Warum erscheinen Amazon S3-API-Aktionen auf Objektebene nicht in meinem CloudTrail-Ereignisverlauf?

Lesedauer: 2 Minute
0

Ich habe die AWS CloudTrail-Ereignisprotokollierung auf Objektebene für einen Amazon Simple Storage Service (Amazon S3)-Bucket aktiviert. Aber ich kann meine Amazon S3-API-Aktionen auf Objektebene in meinem CloudTrail-Ereignisverlauf nicht sehen.

Kurzbeschreibung

Amazon S3-API-Aktionen auf Objektebene sind CloudTrail-Datenereignisse. Standardmäßig protokollieren Trails keine Datenereignisse, und Datenereignisse sind im CloudTrail-Ereignisverlauf nicht sichtbar.

Um Amazon S3-API-Aktionen auf Objektebene anzuzeigen, nachdem du die Datenereignisprotokollierung aktiviert hast, musst du die CloudTrail-Protokolle abfragen.

Verwende eine der folgenden Methoden, um CloudTrail-Protokolle nach API-Aktionen auf Objektebene abzufragen:

Weitere Informationen findest du unter Protokollieren von Amazon S3-API-Aufrufen mit AWS CloudTrail.

Hinweis: Wenn du andere Datenquellen für denselben S3-Bucket wie deinen Trail konfigurierst, werden die Protokolle mit CloudTrail-Ereignissen kombiniert.

Lösung

Verwendung von Filtermustern für CloudWatch-Protokolle, um API-Aktionen auf Objektebene anzuzeigen

Um die CloudWatch-Protokolle nach API-Aktionen auf Objektebene zu durchsuchen, befolge die Anweisungen unter Protokolldaten mithilfe von Filtermustern durchsuchen.

Verwende beispielsweise die folgende Syntax, um alle DeleteBucket-API-Aktionen zu finden:

{$.eventName = "DeleteBucket"}

So verwendet man Athena-Abfragen, um API-Aktionen auf Objektebene anzuzeigen

Bevor du Athena verwenden kannst, um die CloudTrail-Protokolle abzufragen, musst du einen Trail konfigurieren, um Protokolle in einen Amazon S3-Bucket zu schreiben. Die CloudTrail-Protokolle können bis zu 90 Tage lang abgefragt werden. Um die Protokolle abzufragen, befolge die Anweisungen unter Wie erstelle ich automatisch Tabellen in Amazon Athena, um die AWS CloudTrail-Protokolle zu durchsuchen?

Führe beispielsweise die folgende Abfrage aus, um alle GetBucketAcl-API-Aktionen in den Protokollen zu finden:

SELECT *  
  FROM example-cloudtrail-log  
 WHERE eventname = 'GetBucketAcl';

Hinweis: Ersetze example-cloudtrail-log durch den Namen deines CloudTrail-Protokolls.

Weitere Informationen findest du unter Grundlegendes zu CloudTrail-Protokollen und Athena-Tabellen.

Ähnliche Informationen

CloudTrail-Tracking mit Amazon S3-SOAP-API-Aufrufen

Wie verwende ich Amazon Athena, um meine Amazon-S3-Serverzugriffsprotokolle zu analysieren?

Analysiere Sicherheit, Compliance und betriebliche Aktivitäten mit AWS CloudTrail und Amazon Athena

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Monaten