AWS CloudTrail – Häufig gestellte Fragen

CloudTrail ermöglicht Auditing, Sicherheitsüberwachung und operative Fehlerbehebung durch Nachverfolgung von Benutzeraktivitäten und API-Nutzung. CloudTrail protokolliert, überwacht und speichert Kontoaktivitäten im Zusammenhang mit Aktionen in Ihrer AWS-Infrastruktur und gibt Ihnen die Kontrolle über Speicherung, Analyse und Abhilfemaßnahmen.

CloudTrail hilft Ihnen, Compliance nachzuweisen, die Sicherheitslage zu verbessern und Aktivitätsaufzeichnungen über Regionen und Konten hinweg zu konsolidieren. CloudTrail bietet einen Einblick in die Benutzeraktivitäten, indem es die in Ihrem Konto durchgeführten Aktionen aufzeichnet. CloudTrail zeichnet wichtige Informationen über jede Aktion auf, darunter auch, wer die Anfrage gestellt hat, die verwendeten Services, die durchgeführten Aktionen, die Parameter für die Aktionen und die vom AWS-Service zurückgegebenen Antwortelemente. Diese Informationen helfen Ihnen, Änderungen an Ihren AWS-Ressourcen nachzuverfolgen und betriebliche Probleme zu beheben. CloudTrail vereinfacht die Einhaltung interner Richtlinien und gesetzlicher Vorschriften. Weitere Details finden Sie im AWS-Whitepaper zum Thema Compliance Sicherheit nach Maß: Protokollierung in AWS. 

Verwenden Sie CloudTrail, wenn Sie Aktivitäten prüfen, die Sicherheit überwachen oder betriebliche Probleme beheben müssen.

Nein, Sie können Ihre Kontoaktivitäten sofort anzeigen. Besuchen Sie die AWS-CloudTrail-Konsole oder rufen Sie das AWS-CLI-Tool auf, um die Kontoaktivitäten der vergangenen 90 Tage anzuzeigen.

AWS CloudTrail zeigt nur die Ergebnisse des CloudTrail-Ereignisverlaufs für die aktuelle Region an, die Sie für die letzten 90 Tage betrachten, und unterstützt eine Reihe von AWS-Services. Diese Ereignisse beschränken sich auf Verwaltungsereignisse, die API-Aufrufe und Kontoaktivitäten erstellen, ändern und löschen. Für eine vollständige Aufzeichnung der Kontoaktivitäten, darunter auch aller Verwaltungsereignisse, Datenereignisse und schreibgeschützten Aktivitäten, müssen Sie einen CloudTrail-Pfad konfigurieren.

Sie können den Zeitraum und eines der folgenden Attribute festlegen: Ereignisname, Benutzername, Ressourcenname, Ereignisquelle, Ereignis-ID und Ressourcentyp.

Ja, Sie können in der CloudTrail-Konsole oder mithilfe der CloudTrail-API/-CLI die Kontoaktivitäten der vergangenen 90 Tage anzeigen.

Richten Sie einen CloudTrail-Pfad ein, um Ihre CloudTrail-Ereignisse an Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch Logs und Amazon CloudWatch Events zu liefern. So können Sie Features zum Archivieren, Analysieren und Reagieren auf Änderungen in Ihren AWS-Ressourcen nutzen.

Ja, CloudTrail ist in AWS Identity and Access Management (IAM) integriert, das Ihnen hilft, den Zugriff auf CloudTrail und auf andere AWS-Ressourcen, die CloudTrail benötigt, zu kontrollieren. Dazu gehört auch die Möglichkeit, die Berechtigungen zum Anzeigen und Durchsuchen von Kontoaktivitäten einzuschränken. Entfernen Sie „cloudtrail:LookupEvents“ aus der IAM-Richtlinie „Users“, um zu verhindern, dass dieser IAM-Benutzer die Kontoaktivitäten einsehen kann.

Das Anzeigen oder Durchsuchen der Kontoaktivitäten innerhalb des CloudTrail-Ereignisverlaufs ist kostenlos. 

Für alle erstellten CloudTrail-Trails können Sie die Protokollierung beenden oder die Trails löschen. Dadurch wird auch die Übermittlung von Kontoaktivitäten an den Amazon-S3-Bucket, den Sie als Teil Ihrer Pfad-Konfiguration festgelegt haben und die Übermittlung an CloudWatch Logs, falls konfiguriert, gestoppt. Die Kontoaktivität der letzten 90 Tage wird weiterhin gesammelt und in der CloudTrail-Konsole und über die AWS Command Line Interface (AWS CLI) angezeigt. 

Durch die direkte Übertragung von CloudTrail-Ereignissen an CloudWatch profitieren Sie von mehreren wichtigen Vorteilen. Erstens können Sie die Ereignissammlung in Ihrem gesamten Unternehmen direkt von der CloudWatch-Konsole aus zentral verwalten, ohne einzelne Pfade konfigurieren zu müssen, wodurch der Betriebsaufwand reduziert wird. Zweitens sorgen die sicheren, mit Services verbundenen Kanäle für eine zuverlässige Übertragung an unveränderliche Protokollgruppen und unterstützen gleichzeitig erweiterte Features wie Ereignisanreicherung und Sicherheitsprüfungen. Drittens können Sie die leistungsstarken Überwachungsfunktionen von CloudWatch nutzen, einschließlich Protokollerfassung in Echtzeit und automatisierter Anomalieerkennung. Schließlich können Sie problemlos historische CloudTrail-Lake-Daten in CloudWatch Logs importieren, um vergangene Ereignisse zusammen mit aktuellen Daten zu analysieren. Diese Integration macht die Verwaltung mehrerer Pfad-Konfigurationen überflüssig und bietet gleichzeitig einen konsistenten Sicherheitsüberblick in Ihrer gesamten AWS-Organisation.

CloudTrail zeichnet die Kontoaktivitäten und servicerelevanten Ereignisse der meisten AWS-Services auf. Eine Liste der unterstützten Services finden Sie unter CloudTrail – Unterstützte Services im CloudTrail-Benutzerhandbuch.

Ja. CloudTrail zeichnet API-Aufrufe von jedem Client aus auf. Die AWS-Managementkonsole, AWS SDKs, Befehlszeilen-Tools und höher angesiedelten AWS-Services rufen AWS-API-Abläufe auf, weshalb diese Aufrufe aufgezeichnet werden.

Aktivitätsinformationen für Services mit regionalen Endpunkten (wie Amazon Elastic Compute Cloud [Amazon EC2] oder Amazon Relational Database Service [Amazon RDS]) werden in derselben Region erfasst und verarbeitet, in der die Aktion durchgeführt wird. Sie wird dann an die Region geliefert, die mit Ihrem S3-Bucket verbunden ist. Aktivitätsinformationen für Services mit einzelnen Endpunkten wie IAM und AWS Security Token Service (AWS STS) werden in der Region erfasst, in der sich der Endpunkt befindet. Es wird dann in der Region verarbeitet, in der der CloudTrail-Pfad konfiguriert ist, und an die Region übermittelt, die mit Ihrem S3-Bucket verbunden ist.

Die Anwendung eines Trails auf alle AWS-Regionen bezieht sich auf die Erstellung eines Trails, der die Aktivitäten des AWS-Kontos in allen Regionen aufzeichnet, in denen Ihre Daten gespeichert sind. Diese Einstellung gilt auch für alle neu hinzugefügten Regionen. Weitere Details zu Regionen und Partitionen finden Sie auf der Seite Amazon-Ressourcennamen und AWS-Service-Namespaces .

Sie können einen Trail für alle Regionen in der Partition mit einem API-Aufruf oder ein paar Auswahlen erstellen und verwalten. Sie erhalten eine Aufzeichnung aller Aktivitäten in Ihrem AWS-Konto für alle Regionen in einem S3-Bucket oder einer CloudWatch-Logs-Gruppe. Wenn AWS eine neue Region einführt, erhalten Sie die Protokolldateien mit dem Ereignisverlauf für die neue Region, ohne dass Sie etwas tun müssen.

Wählen Sie in der CloudTrail-Konsole „Yes“, um den Pfad auf alle Regionen in der Pfad-Konfigurationsseite anzuwenden. Falls Sie die SDKs oder AWS CLI verwenden, setzen Sie IsMultiRegionTrail auf „Wahr“. 

Sobald Sie einen Trail in allen Regionen anwenden, erstellt CloudTrail einen neuen Trail, indem es die Trail-Konfiguration repliziert. CloudTrail erstellt und verarbeitet die Protokolldateien der einzelnen Regionen. Die Protokolldateien mit den Kontoaktivitäten in allen Regionen werden an einen einzelnen S3-Bucket und eine einzelne CloudWatch-Logs-Protokollgruppe geliefert. Wenn Sie ein optionales Amazon Simple Notification Service (Amazon SNS)-Thema angegeben haben, liefert CloudTrail Amazon-SNS-Benachrichtigungen für alle Protokolldateien, die an ein einzelnes SNS-Thema geliefert werden.

Ja. Ja, Sie können einen vorhandenen Pfad auf alle Regionen anwenden. Wenn Sie einen bestehenden Trail auf alle Regionen anwenden, erstellt CloudTrail einen neuen Trail für Sie in allen Regionen. Wenn Sie zuvor Pfade in anderen Regionen erstellt haben, können Sie diese Pfade über die CloudTrail-Konsole anzeigen, bearbeiten und löschen. 

Normalerweise dauert es weniger als 30 Sekunden, um die Pfad-Konfiguration für alle Regionen zu replizieren.

Sie können bis zu fünf Pfade in einer Region erstellen. In jeder Region gibt es einen Pfad, der auf alle Regionen angewendet wird und der in jeder Region als ein einzelner Pfad gezählt wird.

Mit mehreren Pfaden können verschiedene Beteiligte wie Sicherheitsadministratoren, Softwareentwickler und IT-Prüfer ihre eigenen Pfade erstellen und verwalten. Ein Sicherheitsadministrator kann zum Beispiel einen Pfad erstellen, der für alle Regionen gilt, und die Verschlüsselung mit einem Amazon Key Management Service (Amazon KMS)-Schlüssel benutzen. Ein Entwickler kann einen Pfad erstellen, der für eine Region gilt, um betriebliche Probleme zu beheben.

Ja. Dank Berechtigungen auf Ressourcenebene können Sie detaillierte Zugriffskontrollrichtlinien erstellen, um bestimmten Benutzern den Zugriff auf einen bestimmten Trail zu erlauben oder zu verweigern. Weitere Informationen finden Sie in der Dokumentation zu CloudTrail. 

CloudTrail-Protokolldateien werden standardmäßig mit der S3-Verschlüsselung auf Serverseite (SSE) verschlüsselt und in Ihrem S3-Bucket abgelegt. Sie können den Zugriff auf Protokolldateien mithilfe von IAM- oder S3-Bucket-Richtlinien regeln. Sie können eine weitere Schutzebene hinzufügen, indem Sie für Ihren S3-Bucket S3-Multi-Faktor-Authentifizierung (MFA) Delete aktivieren. Weitere Details zum Erstellen und Aktualisieren eines Pfades finden Sie in der CloudTrail-Dokumentation.

Sie können ein Beispiel einer S3-Bucket-Richtlinie und SNS-Themenrichtlinie aus dem S3-Bucket von CloudTrail herunterladen. Sie müssen die Beispielrichtlinien mit Ihren Daten aktualisieren, ehe Sie sie auf Ihren S3-Bucket oder Ihr SNS-Thema anwenden.

Sie bestimmen die Aufbewahrungsrichtlinien für Ihre CloudTrail-Protokolldateien. Standardmäßig werden Protokolldateien unbegrenzt lange gespeichert. Mithilfe von Regeln für die Verwaltung des S3-Objektlebenszyklus können Sie eine eigene Aufbewahrungsrichtlinie festlegen. Sie können zum Beispiel alte Protokolldateien löschen oder sie in Amazon Simple Storage Service Glacier (Amazon S3 Glacier) archivieren.

In einem Ereignis werden wichtige Informationen zur damit verbundenen Aktivität aufgezeichnet: der anfordernde Benutzer, die verwendeten Services, die durchgeführten Aktionen, die dafür verwendeten Parameter sowie die Reaktionen des AWS-Service. Weitere Details finden Sie im Abschnitt CloudTrail Event Reference im Benutzerhandbuch. 

CloudTrail übermittelt Ergebnisse in der Regel binnen 5 Minuten nach dem API-Aufruf. Weitere Informationen darüber, wie CloudTrail funktioniert, finden Sie hier.   

CloudTrail liefert etwa alle fünf Minuten Protokolldateien an Ihren S3-Bucket. CloudTrail übermittelt Protokolldateien nur dann, wenn API-Aufrufe für Ihr Konto erfolgen. 

Ja. Sie können Amazon-SNS-Benachrichtigungen aktivieren, um sofortige Aktionen bei der Bereitstellung neuer Protokolldateien durchzuführen. 

Obwohl dies selten vorkommt, erhalten Sie möglicherweise Protokolldateien, die ein oder mehrere doppelte Ereignisse enthalten. Doppelte Ereignisse verfügen über dieselbe eventID. Weitere Informationen zum Feld eventID finden Sie unter Inhalt des CloudTrail-Eintrags . 

CloudTrail-Protokolldateien werden in Übereinstimmung mit den S3-Bucket-Richtlinien übermittelt, die Sie eingerichtet haben. Wenn die Bucket-Richtlinien falsch konfiguriert sind, kann CloudTrail-Protokolldateien nicht übermitteln. 

CloudTrail ist so konzipiert, dass es mindestens eine Übertragung abonnierter Ereignisse an S3-Buckets von Kunden unterstützt. In einigen Situationen ist es möglich, dass CloudTrail dasselbe Ereignis mehr als einmal übermittelt. Infolgedessen stellen Kunden möglicherweise doppelte Ereignisse fest. 

Datenereignisse bieten Einblicke in die Ressourcenvorgänge (Datenebene), die an oder in der Ressource selbst durchgeführt wurden. Datenereignisse sind häufig Aktivitäten mit hohem Volumen und umfassen Vorgänge wie S3-API-Operationen auf Objektebene und AWS-Lambda-APIs zum Aufrufen von Funktionen. Datenereignisse sind bei der Konfiguration von Pfaden standardmäßig deaktiviert. Zur Aufzeichnung von CloudTrail-Datenereignissen müssen Sie die unterstützten Ressourcen bzw. Ressourcentypen, deren Aktivitäten Sie erfassen möchten, explizit hinzufügen. Anders als bei Verwaltungsereignissen fallen für Datenereignisse zusätzliche Gebühren an. Weitere Informationen finden Sie unter CloudTrail – Preise . 

Von CloudTrail aufgezeichnete Datenereignisse werden ähnlich wie Verwaltungsereignisse an S3 übermittelt. Nach der Aktivierung sind diese Ereignisse auch in Amazon CloudWatch Events verfügbar. 

S3-Datenereignisse stellten API-Aktivitäten für S3-Objekte dar. Damit CloudTrail diese Aktivitäten aufzeichnet, geben Sie im Datenereignisabschnitt einen S3-Bucket an, wenn Sie einen neuen Pfad erstellen oder einen vorhandenen bearbeiten. Alle API-Aktionen für Objekte im angegebenen S3-Bucket werden von CloudTrail aufgezeichnet. 

Lambda-Datenereignisse erfassen die Laufzeit von Aktivitäten von Lambda-Funktionen. Mit Lambda-Datenereignissen können Sie Details zur Laufzeit von Lambda-Funktionen abrufen. Beispiele für die Laufzeit von Lambda-Funktionen beinhalten, welcher IAM-Benutzer oder -Dienst den Invoke-API-Aufruf getätigt hat, wann der Aufruf getätigt wurde und welche Funktion angewendet wurde. Alle Lambda-Datenereignisse werden an den S3-Bucket und CloudWatch Events übermittelt. Sie aktivieren die Protokollierung von Lambda-Datenereignissen mithilfe der CLI oder der CloudTrail-Konsole. Welche Lambda-Funktionen protokolliert werden, wählen Sie aus, indem Sie einen neuen Pfad erstellen oder einen vorhandenen bearbeiten. 

Netzwerkaktivitätsereignisse zeichnen AWS-API-Aktionen auf, die mithilfe von VPC-Endpunkten von einer privaten VPC zum AWS-Service durchgeführt wurden, und helfen Ihnen dabei, Ihre Anwendungsfälle für Netzwerksicherheitsuntersuchungen zu erfüllen. Dazu gehören AWS-API-Aufrufe, die die VPC-Endpunktrichtlinie erfolgreich bestanden haben, und solche, denen der Zugriff verweigert wurde. Als Eigentümer des VPC-Endpunkts können Sie beispielsweise Protokolle von Aktionen anzeigen, die aufgrund von VPC-Endpunktrichtlinien abgelehnt wurden, oder feststellen, ob ein Akteur außerhalb Ihres Datenperimeters versucht, auf die Daten in Ihren S3-Buckets zuzugreifen. Im Gegensatz zu Verwaltungs- und Datenereignissen, die sowohl an den API-Aufrufer als auch an den Besitzer der Ressource übermittelt werden, werden Netzwerkaktivitätsereignisse nur an den Besitzer des VPC-Endpunkts übermittelt.

Um Netzwerkaktivitätsereignisse aufzuzeichnen, müssen Sie sie bei der Konfiguration Ihres Pfad- oder Ereignisdatenspeichers explizit aktivieren und die Ereignisquellen der AWS-Services auswählen, für die Sie Aktivitäten erfassen möchten. Sie können auch zusätzliche Filter hinzufügen, z. B. nach der VPC-Endpunkt-ID filtern oder nur die Fehler „Zugriff verweigert“ protokollieren. Für Netzwerkaktivitätsereignisse fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter Preise für CloudTrail.

Mit VPC-Ablaufprotokollen können Sie Informationen zum IP-Datenverkehr zu und von Netzwerkschnittstellen in Ihrer VPC erfassen. Ablaufprotokolldaten können an den folgenden Speicherorten veröffentlicht werden: Amazon CloudWatch Logs, Amazon S3 oder Amazon Data Firehose. Netzwerkaktivitätsereignisse für VPC-Endpunkte erfassen die AWS-API-Aktionen, die mithilfe von VPC-Endpunkten von einer privaten VPC zum AWS-Service durchgeführt wurden. Auf diese Weise erhalten Sie Informationen darüber, wer auf Ressourcen in Ihrem Netzwerk zugreift, sodass Sie unbeabsichtigte Aktionen in Ihrem Datenperimeter besser erkennen und darauf reagieren können. Sie können Protokolle von Aktionen einsehen, die aufgrund von VPC-Endpunktrichtlinien verweigert wurden, oder anhand dieser Ereignisse überprüfen, wie sich die Aktualisierung vorhandener Richtlinien auswirkt. 

Ja, CloudTrail unterstützt jetzt das Hinzufügen von bis zu 3 delegierten Administratoren pro Organisation.

Das Verwaltungskonto bleibt weiterhin der Besitzer aller Organisations-Pfade oder Ereignis-Datenspeicher, die auf der Organisationsebene erstellt werden, unabhängig davon, ob es von einem delegierten Admin-Konto oder einem Verwaltungskonto erstellt wurde.

Derzeit ist Unterstützung für delegierte Administratoren für CloudTrail in allen Regionen verfügbar, in denen AWS CloudTrail verfügbar ist. Weitere Informationen finden Sie in der Tabelle der AWS-Regionen.

CloudTrail-Insight-Ereignisse helfen Ihnen dabei, anormale Aktivitäten in Ihren AWS-Konten zu identifizieren, wie Spitzenbelastungen bei der Ressourcen-Bereitstellung, Spitzenlasten bei AWS Identity and Access-Management-Aktionen (IAM) oder Lücken bei regulären Wartungsarbeiten. CloudTrail Insights verwendet Machine-Learning-Modelle (ML), die CloudTrail-Schreib-Verwaltungsereignisse kontinuierlich auf ungewöhnliche Aktivitäten überwachen.

Wenn eine ungewöhnliche Aktivität festgestellt wird, werden CloudTrail Insights-Ereignisse in der Konsole angezeigt und an CloudWatch Events, Ihren S3-Bucket und optional an die CloudWatch Logs-Gruppe übermittelt. Dies erleichtert die Erstellung von Warnmeldungen und die Integration in bestehende Ereignisverwaltungs- und Workflow-Systeme.

CloudTrail Insights entdeckt anormale Aktivitäten, indem CloudTrail-Schreibmanagement-Ereignisse im AWS-Konto und in der Region analysiert werden. Ein ungewöhnliches oder anormales Ereignis wird als Volumen der AWS-API-Aufrufe definiert, die von den erwarteten und zu zuvor etablierten Betriebsmustern oder der Baseline abweichen. CloudTrail Insights passt sich an Änderungen Ihrer normalen Betriebsmuster an, indem zeitbasierte Trends in Ihren API-Aufrufen einberechnet werden und adaptive Baselines als Änderungen der Arbeitsaufwände angewandt werden.

Mit CloudTrail Insights können fehlartige Skripte oder Anwendungen aufgedeckt werden. Manchmal ändert ein Entwickler ein Skript oder eine Anwendung, die einen sich wiederholenden Loop beginnt oder eine große Anzahl von Aufrufen zu unbeabsichtigten Ressourcen wie Datenbanken, Datenspeichern oder anderen Funktionen macht. Dieses Verhalten wird oft erst bei der Rechnungsstellung erkannt, wenn die Kosten bereits unerwartet hoch sind oder ein Ausfall oder eine Störung erfolgt. CloudTrail-Insights-Ereignisse informieren Sie über diese Änderungen in Ihrem AWS-Konto, und Sie können die Korrekturen schnell ausführen.

CloudTrail Insights identifiziert ungewöhnliche betriebliche Aktivitäten in Ihren AWS-Konten und hilft Ihnen, betriebliche Probleme zu beheben und die Auswirkungen auf den Betrieb und das Geschäft zu minimieren. Amazon GuardDuty konzentriert sich auf die Verbesserung der Sicherheit Ihres Kontos und erkennt Bedrohungen durch die Überwachung von Kontoaktivitäten. Amazon Macie wurde entwickelt, um den Datenschutz in Ihrem Konto zu verbessern, indem sensible Daten entdeckt, klassifiziert und geschützt werden. Diese Services bieten zusätzlichen Schutz gegen unterschiedliche Probleme, die in Ihrem Konto auftreten können.

Ja. CloudTrail Insights-Ereignisse sind auf einzelnen Pfaden konfiguriert, deshalb müssen Sie mindesten einen Pfad eingerichtet haben. Wenn Sie CloudTrail Insights-Ereignisse für einen Pfad einschalten, beginnt CloudTrail mit der Überwachung der Schreibmanagement-Ereignisse, die für diesen Pfad für anormale Muster festgehalten werden. Wenn CloudTrail Insights anormale Aktivitäten entdeckt, wird ein CloudTrail-Insights-Ereignis am Lieferzielort, der in der Pfaddefinition festgelegt ist, gespeichert.

CloudTrail Insights verfolgt ungewöhnliche Aktivitäten für Schreibverwaltungs-API-Operationen.

Sie können CloudTrail Insights-Ereignisse für einzelne Trails in Ihrem Konto dank der Konsole, der CLI oder des SDKs aktivieren. Sie können CloudTrail Insights-Ereignisse auch unternehmensweit aktivieren, dank eines Organizational Trails, der in Ihrem AWS-Organizations-Verwaltungskonto konfiguriert ist. Sie können CloudTrail-Insights-Ereignisse einschalten, indem Sie die Optionsschaltfläche in Ihrer Pfad-Definition auswählen. 

CloudTrail Lake hilft Ihnen bei der Untersuchung von Vorfällen, indem es alle von CloudTrail protokollierten Aktionen, von AWS Config aufgezeichneten Konfigurationselemente, Beweise von Audit Manager oder Ereignisse aus Nicht-AWS-Quellen abfragt. Es vereinfacht die Ereignisprotokollierung, indem es bei der Auflösung von Produktionsabhängigkeiten unterstützt und Tools zur Verfügung stellt, die bei der Reduzierung Ihrer Abhängigkeit von teamübergreifenden Datenverarbeitungs-Pipelines hilft. Mit CloudTrail Lake müssen Sie Ihre Daten nicht verschieben oder andersweitig in CloudTrail-Protokollen eingeben, welches bei der Einhaltung der Datentreue hilft und den Umgang mit Niedrigsatzgrenzen verringert, die Ihre Protokolle drosseln. Es stellt außerdem Latenzen nahezu in Echtzeit zur Verfügung, da es optimiert ist, strukturierte Protokolle von großem Volume zu verarbeiten und diese somit für Ereignisermittlung bereitstellt. Es bietet ein vertrautes Erlebnis mit Abfragen mit mehreren Attributen unter Verwendung von SQL und die Möglichkeit, mehrere gleichzeitige Abfragen zu planen und zu verarbeiten. Für Benutzer, die weniger Erfahrung mit SQL haben, steht die Generierung von Abfragen in natürlicher Sprache zur Verfügung, um SQL-Abfragen zu erstellen und die Datenanalyse zu vereinfachen. Die Möglichkeit, Abfrageergebnisse mithilfe von KI (in der Vorschau) zusammenzufassen, verbessert Ihre Fähigkeit, aussagekräftige Erkenntnisse aus Ihren Aktivitätsprotokollen abzuleiten und Vorfälle effizient zu untersuchen. Darüber hinaus bieten vorkuratierte und benutzerdefinierte Dashboards intuitive Möglichkeiten, Ihre in Ereignisdatenspeichern gespeicherten Daten direkt in der CloudTrail-Konsole zu visualisieren und zu analysieren. Durch die Kombination dieser Features ermöglicht Ihnen CloudTrail Lake, Vorfälle effizient zu untersuchen und tiefere Einblicke in Ihre AWS-Umgebung zu gewinnen, während gleichzeitig Ihre Datenverwaltungsprozesse vereinfacht werden.

CloudTrail ist die anerkannte Quelle für Protokolle von Benutzeraktivitäten und API-Nutzung über AWS-Services hinweg. Sie können CloudTrail Lake verwenden, um Aktivitäten über AWS-Services hinweg zu prüfen, sobald die Protokolle in CloudTrail verfügbar sind. Sie können Benutzeraktivitäten und betroffene Ressourcen abfragen und analysieren und diese Daten verwenden, um Probleme zu lösen, z. B. die Identifizierung böswilliger Akteure und Basisberechtigungen.

Sie können Partner-Integrationen finden und hinzufügen, um Aktivitätsereignisse von diesen Anwendungen in ein paar Schritten mit der CloudTrail-Konsole zu erhalten, ohne benutzerdefinierte Integrationen erstellen und warten zu müssen. Für andere Quellen als die verfügbaren Partner-Integrationen können Sie die neuen CloudTrail-Lake-APIs verwenden, um Ihre eigenen Integrationen einzurichten und Ereignisse nach CloudTrail Lake zu pushen. Informationen zu den ersten Schritten finden Sie unter Arbeiten mit CloudTrail Lake im CloudTrail-Benutzerhandbuch.

Die erweiterte AWS-Config-Abfrage wird für Kunden empfohlen, die den aktuellen Zustand der AWS-Config-Konfigurationselemente (CI) zusammenfassen und abfragen möchten. Dies hilft den Kunden bei der Bestandsverwaltung, der Sicherheit und der betrieblichen Intelligenz, der Kostenoptimierung und den Compliance-Daten. Die erweiterte Abfrage von AWS Config ist kostenlos, wenn Sie ein AWS-Config-Kunde sind. 

CloudTrail Lake unterstützt die Abfrage von AWS-Config-Konfigurationselementen, einschließlich der Ressourcenkonfiguration und des Compliance-Verlaufs. Die Analyse der Konfigurations- und Compliance-Historie für Ressourcen mit entsprechenden CloudTrail-Ereignissen hilft dabei, Rückschlüsse darauf zu ziehen, wer, wann und was auf diesen Ressourcen geändert wurde. Dies hilft bei der Ursachenanalyse von Vorfällen im Zusammenhang mit der Gefährdung der Sicherheit oder der Nichteinhaltung von Vorschriften. CloudTrail Lake wird empfohlen, wenn Sie Daten über CloudTrail-Ereignisse und historische Konfigurationselemente aggregieren und abfragen müssen.  

CloudTrail Lake nimmt keine AWS-Config-Konfigurationselemente auf, die vor der Konfiguration von CloudTrail Lake erstellt wurden. Neu aufgezeichnete Konfigurationselemente von AWS Config werden auf Konto- oder Organisationsebene an den angegebenen CloudTrail-Lake-Ereignisdatenspeicher übermittelt. Diese Konfigurationselemente stehen im Lake für den angegebenen Aufbewahrungszeitraum zur Abfrage zur Verfügung und können für die Analyse historischer Daten verwendet werden. 

Wenn mehrere Benutzer kurz hintereinander versuchen, die Konfiguration einer einzelnen Ressource zu ändern, kann nur ein einziges Konfigurationselement erstellt werden, das der Endkonfiguration der Ressource entsprechen würde. In diesem und ähnlichen Szenarien ist es unter Umständen nicht möglich, eine 100 %-ige Korrelation darüber herzustellen, welcher Benutzer welche Konfigurationsänderungen vorgenommen hat, indem CloudTrail und Konfigurationsobjekte für einen bestimmten Zeitraum und eine bestimmte Ressourcen-ID abgefragt werden.

Ja. Die CloudTrail-Lake-Importfunktion unterstützt das Kopieren von CloudTrail-Protokollen aus einem S3-Bucket, in dem Protokolle von mehreren Konten (aus einem Organisationspfad) und mehreren AWS-Regionen gespeichert sind. Sie können auch Protokolle von einzelnen Konten und Trails aus einzelnen Regionen importieren. Mit der Importfunktion können Sie auch einen Zeitraum für den Import festlegen, so dass Sie nur die Teilmenge der Protokolle importieren, die für die langfristige Speicherung und Analyse in CloudTrail Lake benötigt werden. Nachdem Sie Ihre Protokolle konsolidiert haben, können Sie Abfragen zu Ihren Protokollen durchführen, von den jüngsten Ereignissen, die nach der Aktivierung von CloudTrail Lake gesammelt wurden, bis hin zu historischen Ereignissen, die von Ihren Pfaden übernommen wurden.

Die Importfunktion kopiert die Protokollinformationen von S3 nach CloudTrail Lake und lässt die Originalkopie in S3 unverändert.

Sie können mit der Abfrage von aufgetretenen Aktivitäten fast sofort nach der Aktivierung des Features beginnen.

Häufige Anwendungsfälle beinhalten die Ermittlung von Sicherheitsereignissen, wie ungenehmigter Zugriff oder kompromittierte Benutzerdaten sowie Verstärkung Ihres Sicherheitsstatus durch die Durchführung von Prüfungen, um die Benutzerberechtigungen regelmäßig zu prüfen. Sie können notwendige Audits durchführen, um sicherzustellen, dass die richtigen Benutzer Änderungen an Ihrer Ressource durchführen, wie z. B. Sicherheitsgruppen, und alle Änderungen verfolgen, die nicht mit Ihrer bewährten Organisationsmethode übereinstimmen. Zusätzlich können Sie Aktionen verfolgen, die auf Ihrer Ressource vorgenommen wurden und Änderungen oder Löschungen bewerten sowie tiefere Einblicke in Ihre AWS-Services-Rechnungen erhalten, einschließlich IAM-Benutzer, die Services abonnieren.

Wenn Sie ein aktueller oder neuer AWS-CloudTrail-Kunde sind, können Sie sofort damit beginnen, CloudTrail-Lake-Fähigkeiten zu nutzen, um Abfragen laufen zu lassen, indem Sie das Feature durch die API oder der CloudTrail-Konsole aktivieren.

Wählen Sie im linken Bereich der CloudTrail-Konsole die Registerkarte CloudTrail Lake aus und klicken Sie auf die Schaltfläche „Event-Datenspeicher“ erstellen. Wenn Sie einen Ereignis-Datenspeicher erstellen, wählen Sie die Preisoption, die Sie für den Ereignis-Datenspeicher verwenden möchten. Die Preisoption bestimmt die Kosten für die Erfassung von Ereignissen sowie die maximale und standardmäßige Aufbewahrungsdauer für den Ereignis-Datenspeicher. Wählen Sie dann die Ereigniskategorien aus, die Sie protokollieren möchten (Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse). Darüber hinaus können Sie die Vorteile der erweiterten Ereignisfilterfunktionen nutzen, um zu kontrollieren, welche CloudTrail-Ereignisse in Ihre Ereignisdatenspeicher aufgenommen werden. So können Sie die Effizienz steigern, Kosten senken und gleichzeitig den Überblick über relevante Aktivitäten behalten. Sobald Ihr Ereignisdatenspeicher eingerichtet ist, können Sie alle Ereignisdatenspeicher, die Sie besitzen oder verwalten, mithilfe von SQL-basierten Abfragen abfragen. Für Benutzer, die mit SQL weniger vertraut sind, steht die Generierung von Abfragen in natürlicher Sprache zur Verfügung, um SQL-Abfragen zu erstellen.

Darüber hinaus können Abfrageergebnisse mithilfe generativer KI (in der Vorschau) zusammengefasst werden, was Ihre Fähigkeit, Erkenntnisse aus Ihren CloudTrail-Daten abzuleiten, weiter verbessert. Um Ihre CloudTrail-Lake-Daten zu visualisieren, können Sie vordefinierte Dashboards verwenden, die direkt in der CloudTrail-Konsole verfügbar sind. Sie bieten sofort einsatzbereite Einblicke und wichtige Erkenntnisse aus Ihren Prüf- und Sicherheitsdaten. Für eine gezieltere Überwachung und Analyse haben Sie auch die Möglichkeit, benutzerdefinierte Dashboards zu erstellen, die auf Ihre spezifischen Bedürfnisse zugeschnitten sind.

Ja. Sie können die Preisoption im Rahmen der Konfiguration des Ereignis-Datenspeichers von einem Preis für die Aufbewahrung von sieben Jahren auf einen Preis für eine verlängerbare Aufbewahrungsdauer von einem Jahr aktualisieren. Ihre vorhandenen Daten bleiben für den konfigurierten Aufbewahrungszeitraum im Ereignis-Datenspeicher verfügbar. Für diese Daten fallen keine längeren Aufbewahrungsgebühren an. Für alle neu aufgenommenen Daten fallen jedoch die Gebühren für die verlängerbare Aufbewahrung von einem Jahr sowohl für die Aufnahme als auch für die erweiterte Aufbewahrung an. 

Nein. Wir unterstützen derzeit nicht die Migration eines Ereignisdatenspeichers von einem Preis für eine verlängerbare Aufbewahrungsdauer von einem Jahr zu einem Preis für eine Aufbewahrungsdauer von 7 Jahren. Sie können jedoch die Protokollierung für den aktuellen Ereignis-Datenspeicher deaktivieren und gleichzeitig einen neuen Ereignis-Datenspeicher mit siebenjähriger Aufbewahrungsgebühr für neu aufgenommene Daten erstellen. Sie können die Daten in beiden Ereignisdatenspeichern weiterhin mit der jeweiligen Preisoption und dem konfigurierten Aufbewahrungszeitraum beibehalten und analysieren.

CloudTrail Lake ist ein Audit-Lake, der Kunden dabei hilft, ihre Anwendungsfallanforderungen rund um Compliance und Prüfung zu erfüllen. Aufgrund der Anforderungen ihres Compliance-Programms müssen Kunden Prüfprotokolle für einen bestimmten Zeitraum ab dem Zeitpunkt der Erstellung der Protokolle aufbewahren, unabhängig davon, wann sie in CloudTrail Lake aufgenommen wurden.

Nein. Da es sich um ein historisches Ereignis mit einem in der Vergangenheit liegenden Zeitpunkt handelte, wird dieses Ereignis in CloudTrail Lake für einen Aufbewahrungszeitraum von einem Jahr ab dem Zeitpunkt des Ereignisses gespeichert. Die Dauer, für die dieses Ereignis in CloudTrail Lake gespeichert wird, beträgt also weniger als ein Jahr. 

Die vorkuratierten Dashboards von CloudTrail Lake unterstützen die Visualisierung von CloudTrail-Management, Daten und Insights-Ereignissen. Darüber hinaus haben Sie die Flexibilität, benutzerdefinierte Dashboards zu erstellen, die jede Art von Daten, die in Ihren Ereignisdatenspeichern gespeichert sind, visualisieren können, sodass Sie Ihre Analyse an Ihre spezifischen Bedürfnisse anpassen können.

Dashboards sind heute auf Kontoebene aktiviert.

CloudTrail-Lake-Dashboards werden von CloudTrail-Lake-Abfragen unterstützt. Wenn Sie CloudTrail-Lake-Dashboards aktivieren, werden Ihnen die gescannten Daten in Rechnung gestellt. Weitere Informationen erhalten Sie auf der Preisseite.

Ja, Sie können Ihre eigenen benutzerdefinierten Dashboards erstellen und auch Zeitpläne für deren regelmäßige Aktualisierung festlegen.

CloudTrail Lake bietet eine Reihe vordefinierter Dashboards, die für verschiedene Anwendungsfälle in den Bereichen Sicherheit, Compliance, Betrieb und Ressourcenmanagement geeignet sind. Diese gebrauchsfertigen Dashboards sind auf bestimmte Szenarien zugeschnitten und bieten unmittelbaren Mehrwert für verschiedene Aspekte der Cloud-Governance:

• Zur Sicherheitsüberwachung helfen Dashboards wie das „Security Monitoring Dashboard“ dabei, kritische Sicherheitsereignisse zu verfolgen, darunter Ereignisse mit Zugriffsverweigerungen, fehlgeschlagenen Anmeldeversuchen und destruktiven Aktionen.
• Zur Unterstützung der Compliance-Bemühungen bietet das „IAM Activity Dashboard“ einen Überblick über Änderungen an IAM-Entitäten und hilft dabei, unbeabsichtigte IAM-Aktionen und potenzielle Compliance-Probleme zu identifizieren.
• Cloud-Betriebsteams können das „Error Analysis Dashboard“ verwenden, um Fehler bei der Service-Drosselung und andere betriebliche Probleme zwischen Services zu identifizieren und zu beheben.
• Für das Ressourcenmanagement bietet das „Resource Changes Dashboard“ einen Überblick über Trends bei der Bereitstellung, Löschung und Änderung von AWS-Ressourcen, einschließlich Änderungen, die über CloudFormation und manuell vorgenommen wurden.
• Unternehmen können vom „Organizations Activity Dashboard“ profitieren, das Einblicke in die Kontoverwaltung, Zugriffsmuster und Richtlinienänderungen bietet.
• Servicespezifische Dashboards für EC2, Lambda, DynamoDB und S3 bieten detaillierte Einblicke in die Management- und Datenebenenaktivitäten für diese Services.

Sie können CloudTrail-Ereignisse mit Ressourcen-Tags auf AWS-Ressourcen anreichern. Indem Sie die Ressourcen-Tagging-Strategie Ihrer Organisation in Ihre CloudTrail-Ereignisse integrieren, können Sie AWS-Aktivitäten im Kontext Ihrer Geschäftsabläufe, Projekte oder Abteilungen einfacher kategorisieren und analysieren. Angenommen, Sie verwenden Ressourcen-Tags, um Ihre Produktions-S3-Buckets zu kennzeichnen, die kritische Daten enthalten. Sie können nun alle CloudTrail-Ereignisse, die diesen spezifischen Tags entsprechen, bequem anzeigen, da diese Informationen im Ereignis selbst enthalten sind. Es ist nicht mehr erforderlich, manuell mehrere Systeme zu durchsuchen, um diese Informationen zu finden.
IAM Global Condition Keys bieten eine weitere Möglichkeit, Ihren CloudTrail-Ereignissen mithilfe von Schlüsseln, einschließlich Prinzipal-Tags, Kontext hinzuzufügen. Wenn diese Option aktiviert ist, enthält CloudTrail Informationen zu AWS-Bedingungsschlüsseln, die während des Autorisierungsprozesses ausgewertet wurden. Dies kann zusätzliche Details über den Prinzipal, der die Anfrage stellt, und Einzelheiten zur Anfrage selbst enthalten. Beispielsweise können Sie den aws:SourceAccount für API-Aufrufe anzeigen, die direkt von einem AWS-Service-Prinzipal an Ihre Ressource gesendet wurden. Es ist wichtig zu beachten, dass ein Bedingungsschlüssel nur dann im angereicherten Ereignis erscheint, wenn er während des Autorisierungsprozesses als Teil der IAM-Richtlinie bewertet wurde.

Sie können Ihre CloudTrail-Ereignisse anreichern, wenn Sie CloudTrail-Lake-Ereignisdatenspeicher einrichten. Während des Konfigurationsprozesses haben Sie die Möglichkeit, anzugeben, welche zusätzlichen Informationen Sie in Ihr CloudTrail-Management und Ihre Datenereignisse aufnehmen möchten. Diese Flexibilität ermöglicht es Ihnen, den Umfang der zusätzlichen Informationen in Ihren Protokollen so anzupassen, dass es den Anforderungen Ihres Unternehmens in Bezug auf Analyse, Compliance und Sicherheitsüberwachung am besten entspricht. Erfahren Sie hier mehr darüber, wie Sie CloudTrail-Ereignisse anreichern können.

Sie können Ihre Verwaltungs- und Datenereignisse mit Ressourcen-Tags und globalen IAM-Bedingungsschlüsseln anreichern. Die Verfügbarkeit dieser zusätzlichen Informationen hängt von verschiedenen Faktoren ab, darunter dem Zustand der Ressourcen, dem Zeitpunkt der Tag-Änderungen und der Bewertung der IAM-Richtlinien.

CloudTrail aktualisiert die Informationen zu den AWS-Ressourcen-Tags nach bestem Bemühen. In den Fällen, in denen CloudTrail zum Zeitpunkt eines AWS-API-Aufrufs für die markierte Ressource keine Tag-Informationen zur Verfügung hat, nimmt CloudTrail diese Informationen nicht in das entsprechende CloudTrail-Ereignis auf. CloudTrail verwendet die Resource Groups Tagging API (RGTA), um Tag-Informationen abzurufen.
Es gibt einige Szenarien, in denen Ressourcen-Tags in CloudTrail-Ereignissen nicht die aktuellsten Werte haben oder nicht vorhanden sind.

• Ein Ressourcen-Tag wird einer AWS-Ressource hinzugefügt oder aktualisiert, nachdem sie erstellt wurde. Wenn ein Tag auf einer AWS-Ressource geändert wird, gibt es eine kurze Verzögerung, bis CloudTrail den neuen Tag-Wert erfasst und in seinen Ereignissen anzeigt. Diese Verzögerung tritt auf, weil CloudTrail ein verteiltes Rechenmodell verwendet, das als letztendliche Konsistenz bezeichnet wird.
• CloudTrail-Ereignisse für das Löschen von Ressourcen enthalten möglicherweise keine Tag-Informationen. Dies liegt daran, dass die Ressource gelöscht werden könnte, bevor CloudTrail die zugehörigen Tags abrufen kann.
• CloudTrail-Ereignisse verzögern sich aufgrund eines Serviceproblems. In solchen Fällen enthält CloudTrail keine Ressourcen-Tag-Informationen. CloudTrail-Ereignisse, die aufgrund solcher Probleme verzögert werden, enthalten ein „Addendum“-Feld, das Informationen darüber enthält, warum das Ereignis verzögert wurde.

CloudTrail aktualisiert die globalen IAM-Bedingungsschlüssel, einschließlich Prinzipal-Tags, sobald API-Aktionen autorisiert und CloudTrail-Ereignisse generiert werden. Es ist jedoch wichtig zu verstehen, dass CloudTrail in einem Ereignis nur dann einen globalen Bedingungsschlüssel einbezieht, wenn dieser Schlüssel während des Autorisierungsprozesses als Teil der IAM-Richtlinie bewertet wurde. Die einfache Konfiguration von CloudTrail für die Aufnahme eines Bedingungsschlüssels garantiert nicht, dass dieser bei jedem Ereignis vorhanden ist. Wenn Sie CloudTrail so eingerichtet haben, dass es einen bestimmten globalen Bedingungsschlüssel enthält, ihn aber nicht in einem Ereignis sehen, bedeutet dies, dass der bestimmte Schlüssel für die IAM-Richtlinienbewertung für diese Aktion nicht relevant war – mit anderen Worten, die IAM-Richtlinie, die evaluiert wird, hat diesen Bedingungsschlüssel nicht in ihrer Logik verwendet. 

Ja. Sie können einen S3-Bucket als Ziel für mehrere Konten konfigurieren. Detaillierte Anweisungen finden Sie im Abschnitt Aggregieren von Protokolldateien zu einem zentralen S3-Bucket im CloudTrail-Benutzerhandbuch.

Durch die CloudTrail-Integration in CloudWatch Logs werden von CloudTrail erfasste Verwaltungs- und Datenereignisse an einen CloudWatch-Logs-Protokoll-Stream in der von Ihnen festgelegten CloudWatch-Logs-Protokollgruppe übermittelt.

Die Integration hilft Ihnen SNS-Benachrichtigungen zu den von CloudTrail erfassten Kontoaktivitäten erhalten. Sie können zum Beispiel CloudWatch-Alarme erstellen, um API-Aufrufe zu überwachen, die Sicherheitsgruppen und Netzwerk-Zugriffssteuerungslisten (ACLs) erstellen, ändern und löschen.

Sie können die CloudTrail-Integration in CloudWatch Logs von der CloudTrail-Konsole aktivieren, indem Sie eine CloudWatch Logs-Protokollgruppe und eine IAM-Rolle festlegen. Sie können auch die AWS SDKs oder die AWS CLI verwenden, um diese Integration zu aktivieren.

Nachdem Sie die Integration aktiviert haben, übermittelt CloudTrail kontinuierlich Kontoaktivitäten an einen CloudWatch Logs-Protokoll-Stream in der festgelegten CloudWatch Logs-Protokollgruppe. Außerdem übermittelt CloudTrail wie schon zuvor Protokolle an Ihren S3-Bucket.

Die Integration wird in den Regionen unterstützt, in denen auch CloudWatch Logs unterstützt wird. Weitere Informationen erhalten Sie unter Regionen und Endpunkte in der allgemeinen AWS-Referenz.

CloudTrail übernimmt die von Ihnen angegebene IAM-Rolle, um Kontoaktivitäten an CloudWatch-Protokolle zu übermitteln. Sie beschränken die IAM-Rolle auf die Berechtigungen, die zum Übermitteln der Ereignisse an Ihren CloudWatch Logs-Protokoll-Stream erforderlich sind. Die Richtlinien zu IAM-Rollen finden Sie im Benutzerhandbuch der CloudTrail-Dokumentation.

Nachdem Sie die CloudTrail-Integration in CloudWatch Logs aktiviert haben, fallen die Standardgebühren für CloudWatch Logs und CloudWatch an. Weitere Informationen finden Sie auf der CloudWatch-Preisseite. 

Durch die Verschlüsselung von CloudTrail-Protokolldateien mithilfe von SSE-KMS können Sie den an einen S3-Bucket gelieferten CloudTrail-Protokolldateien eine zusätzliche Sicherheitsschicht hinzufügen, indem Sie die Protokolldateien mit Ihrem KMS-Schlüssel verschlüsseln. Standardmäßig verschlüsselt CloudTrail die an Ihren S3-Bucket gelieferten Protokolldateien mithilfe der serverseitigen Verschlüsselung von S3.

Mit SSE-KMS verschlüsselt S3 die Protokolldateien automatisch, sodass Sie keine Änderungen an Ihrer Anwendung vornehmen müssen. Wie immer müssen Sie sicherstellen, dass Ihre Anwendung über die geeigneten Berechtigungen verfügt, z. B. die Berechtigungen „S3 GetObject“ und „AWS KMS Decrypt“.

Sie können die AWS Management Console, AWS CLI oder die AWS SDKs verwenden, um die Verschlüsselung der Protokolldateien zu konfigurieren. Detaillierte Anweisungen finden Sie in der Dokumentation.

Wenn Sie die Verschlüsselung mithilfe von SSE-KMS konfigurieren, entstehen die standardmäßigen AWS KMS-Kosten. Details finden Sie auf der AWS-KMS-Preisseite.

Das Feature zur Integritätsprüfung von CloudTrail-Protokolldateien hilft Ihnen zu ermitteln, ob eine CloudTrail-Protokolldatei seit der Übermittlung an den angegebenen S3-Bucket unverändert geblieben ist, gelöscht oder geändert wurde.

Sie können die Integritätsprüfung der Protokolldateien zur Unterstützung Ihrer IT-Sicherheit sowie für Überwachungsprozesse verwenden.

Sie können das Feature zur Integritätsprüfung für CloudTrail-Protokolldateien über die Konsole, die AWS CLI oder die AWS SDKs aktivieren.

Sobald Sie die Funktion zur Integritätsprüfung der Protokolldateien aktiviert haben, liefert CloudTrail stündlich Digest-Dateien. Die Digest-Dateien enthalten Informationen über die Protokolldateien, die an Ihren S3-Bucket geliefert wurden, sowie Hash-Werte für diese Protokolldateien. Sie enthalten auch digitale Signaturen für die vorherige Digest-Datei und die digitale Signatur für die aktuelle Digest-Datei im Abschnitt S3-Metadaten. Weitere Informationen über Digest-Dateien, digitale Signaturen und Hash-Werte finden Sie in der CloudTrail-Dokumentation.

Die Digest-Dateien werden in demselben S3-Bucket gespeichert, in dem auch Ihre Protokolldateien gespeichert sind. Sie werden jedoch in einem anderen Ordner abgelegt, so dass Sie detaillierte Zugriffskontrollrichtlinien durchsetzen können. Weitere Informationen finden Sie im Abschnitt zur Struktur der Digest-Dateien in der CloudTrail-Dokumentation.

Sie können AWS CLI verwenden, um die Integrität einer Protokolldatei oder Digest-Datei zu prüfen. Sie können auch Ihre eigenen Tools zur Prüfung entwickeln. Weitere Informationen über die Verwendung von AWS CLI zur Prüfung der Integrität einer Protokolldatei finden Sie in der CloudTrail-Dokumentation.

Ja. CloudTrail liefert die Digest-Dateien aus allen Regionen und mehreren Konten an den gleichen S3-Bucket.

Die CloudTrail Processing Library ist eine Java-Bibliothek, die das Erstellen von Anwendungen für das Lesen und Verarbeiten von CloudTrail-Protokolldateien erleichtert. Sie können die CloudTrail Processing Library von GitHub herunterladen.

Die CloudTrail Processing Library bietet Funktionen zur Bewältigung von Aufgaben wie der kontinuierlichen Abfrage einer SQS-Warteschlange und dem Lesen und Parsen von Amazon Simple Queue Service (Amazon SQS)-Nachrichten. Sie kann auch in S3 gespeicherte Protokolldateien herunterladen und Ereignisse von Protokolldateien auf fehlertolerante Weise parsen und serialisieren. Weitere Informationen finden Sie im Benutzerhandbuch in der CloudTrail-Dokumentation. 

Sie benötigen aws-java-sdk Version 1.9.3 und Java 1.7 oder höher.

CloudTrail hilft Ihnen die letzten 90 Tage der Verwaltungsereignisse Ihres Kontos kostenlos anzeigen, durchsuchen und herunterladen. Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an S3 liefern, indem Sie einen Trail erstellen. Sobald ein CloudTrail-Pfad eingerichtet ist, fallen S3-Gebühren, die sich nach Ihrer Nutzung richten, an.

Mithilfe von Pfaden können Sie zusätzliche Kopien von Ereignissen bereitstellen, einschließlich Datenereignissen und Netzwerkaktivitätsereignissen. Datenereignisse, Netzwerkaktivitätsereignisse und zusätzliche Kopien von Verwaltungsereignissen werden Ihnen in Rechnung gestellt. Weitere Informationen finden Sie auf der Preisseite.

Nein. Die erste Kopie der Verwaltungsereignisse wird in jeder Region kostenlos bereitgestellt.

Ja. Ihnen werden nur die Datenereignisse in Rechnung gestellt. Die erste Kopie der Verwaltungsereignisse wird kostenlos bereitgestellt. 

Wenn Sie CloudTrail Lake nutzen, zahlen Sie für Aufnahme und Speicherung zusammen, wobei die Abrechnung auf der Menge der aufgenommenen unkomprimierten Daten und der Menge der gespeicherten komprimierten Daten basiert. Wenn Sie einen Ereignis-Datenspeicher erstellen, wählen Sie die Preisoption, die Sie für den Ereignis-Datenspeicher verwenden möchten. Die Preisoption bestimmt die Kosten für die Erfassung von Ereignissen sowie die maximale und standardmäßige Aufbewahrungsdauer für den Ereignis-Datenspeicher. Die Gebühren für die Abfrage basieren auf den komprimierten Daten, die Sie analysieren möchten. Weitere Informationen finden Sie auf der Preisseite.

Ja. Jedes CloudTrail-Ereignis umfasst im Durchschnitt etwa 1.500 Byte. Mithilfe dieser Zuordnung können Sie die CloudTrail-Lake-Aufnahme anhand der CloudTrail-Nutzung des letzten Monats in Pfaden anhand der Anzahl der Ereignisse abschätzen.

Sie können die CloudTrail-Verwaltung und Datenereignisse für CloudWatch Logs aktivieren, ohne einen Pfad zu erstellen. Die Abrechnung erfolgt auf der Grundlage des Volumens der an CloudWatch Logs übermittelten Protokolle in GB. Dadurch fallen sowohl Gebühren für die Bereitstellung von CloudTrail-Ereignissen in Höhe von 0,25 USD/GB als auch Gebühren für die Erfassung von CloudWatch Logs in Höhe von 0,50 USD/GB an, sodass Ihre Gesamtkosten für das Senden von CloudTrail-Daten an CloudWatch Logs 0,75 USD/GB betragen. Weitere Informationen finden Sie auf der CloudTrail-Preisseite.

Mehrere Partner bieten integrierte Lösungen für die Analyse von CloudTrail-Protokolldateien. Diese Lösungen bieten Funktionen wie die Nachverfolgung von Änderungen, Problembehebung und Sicherheitsanalyse. Weitere Informationen finden Sie im Abschnitt CloudTrail-Partner.

Lesen Sie den Onboarding-Leitfaden für Partner, um die ersten Schritte der Integration durchzuführen . Nehmen Sie Kontakt zu Ihrem Partnerentwicklungsteam oder Partnerlösungen-Architekten auf, um eine Verbidnung zum CloudTrail-Lake-Team herzustellen, um detailliertere Informationen zu erhalten oder weitere Fragen zu stellen.

Nein. Das Aktivieren von CloudTrail hat keine Auswirkung auf die Leistung Ihrer AWS-Ressourcen oder die Latenz von API-Aufrufen.