F: Was ist AWS CloudTrail?
AWS CloudTrail ist ein Web-Service, der in Ihrem Konto durchgeführte Aktivitäten aufzeichnet und Protokolldateien an Ihren Amazon S3-Bucket überträgt.

F: Welche Vorteile bietet CloudTrail?
CloudTrail zeichnet die in Ihrem Konto ausgeführte Aktionen auf und erhöht dadurch die Transparenz hinsichtlich Benutzeraktivitäten. CloudTrail zeichnet wichtige Informationen zu jeder Aktion auf, wie etwa den anfordernden Benutzer, die verwendeten Services, die durchgeführten Aktionen und die dafür verwendeten Parameter sowie die Reaktionen des AWS-Service. Anhand dieser Informationen können Sie Änderungen an Ihren AWS-Ressourcen nachverfolgen und Betriebsprobleme beheben. CloudTrail vereinfacht die Einhaltung interner Richtlinien und gesetzlicher Vorschriften. Weitere Details finden Sie im AWS-Whitepaper zum Thema Compliance Security at scale: Logging in AWS.

F: Wer sollte CloudTrail verwenden?
CloudTrail ist für Kunden gedacht, die Änderungen an Ressourcen nachverfolgen, einfache Fragen zur Benutzeraktivität beantworten, die Einhaltung von Vorschriften nachweisen, Probleme beheben oder Sicherheitsanalysen durchführen.


F: Muss ich als neuer oder bestehender AWS-Kunde bestimmte Einstellungen oder Einrichtungen vornehmen, um meine Kontoaktivitäten anzeigen zu können?
Nein, Sie können Ihre Kontoaktivitäten sofort anzeigen. Besuchen Sie die AWS CloudTrail Console oder rufen Sie das AWS CLI-Tool, um die Kontoaktivitäten der vergangenen sieben Tage anzuzeigen.

F: Werden im CloudTrail-Ereignisverlauf alle Aktivitäten innerhalb meines Kontos angezeigt?
AWS CloudTrail liefert nur die Ergebnisse des CloudTrail-Ereignisverlaufs der vergangenen sieben Tage für die aktuell angezeigte Region und unterstützt die hier angegebenen AWS-Services. Die Ereignisse beschränken sich auf Verwaltungsereignisse durch API-Aufrufe (Erstell-, Änderungs- und Löschvorgänge) sowie Kontoaktivitäten. Zur vollständigen Aufzeichnung der Kontoaktivitäten einschließlich aller Verwaltungs- und Datenereignisse sowie schreibgeschützten Aktivitäten müssen Sie in CloudTrail einen Trail konfigurieren.

F: Welche Suchfilter kann ich zum Anzeigen meiner Kontoaktivitäten verwenden?
Sie können den Zeitraum und eines der folgenden Attribute festlegen: Ereignisname, Benutzername, Ressourcenname, Ereignisquelle, Ereignis-ID und Ressourcentyp.

F: Kann ich den CLI-Befehl "lookup-events" auch verwenden, wenn ich keinen Trail konfiguriert habe?
Ja, Sie können in der CloudTrail-Konsole oder mithilfe der CloudTrail API oder des CLI-Tools die Kontoaktivitäten der vergangenen sieben Tage anzeigen.

F: Welche zusätzlichen CloudTrail-Funktionen stehen mir durch das Einrichten von CloudTrail und das Konfigurieren eines Trails zur Verfügung?
Durch das Konfigurieren eines Trails in CloudTrail können Sie Ihre CloudTrail-Ereignisse an Amazon S3, Amazon CloudWatch Logs und Amazon CloudWatch Events übermitteln. Sie erhalten dadurch Funktionen zum Archivieren, Analysieren und Reagieren auf Änderungen in Ihren AWS-Ressourcen.

F: Kann ich in meinem Konto den Benutzerzugriff auf den CloudTrail-Ereignisverlauf einschränken?
Ja, CloudTrail wird in AWS Identity and Access Management (IAM) integriert, sodass Sie den Zugriff auf CloudTrail und andere für CloudTrail erforderliche AWS-Ressourcen einschränken können. Dies gilt auch für das Beschränken der Rechte zum Anzeigen und Durchsuchen von Kontoaktivitäten. Entfernen Sie zu diesem Zweck in der IAM-Richtlinie für Benutzer den Eintrag "cloudtrail:LookupEvents". Sie verhindern dadurch, dass IAM-Benutzer Kontoaktivitäten anzeigen können.

F: Fallen nach der Aktivierung des CloudTrail-Ereignisverlaufs für mein Konto irgendwelche Gebühren an?
Das Anzeigen oder Durchsuchen der Kontoaktivitäten innerhalb des CloudTrail-Ereignisverlaufs ist kostenlos.

F: Kann ich den CloudTrail-Ereignisverlauf für mein Konto deaktivieren?
Sie können die Protokollierung aller in CloudTrail erstellten Trails stoppen oder die Trails löschen. Dadurch werden auch keine Kontoaktivitäten mehr an den in Ihrer Trail-Konfiguration festgelegten S3-Bucket übermittelt. Auch die Übermittlung an CloudWatch Logs wird eingestellt, sofern konfiguriert. Die Kontoaktivitäten der vergangenen sieben Tage werden weiterhin erfasst und können in der CloudTrail-Konsole und über das AWS CLI-Tool angezeigt werden.  


F: Welche Services werden von CloudTrail unterstützt?
AWS CloudTrail zeichnet die Kontoaktivitäten und servicerelevante Ereignisse der meisten AWS-Services auf. Eine Liste der unterstützten Services finden Sie unter CloudTrail – Unterstützte Services im CloudTrail-Benutzerhandbuch.

F: Werden über die AWS Management Console erfolgte API-Aufrufe aufgezeichnet?
Ja. CloudTrail zeichnet API-Aufrufe in allen Clients auf. Die AWS Management Console, AWS SDKs, Befehlszeilen-Tools und höher angesiedelten AWS-Services rufen AWS-APIs auf, weshalb diese Aufrufe aufgezeichnet werden.


F: Wo werden meine Protokolldateien gespeichert und verarbeitet, bevor sie an meinen Amazon S3-Bucket übermittelt werden?
Informationen zu Aktivitäten für Services mit regionalen Endpunkten (EC2, RDS usw.) werden in derselben Region aufgezeichnet, in der die Aktion durchgeführt wurde, und an die mit dem Amazon S3-Bucket verknüpfte Region übermittelt. Informationen zu Aktionen für Services mit einzelnen Endpunkten (IAM, STS usw.) werden in der Region erfasst, in der sich der Endpunkt befindet, in der Region verarbeitet, für die die CloudTrail-Erfassung konfiguriert ist, und an die Region übermittelt, die dem Amazon S3-Bucket zugeordnet ist.


F: Was erfolgt bei der Anwendung eines Trails auf alle Regionen?
Bei der Anwendung eines Trails auf alle Regionen wird ein Trail erstellt, der AWS-Kontoaktivitäten in allen Regionen aufzeichnen. Diese Einstellungen gelten auch für alle nachträglich hinzugefügten Regionen. Weitere Informationen zu Regionen und Partitionen finden Sie auf der Seite zu Amazon-Ressourcennamen und AWS Service Namespaces.

F: Welchen Nutzen hat die Anwendung eines Trails auf alle Regionen?
Sie können einen Trail für alle Regionen in der Partition mit einem API-Aufruf oder ein paar Klicks erstellen und verwalten. Sie erhalten eine Aufzeichnung aller Aktivitäten in Ihrem AWS-Konto für alle Regionen in einen S3-Bucket oder einer CloudWatch Logs-Protokollgruppe. Wenn AWS eine neue Region einführt, erhalten Sie automatisch die Protokolldateien mit dem Ereignisverlauf für die neue Region.

F: Wie kann ich einen Trail auf alle Regionen anwenden?
Wählen Sie in der CloudTrail-Konsole "Yes", um den Trail auf alle Regionen in der Trail-Konfigurationsseite anzuwenden. Falls Sie die SDKs oder AWS CLI verwenden, setzen Sie IsMultiRegionTrail auf "True".

F: Was passiert, wenn ich einen Trail auf alle Regionen anwende?
Wenn Sie einen Trail auf alle Regionen anwenden, erstellt CloudTrail einen neuen Trail in allen Regionen durch Replizieren der Trail-Konfiguration. CloudTrail erstellt und verarbeitet die Protokolldateien der einzelnen Regionen. Die Protokolldateien mit den Kontoaktivitäten in allen AWS-Regionen werden an einen einzelnen S3-Bucket und eine einzelne CloudWatch Logs-Protokollgruppe geliefert. Wenn Sie ein optionales SNS-Thema angegeben haben, sendet CloudTrail SNS-Benachrichtigungen für alle Protokolldateien zu einem einzelnen SNS-Thema.

F: Kann ich einen vorhandenen Trail auf alle Regionen anwenden?
Ja, Sie können einen vorhandenen Trail auf alle Regionen anwenden. Wenn Sie einen vorhandenen Trail auf alle Regionen anwenden, erstellt CloudTrail einen neuen Trail in allen Regionen für Sie. Wenn Sie zuvor bereits Trails in anderen Regionen erstellt haben, können Sie diese Trails in der CloudTrail-Konsole anzeigen, bearbeiten und löschen.

F: Wie lange benötigt CloudTrail, um die Trail-Konfiguration für alle Regionen zu replizieren?
Normalerweise dauert es weniger als 30 Sekunden, um die Trail-Konfiguration für alle Regionen zu replizieren.


F: Wie viele Trails kann ich in einer AWS-Region erstellen?
Sie können bis zu fünf Trails in einer AWS-Region erstellen. In jeder Region gibt es einen Trail, der auf alle Regionen angewendet wird und der in jeder Region als ein einzelner Trail gezählt wird.

F: Welche Vorteile hat das Erstellen mehrerer Trails in einer AWS-Region?
Mehrere Trails bieten unterschiedlichen Beteiligten wie beispielsweise Sicherheitsadministratoren, Softwareentwicklern und IT-Prüfern die Möglichkeit, ihre eigenen Trails zu erstellen und zu verwalten. Ein Sicherheitsadministrator kann beispielsweise einen Trail erstellen, der auf alle Regionen angewendet wird, und Verschlüsselung mit einem einzelnen KMS-Schlüssel konfigurieren. Ein Entwickler kann einen Trail erstellen, der in einer Region zum Beheben von Betriebsproblemen angewendet wird.

F: Unterstützt CloudTrail Berechtigungen auf Ressourcenebene?
Ja, mit Berechtigungen auf Ressourcenebene können Sie Richtlinien für granulare Zugangskontrollen erstellen, mit denen Sie den Zugang zu einem bestimmten Trail für bestimmte Benutzer erlauben oder ablehnen können. Weitere Informationen finden Sie in der Dokumentation zu CloudTrail.


F: Wie kann ich meine CloudTrail-Protokolldateien schützen?
CloudTrail-Protokolldateien werden standardmäßig mit der S3-Verschlüsselung auf Serverseite (SSE) verschlüsselt und in Ihrem S3-Bucket abgelegt. Sie können den Zugriff auf Protokolldateien mithilfe von IAM- oder S3-Bucket-Richtlinien regeln. Sie können eine weitere Schutzebene hinzufügen, indem Sie für Ihren S3-Bucket Multi Factor Authentication (MFA) Delete aktivieren. Weitere Details zum Erstellen und Aktualisieren einer Aufrufverfolgung finden Sie in der CloudTrail-Dokumentation.

F: Wo kann ich ein Beispiel einer S3-Bucket- und SNS-Themenrichtlinie herunterladen?
Sie können ein Beispiel einer S3-Bucket-Richtlinie und SNS-Themenrichtlinie aus dem S3-Bucket von CloudTrail herunterladen. Sie müssen die Beispielrichtlinien mit Ihren Daten aktualisieren, ehe Sie sie auf Ihren S3-Bucket oder Ihr SNS-Thema anwenden.

F: Wie lange kann ich meine Aktivitätsprotokolldateien speichern?
Sie bestimmen die Aufbewahrungsrichtlinien für Ihre CloudTrail-Protokolldateien. Standardmäßig werden Protokolldateien unbegrenzt lange gespeichert. Mithilfe von Regeln für die Verwaltung des Amazon 3-Objektlebenszyklus können Sie eine eigene Aufbewahrungsrichtlinie festlegen. Sie können beispielsweise alte Protokolldateien löschen oder diese in Amazon Glacier archivieren.


F: Welche Informationen stehen in einem Ereignis zur Verfügung?
In einem Ereignis werden wichtige Informationen zur damit verbundenen Aktivität aufgezeichnet: der anfordernde Benutzer, die verwendeten Services, die durchgeführten Aktionen und die dafür verwendeten Parameter sowie die Reaktionen des AWS-Service. Weitere Details finden Sie im Abschnitt CloudTrail Event Reference im Benutzerhandbuch.

F: Wie lange benötigt CloudTrail für die Übermittlung eines Ereignisses für einen API-Aufruf?
CloudTrail übermittelt Ergebnisse in der Regel binnen 15 Minuten nach dem API-Aufruf.

F: Wie oft übermittelt CloudTrail Protokolldateien an meinen Amazon S3-Bucket?
CloudTrail übermittelt Protokolldateien ca. alle 5 Minuten an Ihren S3-Bucket. CloudTrail übermittelt Protokolldateien nur dann, wenn API-Aufrufe für Ihr Konto erfolgen.

F: Kann ich benachrichtigt werden, wenn neue Protokolldateien an meinen Amazon S3-Bucket übermittelt werden?
Ja. Sie können Amazon SNS-Benachrichtigungen aktivieren, damit Sie nach Übermittlung neuer Dateien sofort Maßnahmen ergreifen können.

F: Was passiert, wenn CloudTrail für mein Konto aktiviert ist, aber mein Amazon S3-Bucket nicht mit der ordnungsgemäßen Richtlinie konfiguriert ist?
CloudTrail-Protokolldateien werden in Übereinstimmung mit den S3-Bucket-Richtlinien übermittelt, die Sie eingerichtet haben. Wenn die Bucket-Richtlinien falsch konfiguriert sind, kann CloudTrail Protokolldateien ggf. nicht übermitteln.


F: Was sind Datenereignisse?
Datenereignisse bieten Erkenntnisse zu Ressourcenvorgängen (Datenebene), die an oder in der Ressource durchgeführt werden. Bei Datenereignissen handelt es sich oft um umfangreiche Aktivitäten. Sie umfassen beispielsweise APIs auf Amazon S3-Objektebene und Lambda-Funktionsaufrufs-APIs. Datenereignisse sind bei der Konfiguration von Trails standardmäßig deaktiviert. Zur Aufzeichnung von CloudTrail-Datenereignissen müssen Sie die unterstützten Ressourcen bzw. Ressourcentypen, deren Aktivitäten Sie erfassen möchten, explizit hinzufügen. Anders als bei Verwaltungsereignissen fallen für Datenereignisse zusätzliche Gebühren an. Weitere Informationen finden Sie unter CloudTrail – Preise.

F: Wie kann ich Datenereignisse einsetzen?
Von AWS CloudTrail aufgezeichnete Datenereignisse werden, ähnlich wie Verwaltungsereignisse, an S3 übermittelt. Nach der Aktivierung sind diese Ereignisse auch in Amazon CloudWatch-Ereignissen verfügbar.

F: Was sind Amazon S3-Datenereignisse? Wie kann ich sie aufzeichnen?
Amazon S3-Datenereignisse stellen API-Aktivitäten für Amazon S3-Objekte dar. Damit CloudTrail diese Aktivitäten aufzeichnet, geben Sie im Datenereignisabschnitt einen S3-Bucket an, wenn Sie einen neuen Trail erstellen oder einen vorhandenen bearbeiten. Alle API-Aktionen für Objekte im angegebenen S3-Bucket werden von CloudTrail aufgezeichnet.

F: Was sind AWS Lambda-Datenereignisse? Wie kann ich sie aufzeichnen?
AWS Lambda Datenereignisse erfassen die Ausführung von Aktivitäten von Lambda-Funktionen. Lambda-Datenereignisse liefern Details zu Ausführungen von Lambda-Funktionen, z. B. zum IAM-Benutzer oder -Dienst, der die Aufrufs-API ausgelöst hat, wann der Aufruf durchgeführt wurde und welche Funktion ausgeführt wurde. Alle Lambda-Datenereignisse werden an den Amazon S3-Bucket und Amazon CloudWatch-Ereignisse übermittelt. Sie aktivieren die Protokollierung von AWS Lambda-Datenereignissen mithilfe der AWS-CLI oder der AWS CloudTrail-Konsole. Welche Lambda-Funktionen protokolliert werden, wählen Sie aus, indem Sie einen neuen Trail erstellen oder einen vorhandenen bearbeiten.


F: Ich habe mehrere AWS-Konten. Ich möchte gerne, dass Protokolldateien für alle Konten an einen zentralen S3-Bucket übermittelt werden. Ist das möglich?
Ja. Sie können einen S3-Bucket als Ziel für mehrere Konten konfigurieren. Detaillierte Anweisungen finden Sie im Abschnitt Aggregating log files to a single Amazon S3 bucket im AWS CloudTrail Benutzerhandbuch.


F: Was ist die Integration von CloudTrail in CloudWatch Logs?
Durch die CloudTrail-Integration in CloudWatch Logs werden von CloudTrail erfasste Verwaltungs- und Datenereignisse an einen CloudWatch Logs-Protokoll-Stream in der von Ihnen festgelegten CloudWatch Logs-Protokollgruppe übermittelt.

F: Was sind die Vorteile der Integration von CloudTrail in CloudWatch Logs?
Durch die Integration können Sie SNS-Benachrichtigungen zu den von CloudTrail erfassten Kontoaktivitäten erhalten. Sie können beispielsweise CloudWatch-Alarme zur Überwachung von API-Aufrufen erstellen, mit denen Sicherheitsgruppen und Netzwerk-ACLs erstellt, geändert oder gelöscht werden.

F: Wie aktiviere ich die CloudTrail-Integration in CloudWatch Logs?
Sie können die CloudTrail-Integration in CloudWatch Logs von der CloudTrail-Konsole aktivieren, indem Sie eine CloudWatch Logs-Protokollgruppe und eine IAM-Rolle festlegen. Sie können auch die AWS SDKs oder die AWS CLI verwenden, um diese Integration zu aktivieren.

F: Was passiert, wenn ich die CloudTrail-Integration in CloudWatch Logs aktiviere?
Nachdem Sie die Integration aktiviert haben, übermittelt CloudTrail kontinuierlich Kontoaktivitäten an einen CloudWatch Logs-Protokoll-Stream in der festgelegten CloudWatch Logs-Protokollgruppe. Außerdem übermittelt CloudTrail wie schon zuvor Protokolle an Ihren Amazon S3-Bucket.

F: In welchen AWS-Regionen wird die CloudTrail-Integration in CloudWatch Logs unterstützt?
Die Integration wird in den Regionen unterstützt, in denen auch CloudWatch Logs unterstützt wird. Weitere Informationen erhalten Sie unter Regionen und Endpunkte in der allgemeinen Amazon Web Services-Referenz.

F: Wie überträgt CloudTrail Ereignisse mit Kontoaktivitäten an meine CloudWatch Logs?
CloudTrail übernimmt die von Ihnen angegebene IAM-Rolle, um Kontoaktivitäten an CloudWatch Logs zu übermitteln. Sie beschränken die IAM-Rolle auf die Berechtigungen, die zum Übermitteln der Ereignisse an Ihren CloudWatch Logs-Protokoll-Stream erforderlich sind. Die Richtlinien zu IAM-Rollen finden Sie im Benutzerhandbuch der CloudTrail-Dokumentation.

F: Welche Gebühren fallen an, nachdem ich die CloudTrail-Integration in CloudWatch Logs aktiviert habe?
Nachdem Sie die CloudTrail-Integration in CloudWatch Logs aktiviert haben, fallen die Standardgebühren für CloudWatch Logs und CloudWatch an. Details finden Sie auf der CloudWatch-Seite Preise.


F: Worin besteht der Vorteil der Verschlüsselung von CloudTrail-Protokolldateien unter Verwendung der serverseitigen Verschlüsselung mit KMS?
Durch die Verschlüsselung von CloudTrail-Protokolldateien mithilfe von SSE-KMS können Sie den an einen Amazon S3-Bucket gelieferten CloudTrail-Protokolldateien eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie die Protokolldateien mit Ihrem KMS-Schlüssel verschlüsseln. Standardmäßig verschlüsselt CloudTrail die an Ihren Amazon S3-Bucket gelieferten Protokolldateien mithilfe der serverseitigen Verschlüsselung von Amazon S3.

F: Ich habe eine Anwendung, die CloudTrail-Protokolldateien erfasst und verarbeitet. Muss ich Änderungen an meiner Anwendung vornehmen?
Mit SSE-KMS verschlüsselt Amazon S3 die Protokolldateien automatisch, sodass Sie keine Änderungen an Ihrer Anwendung vornehmen müssen. Wie immer müssen Sie sicherstellen, dass Ihre Anwendung über die geeigneten Berechtigungen verfügt, d. h. die Berechtigungen "Amazon S3 GetObject" und "KMS Decrypt".

F: Wie muss ich bei der Konfiguration der Verschlüsselung von CloudTrail-Protokolldateien vorgehen?
Sie können die AWS Management Console, AWS CLI oder die AWS SDKs verwenden, um die Verschlüsselung der Protokolldateien zu konfigurieren. Detaillierte Anweisungen finden Sie in der Dokumentation.

F: Welche Kosten entstehen, wenn ich die Verschlüsselung mithilfe von SSE-KMS konfiguriere?
Wenn Sie die Verschlüsselung mithilfe von SSE-KMS konfigurieren, entstehen die standardmäßigen AWS KMS-Kosten. Detaillierte Informationen finden Sie auf der Seite AWS KMS – Preise.


F: Worin besteht die Integritätsprüfung für CloudTrail-Protokolldateien?
Mit der Funktion zur Integritätsprüfung von CloudTrail-Protokolldateien können Sie ermitteln, ob eine CloudTrail-Protokolldatei seit der Übermittlung an den angegebenen Amazon S3-Bucket unverändert geblieben ist, gelöscht oder geändert wurde.

F: Worin besteht der Nutzen der Integritätsprüfung von CloudTrail-Protokolldateien?
Sie können die Integritätsprüfung der Protokolldateien zur Unterstützung Ihrer IT-Sicherheit sowie für Überwachungsprozesse verwenden.

F: Wie aktiviere ich die Integritätsprüfung für CloudTrail-Protokolldateien?
Sie können die Funktion zur Integritätsprüfung für CloudTrail-Protokolldateien von der AWS Management Console, über AWS CLI oder AWS SDKs aktivieren.

F: Was geschieht, wenn ich die Funktion zur Integritätsprüfung für Protokolldateien aktiviere?
Sobald Sie die Funktion zur Integritätsprüfung der Protokolldateien aktiviert haben, liefert CloudTrail stündlich Digest-Dateien. Die Digest-Dateien enthalten Informationen über die Protokolldateien, die an Ihren Amazon S3-Bucket geliefert wurden, Hash-Werte für diese Protokolldateien, digitale Signaturen für die vorherigen Digest-Dateien und die digitale Signatur für die aktuelle Digest-Datei im Amazon S3-Metadatenabschnitt. Weitere Informationen über Digest-Dateien, digitale Signaturen und Hash-Werte finden Sie in der CloudTrail-Dokumentation.

F: Wohin werden die Digest-Dateien geliefert?
Die Digest-Dateien werden an den gleichen Amazon S3-Bucket wie Ihre Protokolldateien geliefert. Jedoch werden sie an einen anderen Ordner geliefert, sodass Sie detaillierte Richtlinien zur Zugriffssteuerung durchsetzen können. Weitere Informationen finden Sie im Abschnitt zur Struktur der Digest-Dateien in der CloudTrail-Dokumentation.

F: Wie kann ich die Integrität einer Protokolldatei oder Digest-Datei prüfen, die von CloudTrail geliefert wurde?
Sie können AWS CLI verwenden, um die Integrität einer Protokolldatei oder Digest-Datei zu prüfen. Sie können auch Ihre eigenen Tools zur Prüfung entwickeln. Weitere Informationen über die Verwendung von AWS CLI zur Prüfung der Integrität einer Protokolldatei finden Sie in der CloudTrail-Dokumentation.

F: Ich aggregiere alle meine Protokolldateien aus allen Regionen und mehreren Konten in einem einzigen Amazon S3-Bucket. Werden die Digest-Dateien an den gleichen Amazon S3-Bucket geliefert?
Ja, CloudTrail liefert die Digest-Dateien aus allen Regionen und mehreren Konten an den gleichen Amazon S3-Bucket.


F: Was ist die AWS CloudTrail Processing Library?
AWS CloudTrail Processing Library ist eine Java-Bibliothek, die das Erstellen von Anwendungen für das Lesen und Verarbeiten von CloudTrail-Protokolldateien erleichtert. Sie können die CloudTrail Processing Library von GitHub herunterladen.

F: Welche Funktionalität bietet die CloudTrail Processing Library?
Die CloudTrail Processing Library bietet Funktionen zum Durchführen von Aufgaben wie ständiges Abfragen einer SQS-Warteschlange, Herunterladen von Protokolldateien aus S3 sowie Analysieren und Serialisieren von Ereignissen in der Protokolldatei auf fehlertolerante Art und Weise. Weitere Informationen finden Sie im Abschnitt Benutzerhandbuch der CloudTrail-Dokumentation.

F: Welche Software benötige ich, um die CloudTrail Processing Library zu verwenden?
Sie benötigen aws-java-sdk Version 1.9.3 und Java 1.7 oder höher.


F: Wie werden Gebühren für AWS CloudTrail berechnet?
Sie können mit AWS CloudTrail kostenlos die Kontoaktivitäten hinsichtlich der Erstell-, Änderungs- und Löschvorgänge unterstützter Services der vergangenen sieben Tage anzeigen und herunterladen.

Das Erstellen eines CloudTrail-Trails in AWS CloudTrail sowie das Übermitteln der ersten Kopie von Verwaltungsereignissen innerhalb jeder Region an den S3-Bucket sind ebenfalls kostenlos. Sobald ein CloudTrail-Trail eingerichtet ist, fallen entsprechend Ihrer Nutzung Amazon S3-Gebühren an. Für Datenereignisse oder zusätzliche Kopien der in dieser Region aufgezeichneten Verwaltungsereignisse fallen gemäß dem veröffentlichten Preismodell Gebühren an. Wenn Sie beispielsweise einen Trail für mehrere Regionen und für eine dieser Regionen einen Trail für ausschließlich diese Region erstellen, fallen Gebühren für eine Kopie der Verwaltungsereignisse an, die in dieser Region aufgezeichnet werden.

F: Werden mir Gebühren berechnet, wenn ich nur einen Trail für Verwaltungsereignisse habe und diesen auf alle Regionen anwende?
Nein. Die erste Kopie der Verwaltungsereignisse wird in jeder Region kostenlos bereitgestellt.

F: Werden mir Gebühren berechnet, wenn ich Datenereignisse für einen vorhandenen Trail mit kostenlosen Verwaltungsereignisse aktiviere?
Ja. Ihnen werden nur die Datenereignisse in Rechnung gestellt. Die erste Kopie der Verwaltungsereignisse wird kostenlos bereitgestellt.


F: Wie helfen mir die AWS-Partnerlösungen bei der Analyse der von CloudTrail aufgezeichneten Ereignisse?
Mehrere Partner bieten integrierte Lösungen für die Analyse von CloudTrail-Protokolldateien. Diese Lösungen bieten Funktionen wie die Nachverfolgung von Änderungen, Problembehebung und Sicherheitsanalyse. Weitere Informationen finden Sie im Abschnitt CloudTrail-Partner.


F: Wirkt sich die Aktivierung von CloudTrail auf die Leistung meiner AWS-Ressourcen aus oder wird dadurch die Latenz von API-Aufrufen erhöht?
Nein. Das Aktivieren von CloudTrail hat keine Auswirkung auf die Leistung Ihrer AWS-Ressourcen oder die Latenz von API-Aufrufen.