Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Warum erscheinen Amazon S3-API-Aktionen auf Objektebene nicht in meinem CloudTrail-Ereignisverlauf?

Lesedauer: 2 Minute

Ich habe die AWS CloudTrail-Ereignisprotokollierung auf Objektebene für einen Amazon Simple Storage Service (Amazon S3)-Bucket aktiviert. Aber ich kann meine Amazon S3-API-Aktionen auf Objektebene in meinem CloudTrail-Ereignisverlauf nicht sehen.

Kurzbeschreibung

Amazon S3-API-Aktionen auf Objektebene sind CloudTrail-Datenereignisse. Standardmäßig protokollieren Trails keine Datenereignisse, und Datenereignisse sind im CloudTrail-Ereignisverlauf nicht sichtbar.

Um Amazon S3-API-Aktionen auf Objektebene anzuzeigen, nachdem du die Datenereignisprotokollierung aktiviert hast, musst du die CloudTrail-Protokolle abfragen.

Verwende eine der folgenden Methoden, um CloudTrail-Protokolle nach API-Aktionen auf Objektebene abzufragen:

Amazon CloudWatch protokolliert Filtermuster
Amazon Athena-Abfragen

Weitere Informationen findest du unter Protokollieren von Amazon S3-API-Aufrufen mit AWS CloudTrail.

Hinweis: Wenn du andere Datenquellen für denselben S3-Bucket wie deinen Trail konfigurierst, werden die Protokolle mit CloudTrail-Ereignissen kombiniert.

Lösung

Verwendung von Filtermustern für CloudWatch-Protokolle, um API-Aktionen auf Objektebene anzuzeigen

Um die CloudWatch-Protokolle nach API-Aktionen auf Objektebene zu durchsuchen, befolge die Anweisungen unter Protokolldaten mithilfe von Filtermustern durchsuchen.

Verwende beispielsweise die folgende Syntax, um alle DeleteBucket-API-Aktionen zu finden:

{$.eventName = "DeleteBucket"}

So verwendet man Athena-Abfragen, um API-Aktionen auf Objektebene anzuzeigen

Bevor du Athena verwenden kannst, um die CloudTrail-Protokolle abzufragen, musst du einen Trail konfigurieren, um Protokolle in einen Amazon S3-Bucket zu schreiben. Die CloudTrail-Protokolle können bis zu 90 Tage lang abgefragt werden. Um die Protokolle abzufragen, befolge die Anweisungen unter Wie erstelle ich automatisch Tabellen in Amazon Athena, um die AWS CloudTrail-Protokolle zu durchsuchen?

Führe beispielsweise die folgende Abfrage aus, um alle GetBucketAcl-API-Aktionen in den Protokollen zu finden:

SELECT *  
  FROM example-cloudtrail-log  
 WHERE eventname = 'GetBucketAcl';

Hinweis: Ersetze example-cloudtrail-log durch den Namen deines CloudTrail-Protokolls.

Weitere Informationen findest du unter Grundlegendes zu CloudTrail-Protokollen und Athena-Tabellen.

Relevanter Inhalt

Wie kann ich gelöschte oder fehlende Objekte aus meinem Amazon S3-Bucket überprüfen?
AWS OFFICIALAktualisiert vor einem Jahr
Wie finde ich die externe IP-Adresse, die jedem Upload in meinen Amazon S3-Bucket zugeordnet ist?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie finde ich die Kosten meiner Amazon S3-Buckets heraus?
AWS OFFICIALAktualisiert vor 7 Monaten
Warum kann ich Objekte löschen, obwohl ich Object Lock für meinen Amazon S3-Bucket aktiviert habe?
AWS OFFICIALAktualisiert vor 2 Jahren