Protokollieren von Insights-Ereignissen mit dem AWS CLI - AWS CloudTrail
Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLIProtokollieren von Insights-Ereignissen für einen Ereignisdatenspeicher mit dem AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollieren von Insights-Ereignissen mit dem AWS CLI

Sie können Ihre Trails und Ereignisdatenspeicher so konfigurieren, dass Insights-Ereignisse per AWS CLI protokolliert werden.

Anmerkung

Um Insights-Ereignisse in Bezug auf die API-Aufrufrate zu protokollieren, muss der Trail- oder Event-Datenspeicher write Verwaltungsereignisse protokollieren. Um Insights-Ereignisse entsprechend der API-Fehlerrate zu protokollieren, muss der Trail- oder Event-Datenspeicher Ereignisse protokollieren read oder write verwalten.

Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI

Um die aktuellen Insights-Selektoren für einen Trail zurückzugeben, führen Sie den get-insight-selectors Befehl aus.

aws cloudtrail get-insight-selectors --trail-name TrailName

Die folgende Beispielantwort zeigt die Insights-Selektoren für einen Trail mit dem Namen. insights-trail

{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
    "InsightSelectors": [
        {
            "InsightType": "ApiCallRateInsight"
        },
        {
            "InsightType": "ApiErrorRateInsight"
        }
    ]
}

Wenn für den Trail Insights nicht aktiviert ist, gibt der get-insight-selectors Befehl die folgende Fehlermeldung zurück: „Beim Aufrufen der GetInsightSelectors Operation ist ein Fehler aufgetreten (InsightNotEnabledException): Trail arn:aws:cloudtrail:us-east- 1:123456789012:trail/TrailName does not have Insights enabled. Edit the trail settings to enable Insights, and then try the operation again.“

Führen Sie den Befehl put-insight-selectors aus, um Ihren Trail für die Protokollierung von Insights-Ereignissen zu konfigurieren. Im folgenden Beispiel wird veranschaulicht, wie Sie Ihren Trail für Insights-Ereignisse konfigurieren. Insights-Selektor-Werte können ApiCallRateInsight und/oder ApiErrorRateInsight sein.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

Das folgende Ergebnis enthält die Auswahl für Insights-Ereignisse, die für den Trail konfiguriert wurde.

{
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
 }

Protokollieren von Insights-Ereignissen für einen Ereignisdatenspeicher mit dem AWS CLI

Um Insights in einem Ereignisdatenspeicher zu aktivieren, benötigen Sie einen Quellereignisdatenspeicher, der Verwaltungsereignisse protokolliert, und einen Zielereignisdatenspeicher, der Insights-Ereignisse protokolliert.

Führen Sie den Befehl get-insight-selectors aus, um zu überprüfen, ob Insights-Ereignisse in einem Ereignisdatenspeicher aktiviert sind.

aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Führen Sie den Befehl get-event-data-store aus, um zu überprüfen, ob Insights-Ereignisse oder Verwaltungsereignisse in einem Ereignisdatenspeicher aktiviert sind.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE

Wenn ein Ereignisdatenspeicher für den Empfang von Insights-Ereignissen konfiguriert ist, eventCategory wird er auf gesetztInsight.

Das folgende Verfahren zeigt, wie Sie die Ziel- und Quellereignisdatenspeicher erstellen und anschließend Insights-Ereignisse aktivieren.

  1. Führen Sie den Befehl aws cloudtrail create-event-data-store aus, um einen Zielereignisdatenspeicher zu erstellen, der Insights-Ereignisse sammelt. Der Wert für eventCategory muss Insight sein. retention-period-daysErsetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten.

    Wenn Sie mit dem Verwaltungskonto für eine AWS Organizations -Organisation angemeldet sind, geben Sie den Parameter --organization-enabled an, wenn Sie Ihrem delegierten Administrator Zugriff auf den Ereignisdatenspeicher gewähren möchten.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    Nachfolgend finden Sie eine Beispielantwort.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}

    Sie verwenden die ARN (oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter --insights-destination in Schritt 3.

  2. Um einen Quellereignisdatenspeicher zu erstellen, der Verwaltungsereignisse protokolliert, führen Sie den Befehl aws cloudtrail create-event-data-store aus. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse. Sie müssen keine erweiterten Ereignisselektoren angeben, um alle Verwaltungsereignisse zu protokollieren. retention-period-daysErsetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten. Wenn Sie einen Datenspeicher für Organisationsereignisse erstellen, fügen Sie den Parameter --organization-enabled hinzu.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    Nachfolgend finden Sie eine Beispielantwort.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}

    Sie verwenden die ARN (oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter --event-data-store in Schritt 3.

  3. Führen Sie den Befehl put-insight-selectors aus, um Insights-Ereignisse zu aktivieren. Insights-Selektorwerte können ApiCallRateInsight und/oder ApiErrorRateInsight sein. Geben Sie für den Parameter --event-data-store den ARN (oder das ID-Suffix der ARN) des Quellereignisdatenspeichers an, der Verwaltungsereignisse protokolliert und Insights aktiviert. Geben Sie für den Parameter --insights-destination den ARN (oder das ID-Suffix des ARN) des Zielereignisdatenspeichers an, der Insights-Ereignisse protokolliert.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    Das folgende Ergebnis zeigt den Insights-Ereignisselektor, der für den Ereignisdatenspeicher konfiguriert wurde.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

Nachdem Sie CloudTrail Insights zum ersten Mal in einem Ereignisdatenspeicher aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.