AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Wie verwende ich CloudTrail, um zu überprüfen, welche API-Aufrufe und Aktionen in meinem AWS-Konto stattgefunden haben?

Lesedauer: 4 Minute

Wie überprüfe ich Aktionen, die in meinem AWS-Konto stattgefunden haben, wie z. B. Konsolenanmeldungen oder das Beenden einer Instance?

Kurzbeschreibung

Du kannst AWS CloudTrail-Daten verwenden, um API-Aufrufe an dein Konto einzusehen und nachzuverfolgen, indem du Folgendes verwendest:

Hinweis: Nicht für alle AWS-Services wurden Protokolle aufgezeichnet und stehen mit CloudTrail zur Verfügung. Eine Liste der in CloudTrail integrierten AWS-Services findest du unter AWS-Servicethemen für CloudTrail.

Lösung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler erhältst, stelle sicher, dass du die neueste AWS CLI-Version verwendest.

CloudTrail-Ereignisverlauf

Überprüfen des CloudTrail-Ereignisverlaufs mithilfe der CloudTrail-Konsole

Du kannst alle unterstützten Dienste und Integrationen sowie Ereignistypen (erstellen, ändern, löschen und nicht veränderbare Aktivitäten) der letzten 90 Tage einsehen. Du musst keinen Trail einrichten, um den CloudTrail-Ereignisverlauf verwenden zu können.

Anweisungen findest du unter CloudTrail-Ereignisse in der CloudTrail-Konsole anzeigen.

Überprüfen des CloudTrail-Ereignisverlaufs mithilfe der AWS-CLI

Hinweis: Um mit der AWS-CLI nach Ereignissen zu suchen, musst du einen Trail erstellt und konfiguriert haben, der in CloudWatch Logs protokolliert wird. Weitere Informationen findest du unter Trail erstellen. Außerdem unter Senden von Ereignissen an CloudWatch Logs.

Verwende den Befehl filter-log-events, um Metrik-Filter anzuwenden, um nach bestimmten Begriffen, Ausdrücken und Werten in deinen Protokollereignissen zu suchen. Anschließend kannst du sie in CloudWatch-Metriken und Alarme umwandeln.

Weitere Informationen findest du unter Filter- und Mustersyntax.

Hinweis: Um den Befehl filter-log-events in großem Maßstab zu verwenden (z. B. zur Automatisierung oder in einem Skript), empfiehlt es sich, CloudWatch Logs-Abonnementfilter zu verwenden. Dies liegt daran, dass für die API-Aktion filter-log-events API-Beschränkungen gelten. Abonnementfilter haben keine derartigen Beschränkungen. Abonnementfilter bieten zudem die Möglichkeit, große Mengen an Protokolldaten in Echtzeit zu verarbeiten. Für weitere Informationen siehe Häufig gestellte Fragen zu CloudWatch Logs-Kontingenten.

CloudTrail Lake

CloudTrail Lake ermöglicht es dir, SQL-basierte Abfragen zu deinen Ereignissen zu aggregieren, unveränderlich zu speichern und auszuführen. Du kannst Daten in CloudTrail Lake sogar für bis zu sieben Jahre oder 2.555 Tage speichern.

Weitere Informationen findest du unter Arbeiten mit AWS CloudTrail Lake.

Amazon CloudWatch Logs

Hinweis: Um CloudWatch Logs verwenden zu können, musst du einen Trail für die Protokollierung bei CloudWatch Logs erstellt und konfiguriert haben. Weitere Informationen findest du unter Trail erstellen. Außerdem unter Senden von Ereignissen an CloudWatch Logs.

Du kannst CloudWatch Logs verwenden, um nach Vorgängen zu suchen, die den Status einer Ressource ändern (z. B. StopInstances). Du kannst CloudWatch Logs auch verwenden, um nach Vorgängen zu suchen, die den Status einer Ressource nicht ändern (z. B. DescribeInstances). Anweisungen findest du unter An CloudWatch Logs gesendete Protokolldaten anzeigen.

Beachte Folgendes:

Du musst CloudTrail explizit so konfigurieren, dass Ereignisse an CloudWatch Logs gesendet werden, auch wenn du bereits einen Trail erstellt hast.
Du kannst die Aktivitäten vor der Konfiguration der Protokolle nicht überprüfen.
Je nach Größe und Umfang der Ereignisse kann es mehrere Protokollstreams geben. Um in allen Streams zu suchen, wähle Protokollgruppe durchsuchen aus, bevor du einen einzelnen Stream auswählst.
Da CloudWatch Logs eine Ereignis-Größenbeschränkung von 256 KB hat, sendet CloudTrail keine Ereignisse, die größer als 256 KB sind, an CloudWatch Logs.

Amazon Athena-Abfragen

Du kannst Amazon Athena verwenden, um CloudTrail-Datenereignisse und Verwaltungsereignisse anzuzeigen, die in deinem Amazon S3-Bucket gespeichert sind.

Weitere Informationen findest du unter „Wie erstelle ich automatisch Tabellen in Amazon Athena, um die AWS CloudTrail-Protokolle zu durchsuchen?“ Beim Erstellen der Tabelle für CloudTrail werden außerdem Protokolle in Athena mithilfe manueller Partitionierung erstellt.

Archivierte Amazon S3-Protokolldateien

Hinweis: Um die archivierten Amazon S3-Protokolldateien anzeigen zu können, musst du einen Trail für die Protokollierung in einem S3-Bucket erstellt und konfiguriert haben. Weitere Informationen findest du unter Trail erstellen.

Du kannst alle von CloudTrail erfassten Ereignisse in den Amazon S3-Protokolldateien sehen. Du kannst die Protokolldateien aus dem S3-Bucket auch manuell mithilfe der CloudTrail Processing Library oder der AWS-CLI analysieren oder Protokolle an AWS CloudTrail-Partner senden.

Anweisungen findest du unter Amazon S3 CloudTrail-Ereignisse.

Hinweis: Du musst einen Trail aktiviert haben, um dich bei einem S3-Bucket anmelden zu können.

Relevanter Inhalt

Woher weiß ich, welcher Benutzer eine bestimmte Änderung an meiner AWS-Infrastruktur vorgenommen hat?
AWS OFFICIALAktualisiert vor 4 Jahren
Wie verwende ich AWS CloudTrail, um API-Aufrufe an meine Amazon EC2-Instances zu verfolgen?
AWS OFFICIALAktualisiert vor 5 Jahren
Wie kann ich überprüfen, wer eine Lambda-Funktion geändert hat und welche Änderungen vorgenommen wurden?
AWS OFFICIALAktualisiert vor 3 Jahren
Was sind die Unterschiede zwischen Datenereignissen und Verwaltungsereignissen in CloudTrail?
AWS OFFICIALAktualisiert vor einem Jahr