Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Sie können CloudTrail damit Benutzeraktivitätsdaten aus beliebigen Quellen in Ihren Hybridumgebungen protokollieren und speichern, z. B. interne oder SaaS-Anwendungen, die vor Ort oder in der Cloud gehostet werden, virtuelle Maschinen oder Container. Sie können diese Daten speichern, darauf zugreifen, analysieren, Fehler beheben und Maßnahmen ergreifen, ohne mehrere Protokollaggregatoren und Berichtstools verwalten zu müssen.
Aktivitätsereignisse aus AWS anderen Quellen nutzen *Kanäle*, um Ereignisse von externen Partnern, die mit Ihnen zusammenarbeiten CloudTrail, oder aus Ihren eigenen Quellen nach CloudTrail Lake zu bringen. Wenn Sie einen Kanal erstellen, wählen Sie einen oder mehrere Ereignisdatenspeicher aus, um Ereignisse zu speichern, die von der Kanalquelle stammen. Sie können die Zielereignisdatenspeicher für einen Kanal nach Bedarf ändern, sofern die Zielereignisdatenspeicher so eingestellt sind, dass sie `eventCategory="ActivityAuditLog"`-Ereignisse protokollieren. Wenn Sie einen Kanal für Ereignisse eines externen Partners erstellen, stellen Sie dem Partner oder der Quellanwendung einen Kanal-ARN zur Verfügung. Die dem Kanal beigefügte Ressourcenrichtlinie ermöglicht es der Quelle, Ereignisse über den Kanal zu übertragen. Wenn der Kanal keine Ressourcenrichtlinie hat, kann nur der Kanalbesitzer die `PutAuditEvents`-API auf dem Kanal aufrufen.
CloudTrail hat mit vielen Anbietern von Eventquellen zusammengearbeitet, wie Okta und. LaunchDarkly Wenn Sie eine Integration mit einer externen Eventquelle erstellen AWS, können Sie einen dieser Partner als Ihre Eventquelle wählen oder **Meine benutzerdefinierte Integration** wählen, um Ereignisse aus Ihren eigenen Quellen in diese zu integrieren. CloudTrail Pro Quelle ist maximal ein Kanal zulässig.
Es gibt zwei Arten von Integrationen: direkt und Lösung. Bei direkten Integrationen ruft der Partner die `PutAuditEvents` API auf, um Ereignisse an den Event-Datenspeicher für Ihr AWS Konto zu übermitteln. Bei Lösungsintegrationen wird die Anwendung in Ihrem AWS Konto ausgeführt und die Anwendung ruft die `PutAuditEvents` API auf, um Ereignisse an den Ereignisdatenspeicher für Ihr AWS Konto zu übermitteln.
Auf der Seite **Integrations** (Integrationen) können Sie die Registerkarte **Available sources** (Verfügbare Quellen) wählen, um den **Integration type** (Integrationstyp) für Partner anzuzeigen.
![\[Typ der Partnerintegration\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/partner-integration-type.png)
Erstellen Sie zunächst eine Integration, um Ereignisse von Partnern oder anderen Anwendungsquellen mithilfe der CloudTrail Konsole zu protokollieren.
**Topics**
+ [Erstellen Sie mit der Konsole eine Integration mit einem CloudTrail Partner](query-event-data-store-integration-partner.md)
+ [Erstellen Sie eine benutzerdefinierte Integration mit der Konsole](query-event-data-store-integration-custom.md)
+ [Erstellen, aktualisieren und verwalten Sie CloudTrail Lake-Integrationen mit dem AWS CLI](lake-integrations-cli.md)
+ [Zusätzliche Informationen über Integrationspartner](#cloudtrail-lake-partner-information)
+ [CloudTrail Ereignisschema für Lake Integrations](query-integration-event-schema.md)
# Erstellen Sie mit der Konsole eine Integration mit einem CloudTrail Partner
Wenn Sie eine Integration mit einer externen Eventquelle erstellen AWS, können Sie einen dieser Partner als Ihre Eventquelle auswählen. Wenn Sie eine Integration CloudTrail mit einer Partneranwendung erstellen, benötigt der Partner den Amazon-Ressourcennamen (ARN) des Kanals, den Sie in diesem Workflow erstellen, um Ereignisse zu senden CloudTrail. Nachdem Sie die Integration erstellt haben, beenden Sie die Konfiguration der Integration, indem Sie den Anweisungen des Partners folgen, um dem Partner den erforderlichen Kanal-ARN zur Verfügung zu stellen. Die Integration beginnt mit der Aufnahme von Partnerereignissen, CloudTrail nachdem der Partner den `PutAuditEvents` Kanal der Integration aufgerufen hat.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Integrationen** aus.
1. Geben Sie auf der Seite **Integration hinzufügen** einen Namen für Ihren Kanal ein. Der Name kann eine Länge von 3–128 Zeichen haben. Namen dürfen nur Buchstaben, Zahlen, Punkte, Unterstriche und Schrägstriche enthalten.
1. Wählen Sie die Partneranwendungsquelle aus, von der Sie Ereignisse abrufen möchten. Wenn Sie Ereignisse aus Ihren eigenen Anwendungen integrieren, die On-Premises oder in der Cloud gehostet werden, wählen Sie **My custom integration** (Meine benutzerdefinierte Integration).
1. Wählen Sie unter **Event delivery location** (Ereignisübermittlungsort) aus, ob dieselben Aktivitätsereignisse in vorhandenen Ereignisdatenspeichern protokolliert werden sollen, oder ob Sie einen neuen Ereignisdatenspeicher erstellen möchten.
Wenn Sie einen neuen Ereignisdatenspeicher erstellen, geben Sie einen Namen für den Ereignisdatenspeicher ein, wählen Sie die Preisoption und geben Sie die Aufbewahrungsdauer in Tagen an. Der Ereignisdatenspeicher behält Ereignisdaten für die angegebene Anzahl von Tagen bei.
Wenn Sie Aktivitätsereignisse in einem oder mehreren vorhandenen Ereignisdatenspeichern protokollieren möchten, wählen Sie die Ereignisdatenspeicher aus der Liste aus. Die Ereignisdatenspeicher können nur Aktivitätsereignisse enthalten. Der Ereignistyp in der Konsole muss **Events from integrations** (Ereignisse aus Integrationen) sein. In der API muss der `eventCategory`-Wert `ActivityAuditLog` sein.
1. Konfigurieren Sie unter **Resource policy** (Ressourcenrichtlinie) die Ressourcenrichtlinie für den Kanal der Integration. Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für die Ressource ausführen kann. Die Konten, die in der Ressourcenrichtlinie als Prinzipale definiert sind, können die `PutAuditEvents`-API aufrufen, um Ereignisse an Ihren Kanal zu senden. Der Ressourcenbesitzer hat impliziten Zugriff auf die Ressource, sofern seine IAM-Richtlinie die `cloudtrail-data:PutAuditEvents`-Aktion zulässt.
Die für die Richtlinie erforderlichen Informationen werden durch den Integrationstyp bestimmt. Bei einer Direction-Integration CloudTrail wird automatisch das AWS Konto IDs des Partners hinzugefügt und Sie müssen die vom Partner bereitgestellte eindeutige externe ID eingeben. Für eine Lösungsintegration müssen Sie mindestens eine AWS Konto-ID als Principal angeben und können optional eine externe ID eingeben, um zu verhindern, dass Ihr Stellvertreter verwirrt wird.
**Anmerkung**
Wenn Sie keine Ressourcenrichtlinie für den Kanal erstellen, kann nur der Kanalbesitzer die `PutAuditEvents`-API auf dem Kanal aufrufen.
1. Für eine direkte Integration geben Sie die von Ihrem Partner bereitgestellte externe ID ein. Der Integrationspartner stellt eine eindeutige externe ID zur Verfügung, z. B. eine Konto-ID oder eine zufällig generierte Zeichenfolge, die für die Integration verwendet wird, um zu verhindern, dass der Stellvertreter verwirrt wird. Der Partner ist für die Erstellung und Bereitstellung einer eindeutigen externen ID verantwortlich.
Sie können **How to find this?** (Wie finde ich das?) verwenden, um die Dokumentation des Partners einzusehen, in der beschrieben wird, wie Sie die externe ID finden.
![\[Partnerdokumentation für externe ID\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/integration-external-id.png)
**Anmerkung**
Wenn die Ressourcenrichtlinie eine externe ID enthält, müssen alle Aufrufe der `PutAuditEvents`-API die externe ID enthalten. Wenn die Richtlinie jedoch keine externe ID definiert, kann der Partner die `PutAuditEvents`-API trotzdem aufrufen und einen `externalId`-Parameter angeben.
1. Für eine Lösungsintegration wählen Sie ** AWS Konto hinzufügen** aus, um eine AWS Konto-ID anzugeben, die der Richtlinie als Prinzipal hinzugefügt werden soll.
1. (Optional) Im Bereich **Tags** können Sie bis zu 50 Tag-Schlüssel- und Wertepaare hinzufügen, um den Zugriff auf Ihren Ereignisdatenspeicher und -kanal zu identifizieren, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Weitere Informationen darüber, wie Sie Tags verwenden können AWS, finden Sie unter [Tagging AWS Resources](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) in der *Allgemeine AWS-Referenz*.
1. Wenn Sie bereit sind, die neue Integration zu erstellen, wählen Sie **Integration hinzufügen**. Es gibt keine Bewertungsseite. CloudTrail erstellt die Integration, aber Sie müssen der Partneranwendung den Channel Amazon Resource Name (ARN) zur Verfügung stellen. Anweisungen zur Bereitstellung des Kanal-ARN für die Partneranwendung finden Sie auf der Website mit der Partnerdokumentation. Um weitere Informationen zu erhalten, wählen Sie auf der Registerkarte **Available sources** (Verfügbare Quellen) der Seite **Integrations** (Integrationen) den Link **Learn more** (Weitere Informationen) für den Partner aus, um die Seite des Partners in AWS Marketplace zu öffnen.
Um die Einrichtung für Ihre Integration abzuschließen, stellen Sie den Kanal-ARN für den Partner oder die Quellanwendung zur Verfügung. Je nach Integrationstyp führen entweder Sie, der Partner oder die Anwendung die `PutAuditEvents`-API aus, um Aktivitätsereignisse an den Ereignisdatenspeicher für Ihr AWS -Konto zu übermitteln. Nachdem Ihre Aktivitätsereignisse übermittelt wurden, können Sie CloudTrail Lake verwenden, um die in Ihren Anwendungen protokollierten Daten zu suchen, abzufragen und zu analysieren. Ihre Ereignisdaten enthalten Felder, die der Nutzlast für CloudTrail Ereignisse entsprechen, z. B. `eventVersion``eventSource`, und`userIdentity`.
# Erstellen Sie eine benutzerdefinierte Integration mit der Konsole
Sie können CloudTrail damit Benutzeraktivitätsdaten aus beliebigen Quellen in Ihren Hybridumgebungen protokollieren und speichern, z. B. interne oder SaaS-Anwendungen, die vor Ort oder in der Cloud gehostet werden, virtuelle Maschinen oder Container. Führen Sie die erste Hälfte dieses Verfahrens in der CloudTrail Lake-Konsole aus und rufen Sie dann die [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API auf, um Ereignisse zu erfassen, wobei Sie Ihren Kanal-ARN und Ihre Event-Payload bereitstellen. Nachdem Sie die `PutAuditEvents` API zum Ingestieren Ihrer Anwendungsaktivitäten verwendet haben, können Sie CloudTrail Lake verwenden CloudTrail, um die Daten zu suchen, abzufragen und zu analysieren, die von Ihren Anwendungen protokolliert wurden.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Integrationen** aus.
1. Geben Sie auf der Seite **Integration hinzufügen** einen Namen für Ihren Kanal ein. Der Name kann eine Länge von 3–128 Zeichen haben. Namen dürfen nur Buchstaben, Zahlen, Punkte, Unterstriche und Schrägstriche enthalten.
1. Wählen Sie **My custom integration** (Meine benutzerdefinierte Integration).
1. Wählen Sie unter **Event delivery location** (Ereignisübermittlungsort) aus, ob dieselben Aktivitätsereignisse in vorhandenen Ereignisdatenspeichern protokolliert werden sollen, oder ob Sie einen neuen Ereignisdatenspeicher erstellen möchten.
Wenn Sie einen neuen Ereignisdatenspeicher erstellen, geben Sie einen Namen für den Ereignisdatenspeicher ein und geben Sie die Aufbewahrungsdauer in Tagen an. Sie können die Ereignisdaten bis zu 3 653 Tage (etwa 10 Jahre) in einem Ereignisdatenspeicher speichern, wenn Sie sich für die Preisoption mit **verlängerbarer Aufbewahrung von einem Jahr** entscheiden, oder bis zu 2 557 Tage (etwa 7 Jahre), wenn Sie sich für die Preisoption mit **siebenjähriger Aufbewahrung** entscheiden.
Wenn Sie Aktivitätsereignisse in einem oder mehreren vorhandenen Ereignisdatenspeichern protokollieren möchten, wählen Sie die Ereignisdatenspeicher aus der Liste aus. Die Ereignisdatenspeicher können nur Aktivitätsereignisse enthalten. Der Ereignistyp in der Konsole muss **Events from integrations** (Ereignisse aus Integrationen) sein. In der API muss der `eventCategory`-Wert `ActivityAuditLog` sein.
1. Konfigurieren Sie unter **Resource policy** (Ressourcenrichtlinie) die Ressourcenrichtlinie für den Kanal der Integration. Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für die Ressource ausführen kann. Die Konten, die in der Ressourcenrichtlinie als Prinzipale definiert sind, können die `PutAuditEvents`-API aufrufen, um Ereignisse an Ihren Kanal zu senden.
**Anmerkung**
Wenn Sie keine Ressourcenrichtlinie für den Kanal erstellen, kann nur der Kanalbesitzer die `PutAuditEvents`-API auf dem Kanal aufrufen.
1. (Optional) Stellen Sie eine eindeutige externe ID zur Verfügung, um eine zusätzliche Schutzebene zu bieten. Die externe ID ist eine eindeutige Zeichenfolge, wie beispielsweise eine Konto-ID, oder eine zufällig generierte Zeichenfolge, um Verwirrung des Stellvertreters zu vermeiden.
**Anmerkung**
Wenn die Ressourcenrichtlinie eine externe ID enthält, müssen alle Aufrufe der `PutAuditEvents`-API die externe ID enthalten. Wenn die Richtlinie jedoch keine externe ID definiert, können Sie die `PutAuditEvents`-API trotzdem aufrufen und einen `externalId`-Parameter angeben.
1. Wählen Sie ** AWS Konto hinzufügen**, um in der Ressourcenrichtlinie für den Kanal jede AWS Konto-ID anzugeben, die als Principal hinzugefügt werden soll.
1. (Optional) Im Bereich **Tags** können Sie bis zu 50 Tag-Schlüssel- und Wertepaare hinzufügen, um den Zugriff auf Ihren Ereignisdatenspeicher und -kanal zu identifizieren, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Weitere Informationen darüber, wie Sie Tags verwenden können AWS, finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) in der *Allgemeine AWS-Referenz*.
1. Wenn Sie bereit sind, die neue Integration zu erstellen, wählen Sie **Integration hinzufügen**. Es gibt keine Bewertungsseite. CloudTrail erstellt die Integration, aber um Ihre benutzerdefinierten Ereignisse zu integrieren, müssen Sie den Kanal-ARN in einer [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)Anfrage angeben.
1. Rufen Sie die `PutAuditEvents` API auf, in die Sie Ihre Aktivitätsereignisse aufnehmen CloudTrail möchten. Sie können bis zu 100 Aktivitätsereignisse (oder bis zu 1 MB) pro `PutAuditEvents`-Anforderung hinzufügen. Sie benötigen den Kanal-ARN, den Sie in den vorherigen Schritten erstellt haben, die Payload der Ereignisse, die Sie hinzufügen CloudTrail möchten, und die externe ID (sofern für Ihre Ressourcenrichtlinie angegeben). Stellen Sie sicher, dass die Event-Payload keine sensiblen oder persönlich identifizierbaren Informationen enthält, bevor Sie sie in die Payload aufnehmen. CloudTrail Ereignisse, in die Sie aufnehmen, müssen dem folgen. CloudTrail [CloudTrail Ereignisschema für Lake Integrations](query-integration-event-schema.md)
**Tipp**
Verwenden Sie diese [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html)Option, um sicherzustellen, dass Sie die AWS APIs aktuellste Version verwenden.
Die folgenden Beispiele demonstrieren die Verwendung des CLI-Befehls **put-audit-events**. Die Parameter **--audit-events** und **--channel-arn** müssen angegeben werden. Sie benötigen den ARN des Kanals, den Sie in den vorherigen Schritten erstellt haben. Diesen können Sie von der Seite mit den Integrationsdetails kopieren. Der Wert von **--audit-events** ist ein JSON-Array von Ereignisobjekten. `--audit-events`enthält eine erforderliche ID aus dem Ereignis, die erforderliche Nutzlast des Ereignisses als Wert von und eine [optionale Prüfsumme `EventData`](#event-data-store-integration-custom-checksum), um die Integrität des Ereignisses nach der Aufnahme in zu überprüfen. CloudTrail
```
aws cloudtrail-data put-audit-events \
--region region \
--channel-arn $ChannelArn \
--audit-events \
id="event_ID",eventData='"{event_payload}"' \
id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"
```
Nachfolgend finden Sie einen Beispielbefehl mit zwei Ereignisbeispielen.
```
aws cloudtrail-data put-audit-events \
--region us-east-1 \
--channel-arn arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--audit-events \
id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
\}"' \
id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
\}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"
```
Der folgende Beispielbefehl fügt den `--cli-input-json`-Parameter hinzu, um eine JSON-Datei (`custom-events.json`) mit Ereignis-Nutzlast anzugeben.
```
aws cloudtrail-data put-audit-events \
--channel-arn $channelArn \
--cli-input-json file://custom-events.json \
--region us-east-1
```
Es folgen Beispiele für den Inhalt der Beispiel-JSON–Datei `custom-events.json`.
```
{
"auditEvents": [
{
"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"source_IP_address\",\"recipientAccountId\":\"recipient_account_ID\"}",
"id": "1"
}
]
}
```
## (Optional) Berechnen Sie einen Prüfsummenwert
Mithilfe der Prüfsumme, die Sie `EventDataChecksum` in einer `PutAuditEvents` Anfrage als Wert für angeben, können Sie überprüfen, ob das Ereignis CloudTrail empfangen wird, das mit der Prüfsumme übereinstimmt. Sie hilft Ihnen dabei, die Integrität von Ereignissen zu überprüfen. Der Prüfsummenwert ist ein SHA256 Base64-Algorithmus, den Sie berechnen, indem Sie den folgenden Befehl ausführen.
```
printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"source_IP_address\",
\"recipientAccountId\":\"recipient_account_ID\"}",
"id": "1"}" \
| openssl dgst -binary -sha256 | base64
```
Der Befehl gibt die Prüfsumme zurück. Im Folgenden wird ein -Beispiel gezeigt.
```
EXAMPLEHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=
```
Der Prüfsummenwert wird der Wert von `EventDataChecksum` in Ihrer `PutAuditEvents`-Anfrage. Wenn die Prüfsumme nicht mit der für das angegebene Ereignis übereinstimmt, wird das Ereignis mit einem CloudTrail Fehler zurückgewiesen. `InvalidChecksum`
# Erstellen, aktualisieren und verwalten Sie CloudTrail Lake-Integrationen mit dem AWS CLI
In diesem Abschnitt werden die Befehle beschrieben, mit denen Sie Ihre CloudTrail Lake-Integrationen mithilfe von erstellen, aktualisieren und verwalten können. AWS CLI
Denken Sie bei der Verwendung von daran AWS CLI, dass Ihre Befehle in der für Ihr Profil AWS-Region konfigurierten Version ausgeführt werden. Wenn Sie die Befehle in einer anderen Region ausführen möchten, ändern Sie entweder die Standardregion für Ihr Profil, oder verwenden Sie den **--region**-Parameter mit dem Befehl.
## Verfügbare Befehle für CloudTrail Lake-Integrationen
Zu den Befehlen zum Erstellen, Aktualisieren und Verwalten von Integrationen in CloudTrail Lake gehören:
+ `create-event-data-store`um einen Ereignisdatenspeicher für Ereignisse außerhalb von AWS zu erstellen.
+ `delete-channel`um einen Kanal zu löschen, der für eine Integration verwendet wird.
+ `[delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/delete-resource-policy.html)`um die Ressourcenrichtlinie zu löschen, die einem Kanal für eine CloudTrail Lake-Integration zugeordnet ist.
+ `[get-channel](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-channel.html)`um Informationen über einen CloudTrail Kanal zurückzugeben.
+ `[get-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-resource-policy.html)`um den JSON-Text des ressourcenbasierten Richtliniendokuments abzurufen, das dem Kanal beigefügt ist. CloudTrail
+ `[list-channels](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-channels.html)`um die Kanäle im Girokonto und ihre Quellnamen aufzulisten.
+ `[put-audit-events](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail-data/put-audit-events.html)`um Ihre Anwendungsereignisse in CloudTrail Lake aufzunehmen. Ein erforderlicher Parameter akzeptiert die JSON-Datensätze (auch Payload genannt) von Ereignissen, die Sie aufnehmen CloudTrail möchten. `auditEvents` Sie können bis zu 100 dieser Ereignisse (oder bis zu 1 MB) pro `PutAuditEvents` Anfrage hinzufügen.
+ `[put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html)`um einem CloudTrail Kanal, der für eine Integration mit einer Ereignisquelle außerhalb von verwendet wird, eine ressourcenbasierte Berechtigungsrichtlinie zuzuweisen. AWS[Weitere Informationen zu ressourcenbasierten Richtlinien finden Sie unter AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien.](security_iam_resource-based-policy-examples.md)
+ `update-channel`um einen Kanal zu aktualisieren, der durch einen erforderlichen Kanal-ARN oder eine UUID angegeben ist.
Eine Liste der verfügbaren Befehle für CloudTrail Lake-Ereignisdatenspeicher finden Sie unter. [Verfügbare Befehle für Ereignisdatenspeicher](lake-eds-cli.md#lake-eds-cli-commands)
Eine Liste der verfügbaren Befehle für CloudTrail Lake-Abfragen finden Sie unter[Verfügbare Befehle für CloudTrail Lake-Abfragen](lake-queries-cli.md#lake-queries-cli-commands).
Eine Liste der verfügbaren Befehle für CloudTrail Lake-Dashboards finden Sie unter[Verfügbare Befehle für Dashboards](lake-dashboard-cli.md#lake-dashboard-cli-commands).
# Erstellen Sie eine Integration zur Protokollierung von Ereignissen von außen AWS mit dem AWS CLI
In diesem Abschnitt wird beschrieben, wie Sie die verwenden können AWS CLI , um eine CloudTrail Lake-Integration zu erstellen, um Ereignisse von außerhalb von zu protokollieren AWS.
In der AWS CLI erstellen Sie eine Integration in vier Befehlen (drei, wenn Sie bereits über einen Ereignisdatenspeicher verfügen, der die Kriterien erfüllt). Ereignisdatenspeicher, die Sie als Ziele für eine Integration verwenden, müssen für eine einzelne Region und ein einzelnes Konto bestimmt sein. Sie können nicht regionsübergreifend sein, sie können keine Ereignisse für Organisationen protokollieren und sie können nur Aktivitätsereignisse enthalten. AWS Organizations Der Ereignistyp in der Konsole muss **Events from integrations** (Ereignisse aus Integrationen) sein. In der API muss der `eventCategory`-Wert `ActivityAuditLog` sein. Weitere Informationen über Integrationen finden Sie unter [Erstellen Sie eine Integration mit einer Ereignisquelle außerhalb von AWS](query-event-data-store-integration.md).
1. Führen Sie den Vorgang [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/index.html) aus, um einen Ereignisdatenspeicher zu erstellen, falls Sie nicht bereits über einen oder mehrere Ereignisdatenspeicher verfügen, die Sie für die Integration verwenden können.
Der folgende AWS CLI Beispielbefehl erstellt einen Ereignisdatenspeicher, der Ereignisse von außen AWS protokolliert. Für Aktivitätsereignisse lautet der `eventCategory`-Feldauswahlwert `ActivityAuditLog`. Der Aufbewahrungszeitraum des Ereignisdatenspeichers beträgt 90 Tage. Standardmäßig sammelt der Ereignisdatenspeicher Ereignisse aus allen Regionen. Da es sich jedoch um AWS Nichtereignisse handelt, legen Sie ihn auf eine einzelne Region fest, indem Sie die `--no-multi-region-enabled` Option hinzufügen. Der Kündigungsschutz ist standardmäßig aktiviert, und der Ereignisdatenspeicher erfasst keine Ereignisse für Konten in einer Organisation.
```
aws cloudtrail create-event-data-store \
--name my-event-data-store \
--no-multi-region-enabled \
--retention-period 90 \
--advanced-event-selectors '[
{
"Name": "Select all external events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ActivityAuditLog"] }
]
}
]'
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "my-event-data-store",
"AdvancedEventSelectors": [
{
"Name": "Select all external events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"ActivityAuditLog"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
Sie benötigen die Ereignisdatenspeicher-ID (das Suffix des ARN oder `EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE` im vorherigen Antwortbeispiel), um mit dem nächsten Schritt fortzufahren und Ihren Kanal zu erstellen.
1. Führen Sie den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-channel.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-channel.html)Befehl aus, um einen Kanal zu erstellen, der es einer Partner- oder Quellanwendung ermöglicht, Ereignisse an einen Ereignisdatenspeicher in zu senden CloudTrail.
Ein Kanal umfasst die folgenden Komponenten:
**Quelle**
CloudTrail verwendet diese Informationen, um die Partner zu ermitteln, an die in CloudTrail Ihrem Namen Ereignisdaten gesendet werden. Eine Quelle ist erforderlich und kann entweder `Custom` für alle gültigen Nicht-AWS -Ereignisse oder für den Namen einer Partnerereignisquelle verwendet werden. Pro Quelle ist maximal ein Kanal zulässig.
Informationen zu den `Source`-Werten für verfügbare Partner finden Sie unter [Zusätzliche Informationen über Integrationspartner](query-event-data-store-integration.md#cloudtrail-lake-partner-information).
**Status der Aufnahme**
Der Kanalstatus zeigt an, wann die letzten Ereignisse von einer Kanalquelle empfangen wurden.
**Ziele**
Die Ziele sind die CloudTrail Lake-Ereignisdatenspeicher, die Ereignisse vom Kanal empfangen. Sie können die Zielereignisdatenspeicher für einen Kanal ändern.
Um keine Ereignisse mehr von einer Quelle zu empfangen, löschen Sie den Kanal.
Sie benötigen die ID von mindestens einem Zielereignisdatenspeicher, um diesen Befehl auszuführen. Der gültige Zieltyp ist `EVENT_DATA_STORE`. Sie können aufgenommene Ereignisse an mehr als einen Ereignisdatenspeicher senden. Mit dem folgenden Beispielbefehl wird ein Kanal erstellt, der Ereignisse an zwei Ereignisdatenspeicher sendet, die IDs im `Location` Attribut des `--destinations` Parameters durch sie repräsentiert werden. Die Parameter `--destinations`, `--name` und `--source` müssen angegeben werden. Um Ereignisse von einem CloudTrail Partner aufzunehmen, geben Sie den Namen des Partners als Wert von an`--source`. Wenn Sie Ereignisse aus Ihren eigenen externen Anwendungen aufnehmen möchten AWS, geben Sie `Custom` den Wert von an. `--source`
```
aws cloudtrail create-channel \
--region us-east-1 \
--destinations '[{"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE"}, {"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEg922-5n2l-3vz1- apqw8EXAMPLE"}]'
--name my-partner-channel \
--source $partnerSourceName \
```
Kopieren Sie als Antwort auf Ihren **create-channel**-Befehl den ARN des neuen Kanals. Sie benötigen den ARN, um die `put-resource-policy`- und `put-audit-events`-Befehle und in den nächsten Schritten auszuführen.
1. Führen Sie den **put-resource-policy**Befehl aus, um eine Ressourcenrichtlinie an den Kanal anzuhängen. Ressourcenrichtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für die Ressource ausführen kann. Die in der Ressourcenrichtlinie des Kanals als Prinzipale definierten Konten können die `PutAuditEvents`-API aufrufen, um Ereignisse zu übermitteln.
**Anmerkung**
Wenn Sie keine Ressourcenrichtlinie für den Kanal erstellen, kann nur der Kanalbesitzer die `PutAuditEvents`-API auf dem Kanal aufrufen.
Die für die Richtlinie erforderlichen Informationen werden durch den Integrationstyp bestimmt.
+ Bei einer Direktionsintegration CloudTrail muss die Richtlinie das AWS Konto IDs des Partners enthalten und Sie müssen die vom Partner bereitgestellte eindeutige externe ID eingeben. CloudTrail fügt das AWS Konto des Partners automatisch IDs zur Ressourcenrichtlinie hinzu, wenn Sie eine Integration mithilfe der CloudTrail Konsole erstellen. In der [Dokumentation des Partners](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html#cloudtrail-lake-partner-information#lake-integration-partner-documentation) erfahren Sie, wie Sie die für die Richtlinie erforderlichen AWS Kontonummern erhalten.
+ Für eine Lösungsintegration müssen Sie mindestens eine AWS Konto-ID als Principal angeben und können optional eine externe ID eingeben, um zu verhindern, dass der Stellvertreter verwirrt wird.
Die folgenden Anforderungen sind für die Ressourcenrichtlinie erforderlich:
+ Der in der Richtlinie definierte Ressourcen-ARN muss mit dem Kanal-ARN übereinstimmen, an den die Richtlinie angehängt ist.
+ Die Richtlinie enthält nur eine Aktion: cloudtrail-data: PutAuditEvents
+ Jede Richtlinie muss mindestens eine Aussage enthalten. Die Richtlinie kann maximal 20 Aussagen umfassen.
+ Jede Aussage enthält mindestens einen Prinzipal. Eine Aussage kann maximal 50 Prinzipale haben.
```
aws cloudtrail put-resource-policy \
--resource-arn "channelARN" \
--policy "{
"Version": "2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b",
"Condition":
{
"StringEquals":
{
"cloudtrail:ExternalId": "UniqueExternalIDFromPartner"
}
}
}
]
}"
```
Weitere Informationen zu Ressourcenrichtlinien finden Sie unter [AWS CloudTrail Beispiele für ressourcenbasierte Richtlinien](security_iam_resource-based-policy-examples.md).
1. Führen Sie die [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html)API aus, in die Ihre Aktivitätsereignisse aufgenommen werden sollen. CloudTrail Sie benötigen die Payload der Ereignisse, die Sie hinzufügen CloudTrail möchten. Stellen Sie sicher, dass die Event-Payload keine sensiblen oder persönlich identifizierbaren Informationen enthält, bevor Sie sie aufnehmen. CloudTrail Beachten Sie, dass die `PutAuditEvents`-API den `cloudtrail-data`-CLI-Endpunkt verwendet, nicht den `cloudtrail`-Endpunkt.
Die folgenden Beispiele demonstrieren die Verwendung des CLI-Befehls **put-audit-events**. Die Parameter **--audit-events** und **--channel-arn** müssen angegeben werden. Der **--external-id**-Parameter ist erforderlich, wenn in der Ressourcenrichtlinie eine externe ID definiert ist. Sie benötigen den ARN des Kanals, den Sie im vorherigen Schritt erstellt haben. Der Wert von **--audit-events** ist ein JSON-Array von Ereignisobjekten. `--audit-events`enthält eine erforderliche ID aus dem Ereignis, die erforderliche Nutzlast des Ereignisses als Wert von und eine [optionale Prüfsumme `EventData`](#lake-cli-integration-checksum.title), um die Integrität des Ereignisses nach der Aufnahme in zu überprüfen. CloudTrail
```
aws cloudtrail-data put-audit-events \
--channel-arn $ChannelArn \
--external-id $UniqueExternalIDFromPartner \
--audit-events \
id="event_ID",eventData='"{event_payload}"' \
id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"
```
Nachfolgend finden Sie einen Beispielbefehl mit zwei Ereignisbeispielen.
```
aws cloudtrail-data put-audit-events \
--channel-arn arn:aws:cloudtrail:us-east-1:123456789012:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--external-id UniqueExternalIDFromPartner \
--audit-events \
id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
\}"' \
id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
\}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"
```
Der folgende Beispielbefehl fügt den `--cli-input-json`-Parameter hinzu, um eine JSON-Datei (`custom-events.json`) mit Ereignis-Nutzlast anzugeben.
```
aws cloudtrail-data put-audit-events --channel-arn $channelArn --external-id $UniqueExternalIDFromPartner --cli-input-json file://custom-events.json --region us-east-1
```
Es folgen Beispiele für den Inhalt der Beispiel-JSON–Datei `custom-events.json`.
```
{
"auditEvents": [
{
"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"12.34.56.78\",\"recipientAccountId\":\"152089810396\"}",
"id": "1"
}
]
}
```
Sie können überprüfen, ob die Integration funktioniert und Ereignisse aus der Quelle CloudTrail korrekt aufnimmt, indem Sie den Befehl ausführen. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-channel.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-channel.html) Die Ausgabe von **get-channel** zeigt den letzten Zeitstempel, mit dem Ereignisse CloudTrail empfangen wurden.
```
aws cloudtrail get-channel --channel arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE
```
## (Optional) Berechnen Sie einen Prüfsummenwert
Anhand der Prüfsumme, die Sie `EventDataChecksum` in einer `PutAuditEvents` Anforderung als Wert angeben, können Sie überprüfen, ob das Ereignis CloudTrail empfangen wird, das mit der Prüfsumme übereinstimmt. Sie hilft Ihnen dabei, die Integrität von Ereignissen zu überprüfen. Der Prüfsummenwert ist ein SHA256 Base64-Algorithmus, den Sie berechnen, indem Sie den folgenden Befehl ausführen.
```
printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"source_IP_address\",
\"recipientAccountId\":\"recipient_account_ID\"}",
"id": "1"}" \
| openssl dgst -binary -sha256 | base64
```
Der Befehl gibt die Prüfsumme zurück. Im Folgenden wird ein -Beispiel gezeigt.
```
EXAMPLEDHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=
```
Der Prüfsummenwert wird der Wert von `EventDataChecksum` in Ihrer `PutAuditEvents`-Anfrage. Wenn die Prüfsumme nicht mit der für das angegebene Ereignis übereinstimmt, wird das Ereignis mit einem CloudTrail Fehler zurückgewiesen. `InvalidChecksum`
# Aktualisiere einen Kanal mit AWS CLI
In diesem Abschnitt wird beschrieben, wie Sie den verwenden können AWS CLI , um einen Kanal für eine CloudTrail Lake-Integration zu aktualisieren. Sie können den `update-channel` Befehl ausführen, um den Namen des Kanals zu aktualisieren oder einen anderen Zielereignisdatenspeicher anzugeben. Sie können die Quelle eines Kanals nicht aktualisieren.
Wenn Sie den Befehl ausführen, ist der `--channel` Parameter erforderlich.
Das folgende Beispiel zeigt, wie der Kanalname und das Ziel aktualisiert werden.
```
aws cloudtrail update-channel \
--channel aws:cloudtrail:us-east-1:123456789012:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--name "new-channel-name" \
--destinations '[{"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE"}, {"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEg922-5n2l-3vz1- apqw8EXAMPLE"}]'
```
# Löschen Sie einen Kanal, um eine Integration mit dem zu löschen AWS CLI
In diesem Abschnitt wird beschrieben, wie der `delete-channel` Befehl zum Löschen des Kanals für eine CloudTrail Lake-Integration ausgeführt wird. Sie würden einen Kanal löschen, wenn Sie die Aufnahme von Partnerereignissen oder anderen Aktivitätsereignissen außerhalb von AWS beenden möchten. Der ARN oder die Kanal-ID (das ARN-Suffix) des Kanals, den Sie löschen möchten, ist erforderlich.
Das folgende Beispiel zeigt, wie der Kanal gelöscht wird.
```
aws cloudtrail delete-channel \
--channel EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE
```
## Zusätzliche Informationen über Integrationspartner
Die Tabelle in diesem Abschnitt enthält den Quellnamen für jeden Integrationspartner und identifiziert den Integrationstyp (Direkt oder Lösung).
Die Informationen in der Spalte **Quellname** sind erforderlich, wenn die `CreateChannel`-API aufgerufen wird. Sie geben den Quellnamen als Wert für den `Source`-Parameter an.
****
| Partnername (Konsole) | Quellname (API) | Integrationstyp |
| --- | --- | --- |
| Meine benutzerdefinierte Integration | Custom | Lösung |
| Cloud-Speichersicherheit | CloudStorageSecurityConsole | Lösung |
| Clumio | Clumio | Direkt |
| CrowdStrike | CrowdStrike | Lösung |
| CyberArk | CyberArk | Lösung |
| GitHub | GitHub | Lösung |
| Kong Inc | KongGatewayEnterprise | Lösung |
| LaunchDarkly | LaunchDarkly | Direkt |
| Netskope | NetskopeCloudExchange | Lösung |
| Nordcloud, ein IBM-Unternehmen | IBMMulticloud | Direkt |
| MontyCloud | MontyCloud | Direkt |
| Okta | OktaSystemLogEvents | Lösung |
| One Identity | OneLogin | Lösung |
| Shoreline.io | Shoreline | Lösung |
| Snyk.io | Snyk | Direkt |
| Wiz | WizAuditLogs | Lösung |
### Partnerdokumentation anzeigen
Sie können mehr über die Integration eines Partners mit CloudTrail Lake erfahren, indem Sie sich dessen Dokumentation ansehen.
**Wie Sie die Partnerdokumentation anzeigen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Integrationen** aus.
1. Wählen Sie auf der Seite **Integrationen** die Option **Verfügbare Quellen** und dann **Weitere Informationen** für den Partner aus, dessen Dokumentation Sie ansehen möchten.
# CloudTrail Ereignisschema für Lake Integrations
In der folgenden Tabelle werden die erforderlichen und optionalen Schemaelemente beschrieben, die denen in den CloudTrail Ereignisdatensätzen entsprechen. Der Inhalt von `eventData` wird durch Ihre Ereignisse bereitgestellt; andere Felder werden von CloudTrail After Ingestion bereitgestellt.
CloudTrail Der Inhalt des Ereignisdatensatzes wird unter ausführlicher beschrieben. [CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md)
+ [Felder, die CloudTrail nach der Aufnahme bereitgestellt werden](#fields-cloudtrail)
+ [Felder, die durch Ihre Ereignisse bereitgestellt werden](#fields-event)
Die folgenden Felder werden von after ingestion CloudTrail bereitgestellt:
| Feldname | Eingabetyp | Anforderung | Description |
| --- | --- | --- | --- |
| eventVersion | Zeichenfolge | Erforderlich | Die Ereignisversion. |
| eventCategory | Zeichenfolge | Erforderlich | Die Kategorie des Ereignisses. Für AWS Nichtereignisse ist der Wert. `ActivityAuditLog` |
| eventType | Zeichenfolge | Erforderlich | Der Ereignistyp. Für AWS Nichtereignisse ist der gültige Wert`ActivityLog`. |
| eventID | Zeichenfolge | Erforderlich | Eine eindeutige ID für ein Ereignis. |
| eventTime | Zeichenfolge | Erforderlich | Der Zeitstempel des Ereignisses im Format `yyyy-MM-DDTHH:mm:ss`, in Universal Coordinated Time (UTC). |
| awsRegion | Zeichenfolge | Erforderlich | Der AWS-Region Ort, `PutAuditEvents` an dem der Anruf getätigt wurde. |
| recipientAccountId | Zeichenfolge | Erforderlich | Stellt die Konto-ID dar, die dieses Ereignis empfangen hat. CloudTrail füllt dieses Feld aus, indem es anhand der Nutzdaten des Ereignisses berechnet wird. |
| addendum | - | Optional | Zeigt Informationen dazu an, warum sich eine Ereignisausführung verzögert hat. Wenn Informationen zu einem bestehenden Ereignis fehlten, enthält der Nachtragsblock die fehlenden Informationen und einen Grund für das Fehlen. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Optional | Der Grund, dass das Ereignis oder einige seiner Inhalte fehlten. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Optional | Die Ereignisdatensatzfelder, die durch das Addendum aktualisiert werden. Dies wird nur angegeben, wenn der Grund `UPDATED_DATA` ist. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Optional | Die ursprüngliche Ereignis-UID aus der Quelle. Dies wird nur angegeben, wenn der Grund `UPDATED_DATA` ist. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Optional | Die ursprüngliche Ereignis-ID. Dies wird nur angegeben, wenn der Grund `UPDATED_DATA` ist. |
| Metadaten | - | Erforderlich | Informationen über den Kanal, den das Ereignis verwendet hat. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Erforderlich | Der Zeitstempel des Ereignisses im `yyyy-MM-DDTHH:mm:ss`-Format, in Universal Coordinated Time (UTC). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Erforderlich | Der ARN des Kanals, den das Ereignis verwendet hat. |
Die folgenden Felder werden von Kundenereignissen bereitgestellt:
| Feldname | Eingabetyp | Anforderung | Description |
| --- | --- | --- | --- |
| eventData | - | Erforderlich | Die Auditdaten, an die CloudTrail im Rahmen eines PutAuditEvents Anrufs gesendet wurden. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Erforderlich | Die Version des Ereignisses aus seiner Quelle. Längenbeschränkungen: Maximale Länge von 256. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | - | Erforderlich | Informationen über den Benutzer, der eine Anforderung gestellt hat. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Erforderlich | Der Typ der Benutzeridentität. Längenbeschränkungen: Maximale Länge von 128. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Erforderlich | Die eindeutige ID für den Ausführenden dieses Ereignis. Längenbeschränkungen: Maximale Länge von 1024. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | JSON-Objekt | Optional | Zusätzliche Informationen über die Identität. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Optional | Der Agent über den die Anfrage erfolgte. Längenbeschränkungen: Maximale Länge von 1024. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Erforderlich | Dies ist die Partnerereignisquelle oder die benutzerdefinierte Anwendung, für die Ereignisse protokolliert werden. Längenbeschränkungen: Maximale Länge von 1024. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Erforderlich | Die angeforderte Aktion, eine der Aktionen in der API für den Quellservice oder die Quellanwendung. Längenbeschränkungen: Maximale Länge von 1024. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Erforderlich | Der Zeitstempel des Ereignisses im Format `yyyy-MM-DDTHH:mm:ss`, in UTC (Universal Coordinated Time). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Erforderlich | Der UID-Wert, anhand dessen die Anforderung identifiziert wird. Der aufgerufene Service oder die aufgerufene Anwendung generiert diesen Wert. Längenbeschränkungen: Maximale Länge von 1024. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | JSON-Objekt | Optional | Die Parameter, die mit der Anforderung gesendet wurden, sofern zutreffend. Dieses Feld hat eine maximale Größe von 100 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgelehnt. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | JSON-Objekt | Optional | Das Antwortelement für Aktionen, die Änderungen vornehmen (Erstellungs-, Aktualisierungs- oder Löschungsaktionen). Dieses Feld hat eine maximale Größe von 100 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgelehnt. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Optional | Eine Zeichenfolge, die einen Fehler für das Ereignis darstellt. Längenbeschränkungen: Maximale Länge von 256. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Optional | Die Beschreibung des Fehlers. Längenbeschränkungen: Maximale Länge von 256. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Optional | Die IP-Adresse, von der die Anforderung erfolgt ist. IPv4 Sowohl IPv6 Adressen als auch Adressen werden akzeptiert. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | Zeichenfolge | Erforderlich | Repräsentiert die Konto-ID, die das Ereignis empfangen hat. Die Konto-ID muss mit der AWS Konto-ID identisch sein, der der Kanal gehört. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-integration-event-schema.html) | JSON-Objekt | Optional | Zusätzliche Daten zu dem Ereignis, die nicht Teil der Anforderung oder Antwort waren. Dieses Feld hat eine maximale Größe von 28 KB; Inhalte, die diesen Grenzwert überschreiten, werden abgelehnt. |
Das folgende Beispiel zeigt die Hierarchie der Schemaelemente, die denen in den CloudTrail Ereignisdatensätzen entsprechen.
```
{
"eventVersion": String,
"eventCategory": String,
"eventType": String,
"eventID": String,
"eventTime": String,
"awsRegion": String,
"recipientAccountId": String,
"addendum": {
"reason": String,
"updatedFields": String,
"originalUID": String,
"originalEventID": String
},
"metadata" : {
"ingestionTime": String,
"channelARN": String
},
"eventData": {
"version": String,
"userIdentity": {
"type": String,
"principalId": String,
"details": {
JSON
}
},
"userAgent": String,
"eventSource": String,
"eventName": String,
"eventTime": String,
"UID": String,
"requestParameters": {
JSON
},
"responseElements": {
JSON
},
"errorCode": String,
"errorMessage": String,
"sourceIPAddress": String,
"recipientAccountId": String,
"additionalEventData": {
JSON
}
}
}
```