AWS CloudTrail – Häufig gestellte Fragen

F: Was ist AWS CloudTrail?

CloudTrail ermöglicht Auditing, Sicherheitsüberwachung und operative Fehlerbehebung durch Nachverfolgung von Benutzeraktivitäten und API-Nutzung. CloudTrail protokolliert, überwacht und speichert Kontoaktivitäten im Zusammenhang mit Aktionen in Ihrer AWS-Infrastruktur und gibt Ihnen die Kontrolle über Speicherung, Analyse und Abhilfemaßnahmen.

F: Welche Vorteile bietet CloudTrail?

CloudTrail hilft Ihnen, Compliance nachzuweisen, die Sicherheitslage zu verbessern und Aktivitätsaufzeichnungen über Regionen und Konten hinweg zu konsolidieren. CloudTrail bietet einen Einblick in die Benutzeraktivitäten, indem es die in Ihrem Konto durchgeführten Aktionen aufzeichnet. CloudTrail zeichnet wichtige Informationen über jede Aktion auf, darunter auch, wer die Anfrage gestellt hat, die verwendeten Services, die durchgeführten Aktionen, die Parameter für die Aktionen und die vom AWS-Service zurückgegebenen Antwortelemente. Diese Informationen helfen Ihnen, Änderungen an Ihren AWS-Ressourcen nachzuverfolgen und betriebliche Probleme zu beheben. CloudTrail vereinfacht die Einhaltung interner Richtlinien und gesetzlicher Vorschriften. Weitere Details finden Sie im AWS-Whitepaper zum Thema Compliance Security at scale: Logging in AWS (Skalierbare Sicherheit: Anmelden bei AWS).

F: Wer sollte CloudTrail verwenden?

Verwenden Sie CloudTrail, wenn Sie Aktivitäten prüfen, die Sicherheit überwachen oder betriebliche Probleme beheben müssen.

F: Wenn ich ein neuer AWS-Kunde oder ein bestehender AWS-Kunde bin und kein CloudTrail-Setup eingerichtet habe, muss ich irgendetwas aktivieren oder einrichten, um meine Kontoaktivitäten anzuzeigen?

Nein, Sie können Ihre Kontoaktivitäten sofort anzeigen. Besuchen Sie die AWS-CloudTrail-Konsole oder rufen Sie das AWS-CLI-Tool, um die Kontoaktivitäten der vergangenen 90 Tage anzuzeigen.

F: Werden im CloudTrail-Ereignisverlauf alle Aktivitäten innerhalb meines Kontos angezeigt?

AWS CloudTrail zeigt nur die Ergebnisse des CloudTrail-Ereignisverlaufs für die aktuelle Region an, die Sie für die letzten 90 Tage betrachten, und unterstützt eine Reihe von AWS-Services. Diese Ereignisse beschränken sich auf Verwaltungsereignisse, die API-Aufrufe und Kontoaktivitäten erstellen, ändern und löschen. Für eine vollständige Aufzeichnung der Kontoaktivitäten, darunter auch aller Verwaltungsereignisse, Datenereignisse und Nur-Lese-Aktivitäten, müssen Sie einen CloudTrail-Pfad konfigurieren.

F: Welche Suchfilter kann ich zum Anzeigen meiner Kontoaktivitäten verwenden?

Sie können den Zeitraum und eines der folgenden Attribute festlegen: Ereignisname, Benutzername, Ressourcenname, Ereignisquelle, Ereignis-ID und Ressourcentyp.

F: Kann ich den CLI-Befehl lookup-events auch verwenden, wenn ich keinen Pfad konfiguriert habe?

Ja, Sie können in der CloudTrail-Konsole oder mithilfe der CloudTrail API oder des CLI-Tools die Kontoaktivitäten der vergangenen 90 Tage anzeigen.

F: Welche zusätzlichen Funktionen von CloudTrail sind nach der Erstellung eines Trails verfügbar?

Richten Sie einen CloudTrail-Pfad ein, um Ihre CloudTrail-Ereignisse an Amazon Simple Storage Service (S3), Amazon CloudWatch Logs und Amazon CloudWatch Events zu liefern. So können Sie Funktionen zum Archivieren, Analysieren und Reagieren auf Änderungen in Ihren AWS-Ressourcen nutzen.

F: Kann ich den Benutzerzugriff auf den CloudTrail-Ereignisverlauf einschränken?

Ja, CloudTrail ist mit AWS Identity and Access Management (IAM) integriert, das Ihnen hilft, den Zugriff auf CloudTrail und auf andere AWS-Ressourcen, die CloudTrail benötigt, zu kontrollieren. Dazu gehört auch die Möglichkeit, die Berechtigungen zum Anzeigen und Durchsuchen von Kontoaktivitäten einzuschränken. Entfernen Sie „cloudtrail:LookupEvents“ aus der IAM-Richtlinie Users, um zu verhindern, dass dieser IAM-Benutzer die Kontoaktivitäten einsehen kann.

F: Fallen nach der Aktivierung des CloudTrail-Ereignisverlaufs für mein Konto irgendwelche Gebühren an?

Das Anzeigen oder Durchsuchen der Kontoaktivitäten innerhalb des CloudTrail-Ereignisverlaufs ist kostenlos.

F: Kann ich den CloudTrail-Ereignisverlauf für mein Konto deaktivieren?

Für alle erstellten CloudTrail-Trails können Sie die Protokollierung beenden oder die Trails löschen. Dadurch wird auch die Übermittlung von Kontoaktivitäten an den Amazon-S3-Bucket, den Sie als Teil Ihrer Trail-Konfiguration festgelegt haben und die Übermittlung an CloudWatch Logs, falls konfiguriert, gestoppt. Die Kontoaktivität der letzten 90 Tage wird weiterhin gesammelt und in der CloudTrail-Konsole und über die AWS-Befehlszeilenschnittstelle (CLI) angezeigt.

F: Welche Services werden von CloudTrail unterstützt?

CloudTrail zeichnet die Kontoaktivitäten und servicerelevanten Ereignisse der meisten AWS-Services auf. Eine Liste der unterstützten Services finden Sie unter CloudTrail – Unterstützte Services im CloudTrail-Benutzerhandbuch.

F: Werden über die AWS-Managementkonsole erfolgte API-Aufrufe aufgezeichnet?

Ja. CloudTrail zeichnet API-Aufrufe von jedem Client aus auf. Die AWS Mangementkonsole, AWS Software Development Kits (SDKs), Befehlszeilentools und übergeordnete AWS Services rufen AWS-API-Operationen auf, so dass diese Aufrufe aufgezeichnet werden.

F: Wo werden meine Protokolldateien gespeichert und verarbeitet, bevor sie an meinen S3-Bucket übermittelt werden?

Aktivitätsinformationen für Services mit regionalen Endpunkten (wie Amazon Elastic Compute Cloud [EC2] oder Amazon Relational Database Service [RDS]) werden in derselben Region erfasst und verarbeitet, in der die Aktion durchgeführt wird. Sie wird dann an die Region geliefert, die mit Ihrem S3-Bucket verbunden ist. Aktivitätsinformationen für Services mit einzelnen Endpunkten wie IAM und AWS Security Token Service (STS) werden in der Region erfasst, in der sich der Endpunkt befindet. Es wird dann in der Region verarbeitet, in der der CloudTrail-Pfad konfiguriert ist, und an die Region übermittelt, die mit Ihrem S3-Bucket verbunden ist.

F: Was bedeutet es, einen Trail auf alle AWS-Regionen anzuwenden?

Die Anwendung eines Trails auf alle AWS-Regionen bezieht sich auf die Erstellung eines Trails, der die Aktivitäten des AWS-Kontos in allen Regionen aufzeichnet, in denen Ihre Daten gespeichert sind. Diese Einstellung gilt auch für alle neu hinzugefügten Regionen. Weitere Details zu Regionen und Partitionen finden Sie auf der Seite Amazon Resource Names and AWS Service Namespaces.

F: Welchen Nutzen hat die Anwendung eines Trails auf alle Regionen?

Sie können einen Trail für alle Regionen in der Partition mit einem API-Aufruf oder ein paar Auswahlen erstellen und verwalten. Sie erhalten eine Aufzeichnung aller Aktivitäten in Ihrem AWS-Konto für alle Regionen in einem S3-Bucket oder einer CloudWatch-Logs-Gruppe. Wenn AWS eine neue Region einführt, erhalten Sie die Protokolldateien mit dem Ereignisverlauf für die neue Region, ohne dass Sie etwas tun müssen.

F: Wie kann ich einen Pfad auf alle Regionen anwenden?

Wählen Sie in der CloudTrail-Konsole „Yes“, um den Pfad auf alle Regionen in der Pfad-Konfigurationsseite anzuwenden. Falls Sie die SDKs oder AWS CLI verwenden, setzen Sie IsMultiRegionTrail auf „True“.

F: Was passiert, wenn ich einen Trail auf alle Regionen anwende?

Sobald Sie einen Trail in allen Regionen anwenden, erstellt CloudTrail einen neuen Trail, indem es die Trail-Konfiguration repliziert. CloudTrail erstellt und verarbeitet die Protokolldateien der einzelnen Regionen. Die Protokolldateien mit den Kontoaktivitäten in allen Regionen werden an einen einzelnen S3-Bucket und eine einzelne CloudWatch-Logs-Protokollgruppe geliefert. Wenn Sie ein optionales Amazon-Simple-Notification-Service-Thema (SNS) angegeben haben, liefert CloudTrail Amazon-SNS-Benachrichtigungen für alle Protokolldateien, die an ein einzelnes SNS-Thema geliefert werden.

F: Kann ich einen vorhandenen Pfad auf alle Regionen anwenden?

Ja. Ja, Sie können einen vorhandenen Pfad auf alle Regionen anwenden. Wenn Sie einen bestehenden Trail auf alle Regionen anwenden, erstellt CloudTrail einen neuen Trail für Sie in allen Regionen. Wenn Sie zuvor Trails in anderen Regionen erstellt haben, können Sie diese Trails über die CloudTrail-Konsole anzeigen, bearbeiten und löschen.

F: Wie lange dauert es, bis CloudTrail die Trail-Konfiguration für alle Regionen repliziert hat?

Normalerweise dauert es weniger als 30 Sekunden, um die Pfad-Konfiguration für alle Regionen zu replizieren.

F: Wie viele Pfade kann ich in einer Region erstellen?

Sie können bis zu fünf Pfade in einer Region erstellen. In jeder Region gibt es einen Pfad, der auf alle Regionen angewendet wird und der in jeder Region als ein einzelner Pfad gezählt wird.

F: Welche Vorteile hat das Erstellen mehrerer Pfade in einer Region?

Mit mehreren Trails können verschiedene Beteiligte wie Sicherheitsadministratoren, Softwareentwickler und IT-Prüfer ihre eigenen Trails erstellen und verwalten. Ein Sicherheitsadministrator kann zum Beispiel einen Trail erstellen, der für alle Regionen gilt, und die Verschlüsselung mit einem Amazon Key Management Service (KMS) Schlüssel benutzen. Ein Entwickler kann einen Trail erstellen, der für eine Region gilt, um betriebliche Probleme zu beheben.

F: Unterstützt CloudTrail Berechtigungen auf Ressourcenebene?

Ja. Dank Berechtigungen auf Ressourcenebene können Sie detaillierte Zugriffskontrollrichtlinien erstellen, um bestimmten Benutzern den Zugriff auf einen bestimmten Trail zu erlauben oder zu verweigern. Weitere Informationen finden Sie in der Dokumentation zu CloudTrail.

F: Wie kann ich meine CloudTrail-Protokolldateien schützen?

CloudTrail-Protokolldateien werden standardmäßig mit der S3-Verschlüsselung auf Serverseite (SSE) verschlüsselt und in Ihrem S3-Bucket abgelegt. Sie können den Zugriff auf Protokolldateien mithilfe von IAM- oder S3-Bucket-Richtlinien regeln. Sie können eine weitere Schutzebene hinzufügen, indem Sie für Ihren S3-Bucket S3-Multi Factor Authentication (MFA) Delete aktivieren. Weitere Details zum Erstellen und Aktualisieren eines Pfades finden Sie in der CloudTrail-Dokumentation.

F: Wo kann ich ein Beispiel einer S3-Bucket- und SNS-Themenrichtlinie herunterladen?

Sie können ein Beispiel einer S3-Bucket-Richtlinie und SNS-Themenrichtlinie aus dem S3-Bucket von CloudTrail herunterladen. Sie müssen die Beispielrichtlinien mit Ihren Daten aktualisieren, ehe Sie sie auf Ihren S3-Bucket oder Ihr SNS-Thema anwenden.

F: Wie lange kann ich meine Aktivitätsprotokolldateien speichern?

Sie bestimmen die Aufbewahrungsrichtlinien für Ihre CloudTrail-Protokolldateien. Standardmäßig werden Protokolldateien unbegrenzt lange gespeichert. Mithilfe von Regeln für die Verwaltung des S3-Objektlebenszyklus können Sie eine eigene Aufbewahrungsrichtlinie festlegen. Sie können zum Beispiel alte Protokolldateien löschen oder sie in Amazon Simple Storage Service Glacier (S3 Glacier) archivieren.

F: Welche Informationen stehen in einem Ereignis zur Verfügung?

In einem Ereignis werden wichtige Informationen zur damit verbundenen Aktivität aufgezeichnet: der anfordernde Benutzer, die verwendeten Services, die durchgeführten Aktionen, die dafür verwendeten Parameter sowie die Reaktionen des AWS-Service. Weitere Details finden Sie im Abschnitt CloudTrail Event Reference im Benutzerhandbuch.

F: Wie lange benötigt CloudTrail für die Übermittlung eines Ereignisses für einen API-Aufruf?

CloudTrail übermittelt Ergebnisse in der Regel binnen 5 Minuten nach dem API-Aufruf. Weitere Informationen darüber, wie CloudTrail funktioniert, finden Sie hier.  

F: Wie oft übermittelt CloudTrail Protokolldateien an meinen S3-Bucket?

CloudTrail liefert etwa alle fünf Minuten Protokolldateien an Ihren S3-Bucket. CloudTrail übermittelt Protokolldateien nur dann, wenn API-Aufrufe für Ihr Konto erfolgen.

F: Kann ich benachrichtigt werden, wenn neue Protokolldateien an meinen S3-Bucket übermittelt werden?

Ja. Sie können Amazon SNS-Benachrichtigungen aktivieren, um sofortige Aktionen bei der Lieferung neuer Protokolldateien durchzuführen.

F: Was passiert, wenn CloudTrail für mein Konto aktiviert ist, aber mein S3-Bucket nicht mit der ordnungsgemäßen Richtlinie konfiguriert ist?

CloudTrail-Protokolldateien werden in Übereinstimmung mit den S3-Bucket-Richtlinien übermittelt, die Sie eingerichtet haben. Wenn die Bucket-Richtlinien falsch konfiguriert sind, kann CloudTrail-Protokolldateien nicht übermitteln.

F: Was sind Datenereignisse?

Datenereignisse bieten Einblicke in die Ressourcenvorgänge („Datenebene“), die an oder in der Ressource selbst durchgeführt wurden. Datenereignisse sind häufig Aktivitäten mit hohem Volumen und umfassen Vorgänge wie S3-API-Operationen auf Objektebene und AWS-Lambda-APIs zum Aufrufen von Funktionen. Datenereignisse sind bei der Konfiguration von Pfaden standardmäßig deaktiviert. Zur Aufzeichnung von CloudTrail-Datenereignissen müssen Sie die unterstützten Ressourcen bzw. Ressourcentypen, deren Aktivitäten Sie erfassen möchten, explizit hinzufügen. Anders als bei Verwaltungsereignissen fallen für Datenereignisse zusätzliche Gebühren an. Weitere Informationen finden Sie unter CloudTrail – Preise.

F: Wie kann ich Datenereignisse einsetzen?

Von CloudTrail aufgezeichnete Datenereignisse werden ähnlich wie Verwaltungsereignisse an S3 übermittelt. Nach der Aktivierung sind diese Ereignisse auch in Amazon CloudWatch Events verfügbar.

F: Was sind S3-Datenereignisse? Wie kann ich sie aufzeichnen?

S3-Datenereignisse stellten API-Aktivitäten für S3-Objekte dar. Damit CloudTrail diese Aktivitäten aufzeichnet, geben Sie im Datenereignisabschnitt einen S3-Bucket an, wenn Sie einen neuen Pfad erstellen oder einen vorhandenen bearbeiten. Alle API-Aktionen für Objekte im angegebenen S3-Bucket werden von CloudTrail aufgezeichnet.

F: Was sind Lambda-Datenereignisse? Wie kann ich sie aufzeichnen?

Lambda-Datenereignisse erfassen die Laufzeit von Aktivitäten von Lambda-Funktionen. Mit Lambda-Datenereignissen können Sie Details zur Laufzeit von Lambda-Funktionen abrufen. Beispiele für die Laufzeit von Lambda-Funktionen beinhalten, welcher IAM-Benutzer oder -Dienst den Invoke-API-Aufruf getätigt hat, wann der Aufruf getätigt wurde und welche Funktion angewendet wurde. Alle Lambda-Datenereignisse werden an den S3-Bucket und CloudWatch Events übermittelt. Sie aktivieren die Protokollierung von Lambda-Datenereignissen mithilfe der CLI oder der CloudTrail-Konsole. Welche Lambda-Funktionen protokolliert werden, wählen Sie aus, indem Sie einen neuen Pfad erstellen oder einen vorhandenen bearbeiten.

F: Kann ich einen delegierten Administrator meiner Organisation hinzufügen?

Ja, CloudTrail unterstützt jetzt das Hinzufügen von bis zu drei delegierten Administratoren pro Organisation.

F: Wer ist der Besitzer eines Organisations-Pfads oder Ereignis-Datenspeichers auf der Organisationsebene, der von einem delegierten Administrator erstellt wurde?

Das Verwaltungskonto bleibt weiterhin der Besitzer aller Organisations-Pfade oder Ereignis-Datenspeicher, die auf der Organisationsebene erstellt werden, unabhängig davon, ob es von einem delegierten Admin-Konto oder einem Verwaltungskonto erstellt wurde.

F: In welchen Regionen ist Unterstützung für delegierte Administratoren verfügbar?

Die Unterstützung für delegierte Administratoren für CloudTrail ist in allen Regionen verfügbar, in denen AWS CloudTrail verfügbar ist, mit Ausnahme von China (Beijing, betrieben von Sinnet) und China (Ningxia, betrieben von NWCD).

F: Was sind CloudTrail Insights-Ereignisse?

CloudTrail-Insight-Ereignisse helfen Ihnen dabei, anormale Aktivitäten in Ihren AWS-Konten zu identifizieren, wie Spitzenbelastungen bei der Ressourcen-Bereitstellung, Spitzenlasten bei AWS Identity and Access-Management-Aktionen (IAM) oder Lücken bei regulären Wartungsarbeiten. CloudTrail Insights verwendet Machine-Learning-Modelle (ML), die CloudTrail-Schreib-Verwaltungsereignisse kontinuierlich auf ungewöhnliche Aktivitäten überwachen.

Wenn eine ungewöhnliche Aktivität festgestellt wird, werden CloudTrail Insights-Ereignisse in der Konsole angezeigt und an CloudWatch Events, Ihren S3-Bucket und optional an die CloudWatch Logs-Gruppe übermittelt. Dies erleichtert die Erstellung von Warnmeldungen und die Integration in bestehende Ereignisverwaltungs- und Workflow-Systeme.

F: Welche Art von Aktivitäten kann CloudTrail Insights identifizieren?

CloudTrail Insights entdeckt anormale Aktivitäten, indem CloudTrail-Schreibmanagement-Ereignisse im AWS-Konto und in der Region analysiert werden. Ein ungewöhnliches oder anormales Ereignis wird als Volumen der AWS-API-Aufrufe definiert, die von den erwarteten und zu zuvor etablierten Betriebsmustern oder der Baseline abweichen. CloudTrail Insights passt sich an Änderungen Ihrer normalen Betriebsmuster an, indem zeitbasierte Trends in Ihren API-Aufrufen einberechnet werden und adaptive Baselines als Änderungen der Arbeitsaufwände angewandt werden.

Mit CloudTrail Insights können fehlartige Skripte oder Anwendungen aufgedeckt werden. Manchmal ändert ein Entwickler ein Skript oder eine Anwendung, die einen sich wiederholenden Loop beginnt oder eine große Anzahl von Aufrufen zu unbeabsichtigten Ressourcen wie Datenbanken, Datenspeichern oder anderen Funktionen macht. Dieses Verhalten wird oft erst bei der Rechnungsstellung erkannt, wenn die Kosten bereits unerwartet hoch sind oder ein Ausfall oder eine Störung erfolgt. CloudTrail-Insights-Ereignisse informieren Sie über diese Änderungen in Ihrem AWS-Konto, und Sie können die Korrekturen schnell ausführen.

F: Wie arbeitet CloudTrail Insights mit anderen AWS-Services für die Entdeckung von ungewöhnlichen Aktivitäten zusammen?

CloudTrail Insights identifiziert ungewöhnliche betriebliche Aktivitäten in Ihren AWS-Konten und hilft Ihnen, betriebliche Probleme zu beheben und die Auswirkungen auf den Betrieb und das Geschäft zu minimieren. Amazon GuardDuty konzentriert sich auf die Verbesserung der Sicherheit Ihres Kontos und erkennt Bedrohungen durch die Überwachung von Kontoaktivitäten. Amazon Macie wurde entwickelt, um den Datenschutz in Ihrem Konto zu verbessern, indem sensible Daten entdeckt, klassifiziert und geschützt werden. Diese Services bieten zusätzlichen Schutz gegen unterschiedliche Probleme, die in Ihrem Konto auftreten können.

F: Muss ich CloudTrail einrichten, damit CloudTrail Insights funktioniert?

Ja. CloudTrail Insights-Ereignisse sind auf einzelnen Pfaden konfiguriert, deshalb müssen Sie mindesten einen Pfad eingerichtet haben. Wenn Sie CloudTrail Insights-Ereignisse für einen Pfad einschalten, beginnt CloudTrail mit der Überwachung der Schreibmanagement-Ereignisse, die für diesen Pfad für anormale Muster festgehalten werden. Wenn CloudTrail Insights anormale Aktivitäten entdeckt, wird ein CloudTrail-Insights-Ereignis am Lieferzielort, der in der Pfaddefinition festgelegt ist, gespeichert.

F: Welche Art von Ereignissen werden von CloudTrail Insights überwacht?

CloudTrail Insights verfolgt ungewöhnliche Aktivitäten für Schreibverwaltungs-API-Operationen.

F: Was sind die ersten Schritte?

Sie können CloudTrail Insights-Ereignisse für einzelne Trails in Ihrem Konto dank der Konsole, der CLI oder des SDKs aktivieren. Sie können CloudTrail Insights-Ereignisse auch unternehmensweit aktivieren, dank eines Organizational Trails, der in Ihrem AWS-Organizations-Verwaltungskonto konfiguriert ist. Sie können CloudTrail-Insights-Ereignisse einschalten, indem Sie die Optionsschaltfläche in Ihrer Trail-Definition auswählen.

F: Weshalb sollte ich CloudTrail Lake verwenden?

CloudTrail Lake hilft Ihnen bei der Untersuchung von Vorfällen, indem Sie alle von CloudTrail protokollierten Aktionen und die von AWS Config aufgezeichneten Konfigurationselemente abfragen. Es vereinfacht die Ereignisprotokollierung, indem es bei der Auflösung von Produktionsabhängigkeiten unterstützt und Tools zur Verfügung stellt, die bei der Reduzierung Ihrer Abhängigkeit von teamübergreifenden Datenverarbeitungs-Pipelines hilft. Mit CloudTrail Lake müssen Sie Ihre Daten nicht verschieben oder andersweitig in CloudTrail-Protokollen eingeben, welches bei der Einhaltung der Datentreue hilft und den Umgang mit Niedrigsatzgrenzen verringert, die Ihre Protokolle drosseln. Es stellt außerdem Latenzen nahezu in Echtzeit zur Verfügung, da es fein abgestimmt ist, strukturierte Protokolle von großem Volume zu verarbeiten und diese somit für Ereignisermittlung bereitstellt. Außerdem bietet CloudTrail Lake eine bekannte, multiattributive Abfrageerfahrung mit SQL und ist in der Lage, mehrere gleichzeitige Abfragen zu planen und abzuwickeln.

F: In welcher Beziehung steht diese Funktion zu anderen AWS-Services und funktioniert mit diesen?

CloudTrail ist die anerkannte Quelle für Protokolle von Benutzeraktivitäten und API-Nutzung über AWS-Services hinweg. Sie können CloudTrail Lake verwenden, um Aktivitäten über AWS-Services hinweg zu prüfen, sobald die Protokolle in CloudTrail verfügbar sind. Sie können Benutzeraktivitäten und betroffene Ressourcen abfragen und analysieren und diese Daten verwenden, um Probleme zu lösen, z. B. die Identifizierung böswilliger Akteure und Basisberechtigungen.

F: Wie kann ich Ereignisse von Nicht-AWS-Quellen wie benutzerdefinierte Anwendungen oder Quellen von Drittparteien erfassen?

Sie können Partner-Integrationen finden und hinzufügen, um Aktivitätsereignisse von diesen Anwendungen in ein paar Schritten mit der CloudTrail-Konsole zu erhalten, ohne benutzerdefinierte Integrationen erstellen und warten zu müssen. Für andere Quellen als die verfügbaren Partner-Integrationen können Sie die neuen CloudTrail-Lake-APIs verwenden, um Ihre eigenen Integrationen einzurichten und Ereignisse nach CloudTrail Lake zu pushen. Informationen zu den ersten Schritten finden Sie unter Arbeiten mit CloudTrail Lake im CloudTrail-Benutzerhandbuch.

F. Wann empfehlen Sie die Verwendung der erweiterten Abfrage von AWS Config anstelle von CloudTrail Lake für die Abfrage von Konfigurationselementen aus AWS Config?

Die erweiterte AWS-Config-Abfrage wird für Kunden empfohlen, die den aktuellen Zustand der AWS-Config-Konfigurationselemente (CI) zusammenfassen und abfragen möchten. Dies hilft den Kunden bei der Bestandsverwaltung, der Sicherheit und der betrieblichen Intelligenz, der Kostenoptimierung und den Compliance-Daten. Die erweiterte Abfrage von AWS Config ist kostenlos, wenn Sie ein AWS-Config-Kunde sind. 

CloudTrail Lake unterstützt die Abfrage von AWS-Config-Konfigurationselementen, einschließlich der Ressourcenkonfiguration und des Compliance-Verlaufs. Die Analyse der Konfigurations- und Compliance-Historie für Ressourcen mit entsprechenden CloudTrail-Ereignissen hilft dabei, Rückschlüsse darauf zu ziehen, wer, wann und was auf diesen Ressourcen geändert wurde. Dies hilft bei der Ursachenanalyse von Vorfällen im Zusammenhang mit der Gefährdung der Sicherheit oder der Nichteinhaltung von Vorschriften. CloudTrail Lake wird empfohlen, wenn Sie Daten über CloudTrail-Ereignisse und historische Konfigurationselemente aggregieren und abfragen müssen. 

F. Wenn ich die Aufnahme von Konfigurationselementen aus AWS Config heute in CloudTrail Lake aktiviere, nimmt Lake dann meine historischen Konfigurationselemente auf (die vor der Erstellung von Lake erstellt wurden) oder sammelt es nur die neu aufgezeichneten Konfigurationselemente?

CloudTrail Lake nimmt keine AWS-Config-Konfigurationselemente auf, die vor der Konfiguration von CloudTrail Lake erstellt wurden. Neu aufgezeichnete Konfigurationselemente von AWS Config werden auf Konto- oder Organisationsebene an den angegebenen CloudTrail-Lake-Ereignisdatenspeicher übermittelt. Diese Konfigurationselemente stehen im Lake für den angegebenen Aufbewahrungszeitraum zur Abfrage zur Verfügung und können für die Analyse historischer Daten verwendet werden. 

F: Kann ich immer wissen, welcher Benutzer eine bestimmte Konfigurationsänderung vorgenommen hat, indem ich CloudTrail Lake abfrage?

Wenn mehrere Benutzer kurz hintereinander versuchen, die Konfiguration einer einzelnen Ressource zu ändern, kann nur ein einziges Konfigurationselement erstellt werden, das der Endkonfiguration der Ressource entsprechen würde. In diesem und ähnlichen Szenarien ist es unter Umständen nicht möglich, eine 100 %-ige Korrelation darüber herzustellen, welcher Benutzer welche Konfigurationsänderungen vorgenommen hat, indem CloudTrail und Konfigurationsobjekte für einen bestimmten Zeitraum und eine bestimmte Ressourcen-ID abgefragt werden.

F: Wenn ich bereits Trails verwendet habe, kann ich dann bestehende CloudTrail-Protokolle in meinen bestehenden oder neuen CloudTrail-Lake-Ereignisdatenspeicher übernehmen?

Ja. Die CloudTrail-Lake-Importfunktion unterstützt das Kopieren von CloudTrail-Protokollen aus einem S3-Bucket, in dem Protokolle von mehreren Konten (aus einem Organisationspfad) und mehreren AWS-Regionen gespeichert sind. Sie können auch Protokolle von einzelnen Konten und Trails aus einzelnen Regionen importieren. Mit der Importfunktion können Sie auch einen Zeitraum für den Import festlegen, so dass Sie nur die Teilmenge der Protokolle importieren, die für die langfristige Speicherung und Analyse in CloudTrail Lake benötigt werden. Nachdem Sie Ihre Protokolle konsolidiert haben, können Sie Abfragen zu Ihren Protokollen durchführen, von den jüngsten Ereignissen, die nach der Aktivierung von CloudTrail Lake gesammelt wurden, bis hin zu historischen Ereignissen, die von Ihren Trails übernommen wurden.

F: Hat diese Importfunktion Auswirkungen auf die ursprüngliche Spur in S3? 

Die Importfunktion kopiert die Protokollinformationen von S3 nach CloudTrail Lake und lässt die Originalkopie in S3 unverändert.

F: Welche CloudTrail-Ereignisse kann ich abfragen, nachdem ich die CloudTrail-Lake-Funktion aktiviert habe?

Sie können CloudTrail Lake für alle Ereigniskategorien aktivieren, die von CloudTrail gesammelt werden, abhängig von Ihrem internen Problemlösungsbedarf. Ereigniskategorien beinhalten Verwaltungsereignisse, die Aktivitäten der Steuerebene festhalten, wie CreateBucket und TerminateInstances, sowie Datenereignisse, die Aktivitäten der Steuerebene, wie GetObject und PutObject aufzeichnen. Sie benötigen kein separates Trail-Abonnement für diese Ereignisse. Sie können Ihre Aufbewahrungsdauer für Ereignisse für bis zu sieben Jahre auswählen und Sie können diese Daten jederzeit abfragen.

F: Wie lange muss ich warten, nachdem ich die CloudTrail-Lake-Funktion aktiviert habe, bis ich mit dem schreiben von Abfragen beginnen kann?

Sie können mit der Abfrage von aufgetretenen Aktivitäten fast sofort nach der Aktivierung der Funktion beginnen.

F: Was sind häufige Sicherheits- und Produktionsanwendungsfälle, die ich mit CloudTrail Lake lösen kann?

Häufige Anwendungsfälle beinhalten die Ermittlung von Sicherheitsereignissen, wie ungenehmigter Zugriff oder kompromittierte Benutzerdaten sowie Verstärkung Ihres Sicherheitsstatus durch die Durchführung von Audits, um die Benutzerberechtigungen regelmäßig zu prüfen. Sie können notwendige Audits durchführen, um sicherzustellen, dass die richtigen Benutzer Änderungen an Ihrer Ressource durchführen, wie z. B. Sicherheitsgruppen, und alle Änderungen verfolgen, die nicht mit Ihrer bewährten Organisationsmethode übereinstimmen. Zusätzlich können Sie Aktionen verfolgen, die auf Ihre Ressource vorgenommen wurden und Änderungen oder Löschungen bewerten sowie tiefere Einblicke auf Ihre AWS-Services-Rechnungen erhalten, einschließlich IAM-Benutzer, die Services abonnieren.

F: Was sind die ersten Schritte?

Wenn Sie ein aktueller oder neuer AWS-CloudTrail-Kunde sind, können Sie sofort damit beginnen, CloudTrail-Lake-Fähigkeiten zu nutzen, um Abfragen laufen zu lassen, indem Sie die Funktion durch die API oder der CloudTrail-Konsole aktivieren. Wählen Sie die Registerkarte CloudTrail Lake auf der linken Seite der CloudTrail-Konsole und klicken Sie auf die Schaltfläche Ereignisdatenspeicher erstellen, um die Dauer der Ereignisaufbewahrung auszuwählen (bis zu sieben Jahre). Wählen Sie dann aus allen von CloudTrail protokollierten Ereigniskategorien (Management- und Datenereignisse) ein Ereignis aus, um loszulegen.

Darüber hinaus können Sie Beispielabfragen verwenden, um mit dem Schreiben von Abfragen für häufigen Szenarien zu beginnen, wie z. B. die Identifikation von Akten auf Autorisierungsfehlern für AssumeRole oder Sie können Ihre eigenen Abfragen erstellen, um mit Ihrer Suche zu beginnen.

F: Ich habe mehrere AWS-Konten. Ich möchte gerne, dass Protokolldateien für alle Konten an einen zentralen S3-Bucket übermittelt werden. Ist das möglich?

Ja. Sie können einen S3-Bucket als Ziel für mehrere Konten konfigurieren. Detaillierte Anweisungen finden Sie im Abschnitt Aggregating log files to a single S3 bucket im CloudTrail-Benutzerhandbuch.

F: Was ist die Integration von CloudTrail in CloudWatch Logs?

Durch die CloudTrail-Integration in CloudWatch Logs werden von CloudTrail erfasste Verwaltungs- und Datenereignisse an einen CloudWatch-Logs-Protokoll-Stream in der von Ihnen festgelegten CloudWatch-Logs-Protokollgruppe übermittelt.

F: Was sind die Vorteile der Integration von CloudTrail in CloudWatch Logs?

Die Integration hilft Ihnen SNS-Benachrichtigungen zu den von CloudTrail erfassten Kontoaktivitäten erhalten. Sie können zum Beispiel CloudWatch-Alarme erstellen, um API-Aufrufe zu überwachen, die Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten (ACLs) erstellen, ändern und löschen.

F: Wie aktiviere ich die CloudTrail-Integration in CloudWatch Logs?

Sie können die CloudTrail-Integration in CloudWatch Logs von der CloudTrail-Konsole aktivieren, indem Sie eine CloudWatch Logs-Protokollgruppe und eine IAM-Rolle festlegen. Sie können auch die AWS-SDKs oder die AWS CLI verwenden, um diese Integration zu aktivieren.

F: Was passiert, wenn ich die CloudTrail-Integration in CloudWatch Logs aktiviere?

Nachdem Sie die Integration aktiviert haben, übermittelt CloudTrail kontinuierlich Kontoaktivitäten an einen CloudWatch Logs-Protokoll-Stream in der festgelegten CloudWatch Logs-Protokollgruppe. Außerdem übermittelt CloudTrail wie schon zuvor Protokolle an Ihren S3-Bucket.

F: In welchen AWS-Regionen wird die CloudTrail-Integration in CloudWatch Logs unterstützt?

Die Integration wird in den Regionen unterstützt, in denen auch CloudWatch Logs unterstützt wird. Weitere Informationen erhalten Sie unter Regionen und Endpunkte in der allgemeinen AWS-Referenz.

F: Wie überträgt CloudTrail Ereignisse mit Kontoaktivitäten an meine CloudWatch Logs?

CloudTrail übernimmt die von Ihnen angegebene IAM-Rolle, um Kontoaktivitäten an CloudWatch Logs zu übermitteln. Sie beschränken die IAM-Rolle auf die Berechtigungen, die zum Übermitteln der Ereignisse an Ihren CloudWatch Logs-Protokoll-Stream erforderlich sind. Die Richtlinien zu IAM-Rollen finden Sie im Benutzerhandbuch der CloudTrail-Dokumentation.

F: Welche Gebühren fallen an, nachdem ich die CloudTrail-Integration in CloudWatch Logs aktiviert habe?

Nachdem Sie die CloudTrail-Integration in CloudWatch Logs aktiviert haben, fallen die Standardgebühren für CloudWatch Logs und CloudWatch an. Details finden Sie in der CloudWatch-Preisübersicht.

F: Worin besteht der Vorteil der Verschlüsselung von CloudTrail-Protokolldateien unter Verwendung der serverseitigen Verschlüsselung mit AWS KMS?

Durch die Verschlüsselung von CloudTrail-Protokolldateien mithilfe von SSE-KMS können Sie den an einen S3-Bucket gelieferten CloudTrail-Protokolldateien eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie die Protokolldateien mit Ihrem KMS-Schlüssel verschlüsseln. Standardmäßig verschlüsselt CloudTrail die an Ihren S3-Bucket gelieferten Protokolldateien mithilfe der serverseitigen Verschlüsselung von S3.

F: Ich habe eine Anwendung, die CloudTrail-Protokolldateien erfasst und verarbeitet. Muss ich Änderungen an meiner Anwendung vornehmen?

Mit SSE-KMS verschlüsselt S3 die Protokolldateien automatisch, sodass Sie keine Änderungen an Ihrer Anwendung vornehmen müssen. Wie immer müssen Sie sicherstellen, dass Ihre Anwendung über die geeigneten Berechtigungen verfügt, z. B. die Berechtigungen „S3 GetObject“ und „KMS Decrypt“.

F: Wie muss ich bei der Konfiguration der Verschlüsselung von CloudTrail-Protokolldateien vorgehen?

Sie können die AWS Management Console, AWS CLI oder die AWS SDKs verwenden, um die Verschlüsselung der Protokolldateien zu konfigurieren. Detaillierte Anweisungen finden Sie in der Dokumentation.

F: Welche Kosten entstehen, wenn ich die Verschlüsselung mithilfe von SSE-KMS konfiguriere?

Wenn Sie die Verschlüsselung mithilfe von SSE-KMS konfigurieren, entstehen die standardmäßigen AWS KMS-Kosten. Details finden Sie auf der AWS-KMS-Preisseite.

F: Worin besteht die Integritätsprüfung für CloudTrail-Protokolldateien?

Die Funktion zur Integritätsprüfung von CloudTrail-Protokolldateien hilft Ihnen zu ermitteln, ob eine CloudTrail-Protokolldatei seit der Übermittlung an den angegebenen S3-Bucket unverändert geblieben ist, gelöscht oder geändert wurde.

F: Worin besteht der Nutzen der Integritätsprüfung der CloudTrail-Protokolldateien?

Sie können die Integritätsprüfung der Protokolldateien zur Unterstützung Ihrer IT-Sicherheit sowie für Überwachungsprozesse verwenden.

F: Wie aktiviere ich die Integritätsprüfung für CloudTrail-Protokolldateien?

Sie können die Funktion zur Integritätsprüfung für CloudTrail-Protokolldateien von Konsole, über AWS CLI oder AWS-SDKs aktivieren.

F: Was geschieht, wenn ich die Funktion zur Integritätsprüfung für Protokolldateien aktiviere?

Sobald Sie die Funktion zur Integritätsprüfung der Protokolldateien aktiviert haben, liefert CloudTrail stündlich Digest-Dateien. Die Digest-Dateien enthalten Informationen über die Protokolldateien, die an Ihren S3-Bucket geliefert wurden, sowie Hash-Werte für diese Protokolldateien. Sie enthalten auch digitale Signaturen für die vorherige Digest-Datei und die digitale Signatur für die aktuelle Digest-Datei im Abschnitt S3-Metadaten. Weitere Informationen über Digest-Dateien, digitale Signaturen und Hash-Werte finden Sie in der CloudTrail-Dokumentation.

F: Wohin werden die Digest-Dateien geliefert?

Die Digest-Dateien werden in demselben S3-Bucket gespeichert, in dem auch Ihre Protokolldateien gespeichert sind. Sie werden jedoch in einem anderen Ordner abgelegt, so dass Sie detaillierte Zugriffskontrollrichtlinien durchsetzen können. Weitere Informationen finden Sie im Abschnitt zur Struktur der Digest-Dateien in der CloudTrail-Dokumentation.

F: Wie kann ich die Integrität einer Protokolldatei oder Digest-Datei prüfen, die von CloudTrail geliefert wurde?

Sie können AWS CLI verwenden, um die Integrität einer Protokolldatei oder Digest-Datei zu prüfen. Sie können auch Ihre eigenen Tools zur Prüfung entwickeln. Weitere Informationen über die Verwendung von AWS CLI zur Prüfung der Integrität einer Protokolldatei finden Sie in der CloudTrail-Dokumentation.

F: Ich aggregiere alle meine Protokolldateien aus allen Regionen und mehreren Konten in einem einzigen S3-Bucket. Werden die Digest-Dateien an den gleichen S3-Bucket geliefert?

Ja. CloudTrail liefert die Digest-Dateien aus allen Regionen und mehreren Konten an den gleichen S3-Bucket.

F: Was ist die AWS CloudTrail Processing Library?

AWS CloudTrail Processing Library ist eine Java-Bibliothek, die das Erstellen von Anwendungen für das Lesen und Verarbeiten von CloudTrail-Protokolldateien erleichtert. Sie können die CloudTrail Processing Library von GitHub herunterladen.

F: Welche Funktionalität bietet die CloudTrail Processing Library?

Die CloudTrail Processing Library bietet Funktionen zur Bewältigung von Aufgaben wie der kontinuierlichen Abfrage einer SQS-Warteschlange und dem Lesen und Parsen von Amazon Simple Queue Service (SQS)-Nachrichten. Sie kann auch in S3 gespeicherte Protokolldateien herunterladen und Ereignisse von Protokolldateien auf fehlertolerante Weise parsen und serialisieren. Weitere Informationen finden Sie im Benutzerhandbuch in der CloudTrail-Dokumentation.

F: Welche Software benötige ich, um die CloudTrail Processing Library zu verwenden?

Sie benötigen aws-java-sdk Version 1.9.3 und Java 1.7 oder höher.

F: Wie werden Gebühren für CloudTrail berechnet?

CloudTrail hilft Ihnen die letzten 90 Tage der Verwaltungsereignisse Ihres Kontos kostenlos anzeigen, durchsuchen und herunterladen. Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an S3 liefern, indem Sie einen Trail erstellen. Sobald ein CloudTrail Trail eingerichtet ist, fallen S3-Gebühren, die sich nach Ihrer Nutzung richten, an.

Sie können zusätzliche Exemplare von Ereignissen, einschließlich Datenereignissen, mithilfe von Trails bereitstellen. Für Datenereignisse oder zusätzliche Kopien von Verwaltungsereignissen werden Ihnen Gebühren berechnet. Weitere Informationen finden Sie auf unserer Preisseite.

F: Wenn ich nur einen Trail mit Managementereignissen habe und diesen auf alle Regionen anwende, fallen dann Gebühren an?

Nein. Die erste Kopie der Verwaltungsereignisse wird in jeder Region kostenlos bereitgestellt.

F: Werden mir Gebühren berechnet, wenn ich Datenereignisse für einen vorhandenen Pfad mit kostenlosen Verwaltungsereignisse aktiviere?

Ja. Ihnen werden nur die Datenereignisse in Rechnung gestellt. Die erste Kopie der Verwaltungsereignisse wird kostenlos bereitgestellt.

F: Wie helfen mir die AWS-Partnerlösungen bei der Analyse der von CloudTrail aufgezeichneten Ereignisse?

Mehrere Partner bieten integrierte Lösungen für die Analyse von CloudTrail-Protokolldateien. Diese Lösungen bieten Funktionen wie die Nachverfolgung von Änderungen, Problembehebung und Sicherheitsanalyse. Weitere Informationen finden Sie im Abschnitt CloudTrail-Partner.

F: Wie kann ich eine Integration mit CloudTrail Lake als eine verfügbare Quelle einbinden?

Lesen Sie den Onboarding-Leitfaden für Partner, um die ersten Schritte der Integration durchzuführen.. Nehmen Sie Kontakt zu Ihrem Partnerentwicklungsteam oder Partnerlösungen-Architekten auf, um eine Verbidnung zum CloudTrail-Lake-Team herzustellen, um detailliertere Informationen zu erhalten oder weitere Fragen zu stellen.

F: Wirkt sich die Aktivierung von CloudTrail auf die Leistung meiner AWS-Ressourcen aus oder wird dadurch die Latenz von API-Aufrufen erhöht?

Nein. Das Aktivieren von CloudTrail hat keine Auswirkung auf die Leistung für Ihre AWS-Ressourcen oder die Latenz von API-Aufrufen.