AWS CloudTrail – Häufig gestellte Fragen

Allgemeines

CloudTrail ermöglicht Auditing, Sicherheitsüberwachung und operative Fehlerbehebung durch Nachverfolgung von Benutzeraktivitäten und API-Nutzung. CloudTrail protokolliert, überwacht und speichert Kontoaktivitäten im Zusammenhang mit Aktionen in Ihrer AWS-Infrastruktur und gibt Ihnen die Kontrolle über Speicherung, Analyse und Abhilfemaßnahmen.

CloudTrail hilft Ihnen, Compliance nachzuweisen, die Sicherheitslage zu verbessern und Aktivitätsaufzeichnungen über Regionen und Konten hinweg zu konsolidieren. CloudTrail bietet einen Einblick in die Benutzeraktivitäten, indem es die in Ihrem Konto durchgeführten Aktionen aufzeichnet. CloudTrail zeichnet wichtige Informationen über jede Aktion auf, darunter auch, wer die Anfrage gestellt hat, die verwendeten Services, die durchgeführten Aktionen, die Parameter für die Aktionen und die vom AWS-Service zurückgegebenen Antwortelemente. Diese Informationen helfen Ihnen, Änderungen an Ihren AWS-Ressourcen nachzuverfolgen und betriebliche Probleme zu beheben. CloudTrail vereinfacht die Einhaltung interner Richtlinien und gesetzlicher Vorschriften. Weitere Details finden Sie im AWS-Whitepaper zum Thema Compliance Security at scale: Logging in AWS (Skalierbare Sicherheit: Anmelden bei AWS). 

Verwenden Sie CloudTrail, wenn Sie Aktivitäten prüfen, die Sicherheit überwachen oder betriebliche Probleme beheben müssen.

Erste Schritte

Nein, Sie können Ihre Kontoaktivitäten sofort anzeigen. Besuchen Sie die AWS-CloudTrail-Konsole oder rufen Sie das AWS-CLI-Tool, um die Kontoaktivitäten der vergangenen 90 Tage anzuzeigen.

AWS CloudTrail zeigt nur die Ergebnisse des CloudTrail-Ereignisverlaufs für die aktuelle Region an, die Sie für die letzten 90 Tage betrachten, und unterstützt eine Reihe von AWS-Services. Diese Ereignisse beschränken sich auf Verwaltungsereignisse, die API-Aufrufe und Kontoaktivitäten erstellen, ändern und löschen. Für eine vollständige Aufzeichnung der Kontoaktivitäten, darunter auch aller Verwaltungsereignisse, Datenereignisse und Nur-Lese-Aktivitäten, müssen Sie einen CloudTrail-Pfad konfigurieren.

Sie können den Zeitraum und eines der folgenden Attribute festlegen: Ereignisname, Benutzername, Ressourcenname, Ereignisquelle, Ereignis-ID und Ressourcentyp.

Ja, Sie können in der CloudTrail-Konsole oder mithilfe der CloudTrail API oder des CLI-Tools die Kontoaktivitäten der vergangenen 90 Tage anzeigen.

Richten Sie einen CloudTrail-Pfad ein, um Ihre CloudTrail-Ereignisse an Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch Logs und Amazon CloudWatch Events zu liefern. So können Sie Funktionen zum Archivieren, Analysieren und Reagieren auf Änderungen in Ihren AWS-Ressourcen nutzen.

Ja, CloudTrail ist mit AWS Identity and Access Management (IAM) integriert, das Ihnen hilft, den Zugriff auf CloudTrail und auf andere AWS-Ressourcen, die CloudTrail benötigt, zu kontrollieren. Dazu gehört auch die Möglichkeit, die Berechtigungen zum Anzeigen und Durchsuchen von Kontoaktivitäten einzuschränken. Entfernen Sie „cloudtrail:LookupEvents“ aus der IAM-Richtlinie Users, um zu verhindern, dass dieser IAM-Benutzer die Kontoaktivitäten einsehen kann.

Das Anzeigen oder Durchsuchen der Kontoaktivitäten innerhalb des CloudTrail-Ereignisverlaufs ist kostenlos. 

Für alle erstellten CloudTrail-Trails können Sie die Protokollierung beenden oder die Trails löschen. Dadurch wird auch die Übermittlung von Kontoaktivitäten an den Amazon-S3-Bucket, den Sie als Teil Ihrer Pfad-Konfiguration festgelegt haben und die Übermittlung an CloudWatch Logs, falls konfiguriert, gestoppt. Die Kontoaktivität der letzten 90 Tage wird weiterhin gesammelt und in der CloudTrail-Konsole und über die AWS Command Line Interface (AWS CLI) angezeigt. 

Unterstützung von Services und Regionen

CloudTrail zeichnet die Kontoaktivitäten und servicerelevanten Ereignisse der meisten AWS-Services auf. Eine Liste der unterstützten Services finden Sie unter CloudTrail – Unterstützte Services im CloudTrail-Benutzerhandbuch.

Ja. CloudTrail zeichnet API-Aufrufe von jedem Client aus auf. Die AWS-Managementkonsole, AWS-SDKs, Befehlszeilen-Tools und höher angesiedelten AWS-Services rufen AWS-API-Abläufe auf, weshalb diese Aufrufe aufgezeichnet werden.

Aktivitätsinformationen für Services mit regionalen Endpunkten (wie Amazon Elastic Compute Cloud [Amazon EC2] oder Amazon Relational Database Service [Amazon RDS]) werden in derselben Region erfasst und verarbeitet, in der die Aktion durchgeführt wird. Sie wird dann an die Region geliefert, die mit Ihrem S3-Bucket verbunden ist. Aktivitätsinformationen für Services mit einzelnen Endpunkten wie IAM und AWS Security Token Service (AWS STS) werden in der Region erfasst, in der sich der Endpunkt befindet. Es wird dann in der Region verarbeitet, in der der CloudTrail-Pfad konfiguriert ist, und an die Region übermittelt, die mit Ihrem S3-Bucket verbunden ist.

Trail auf alle Regionen anwenden

Die Anwendung eines Trails auf alle AWS-Regionen bezieht sich auf die Erstellung eines Trails, der die Aktivitäten des AWS-Kontos in allen Regionen aufzeichnet, in denen Ihre Daten gespeichert sind. Diese Einstellung gilt auch für alle neu hinzugefügten Regionen. Weitere Details zu Regionen und Partitionen finden Sie auf der Seite Amazon Resource Names and AWS Service Namespaces.

Sie können einen Trail für alle Regionen in der Partition mit einem API-Aufruf oder ein paar Auswahlen erstellen und verwalten. Sie erhalten eine Aufzeichnung aller Aktivitäten in Ihrem AWS-Konto für alle Regionen in einem S3-Bucket oder einer CloudWatch-Logs-Gruppe. Wenn AWS eine neue Region einführt, erhalten Sie die Protokolldateien mit dem Ereignisverlauf für die neue Region, ohne dass Sie etwas tun müssen.

Wählen Sie in der CloudTrail-Konsole „Yes“, um den Pfad auf alle Regionen in der Pfad-Konfigurationsseite anzuwenden. Falls Sie die SDKs oder AWS CLI verwenden, setzen Sie IsMultiRegionTrail auf „True“. 

Sobald Sie einen Trail in allen Regionen anwenden, erstellt CloudTrail einen neuen Trail, indem es die Trail-Konfiguration repliziert. CloudTrail erstellt und verarbeitet die Protokolldateien der einzelnen Regionen. Die Protokolldateien mit den Kontoaktivitäten in allen Regionen werden an einen einzelnen S3-Bucket und eine einzelne CloudWatch-Logs-Protokollgruppe geliefert. Wenn Sie ein optionales Amazon Simple Notification Service (Amazon SNS)-Thema angegeben haben, liefert CloudTrail Amazon-SNS-Benachrichtigungen für alle Protokolldateien, die an ein einzelnes SNS-Thema geliefert werden.

Ja. Ja, Sie können einen vorhandenen Pfad auf alle Regionen anwenden. Wenn Sie einen bestehenden Trail auf alle Regionen anwenden, erstellt CloudTrail einen neuen Trail für Sie in allen Regionen. Wenn Sie zuvor Trails in anderen Regionen erstellt haben, können Sie diese Trails über die CloudTrail-Konsole anzeigen, bearbeiten und löschen. 

Normalerweise dauert es weniger als 30 Sekunden, um die Pfad-Konfiguration für alle Regionen zu replizieren.

Mehrere Pfade

Sie können bis zu fünf Pfade in einer Region erstellen. In jeder Region gibt es einen Pfad, der auf alle Regionen angewendet wird und der in jeder Region als ein einzelner Pfad gezählt wird.

Mit mehreren Pfaden können verschiedene Beteiligte wie Sicherheitsadministratoren, Softwareentwickler und IT-Prüfer ihre eigenen Pfade erstellen und verwalten. Ein Sicherheitsadministrator kann zum Beispiel einen Pfad erstellen, der für alle Regionen gilt, und die Verschlüsselung mit einem Amazon Key Management Service (Amazon KMS)-Schlüssel benutzen. Ein Entwickler kann einen Pfad erstellen, der für eine Region gilt, um betriebliche Probleme zu beheben.

Ja. Dank Berechtigungen auf Ressourcenebene können Sie detaillierte Zugriffskontrollrichtlinien erstellen, um bestimmten Benutzern den Zugriff auf einen bestimmten Trail zu erlauben oder zu verweigern. Weitere Informationen finden Sie in der Dokumentation zu CloudTrail. 

Sicherheit und Ablauf

CloudTrail-Protokolldateien werden standardmäßig mit der S3-Verschlüsselung auf Serverseite (SSE) verschlüsselt und in Ihrem S3-Bucket abgelegt. Sie können den Zugriff auf Protokolldateien mithilfe von IAM- oder S3-Bucket-Richtlinien regeln. Sie können eine weitere Schutzebene hinzufügen, indem Sie für Ihren S3-Bucket S3-Multi Factor Authentication (MFA) Delete aktivieren. Weitere Details zum Erstellen und Aktualisieren eines Pfades finden Sie in der CloudTrail-Dokumentation.

Sie können ein Beispiel einer S3-Bucket-Richtlinie und SNS-Themenrichtlinie aus dem S3-Bucket von CloudTrail herunterladen. Sie müssen die Beispielrichtlinien mit Ihren Daten aktualisieren, ehe Sie sie auf Ihren S3-Bucket oder Ihr SNS-Thema anwenden.

Sie bestimmen die Aufbewahrungsrichtlinien für Ihre CloudTrail-Protokolldateien. Standardmäßig werden Protokolldateien unbegrenzt lange gespeichert. Mithilfe von Regeln für die Verwaltung des S3-Objektlebenszyklus können Sie eine eigene Aufbewahrungsrichtlinie festlegen. Sie können zum Beispiel alte Protokolldateien löschen oder sie in Amazon Simple Storage Service Glacier (Amazon S3 Glacier) archivieren.

Ereignismeldung, Pünktlichkeit und Häufigkeit der Zustellung

In einem Ereignis werden wichtige Informationen zur damit verbundenen Aktivität aufgezeichnet: der anfordernde Benutzer, die verwendeten Services, die durchgeführten Aktionen, die dafür verwendeten Parameter sowie die Reaktionen des AWS-Service. Weitere Details finden Sie im Abschnitt CloudTrail Event Reference im Benutzerhandbuch. 

CloudTrail übermittelt Ergebnisse in der Regel binnen 5 Minuten nach dem API-Aufruf. Weitere Informationen darüber, wie CloudTrail funktioniert, finden Sie hier.   

CloudTrail liefert etwa alle fünf Minuten Protokolldateien an Ihren S3-Bucket. CloudTrail übermittelt Protokolldateien nur dann, wenn API-Aufrufe für Ihr Konto erfolgen. 

Ja. Sie können Amazon-SNS-Benachrichtigungen aktivieren, um sofortige Aktionen bei der Bereitstellung neuer Protokolldateien durchzuführen. 

Obwohl dies selten vorkommt, erhalten Sie möglicherweise Protokolldateien, die ein oder mehrere doppelte Ereignisse enthalten. In den meisten Fällen verfügen doppelte Ereignisse über die gleiche eventID. Weitere Informationen zum Feld eventID finden Sie unter Inhalte von CloudTrail-Datensätzen

CloudTrail-Protokolldateien werden in Übereinstimmung mit den S3-Bucket-Richtlinien übermittelt, die Sie eingerichtet haben. Wenn die Bucket-Richtlinien falsch konfiguriert sind, kann CloudTrail-Protokolldateien nicht übermitteln. 

CloudTrail ist so konzipiert, dass es mindestens eine Übertragung abonnierter Ereignisse an S3-Buckets von Kunden unterstützt. In einigen Situationen ist es möglich, dass CloudTrail dasselbe Ereignis mehr als einmal übermittelt. Infolgedessen stellen Kunden möglicherweise doppelte Ereignisse fest. 

Datenereignisse

Datenereignisse bieten Einblicke in die Ressourcenvorgänge („Datenebene“), die an oder in der Ressource selbst durchgeführt wurden. Datenereignisse sind häufig Aktivitäten mit hohem Volumen und umfassen Vorgänge wie S3-API-Operationen auf Objektebene und AWS-Lambda-APIs zum Aufrufen von Funktionen. Datenereignisse sind bei der Konfiguration von Pfaden standardmäßig deaktiviert. Zur Aufzeichnung von CloudTrail-Datenereignissen müssen Sie die unterstützten Ressourcen bzw. Ressourcentypen, deren Aktivitäten Sie erfassen möchten, explizit hinzufügen. Anders als bei Verwaltungsereignissen fallen für Datenereignisse zusätzliche Gebühren an. Weitere Informationen finden Sie unter CloudTrail – Preise

Von CloudTrail aufgezeichnete Datenereignisse werden ähnlich wie Verwaltungsereignisse an S3 übermittelt. Nach der Aktivierung sind diese Ereignisse auch in Amazon CloudWatch Events verfügbar. 

S3-Datenereignisse stellten API-Aktivitäten für S3-Objekte dar. Damit CloudTrail diese Aktivitäten aufzeichnet, geben Sie im Datenereignisabschnitt einen S3-Bucket an, wenn Sie einen neuen Pfad erstellen oder einen vorhandenen bearbeiten. Alle API-Aktionen für Objekte im angegebenen S3-Bucket werden von CloudTrail aufgezeichnet. 

Lambda-Datenereignisse erfassen die Laufzeit von Aktivitäten von Lambda-Funktionen. Mit Lambda-Datenereignissen können Sie Details zur Laufzeit von Lambda-Funktionen abrufen. Beispiele für die Laufzeit von Lambda-Funktionen beinhalten, welcher IAM-Benutzer oder -Dienst den Invoke-API-Aufruf getätigt hat, wann der Aufruf getätigt wurde und welche Funktion angewendet wurde. Alle Lambda-Datenereignisse werden an den S3-Bucket und CloudWatch Events übermittelt. Sie aktivieren die Protokollierung von Lambda-Datenereignissen mithilfe der CLI oder der CloudTrail-Konsole. Welche Lambda-Funktionen protokolliert werden, wählen Sie aus, indem Sie einen neuen Pfad erstellen oder einen vorhandenen bearbeiten. 

Delegierter Administrator

Ja, CloudTrail unterstützt jetzt das Hinzufügen von bis zu drei delegierten Administratoren pro Organisation.

Das Verwaltungskonto bleibt weiterhin der Besitzer aller Organisations-Pfade oder Ereignis-Datenspeicher, die auf der Organisationsebene erstellt werden, unabhängig davon, ob es von einem delegierten Admin-Konto oder einem Verwaltungskonto erstellt wurde.

Derzeit ist Unterstützung für delegierte Administratoren für CloudTrail in allen Regionen verfügbar, in denen AWS CloudTrail verfügbar ist. Weitere Informationen finden Sie in der Tabelle der AWS-Regionen.

CloudTrail Insights

CloudTrail-Insight-Ereignisse helfen Ihnen dabei, anormale Aktivitäten in Ihren AWS-Konten zu identifizieren, wie Spitzenbelastungen bei der Ressourcen-Bereitstellung, Spitzenlasten bei AWS Identity and Access-Management-Aktionen (IAM) oder Lücken bei regulären Wartungsarbeiten. CloudTrail Insights verwendet Machine-Learning-Modelle (ML), die CloudTrail-Schreib-Verwaltungsereignisse kontinuierlich auf ungewöhnliche Aktivitäten überwachen.

Wenn eine ungewöhnliche Aktivität festgestellt wird, werden CloudTrail Insights-Ereignisse in der Konsole angezeigt und an CloudWatch Events, Ihren S3-Bucket und optional an die CloudWatch Logs-Gruppe übermittelt. Dies erleichtert die Erstellung von Warnmeldungen und die Integration in bestehende Ereignisverwaltungs- und Workflow-Systeme.

CloudTrail Insights entdeckt anormale Aktivitäten, indem CloudTrail-Schreibmanagement-Ereignisse im AWS-Konto und in der Region analysiert werden. Ein ungewöhnliches oder anormales Ereignis wird als Volumen der AWS-API-Aufrufe definiert, die von den erwarteten und zu zuvor etablierten Betriebsmustern oder der Baseline abweichen. CloudTrail Insights passt sich an Änderungen Ihrer normalen Betriebsmuster an, indem zeitbasierte Trends in Ihren API-Aufrufen einberechnet werden und adaptive Baselines als Änderungen der Arbeitsaufwände angewandt werden.

Mit CloudTrail Insights können fehlartige Skripte oder Anwendungen aufgedeckt werden. Manchmal ändert ein Entwickler ein Skript oder eine Anwendung, die einen sich wiederholenden Loop beginnt oder eine große Anzahl von Aufrufen zu unbeabsichtigten Ressourcen wie Datenbanken, Datenspeichern oder anderen Funktionen macht. Dieses Verhalten wird oft erst bei der Rechnungsstellung erkannt, wenn die Kosten bereits unerwartet hoch sind oder ein Ausfall oder eine Störung erfolgt. CloudTrail-Insights-Ereignisse informieren Sie über diese Änderungen in Ihrem AWS-Konto, und Sie können die Korrekturen schnell ausführen.

CloudTrail Insights identifiziert ungewöhnliche betriebliche Aktivitäten in Ihren AWS-Konten und hilft Ihnen, betriebliche Probleme zu beheben und die Auswirkungen auf den Betrieb und das Geschäft zu minimieren. Amazon GuardDuty konzentriert sich auf die Verbesserung der Sicherheit Ihres Kontos und erkennt Bedrohungen durch die Überwachung von Kontoaktivitäten. Amazon Macie wurde entwickelt, um den Datenschutz in Ihrem Konto zu verbessern, indem sensible Daten entdeckt, klassifiziert und geschützt werden. Diese Services bieten zusätzlichen Schutz gegen unterschiedliche Probleme, die in Ihrem Konto auftreten können.

Ja. CloudTrail Insights-Ereignisse sind auf einzelnen Pfaden konfiguriert, deshalb müssen Sie mindesten einen Pfad eingerichtet haben. Wenn Sie CloudTrail Insights-Ereignisse für einen Pfad einschalten, beginnt CloudTrail mit der Überwachung der Schreibmanagement-Ereignisse, die für diesen Pfad für anormale Muster festgehalten werden. Wenn CloudTrail Insights anormale Aktivitäten entdeckt, wird ein CloudTrail-Insights-Ereignis am Lieferzielort, der in der Pfaddefinition festgelegt ist, gespeichert.

CloudTrail Insights verfolgt ungewöhnliche Aktivitäten für Schreibverwaltungs-API-Operationen.

Sie können CloudTrail Insights-Ereignisse für einzelne Trails in Ihrem Konto dank der Konsole, der CLI oder des SDKs aktivieren. Sie können CloudTrail Insights-Ereignisse auch unternehmensweit aktivieren, dank eines Organizational Trails, der in Ihrem AWS-Organizations-Verwaltungskonto konfiguriert ist. Sie können CloudTrail-Insights-Ereignisse einschalten, indem Sie die Optionsschaltfläche in Ihrer Trail-Definition auswählen. 

CloudTrail Lake

CloudTrail Lake hilft Ihnen bei der Untersuchung von Vorfällen, indem es alle von CloudTrail protokollierten Aktionen, von AWS Config aufgezeichneten Konfigurationselemente, Beweise von Audit Manager oder Ereignisse aus Nicht-AWS-Quellen abfragt. Es vereinfacht die Ereignisprotokollierung, indem es bei der Auflösung von Produktionsabhängigkeiten unterstützt und Tools zur Verfügung stellt, die bei der Reduzierung Ihrer Abhängigkeit von teamübergreifenden Datenverarbeitungs-Pipelines helfen. Mit CloudTrail Lake müssen Sie Ihre Daten nicht verschieben oder andersweitig in CloudTrail-Protokollen eingeben, welches bei der Einhaltung der Datentreue hilft und den Umgang mit Niedrigsatzgrenzen verringert, die Ihre Protokolle drosseln. Es stellt außerdem Latenzen nahezu in Echtzeit zur Verfügung, da es fein abgestimmt ist, strukturierte Protokolle von großem Volume zu verarbeiten und diese somit für Ereignisermittlung bereitstellt. Schließlich bietet CloudTrail Lake ein vertrautes Abfrageerlebnis mit mehreren Attributen mit SQL und ist in der Lage, mehrere gleichzeitige Abfragen zu planen und zu verarbeiten.

CloudTrail ist die anerkannte Quelle für Protokolle von Benutzeraktivitäten und API-Nutzung über AWS-Services hinweg. Sie können CloudTrail Lake verwenden, um Aktivitäten über AWS-Services hinweg zu prüfen, sobald die Protokolle in CloudTrail verfügbar sind. Sie können Benutzeraktivitäten und betroffene Ressourcen abfragen und analysieren und diese Daten verwenden, um Probleme zu lösen, z. B. die Identifizierung böswilliger Akteure und Basisberechtigungen.

Sie können Partner-Integrationen finden und hinzufügen, um Aktivitätsereignisse von diesen Anwendungen in ein paar Schritten mit der CloudTrail-Konsole zu erhalten, ohne benutzerdefinierte Integrationen erstellen und warten zu müssen. Für andere Quellen als die verfügbaren Partner-Integrationen können Sie die neuen CloudTrail-Lake-APIs verwenden, um Ihre eigenen Integrationen einzurichten und Ereignisse nach CloudTrail Lake zu pushen. Informationen zu den ersten Schritten finden Sie unter Arbeiten mit CloudTrail Lake im CloudTrail-Benutzerhandbuch.

Die erweiterte AWS-Config-Abfrage wird für Kunden empfohlen, die den aktuellen Zustand der AWS-Config-Konfigurationselemente (CI) zusammenfassen und abfragen möchten. Dies hilft den Kunden bei der Bestandsverwaltung, der Sicherheit und der betrieblichen Intelligenz, der Kostenoptimierung und den Compliance-Daten. Die erweiterte Abfrage von AWS Config ist kostenlos, wenn Sie ein AWS-Config-Kunde sind. 

CloudTrail Lake unterstützt die Abfrage von AWS-Config-Konfigurationselementen, einschließlich der Ressourcenkonfiguration und des Compliance-Verlaufs. Die Analyse der Konfigurations- und Compliance-Historie für Ressourcen mit entsprechenden CloudTrail-Ereignissen hilft dabei, Rückschlüsse darauf zu ziehen, wer, wann und was auf diesen Ressourcen geändert wurde. Dies hilft bei der Ursachenanalyse von Vorfällen im Zusammenhang mit der Gefährdung der Sicherheit oder der Nichteinhaltung von Vorschriften. CloudTrail Lake wird empfohlen, wenn Sie Daten über CloudTrail-Ereignisse und historische Konfigurationselemente aggregieren und abfragen müssen.  

CloudTrail Lake nimmt keine AWS-Config-Konfigurationselemente auf, die vor der Konfiguration von CloudTrail Lake erstellt wurden. Neu aufgezeichnete Konfigurationselemente von AWS Config werden auf Konto- oder Organisationsebene an den angegebenen CloudTrail-Lake-Ereignisdatenspeicher übermittelt. Diese Konfigurationselemente stehen im Lake für den angegebenen Aufbewahrungszeitraum zur Abfrage zur Verfügung und können für die Analyse historischer Daten verwendet werden. 

Wenn mehrere Benutzer kurz hintereinander versuchen, die Konfiguration einer einzelnen Ressource zu ändern, kann nur ein einziges Konfigurationselement erstellt werden, das der Endkonfiguration der Ressource entsprechen würde. In diesem und ähnlichen Szenarien ist es unter Umständen nicht möglich, eine 100 %-ige Korrelation darüber herzustellen, welcher Benutzer welche Konfigurationsänderungen vorgenommen hat, indem CloudTrail und Konfigurationsobjekte für einen bestimmten Zeitraum und eine bestimmte Ressourcen-ID abgefragt werden.

Ja. Die CloudTrail-Lake-Importfunktion unterstützt das Kopieren von CloudTrail-Protokollen aus einem S3-Bucket, in dem Protokolle von mehreren Konten (aus einem Organisationspfad) und mehreren AWS-Regionen gespeichert sind. Sie können auch Protokolle von einzelnen Konten und Trails aus einzelnen Regionen importieren. Mit der Importfunktion können Sie auch einen Zeitraum für den Import festlegen, so dass Sie nur die Teilmenge der Protokolle importieren, die für die langfristige Speicherung und Analyse in CloudTrail Lake benötigt werden. Nachdem Sie Ihre Protokolle konsolidiert haben, können Sie Abfragen zu Ihren Protokollen durchführen, von den jüngsten Ereignissen, die nach der Aktivierung von CloudTrail Lake gesammelt wurden, bis hin zu historischen Ereignissen, die von Ihren Trails übernommen wurden.

Die Importfunktion kopiert die Protokollinformationen von S3 nach CloudTrail Lake und lässt die Originalkopie in S3 unverändert.

Sie können CloudTrail Lake für alle Ereigniskategorien aktivieren, die von CloudTrail gesammelt werden, abhängig von Ihrem internen Problemlösungsbedarf. Ereigniskategorien beinhalten Verwaltungsereignisse, die Aktivitäten der Steuerebene festhalten, wie CreateBucket und TerminateInstances, sowie Datenereignisse, die Aktivitäten der Steuerebene, wie GetObject und PutObject aufzeichnen. Sie benötigen kein separates Trail-Abonnement für diese Ereignisse. Für CloudTrail Lake müssen Sie zwischen den Preisoptionen für eine verlängerbare Aufbewahrung von einem Jahr und einer Aufbewahrungsdauer von sieben Jahren wählen, was sich sowohl auf Ihre Kosten als auch auf Ihre Aufbewahrungsdauer für Ereignisse auswirkt. Sie können die Daten jederzeit abfragen. Innerhalb von CloudTrail-Lake-Dashboards unterstützen wir die Abfrage von CloudTrail-Ereignissen.

Sie können mit der Abfrage von aufgetretenen Aktivitäten fast sofort nach der Aktivierung der Funktion beginnen.

Häufige Anwendungsfälle beinhalten die Ermittlung von Sicherheitsereignissen, wie ungenehmigter Zugriff oder kompromittierte Benutzerdaten sowie Verstärkung Ihres Sicherheitsstatus durch die Durchführung von Audits, um die Benutzerberechtigungen regelmäßig zu prüfen. Sie können notwendige Audits durchführen, um sicherzustellen, dass die richtigen Benutzer Änderungen an Ihrer Ressource durchführen, wie z. B. Sicherheitsgruppen, und alle Änderungen verfolgen, die nicht mit Ihrer bewährten Organisationsmethode übereinstimmen. Zusätzlich können Sie Aktionen verfolgen, die auf Ihre Ressource vorgenommen wurden und Änderungen oder Löschungen bewerten sowie tiefere Einblicke auf Ihre AWS-Services-Rechnungen erhalten, einschließlich IAM-Benutzer, die Services abonnieren.

Wenn Sie ein aktueller oder neuer AWS-CloudTrail-Kunde sind, können Sie sofort damit beginnen, CloudTrail-Lake-Fähigkeiten zu nutzen, um Abfragen laufen zu lassen, indem Sie das Feature durch die API oder der CloudTrail-Konsole aktivieren. Wählen Sie im linken Bereich der CloudTrail-Konsole die Registerkarte CloudTrail Lake aus und klicken Sie auf die Schaltfläche „Event-Datenspeicher“ erstellen. Wenn Sie einen Ereignis-Datenspeicher erstellen, wählen Sie die Preisoption, die Sie für den Ereignis-Datenspeicher verwenden möchten. Die Preisoption bestimmt die Kosten für die Erfassung von Ereignissen sowie die maximale und standardmäßige Aufbewahrungsdauer für den Ereignis-Datenspeicher. Wählen Sie dann aus allen von CloudTrail protokollierten Ereigniskategorien (Management- und Datenereignisse) ein Ereignis aus, um loszulegen.

Um Ihnen bei der Visualisierung Ihrer wichtigsten CloudTrail-Lake-Ereignisse zu helfen, können Sie außerdem CloudTrail-Lake-Dashboards verwenden. CloudTrail Lake-Dashboards sind vorgefertigte Dashboards, die direkt in der CloudTrail-Konsole sofort einsatzbereite Sichtbarkeit und erstklassige Erkenntnisse aus Ihren Audit- und Sicherheitsdaten bieten.

Ja. Sie können die Preisoption im Rahmen der Konfiguration des Ereignis-Datenspeichers von einem Preis für die Aufbewahrung von sieben Jahren auf einen Preis für eine verlängerbare Aufbewahrungsdauer von einem Jahr aktualisieren. Ihre vorhandenen Daten bleiben für den konfigurierten Aufbewahrungszeitraum im Ereignis-Datenspeicher verfügbar. Für diese Daten fallen keine längeren Aufbewahrungsgebühren an. Für alle neu aufgenommenen Daten fallen jedoch die Gebühren für die verlängerbare Aufbewahrung von einem Jahr sowohl für die Aufnahme als auch für die erweiterte Aufbewahrung an. 

Nein. Wir unterstützen derzeit nicht die Migration eines Ereignis-Datenspeichers von einem Jahr mit erweiterbarer Aufbewahrungsdauer auf einen Preis für sieben Jahre. Sie können jedoch die Protokollierung für den aktuellen Ereignis-Datenspeicher deaktivieren und gleichzeitig einen neuen Ereignis-Datenspeicher mit siebenjähriger Aufbewahrungsgebühr für neu aufgenommene Daten erstellen. Sie können die Daten in beiden Ereignis-Datenspeichern weiterhin mit der jeweiligen Preisoption und dem konfigurierten Aufbewahrungszeitraum beibehalten und analysieren.

CloudTrail Lake ist ein Audit-Lake, der Kunden dabei hilft, ihre Anwendungsfallanforderungen rund um Compliance und Auditing zu erfüllen. Aufgrund der Anforderungen ihres Compliance-Programms müssen Kunden Prüfprotokolle für einen bestimmten Zeitraum ab dem Zeitpunkt der Erstellung der Protokolle aufbewahren, unabhängig davon, wann sie in CloudTrail Lake aufgenommen wurden.

Nein. Da es sich um ein historisches Ereignis mit einem in der Vergangenheit liegenden Zeitpunkt handelte, wird dieses Ereignis in CloudTrail Lake für einen Aufbewahrungszeitraum von einem Jahr ab dem Zeitpunkt des Ereignisses gespeichert. Die Dauer, für die dieses Ereignis in CloudTrail Lake gespeichert wird, beträgt also weniger als ein Jahr. 

Heute unterstützen CloudTrail-Lake-Dashboards das CloudTrail-Management und Datenereignisse.

Dashboards werden heute auf Kontoebene aktiviert und gelten für alle in diesem Konto aktiven Ereignisdatenspeicher, für die CloudTrail-Management oder -Datenereignisse aktiviert sind.

CloudTrail-Lake-Dashboards werden von CloudTrail-Lake-Abfragen unterstützt. Wenn Sie CloudTrail-Lake-Dashboards aktivieren, werden Ihnen die gescannten Daten in Rechnung gestellt. Weitere Informationen erhalten Sie auf der Seite mit den Preisangaben.

Nein. Heutzutage sind alle CloudTrail Lake-Dashboards kuratiert und vordefiniert und können nicht angepasst werden.

Prüfungs- und Compliance-Ingenieure können die CloudTrail Lake-Dashboards verwenden, um den Fortschritt von Compliance-Anforderungen wie der Migration auf TLS 1.2 und höher zu verfolgen. CloudTrail-Lake-Dashboards helfen Sicherheitsingenieuren dabei, sensible Benutzeraktivitäten wie das Löschen von Trails oder wiederholte Fehler bei der Zugriffsverweigerung genau zu verfolgen. Cloud-Betriebsingenieure können über das kuratierte Dashboard Einblick in Probleme wie die häufigsten Fehler bei der Service-Drosselung erhalten.

Zusammenführung von Protokolldateien

Ja. Sie können einen S3-Bucket als Ziel für mehrere Konten konfigurieren. Detaillierte Anweisungen finden Sie im Abschnitt Aggregating log files to a single S3 bucket im CloudTrail-Benutzerhandbuch.

Integration in CloudWatch-Protokolle

Durch die CloudTrail-Integration in CloudWatch Logs werden von CloudTrail erfasste Verwaltungs- und Datenereignisse an einen CloudWatch Logs-Protokoll-Stream in der von Ihnen festgelegten CloudWatch Logs-Protokollgruppe übermittelt.

Die Integration hilft Ihnen SNS-Benachrichtigungen zu den von CloudTrail erfassten Kontoaktivitäten erhalten. Sie können zum Beispiel CloudWatch-Alarme erstellen, um API-Aufrufe zu überwachen, die Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten (ACLs) erstellen, ändern und löschen.

Sie können die CloudTrail-Integration in CloudWatch Logs von der CloudTrail-Konsole aktivieren, indem Sie eine CloudWatch Logs-Protokollgruppe und eine IAM-Rolle festlegen. Sie können auch die AWS SDKs oder die AWS CLI verwenden, um diese Integration zu aktivieren.

Nachdem Sie die Integration aktiviert haben, übermittelt CloudTrail kontinuierlich Kontoaktivitäten an einen CloudWatch Logs-Protokoll-Stream in der festgelegten CloudWatch Logs-Protokollgruppe. Außerdem übermittelt CloudTrail wie schon zuvor Protokolle an Ihren S3-Bucket.

Die Integration wird in den Regionen unterstützt, in denen auch CloudWatch Logs unterstützt wird. Weitere Informationen erhalten Sie unter Regionen und Endpunkte in der allgemeinen AWS-Referenz.

CloudTrail übernimmt die von Ihnen angegebene IAM-Rolle, um Kontoaktivitäten an CloudWatch-Protokolle zu übermitteln. Sie beschränken die IAM-Rolle auf die Berechtigungen, die zum Übermitteln der Ereignisse an Ihren CloudWatch Logs-Protokoll-Stream erforderlich sind. Die Richtlinien zu IAM-Rollen finden Sie im Benutzerhandbuch der CloudTrail-Dokumentation.

Nachdem Sie die CloudTrail-Integration in CloudWatch Logs aktiviert haben, fallen die Standardgebühren für CloudWatch Logs und CloudWatch an. Weitere Informationen finden Sie in der CloudWatch-Preisübersicht

CloudTrail-Protokolldatei-Verschlüsselung mit AWS KMS

Durch die Verschlüsselung von CloudTrail-Protokolldateien mithilfe von SSE-KMS können Sie den an einen S3-Bucket gelieferten CloudTrail-Protokolldateien eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie die Protokolldateien mit Ihrem KMS-Schlüssel verschlüsseln. Standardmäßig verschlüsselt CloudTrail die an Ihren S3-Bucket gelieferten Protokolldateien mithilfe der serverseitigen Verschlüsselung von S3.

Mit SSE-KMS verschlüsselt S3 die Protokolldateien automatisch, sodass Sie keine Änderungen an Ihrer Anwendung vornehmen müssen. Wie immer müssen Sie sicherstellen, dass Ihre Anwendung über die geeigneten Berechtigungen verfügt, z. B. die Berechtigungen „S3 GetObject“ und „KMS Decrypt“.

Sie können die AWS Management Console, AWS CLI oder die AWS SDKs verwenden, um die Verschlüsselung der Protokolldateien zu konfigurieren. Detaillierte Anweisungen finden Sie in der Dokumentation.

Wenn Sie die Verschlüsselung mithilfe von SSE-KMS konfigurieren, entstehen die standardmäßigen AWS KMS-Kosten. Details finden Sie auf der AWS-KMS-Preisseite.

Integritätsprüfung für CloudTrail-Protokolldateien

Die Funktion zur Integritätsprüfung von CloudTrail-Protokolldateien hilft Ihnen zu ermitteln, ob eine CloudTrail-Protokolldatei seit der Übermittlung an den angegebenen S3-Bucket unverändert geblieben ist, gelöscht oder geändert wurde.

Sie können die Integritätsprüfung der Protokolldateien zur Unterstützung Ihrer IT-Sicherheit sowie für Überwachungsprozesse verwenden.

Sie können die Funktion zur Integritätsprüfung für CloudTrail-Protokolldateien von Konsole, über AWS CLI oder AWS-SDKs aktivieren.

Sobald Sie die Funktion zur Integritätsprüfung der Protokolldateien aktiviert haben, liefert CloudTrail stündlich Digest-Dateien. Die Digest-Dateien enthalten Informationen über die Protokolldateien, die an Ihren S3-Bucket geliefert wurden, sowie Hash-Werte für diese Protokolldateien. Sie enthalten auch digitale Signaturen für die vorherige Digest-Datei und die digitale Signatur für die aktuelle Digest-Datei im Abschnitt S3-Metadaten. Weitere Informationen über Digest-Dateien, digitale Signaturen und Hash-Werte finden Sie in der CloudTrail-Dokumentation.

Die Digest-Dateien werden in demselben S3-Bucket gespeichert, in dem auch Ihre Protokolldateien gespeichert sind. Sie werden jedoch in einem anderen Ordner abgelegt, so dass Sie detaillierte Zugriffskontrollrichtlinien durchsetzen können. Weitere Informationen finden Sie im Abschnitt zur Struktur der Digest-Dateien in der CloudTrail-Dokumentation.

Sie können AWS CLI verwenden, um die Integrität einer Protokolldatei oder Digest-Datei zu prüfen. Sie können auch Ihre eigenen Tools zur Prüfung entwickeln. Weitere Informationen über die Verwendung von AWS CLI zur Prüfung der Integrität einer Protokolldatei finden Sie in der CloudTrail-Dokumentation.

Ja. CloudTrail liefert die Digest-Dateien aus allen Regionen und mehreren Konten an den gleichen S3-Bucket.

CloudTrail Processing Library

Die CloudTrail Processing Library ist eine Java-Bibliothek, die das Erstellen von Anwendungen für das Lesen und Verarbeiten von CloudTrail-Protokolldateien erleichtert. Sie können die CloudTrail Processing Library von GitHub herunterladen.

Die CloudTrail Processing Library bietet Funktionen zur Bewältigung von Aufgaben wie der kontinuierlichen Abfrage einer SQS-Warteschlange und dem Lesen und Parsen von Amazon Simple Queue Service (Amazon SQS)-Nachrichten. Sie kann auch in S3 gespeicherte Protokolldateien herunterladen und Ereignisse von Protokolldateien auf fehlertolerante Weise parsen und serialisieren. Weitere Informationen finden Sie im Benutzerhandbuch in der CloudTrail-Dokumentation. 

Sie benötigen aws-java-sdk Version 1.9.3 und Java 1.7 oder höher.

Preise

CloudTrail hilft Ihnen die letzten 90 Tage der Verwaltungsereignisse Ihres Kontos kostenlos anzeigen, durchsuchen und herunterladen. Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an S3 liefern, indem Sie einen Trail erstellen. Sobald ein CloudTrail Trail eingerichtet ist, fallen S3-Gebühren, die sich nach Ihrer Nutzung richten, an.

Sie können zusätzliche Exemplare von Ereignissen, einschließlich Datenereignissen, mithilfe von Trails bereitstellen. Für Datenereignisse oder zusätzliche Kopien von Verwaltungsereignissen werden Ihnen Gebühren berechnet. Weitere Informationen finden Sie auf der Preisseite.

Nein. Die erste Kopie der Verwaltungsereignisse wird in jeder Region kostenlos bereitgestellt.

Ja. Ihnen werden nur die Datenereignisse in Rechnung gestellt. Die erste Kopie der Verwaltungsereignisse wird kostenlos bereitgestellt. 

Wenn Sie CloudTrail Lake nutzen, zahlen Sie für Aufnahme und Speicherung zusammen, wobei die Abrechnung auf der Menge der aufgenommenen unkomprimierten Daten und der Menge der gespeicherten komprimierten Daten basiert. Wenn Sie einen Ereignis-Datenspeicher erstellen, wählen Sie die Preisoption, die Sie für den Ereignis-Datenspeicher verwenden möchten. Die Preisoption bestimmt die Kosten für die Erfassung von Ereignissen sowie die maximale und standardmäßige Aufbewahrungsdauer für den Ereignis-Datenspeicher. Die Gebühren für die Abfrage basieren auf den komprimierten Daten, die Sie analysieren möchten. Weitere Informationen finden Sie auf der Preisseite.

Ja. Jedes CloudTrail-Ereignis umfasst im Durchschnitt etwa 1.500 Byte. Mithilfe dieser Zuordnung können Sie die CloudTrail-Lake-Aufnahme anhand der CloudTrail-Nutzung des letzten Monats in Trails anhand der Anzahl der Ereignisse abschätzen.

Partner

Mehrere Partner bieten integrierte Lösungen für die Analyse von CloudTrail-Protokolldateien. Diese Lösungen bieten Funktionen wie die Nachverfolgung von Änderungen, Problembehebung und Sicherheitsanalyse. Weitere Informationen finden Sie im Abschnitt CloudTrail-Partner.

Lesen Sie den Onboarding-Leitfaden für Partner, um die ersten Schritte der Integration durchzuführen.. Nehmen Sie Kontakt zu Ihrem Partnerentwicklungsteam oder Partnerlösungen-Architekten auf, um eine Verbidnung zum CloudTrail-Lake-Team herzustellen, um detailliertere Informationen zu erhalten oder weitere Fragen zu stellen.

Sonstiges:

Nein. Das Aktivieren von CloudTrail hat keine Auswirkung auf die Leistung Ihrer AWS-Ressourcen oder die Latenz von API-Aufrufen.