Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Protokollierung und Überwachung in Amazon API Gateway
Die Überwachung ist ein wichtiger Teil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von API Gateway und Ihren AWS-Lösungen. Sie sollten Überwachungsdaten von allen Teilen Ihrer AWS-Lösung sammeln, damit Sie einen Multi-Point-Fehler leichter debuggen können, falls ein solcher auftritt. AWS bietet verschiedene Tools zur Überwachung von API Gateway und anderer Ressourcen und zur Reaktion auf potenzielle Vorfälle.
**Amazon CloudWatch Logs**
Um bei der Behebung von Problemen im Zusammenhang mit der Ausführung von Anfragen oder dem Clientzugriff auf Ihre API zu helfen, können Sie CloudWatch Logs aktivieren, um API-Aufrufe zu protokollieren. Weitere Informationen finden Sie unter [Richten Sie die CloudWatch Protokollierung für REST APIs in API Gateway ein](set-up-logging.md).
**Amazon CloudWatch-Alarme**
Mit CloudWatch-Alarmen überwachen Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, wird eine Benachrichtigung an ein Thema von Amazon Simple Notification Service oder eine AWS Auto Scaling-Richtlinie gesendet. CloudWatch-Alarme lösen keine Aktionen aus, wenn sich eine Metrik in einem bestimmten Zustand befindet. Der Status muss sich stattdessen geändert haben und für eine festgelegte Anzahl an Zeiträumen aufrechterhalten worden sein. Weitere Informationen finden Sie unter [Überwachen Sie die REST-API-Ausführung mit CloudWatch Amazon-Metriken](monitoring-cloudwatch.md).
**Protokollierung von Zugriffen auf Firehose**
Um Probleme im Zusammenhang mit Client-Zugriffen auf Ihre API zu beheben, können Sie Firehose aktivieren, um API-Aufrufe zu protokollieren. Weitere Informationen finden Sie unter [Protokollierung von REST-API-Aufrufen unter Amazon Data Firehose im API Gateway](apigateway-logging-to-kinesis.md).
**AWS CloudTrail**
CloudTrail bietet eine Aufzeichnung von Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service in API Gateway durchgeführt wurden. Mit den von CloudTrail gesammelten Informationen können Sie die an Amazon S3 gestellte Anfrage, die IP-Adresse, von der die Anfrage gestellt wurde, den Initiator der Anfrage, den Zeitpunkt der Anfrage und zusätzliche Angaben bestimmen. Weitere Informationen finden Sie unter [Protokollieren Amazon API Gateway Gateway-API-Aufrufen mit AWS CloudTrail](cloudtrail.md).
**AWS X-Ray**
X-Ray ist ein AWS-Service, der Daten über die Anforderungen erfasst, die Ihre Anwendung verwendet, um eine Servicezuordnung zu erstellen, die Sie verwenden können, um Probleme mit Ihrer Anwendung und Möglichkeiten zur Optimierung zu identifizieren. Weitere Informationen finden Sie unter [AWS X-Ray Mit API Gateway REST einrichten APIs](apigateway-enabling-xray.md).
**AWS Config**
AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS-Ressourcen in Ihrem Konto. Sie können Ressourcenbeziehungen betrachten, einen Verlauf der Konfigurationsänderungen anzeigen und feststellen, wie sich Beziehungen und Konfigurationen im Lauf der Zeit ändern. Sie können AWS Config verwenden, um Regeln zu definieren, die Ressourcenkonfigurationen im Hinblick auf Daten-Compliance auswerten. AWS Config-Regeln stellen die idealen Konfigurationseinstellungen für Ihre API-Gateway-Ressourcen dar. Wenn eine Ressource gegen eine Regel verstößt und als nicht konform gekennzeichnet ist, kann AWS Config Sie mit einem Amazon Simple Notification Service (Amazon SNS)-Thema benachrichtigen. Details hierzu finden Sie unter [Überwachung der API-Gateway-API-Konfiguration mit AWS Config](apigateway-config.md).
# Protokollieren Amazon API Gateway Gateway-API-Aufrufen mit AWS CloudTrail
Amazon API Gateway ist in einen Service integriert [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), der eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem ausgeführten Aktionen bereitstellt AWS-Service. CloudTrail erfasst alle REST-API-Aufrufe für den API Gateway Gateway-Dienst als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der API Gateway Gateway-Konsole und Codeaufrufen an den API Gateway Gateway-Dienst APIs. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an API Gateway gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wann sie gestellt wurde, und weitere Details ermitteln.
**Anmerkung**
[TestInvokeAuthorizer](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-authorizer.html)und [TestInvokeMethod](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-method.html)sind nicht angemeldet CloudTrail.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anforderung mit Anmeldeinformationen des Root-Benutzers oder des Benutzers gestellt wurde.
+ Die Anforderung wurde im Namen eines IAM-Identity-Center-Benutzers erstellt.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anforderung aus einem anderen AWS-Service gesendet wurde.
CloudTrail ist in deinem aktiv AWS-Konto , wenn du das Konto erstellst und du hast automatisch Zugriff auf den CloudTrail **Eventverlauf**. Der CloudTrail **Ereignisverlauf** bietet eine einsehbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der aufgezeichneten Verwaltungsereignisse der letzten 90 Tage in einem. AWS-Region Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). Für die Anzeige des **Eventverlaufs CloudTrail** fallen keine Gebühren an.
Für eine fortlaufende Aufzeichnung der Ereignisse in AWS-Konto den letzten 90 Tagen erstellen Sie einen Trail- oder [CloudTrailLake-Event-Datenspeicher](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail Pfade**
Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Alle mit dem erstellten Pfade AWS-Managementkonsole sind regionsübergreifend. Sie können mithilfe von AWS CLI einen Einzel-Region- oder einen Multi-Region-Trail erstellen. Es wird empfohlen, einen Trail mit mehreren Regionen zu erstellen, da Sie alle Aktivitäten AWS-Regionen in Ihrem Konto erfassen. Wenn Sie einen Einzel-Region-Trail erstellen, können Sie nur die Ereignisse anzeigen, die im AWS-Region des Trails protokolliert wurden. Weitere Informationen zu Trails finden Sie unter [Erstellen eines Trails für Ihr AWS-Konto](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) und [Erstellen eines Trails für eine Organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) im *AWS CloudTrail -Benutzerhandbuch*.
Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an Ihren Amazon S3 S3-Bucket senden, CloudTrail indem Sie einen Trail erstellen. Es fallen jedoch Amazon S3 S3-Speichergebühren an. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/). Informationen zu Amazon-S3-Preisen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).
**CloudTrail Datenspeicher für Ereignisse in Lake**
CloudTrail Mit *Lake* können Sie SQL-basierte Abfragen für Ihre Ereignisse ausführen. CloudTrail [Lake konvertiert bestehende Ereignisse im zeilenbasierten JSON-Format in das Apache ORC-Format.](https://orc.apache.org/) ORC ist ein spaltenförmiges Speicherformat, das für den schnellen Abruf von Daten optimiert ist. Die Ereignisse werden in *Ereignisdatenspeichern* zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von [erweiterten Ereignisselektoren](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors) auswählen. Die Selektoren, die Sie auf einen Ereignisdatenspeicher anwenden, steuern, welche Ereignisse bestehen bleiben und für Sie zur Abfrage verfügbar sind. *Weitere Informationen zu CloudTrail Lake finden Sie unter [Arbeiten mit AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) im AWS CloudTrail Benutzerhandbuch.*
CloudTrail Für das Speichern und Abfragen von Ereignisdaten in Lake fallen Kosten an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).
## API Gateway Gateway-Verwaltungsereignisse in CloudTrail
[Verwaltungsereignisse](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) bieten Informationen zu Verwaltungsvorgängen, die an Ressourcen in Ihrem ausgeführt werden AWS-Konto. Sie werden auch als Vorgänge auf Steuerebene bezeichnet. In der Standardeinstellung werden Verwaltungsereignisse CloudTrail protokolliert.
Amazon API Gateway protokolliert alle API Gateway Gateway-Aktionen als Verwaltungsereignisse, mit Ausnahme von [TestInvokeAuthorizer](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-authorizer.html)und [TestInvokeMethod](https://docs.aws.amazon.com/cli/latest/reference/apigateway/test-invoke-method.html). Eine Liste der Amazon API Gateway-Aktionen, bei denen sich API Gateway anmeldet CloudTrail, finden Sie in der [Amazon API Gateway API-Referenz](https://docs.aws.amazon.com/apigateway/latest/api/API_Operations.html).
## Beispiel eines API-Gateway-Ereignisses
Ein Ereignis stellt eine einzelne Anfrage aus einer beliebigen Quelle dar und enthält Informationen über den angeforderten API-Vorgang, Datum und Uhrzeit des Vorgangs, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass Ereignisse nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt ein CloudTrail Ereignis, das die `GetResource` API-Gateway-Aktion demonstriert:
```
{
Records: [
{
eventVersion: "1.03",
userIdentity: {
type: "Root",
principalId: "AKIAI44QH8DHBEXAMPLE",
arn: "arn:aws:iam::123456789012:root",
accountId: "123456789012",
accessKeyId: "AKIAIOSFODNN7EXAMPLE",
sessionContext: {
attributes: {
mfaAuthenticated: "false",
creationDate: "2015-06-16T23:37:58Z"
}
}
},
eventTime: "2015-06-17T00:47:28Z",
eventSource: "apigateway.amazonaws.com",
eventName: "GetResource",
awsRegion: "us-east-1",
sourceIPAddress: "203.0.113.11",
userAgent: "example-user-agent-string",
requestParameters: {
restApiId: "3rbEXAMPLE",
resourceId: "5tfEXAMPLE",
template: false
},
responseElements: null,
requestID: "6d9c4bfc-148a-11e5-81b6-7577cEXAMPLE",
eventID: "4d293154-a15b-4c33-9e0a-ff5eeEXAMPLE",
readOnly: true,
eventType: "AwsApiCall",
recipientAccountId: "123456789012"
},
... additional entries ...
]
}
```
Informationen zu CloudTrail Datensatzinhalten finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [CloudTrailDatensatzinhalte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
# Überwachung der API-Gateway-API-Konfiguration mit AWS Config
Sie können mit [AWS Config](https://aws.amazon.com/config/) Konfigurationsänderungen an Ihren API-Gateway-API-Ressourcen aufzeichnen und Benachrichtigungen auf der Grundlage von Ressourcenänderungen senden. Die Pflege eines Konfigurations-Änderungsverlaufs für API Gateway-Ressourcen ist nützlich bei Fehlerbehebung im Betrieb sowie Anwendungsfällen wie Audit und Compliance.
AWS Config kann Änderungen verfolgen an:
+ **API-Stufenkonfiguration**, wie z. B.:
+ Cache-Cluster-Einstellungen
+ Drosselungseinstellungen
+ Zugriffsprotokolleinstellungen
+ aktive Bereitstellung, die für die Stufe festgelegt wurde
+ **API-Konfiguration**, wie z. B.:
+ Endpunktkonfiguration
+ Version
+ Protokoll
+ Tags
Darüber hinaus können Sie AWS-Config-Regeln mit dieser Funktion Konfigurationsregeln definieren und Verstöße gegen diese Regeln automatisch erkennen, verfolgen und melden. Indem Sie Änderungen an diesen Eigenschaften der Ressourcenkonfiguration verfolgen, können Sie auch durch Änderungen ausgelöste AWS Config Regeln für Ihre API-Gateway-Ressourcen erstellen und Ihre Ressourcenkonfigurationen anhand von Best Practices testen.
Sie können die Aktivierung AWS Config in Ihrem Konto vornehmen, indem Sie die AWS Config Konsole oder die verwenden. AWS CLI Wählen Sie die Ressourcentypen aus, für die Sie Änderungen nachverfolgen möchten. Wenn Sie zuvor so konfiguriert AWS Config haben, dass alle Ressourcentypen aufgezeichnet werden, werden diese API-Gateway-Ressourcen automatisch in Ihrem Konto aufgezeichnet. Support für Amazon API Gateway in AWS Config ist in allen AWS öffentlichen Regionen und verfügbar AWS GovCloud (US). Die vollständige Liste der unterstützten Regionen finden Sie unter [Amazon-API-Gateway-Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/apigateway.html) in der Allgemeine AWS-Referenz.
**Topics**
+ [Unterstützte Ressourcentypen](#apigateway-config-resources-rules)
+ [Einrichten AWS Config](#apigateway-config-setup)
+ [Konfiguration AWS Config zum Aufzeichnen von API-Gateway-Ressourcen](#apigateway-config-configuring)
+ [API-Gateway-Konfigurationsdetails in der AWS Config Konsole anzeigen](#apigateway-config-console)
+ [Evaluieren von API-Gateway-Ressourcen mithilfe von AWS Config Regeln](#apigateway-config-rules)
## Unterstützte Ressourcentypen
Die folgenden API-Gateway-Ressourcentypen sind in [AWS Config Unterstützte AWS Ressourcentypen und Ressourcenbeziehungen integriert und](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html) dort dokumentiert: AWS Config
+ `AWS::ApiGatewayV2::Api`(WebSocket und HTTP-API)
+ `AWS::ApiGateway::RestApi` (REST-API)
+ `AWS::ApiGatewayV2::Stage`(WebSocket und HTTP-API-Phase)
+ `AWS::ApiGateway::Stage` (REST-API-Stufe)
Weitere Informationen zu AWS Config finden Sie im [AWS Config Entwicklerhandbuch](https://docs.aws.amazon.com/config/latest/developerguide/). Preise finden Sie auf der Seite mit [Preisinformationen zu AWS Config](https://aws.amazon.com/config/pricing/).
**Wichtig**
Wenn Sie eine der folgenden API-Eigenschaften nach Bereitstellung der API ändern, *müssen* Sie die API [erneut bereitstellen](how-to-deploy-api.md), um die Änderungen zu übernehmen. Andernfalls werden die Attributänderungen in der AWS Config Konsole angezeigt, aber die vorherigen Eigenschaftseinstellungen sind weiterhin gültig. Das Laufzeitverhalten der API bleibt unverändert.
**`AWS::ApiGateway::RestApi`** – `binaryMediaTypes`, `minimumCompressionSize`, `apiKeySource`
**`AWS::ApiGatewayV2::Api`** – `apiKeySelectionExpression`
## Einrichten AWS Config
Informationen zur ersten Einrichtung AWS Config finden Sie in den folgenden Themen im [AWS Config Entwicklerhandbuch](https://docs.aws.amazon.com/config/latest/developerguide/).
+ [Einrichtung AWS Config mit der Konsole](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)
+ [Einrichtung AWS Config mit dem AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html)
## Konfiguration AWS Config zum Aufzeichnen von API-Gateway-Ressourcen
AWS Config Zeichnet standardmäßig Konfigurationsänderungen für alle unterstützten Typen von regionalen Ressourcen auf, die in der Region erkannt werden, in der Ihre Umgebung ausgeführt wird. Sie können es so AWS Config anpassen, dass Änderungen nur für bestimmte Ressourcentypen oder Änderungen an globalen Ressourcen aufgezeichnet werden.
Informationen zu regionalen und globalen Ressourcen und dazu, wie Sie Ihre AWS Config Konfiguration anpassen können, finden Sie unter [Auswahl der AWS Config Ressourceneinträge](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html).
## API-Gateway-Konfigurationsdetails in der AWS Config Konsole anzeigen
Sie können die AWS Config Konsole verwenden, um nach API-Gateway-Ressourcen zu suchen und aktuelle und historische Details zu deren Konfigurationen abzurufen. Die folgende Prozedur zeigt, wie Sie Informationen über eine API Gateway-API finden.
**So finden Sie eine API-Gateway-Ressource in der AWS Konfigurationskonsole**
1. Öffnen Sie die [AWS Config -Konsole](https://console.aws.amazon.com/config).
1. Wählen Sie **Resources** aus.
1. Wählen Sie auf der Seite **Resource inventory (Ressourcenbestand)** die Option **Resources (Ressourcen)** aus.
1. Öffnen Sie das Menü **Ressourcentyp**, scrollen Sie zu APIGateway oder APIGateway V2 und wählen Sie dann einen oder mehrere der API-Gateway-Ressourcentypen aus.
1. Wählen Sie **Look up**.
1. Wählen Sie in der angezeigten Ressourcenliste eine Ressourcen-ID aus. AWS Config AWS Config zeigt Konfigurationsdetails und andere Informationen zu der ausgewählten Ressource an.
1. Die vollständigen Details der aufgezeichneten Konfiguration können Sie mit **View Details (Details anzeigen)** anzeigen.
Weitere Möglichkeiten zum Auffinden einer Ressource und zum Anzeigen von Informationen auf dieser Seite finden Sie unter [AWS Ressourcenkonfigurationen und Verlauf anzeigen](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource.html) im AWS Config Entwicklerhandbuch.
## Evaluieren von API-Gateway-Ressourcen mithilfe von AWS Config Regeln
Sie können AWS Config Regeln erstellen, die die idealen Konfigurationseinstellungen für Ihre API-Gateway-Ressourcen darstellen. Sie können vordefinierte [AWS Config verwaltete Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) verwenden oder benutzerdefinierte Regeln definieren. AWS Config verfolgt kontinuierlich Änderungen an der Konfiguration Ihrer Ressourcen, um festzustellen, ob diese Änderungen gegen eine der Bedingungen in Ihren Regeln verstoßen. Die AWS Config Konsole zeigt den Konformitätsstatus Ihrer Regeln und Ressourcen an.
Wenn eine Ressource gegen eine Regel verstößt und als nicht konform gekennzeichnet wird, AWS Config kann ich Sie mithilfe eines Themas im [Amazon Simple Notification Service Developer Guide](https://docs.aws.amazon.com/sns/latest/dg/) (Amazon SNS) benachrichtigen. Um die Daten in diesen AWS Config Warnungen programmgesteuert zu nutzen, verwenden Sie eine Amazon-SQS-Warteschlange (Amazon Simple Queue Service) als Benachrichtigungsendpunkt für das Amazon-SNS-Thema.
Weitere Informationen zum Einrichten und Verwenden von Regeln finden Sie unter [Ressourcen mit Regeln auswerten](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im [AWS Config -Entwicklerhandbuch](https://docs.aws.amazon.com/config/latest/developerguide/).