Aktivieren der CloudTrail-Ereignisprotokollierung für S3-Buckets und -Objekte
Sie können CloudTrail-Datenereignisse verwenden, um Informationen über Anforderungen auf Bucket- und auf Objektebene in Amazon S3 abzurufen. Um CloudTrail-Datenereignisse für alle Buckets oder für eine Liste mit bestimmten Buckets zu aktivieren, müssen Sie manuell einen Trail in CloudTrail erstellen.
Anmerkung
-
In der Standardeinstellung findet CloudTrail nur Verwaltungsereignisse. Prüfen Sie, ob Datenereignisse für das Konto aktiviert wurden.
-
Ein S3-Bucket mit hoher Workload kann in kurzer Zeit Tausende Protokolle generieren. Überlegen Sie gut, für wie lange CloudTrail-Datenereignisse für einen Bucket mit hohem Workload aktiviert werden sollen.
CloudTrail speichert Amazon-S3-Datenereignisprotokolle in einem S3-Bucket Ihrer Wahl. Erwägen Sie, einen Bucket in einem separaten AWS-Konto zu verwenden, um Ereignisse aus mehreren Buckets, die Sie möglicherweise besitzen, besser an einem zentralen Ort zu organisieren und die Abfrage und Analyse zu erleichtern. AWS Organizations unterstützt Sie dabei, ein AWS-Konto zu erstellen, das mit dem Konto verknüpft ist, das den von Ihnen überwachten Bucket besitzt. Weitere Informationen finden Sie unter Was ist AWS Organizations? im AWS Organizations-Benutzerhandbuch.
Wenn Sie Datenereignisse für einen Trail in CloudTrail protokollieren, können Sie wählen, ob Sie erweiterte Ereignis-Selektoren oder einfache Ereignis-Selektoren verwenden möchten, um Datenereignisse für Objekte zu protokollieren, die in Allzweck-Buckets gespeichert sind. Zum Protokollieren von Datenereignissen für Objekte, die in Verzeichnis-Buckets gespeichert sind, müssen Sie erweiterte Ereignisauswahlen verwenden. Weitere Informationen finden Sie unter Protokollierung mit AWS CloudTrail für S3 Express One Zone.
Wenn Sie einen Pfad in der CloudTrail-Konsole mit erweiterten Ereignis-Selektoren erstellen, können Sie im Bereich für Datenereignisse die Option Alle Ereignisse protokollieren für die Vorlage für Protokoll-Selektoren auswählen, damit alle Ereignisse auf Objektebene protokolliert werden. Wenn Sie in der CloudTrail-Konsole mit den grundlegenden Ereignis-Selektoren einen Trail erstellen, können Sie im Abschnitt „Datenereignisse“ das Kontrollkästchen Alle S3-Buckets in Ihrem Konto auswählen aktivieren, um alle Ereignisse auf Objektebene zu protokollieren.
Anmerkung
-
Eine bewährte Methode besteht darin, eine Lebenszykluskonfiguration für Ihren Datenereignis-Bucket in AWS CloudTrail zu erstellen. Konfigurieren Sie die Lebenszykluskonfiguration zum regelmäßigen Entfernen von Protokolldateien nach dem Zeitraum, der Ihres Erachtens für die Überprüfung erforderlich ist. Dadurch wird die Menge der Daten reduziert, die Athena in einer Abfrage analysiert. Weitere Informationen finden Sie unter Einrichten einer S3-Lebenszykluskonfiguration für einen Bucket.
-
Weitere Informationen zum Format der Protokolle finden Sie unter Protokollieren von Amazon-S3-API-Aufrufen mit AWS CloudTrail.
-
Beispiele für die Abfrage von CloudTrail-Protokollen finden Sie im AWS Big-Data-Blogbeitrag Analyze Security, Compliance and Operational Activity Using AWS CloudTrail and Amazon Athena
.
Aktivieren der Protokollierung für Objekte in einem Bucket mit der Konsole
Sie können die Konsole AWS CloudTrail verwenden, um einen CloudTrail-Pfad zu konfigurieren, um Datenereignisse für Objekte in einem S3 Bucket zu protokollieren. CloudTrail unterstützt die Protokollierung von Amazon-S3-API-Vorgänge auf Objektebene wie GetObject, DeleteObject und PutObject. Diese Ereignisse werden als Datenereignisse bezeichnet.
Standardmäßig protokollieren CloudTrail-Trails keine Datenereignisse, aber Sie können Trails konfigurieren, um Datenereignisse für S3-Buckets zu protokollieren, die Sie angeben, oder um Datenereignisse für alle Amazon-S3-Buckets in Ihrem zu protokollieren AWS-Konto. Weitere Informationen finden Sie unter Protokollieren von Amazon-S3-API-Aufrufen mit AWS CloudTrail.
CloudTrail gibt keine Datenereignisse in die CloudTrail-Ereignishistorie ein. Darüber hinaus werden nicht alle Aktionen auf Bucket-Ebene in der CloudTrail-Ereignishistorie aufgefüllt. Weitere Informationen über Amazon-S3-API-Aktionen auf Bucket-Ebene, die durch CloudTrail-Protokollierung verfolgt werden, finden Sie unter Amazon-S3-Aktionen auf Bucket-Ebene, die durch die CloudTrail-Protokollierung verfolgt werden. Weitere Informationen zum Abfragen von CloudTrail-Protokollen finden Sie im AWS Wissenscenter-Artikel über die Verwendung von Amazon CloudWatch Logs-Filtermustern und Amazon Athena zum Abfragen von CloudTrail-Protokollen
Anmerkung
Wenn Sie Datenaktivitäten mit AWS CloudTrail protokollieren, umfasst der Ereignisdatensatz für ein Amazon S3-DeleteObjects-Datenereignis sowohl das DeleteObjects-Ereignis als auch ein DeleteObject-Ereignis für jedes Objekt, das im Rahmen dieses Vorgangs gelöscht wurde. Sie können die zusätzliche Sichtbarkeit gelöschter Objekte aus dem Ereignisdatensatz ausschließen. Weitere Informationen finden Sie unter AWS CLI Beispiele für das Filtern von Datenereignissen im AWS CloudTrail Benutzerhandbuch.
Informationen zum Aktivieren der CloudTrail-Datenereignisprotokollierung für Objekte in einem S3-Allzweck-Bucket oder einem S3-Verzeichnis-Bucket finden Sie im AWS CloudTrail-Benutzerhandbuch unter Erstellen eines Trails mit der CloudTrail-Konsole.
Weitere Informationen zum Protokollieren von Objekten in einem S3-Verzeichnis-Bucket finden Sie unter Protokollierung mit AWS CloudTrail für Verzeichnis-Buckets.
Informationen über die Verwendung der CloudTrail-Konsole zur Konfiguration eines Trails zur Protokollierung von S3-Datenereignissen finden Sie unter Protokollieren von Datenereignissen im AWS CloudTrail Benutzerhandbuch.
Um die Protokollierung von CloudTrail-Datenereignissen für Objekte in einem S3 Bucket zu deaktivieren, siehe Löschen einer Spur mit der CloudTrail-Konsole im AWS CloudTrail Benutzerhandbuch.
Wichtig
Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen finden Sie unter AWS CloudTrail Preise
Weitere Informationen zur CloudTrail-Protokollierung mit S3-Buckets finden Sie in den folgenden Themen:
