Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Protokollieren von Insights-Ereignissen mit dem AWS CLI
Sie können Ihre Trails und Ereignisdatenspeicher so konfigurieren, dass Insights-Ereignisse per AWS CLI protokolliert werden.
**Anmerkung**
Für Management-Ereignisse Insights: Um Insights-Ereignisse in Bezug auf die API-Aufrufrate zu protokollieren, muss der Trail- oder Event-Datenspeicher `write` Verwaltungsereignisse protokollieren. Um Insights-Ereignisse anhand der API-Fehlerrate zu protokollieren, muss der Trail- oder Event-Datenspeicher protokollieren `read` oder `write` verwalten.
Für Einblicke in Datenereignisse: Um Insights-Ereignisse anhand der API-Aufrufrate oder der API-Fehlerrate protokollieren zu können, muss der Trail `read` entweder `write` Datenereignisse protokollieren.
**Topics**
+ [Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI](#insights-events-CLI-enable-trails)
+ [Protokollieren von Insights-Ereignissen für einen Ereignisdatenspeicher mit dem AWS CLI](#insights-events-CLI-enable-lake)
## Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI
Um die aktuellen Insights-Selektoren für einen Trail zurückzugeben, führen Sie den `get-insight-selectors` Befehl aus.
```
aws cloudtrail get-insight-selectors --trail-name {{TrailName}}
```
Die folgende Beispielantwort zeigt die Insights-Selektoren für einen Trail mit dem Namen. `insights-trail`
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
"InsightSelectors": [
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Management",
"Data"
]
},
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Management",
"Data"
]
}
]
}
```
Wenn für den Trail Insights nicht aktiviert ist, gibt der **get-insight-selectors** Befehl die folgende Fehlermeldung zurück: „Beim Aufrufen der GetInsightSelectors Operation ist ein Fehler aufgetreten (InsightNotEnabledException): Trail arn:aws:cloudtrail:us-east- 1:123456789012:trail/TrailName does not have Insights enabled. Edit the trail settings to enable Insights, and then try the operation again.“
Führen Sie den Befehl `put-insight-selectors` aus, um Ihren Trail für die Protokollierung von Insights-Ereignissen zu konfigurieren. Im folgenden Beispiel wird veranschaulicht, wie Sie Ihren Trail für Insights-Ereignisse konfigurieren. Insights-Selektor-Werte können `ApiCallRateInsight` und/oder `ApiErrorRateInsight` sein. Jeder EventCategory kann für die Verwaltung oder für Daten oder für beides aktiviert EventCategory werden. InsightType
```
aws cloudtrail put-insight-selectors --trail-name {{TrailName}} --insight-selectors '[{"InsightType": "ApiCallRateInsight", "EventCategories": ["Data"]},{"InsightType": "ApiErrorRateInsight", "EventCategories": ["Data", "Management"]}]'
```
Das folgende Ergebnis enthält die Auswahl für Insights-Ereignisse, die für den Trail konfiguriert wurde.
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/{{TrailName}}",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight",
"EventCategories": [
"Data"
]
},
{
"InsightType": "ApiCallRateInsight",
"EventCategories": [
"Data",
"Management"
]
}
]
}
```
## Protokollieren von Insights-Ereignissen für einen Ereignisdatenspeicher mit dem AWS CLI
Um Insights in einem Ereignisdatenspeicher zu aktivieren, benötigen Sie einen Quellereignisdatenspeicher, der Verwaltungsereignisse protokolliert, und einen Zielereignisdatenspeicher, der Insights-Ereignisse protokolliert.
Führen Sie den Befehl **get-insight-selectors** aus, um zu überprüfen, ob Insights-Ereignisse in einem Ereignisdatenspeicher aktiviert sind.
```
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
Führen Sie den Befehl **get-event-data-store** aus, um zu überprüfen, ob Insights-Ereignisse oder Verwaltungsereignisse in einem Ereignisdatenspeicher aktiviert sind.
```
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
```
Wenn ein Ereignisdatenspeicher für den Empfang von Insights-Ereignissen konfiguriert ist, `eventCategory` wird er auf gesetzt`Insight`.
Das folgende Verfahren zeigt, wie Sie die Ziel- und Quellereignisdatenspeicher erstellen und anschließend Insights-Ereignisse aktivieren.
1. Führen Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) aus, um einen Zielereignisdatenspeicher zu erstellen, der Insights-Ereignisse sammelt. Der Wert für `eventCategory` muss `Insight` sein. {{retention-period-days}}Ersetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten.
Wenn Sie mit dem Verwaltungskonto für eine AWS Organizations -Organisation angemeldet sind, geben Sie den Parameter `--organization-enabled` an, wenn Sie Ihrem [delegierten Administrator](cloudtrail-delegated-administrator.md) Zugriff auf den Ereignisdatenspeicher gewähren möchten.
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period {{retention-period-days}} \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
}
```
Sie verwenden die `ARN` (oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter `--insights-destination` in Schritt 3.
1. Um einen Quellereignisdatenspeicher zu erstellen, der Verwaltungsereignisse protokolliert, führen Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) aus. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse. Sie müssen keine erweiterten Ereignisselektoren angeben, um alle Verwaltungsereignisse zu protokollieren. {{retention-period-days}}Ersetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten. Wenn Sie einen Datenspeicher für Organisationsereignisse erstellen, fügen Sie den Parameter `--organization-enabled` hinzu.
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period {{retention-period-days}}
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
}
```
Sie verwenden die `ARN` (oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter `--event-data-store` in Schritt 3.
1. Führen Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) aus, um Insights-Ereignisse zu aktivieren. Insights-Selektorwerte können `ApiCallRateInsight` und/oder `ApiErrorRateInsight` sein. Geben Sie für den Parameter `--event-data-store` den ARN (oder das ID-Suffix der ARN) des Quellereignisdatenspeichers an, der Verwaltungsereignisse protokolliert und Insights aktiviert. Geben Sie für den Parameter `--insights-destination` den ARN (oder das ID-Suffix des ARN) des Zielereignisdatenspeichers an, der Insights-Ereignisse protokolliert.
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
Das folgende Ergebnis zeigt den Insights-Ereignisselektor, der für den Ereignisdatenspeicher konfiguriert wurde.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
Nachdem Sie CloudTrail Insights zum ersten Mal in einem Ereignisdatenspeicher aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.