CloudTrail Protokollierung für Transfer Family Family-Web-Apps - AWS Transfer Family
Amazon S3 S3-Datenereignisse aktivierenBeispiele für AuthentifizierungsprotokolleProtokolleinträge anzeigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudTrail Protokollierung für Transfer Family Family-Web-Apps

CloudTrail ist ein Programm AWS-Service , das eine Aufzeichnung der Aktionen erstellt, die in Ihrem ausgeführt wurden AWS-Konto. Es überwacht und zeichnet kontinuierlich API-Operationen für Aktivitäten wie Konsolenanmeldungen, AWS Command Line Interface Befehle und SDK/API Operationen auf. Auf diese Weise können Sie protokollieren, wer wann und von wo aus welche Maßnahmen ergriffen hat. CloudTrail hilft bei der Prüfung, beim Zugriffsmanagement und bei der Einhaltung gesetzlicher Vorschriften, indem es einen Verlauf aller Aktivitäten in Ihrer AWS Umgebung bereitstellt.

Bei Transfer Family Family-Web-Apps können Sie sowohl Authentifizierungsereignisse als auch Datenzugriffsvorgänge Ihrer Benutzer verfolgen. Um eine umfassende Protokollierung zu aktivieren, müssen Sie:

  1. Konfigurieren Sie CloudTrail die Konfiguration so, dass Verwaltungsereignisse zur Nachverfolgung von Authentifizierungsaktivitäten protokolliert werden.

  2. Aktivieren Sie Amazon S3 S3-Datenereignisse, um Dateioperationen zu verfolgen, die über Ihre Web-App ausgeführt werden.

Informationen finden Sie auch unter:

Amazon S3 S3-Datenereignisse aktivieren

Um Dateioperationen zu verfolgen, die über Transfer Family Family-Web-Apps auf Ihren Amazon S3 S3-Buckets ausgeführt werden, müssen Sie Datenereignisse für diese Buckets aktivieren. Datenereignisse ermöglichen API-Aktivitäten auf Objektebene und sind besonders nützlich für die Nachverfolgung von Datei-Uploads, Downloads und anderen Vorgängen, die von Web-App-Benutzern ausgeführt werden.

So aktivieren Sie Amazon S3 S3-Datenereignisse für Ihre Transfer Family Family-Web-App:

  1. Öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im Navigationsbereich Trails aus und wählen Sie dann einen vorhandenen Trail aus, oder erstellen Sie einen neuen.

  3. Wählen Sie unter Erweiterte Event-Selektoren die Option Bearbeiten aus.

  4. Wählen Sie Erweiterte Eventauswahl hinzufügen aus.

  5. Für den ersten Feldselektor:

    • Setzen Sie das Feld auf eventCategory

    • Setzen Sie Operator auf Gleich

    • Setzen Sie den Wert auf Data

  6. Wählen Sie Feld hinzufügen und gehen Sie für die zweite Feldauswahl wie folgt vor:

    • Setzen Sie Feld auf resources.type

    • Setzen Sie Operator auf Gleich

    • Setzen Sie den Wert auf AWS::S3::Object

  7. (Optional) Um Ereignisse nur für bestimmte Buckets zu protokollieren, wählen Sie Feld hinzufügen und fügen Sie Folgendes hinzu:

    • Stellen Sie Feld ein auf resources.ARN

    • Setzen Sie den Operator auf Beginnt mit

    • Setzen Sie den Wert auf arn:aws:s3:::your-bucket-name/

  8. Wählen Sie Änderungen speichern aus.

Alternativ können Sie die Konfiguration für ältere Datenereignisse verwenden:

  1. Wählen Sie unter Datenereignisse die Option Bearbeiten aus.

  2. Wählen Sie als Datenereignistyp die Option S3-Bucket- und Objektereignisse aus.

  3. Wählen Sie die Amazon S3 S3-Buckets aus, für die Datenereignisse protokolliert werden sollen. Sie können Alle aktuellen und future S3-Buckets auswählen oder einzelne Buckets angeben.

  4. Wählen Sie aus, ob Leseereignisse, Schreibereignisse oder beides protokolliert werden sollen.

  5. Wählen Sie Änderungen speichern aus.

Nachdem Sie Datenereignisse aktiviert haben, können Sie auf diese Protokolle in dem Amazon S3 S3-Bucket zugreifen, für den Sie konfiguriert sind CloudTrail. Die Protokolle enthalten Details wie den Benutzer, der die Aktion ausgeführt hat, den Zeitstempel der Aktion, das betroffene Objekt und das onBehalfOf Feld, mit dem die vier Aktionen verfolgt werden können, die über die userId Transfer Family Family-Web-Apps ausgeführt wurden.

Ihre Logs finden und einsehen

Es gibt verschiedene Möglichkeiten, CloudTrail Protokolle für Ihre Transfer Family Family-Web-App zu finden und anzuzeigen:

Verwenden der CloudTrail Konsole

Der schnellste Weg, um sich aktuelle Ereignisse anzusehen:

  1. Öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie Eventverlauf aus.

  3. Ereignisse filtern nach:

    • Ereignisquelle: signin.amazonaws.com für Web-App-Ereignisse

    • Ereignisquelle: s3.amazonaws.com für Dateioperationen

  4. Klicken Sie auf ein Ereignis, um detaillierte Informationen anzuzeigen.

Zugreifen auf Protokolle in Amazon S3

So greifen Sie auf die vollständigen Protokolldateien zu, die in Amazon S3 gespeichert sind:

  1. Identifizieren Sie den Amazon S3 S3-Bucket Ihres CloudTrail Trails:

    aws cloudtrail describe-trails --query 'trailList[*].[Name,S3BucketName]' --output table

  2. Navigieren Sie zu den Protokolldateien in Amazon S3:

    aws s3 ls s3://your-cloudtrail-bucket/AWSLogs/account-id/CloudTrail/region/YYYY/MM/DD/

  3. Laden Sie die Protokolldateien für Ihre Web-App-ID herunter und durchsuchen Sie sie:

    aws s3 cp s3://your-cloudtrail-bucket/AWSLogs/account-id/CloudTrail/region/YYYY/MM/DD/ . --recursive
gunzip *.json.gz
grep -l "webapp-1a2b3c4d5e6f7g8h9" *.json

Wird AWS CLI zur Suche nach Ereignissen verwendet

Suchen Sie mithilfe der folgenden Optionen nach bestimmten Web-App-Ereignissen AWS CLI:

aws logs filter-log-events \
  --log-group-name /aws/cloudtrail/your-trail-name \
  --filter-pattern "webapp-1a2b3c4d5e6f7g8h9" \
  --start-time $(date -d "1 day ago" +%s)000

Oder suchen Sie nach Authentifizierungsereignissen:

aws logs filter-log-events \
  --log-group-name /aws/cloudtrail/your-trail-name \
  --filter-pattern "UserAuthentication" \
  --start-time $(date -d "1 day ago" +%s)000

Beispiele für Authentifizierungsprotokolle

CloudTrail protokolliert Authentifizierungsereignisse für Transfer Family Family-Web-Apps, sodass Sie erfolgreiche und fehlgeschlagene Anmeldeversuche verfolgen können. Diese Protokolle sind besonders nützlich für Sicherheitsüberwachungs- und Compliance-Zwecke.

Beispiel für einen Protokolleintrag zur Überprüfung der Anmeldeinformationen

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein Ereignis zur Überprüfung der Anmeldeinformationen, das während des Authentifizierungsprozesses auftritt.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "123456789012",
        "arn": "",
        "accountId": "123456789012",
        "accessKeyId": "",
        "userName": "demo-user-2",
        "onBehalfOf": {
            "userId": "f12bb510-a011-702f-10dd-5607e2776dbc",
            "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e"
        },
        "credentialId": "58138a11-87e5-401d-8f0b-7161c9389112"
    },
    "eventTime": "2025-08-08T15:29:30Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialVerification",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "192.0.2.224",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "f304a48b-7b6d-41c8-b136-4f49c91c1f31",
        "CredentialType": "PASSWORD"
    },
    "requestID": "ff936828-4a81-453c-802d-81368b6bca1a",
    "eventID": "70cb7008-493d-42c2-a9eb-38bf168af6a8",
    "readOnly": false,
    "eventType": "AWS ServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "serviceEventDetails": {
        "CredentialVerification": "Success"
    },
    "eventCategory": "Management"
}

Dieses Ereignis bietet zusätzliche Informationen über den Schritt zur Überprüfung der Anmeldeinformationen im Authentifizierungsprozess und zeigt die spezifische Anmeldeinformations-ID und die verwendete Authentifizierungsworkflow-ID an.

Beispiel für einen Protokolleintrag für die Anmeldeauthentifizierung

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein erfolgreiches Benutzerauthentifizierungsereignis bei der Web-App-Anmeldung mit IAM Identity Center.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "123456789012",
        "arn": "",
        "accountId": "123456789012",
        "accessKeyId": "",
        "userName": "demo-user-2",
        "onBehalfOf": {
            "userId": "f12bb510-a011-702f-10dd-5607e2776dbc",
            "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e"
        },
        "credentialId": "b41f0a02-1635-4d07-a414-aecf9e14b906"
    },
    "eventTime": "2025-08-07T14:09:07Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "UserAuthentication",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "192.0.2.14",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "7a4ef12c-7c4b-4bc3-b5bd-c2469afcc795",
        "LoginTo": "https://example.awsapps.com/start/",
        "CredentialType": "PASSWORD"
    },
    "requestID": "fc91bcf0-ac53-4454-a1a0-fb911eacc095",
    "eventID": "18522007-1e60-4a71-b2b5-150baf504ab3",
    "readOnly": false,
    "eventType": "AWS ServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "serviceEventDetails": {
        "UserAuthentication": "Success"
    },
    "eventCategory": "Management"
}

Beachten Sie in diesem Beispiel die folgenden wichtigen Felder:

  • eventSource: Zeigt „signin.amazonaws.com“ an, was darauf hinweist, dass es sich um ein IAM Identity Center-Authentifizierungsereignis handelt.

  • userIdentity.onBehalfOf: Enthält die Benutzer-ID und den Identitätsspeicher-ARN für den Web-App-Benutzer.

  • additionalEventData.LoginTo: Zeigt die URL der IAM Identity Center-Anwendung an, auf die zugegriffen wird.

  • additionalEventData.CredentialType: Gibt die verwendete Authentifizierungsmethode an (PASSWORD).

  • serviceEventDetails: Zeigt das Authentifizierungsergebnis an (Erfolg).

Beispiel für einen Protokolleintrag für ListCallerAccessGrants

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein ListCallerAccessGrants Ereignis, das auftritt, wenn die Transfer Family Family-Web-App verfügbare Zugriffsberechtigungen für einen Benutzer abfragt.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLEID:aws-transfer",
        "arn": "arn:aws:sts::123456789012:assumed-role/AWS TransferWebAppIdentityBearer-us-east-2/aws-transfer",
        "accountId": "123456789012",
        "accessKeyId": "ASIAEXAMPLEKEY",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLEID",
                "arn": "arn:aws:iam::123456789012:role/service-role/AWS TransferWebAppIdentityBearer-us-east-2",
                "accountId": "123456789012",
                "userName": "AWS TransferWebAppIdentityBearer-us-east-2"
            },
            "attributes": {
                "creationDate": "2025-08-08T15:29:34Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "transfer.amazonaws.com",
        "onBehalfOf": {
            "userId": "f12bb510-a011-702f-10dd-5607e2776dbc",
            "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e"
        }
    },
    "eventTime": "2025-08-08T15:29:35Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "ListCallerAccessGrants",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "transfer.amazonaws.com",
    "userAgent": "transfer.amazonaws.com",
    "requestParameters": {
        "Host": "123456789012.s3-control.dualstack.us-east-2.amazonaws.com",
        "allowedByApplication": "true",
        "maxResults": "100"
    },
    "responseElements": null,
    "additionalEventData": {
        "SignatureVersion": "SigV4",
        "CipherSuite": "TLS_AES_128_GCM_SHA256",
        "bytesTransferredIn": 0,
        "AuthenticationMethod": "AuthHeader",
        "x-amz-id-2": "1g34AaAELn/fntxwrifVsr41VDl8dp5ygWFasHJFNVq5FDCWYfX0ye7s4tWHEJC8ppI5lLePYLIcw3iTXAgn5Q==",
        "bytesTransferredOut": 462
    },
    "requestID": "48485MTZEDWT0ANT",
    "eventID": "3de5dd60-b7cf-474c-a1ab-631467c1a5c3",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS:S3::AccessGrantsInstance",
            "ARN": "arn:aws:s3:us-east-2:123456789012:access-grants/default"
        }
    ],
    "eventType": "AWS ApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Beachten Sie in diesem Beispiel die folgenden wichtigen Felder:

  • eventName: Zeigt, dass es sich um ein ListCallerAccessGrants Ereignis handelt, das verfügbare S3-Zugriffsberechtigungen abfragt.

  • requestParameters.allowedByApplication: Zeigt an, dass die Abfrage nach den von der Anwendung zugelassenen Berechtigungen gefiltert wurde.

  • requestParameters.maxResults: Zeigt die maximale Anzahl von Zuschüssen an, die in der Antwort zurückgegeben werden können.

  • userIdentity.onBehalfOf: Verknüpft die Anfrage mit dem spezifischen Web-App-Benutzer.

Dieses Ereignis hilft dabei, nachzuverfolgen, wann die Transfer Family Family-Web-App abfragt, auf welche S3-Ressourcen ein Benutzer Zugriff hat, und bietet so Einblick in die Vorgänge zur Ermittlung von Zugriffsberechtigungen.

Beispiel für einen Protokolleintrag für ein GetDataAccess Ereignis

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein GetDataAccess Ereignis, das auftritt, wenn die Transfer Family Family-Web-App im Namen eines Benutzers Zugriffsberechtigungen für S3-Ressourcen anfordert.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROASEQRAEABP7ADWEZA5:aws-transfer",
        "arn": "arn:aws:sts::123456789012:assumed-role/AWSTransferWebAppIdentityBearer-ap-southeast-1/aws-transfer",
        "accountId": "123456789012",
        "accessKeyId": "ASIAEXAMPLEKEY",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROASEQRAEABP7ADWEZA5",
                "arn": "arn:aws:iam::123456789012:role/service-role/AWSTransferWebAppIdentityBearer-ap-southeast-1",
                "accountId": "123456789012",
                "userName": "AWSTransferWebAppIdentityBearer-ap-southeast-1"
            },
            "attributes": {
                "creationDate": "2025-05-08T16:09:05Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "transfer.amazonaws.com",
        "onBehalfOf": {
            "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9667b0da7a",
            "userId": "191a35ec-10a1-70c1-e4ab-e2802411e13e"
        }
    },
    "eventTime": "2025-05-08T16:10:25Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "GetDataAccess",
    "awsRegion": "ap-southeast-1",
    "sourceIPAddress": "transfer.amazonaws.com",
    "userAgent": "transfer.amazonaws.com",
    "requestParameters": {
        "Host": "123456789012.s3-control.dualstack.ap-southeast-1.amazonaws.com",
        "durationSeconds": 900,
        "permission": "READWRITE",
        "target": "s3://amzn-s3-demo-bucket/users/john.doe/documents/*"
    },
    "responseElements": null,
    "additionalEventData": {
        "AuthenticationMethod": "AuthHeader",
        "CipherSuite": "TLS_AES_128_GCM_SHA256",
        "SignatureVersion": "SigV4",
        "bytesTransferredIn": 0,
        "bytesTransferredOut": 2244,
        "x-amz-id-2": "8ce8sZOgNwsaj9w1mzagyA+csONjYl8FgEw4FGpE8DARi90aNC0RFWlTYNEn7ChqE9RCJrTzMvS+ru7Vz2xXHrkQt/1uQ9exZTZdlhX+/fM="
    },
    "requestID": "BXGSKKQXCWS5RAHB",
    "eventID": "c11db1d1-dfb8-431e-8625-48eba2ebadfe",
    "readOnly": true,
    "resources": [
        {
            "type": "AWS:S3::AccessGrantsInstance",
            "ARN": "arn:aws:s3:ap-southeast-1:123456789012:access-grants/default",
            "accountId": "123456789012"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Beachten Sie in diesem Beispiel die folgenden wichtigen Felder:

  • eventName: Zeigt, dass dies ein GetDataAccess Ereignis ist, das auftritt, wenn Transfer Family Zugriffsberechtigungen für S3-Ressourcen anfordert.

  • userIdentity.onBehalfOf: Enthält den ARN und die Benutzer-ID des Identitätsspeichers und verknüpft die Zugriffsanforderung mit dem spezifischen Web-App-Benutzer.

  • requestParameters.target: Zeigt das S3-Pfadmuster an, für das der Zugriff angefordert wurde.

  • requestParameters.permission: Gibt die Art des angeforderten Zugriffs an (READWRITE, READ oder WRITE).

  • requestParameters.durationSeconds: Zeigt an, wie lange die Zugriffsgewährung gültig ist (normalerweise 900 Sekunden/15 Minuten).

  • sourceIPAddressunduserAgent: Beide zeigen „transfer.amazonaws.com“ an, was darauf hinweist, dass es sich um eine interne Serviceanfrage handelt.

GetDataAccess Ereignisse sind besonders nützlich, um nachzuverfolgen, wann Benutzern der Transfer Family Family-Web-App Zugriff auf bestimmte S3-Ressourcen gewährt wird. So können Sie die Zugriffsmuster überwachen und die ordnungsgemäße Autorisierung sicherstellen.

CloudTrail Protokolleinträge anzeigen

Es gibt verschiedene Möglichkeiten, CloudTrail Protokolleinträge für Ihre Transfer Family Family-Web-App anzuzeigen und zu analysieren:

Verwenden der CloudTrail Konsole

Die CloudTrail Konsole bietet eine benutzerfreundliche Oberfläche zum Anzeigen und Filtern von Protokolleinträgen:

  1. Öffnen Sie die CloudTrail Konsole unter https://console.aws.amazon.com/cloudtrail/.

  2. Wählen Sie im Navigationsbereich Ereignisverlauf aus.

  3. Verwenden Sie die Filteroptionen, um die Ereignisse einzugrenzen:

    • Stellen Sie Eventquelle auf eintransfer.amazonaws.com, um nur Transfer Family Family-Ereignisse anzuzeigen.

    • Filtern Sie nach dem Namen des Ereignisses, um bestimmte Operationen wie anzuzeigenUserAuthentication.

    • Verwenden Sie den Zeitraum, um sich auf Ereignisse innerhalb eines bestimmten Zeitraums zu konzentrieren.

  4. Klicken Sie auf ein Ereignis, um detaillierte Informationen zu erhalten.

Zugreifen auf Protokolle in Amazon S3

Wenn Sie einen CloudTrail Trail für die Übermittlung von Protokollen an einen Amazon S3 S3-Bucket konfiguriert haben, können Sie direkt auf die Rohprotokolldateien zugreifen:

  1. Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Navigieren Sie zu dem Bucket und dem Präfix, in dem Ihre CloudTrail Logs gespeichert sind.

  3. Die Protokolle sind nach Jahr, Monat, Tag und Region geordnet. Navigieren Sie zum entsprechenden Verzeichnis.

  4. Laden Sie die Protokolldateien im JSON-Format herunter und öffnen Sie sie.