Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# CloudWatch Alarme für CloudTrail Ereignisse erstellen: Beispiele
<a name="cloudwatch-alarms-for-cloudtrail"></a>

In diesem Thema wird beschrieben, wie Alarme für CloudTrail Ereignisse konfiguriert werden, und es enthält Beispiele.

**Topics**
+ [Voraussetzungen](#cloudwatch-alarms-prerequisites)
+ [Einen Metrikfilter und einen Alarm erstellen](#cloudwatch-alarms-metric-filter-alarm)
+ [Beispiel: Änderungen an der Sicherheitsgruppenkonfiguration](#cloudwatch-alarms-for-cloudtrail-security-group)
+ [Beispiele für AWS-Managementkonsole fehlgeschlagene Anmeldevorgänge](#cloudwatch-alarms-for-cloudtrail-signin)
+ [Beispiel: Änderungen an der IAM-Richtlinie](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes)
+ [Benachrichtigungen für CloudWatch Logs-Alarme konfigurieren](#cloudtrail-configure-notifications-for-cloudwatch-logs-alarms)

## Voraussetzungen
<a name="cloudwatch-alarms-prerequisites"></a>

Bevor Sie die Beispiele in diesem Thema verwenden können, müssen Sie:
+ Einen Trail mit der Konsole oder CLI erstellen.
+ Erstellen Sie eine Protokollgruppe, die Sie beim Erstellen eines Trails durchführen können. Weitere Informationen zum Erstellen eines Trails finden Sie unter [Einen Trail mit der CloudTrail Konsole erstellen](cloudtrail-create-a-trail-using-the-console-first-time.md).
+ Geben Sie eine IAM-Rolle an, oder erstellen Sie eine, CloudTrail die die Berechtigungen zum Erstellen eines CloudWatch Log-Log-Streams in der von Ihnen angegebenen Protokollgruppe und zum Übermitteln von CloudTrail Ereignissen an diesen Log-Stream gewährt. Die standardmäßige `CloudTrail_CloudWatchLogs_Role` führt dies für Sie aus.

Weitere Informationen finden Sie unter [Ereignisse an CloudWatch Logs senden](send-cloudtrail-events-to-cloudwatch-logs.md). Die Beispiele in diesem Abschnitt werden in der Amazon CloudWatch Logs-Konsole ausgeführt. Weitere Informationen zum Erstellen von Metrikfiltern und Alarmen finden Sie unter [Metriken aus Protokollereignissen mithilfe von Filtern erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) und [ CloudWatch Amazon-Alarme verwenden](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) im * CloudWatch Amazon-Benutzerhandbuch*.

## Einen Metrikfilter und einen Alarm erstellen
<a name="cloudwatch-alarms-metric-filter-alarm"></a>

Um einen Alarm zu erstellen, müssen Sie zuerst einen Metrikfilter erstellen und dann basierend auf diesem Filter einen Alarm konfigurieren. Die Verfahren werden für alle Beispiele gezeigt. Weitere Informationen zur Syntax für Metrikfilter und Muster für CloudTrail Protokollereignisse finden Sie in den JSON-bezogenen Abschnitten von [Filter- und Mustersyntax](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.

## Beispiel: Änderungen an der Sicherheitsgruppenkonfiguration
<a name="cloudwatch-alarms-for-cloudtrail-security-group"></a>

Gehen Sie wie folgt vor, um einen CloudWatch Amazon-Alarm zu erstellen, der ausgelöst wird, wenn Konfigurationsänderungen an Sicherheitsgruppen vorgenommen werden.

### Einen Metrikfilter erstellen
<a name="cloudwatch-alarms-for-cloudtrail-security-group-metric-filter"></a>

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich unter **Protokolle** die Option **Protokollgruppen** aus.

1. Wählen Sie in der Liste von Protokollgruppen die Protokollgruppe aus, die Sie für Ihren Trail erstellt haben.

1. Wählen Sie im Menü **Metrikfilter** oder **Aktionen** die Option **Metrikfilter erstellen** aus.

1. Geben Sie auf der Seite **Muster definieren** unter **Filtermuster erstellen** Folgendes für **Filtermuster** ein.

   ```
   { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
   ```

1. Behalten Sie in **Testmuster** die Standardeinstellungen bei. Wählen Sie **Weiter** aus.

1. Geben Sie auf der Seite **Metrik zuweisen** für **Filtername** den Wert **SecurityGroupEvents** ein.

1. Aktivieren Sie unter **Metrikdetails** die Option **Neu erstellen** und geben Sie dann für **Namespace der Metrik** den Wert **CloudTrailMetrics** ein.

1. Geben Sie für **Metrikname** den Wert **SecurityGroupEventCount** ein.

1. Geben Sie für **Metrikwert** den Wert **1** ein.

1. Lassen Sie den **Standardwert** leer.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Metrikfilter erstellen**, um den Filter zu erstellen, oder wählen Sie **Bearbeiten**, um zurückzugehen und Werte zu ändern.

### Alarm erstellen
<a name="cloudwatch-alarms-for-cloudtrail-security-group-create-alarm"></a>

Nachdem Sie den Metrikfilter erstellt haben, wird die Seite mit den Details zur CloudWatch Log-Log-Gruppe für Ihre CloudTrail Trail-Log-Gruppe geöffnet. Gehen Sie folgendermaßen vor, um einen Alarm zu erstellen.

1. Suchen Sie auf der Registerkarte **Metrikfilter** den in [Einen Metrikfilter erstellen](#cloudwatch-alarms-for-cloudtrail-security-group-metric-filter) erstellten Metrikfilter. Aktivieren Sie das Kontrollkästchen für den Metrikfilter. Wählen Sie in der Leiste **Metrikfilter** die Option **Alarm erstellen** aus.

1. Geben Sie unter **Metrik und Bedingungen festlegen** Folgendes ein:

   1. Bei **Diagramm** wird die Linie basierend auf anderen Einstellungen, die Sie beim Erstellen Ihres Alarms vornehmen, auf **1** gesetzt.

   1. Behalten Sie für **Metrikname** den aktuellen Metriknamen **SecurityGroupEventCount** bei.

   1. Behalten Sie für **Statistik** den Standardwert **Sum** bei.

   1. Behalten Sie für **Zeitraum** den Standardwert **5 minutes** bei.

   1. Wählen Sie unter **Bedingungen** unter **Schwellenwerttyp** die Option **Statisch** aus.

   1. Wählen Sie für **Wann immer {{metric\_name}} ist** die Option **Größer/Gleich aus.**

   1. Geben Sie als Schwellenwert **1** ein.

   1. Übernehmen Sie unter **Zusätzliche Konfiguration** die Standardeinstellungen. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der Seite **Aktionen konfigurieren** die Option **Benachrichtigung** und dann **Bei Alarm** aus. Dies bedeutet, dass die Aktion ausgeführt wird, wenn der Schwellenwert von 1 Änderungsereignis innerhalb von 5 Minuten überschritten wird und sich im **SecurityGroupEventCount**Alarmzustand befindet.

   1. Wählen Sie unter **Benachrichtigung an folgendes SNS-Thema senden** die Option **Neues Thema erstellen** aus.

   1. Geben Sie **SecurityGroupChanges\_CloudWatch\_Alarms\_Topic** als Namen des neuen Amazon-SNS-Themas ein.

   1. Geben Sie unter **E-Mail-Endpunkte, die die Benachrichtigung erhalten**, die E-Mail-Adressen der Benutzer ein, die Benachrichtigungen erhalten sollen, wenn dieser Alarm ausgelöst wird. Trennen Sie E-Mail-Adressen durch Kommas.

      Jeder E-Mail-Empfänger erhält eine E-Mail, in der er bestätigen muss, dass er das Amazon-SNS-Thema abonniert haben möchten.

   1. Wählen Sie **Thema erstellen** aus.

1. Überspringen Sie in diesem Beispiel die anderen Aktionstypen. Wählen Sie **Weiter**.

1. Geben Sie auf der Seite **Name und Beschreibung hinzufügen** einen Anzeigenamen für den Alarm und eine Beschreibung ein. Geben Sie in diesem Beispiel **Security group configuration changes** für den Namen und **Raises alarms if security group configuration changes occur** für die Beschreibung ein. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Vorschau anzeigen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten**, um Änderungen vorzunehmen, oder wählen Sie **Alarm erstellen**, um den Alarm zu erstellen.

   Nachdem Sie den Alarm erstellt haben, CloudWatch wird die Seite **Alarme** geöffnet. In der Spalte **Aktionen** des Alarms wird **Bestätigung ausstehend** angezeigt, bis alle E-Mail-Empfänger zum Thema SNS bestätigt haben, dass sie SNS-Benachrichtigungen abonnieren möchten.

## Beispiele für AWS-Managementkonsole fehlgeschlagene Anmeldevorgänge
<a name="cloudwatch-alarms-for-cloudtrail-signin"></a>

Gehen Sie wie folgt vor, um einen CloudWatch Amazon-Alarm zu erstellen, der ausgelöst wird, wenn innerhalb eines Zeitraums von fünf Minuten drei oder mehr AWS-Managementkonsole Anmeldefehler auftreten.

### Einen Metrikfilter erstellen
<a name="cloudwatch-alarms-for-cloudtrail-signin-metric-filter"></a>

1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. Wählen Sie im Navigationsbereich unter **Protokolle** die Option **Protokollgruppen** aus.

1. Wählen Sie in der Liste von Protokollgruppen die Protokollgruppe aus, die Sie für Ihren Trail erstellt haben.

1. Wählen Sie im Menü **Metrikfilter** oder **Aktionen** die Option **Metrikfilter erstellen** aus.

1. Geben Sie auf der Seite **Muster definieren** unter **Filtermuster erstellen** Folgendes für **Filtermuster** ein.

   ```
   { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
   ```

1. Behalten Sie in **Testmuster** die Standardeinstellungen bei. Wählen Sie **Weiter** aus.

1. Geben Sie auf der Seite **Metrik zuweisen** für **Filtername** den Wert **ConsoleSignInFailures** ein.

1. Aktivieren Sie unter **Metrikdetails** die Option **Neu erstellen** und geben Sie dann für **Namespace der Metrik** den Wert **CloudTrailMetrics** ein.

1. Geben Sie für **Metrikname** den Wert **ConsoleSigninFailureCount** ein.

1. Geben Sie für **Metrikwert** den Wert **1** ein.

1. Lassen Sie den **Standardwert** leer.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Metrikfilter erstellen**, um den Filter zu erstellen, oder wählen Sie **Bearbeiten**, um zurückzugehen und Werte zu ändern.

### Alarm erstellen
<a name="cloudwatch-alarms-for-cloudtrail-signin-create-alarm"></a>

Nachdem Sie den Metrikfilter erstellt haben, wird die Seite mit den Details zur CloudWatch Log-Log-Gruppe für Ihre CloudTrail Trail-Log-Gruppe geöffnet. Gehen Sie folgendermaßen vor, um einen Alarm zu erstellen.

1. Suchen Sie auf der Registerkarte **Metrikfilter** den in [Einen Metrikfilter erstellen](#cloudwatch-alarms-for-cloudtrail-signin-metric-filter) erstellten Metrikfilter. Aktivieren Sie das Kontrollkästchen für den Metrikfilter. Wählen Sie in der Leiste **Metrikfilter** die Option **Alarm erstellen** aus.

1. Geben Sie auf der Seite **Alarm erstellen** unter **Metrik und Bedingungen** angeben Folgendes ein.

   1. Bei **Diagramm**, wird die Linie basierend auf anderen Einstellungen, die Sie beim Erstellen Ihres Alarms vornehmen, auf **3** gesetzt.

   1. Behalten Sie für **Metrikname** den aktuellen Metriknamen **ConsoleSigninFailureCount** bei.

   1. Behalten Sie für **Statistik** den Standardwert **Sum** bei.

   1. Behalten Sie für **Zeitraum** den Standardwert **5 minutes** bei.

   1. Wählen Sie unter **Bedingungen** unter **Schwellenwerttyp** die Option **Statisch** aus.

   1. Wählen Sie für **Wann immer {{metric\_name}} ist** die Option **Größer/Gleich aus.**

   1. Geben Sie als Schwellenwert **3** ein.

   1. Übernehmen Sie unter **Zusätzliche Konfiguration** die Standardeinstellungen. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der Seite **Aktionen konfigurieren** für **Benachrichtigung** die Option **Bei Alarm** aus. Dies bedeutet, dass die Aktion ausgeführt wird, wenn der Schwellenwert von 3 Änderungsereignissen innerhalb von 5 Minuten überschritten wird und sich im **ConsoleSigninFailureCount**Alarmzustand befindet.

   1. Wählen Sie unter **Benachrichtigung an folgendes SNS-Thema senden** die Option **Neues Thema erstellen** aus.

   1. Geben Sie **ConsoleSignInFailures\_CloudWatch\_Alarms\_Topic** als Namen des neuen Amazon-SNS-Themas ein.

   1. Geben Sie unter **E-Mail-Endpunkte, die die Benachrichtigung erhalten**, die E-Mail-Adressen der Benutzer ein, die Benachrichtigungen erhalten sollen, wenn dieser Alarm ausgelöst wird. Trennen Sie E-Mail-Adressen durch Kommas.

      Jeder E-Mail-Empfänger erhält eine E-Mail, in der er bestätigen muss, dass er das Amazon-SNS-Thema abonniert haben möchten.

   1. Wählen Sie **Thema erstellen** aus.

1. Überspringen Sie in diesem Beispiel die anderen Aktionstypen. Wählen Sie **Weiter**.

1. Geben Sie auf der Seite **Name und Beschreibung hinzufügen** einen Anzeigenamen für den Alarm und eine Beschreibung ein. Geben Sie in diesem Beispiel **Console sign-in failures** für den Namen und **Raises alarms if more than 3 console sign-in failures occur in 5 minutes** für die Beschreibung ein. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Vorschau anzeigen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten**, um Änderungen vorzunehmen, oder wählen Sie **Alarm erstellen**, um den Alarm zu erstellen.

   Nachdem Sie den Alarm erstellt haben, CloudWatch wird die Seite **Alarme** geöffnet. In der Spalte **Aktionen** des Alarms wird **Bestätigung ausstehend** angezeigt, bis alle E-Mail-Empfänger zum Thema SNS bestätigt haben, dass sie SNS-Benachrichtigungen abonnieren möchten.

## Beispiel: Änderungen an der IAM-Richtlinie
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes"></a>

Gehen Sie wie folgt vor, um einen CloudWatch Amazon-Alarm zu erstellen, der ausgelöst wird, wenn ein API-Aufruf zur Änderung einer IAM-Richtlinie erfolgt.

### Einen Metrikfilter erstellen
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter"></a>

1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. Wählen Sie im Navigationsbereich **Protokolle** aus.

1. Wählen Sie in der Liste von Protokollgruppen die Protokollgruppe aus, die Sie für Ihren Trail erstellt haben.

1. Wählen Sie **Aktionen** und dann **Metrikfilter erstellen**.

1. Geben Sie auf der Seite **Muster definieren** unter **Filtermuster erstellen** Folgendes für **Filtermuster** ein.

   ```
   {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
   ```

1. Behalten Sie in **Testmuster** die Standardeinstellungen bei. Wählen Sie **Weiter** aus.

1. Geben Sie auf der Seite **Metrik zuweisen** für **Filtername** den Wert **IAMPolicyChanges** ein.

1. Aktivieren Sie unter **Metrikdetails** die Option **Neu erstellen** und geben Sie dann für **Namespace der Metrik** den Wert **CloudTrailMetrics** ein.

1. Geben Sie für **Metrikname** den Wert **IAMPolicyEventCount** ein.

1. Geben Sie für **Metrikwert** den Wert **1** ein.

1. Lassen Sie den **Standardwert** leer.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Metrikfilter erstellen**, um den Filter zu erstellen, oder wählen Sie **Bearbeiten**, um zurückzugehen und Werte zu ändern.

### Alarm erstellen
<a name="cloudwatch-alarms-for-cloudtrail-iam-policy-changes-create-alarm"></a>

Nachdem Sie den Metrikfilter erstellt haben, wird die Seite mit den Details zur CloudWatch Log-Log-Gruppe für Ihre CloudTrail Trail-Log-Gruppe geöffnet. Gehen Sie folgendermaßen vor, um einen Alarm zu erstellen.

1. Suchen Sie auf der Registerkarte **Metrikfilter** den in [Einen Metrikfilter erstellen](#cloudwatch-alarms-for-cloudtrail-iam-policy-changes-metric-filter) erstellten Metrikfilter. Aktivieren Sie das Kontrollkästchen für den Metrikfilter. Wählen Sie in der Leiste **Metrikfilter** die Option **Alarm erstellen** aus.

1. Geben Sie auf der Seite **Alarm erstellen** unter **Metrik und Bedingungen** angeben Folgendes ein.

   1. Bei **Diagramm**, wird die Linie basierend auf anderen Einstellungen, die Sie beim Erstellen Ihres Alarms vornehmen, auf **1** gesetzt.

   1. Behalten Sie für **Metrikname** den aktuellen Metriknamen **IAMPolicyEventCount** bei.

   1. Behalten Sie für **Statistik** den Standardwert **Sum** bei.

   1. Behalten Sie für **Zeitraum** den Standardwert **5 minutes** bei.

   1. Wählen Sie unter **Bedingungen** unter **Schwellenwerttyp** die Option **Statisch** aus.

   1. Wählen Sie für **Wann immer {{metric\_name}} ist** die Option **Größer/Gleich aus.**

   1. Geben Sie als Schwellenwert **1** ein.

   1. Übernehmen Sie unter **Zusätzliche Konfiguration** die Standardeinstellungen. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der Seite **Aktionen konfigurieren** für **Benachrichtigung** die Option **Bei Alarm** aus. Dies bedeutet, dass die Aktion ausgeführt wird, wenn der Schwellenwert von 1 Änderungsereignis innerhalb von 5 Minuten überschritten wird und sich im **IAMPolicyEventCount**Alarmzustand befindet.

   1. Wählen Sie unter **Benachrichtigung an folgendes SNS-Thema senden** die Option **Neues Thema erstellen** aus.

   1. Geben Sie **IAM\_Policy\_Changes\_CloudWatch\_Alarms\_Topic** als Namen des neuen Amazon-SNS-Themas ein.

   1. Geben Sie unter **E-Mail-Endpunkte, die die Benachrichtigung erhalten**, die E-Mail-Adressen der Benutzer ein, die Benachrichtigungen erhalten sollen, wenn dieser Alarm ausgelöst wird. Trennen Sie E-Mail-Adressen durch Kommas.

      Jeder E-Mail-Empfänger erhält eine E-Mail, in der er bestätigen muss, dass er das Amazon-SNS-Thema abonniert haben möchten.

   1. Wählen Sie **Thema erstellen** aus.

1. Überspringen Sie in diesem Beispiel die anderen Aktionstypen. Wählen Sie **Weiter**.

1. Geben Sie auf der Seite **Name und Beschreibung hinzufügen** einen Anzeigenamen für den Alarm und eine Beschreibung ein. Geben Sie in diesem Beispiel **IAM Policy Changes** für den Namen und **Raises alarms if IAM policy changes occur** für die Beschreibung ein. Wählen Sie **Weiter** aus.

1. Überprüfen Sie auf der Seite **Vorschau anzeigen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten**, um Änderungen vorzunehmen, oder wählen Sie **Alarm erstellen**, um den Alarm zu erstellen.

   Nachdem Sie den Alarm erstellt haben, CloudWatch wird die Seite **Alarme** geöffnet. In der Spalte **Aktionen** des Alarms wird **Bestätigung ausstehend** angezeigt, bis alle E-Mail-Empfänger zum Thema SNS bestätigt haben, dass sie SNS-Benachrichtigungen abonnieren möchten.

## Benachrichtigungen für CloudWatch Logs-Alarme konfigurieren
<a name="cloudtrail-configure-notifications-for-cloudwatch-logs-alarms"></a>

Sie können CloudWatch Logs so konfigurieren, dass eine Benachrichtigung gesendet wird, wenn ein Alarm ausgelöst wird CloudTrail. Auf diese Weise können Sie schnell auf kritische Betriebsereignisse reagieren, die in CloudTrail Ereignissen erfasst und in CloudWatch Protokollen erkannt werden. CloudWatch verwendet Amazon Simple Notification Service (SNS) zum Senden von E-Mails. Weitere Informationen finden Sie im *CloudWatch Benutzerhandbuch* unter [Amazon SNS SNS-Benachrichtigungen einrichten](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Notify_Users_Alarm_Changes.html#US_SetupSNS).