereignistrends für einen Ereignisdatenspeicher zu sehen, der Verwaltungsereignisse, Datenereignisse oder Insights-Ereignisse sammelt. Diese Dashboards stehen Ihnen automatisch zur Verfügung und werden von Lake verwaltet CloudTrail . CloudTrail bietet 14 verwaltete Dashboards zur Auswahl. Sie können verwaltete Dashboards manuell aktualisieren. Sie können die Widgets für diese Dashboards nicht ändern, hinzufügen oder entfernen. Sie können jedoch ein verwaltetes Dashboard als benutzerdefiniertes Dashboard speichern, wenn Sie die Widgets ändern oder einen Aktualisierungszeitplan festlegen möchten.
-
Benutzerdefinierte Dashboards — Mit benutzerdefinierten Dashboards können Sie Ereignisse in jedem beliebigen Ereignisdatenspeichertyp abfragen. Sie können bis zu 10 Widgets zu einem benutzerdefinierten Dashboard hinzufügen. Sie können ein benutzerdefiniertes Dashboard manuell aktualisieren oder einen Aktualisierungszeitplan festlegen.
-
Highlights-Dashboards — Aktivieren Sie das Highlights-Dashboard, um einen at-a-glance Überblick über die AWS Aktivitäten zu erhalten, die von den Ereignisdatenspeichern in Ihrem Konto erfasst wurden. Das Highlights-Dashboard wird von Ihrem Konto verwaltet CloudTrail und enthält Widgets, die für Ihr Konto relevant sind. Die im Highlights-Dashboard angezeigten Widgets sind für jedes Konto einzigartig. Diese Widgets könnten festgestellte abnormale Aktivitäten oder Anomalien aufdecken. Ihr Highlights-Dashboard könnte beispielsweise das Widget „Kontoübergreifender Zugriff insgesamt“ enthalten, das anzeigt, ob es zu einer Zunahme abnormaler kontoübergreifender Aktivitäten kommt. CloudTrail aktualisiert das Highlights-Dashboard alle 6 Stunden. Das Dashboard zeigt die Daten der letzten 24 Stunden aus dem letzten Update.
Jedes Dashboard besteht aus einem oder mehreren Widgets und jedes Widget steht für eine SQL-Abfrage.
Weitere Informationen finden Sie unter CloudTrail Lake-Dashboards.
CloudTrail Pfade
Ein Trail ist eine Konfiguration, durch die Ereignisse an den von Ihnen angegebenen Amazon-S3-Bucket übermittelt werden. Sie können mit Amazon CloudWatch Logs und Amazon auch Ereignisse in einem Trail liefern und analysieren EventBridge.
Trails können CloudTrail Verwaltungsereignisse, Daten-, Netzwerkaktivitäts- und Insights-Ereignisse protokollieren.
Sie können sowohl Trails mit mehreren Regionen als auch Trails mit nur einer Region für Ihren erstellen. AWS-Konto
- Multi-Region-Trails
-
Wenn Sie einen Trail für mehrere Regionen erstellen, CloudTrail zeichnet er Ereignisse in allen, AWS-Regionen die in Ihrem aktiviert sind, auf AWS-Konto und sendet die CloudTrail Ereignisprotokolldateien an einen von Ihnen angegebenen S3-Bucket. Als bewährte Methode empfehlen wir, einen Trail mit mehreren Regionen zu erstellen, da er Aktivitäten in allen aktivierten Regionen erfasst. Trails, die mit der CloudTrail Konsole erstellt wurden, sind multiregionale Trails. Sie können einen Einzel-Region-Trail in einen Trail für mehrere Regionen konvertieren, indem Sie die verwenden. AWS CLI Weitere Informationen finden Sie unter Grundlegendes zu Wanderwegen und optionalen Regionen, Erstellen eines Trails mit der Konsole und Umwandlung eines Trails mit einer einzelnen Region in einen Trail mit mehreren Regionen.
- Wanderwege für eine einzelne Region
-
Beim Erstellen eines Trails für eine einzelne Region werden nur die Ereignisse in der betreffenden Region CloudTrail aufgezeichnet. Der Service gibt die CloudTrail Ereignisprotokolldateien in einen Amazon S3 S3-Bucket aus, den Sie zuvor angegeben haben. Sie können nur einen einzelnen Regions-Trail erstellen, indem Sie die AWS CLI verwenden. Wenn Sie zusätzliche individuelle Trails erstellen, können Sie veranlassen, dass diese Trails CloudTrail Ereignisprotokolldateien an denselben S3-Bucket oder an separate Buckets senden. Das ist die Standardoption beim Erstellen eines Trails bei Verwendung der AWS CLI oder der CloudTrail API. Weitere Informationen finden Sie unter Trails erstellen, aktualisieren und verwalten mit dem AWS CLI.
Anmerkung
Für beide Arten von Trails können Sie einen Amazon-S3-Bucket aus einer beliebigen Region angeben.
Wenn Sie eine Organisation in erstellt haben AWS Organizations, können Sie einen Organisations-Trail erstellen, der alle Ereignisse für alle AWS -Konten in dieser Organisation protokolliert. Organisations-Trails können für alle AWS -Regionen oder die aktuelle Region gelten. Organisations-Trails müssen im Verwaltungskonto oder mit dem Konto eines delegierten Administrators erstellt werden. Sobald sie auf eine Organisation angewendet werden, gelten sie automatisch auch für alle Mitgliedskonten in der Organisation. Mitgliedskonten können den Organisations-Trail sehen, diesen aber weder ändern noch löschen. Standardmäßig wird Mitgliedskonten kein Zugriff auf die Protokolldateien für den Organisations-Trail im Amazon-S3-Bucket gewährt.
Wenn Sie einen Trail in der CloudTrail Konsole anlegen, werden Ihre Ereignisprotokolldateien und Digest-Dateien standardmäßig mit einem KMS-Schlüssel verschlüsselt. Wenn Sie die SSE-KMS-Verschlüsselung nicht aktivieren möchten, werden Ihre Ereignisprotokolldateien und Digest-Dateien mit serverseitiger Amazon S3 S3-Verschlüsselung (SSE) verschlüsselt. Sie können Ihre Protokolldateien beliebig lange in Ihrem -Bucket speichern. Außerdem können Sie Amazon-S3-Lebenszyklusregeln definieren, um Protokolldateien automatisch zu archivieren oder zu löschen. Wenn Sie über die Protokolldateilieferung und -validierung informiert werden möchten, können Sie Amazon-SNS-Benachrichtigungen einrichten.
CloudTrail veröffentlicht Protokolldateien mehrfach pro Stunde, ca. alle 5 Minuten. Diese Protokolldateien enthalten API-Aufrufe von Services des Kontos, das CloudTrail unterstützt. Weitere Informationen finden Sie unter CloudTrail unterstützte Dienste und Integrationen.
Anmerkung
CloudTrail Normalerweise sendet das Protokoll innerhalb von 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter AWS CloudTrail Service Level Agreement
Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), CloudTrail versucht, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen, und für diese attempted-to-deliver Ereignisse fallen Standardgebühren an. CloudTrail Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.
CloudTrail erfasst Aktionen, die direkt vom Benutzer oder von einem AWS -Service im Namen des Benutzers vorgenommen wurden. Beispiel: Ein AWS CloudFormation CreateStack Aufruf kann zu zusätzlichen API-Aufrufen von Amazon EC2, Amazon RDS, Amazon EBS oder sonstigen Services (gemäß Anforderung der AWS CloudFormation -Vorlage) führen. Dieses Verhalten ist normal und wird erwartet. Sie können über das invokedby CloudTrail Ereignisfeld feststellen, ob die Aktion von einem AWS -Service durchgeführt wurde.
Die folgende Tabelle enthält Informationen über die durchzuführenden Aufgaben auf Trails.
| Aufgabe | Beschreibung |
|---|---|
|
Konfigurieren Sie die Trails so, dass nur lesbare, nur schreibbare oder alle Verwaltungsereignisse protokolliert werden. |
|
|
Sie können erweiterte Ereignisselektoren verwenden, um detaillierte Selektoren zu erstellen, um nur die Datenereignisse zu protokollieren, die für Sie von Interesse sind. Sie können beispielsweise nach dem |
|
|
Konfigurieren Sie Ihre Trails so, dass Netzwerkaktivitätsereignisse protokolliert werden. Sie können erweiterte Event-Selektoren so konfigurieren, dass sie nach den |
|
|
Konfigurieren Sie Ihre Trails für die Protokollierung von Insights-Ereignissen, damit Sie ungewöhnliche Aktivitäten, die mit Aufrufen der Verwaltungs-API verbunden sind, identifizieren und darauf reagieren können. Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail – Preise |
|
|
Nachdem Sie CloudTrail Insights on a Trail aktiviert haben, können Sie mit der CloudTrail Konsole oder der Insights-Ereignisse bis zu 90 Tage ansehen AWS CLI. |
|
|
Nachdem Sie CloudTrail Insights on a Trail aktiviert haben, können Sie eine CSV- oder JSON-Datei mit den Insights-Ereignissen der letzten 90 Tage, die im Trail aufgetreten sind, herunterladen. |
|
|
Sie können vorhandene Trail-Ereignisse in einen CloudTrail Lake-Ereignisdatenspeicher kopieren, um einen point-in-time Snapshot der im Trail protokollierten Ereignisse zu erstellen. |
|
|
Abonnieren Sie ein Thema, um Benachrichtigungen darüber zu erhalten, dass Protokolldateien in Ihrem Bucket bereitgestellt wurden. Amazon SNS kann Sie auf mehrere Arten benachrichtigen, unter anderem programmgesteuert mit Amazon Simple Queue Service. AnmerkungWenn Sie SNS-Benachrichtigungen über Bereitstellungen von Protokolldateien aus allen Regionen erhalten wollen, geben Sie für den Trail nur ein SNS-Thema an. Informationen zur programmgesteuerten Verarbeitung aller Ereignisse finden Sie unter Verwendung der CloudTrail Processing Library. |
|
|
Suchen Sie nach Ihren Protokolldateien und laden Sie sie aus dem S3-Bucket herunter. |
|
|
Sie können Ihren Trail für das Senden von Ereignissen an CloudWatch Protokolle konfigurieren. Sie können dann CloudWatch Protokolle verwenden, um das Konto im Hinblick auf bestimmte API-Aufrufe und Ereignisse zu überwachen. AnmerkungWenn Sie einen Trail mit mehreren Regionen so konfigurieren, dass Ereignisse an eine CloudWatch Protokollgruppe CloudTrail gesendet werden, werden Ereignisse aus allen Regionen an eine einzelne Protokollgruppe gesendet. |
|
|
Die Verschlüsselung Ihrer Protokoll- und Digest-Dateien mit einem KMS-Schlüssel bietet eine zusätzliche Sicherheitsebene für Ihre Daten. CloudTrail |
|
|
Die Integritätsvalidierung für Protokolldateien hilft Ihnen, zu überprüfen, ob die Protokolldateien seit der Bereitstellung CloudTrail unverändert geblieben sind. |
|
|
Sie können Protokolldateien zwischen Konten teilen. |
|
|
Sie können Protokolldateien aus mehrere Konten in einem einzelnen Bucket zusammenführen. |
|
|
Analysieren Sie Ihre CloudTrail Ausgabe mit einer Partnerlösung, die sich in integrieren lässt CloudTrail. Partnerlösungen bieten eine breite Palette von Funktionen wie die Änderungsnachverfolgung, Problembehebung und Sicherheitsanalyse. |
Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an Ihren S3-Bucket senden, CloudTrail indem Sie einen Trail erstellen. Es fallen jedoch Speichergebühren für Amazon S3 an. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preise
CloudTrail Insights-Ereignisse
AWS CloudTrail Insights hilft AWS -Benutzern dabei, ungewöhnliche Aktivitäten im Zusammenhang mit API-Aufrufraten und API-Fehlerraten zu identifizieren und darauf zu reagieren. Dazu werden CloudTrail Verwaltungsereignisse fortlaufend analysiert. CloudTrail Insights analysiert Ihre normalen Muster von API-Aufrufvolumen und API-Fehlerraten, auch Baseline genannt, und generiert Insights-Ereignisse, wenn das Aufrufvolumen oder die Fehlerraten außerhalb der normalen Muster liegen. Insights-Ereignisse zur API-Aufrufrate werden für die write Verwaltung generiert APIs, und Insights-Ereignisse zur API-Fehlerrate werden read sowohl für die write Verwaltung generiert APIs.
Standardmäßig werden für CloudTrail Trails und Ereignisdatenspeicher keine Insights-Ereignisse protokolliert. Sie müssen Ihren Trail oder Ereignisdatenspeicher für die Protokollierung von Insights-Ereignissen konfigurieren. Weitere Informationen erhalten Sie unter Protokollieren von Insights-Ereignissen mit der CloudTrail Konsole und Protokollieren von Insights-Ereignissen mit dem AWS CLI.
Für Insights-Ereignisse fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter AWS CloudTrail – Preise
Anzeigen von Insights-Ereignissen für Trails und Ereignisdatenspeicher
CloudTrail unterstützt Insights-Ereignisse sowohl für Trails als auch für Ereignisdatenspeicher. Es gibt jedoch einige Unterschiede darin, wie Sie Insights-Ereignisse anzeigen und darauf zugreifen.
Anzeigen von Insights-Ereignissen für Trails
Wenn Sie Insights-Ereignisse für einen Trail aktiviert haben und ungewöhnliche Aktivitäten CloudTrail erkannt werden, werden Insights-Ereignisse in einem anderen Ordner oder Präfix im Ziel-S3-Bucket für Ihren Trail protokolliert. Sie können die Art des Insights und den Zeitraum des Vorfalls auch abrufen, indem Sie Insights-Ereignisse auf der CloudTrail Konsole anzeigen. Weitere Informationen finden Sie unter Insights-Ereignisse für Trails mit der Konsole anzeigen.
Nachdem Sie CloudTrail Insights zum ersten Mal auf einem Trail aktiviert haben, CloudTrail kann es bis zu 36 Stunden dauern, bis Insights-Ereignisse bereitgestellt werden, nachdem Sie Insights-Ereignisse auf einem Trail aktiviert haben, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten erkannt werden.
Anzeigen von Insights-Ereignissen für Ereignisdatenspeicher
Um Insights-Ereignisse in CloudTrail Lake zu protokollieren, benötigen Sie einen Zielereignisdatenspeicher, der Insights-Ereignisse protokolliert, und einen Quellereignisdatenspeicher, der Insights aktiviert und Verwaltungsereignisse protokolliert. Weitere Informationen finden Sie unter Erstellen eines Ereignisdatenspeichers für Insights-Ereignisse mit der Konsole.
Nachdem Sie CloudTrail Insights zum ersten Mal auf dem Ereignisdatenspeicher aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten erkannt werden.
Wenn Sie CloudTrail Insights für einen Quellereignisdatenspeicher aktiviert haben und ungewöhnliche Aktivitäten CloudTrail erkannt werden, werden CloudTrail Insights-Ereignisse an Ihren Zielereignisdatenspeicher gesendet. Sie können dann Ihren Zielereignisdatenspeicher abfragen, um Informationen zu Ihren Insights-Ereignissen zu erhalten, und können die Abfrageergebnisse optional in einem S3-Bucket speichern. Weitere Informationen erhalten Sie unter Abfrage erstellen oder bearbeiten von Abfragen mit der CloudTrail Konsole und Beispielabfragen mit der CloudTrail Konsole anzeigen.
Sie können das Insights-Ereignis-Dashboard verwenden, um die Insights-Ereignisse in Ihrem Zielereignisdatenspeicher zu visualisieren. Weitere Informationen zu Lake-Dashboards finden Sie unter CloudTrail Lake-Dashboards.
CloudTrail Kanäle
CloudTrail unterstützt zwei Arten von Kanälen:
- Kanäle für CloudTrail Lake-Integrationen mit Ereignisquellen außerhalb von AWS
-
CloudTrail Lake verwendet Kanäle, um Ereignisse außerhalb von CloudTrail Lake zu bringen, und zwar von externen Partnern, die mit Ihnen zusammenarbeiten CloudTrail, oder aus Ihren eigenen Quellen AWS in Lake. Wenn Sie einen Kanal erstellen, wählen Sie einen oder mehrere Ereignisdatenspeicher aus, um Ereignisse zu speichern, die von der Kanalquelle stammen. Sie können die Zielereignisdatenspeicher für einen Kanal nach Bedarf ändern, sofern die Zielereignisdatenspeicher so eingestellt sind, dass sie Ereignisse protokollieren. Wenn Sie einen Kanal für Ereignisse eines externen Partners erstellen, stellen Sie dem Partner oder der Quellanwendung einen Kanal-ARN zur Verfügung. Die dem Kanal beigefügte Ressourcenrichtlinie ermöglicht es der Quelle, Ereignisse über den Kanal zu übertragen. Weitere Informationen finden Sie unter Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS und
CreateChannelin der AWS CloudTrail -API-Referenz. - Serviceverknüpfte Kanäle
-
AWS -Dienste können einen serviceverknüpften Kanal erstellen, um CloudTrail Ereignisse in Ihrem Namen zu empfangen. Der AWS -Service, der den serviceverknüpften Kanal erstellt, konfiguriert erweiterte Ereignis-Selektoren für den Kanal und gibt an, ob der Kanal für alle Regionen oder die aktuelle Region gilt.
Sie können die CloudTrail Konsole oder AWS CLIzum Anzeigen von Informationen über alle CloudTrail dienstverknüpften Kanäle verwenden, die von erstellt wurden. AWS-Services
