Wie verwende ich CloudTrail, um zu überprüfen, welche API-Aufrufe und Aktionen in meinem AWS-Konto stattgefunden haben?
Wie überprüfe ich Aktionen, die in meinem AWS-Konto stattgefunden haben, wie z. B. Konsolenanmeldungen oder das Beenden einer Instance?
Kurzbeschreibung
Sie können AWS CloudTrail-Daten verwenden, um API-Aufrufe an Ihr Konto einzusehen und nachzuverfolgen, indem Sie Folgendes verwenden:
- CloudTrail-Ereignisverlauf
- CloudTrail Lake
- Amazon CloudWatch Logs
- Amazon Athena-Abfragen
- Archivierte Protokolldateien von Amazon Simple Storage Service (Amazon S3)
Hinweis: Nicht für alle AWS-Services wurden Protokolle aufgezeichnet und stehen mit CloudTrail zur Verfügung. Eine Liste der in CloudTrail integrierten AWS-Services finden Sie unter AWS-Servicethemen für CloudTrail.
Lösung
Hinweis: Wenn Sie beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI-Version verwenden.
CloudTrail-Ereignisverlauf
Überprüfen des CloudTrail-Ereignisverlaufs mithilfe der CloudTrail-Konsole
Sie können alle unterstützten Dienste und Integrationen sowie Ereignistypen (erstellen, ändern, löschen und nicht veränderbare Aktivitäten) der letzten 90 Tage einsehen. Sie müssen keinen Trail einrichten, um den CloudTrail-Ereignisverlauf verwenden zu können.
Anweisungen finden Sie unter CloudTrail-Ereignisse in der CloudTrail-Konsole anzeigen.
Überprüfen des CloudTrail-Ereignisverlaufs mithilfe der AWS-CLI
Hinweis: Um mit der AWS-CLI nach Ereignissen zu suchen, müssen Sie einen Trail erstellt und konfiguriert haben, der in CloudWatch Logs protokolliert wird. Weitere Informationen finden Sie unter Trail erstellen. Außerdem unter Senden von Ereignissen an CloudWatch Logs.
Verwenden Sie den Befehl filter-log-events, um Metrik-Filter anzuwenden, um nach bestimmten Begriffen, Ausdrücken und Werten in Ihren Protokollereignissen zu suchen. Anschließend können Sie sie in CloudWatch-Metriken und Alarme umwandeln.
Weitere Informationen finden Sie unter Filter- und Mustersyntax.
Hinweis: Um den Befehl filter-log-events in großem Maßstab zu verwenden (z. B. zur Automatisierung oder in einem Skript), empfiehlt es sich, CloudWatch Logs-Abonnementfilter zu verwenden. Dies liegt daran, dass für die API-Aktion filter-log-events API-Beschränkungen gelten. Abonnementfilter haben keine derartigen Beschränkungen. Abonnementfilter bieten zudem die Möglichkeit, große Mengen an Protokolldaten in Echtzeit zu verarbeiten. Für weitere Informationen siehe Häufig gestellte Fragen zu CloudWatch Logs-Kontingenten.
CloudTrail Lake
CloudTrail Lake ermöglicht es Ihnen, SQL-basierte Abfragen zu Ihren Ereignissen zu aggregieren, unveränderlich zu speichern und auszuführen. Sie können Daten in CloudTrail Lake sogar für bis zu sieben Jahre oder 2.555 Tage speichern.
Weitere Informationen finden Sie unter Arbeiten mit AWS CloudTrail Lake.
Amazon CloudWatch Logs
Hinweis: Um CloudWatch Logs verwenden zu können, müssen Sie einen Trail für die Protokollierung bei CloudWatch Logs erstellt und konfiguriert haben. Weitere Informationen finden Sie unter Trail erstellen. Außerdem unter Senden von Ereignissen an CloudWatch Logs.
Sie können CloudWatch Logs verwenden, um nach Vorgängen zu suchen, die den Status einer Ressource ändern (z. B. StopInstances). Sie können CloudWatch Logs auch verwenden, um nach Vorgängen zu suchen, die den Status einer Ressource nicht ändern (z. B. DescribeInstances). Anweisungen finden Sie unter An CloudWatch Logs gesendete Protokolldaten anzeigen.
Beachten Sie Folgendes:
- Sie müssen CloudTrail explizit so konfigurieren, dass Ereignisse an CloudWatch Logs gesendet werden, auch wenn Sie bereits einen Trail erstellt haben.
- Sie können die Aktivitäten vor der Konfiguration der Protokolle nicht überprüfen.
- Je nach Größe und Umfang der Ereignisse kann es mehrere Protokollstreams geben. Um in allen Streams zu suchen, wählen Sie Protokollgruppe durchsuchen aus, bevor Sie einen einzelnen Stream auswählen.
- Da CloudWatch Logs eine Ereignis-Größenbeschränkung von 256 KB hat, sendet CloudTrail keine Ereignisse, die größer als 256 KB sind, an CloudWatch Logs.
Amazon Athena-Abfragen
Sie können Amazon Athena verwenden, um CloudTrail-Datenereignisse und Verwaltungsereignisse anzuzeigen, die in Ihrem Amazon S3-Bucket gespeichert sind.
Weitere Informationen finden Sie unter Wie erstelle ich automatisch Tabellen in Amazon Athena, um die AWS CloudTrail-Protokolle zu durchsuchen?Außerdem unter Erstellen der Tabelle für CloudTrail-Protokolle in Athena mithilfe manueller Partitionierung.
Archivierte Amazon S3-Protokolldateien
Hinweis: Um die archivierten Amazon S3-Protokolldateien anzeigen zu können, müssen Sie einen Trail für die Protokollierung in einem S3-Bucket erstellt und konfiguriert haben. Weitere Informationen finden Sie unter Trail erstellen.
Sie können alle von CloudTrail erfassten Ereignisse in den Amazon S3-Protokolldateien sehen. Sie können die Protokolldateien aus dem S3-Bucket auch manuell mithilfe der CloudTrail Processing Library oder der AWS-CLI analysieren oder Protokolle an AWS CloudTrail-Partner senden.
Anweisungen finden Sie unter Amazon S3 CloudTrail-Ereignisse.
Hinweis: Sie müssen einen Trail aktiviert haben, um sich bei einem S3-Bucket anmelden zu können.
Ähnliche Informationen
Was ist Amazon CloudWatch Logs?
Mithilfe von Filtern Metriken aus Protokollereignissen erstellen
CloudWatch-Alarme für CloudTrail-Ereignisse erstellen: Beispiele
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 9 Monaten
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren