Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Ereignisdatenspeicher für CloudTrail Ereignisse können CloudTrail Verwaltungsereignisse, Datenereignisse und Netzwerkaktivitätsereignisse umfassen. **Sie können die Ereignisdaten bis zu 3 653 Tage (etwa 10 Jahre) in einem Ereignisdatenspeicher aufbewahren, wenn Sie die **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** wählen, oder bis zu 2 557 Tage (ca. 7 Jahre), wenn Sie die Preisoption für die Aufbewahrung von sieben Jahren** wählen.
CloudTrail Für Datenspeicher mit Ereignissen in Lake fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/) und[Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
## Um einen Ereignisdatenspeicher für CloudTrail Ereignisse zu erstellen
Gehen Sie wie folgt vor, um einen Ereignisdatenspeicher zu erstellen, der CloudTrail Verwaltungsereignisse, Datenereignisse oder Netzwerkaktivitätsereignisse protokolliert.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Geben Sie auf der Seite **Konfigurieren eines Ereignisdatenspeichers** in **Allgemeine Angaben** einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.
1. Wählen Sie die **Preisoption** aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
Die folgenden Optionen sind verfügbar:
+ **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine verlängerte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.
+ **Standardaufbewahrungsdauer:** 366 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 3 653 Tage.
+ **Preisoption für die Aufbewahrung über sieben Jahre** – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.
+ **Standardaufbewahrungsdauer:** 2 557 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 2 557 Tage.
1. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die **Preisoption mit siebenjähriger Aufbewahrungsdauer** liegen.
CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb `eventTime` des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie `eventTime` älter als 90 Tage sind.
**Anmerkung**
Wenn Sie Trail-Ereignisse in diesen Ereignisdatenspeicher kopieren, CloudTrail wird ein Ereignis nicht kopiert, wenn `eventTime` es älter als der angegebene Aufbewahrungszeitraum ist. Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher behalten möchten (**Aufbewahrungszeitraum** = *oldest-event-in-days* \$1*number-days-to-retain*). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher aufbewahren möchten, würden Sie die Aufbewahrungsdauer auf 90 Tage festlegen.
1. (Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie **Eigene verwenden** aus AWS KMS key. Wählen Sie **Neu**, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie **Bestehend**, um einen vorhandenen KMS-Schlüssel zu verwenden. **Geben Sie unter KMS-Alias** eingeben einen Alias im folgenden Format an `alias/`*MyAliasName*. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, damit Ihr Ereignisdatenspeicher ver- und entschlüsselt werden kann. Weitere Informationen finden Sie unter[Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
**Anmerkung**
Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.
1. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie **Aktivieren** in **Lake-Abfrageverbund**. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -[Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter [Verbund für einen Ereignisdatenspeicher erstellen](query-federation.md).
Wählen Sie **Aktivieren** und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:
1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.
1. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.
1. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.
1. (Optional) Wählen Sie „**Ressourcenrichtlinie aktivieren**“, um Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html), denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.
Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [ressourcenbasierte Standardrichtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).
1. (Optional) Im Bereich **Tags** können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Weitere Informationen zur Verwendung von Tags finden Sie unter [Tagging AWS Resources im Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User Guide AWS *. AWS
1. Wählen Sie **Next** (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.
1. **Wählen Sie auf der Seite Ereignisse** **auswählen die Option **AWS Ereignisse und dann Ereignisse** ausCloudTrail.**
1. Wählen Sie für **CloudTrail Ereignisse** mindestens einen Ereignistyp aus. **Verwaltungsereignisse** ist standardmäßig ausgewählt. Sie können [Verwaltungsereignisse](logging-management-events-with-cloudtrail.md), [Datenereignisse](logging-data-events-with-cloudtrail.md) und [Netzwerkaktivitätsereignisse](logging-network-events-with-cloudtrail.md) zu Ihrem Ereignisdatenspeicher hinzufügen.
1. (Optional) Wählen Sie **Trail-Ereignisse kopieren**, wenn Sie Ereignisse aus einem vorhandenen Trail kopieren möchten, um Abfragen für vergangene Ereignisse auszuführen. Um Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation zu kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Über das Konto eines delegierten Administrators können Trail-Ereignisse nicht in den Ereignisdatenspeicher einer Organisation kopiert werden. Weitere Informationen zu Überlegungen zum Kopieren von Trail-Ereignissen finden Sie unter [Überlegungen zum Kopieren von Trail-Ereignissen](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake).
1. Damit Ihr Ereignisdatenspeicher Ereignisse von allen Konten in einer AWS Organizations -Organisation erfasst, wählen Sie **Für alle Konten in meiner Organisation aktivieren** aus. Sie müssen beim Verwaltungskonto oder beim Konto eines delegierten Administrators der Organisation angemeldet sein, um einen Ereignisdatenspeicher zu erstellen, der Ereignisse für eine Organisation erfasst.
**Anmerkung**
Um Trail-Ereignisse zu kopieren oder Insights-Ereignisse zu aktivieren, müssen Sie beim Verwaltungskonto für Ihre Organisation angemeldet sein.
1. Erweitern Sie **Zusätzliche Einstellungen**, um auszuwählen, ob Ihr Ereignisdatenspeicher Ereignisse für alle AWS-Regionen oder nur für die aktuellen Ereignisse erfassen soll AWS-Region, und wählen Sie aus, ob der Ereignisdatenspeicher Ereignisse aufnimmt. Standardmäßig erfasst der Ereignisdatenspeicher Ereignisse aus allen Regionen in Ihrem Konto und beginnt ab der Erstellung damit, Ereignisse aufzunehmen.
1. Wählen Sie **Nur die aktuelle Region in meinen Ereignisdatenspeicher einbeziehen** aus, um nur Ereignisse einzubeziehen, die in der aktuellen Region protokolliert werden. Wenn Sie diese Option nicht auswählen, enthält der Ereignisdatenspeicher Ereignisse aus allen Regionen.
1. Deaktivieren Sie die Option **Ereignisse aufnehmen**, wenn Sie nicht möchten, dass der Ereignisdatenspeicher mit der Aufnahme von Ereignissen beginnt. Es könnte zum Beispiel sinnvoll sein, die Option **Ereignisse aufnehmen** zu deaktivieren, wenn Sie Trail-Ereignisse kopieren und nicht möchten, dass der Ereignisdatenspeicher zukünftige Ereignisse enthält. Standardmäßig beginnt der Ereignisdatenspeicher mit der Aufnahme von Ereignissen, wenn er erstellt wird.
1. Wenn Ihr Ereignisdatenspeicher Verwaltungsereignisse enthält, haben Sie folgende Optionen zur Wahl. Weitere Informationen zur Verwaltungsereignissen finden Sie unter [Protokollieren von Verwaltungsereignissen](logging-management-events-with-cloudtrail.md).
1. Wählen Sie zwischen **einfacher Ereigniserfassung** und **erweiterter Ereigniserfassung**:
+ Wählen Sie **Einfache Ereigniserfassung**, wenn Sie alle Ereignisse, nur Leseereignisse oder nur Schreibereignisse protokollieren möchten. Sie können sich auch dafür entscheiden, Amazon RDS Data API-Ereignisse auszuschließen AWS Key Management Service und sie auszuschließen.
+ Wählen Sie **Erweiterte Ereigniserfassung**, wenn Sie Verwaltungsereignisse auf der Grundlage der Werte der erweiterten Ereignisauswahlfelder, einschließlich der Felder,,, und`userIdentity.arn`,,,,,,,,,,,,,,,,,,,,,,`eventName`,,,,`eventType`,,`eventSource`,,`sessionCredentialFromConsole`,,,,,,
1. Wenn Sie **Einfache Ereigniserfassung** ausgewählt haben, wählen Sie aus, ob Sie alle Ereignisse, nur Leseereignisse oder nur Schreibereignisse protokollieren möchten. Sie können sich auch dafür entscheiden, Ereignisse der Amazon RDS Data API auszuschließen AWS KMS und sie auszuschließen.
1. Wenn Sie **Advanced Event Collection** ausgewählt haben, treffen Sie die folgenden Auswahlen:
1. Wählen Sie unter **Vorlage für die Protokollauswahl** eine vordefinierte Vorlage oder **Benutzerdefiniert aus, um eine benutzerdefinierte** Konfiguration auf der Grundlage von Feldwerten für die erweiterte Ereignisauswahl zu erstellen.
Sie können aus den folgenden vordefinierten Vorlagen wählen:
+ **Alle Ereignisse protokollieren**: Wählen Sie diese Vorlage, um alle Ereignisse zu protokollieren.
+ **Nur Leseereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Leseereignisse zu protokollieren. Schreibgeschützte Ereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. Ereignisse `Get*` oder`Describe*`.
+ **Nur Schreibereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Schreibereignisse zu protokollieren. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse.
+ **Nur AWS-Managementkonsole Ereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Ereignisse zu protokollieren, die ihren Ursprung in haben AWS-Managementkonsole.
+ ** AWS-Service Ausgelöste Ereignisse ausschließen** — Wählen Sie diese Vorlage, um AWS-Service Ereignisse mit dem Wert `eventType` von und Ereignisse auszuschließen`AwsServiceEvent`, die mit AWS-Service-verknüpften Rollen initiiert wurden (SLRs).
1. (Optional) Geben Sie unter **Selektorname** einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Verwaltungsereignisse von Sitzungen protokollieren“. AWS-Managementkonsole Der Name des Selektors wird als `Name` in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die **JSON-Ansicht** erweitern.
1. Wenn Sie **Benutzerdefiniert wählen, erstellen** **Event-Selektoren unter Erweitert** einen Ausdruck, der auf Feldwerten der erweiterten Ereignisauswahl basiert.
**Anmerkung**
Selektoren unterstützen nicht die Verwendung von Platzhaltern wie. `*` Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können Sie`StartsWith`,, oder verwenden `EndsWith``NotStartsWith`, `NotEndsWith` um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.
1. Wählen Sie aus den folgenden Feldern.
+ **`readOnly`**— `readOnly` kann so gesetzt werden, dass sie einem Wert von `true` oder **`false`entspricht**. Wenn dieser Wert auf gesetzt ist`false`, protokolliert der Ereignisdatenspeicher Verwaltungsereignisse, die nur auf Schreibzugriff beschränkt sind. Schreibgeschützte Verwaltungsereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. OR-Ereignisse. `Get*` `Describe*` Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse. Um sowohl **Lese** - als auch **Schreibereignisse** zu protokollieren, fügen Sie keinen Selektor hinzu. `readOnly`
+ **`eventName`**— `eventName` kann einen beliebigen Operator verwenden. Sie können ihn verwenden, um jedes Verwaltungsereignis wie `CreateAccessPoint` oder ein- oder auszuschließen`GetAccessPoint`.
+ **`userIdentity.arn`**— Ereignisse für Aktionen, die von bestimmten IAM-Identitäten ausgeführt werden, einschließen oder ausschließen. Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Ereignisse, die aus einer AWS-Managementkonsole Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf **gleich** oder ungleich mit dem Wert von **gesetzt** werden. `true`
+ **`eventSource`**— Sie können es verwenden, um bestimmte Ereignisquellen ein- oder auszuschließen. Das `eventSource` ist in der Regel eine Kurzform des Dienstnamens ohne Leerzeichen (Plus)`.amazonaws.com`. Sie könnten beispielsweise `eventSource` **equals** so festlegen, dass nur Amazon EC2-Managementereignisse protokolliert werden. `ec2.amazonaws.com`
+ **`eventType`**— Der [EventType](cloudtrail-event-reference-record-contents.md#ct-event-type), der ein- oder ausgeschlossen werden soll. [Sie können dieses Feld beispielsweise auf ungleich setzen**, `AwsServiceEvent` um Ereignisse** auszuschließen AWS-Service .](non-api-aws-service-events.md)
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. [Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet](filtering-data-events.md#filtering-data-events-conditions)
**Anmerkung**
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie `eventName` ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.
1. Erweitern Sie optional die **JSON-Ansicht**, um Ihre erweiterten Ereignisselektoren als JSON-Block anzuzeigen.
1. Wählen Sie „**Erfassung von Insights-Ereignissen aktivieren**“, um Insights zu aktivieren. Um Insights zu aktivieren, müssen Sie einen [Zielereignisdatenspeicher](query-event-data-store-insights.md#query-event-data-store-insights-procedure) einrichten, der Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher erfasst.
Wenn Sie Insights aktivieren möchten, gehen Sie wie folgt vor.
1. Wählen Sie den Zielereignisspeicher aus, in dem Insights-Ereignisse protokolliert werden sollen. Der Zielereignisdatenspeicher erfasst Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher. Weitere Informationen zum Erstellen des Zielereignisdatenspeichers finden Sie unter [Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Wählen Sie die Insights-Typen aus. Sie können die **API-Aufrufrate**, die **API-Fehlerrate** oder beides auswählen. Sie müssen **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Aufrufrate** zu protokollieren. Sie müssen **Lese**- und **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Fehlerrate** zu protokollieren.
1. Gehen Sie wie folgt vor, um Datenereignisse in Ihren Ereignisdatenspeicher aufzunehmen.
1. Wählen Sie einen Ressourcentyp aus. Dies ist die AWS-Service Ressource, auf der Datenereignisse protokolliert werden.
1. Wählen Sie unter **Protokollauswahlvorlage** eine vordefinierte Vorlage aus, oder wählen Sie **Benutzerdefiniert**, um Ihre eigenen Bedingungen für die Erfassung von Ereignissen zu definieren, die auf den Werten der erweiterten Ereignisauswahlfelder basieren.
Sie können aus den folgenden vordefinierten Vorlagen wählen:
+ **Alle Ereignisse protokollieren**: Wählen Sie diese Vorlage, um alle Ereignisse zu protokollieren.
+ **Nur Leseereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Leseereignisse zu protokollieren. Schreibgeschützte Ereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. Ereignisse `Get*` oder`Describe*`.
+ **Nur Schreibereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Schreibereignisse zu protokollieren. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse.
+ **Nur AWS-Managementkonsole Ereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Ereignisse zu protokollieren, die ihren Ursprung in haben AWS-Managementkonsole.
+ ** AWS-Service Ausgelöste Ereignisse ausschließen** — Wählen Sie diese Vorlage, um AWS-Service Ereignisse mit dem Wert `eventType` von und Ereignisse auszuschließen`AwsServiceEvent`, die mit AWS-Service-verknüpften Rollen initiiert wurden (SLRs).
1. (Optional) Geben Sie unter **Selektorname** einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird als `Name` in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die **JSON-Ansicht** erweitern.
1. Wenn Sie **Benutzerdefiniert** ausgewählt haben, erstellen Sie unter **Erweiterte Ereignisauswahlen** einen Ausdruck, der auf den Werten der erweiterten Ereignisauswahlfelder basiert.
**Anmerkung**
Selektoren unterstützen nicht die Verwendung von Platzhaltern wie. `*` Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können Sie`StartsWith`,, oder verwenden `EndsWith``NotStartsWith`, `NotEndsWith` um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.
1. Wählen Sie aus den folgenden Feldern.
+ **`readOnly`**- `readOnly` kann so gesetzt werden, dass sie einem Wert von `true` oder **`false`entspricht**. Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. `Get*`- oder `Describe*`-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse. Um sowohl `read`- als auch `write`-Ereignisse zu protokollieren, fügen Sie keinen `readOnly`-Selektor hinzu.
+ **`eventName`** – `eventName` kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B. `PutBucket``GetItem`, oder`GetSnapshotBlock`.
+ **`eventSource`**— Die Ereignisquelle, die ein- oder ausgeschlossen werden soll. In diesem Feld kann ein beliebiger Operator verwendet werden.
+ **eventType**: der Ereignistyp, der ein- oder ausgeschlossen werden soll. Sie können dieses Feld beispielsweise auf „ungleich“ setzen, `AwsServiceEvent` um **es** auszuschließen[AWS-Service Ereignisse](non-api-aws-service-events.md). Eine Liste der Ereignistypen finden Sie [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)unter[CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md).
+ **sessionCredentialFromKonsole** — Ereignisse, die aus einer AWS-Managementkonsole Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf Gleich oder ****Ungleich**** mit dem Wert von gesetzt werden. `true`
+ **userIdentity.arn**: schließt Ereignisse für Aktionen bestimmter IAM-Identitäten ein oder aus. Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`resources.ARN`**- Sie können jeden Operator mit verwenden`resources.ARN`, aber wenn Sie **equals** oder **ungleich** verwenden, muss der Wert genau dem ARN einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert von `resources.type` angegeben haben.
**Anmerkung**
Sie können das `resources.ARN` Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall ist. ARNs
Weitere Informationen zu den ARN-Formaten von Datenereignisressourcen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der *Service Authorization Reference*.
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf **Resources.ARN** festlegen, den Operator für **beginnt nicht mit** festlegen und dann einen S3-Bucket-ARN einfügen, für den Sie keine Ereignisse protokollieren möchten.
Um den zweiten S3-Bucket hinzuzufügen, wählen Sie **\$1 Bedingung** und wiederholen Sie dann die vorherige Anweisung, indem Sie den ARN für einen anderen Bucket einfügen oder nach einem anderen Bucket suchen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. [Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet](filtering-data-events.md#filtering-data-events-conditions)
**Anmerkung**
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie `eventName` ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht an, dass ein ARN in einem Selektor einem Wert entspricht, und geben Sie dann an, dass der ARN in einem anderen Selektor nicht dem gleichen Wert entspricht.
1. Erweitern Sie optional die **JSON-Ansicht**, um Ihre erweiterten Ereignisselektoren als JSON-Block anzuzeigen.
1. Um einen weiteren Ressourcentyp für die Protokollierung von Datenereignissen hinzuzufügen, wählen Sie **Datenereignistyp hinzufügen**. Wiederholen Sie die Schritte a bis zu diesem Schritt, um erweiterte Event-Selektoren für den Ressourcentyp zu konfigurieren.
1. Gehen Sie wie folgt vor, um Netzwerkaktivitätsereignisse in Ihren Ereignisdatenspeicher aufzunehmen.
1. Wählen Sie **unter Netzwerkaktivitätsereignisquelle** die Quelle für Netzwerkaktivitätsereignisse aus.
1. Wählen Sie unter **Protokollselektorvorlage** eine Vorlage aus. Sie können wählen, ob alle Netzwerkaktivitätsereignisse, alle Ereignisse, bei denen der Zugriff verweigert wurde, protokolliert werden sollen, oder **Benutzerdefiniert** wählen, um eine benutzerdefinierte Protokollauswahl zu erstellen, die nach mehreren Feldern filtert, z. B. `eventName` und`vpcEndpointId`.
1. (Optional) Geben Sie einen Namen ein, um den Selektor zu identifizieren. **Der Name des Selektors wird in der erweiterten Ereignisauswahl als **Name** aufgeführt und ist sichtbar, wenn Sie die JSON-Ansicht erweitern.**
1. **In **Advanced erstellen Event-Selektoren** Ausdrücke, indem sie Werte für **Feld**, **Operator** und Wert auswählen.** Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.
1. Um Netzwerkaktivitätsereignisse auszuschließen oder einzubeziehen, können Sie in der Konsole aus den folgenden Feldern wählen.
+ **`eventName`**— Sie können jeden Operator mit verwenden`eventName`. Sie können ihn verwenden, um jedes Ereignis ein- oder auszuschließen, `CreateKey` z.
+ **`errorCode`**— Sie können es verwenden, um nach einem Fehlercode zu filtern. Derzeit wird nur Folgendes unterstützt`errorCode`:`VpceAccessDenied`.
+ **`vpcEndpointId`**— Identifiziert den VPC-Endpunkt, den der Vorgang durchlaufen hat. Sie können einen beliebigen Operator mit `vpcEndpointId` verwenden.
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.
1. Um eine weitere Ereignisquelle hinzuzufügen, für die Sie Netzwerkaktivitätsereignisse protokollieren möchten, wählen Sie „**Netzwerkaktivitätsereignisauswahl hinzufügen**“.
1. Erweitern Sie optional die **JSON-Ansicht**, um Ihre erweiterten Ereignisselektoren als JSON-Block anzuzeigen.
1. Gehen Sie wie folgt vor, um vorhandene Trail-Ereignisse in Ihren Ereignisdatenspeicher zu kopieren.
1. Wählen Sie den Trail aus, die Sie kopieren möchten. Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im `CloudTrail` Präfix des S3-Buckets und die Präfixe innerhalb des `CloudTrail` Präfixes enthalten sind, und überprüft keine Präfixe für andere Dienste. AWS Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, wählen **Sie S3-URI eingeben** und dann **S3 durchsuchen**, um zum Präfix zu wechseln. Wenn der S3-Quell-Bucket für den Trail einen KMS-Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie das Entschlüsseln der Daten zulässt CloudTrail . Wenn Ihr S3-Quell-Bucket mehrere KMS-Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren, damit CloudTrail die Daten im Bucket entschlüsselt werden können. Weitere Informationen zum Aktualisieren der KMS-Schlüssel-Richtlinie finden Sie unter [KMS-Schlüsselrichtlinie zum Entschlüsseln von Daten im S3-Quell-Bucket](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms).
1. Wählen Sie den Zeitraum für das Kopieren der Ereignisse aus. CloudTrail überprüft das Präfix und den Namen der Protokolldatei, um sicherzustellen, dass der Name ein Datum zwischen dem ausgewählten Start- und Enddatum enthält, bevor versucht wird, Trail-Ereignisse zu kopieren. Sie können einen **Relative range** (Relativen Bereich) oder einen **Absolute range** (Absoluten Bereich) wählen. Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum aus, der vor der Erstellung des Ereignisdatenspeichers liegt.
**Anmerkung**
CloudTrail kopiert nur Trail-Ereignisse, deren Aufbewahrungsfrist `eventTime` innerhalb des Ereignisdatenspeichers liegt. Wenn die Aufbewahrungsfrist eines Event-Datenspeichers beispielsweise 90 Tage beträgt, CloudTrail werden keine Trail-Ereignisse kopiert, die `eventTime` älter als 90 Tage sind.
+ Wenn Sie **Relativer Bereich** wählen, können Sie wählen, ob Ereignisse kopiert werden sollen, die in den letzten 6 Monaten, 1 Jahr, 2 Jahren, 7 Jahren oder in einem benutzerdefinierten Bereich protokolliert wurden. CloudTrail kopiert die Ereignisse, die innerhalb des ausgewählten Zeitraums protokolliert wurden.
+ Wenn Sie „**Absoluter Bereich**“ wählen, können Sie ein bestimmtes Start- und Enddatum wählen. CloudTrail kopiert die Ereignisse, die zwischen dem ausgewählten Start- und Enddatum aufgetreten sind.
1. Wählen Sie für **Permissions** (Berechtigungen) unter den folgenden IAM-Rollenoptionen aus. Wenn Sie eine vorhandene IAM-Rolle auswählen, stellen Sie sicher, dass die IAM-Rollenrichtlinie die erforderlichen Berechtigungen bereitstellt. Weitere Informationen zum Aktualisieren der IAM-Rollenberechtigungen finden Sie unter [IAM-Berechtigungen zum Kopieren von Trail-Ereignissen](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam).
+ Wählen Sie **Create a new role (recommended)** (Erstellen Sie eine neue Rolle (empfohlen)), um eine neue IAM-Rolle zu erstellen. **Geben Sie unter IAM-Rollennamen** eingeben einen Namen für die Rolle ein. CloudTrail erstellt automatisch die erforderlichen Berechtigungen für diese neue Rolle.
+ Wählen Sie **Eine benutzerdefinierte IAM-Rolle verwenden ARN** aus, um eine benutzerdefinierte IAM-Rolle zu verwenden, die nicht aufgeführt ist. Geben Sie für **Enter IAM role ARN** (IAM-Rollen-ARN eingeben) den IAM-ARN ein.
+ Wählen Sie eine vorhandene IAM-Rolle aus der Drop-down-Liste aus.
1. Wählen Sie **Weiter**, um Ihre Ereignisse durch Hinzufügen von Ressourcen-Tag-Schlüsseln und globalen IAM-Bedingungsschlüsseln zu bereichern.
1. Fügen Sie unter **Ereignisse anreichern** bis zu 50 Ressourcen-Tag-Schlüssel und 50 globale IAM-Bedingungsschlüssel hinzu, um zusätzliche Metadaten zu Ihren Ereignissen bereitzustellen. Dies hilft Ihnen, verwandte Ereignisse zu kategorisieren und zu gruppieren.
Wenn Sie Ressourcen-Tag-Schlüssel hinzufügen, CloudTrail werden die ausgewählten Tag-Schlüssel eingeschlossen, die den Ressourcen zugeordnet sind, die am API-Aufruf beteiligt waren. API-Ereignisse, die sich auf gelöschte Ressourcen beziehen, haben keine Ressourcen-Tags.
Wenn Sie globale IAM-Bedingungsschlüssel hinzufügen, enthält CloudTrail dies Informationen zu den ausgewählten Bedingungsschlüsseln, die während des Autorisierungsprozesses ausgewertet wurden, einschließlich zusätzlicher Details zum Prinzipal, zur Sitzung, zum Netzwerk und zur Anfrage selbst.
Informationen zu den Ressourcen-Tag-Schlüsseln und den globalen IAM-Bedingungsschlüsseln werden im `eventContext` Feld des Ereignisses angezeigt. Weitere Informationen finden Sie unter [Bereichern Sie CloudTrail Ereignisse, indem Sie Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel hinzufügen](cloudtrail-context-events.md).
**Anmerkung**
Wenn ein Ereignis eine Ressource enthält, die nicht zur Event-Region gehört, CloudTrail werden keine Tags für diese Ressource aufgefüllt, da der Tag-Abruf auf die Event-Region beschränkt ist.
1. Wählen Sie „**Eventgröße erweitern**“, um die Event-Payload von 256 KB auf bis zu 1 MB zu erweitern. Diese Option wird automatisch aktiviert, wenn Sie Ressourcen-Tag-Schlüssel oder globale IAM-Bedingungsschlüssel hinzufügen, um sicherzustellen, dass alle Ihre hinzugefügten Schlüssel in dem Ereignis enthalten sind.
Die Erweiterung der Ereignisgröße ist für die Analyse und Problembehandlung von Ereignissen hilfreich, da Sie so den vollständigen Inhalt der folgenden Felder sehen können, sofern die Ereignisnutzlast weniger als 1 MB beträgt:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Weitere Informationen zu diesen Feldern finden Sie unter [CloudTrail Datensatzinhalte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
1. Wählen Sie **Next** (Weiter) aus, um Ihre Auswahl zu überprüfen.
1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Der neue Ereignisdatenspeicher ist in der Tabelle **Ereignisdatenspeicher** auf der Seite **Ereignisdatenspeicher** sichtbar.
Ab diesem Zeitpunkt erfasst der Ereignisdatenspeicher Ereignisse, die mit den erweiterten Ereignisauswahlen übereinstimmen (wenn die Option **Ereignisse aufnehmen** ausgewählt ist). Ereignisse, die aufgetreten sind, bevor Sie den Ereignisdatenspeicher erstellt haben, befinden sich nicht im Ereignisdatenspeicher, es sei denn Sie haben sich für das Kopieren der bestehenden Trail-Ereignissen entschieden.
Nun können Sie Abfragen in Ihrem neuen Ereignisdatenspeicher ausführen. Die Registerkarte **Sample queries** (Beispiel für Abfragen) enthält Beispielabfragen, die Ihnen den Einstieg erleichtern. Weitere Informationen zum Erstellen und Bearbeiten von Abfragen finden Sie unter [Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail](query-create-edit-query.md).
Sie können auch die [verwalteten Dashboards anzeigen oder benutzerdefinierte Dashboards](lake-dashboard-managed.md) [erstellen, um Veranstaltungstrends](lake-dashboard-custom.md) zu visualisieren. Weitere Informationen zu Lake-Dashboards finden Sie unter [CloudTrail Lake-Dashboards](lake-dashboard.md).