Allgemeines

F: Was ist AWS CloudTrail?

CloudTrail ermöglicht Auditing, Sicherheitsüberwachung und operative Fehlerbehebung durch Nachverfolgung von Benutzeraktivitäten und API-Nutzung. CloudTrail protokolliert, überwacht und speichert Kontoaktivitäten im Zusammenhang mit Aktionen in Ihrer AWS-Infrastruktur und gibt Ihnen die Kontrolle über Speicherung, Analyse und Abhilfemaßnahmen.

F: Welche Vorteile bietet CloudTrail?

CloudTrail hilft Ihnen, Compliance nachzuweisen, die Sicherheitslage zu verbessern und Aktivitätsaufzeichnungen über Regionen und Konten hinweg zu konsolidieren. CloudTrail bietet einen Einblick in die Benutzeraktivitäten, indem es die in Ihrem Konto durchgeführten Aktionen aufzeichnet. CloudTrail zeichnet wichtige Informationen über jede Aktion auf, darunter auch, wer die Anfrage gestellt hat, die verwendeten Services, die durchgeführten Aktionen, die Parameter für die Aktionen und die vom AWS-Service zurückgegebenen Antwortelemente. Diese Informationen helfen Ihnen, Änderungen an Ihren AWS-Ressourcen nachzuverfolgen und betriebliche Probleme zu beheben. CloudTrail vereinfacht die Einhaltung interner Richtlinien und gesetzlicher Vorschriften. Weitere Details finden Sie im AWS-Whitepaper zum Thema Compliance Security at scale: Logging in AWS (Skalierbare Sicherheit: Anmelden bei AWS).

F: Wer sollte CloudTrail verwenden?

Verwenden Sie CloudTrail, wenn Sie Aktivitäten prüfen, die Sicherheit überwachen oder betriebliche Probleme beheben müssen.

Erste Schritte

F: Wenn ich ein neuer AWS-Kunde oder ein bestehender AWS-Kunde bin und kein CloudTrail-Setup eingerichtet habe, muss ich irgendetwas aktivieren oder einrichten, um meine Kontoaktivitäten anzuzeigen?

Nein, Sie können Ihre Kontoaktivitäten sofort anzeigen. Besuchen Sie die AWS-CloudTrail-Konsole oder rufen Sie das AWS-CLI-Tool, um die Kontoaktivitäten der vergangenen 90 Tage anzuzeigen.

F: Werden im CloudTrail-Ereignisverlauf alle Aktivitäten innerhalb meines Kontos angezeigt?

AWS CloudTrail zeigt nur die Ergebnisse des CloudTrail-Ereignisverlaufs für die aktuelle Region an, die Sie für die letzten 90 Tage betrachten, und unterstützt eine Reihe von AWS-Services. Diese Ereignisse beschränken sich auf Verwaltungsereignisse, die API-Aufrufe und Kontoaktivitäten erstellen, ändern und löschen. Für eine vollständige Aufzeichnung der Kontoaktivitäten, darunter auch aller Verwaltungsereignisse, Datenereignisse und Nur-Lese-Aktivitäten, müssen Sie einen CloudTrail-Pfad konfigurieren.

F: Welche Suchfilter kann ich zum Anzeigen meiner Kontoaktivitäten verwenden?

Sie können den Zeitraum und eines der folgenden Attribute festlegen: Ereignisname, Benutzername, Ressourcenname, Ereignisquelle, Ereignis-ID und Ressourcentyp.

F: Kann ich den CLI-Befehl lookup-events auch verwenden, wenn ich keinen Pfad konfiguriert habe?

Ja, Sie können in der CloudTrail-Konsole oder mithilfe der CloudTrail API oder des CLI-Tools die Kontoaktivitäten der vergangenen 90 Tage anzeigen.

F: Welche zusätzlichen Funktionen von CloudTrail sind nach der Erstellung eines Trails verfügbar?

Richten Sie einen CloudTrail-Pfad ein, um Ihre CloudTrail-Ereignisse an Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch Logs und Amazon CloudWatch Events zu liefern. So können Sie Funktionen zum Archivieren, Analysieren und Reagieren auf Änderungen in Ihren AWS-Ressourcen nutzen.

F: Kann ich den Benutzerzugriff auf den CloudTrail-Ereignisverlauf einschränken?

Ja, CloudTrail ist mit AWS Identity and Access Management (IAM) integriert, das Ihnen hilft, den Zugriff auf CloudTrail und auf andere AWS-Ressourcen, die CloudTrail benötigt, zu kontrollieren. Dazu gehört auch die Möglichkeit, die Berechtigungen zum Anzeigen und Durchsuchen von Kontoaktivitäten einzuschränken. Entfernen Sie „cloudtrail:LookupEvents“ aus der IAM-Richtlinie Users, um zu verhindern, dass dieser IAM-Benutzer die Kontoaktivitäten einsehen kann.

F: Fallen nach der Aktivierung des CloudTrail-Ereignisverlaufs für mein Konto irgendwelche Gebühren an?

Das Anzeigen oder Durchsuchen der Kontoaktivitäten innerhalb des CloudTrail-Ereignisverlaufs ist kostenlos.

F: Kann ich den CloudTrail-Ereignisverlauf für mein Konto deaktivieren?

Für alle erstellten CloudTrail-Trails können Sie die Protokollierung beenden oder die Trails löschen. Dadurch wird auch die Übermittlung von Kontoaktivitäten an den Amazon-S3-Bucket, den Sie als Teil Ihrer Pfad-Konfiguration festgelegt haben und die Übermittlung an CloudWatch Logs, falls konfiguriert, gestoppt. Die Kontoaktivität der letzten 90 Tage wird weiterhin gesammelt und in der CloudTrail-Konsole und über die AWS Command Line Interface (AWS CLI) angezeigt.

Unterstützung von Services und Regionen

F: Welche Services werden von CloudTrail unterstützt?

CloudTrail zeichnet die Kontoaktivitäten und servicerelevanten Ereignisse der meisten AWS-Services auf. Eine Liste der unterstützten Services finden Sie unter CloudTrail – Unterstützte Services im CloudTrail-Benutzerhandbuch.

F: Werden über die AWS-Managementkonsole erfolgte API-Aufrufe aufgezeichnet?

Ja. CloudTrail zeichnet API-Aufrufe von jedem Client aus auf. Die AWS-Managementkonsole, AWS-SDKs, Befehlszeilen-Tools und höher angesiedelten AWS-Services rufen AWS-API-Abläufe auf, weshalb diese Aufrufe aufgezeichnet werden.

F: Wo werden meine Protokolldateien gespeichert und verarbeitet, bevor sie an meinen S3-Bucket übermittelt werden?

Aktivitätsinformationen für Services mit regionalen Endpunkten (wie Amazon Elastic Compute Cloud [Amazon EC2] oder Amazon Relational Database Service [Amazon RDS]) werden in derselben Region erfasst und verarbeitet, in der die Aktion durchgeführt wird. Sie wird dann an die Region geliefert, die mit Ihrem S3-Bucket verbunden ist. Aktivitätsinformationen für Services mit einzelnen Endpunkten wie IAM und AWS Security Token Service (AWS STS) werden in der Region erfasst, in der sich der Endpunkt befindet. Es wird dann in der Region verarbeitet, in der der CloudTrail-Pfad konfiguriert ist, und an die Region übermittelt, die mit Ihrem S3-Bucket verbunden ist.

Trail auf alle Regionen anwenden

F: Was bedeutet es, einen Trail auf alle AWS-Regionen anzuwenden?

Die Anwendung eines Trails auf alle AWS-Regionen bezieht sich auf die Erstellung eines Trails, der die Aktivitäten des AWS-Kontos in allen Regionen aufzeichnet, in denen Ihre Daten gespeichert sind. Diese Einstellung gilt auch für alle neu hinzugefügten Regionen. Weitere Details zu Regionen und Partitionen finden Sie auf der Seite Amazon Resource Names and AWS Service Namespaces.

F: Welchen Nutzen hat die Anwendung eines Trails auf alle Regionen?

Sie können einen Trail für alle Regionen in der Partition mit einem API-Aufruf oder ein paar Auswahlen erstellen und verwalten. Sie erhalten eine Aufzeichnung aller Aktivitäten in Ihrem AWS-Konto für alle Regionen in einem S3-Bucket oder einer CloudWatch-Logs-Gruppe. Wenn AWS eine neue Region einführt, erhalten Sie die Protokolldateien mit dem Ereignisverlauf für die neue Region, ohne dass Sie etwas tun müssen.

F: Wie kann ich einen Pfad auf alle Regionen anwenden?

Wählen Sie in der CloudTrail-Konsole „Yes“, um den Pfad auf alle Regionen in der Pfad-Konfigurationsseite anzuwenden. Falls Sie die SDKs oder AWS CLI verwenden, setzen Sie IsMultiRegionTrail auf „True“.

F: Was passiert, wenn ich einen Trail auf alle Regionen anwende?

Sobald Sie einen Trail in allen Regionen anwenden, erstellt CloudTrail einen neuen Trail, indem es die Trail-Konfiguration repliziert. CloudTrail erstellt und verarbeitet die Protokolldateien der einzelnen Regionen. Die Protokolldateien mit den Kontoaktivitäten in allen Regionen werden an einen einzelnen S3-Bucket und eine einzelne CloudWatch-Logs-Protokollgruppe geliefert. Wenn Sie ein optionales Amazon Simple Notification Service (Amazon SNS)-Thema angegeben haben, liefert CloudTrail Amazon-SNS-Benachrichtigungen für alle Protokolldateien, die an ein einzelnes SNS-Thema geliefert werden.

F: Kann ich einen vorhandenen Pfad auf alle Regionen anwenden?

Ja. Ja, Sie können einen vorhandenen Pfad auf alle Regionen anwenden. Wenn Sie einen bestehenden Trail auf alle Regionen anwenden, erstellt CloudTrail einen neuen Trail für Sie in allen Regionen. Wenn Sie zuvor Trails in anderen Regionen erstellt haben, können Sie diese Trails über die CloudTrail-Konsole anzeigen, bearbeiten und löschen.

F: Wie lange dauert es, bis CloudTrail die Trail-Konfiguration für alle Regionen repliziert hat?

Normalerweise dauert es weniger als 30 Sekunden, um die Pfad-Konfiguration für alle Regionen zu replizieren.

Mehrere Pfade

F: Wie viele Pfade kann ich in einer Region erstellen?

Sie können bis zu fünf Pfade in einer Region erstellen. In jeder Region gibt es einen Pfad, der auf alle Regionen angewendet wird und der in jeder Region als ein einzelner Pfad gezählt wird.

F: Welche Vorteile hat das Erstellen mehrerer Pfade in einer Region?

Mit mehreren Pfaden können verschiedene Beteiligte wie Sicherheitsadministratoren, Softwareentwickler und IT-Prüfer ihre eigenen Pfade erstellen und verwalten. Ein Sicherheitsadministrator kann zum Beispiel einen Pfad erstellen, der für alle Regionen gilt, und die Verschlüsselung mit einem Amazon Key Management Service (Amazon KMS)-Schlüssel benutzen. Ein Entwickler kann einen Pfad erstellen, der für eine Region gilt, um betriebliche Probleme zu beheben.

F: Unterstützt CloudTrail Berechtigungen auf Ressourcenebene?

Ja. Dank Berechtigungen auf Ressourcenebene können Sie detaillierte Zugriffskontrollrichtlinien erstellen, um bestimmten Benutzern den Zugriff auf einen bestimmten Trail zu erlauben oder zu verweigern. Weitere Informationen finden Sie in der Dokumentation zu CloudTrail.

Sicherheit und Ablauf

F: Wie kann ich meine CloudTrail-Protokolldateien schützen?

CloudTrail-Protokolldateien werden standardmäßig mit der S3-Verschlüsselung auf Serverseite (SSE) verschlüsselt und in Ihrem S3-Bucket abgelegt. Sie können den Zugriff auf Protokolldateien mithilfe von IAM- oder S3-Bucket-Richtlinien regeln. Sie können eine weitere Schutzebene hinzufügen, indem Sie für Ihren S3-Bucket S3-Multi Factor Authentication (MFA) Delete aktivieren. Weitere Details zum Erstellen und Aktualisieren eines Pfades finden Sie in der CloudTrail-Dokumentation.

F: Wo kann ich ein Beispiel einer S3-Bucket- und SNS-Themenrichtlinie herunterladen?

Sie können ein Beispiel einer S3-Bucket-Richtlinie und SNS-Themenrichtlinie aus dem S3-Bucket von CloudTrail herunterladen. Sie müssen die Beispielrichtlinien mit Ihren Daten aktualisieren, ehe Sie sie auf Ihren S3-Bucket oder Ihr SNS-Thema anwenden.

F: Wie lange kann ich meine Aktivitätsprotokolldateien speichern?

Sie bestimmen die Aufbewahrungsrichtlinien für Ihre CloudTrail-Protokolldateien. Standardmäßig werden Protokolldateien unbegrenzt lange gespeichert. Mithilfe von Regeln für die Verwaltung des S3-Objektlebenszyklus können Sie eine eigene Aufbewahrungsrichtlinie festlegen. Sie können zum Beispiel alte Protokolldateien löschen oder sie in Amazon Simple Storage Service Glacier (Amazon S3 Glacier) archivieren.

Ereignismeldung, Pünktlichkeit und Häufigkeit der Zustellung

F: Welche Informationen stehen in einem Ereignis zur Verfügung?

In einem Ereignis werden wichtige Informationen zur damit verbundenen Aktivität aufgezeichnet: der anfordernde Benutzer, die verwendeten Services, die durchgeführten Aktionen, die dafür verwendeten Parameter sowie die Reaktionen des AWS-Service. Weitere Details finden Sie im Abschnitt CloudTrail Event Reference im Benutzerhandbuch.

F: Wie lange benötigt CloudTrail für die Übermittlung eines Ereignisses für einen API-Aufruf?

CloudTrail übermittelt Ergebnisse in der Regel binnen 5 Minuten nach dem API-Aufruf. Weitere Informationen darüber, wie CloudTrail funktioniert, finden Sie hier.  

F: Wie oft übermittelt CloudTrail Protokolldateien an meinen S3-Bucket?

CloudTrail liefert etwa alle fünf Minuten Protokolldateien an Ihren S3-Bucket. CloudTrail übermittelt Protokolldateien nur dann, wenn API-Aufrufe für Ihr Konto erfolgen.

F: Kann ich benachrichtigt werden, wenn neue Protokolldateien an meinen S3-Bucket übermittelt werden?

Ja. Sie können Amazon-SNS-Benachrichtigungen aktivieren, um sofortige Aktionen bei der Bereitstellung neuer Protokolldateien durchzuführen.

F: Ich glaube, eine meiner Protokolldateien enthält mehrere doppelte Ereignisse. Woher weiß ich, welche Ereignisse eindeutig sind?

Obwohl dies selten vorkommt, erhalten Sie möglicherweise Protokolldateien, die ein oder mehrere doppelte Ereignisse enthalten. Doppelte Ereignisse verfügen über dieselbe eventID. Weitere Informationen zum Feld eventID finden Sie unter Inhalt des CloudTrail-Eintrags.

F: Was passiert, wenn CloudTrail für mein Konto aktiviert ist, aber mein S3-Bucket nicht mit der ordnungsgemäßen Richtlinie konfiguriert ist?

CloudTrail-Protokolldateien werden in Übereinstimmung mit den S3-Bucket-Richtlinien übermittelt, die Sie eingerichtet haben. Wenn die Bucket-Richtlinien falsch konfiguriert sind, kann CloudTrail-Protokolldateien nicht übermitteln.

F: Ist es möglich, doppelte Ereignisse zu erhalten?

CloudTrail ist so konzipiert, dass es mindestens eine Übertragung abonnierter Ereignisse an S3-Buckets von Kunden unterstützt. In einigen Situationen ist es möglich, dass CloudTrail dasselbe Ereignis mehr als einmal übermittelt. Infolgedessen stellen Kunden möglicherweise doppelte Ereignisse fest.

Datenereignisse

F: Was sind Datenereignisse?

Datenereignisse bieten Einblicke in die Ressourcenvorgänge („Datenebene“), die an oder in der Ressource selbst durchgeführt wurden. Datenereignisse sind häufig Aktivitäten mit hohem Volumen und umfassen Vorgänge wie S3-API-Operationen auf Objektebene und AWS-Lambda-APIs zum Aufrufen von Funktionen. Datenereignisse sind bei der Konfiguration von Pfaden standardmäßig deaktiviert. Zur Aufzeichnung von CloudTrail-Datenereignissen müssen Sie die unterstützten Ressourcen bzw. Ressourcentypen, deren Aktivitäten Sie erfassen möchten, explizit hinzufügen. Anders als bei Verwaltungsereignissen fallen für Datenereignisse zusätzliche Gebühren an. Weitere Informationen finden Sie unter CloudTrail – Preise.

F: Wie kann ich Datenereignisse einsetzen?

Von CloudTrail aufgezeichnete Datenereignisse werden ähnlich wie Verwaltungsereignisse an S3 übermittelt. Nach der Aktivierung sind diese Ereignisse auch in Amazon CloudWatch Events verfügbar.

F: Was sind S3-Datenereignisse? Wie kann ich sie aufzeichnen?

S3-Datenereignisse stellten API-Aktivitäten für S3-Objekte dar. Damit CloudTrail diese Aktivitäten aufzeichnet, geben Sie im Datenereignisabschnitt einen S3-Bucket an, wenn Sie einen neuen Pfad erstellen oder einen vorhandenen bearbeiten. Alle API-Aktionen für Objekte im angegebenen S3-Bucket werden von CloudTrail aufgezeichnet.

F: Was sind Lambda-Datenereignisse? Wie kann ich sie aufzeichnen?

Lambda-Datenereignisse erfassen die Laufzeit von Aktivitäten von Lambda-Funktionen. Mit Lambda-Datenereignissen können Sie Details zur Laufzeit von Lambda-Funktionen abrufen. Beispiele für die Laufzeit von Lambda-Funktionen beinhalten, welcher IAM-Benutzer oder -Dienst den Invoke-API-Aufruf getätigt hat, wann der Aufruf getätigt wurde und welche Funktion angewendet wurde. Alle Lambda-Datenereignisse werden an den S3-Bucket und CloudWatch Events übermittelt. Sie aktivieren die Protokollierung von Lambda-Datenereignissen mithilfe der CLI oder der CloudTrail-Konsole. Welche Lambda-Funktionen protokolliert werden, wählen Sie aus, indem Sie einen neuen Pfad erstellen oder einen vorhandenen bearbeiten.

Delegierter Administrator

F: Kann ich einen delegierten Administrator meiner Organisation hinzufügen?

Ja, CloudTrail unterstützt jetzt das Hinzufügen von bis zu drei delegierten Administratoren pro Organisation.

F: Wer ist der Besitzer eines Organisations-Pfads oder Ereignis-Datenspeichers auf der Organisationsebene, der von einem delegierten Administrator erstellt wurde?

Das Verwaltungskonto bleibt weiterhin der Besitzer aller Organisations-Pfade oder Ereignis-Datenspeicher, die auf der Organisationsebene erstellt werden, unabhängig davon, ob es von einem delegierten Admin-Konto oder einem Verwaltungskonto erstellt wurde.

F: In welchen Regionen ist Unterstützung für delegierte Administratoren verfügbar?

Derzeit ist Unterstützung für delegierte Administratoren für CloudTrail in allen Regionen verfügbar, in denen AWS CloudTrail verfügbar ist. Weitere Informationen finden Sie in der Tabelle der AWS-Regionen.

CloudTrail Insights

F: Was sind CloudTrail Insights-Ereignisse?

CloudTrail-Insight-Ereignisse helfen Ihnen dabei, anormale Aktivitäten in Ihren AWS-Konten zu identifizieren, wie Spitzenbelastungen bei der Ressourcen-Bereitstellung, Spitzenlasten bei AWS Identity and Access-Management-Aktionen (IAM) oder Lücken bei regulären Wartungsarbeiten. CloudTrail Insights verwendet Machine-Learning-Modelle (ML), die CloudTrail-Schreib-Verwaltungsereignisse kontinuierlich auf ungewöhnliche Aktivitäten überwachen.

Wenn eine ungewöhnliche Aktivität festgestellt wird, werden CloudTrail Insights-Ereignisse in der Konsole angezeigt und an CloudWatch Events, Ihren S3-Bucket und optional an die CloudWatch Logs-Gruppe übermittelt. Dies erleichtert die Erstellung von Warnmeldungen und die Integration in bestehende Ereignisverwaltungs- und Workflow-Systeme.

F: Welche Art von Aktivitäten kann CloudTrail Insights identifizieren?

CloudTrail Insights entdeckt anormale Aktivitäten, indem CloudTrail-Schreibmanagement-Ereignisse im AWS-Konto und in der Region analysiert werden. Ein ungewöhnliches oder anormales Ereignis wird als Volumen der AWS-API-Aufrufe definiert, die von den erwarteten und zu zuvor etablierten Betriebsmustern oder der Baseline abweichen. CloudTrail Insights passt sich an Änderungen Ihrer normalen Betriebsmuster an, indem zeitbasierte Trends in Ihren API-Aufrufen einberechnet werden und adaptive Baselines als Änderungen der Arbeitsaufwände angewandt werden.

Mit CloudTrail Insights können fehlartige Skripte oder Anwendungen aufgedeckt werden. Manchmal ändert ein Entwickler ein Skript oder eine Anwendung, die einen sich wiederholenden Loop beginnt oder eine große Anzahl von Aufrufen zu unbeabsichtigten Ressourcen wie Datenbanken, Datenspeichern oder anderen Funktionen macht. Dieses Verhalten wird oft erst bei der Rechnungsstellung erkannt, wenn die Kosten bereits unerwartet hoch sind oder ein Ausfall oder eine Störung erfolgt. CloudTrail-Insights-Ereignisse informieren Sie über diese Änderungen in Ihrem AWS-Konto, und Sie können die Korrekturen schnell ausführen.

F: Wie arbeitet CloudTrail Insights mit anderen AWS-Services für die Entdeckung von ungewöhnlichen Aktivitäten zusammen?

CloudTrail Insights identifiziert ungewöhnliche betriebliche Aktivitäten in Ihren AWS-Konten und hilft Ihnen, betriebliche Probleme zu beheben und die Auswirkungen auf den Betrieb und das Geschäft zu minimieren. Amazon GuardDuty konzentriert sich auf die Verbesserung der Sicherheit Ihres Kontos und erkennt Bedrohungen durch die Überwachung von Kontoaktivitäten. Amazon Macie wurde entwickelt, um den Datenschutz in Ihrem Konto zu verbessern, indem sensible Daten entdeckt, klassifiziert und geschützt werden. Diese Services bieten zusätzlichen Schutz gegen unterschiedliche Probleme, die in Ihrem Konto auftreten können.

F: Muss ich CloudTrail einrichten, damit CloudTrail Insights funktioniert?

Ja. CloudTrail Insights-Ereignisse sind auf einzelnen Pfaden konfiguriert, deshalb müssen Sie mindesten einen Pfad eingerichtet haben. Wenn Sie CloudTrail Insights-Ereignisse für einen Pfad einschalten, beginnt CloudTrail mit der Überwachung der Schreibmanagement-Ereignisse, die für diesen Pfad für anormale Muster festgehalten werden. Wenn CloudTrail Insights anormale Aktivitäten entdeckt, wird ein CloudTrail-Insights-Ereignis am Lieferzielort, der in der Pfaddefinition festgelegt ist, gespeichert.

F: Welche Art von Ereignissen werden von CloudTrail Insights überwacht?

CloudTrail Insights verfolgt ungewöhnliche Aktivitäten für Schreibverwaltungs-API-Operationen.

F: Was sind die ersten Schritte?

Sie können CloudTrail Insights-Ereignisse für einzelne Trails in Ihrem Konto dank der Konsole, der CLI oder des SDKs aktivieren. Sie können CloudTrail Insights-Ereignisse auch unternehmensweit aktivieren, dank eines Organizational Trails, der in Ihrem AWS-Organizations-Verwaltungskonto konfiguriert ist. Sie können CloudTrail-Insights-Ereignisse einschalten, indem Sie die Optionsschaltfläche in Ihrer Trail-Definition auswählen.

CloudTrail Lake

F: Weshalb sollte ich CloudTrail Lake verwenden?

CloudTrail Lake hilft Ihnen bei der Untersuchung von Vorfällen, indem es alle von CloudTrail protokollierten Aktionen, von AWS Config aufgezeichneten Konfigurationselemente, Beweise von Audit Manager oder Ereignisse aus Nicht-AWS-Quellen abfragt. Es vereinfacht die Ereignisprotokollierung, indem es bei der Auflösung von Produktionsabhängigkeiten unterstützt und Tools zur Verfügung stellt, die bei der Reduzierung Ihrer Abhängigkeit von teamübergreifenden Datenverarbeitungs-Pipelines helfen. Mit CloudTrail Lake müssen Sie Ihre Daten nicht verschieben oder andersweitig in CloudTrail-Protokollen eingeben, welches bei der Einhaltung der Datentreue hilft und den Umgang mit Niedrigsatzgrenzen verringert, die Ihre Protokolle drosseln. Es stellt außerdem Latenzen nahezu in Echtzeit zur Verfügung, da es fein abgestimmt ist, strukturierte Protokolle von großem Volume zu verarbeiten und diese somit für Ereignisermittlung bereitstellt. Schließlich bietet CloudTrail Lake ein vertrautes Abfrageerlebnis mit mehreren Attributen mit SQL und ist in der Lage, mehrere gleichzeitige Abfragen zu planen und zu verarbeiten.

F: In welcher Beziehung steht dieses Feature zu anderen AWS-Services und funktioniert mit diesen?

CloudTrail ist die anerkannte Quelle für Protokolle von Benutzeraktivitäten und API-Nutzung über AWS-Services hinweg. Sie können CloudTrail Lake verwenden, um Aktivitäten über AWS-Services hinweg zu prüfen, sobald die Protokolle in CloudTrail verfügbar sind. Sie können Benutzeraktivitäten und betroffene Ressourcen abfragen und analysieren und diese Daten verwenden, um Probleme zu lösen, z. B. die Identifizierung böswilliger Akteure und Basisberechtigungen.

F: Wie kann ich Ereignisse aus Quellen außerhalb von AWS aufnehmen, beispielsweise aus benutzerdefinierten Anwendungen, Anwendungen von Drittanbietern oder anderen öffentlichen Clouds?

Sie können Partner-Integrationen finden und hinzufügen, um Aktivitätsereignisse von diesen Anwendungen in ein paar Schritten mit der CloudTrail-Konsole zu erhalten, ohne benutzerdefinierte Integrationen erstellen und warten zu müssen. Für andere Quellen als die verfügbaren Partner-Integrationen können Sie die neuen CloudTrail-Lake-APIs verwenden, um Ihre eigenen Integrationen einzurichten und Ereignisse nach CloudTrail Lake zu pushen. Informationen zu den ersten Schritten finden Sie unter Arbeiten mit CloudTrail Lake im CloudTrail-Benutzerhandbuch.

F. Wann empfehlen Sie die Verwendung der erweiterten Abfrage von AWS Config anstelle von CloudTrail Lake für die Abfrage von Konfigurationselementen aus AWS Config?

Die erweiterte AWS-Config-Abfrage wird für Kunden empfohlen, die den aktuellen Zustand der AWS-Config-Konfigurationselemente (CI) zusammenfassen und abfragen möchten. Dies hilft den Kunden bei der Bestandsverwaltung, der Sicherheit und der betrieblichen Intelligenz, der Kostenoptimierung und den Compliance-Daten. Die erweiterte Abfrage von AWS Config ist kostenlos, wenn Sie ein AWS-Config-Kunde sind. 

CloudTrail Lake unterstützt die Abfrage von AWS-Config-Konfigurationselementen, einschließlich der Ressourcenkonfiguration und des Compliance-Verlaufs. Die Analyse der Konfigurations- und Compliance-Historie für Ressourcen mit entsprechenden CloudTrail-Ereignissen hilft dabei, Rückschlüsse darauf zu ziehen, wer, wann und was auf diesen Ressourcen geändert wurde. Dies hilft bei der Ursachenanalyse von Vorfällen im Zusammenhang mit der Gefährdung der Sicherheit oder der Nichteinhaltung von Vorschriften. CloudTrail Lake wird empfohlen, wenn Sie Daten über CloudTrail-Ereignisse und historische Konfigurationselemente aggregieren und abfragen müssen. 

F: Wenn ich heute die Aufnahme von Konfigurationselementen aus AWS Config in CloudTrail Lake aktiviere, nimmt CloudTrail Lake dann meine historischen Konfigurationselemente auf (die vor der Erstellung von CloudTrail Lake generiert wurden) oder sammelt es nur die neu aufgezeichneten Konfigurationselemente?

CloudTrail Lake nimmt keine AWS-Config-Konfigurationselemente auf, die vor der Konfiguration von CloudTrail Lake erstellt wurden. Neu aufgezeichnete Konfigurationselemente von AWS Config werden auf Konto- oder Organisationsebene an den angegebenen CloudTrail-Lake-Ereignisdatenspeicher übermittelt. Diese Konfigurationselemente stehen im Lake für den angegebenen Aufbewahrungszeitraum zur Abfrage zur Verfügung und können für die Analyse historischer Daten verwendet werden. 

F: Kann ich immer wissen, welcher Benutzer eine bestimmte Konfigurationsänderung vorgenommen hat, indem ich CloudTrail Lake abfrage?

Wenn mehrere Benutzer kurz hintereinander versuchen, die Konfiguration einer einzelnen Ressource zu ändern, kann nur ein einziges Konfigurationselement erstellt werden, das der Endkonfiguration der Ressource entsprechen würde. In diesem und ähnlichen Szenarien ist es unter Umständen nicht möglich, eine 100 %-ige Korrelation darüber herzustellen, welcher Benutzer welche Konfigurationsänderungen vorgenommen hat, indem CloudTrail und Konfigurationsobjekte für einen bestimmten Zeitraum und eine bestimmte Ressourcen-ID abgefragt werden.

F: Wenn ich bereits Trails verwendet habe, kann ich dann bestehende CloudTrail-Protokolle in meinen bestehenden oder neuen CloudTrail-Lake-Ereignisdatenspeicher übernehmen?

Ja. Die CloudTrail-Lake-Importfunktion unterstützt das Kopieren von CloudTrail-Protokollen aus einem S3-Bucket, in dem Protokolle von mehreren Konten (aus einem Organisationspfad) und mehreren AWS-Regionen gespeichert sind. Sie können auch Protokolle von einzelnen Konten und Trails aus einzelnen Regionen importieren. Mit der Importfunktion können Sie auch einen Zeitraum für den Import festlegen, so dass Sie nur die Teilmenge der Protokolle importieren, die für die langfristige Speicherung und Analyse in CloudTrail Lake benötigt werden. Nachdem Sie Ihre Protokolle konsolidiert haben, können Sie Abfragen zu Ihren Protokollen durchführen, von den jüngsten Ereignissen, die nach der Aktivierung von CloudTrail Lake gesammelt wurden, bis hin zu historischen Ereignissen, die von Ihren Trails übernommen wurden.

F: Hat diese Importfunktion Auswirkungen auf die ursprüngliche Spur in S3? 

Die Importfunktion kopiert die Protokollinformationen von S3 nach CloudTrail Lake und lässt die Originalkopie in S3 unverändert.

F: Welche CloudTrail-Ereignisse kann ich abfragen, nachdem ich die CloudTrail-Lake-Funktion aktiviert habe?

Sie können CloudTrail Lake für alle Ereigniskategorien aktivieren, die von CloudTrail gesammelt werden, abhängig von Ihrem internen Problemlösungsbedarf. Ereigniskategorien beinhalten Verwaltungsereignisse, die Aktivitäten der Steuerebene festhalten, wie CreateBucket und TerminateInstances, sowie Datenereignisse, die Aktivitäten der Steuerebene, wie GetObject und PutObject aufzeichnen. Sie benötigen kein separates Trail-Abonnement für diese Ereignisse. Für CloudTrail Lake müssen Sie zwischen den Preisoptionen für eine verlängerbare Aufbewahrung von einem Jahr und einer Aufbewahrungsdauer von sieben Jahren wählen, was sich sowohl auf Ihre Kosten als auch auf Ihre Aufbewahrungsdauer für Ereignisse auswirkt. Sie können die Daten jederzeit abfragen. Innerhalb von CloudTrail-Lake-Dashboards unterstützen wir die Abfrage von CloudTrail-Ereignissen.

F: Wie lange muss ich nach der Aktivierung der CloudTrail-Lake-Funktion warten, bis ich mit dem Schreiben von Abfragen beginnen kann?

Sie können mit der Abfrage von aufgetretenen Aktivitäten fast sofort nach der Aktivierung der Funktion beginnen.

F: Was sind häufige Sicherheits- und Produktionsanwendungsfälle, die ich mit CloudTrail Lake lösen kann?

Häufige Anwendungsfälle beinhalten die Ermittlung von Sicherheitsereignissen, wie ungenehmigter Zugriff oder kompromittierte Benutzerdaten sowie Verstärkung Ihres Sicherheitsstatus durch die Durchführung von Audits, um die Benutzerberechtigungen regelmäßig zu prüfen. Sie können notwendige Audits durchführen, um sicherzustellen, dass die richtigen Benutzer Änderungen an Ihrer Ressource durchführen, wie z. B. Sicherheitsgruppen, und alle Änderungen verfolgen, die nicht mit Ihrer bewährten Organisationsmethode übereinstimmen. Zusätzlich können Sie Aktionen verfolgen, die auf Ihre Ressource vorgenommen wurden und Änderungen oder Löschungen bewerten sowie tiefere Einblicke auf Ihre AWS-Services-Rechnungen erhalten, einschließlich IAM-Benutzer, die Services abonnieren.

F: Was sind die ersten Schritte zum Einstieg in CloudTrail?

Wenn Sie ein aktueller oder neuer AWS-CloudTrail-Kunde sind, können Sie sofort damit beginnen, CloudTrail-Lake-Fähigkeiten zu nutzen, um Abfragen laufen zu lassen, indem Sie das Feature durch die API oder der CloudTrail-Konsole aktivieren. Wählen Sie im linken Bereich der CloudTrail-Konsole die Registerkarte CloudTrail Lake aus und klicken Sie auf die Schaltfläche „Event-Datenspeicher“ erstellen. Wenn Sie einen Ereignis-Datenspeicher erstellen, wählen Sie die Preisoption, die Sie für den Ereignis-Datenspeicher verwenden möchten. Die Preisoption bestimmt die Kosten für die Erfassung von Ereignissen sowie die maximale und standardmäßige Aufbewahrungsdauer für den Ereignis-Datenspeicher. Wählen Sie dann aus allen von CloudTrail protokollierten Ereigniskategorien (Management- und Datenereignisse) ein Ereignis aus, um loszulegen.

Um Ihnen bei der Visualisierung Ihrer wichtigsten CloudTrail-Lake-Ereignisse zu helfen, können Sie außerdem CloudTrail-Lake-Dashboards verwenden. CloudTrail Lake-Dashboards sind vorgefertigte Dashboards, die direkt in der CloudTrail-Konsole sofort einsatzbereite Sichtbarkeit und erstklassige Erkenntnisse aus Ihren Audit- und Sicherheitsdaten bieten.

F: Ich habe einen Ereignis-Datenspeicher mit Preisen für die Aufbewahrung von sieben Jahren erstellt. Kann ich denselben Ereignis-Datenspeicher auf die Preisoption mit verlängerbarer Aufbewahrungsdauer um ein Jahr migrieren? Was passiert mit meinen vorhandenen Daten im Ereignis-Datenspeicher, die auf der Grundlage von Preisen für die Aufbewahrung von sieben Jahren aufgenommen wurden?

Ja. Sie können die Preisoption im Rahmen der Konfiguration des Ereignis-Datenspeichers von einem Preis für die Aufbewahrung von sieben Jahren auf einen Preis für eine verlängerbare Aufbewahrungsdauer von einem Jahr aktualisieren. Ihre vorhandenen Daten bleiben für den konfigurierten Aufbewahrungszeitraum im Ereignis-Datenspeicher verfügbar. Für diese Daten fallen keine längeren Aufbewahrungsgebühren an. Für alle neu aufgenommenen Daten fallen jedoch die Gebühren für die verlängerbare Aufbewahrung von einem Jahr sowohl für die Aufnahme als auch für die erweiterte Aufbewahrung an.

F: Ich habe einen Ereignis-Datenspeicher mit einem um ein Jahr verlängerbaren Aufbewahrungszeitraum eingerichtet. Kann ich denselben Ereignis-Datenspeicher auf die Preisoption mit siebenjähriger Aufbewahrung migrieren?

Nein. Wir unterstützen derzeit nicht die Migration eines Ereignis-Datenspeichers von einem Jahr mit erweiterbarer Aufbewahrungsdauer auf einen Preis für sieben Jahre. Sie können jedoch die Protokollierung für den aktuellen Ereignis-Datenspeicher deaktivieren und gleichzeitig einen neuen Ereignis-Datenspeicher mit siebenjähriger Aufbewahrungsgebühr für neu aufgenommene Daten erstellen. Sie können die Daten in beiden Ereignis-Datenspeichern weiterhin mit der jeweiligen Preisoption und dem konfigurierten Aufbewahrungszeitraum beibehalten und analysieren.

F: Warum wird der Aufbewahrungszeitraum für CloudTrail Lake auf der Grundlage der Ereigniszeit und nicht auf der Grundlage der Aufnahmezeit in CloudTrail Lake berechnet?

CloudTrail Lake ist ein Audit-Lake, der Kunden dabei hilft, ihre Anwendungsfallanforderungen rund um Compliance und Auditing zu erfüllen. Aufgrund der Anforderungen ihres Compliance-Programms müssen Kunden Prüfprotokolle für einen bestimmten Zeitraum ab dem Zeitpunkt der Erstellung der Protokolle aufbewahren, unabhängig davon, wann sie in CloudTrail Lake aufgenommen wurden.

F: Wenn ich ein historisches CloudTrail-Ereignis von S3 in CloudTrail Lake aufnehme und die Aufbewahrungsdauer des Ereignis-Datenspeichers auf 1 Jahr konfiguriert habe, wird dieses Ereignis ab dem Zeitpunkt der Erfassung immer 1 Jahr lang in CloudTrail Lake gespeichert?

Nein. Da es sich um ein historisches Ereignis mit einem in der Vergangenheit liegenden Zeitpunkt handelte, wird dieses Ereignis in CloudTrail Lake für einen Aufbewahrungszeitraum von einem Jahr ab dem Zeitpunkt des Ereignisses gespeichert. Die Dauer, für die dieses Ereignis in CloudTrail Lake gespeichert wird, beträgt also weniger als ein Jahr.

F: Welche Art von Ereignissen aus CloudTrail Lake kann ich heute auf Dashboards visualisieren?

Heute unterstützen CloudTrail-Lake-Dashboards das CloudTrail-Management und Datenereignisse.

F: Sind Dashboards auf Kontoebene oder auf Ebene des Event-Datenspeichers aktiviert?

Dashboards werden heute auf Kontoebene aktiviert und gelten für alle in diesem Konto aktiven Ereignisdatenspeicher, für die CloudTrail-Management oder -Datenereignisse aktiviert sind.

F: Welche Gebühren fallen an, wenn ich CloudTrail-Lake-Dashboards aktiviere?

CloudTrail-Lake-Dashboards werden von CloudTrail-Lake-Abfragen unterstützt. Wenn Sie CloudTrail-Lake-Dashboards aktivieren, werden Ihnen die gescannten Daten in Rechnung gestellt. Weitere Informationen erhalten Sie auf der Seite mit den Preisangaben.

F: Kann ich heute benutzerdefinierte Dashboards erstellen?

Nein. Heutzutage sind alle CloudTrail Lake-Dashboards kuratiert und vordefiniert und können nicht angepasst werden.

F: Welche Anwendungsfälle unterstützen CloudTrail-Lake-Dashboards?

Prüfungs- und Compliance-Ingenieure können die CloudTrail Lake-Dashboards verwenden, um den Fortschritt von Compliance-Anforderungen wie der Migration auf TLS 1.2 und höher zu verfolgen. CloudTrail-Lake-Dashboards helfen Sicherheitsingenieuren dabei, sensible Benutzeraktivitäten wie das Löschen von Trails oder wiederholte Fehler bei der Zugriffsverweigerung genau zu verfolgen. Cloud-Betriebsingenieure können über das kuratierte Dashboard Einblick in Probleme wie die häufigsten Fehler bei der Service-Drosselung erhalten.

Zusammenführung von Protokolldateien

F: Ich habe mehrere AWS-Konten. Ich möchte gerne, dass Protokolldateien für alle Konten an einen zentralen S3-Bucket übermittelt werden. Ist das möglich?

Ja. Sie können einen S3-Bucket als Ziel für mehrere Konten konfigurieren. Detaillierte Anweisungen finden Sie im Abschnitt Aggregating log files to a single S3 bucket im CloudTrail-Benutzerhandbuch.

Integration in CloudWatch Logs

F: Was ist die Integration von CloudTrail in CloudWatch Logs?

Durch die CloudTrail-Integration in CloudWatch Logs werden von CloudTrail erfasste Verwaltungs- und Datenereignisse an einen CloudWatch-Logs-Protokoll-Stream in der von Ihnen festgelegten CloudWatch-Logs-Protokollgruppe übermittelt.

F: Was sind die Vorteile der Integration von CloudTrail in CloudWatch Logs?

Die Integration hilft Ihnen SNS-Benachrichtigungen zu den von CloudTrail erfassten Kontoaktivitäten erhalten. Sie können zum Beispiel CloudWatch-Alarme erstellen, um API-Aufrufe zu überwachen, die Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten (ACLs) erstellen, ändern und löschen.

F: Wie aktiviere ich die CloudTrail-Integration in CloudWatch Logs?

Sie können die CloudTrail-Integration in CloudWatch Logs von der CloudTrail-Konsole aktivieren, indem Sie eine CloudWatch Logs-Protokollgruppe und eine IAM-Rolle festlegen. Sie können auch die AWS-SDKs oder die AWS CLI verwenden, um diese Integration zu aktivieren.

F: Was passiert, wenn ich die CloudTrail-Integration in CloudWatch Logs aktiviere?

Nachdem Sie die Integration aktiviert haben, übermittelt CloudTrail kontinuierlich Kontoaktivitäten an einen CloudWatch Logs-Protokoll-Stream in der festgelegten CloudWatch Logs-Protokollgruppe. Außerdem übermittelt CloudTrail wie schon zuvor Protokolle an Ihren S3-Bucket.

F: In welchen AWS-Regionen wird die CloudTrail-Integration in CloudWatch Logs unterstützt?

Die Integration wird in den Regionen unterstützt, in denen auch CloudWatch Logs unterstützt wird. Weitere Informationen erhalten Sie unter Regionen und Endpunkte in der allgemeinen AWS-Referenz.

F: Wie überträgt CloudTrail Ereignisse mit Kontoaktivitäten an meine CloudWatch-Protokolle?

CloudTrail übernimmt die von Ihnen angegebene IAM-Rolle, um Kontoaktivitäten an CloudWatch-Protokolle zu übermitteln. Sie beschränken die IAM-Rolle auf die Berechtigungen, die zum Übermitteln der Ereignisse an Ihren CloudWatch Logs-Protokoll-Stream erforderlich sind. Die Richtlinien zu IAM-Rollen finden Sie im Benutzerhandbuch der CloudTrail-Dokumentation.

F: Welche Gebühren fallen an, nachdem ich die CloudTrail-Integration in CloudWatch Logs aktiviert habe?

Nachdem Sie die CloudTrail-Integration in CloudWatch Logs aktiviert haben, fallen die Standardgebühren für CloudWatch Logs und CloudWatch an. Weitere Informationen finden Sie in der CloudWatch-Preisübersicht.

CloudTrail-Protokolldatei-Verschlüsselung mit AWS KMS

F: Worin besteht der Vorteil der Verschlüsselung von CloudTrail-Protokolldateien unter Verwendung der serverseitigen Verschlüsselung mit AWS KMS?

Durch die Verschlüsselung von CloudTrail-Protokolldateien mithilfe von SSE-KMS können Sie den an einen S3-Bucket gelieferten CloudTrail-Protokolldateien eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie die Protokolldateien mit Ihrem KMS-Schlüssel verschlüsseln. Standardmäßig verschlüsselt CloudTrail die an Ihren S3-Bucket gelieferten Protokolldateien mithilfe der serverseitigen Verschlüsselung von S3.

F: Ich habe eine Anwendung, die CloudTrail-Protokolldateien erfasst und verarbeitet. Muss ich Änderungen an meiner Anwendung vornehmen?

Mit SSE-KMS verschlüsselt S3 die Protokolldateien automatisch, sodass Sie keine Änderungen an Ihrer Anwendung vornehmen müssen. Wie immer müssen Sie sicherstellen, dass Ihre Anwendung über die geeigneten Berechtigungen verfügt, z. B. die Berechtigungen „S3 GetObject“ und „KMS Decrypt“.

F: Wie muss ich bei der Konfiguration der Verschlüsselung von CloudTrail-Protokolldateien vorgehen?

Sie können die AWS Management Console, AWS CLI oder die AWS SDKs verwenden, um die Verschlüsselung der Protokolldateien zu konfigurieren. Detaillierte Anweisungen finden Sie in der Dokumentation.

F: Welche Kosten entstehen, wenn ich die Verschlüsselung mithilfe von SSE-KMS konfiguriere?

Wenn Sie die Verschlüsselung mithilfe von SSE-KMS konfigurieren, entstehen die standardmäßigen AWS KMS-Kosten. Details finden Sie auf der AWS-KMS-Preisseite.

Integritätsprüfung für CloudTrail-Log-Dateien

F: Worin besteht die Integritätsprüfung für CloudTrail-Protokolldateien?

Die Funktion zur Integritätsprüfung von CloudTrail-Protokolldateien hilft Ihnen zu ermitteln, ob eine CloudTrail-Protokolldatei seit der Übermittlung an den angegebenen S3-Bucket unverändert geblieben ist, gelöscht oder geändert wurde.

F: Worin besteht der Nutzen der Integritätsprüfung der CloudTrail-Protokolldateien?

Sie können die Integritätsprüfung der Protokolldateien zur Unterstützung Ihrer IT-Sicherheit sowie für Überwachungsprozesse verwenden.

F: Wie aktiviere ich die Integritätsprüfung für CloudTrail-Protokolldateien?

Sie können die Funktion zur Integritätsprüfung für CloudTrail-Protokolldateien von Konsole, über AWS CLI oder AWS-SDKs aktivieren.

F: Was geschieht, wenn ich die Funktion zur Integritätsprüfung für Protokolldateien aktiviere?

Sobald Sie die Funktion zur Integritätsprüfung der Protokolldateien aktiviert haben, liefert CloudTrail stündlich Digest-Dateien. Die Digest-Dateien enthalten Informationen über die Protokolldateien, die an Ihren S3-Bucket geliefert wurden, sowie Hash-Werte für diese Protokolldateien. Sie enthalten auch digitale Signaturen für die vorherige Digest-Datei und die digitale Signatur für die aktuelle Digest-Datei im Abschnitt S3-Metadaten. Weitere Informationen über Digest-Dateien, digitale Signaturen und Hash-Werte finden Sie in der CloudTrail-Dokumentation.

F: Wohin werden die Digest-Dateien geliefert?

Die Digest-Dateien werden in demselben S3-Bucket gespeichert, in dem auch Ihre Protokolldateien gespeichert sind. Sie werden jedoch in einem anderen Ordner abgelegt, so dass Sie detaillierte Zugriffskontrollrichtlinien durchsetzen können. Weitere Informationen finden Sie im Abschnitt zur Struktur der Digest-Dateien in der CloudTrail-Dokumentation.

F: Wie kann ich die Integrität einer Protokolldatei oder Digest-Datei prüfen, die von CloudTrail geliefert wurde?

Sie können AWS CLI verwenden, um die Integrität einer Protokolldatei oder Digest-Datei zu prüfen. Sie können auch Ihre eigenen Tools zur Prüfung entwickeln. Weitere Informationen über die Verwendung von AWS CLI zur Prüfung der Integrität einer Protokolldatei finden Sie in der CloudTrail-Dokumentation.

F: Ich aggregiere alle meine Protokolldateien aus allen Regionen und mehreren Konten in einem einzigen S3-Bucket. Werden die Digest-Dateien an den gleichen S3-Bucket geliefert?

Ja. CloudTrail liefert die Digest-Dateien aus allen Regionen und mehreren Konten an den gleichen S3-Bucket.

CloudTrail Processing Library

F: Was ist die CloudTrail Processing Library?

Die CloudTrail Processing Library ist eine Java-Bibliothek, die das Erstellen von Anwendungen für das Lesen und Verarbeiten von CloudTrail-Protokolldateien erleichtert. Sie können die CloudTrail Processing Library von GitHub herunterladen.

F: Welche Funktionalität bietet die CloudTrail Processing Library?

Die CloudTrail Processing Library bietet Funktionen zur Bewältigung von Aufgaben wie der kontinuierlichen Abfrage einer SQS-Warteschlange und dem Lesen und Parsen von Amazon Simple Queue Service (Amazon SQS)-Nachrichten. Sie kann auch in S3 gespeicherte Protokolldateien herunterladen und Ereignisse von Protokolldateien auf fehlertolerante Weise parsen und serialisieren. Weitere Informationen finden Sie im Benutzerhandbuch in der CloudTrail-Dokumentation.

F: Welche Software benötige ich, um die CloudTrail Processing Library zu verwenden?

Sie benötigen aws-java-sdk Version 1.9.3 und Java 1.7 oder höher.

Preise

F: Wie werden mir CloudTrail-Trails in Rechnung gestellt?

CloudTrail hilft Ihnen die letzten 90 Tage der Verwaltungsereignisse Ihres Kontos kostenlos anzeigen, durchsuchen und herunterladen. Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an S3 liefern, indem Sie einen Trail erstellen. Sobald ein CloudTrail Trail eingerichtet ist, fallen S3-Gebühren, die sich nach Ihrer Nutzung richten, an.

Sie können zusätzliche Exemplare von Ereignissen, einschließlich Datenereignissen, mithilfe von Trails bereitstellen. Für Datenereignisse oder zusätzliche Kopien von Verwaltungsereignissen werden Ihnen Gebühren berechnet. Weitere Informationen finden Sie auf unserer Preisseite.

F: Wenn ich nur einen Trail mit Managementereignissen habe und diesen auf alle Regionen anwende, fallen dann Gebühren an?

Nein. Die erste Kopie der Verwaltungsereignisse wird in jeder Region kostenlos bereitgestellt.

F: Werden mir Gebühren berechnet, wenn ich Datenereignisse für einen vorhandenen Pfad mit kostenlosen Verwaltungsereignisse aktiviere?

Ja. Ihnen werden nur die Datenereignisse in Rechnung gestellt. Die erste Kopie der Verwaltungsereignisse wird kostenlos bereitgestellt.

F: Wie wird mir CloudTrail Lake in Rechnung gestellt?

Wenn Sie CloudTrail Lake nutzen, zahlen Sie für Aufnahme und Speicherung zusammen, wobei die Abrechnung auf der Menge der aufgenommenen unkomprimierten Daten und der Menge der gespeicherten komprimierten Daten basiert. Wenn Sie einen Ereignis-Datenspeicher erstellen, wählen Sie die Preisoption, die Sie für den Ereignis-Datenspeicher verwenden möchten. Die Preisoption bestimmt die Kosten für die Erfassung von Ereignissen sowie die maximale und standardmäßige Aufbewahrungsdauer für den Ereignis-Datenspeicher. Die Gebühren für die Abfrage basieren auf den komprimierten Daten, die Sie analysieren möchten. Weitere Informationen finden Sie auf der Preisseite.

F: Kann ich meine geschätzte CloudTrail Lake-Aufnahmenutzung berechnen, wenn ich meine historische CloudTrail-Nutzung in Trails kenne?

Ja. Jedes CloudTrail-Ereignis umfasst im Durchschnitt etwa 1.500 Byte. Mithilfe dieser Zuordnung können Sie die CloudTrail-Lake-Aufnahme anhand der CloudTrail-Nutzung des letzten Monats in Trails anhand der Anzahl der Ereignisse abschätzen.
 

Partner

F: Wie helfen mir die AWS-Partnerlösungen bei der Analyse der von CloudTrail aufgezeichneten Ereignisse?

Mehrere Partner bieten integrierte Lösungen für die Analyse von CloudTrail-Protokolldateien. Diese Lösungen bieten Funktionen wie die Nachverfolgung von Änderungen, Problembehebung und Sicherheitsanalyse. Weitere Informationen finden Sie im Abschnitt CloudTrail-Partner.

F: Wie kann ich eine Integration mit CloudTrail Lake als eine verfügbare Quelle einbinden?

Lesen Sie den Onboarding-Leitfaden für Partner, um die ersten Schritte der Integration durchzuführen.. Nehmen Sie Kontakt zu Ihrem Partnerentwicklungsteam oder Partnerlösungen-Architekten auf, um eine Verbidnung zum CloudTrail-Lake-Team herzustellen, um detailliertere Informationen zu erhalten oder weitere Fragen zu stellen.

Sonstiges

F: Wirkt sich die Aktivierung von CloudTrail auf die Leistung meiner AWS-Ressourcen aus oder wird dadurch die Latenz von API-Aufrufen erhöht?

Nein. Das Aktivieren von CloudTrail hat keine Auswirkung auf die Leistung für Ihre AWS-Ressourcen oder die Latenz von API-Aufrufen.

Besuchen Sie die Partnerseite

Weitere Informationen zu AWS-CloudTrail-Partnern

Weitere Informationen »
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit der Entwicklung von CloudTrail in der AWS-Managementkonsole.

Anmelden »
Einen Experten kontaktieren

Erkunden Sie die CloudTrail-Unterstützungsoptionen.

Kontaktieren Sie uns »