Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einen Trail mit der CloudTrail Konsole erstellen
Ein Trail kann auf alle AWS-Regionen , die in Ihrer Region [aktiviert](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) sind AWS-Konto, oder auf eine einzelne Region angewendet werden. Ein Trail, der für alle gilt AWS-Regionen , die in Ihrer Region aktiviert sind, AWS-Konto wird als *Multi-Region-Trail* bezeichnet. Als bewährte Methode empfehlen wir, einen Trail mit mehreren Regionen zu erstellen, da er Aktivitäten in allen aktivierten Regionen erfasst. Bei allen mit der CloudTrail Konsole erstellten Pfaden handelt es sich um Trails mit mehreren Regionen. Sie können mit der [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html)API-Operation AWS CLI oder nur einen Trail mit einer Region erstellen.
**Anmerkung**
Nachdem Sie einen Trail erstellt haben, können Sie andere so konfigurieren, AWS-Services dass die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter analysiert und entsprechende Maßnahmen ergriffen werden. Weitere Informationen finden Sie unter [AWS Serviceintegrationen mit Protokollen CloudTrail](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-integrations).
**Topics**
+ [Einen Trail mit der Konsole erstellen](#creating-a-trail-in-the-console)
+ [Nächste Schritte](#cloudtrail-create-a-trail-using-the-console-first-time-next-steps)
## Einen Trail mit der Konsole erstellen
Gehen Sie wie folgt vor, um einen Trail mit mehreren Regionen zu erstellen. Um Ereignisse in einer einzelnen Region zu protokollieren (nicht empfohlen), [verwenden Sie AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single).
**Um einen CloudTrail Trail mit dem zu erstellen AWS-Managementkonsole**
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie auf der CloudTrail Service-Startseite, der **Trails-Seite** oder im Abschnitt **Trails** der **Dashboard-Seite** die Option **Trail erstellen** aus.
1. Geben Sie auf der Seite **Create Trail** in **Trail name**einen Namen für den Trail ein. Weitere Informationen finden Sie unter [Benennungsanforderungen für CloudTrail Ressourcen, S3-Buckets und KMS-Schlüssel](cloudtrail-trail-naming-requirements.md).
1. Wenn es sich um einen AWS Organizations Organisations-Trail handelt, können Sie den Trail für alle Konten in Ihrer Organisation aktivieren. Diese Option wird nur angezeigt, wenn Sie sich mit einem Benutzer oder einer Rolle im Verwaltungskonto oder im Konto eines delegierten Administrators bei der Konsole anmelden. Zur Erstellung eines Organisations-Trails müssen dem Benutzer oder der Rolle [ausreichende Berechtigungen](creating-an-organizational-trail-prepare.md#org_trail_permissions) zugewiesen sein. Weitere Informationen finden Sie unter [Erstellen eines Trails für eine Organisation](creating-trail-organization.md).
1. Wählen Sie in **Speicherort** für **Neuen S3 Bucket erstellen**, um einen neuen Bucket zu erstellen. Wenn Sie einen Bucket erstellen, erstellt CloudTrail die erforderlichen Bucket-Richtlinien und wendet sie an. Wenn Sie sich dafür entscheiden, einen neuen S3-Bucket zu erstellen, muss Ihre IAM-Richtlinie die Genehmigung für die `s3:PutEncryptionConfiguration` Aktion beinhalten, da die serverseitige Verschlüsselung standardmäßig für den Bucket aktiviert ist.
**Anmerkung**
Wenn Sie die Option **Vorhandenen S3-Bucket verwenden** ausgewählt haben, geben Sie in **Name des Trail-Protokoll-Buckets** einen Bucket an oder wählen Sie **Durchsuchen** aus, um einen Bucket in Ihrem Konto auszuwählen. Wenn Sie einen Bucket aus einem anderen Konto verwenden möchten, müssen Sie den Bucket-Namen angeben. Die Bucket-Richtlinie muss die CloudTrail Schreibberechtigung für den Bucket gewähren. Informationen zur manuellen Bearbeitung der Bucket-Richtlinie finden Sie im Abschnitt [Amazon S3 S3-Bucket-Richtlinie für CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Um das Auffinden Ihrer Logs zu erleichtern, erstellen Sie in einem vorhandenen Bucket einen neuen Ordner (auch als *Präfix* bezeichnet), um Ihre CloudTrail Logs zu speichern. Geben Sie das Präfix in **Präfix** ein.
1. Wählen Sie für die **SSE-KMS-Verschlüsselung für Protokolldateien** die **Option Aktiviert** aus, wenn Sie Ihre Protokolldateien und Digest-Dateien mit der SSE-KMS-Verschlüsselung anstelle der SSE-S3-Verschlüsselung verschlüsseln möchten. Der Standard ist **aktiviert**. Wenn Sie die SSE-KMS-Verschlüsselung nicht aktivieren, werden Ihre Protokolldateien und Digest-Dateien mit der SSE-S3-Verschlüsselung verschlüsselt. Weitere Informationen zur SSE-KMS-Verschlüsselung finden Sie unter Verwenden der serverseitigen Verschlüsselung [mit](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) (SSE-KMS). AWS Key Management Service Weitere Informationen zur SSE-S3-Verschlüsselung finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
****Wenn Sie die SSE-KMS-Verschlüsselung aktivieren, wählen Sie Neu oder Bestehend aus.**** AWS KMS key Geben Sie **AWS KMS unter Alias** einen Alias im Format an. `alias/` {{MyAliasName}} Weitere Informationen finden Sie unter[Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole](create-kms-key-policy-for-cloudtrail-update-trail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
**Anmerkung**
Sie können auch den ARN eines Schlüssels von einem anderen Konto eingeben. Weitere Informationen finden Sie unter [Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole](create-kms-key-policy-for-cloudtrail-update-trail.md). Die Schlüsselrichtlinie muss die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokoll- und Digest-Dateien ermöglichen und es den von Ihnen angegebenen Benutzern ermöglichen, Protokolldateien oder Digest-Dateien in unverschlüsselter Form zu lesen. CloudTrail Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter [Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Konfigurieren Sie unter **Zusätzliche Einstellungen** Folgendes.
1. Wähen Sie für **Protokolldateivalidierung** **Aktiviert**, damit Ihrem S3 Bucket Protokoll-Digests übermittelt werden. Sie können die Digest-Dateien verwenden, um zu überprüfen, ob sich Ihre Protokolldateien nach der Übermittlung nicht geändert haben. CloudTrail Weitere Informationen finden Sie unter [Überprüfen der Integrität der CloudTrail Protokolldatei](cloudtrail-log-file-validation-intro.md).
1. Wählen Sie für die **Zustellung von SNS-Benachrichtigungen** die **Option Aktiviert** aus, um jedes Mal benachrichtigt zu werden, wenn ein Protokoll an Ihren Bucket gesendet wird. CloudTrail speichert mehrere Ereignisse in einer Protokolldatei. SNS-Benachrichtigungen werden für jede Protokolldatei, nicht für jedes Ereignis gesendet. Weitere Informationen finden Sie unter [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](configure-sns-notifications-for-cloudtrail.md).
Wenn Sie SNS-Benachrichtigungen aktivieren, wählen Sie für **Neues SNS-Thema erstellen** die Option **Neu** aus, um ein Thema zu erstellen, oder wählen Sie **Vorhanden** aus, um ein vorhandenes Thema zu verwenden. Wenn Sie einen Trail mit mehreren Regionen erstellen, werden SNS-Benachrichtigungen für Protokolldateizustellungen aus allen aktivierten Regionen an das einzelne SNS-Thema gesendet, das Sie erstellen.
Wenn Sie „**Neu**“ wählen, CloudTrail geben Sie einen Namen für das neue Thema an, oder Sie können einen Namen eingeben. Wenn Sie **Vorhanden** wählen, wählen Sie ein SNS-Thema aus der Dropdown-Liste aus. Sie können auch den ARN eines Themas aus einer anderen Region oder aus einem Konto mit den entsprechenden Berechtigungen eingeben. Weitere Informationen finden Sie unter [Amazon SNS SNS-Themenrichtlinie für CloudTrail](cloudtrail-permissions-for-sns-notifications.md).
Wenn Sie ein Thema erstellen, müssen Sie das Thema abonnieren, um über die Zustellung von Protokolldateien benachrichtigt zu werden. Sie können das Abonnement von der Amazon-SNS-Konsole aus vornehmen. Aufgrund der Häufigkeit der Benachrichtigungen empfehlen wir, das Abonnement so zu konfigurieren, dass eine Amazon-SQS-Warteschlange zur programmgesteuerten Bearbeitung der Benachrichtigungen verwendet wird. Weitere Informationen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) im *Benutzerhandbuch für Amazon Simple Notification Service*.
1. Optional können Sie konfigurieren, CloudTrail dass Protokolldateien an CloudWatch Protokolle gesendet werden, indem Sie in **CloudWatch Protokollen** die **Option Aktiviert** auswählen. Weitere Informationen finden Sie unter [Ereignisse an CloudWatch Logs senden](send-cloudtrail-events-to-cloudwatch-logs.md).
1. Wenn Sie die Integration mit CloudWatch Logs aktivieren, wählen Sie **Neu**, um eine neue Protokollgruppe zu erstellen, oder **Existiert**, um eine bestehende zu verwenden. Wenn Sie „**Neu**“ wählen CloudTrail , geben Sie einen Namen für die neue Protokollgruppe an, oder Sie können einen Namen eingeben.
1. Wenn Sie **Vorhanden** wählen, wählen Sie eine Protokollgruppe aus der Dropdown-Liste aus.
1. Wählen Sie **Neu**, um eine neue IAM-Rolle für Berechtigungen zum Senden von Protokollen an Logs zu CloudWatch erstellen. Wählen Sie **Vorhanden**, um eine vorhandene IAM-Rolle aus der Dropdown-Liste auszuwählen. Die Richtlinienanweisung für die neue oder vorhandene Rolle wird angezeigt, wenn Sie das **Richtliniendokument** erweitern. Weitere Informationen über diese Rolle finden Sie unter [Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung](cloudtrail-required-policy-for-cloudwatch-logs.md).
**Anmerkung**
Beim Konfigurieren eines Trails können Sie einen S3 Bucket und ein SNS-Thema auswählen, die zu einem anderen Konto gehören. Wenn Sie jedoch Ereignisse CloudTrail an eine CloudWatch Logs-Protokollgruppe übermitteln möchten, müssen Sie eine Protokollgruppe auswählen, die in Ihrem aktuellen Konto vorhanden ist.
Nur das Verwaltungskonto kann mithilfe der Konsole eine CloudWatch Logs-Protokollgruppe für einen Organisations-Trail konfigurieren. Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe mithilfe der `UpdateTrail` API-Operationen AWS CLI oder CloudTrail `CreateTrail` oder konfigurieren.
1. Für **Tags** können Sie bis zu 50 Tag-Schlüsselpaare hinzufügen, um den Zugriff auf Ihren Trail zu identifizieren, zu sortieren und zu kontrollieren. Mithilfe von Tags können Sie sowohl Ihre CloudTrail Trails als auch die Amazon S3 S3-Buckets identifizieren, die CloudTrail Protokolldateien enthalten. Anschließend können Sie Ressourcengruppen für Ihre CloudTrail Ressourcen verwenden. Weitere Informationen erhalten Sie unter [AWS -Ressourcengruppen](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) und [Tags (Markierungen)](cloudtrail-concepts.md#cloudtrail-concepts-tags).
1. Wählen Sie auf der Seite **Protokollereignisse auswählen** die Ereignistypen aus, die Sie protokollieren möchten. Führen Sie unter **Management events (Verwaltungsereignisse)** die folgenden Schritte aus.
1. Wählen Sie für **API-Aktivität** aus, ob Ihr Trail **Lese**ereignisse, **Schreibe**reignisse oder beides protokollieren soll. Weitere Informationen finden Sie unter [Verwaltungsereignisse](logging-management-events-with-cloudtrail.md#logging-management-events).
1. Wähle ** AWS KMS Ereignisse ausschließen**, um Ereignisse aus deinem Trail herauszufiltern AWS Key Management Service (AWS KMS). Die Standardeinstellung ist, alle AWS KMS Ereignisse einzubeziehen.
Die Option, AWS KMS Ereignisse zu protokollieren oder auszuschließen, ist nur verfügbar, wenn Sie Verwaltungsereignisse protokollieren. Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
AWS KMS Aktionen wie `Encrypt``Decrypt`, und erzeugen `GenerateDataKey` in der Regel ein großes Volumen (mehr als 99%) von Ereignissen. Diese Aktionen werden nun als **Leseereignisse** protokolliert. Relevante AWS KMS Aktionen mit geringem Volumen wie `Disable``Delete`, und `ScheduleKey` (die in der Regel weniger als 0,5% des AWS KMS Ereignisvolumens ausmachen) werden als **Write-Ereignisse** protokolliert.
**Um Ereignisse mit hohem Volumen wie`Encrypt`, und auszuschließen `Decrypt``GenerateDataKey`, aber dennoch relevante Ereignisse wie, `Delete` und zu protokollieren `Disable``ScheduleKey`, wählen Sie die Option **Schreibverwaltungsereignisse** protokollieren und deaktivieren Sie das Kontrollkästchen für Ereignisse ausschließen. AWS KMS **
1. Klicken Sie auf **Amazon-RDS-Daten-API ausschließen** zum Filtern von Ereignissen der Amazon-Relational-Database-Service-Daten-API aus Ihrem Trail. Die Standardeinstellung besteht darin, alle Amazon-RDS-Daten-API-Ereignisse einzubeziehen. Weitere Informationen über die Amazon-RDS-Daten-API finden Sie unter [Protokollieren von Daten-API-Aufrufen mit AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) im*Amazon-RDS-Benutzerhandbuch für Aurora*.
1. Zum Protokollieren von Datenereignissen wählen Sie **Datenereignisse** aus. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).
1.
**Wichtig**
Die Schritte 12 bis 16 betreffen die Konfiguration von Datenereignissen mithilfe erweiterter Ereignisauswahlen, was die Standardeinstellung ist. Mit den erweiterten Event-Selektoren können Sie mehr [Ressourcentypen](logging-data-events-with-cloudtrail.md#logging-data-events) konfigurieren und genau steuern, welche Datenereignisse Ihr Trail erfasst. Wenn Sie sich für die Verwendung grundlegender Ereignisauswahlen entschieden haben, führen Sie die Schritte unter [Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen](#trail-data-events-basic-selectors) aus und fahren Sie anschließend mit Schritt 17 dieses Verfahrens fort.
Wählen Sie unter **Ressourcentyp** den Ressourcentyp aus, für den Sie Datenereignisse protokollieren möchten. Weitere Informationen zu verfügbaren Ressourcentypen finden Sie unter[Datenereignisse](logging-data-events-with-cloudtrail.md#logging-data-events).
1. Wählen Sie eine Protokoll-Selektorvorlage aus. Sie können eine vordefinierte Vorlage wählen oder **Benutzerdefiniert** wählen, um Ihre eigenen Bedingungen für die Erfassung von Veranstaltungen zu definieren.
Sie können aus den folgenden vordefinierten Vorlagen wählen:
+ **Alle Ereignisse protokollieren**: Wählen Sie diese Vorlage, um alle Ereignisse zu protokollieren.
+ **Nur Leseereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Leseereignisse zu protokollieren. Schreibgeschützte Ereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. Ereignisse `Get*` oder`Describe*`.
+ **Nur Schreibereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Schreibereignisse zu protokollieren. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse.
+ **Nur AWS-Managementkonsole Ereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Ereignisse zu protokollieren, die ihren Ursprung in haben AWS-Managementkonsole.
+ ** AWS-Service Ausgelöste Ereignisse ausschließen** — Wählen Sie diese Vorlage, um AWS-Service Ereignisse mit dem Wert `eventType` von und Ereignisse auszuschließen`AwsServiceEvent`, die mit AWS-Service-verknüpften Rollen initiiert wurden (SLRs).
**Anmerkung**
Wenn Sie eine vordefinierte Vorlage für S3-Buckets auswählen, wird die Protokollierung von Datenereignissen für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie erstellen, nachdem Sie die Erstellung des Trails abgeschlossen haben. Es ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM-Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl einer vordefinierten Vorlage, die alle S3 Buckets protokolliert, die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto protokolliert.
Wenn Sie einen Trail mit mehreren Regionen erstellen, aktiviert die Auswahl einer vordefinierten Vorlage für Lambda-Funktionen die Protokollierung von Datenereignissen für alle Funktionen, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM-Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
1. (Optional) Geben Sie unter **Selektorname** einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird als `Name` in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die **JSON-Ansicht** erweitern.
1. Wenn Sie **Benutzerdefiniert** ausgewählt haben, erstellen **Event-Selektoren unter Advanced** einen Ausdruck, der auf den Werten der erweiterten Event-Selektor-Felder basiert.
**Anmerkung**
Selektoren unterstützen nicht die Verwendung von Platzhaltern wie. `*` Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können Sie`StartsWith`,, oder verwenden `EndsWith``NotStartsWith`, `NotEndsWith` um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.
1. Wählen Sie aus den folgenden Feldern.
+ **`readOnly`**- `readOnly` kann so gesetzt werden, dass sie einem Wert von `true` oder **`false`entspricht**. Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. `Get*`- oder `Describe*`-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse. Um sowohl `read`- als auch `write`-Ereignisse zu protokollieren, fügen Sie keinen `readOnly`-Selektor hinzu.
+ **`eventName`** – `eventName` kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B. `PutBucket``GetItem`, oder`GetSnapshotBlock`.
+ **`eventSource`**— Die Ereignisquelle, die ein- oder ausgeschlossen werden soll. In diesem Feld kann ein beliebiger Operator verwendet werden.
+ **eventType**: der Ereignistyp, der ein- oder ausgeschlossen werden soll. Sie können dieses Feld beispielsweise auf „ungleich“ setzen, `AwsServiceEvent` um **es** auszuschließen[AWS-Service Ereignisse](non-api-aws-service-events.md). Eine Liste der Ereignistypen finden Sie [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)unter[CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md).
+ **sessionCredentialFromKonsole** — Ereignisse, die aus einer AWS-Managementkonsole Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf „**gleich**“ oder „ungleich**“ mit dem Wert von gesetzt** werden. `true`
+ **userIdentity.arn**: schließt Ereignisse für Aktionen bestimmter IAM-Identitäten ein oder aus. Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`resources.ARN`**- Sie können jeden Operator mit verwenden`resources.ARN`, aber wenn Sie **equals** oder **ungleich** verwenden, muss der Wert genau dem ARN einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert von `resources.type` angegeben haben.
**Anmerkung**
Sie können das `resources.ARN` Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall ist. ARNs
Weitere Informationen zu den ARN-Formaten von Datenereignisressourcen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der *Service Authorization Reference*.
1. Wählen Sie für jedes Feld **\+ Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf **Resources.ARN** festlegen, den Operator für **beginnt nicht mit** festlegen und dann einen S3-Bucket-ARN einfügen, für den Sie keine Ereignisse protokollieren möchten.
Um den zweiten S3-Bucket hinzuzufügen, wählen Sie **\+ Bedingung** und wiederholen Sie dann die vorherige Anweisung, indem Sie den ARN für einen anderen Bucket einfügen oder nach einem anderen Bucket suchen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. [Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet](filtering-data-events.md#filtering-data-events-conditions)
**Anmerkung**
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie `eventName` ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.
1. Wählen Sie **\+ Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht an, dass ein ARN in einem Selektor einem Wert entspricht, und geben Sie dann an, dass der ARN in einem anderen Selektor nicht dem gleichen Wert entspricht.
1. Um einen weiteren Ressourcentyp für die Protokollierung von Datenereignissen hinzuzufügen, wählen Sie **Datenereignistyp hinzufügen**. Wiederholen Sie die Schritte 12 bis zu diesem Schritt, um erweiterte Ereignisauswahlen für den Ressourcentyp zu konfigurieren.
1. Um die Aggregation von Datenereignissen zu aktivieren, wählen Sie eine oder mehrere Aggregationsvorlagen aus. Diese Vorlagen definieren, wie Ihre Datenereignisse zusammengefasst werden. Sie können aus den folgenden Vorlagen wählen:
1. **API-Aktivität**, um 5-minütige Zusammenfassungen Ihrer Datenereignisse auf der Grundlage der getätigten API-Aufrufe zu erhalten. Verwenden Sie dies, um Ihre API-Nutzungsmuster, einschließlich Häufigkeit, Anrufer und Quelle, zu verstehen.
1. **Ressourcenzugriff**, um die Aktivitätsmuster auf Ihren AWS Ressourcen abzurufen. Anhand dieser Informationen können Sie nachvollziehen, wie auf Ihre AWS Ressourcen zugegriffen wird, wie oft innerhalb des 5-Minuten-Fensters auf sie zugegriffen wird, wer auf die Ressource zugreift und welche Aktionen ausgeführt werden.
1. **Benutzeraktionen**, um Aktivitätsmuster zu ermitteln, die auf IAM-Prinzipalen basieren, die API-Aufrufe in Ihrem Konto tätigen.
**Anmerkung**
Aggregationen gelten für alle Datenereignisse, die in Ihrem Trail gesammelt wurden.
1. Um Netzwerkaktivitätsereignisse zu protokollieren, wählen Sie **Netzwerkaktivitätsereignisse**. Netzwerkaktivitätsereignisse ermöglichen es VPC-Endpunktbesitzern, AWS API-Aufrufe aufzuzeichnen, die mit ihren VPC-Endpunkten von einer privaten VPC an die getätigt wurden. AWS-Service Für die Protokollierung von Netzwerkaktivitätsereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).
Gehen Sie wie folgt vor, um Netzwerkaktivitätsereignisse zu protokollieren:
1. Wählen Sie unter **Quelle für Netzwerkaktivitätsereignisse** die Quelle für Netzwerkaktivitätsereignisse aus.
1. Wählen Sie unter **Protokollselektorvorlage** eine Vorlage aus. Sie können wählen, ob alle Netzwerkaktivitätsereignisse, alle Ereignisse, bei denen der Zugriff verweigert wurde, protokolliert werden sollen, oder **Benutzerdefiniert** wählen, um eine benutzerdefinierte Protokollauswahl zu erstellen, die nach mehreren Feldern filtert, z. B. `eventName` und`vpcEndpointId`.
1. (Optional) Geben Sie einen Namen ein, um den Selektor zu identifizieren. **Der Name des Selektors wird in der erweiterten Ereignisauswahl als **Name** aufgeführt und ist sichtbar, wenn Sie die JSON-Ansicht erweitern.**
1. **In **Advanced erstellen Event-Selektoren** Ausdrücke, indem sie Werte für **Feld**, **Operator** und Wert auswählen.** Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.
1. Um Netzwerkaktivitätsereignisse auszuschließen oder einzubeziehen, können Sie in der Konsole aus den folgenden Feldern wählen.
+ **`eventName`**— Sie können jeden Operator mit verwenden`eventName`. Sie können ihn verwenden, um jedes Ereignis ein- oder auszuschließen, `CreateKey` z.
+ **`errorCode`**— Sie können es verwenden, um nach einem Fehlercode zu filtern. Derzeit wird nur Folgendes unterstützt`errorCode`:`VpceAccessDenied`.
+ **`vpcEndpointId`**— Identifiziert den VPC-Endpunkt, den der Vorgang durchlaufen hat. Sie können einen beliebigen Operator mit `vpcEndpointId` verwenden.
1. Wählen Sie für jedes Feld **\+ Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.
1. Wählen Sie **\+ Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.
1. Um eine weitere Ereignisquelle hinzuzufügen, für die Sie Netzwerkaktivitätsereignisse protokollieren möchten, wählen Sie „**Netzwerkaktivitätsereignisauswahl hinzufügen**“.
1. Erweitern Sie optional die **JSON-Ansicht**, um Ihre erweiterten Ereignisselektoren als JSON-Block anzuzeigen.
1. Wählen Sie **Insights-Ereignisse**, wenn Ihr Trail CloudTrail Insights-Ereignisse protokollieren soll.
Wählen Sie unter **Ereignistyp** **Insights-Ereignisse** aus. Sie müssen **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Aufrufrate** zu protokollieren. Sie müssen **Lese**- und **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Fehlerrate** zu protokollieren.
CloudTrail Insights analysiert Verwaltungsereignisse auf ungewöhnliche Aktivitäten und protokolliert Ereignisse, wenn Anomalien festgestellt werden. Standardmäßig werden für Trails keine Insights-Ereignisse protokolliert. Weitere Informationen zu Insights-Ereignissen erhalten Sie unter [Mit CloudTrail Insights arbeiten](logging-insights-events-with-cloudtrail.md). Für die Protokollierung von Insights-Ereignissen fallen zusätzliche Gebühren an. [Preisinformationen finden Sie unter CloudTrail AWS CloudTrail Preisgestaltung.](https://aws.amazon.com/cloudtrail/pricing/)
Insights-Ereignisse werden in einen anderen Ordner übertragen, `/CloudTrail-Insight` der nach demselben S3-Bucket benannt ist, der auf der Seite mit den Trail-Details im Bereich **Speicherort** angegeben ist. CloudTrailerstellt das neue Präfix für Sie. Wenn beispielsweise Ihr aktueller S3-Ziel-Bucket den Namen `amzn-s3-demo-bucket/AWSLogs/CloudTrail/` hat, lautet der Name mit dem Präfix als Zusatz `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`.
1. Wenn Sie die Auswahl der zu protokollierenden Ereignistypen abgeschlossen haben, wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** in einem Abschnitt, um die in diesem Abschnitt angezeigten Trail-Einstellungen zu ändern. Wenn Sie bereit sind, den Trail zu erstellen, wählen Sie **Trail erstellen**.
1. Der neue Trail wird auf der Seite **Trails** angezeigt. Veröffentlicht in etwa 5 Minuten Protokolldateien CloudTrail , in denen die AWS API-Aufrufe aufgeführt sind, die in Ihrem Konto getätigt wurden. Sie können die Protokolldateien in dem von Ihnen angegebenen S3-Bucket anzeigen.
Wenn Sie Insights-Ereignisse für einen Trail aktiviert haben, CloudTrail kann es bis zu 36 Stunden dauern, bis mit der Übermittlung dieser Ereignisse begonnen wird, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.
**Anmerkung**
CloudTrail übermittelt Protokolle in der Regel innerhalb von durchschnittlich etwa 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter [AWS CloudTrail Service Level Agreement](https://aws.amazon.com/cloudtrail/sla).
Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), CloudTrail wird versucht, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen. Für diese attempted-to-deliver Ereignisse fallen Standardgebühren an. CloudTrail Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.
### Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen
Sie können erweiterte Event-Selektoren verwenden, um alle Datenereignistypen sowie Netzwerkaktivitätsereignisse zu konfigurieren. Mithilfe erweiterter Event-Selektoren können Sie detaillierte Selektoren erstellen, um nur die Ereignisse zu protokollieren, die für Sie von Interesse sind.
Wenn Sie grundlegende Event-Selektoren verwenden, um Datenereignisse zu protokollieren, sind Sie darauf beschränkt, Datenereignisse für Amazon S3 S3-Buckets, AWS Lambda Funktionen und Amazon DynamoDB-Tabellen zu protokollieren. Sie können das `eventName` Feld nicht mit einfachen Event-Selektoren filtern. Sie können auch keine [Netzwerkaktivitätsereignisse](logging-network-events-with-cloudtrail.md) protokollieren.
Führen Sie die folgenden Schritte aus, um Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen zu konfigurieren.
**Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen**
1. Wählen Sie unter **Ereignisse** die Option **Datenereignisse** aus, um Datenereignisse zu protokollieren. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).
1. Für Amazon-S3-Buckets:
1. Wählen Sie für **Daten-Ereignissquelle** **S3** aus.
1. Sie können wählen, ob Sie **alle aktuellen und zukünftigen S3 Buckets** protokollieren oder einzelne Buckets oder Funktionen angeben möchten. Standardmäßig werden Datenereignisse für alle aktuellen und zukünftigen S3 Buckets protokolliert.
**Anmerkung**
Wenn Sie die Standardoption **Alle aktuellen und future S3-Buckets** beibehalten, wird die Datenereignisprotokollierung für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie erstellen, nachdem Sie den Trail erstellt haben. Sie ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM-Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert die Auswahl von **Alle aktuellen und future S3-Buckets** die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und für alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto protokolliert.
1. Wenn Sie die Standardeinstellung **Alle aktuellen und zukünftigen S3 Buckets** beibehalten, können Sie **Lese**ereignisse, **Schreib**ereignisse oder beides protokollieren.
1. Um einzelne Buckets auszuwählen, leeren Sie die Kontrollkästchen **Lesen** und **Schreiben** für **Alle aktuellen und zukünftigen S3 Buckets**. Suchen Sie unter **Individuelle Bucket-Auswahl** nach einem Bucket, in dem Datenereignisse protokolliert werden sollen. Suchen Sie nach bestimmten Buckets, indem Sie ein Bucket-Präfix für den gewünschten Bucket eingeben. Sie können in diesem Fenster mehrere Buckets auswählen. Wählen Sie **Bucket hinzufügen**, um Datenereignisse für weitere Buckets zu protokollieren. Wählen Sie, ob Sie **Read (Lesen)**-Ereignisse wie `GetObject`, **Write (Schreiben)**-Ereignisse wie `PutObject` oder Ereignisse beider Typen protokolliert werden sollen.
Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Buckets konfigurieren. Wenn Sie beispielsweise die Protokollierung von **Lese**-Ereignissen für alle S3-Buckets festlegen und dann einen bestimmten Bucket für die Protokollierung von Datenereignissen hinzufügen, ist für den hinzugefügten Bucket bereits **Lesen** ausgewählt. Sie können die Auswahl nicht löschen. Sie können die Option nur für **Write** (Schreiben) konfigurieren.
Um einen Bucket aus der Protokollierung zu entfernen, wählen Sie **X** aus.
1. Um einen weiteren Ressourcentyp hinzuzufügen, auf dem Datenereignisse protokolliert werden sollen, wählen Sie **Datenereignistyp hinzufügen**.
1. Für Lambda-Funktionen:
1. Wählen Sie für **Daten-Ereignissquelle** **Lambda** aus.
1. Wählen Sie in der **Lambda-Funktion** **Alle Regionen** aus, um alle Lambda-Funktionen zu protokollieren, oder **Eingabefunktion als ARN**, um Datenereignisse für eine bestimmte Funktion zu protokollieren.
Um Datenereignisse für alle Lambda-Funktionen in Ihrem AWS Konto zu protokollieren, wählen Sie **Alle aktuellen und future Funktionen protokollieren** aus. Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Funktionen vornehmen. Alle Funktionen werden protokolliert, auch wenn nicht alle Funktionen angezeigt werden.
**Anmerkung**
Wenn Sie einen Trail mit mehreren Regionen erstellen, aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM-Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
1. Wenn Sie **Eingabefunktion als ARN** wählen, geben Sie den ARN einer Lambda-Funktion ein.
**Anmerkung**
Wenn Sie mehr als 15.000 Lambda-Funktionen in Ihrem Konto haben, können Sie beim Erstellen eines Trails nicht alle Funktionen in der CloudTrail Konsole anzeigen oder auswählen. Sie können weiterhin die Option wählen, alle Funktionen zu protokollieren, auch wenn sie nicht angezeigt werden. Wenn Sie Datenereignisse für bestimmte Funktionen protokollieren möchten, können Sie eine Funktion manuell hinzufügen, wenn Sie deren ARN kennen. Sie können die Erstellung des Trails auch in der Konsole abschließen und dann den Befehl AWS CLI und den **put-event-selectors** Befehl verwenden, um die Datenereignisprotokollierung für bestimmte Lambda-Funktionen zu konfigurieren. Weitere Informationen finden Sie unter [Verwaltung von Wanderwegen mit dem AWS CLI](cloudtrail-additional-cli-commands.md).
1. Für DynamoDB-Tabellen:
1. Wählen Sie für **Daten-Ereignissquelle** **DynamoDB** aus.
1. Wählen Sie unter **DynamoDB table selection** (DynamoDB-Tabellenauswahl) die Option **Browse** (Durchsuchen), um eine Tabelle auszuwählen, oder fügen Sie den ARN einer DynamoDB-Tabelle ein, auf die Sie Zugriff haben. Ein DynamoDB-Tabellen-ARN verwendet das folgende Format:
```
arn:{{partition}}:dynamodb:{{region}}:{{account_ID}}:table/{{table_name}}
```
Um eine weitere Tabelle hinzuzufügen, wählen Sie **Add row** (Zeile hinzufügen) und suchen Sie nach einer Tabelle oder fügen Sie den ARN einer Tabelle ein, auf die Sie Zugriff haben.
1. Um Insights-Ereignisse und andere Einstellungen für Ihren Trail zu konfigurieren, kehren Sie zum vorherigen Verfahren in diesem Thema zurück, [Einen Trail mit der Konsole erstellen](#creating-a-trail-in-the-console).
## Nächste Schritte
Nach der Trail-Erstellung können Sie zu dem Trail zurückkehren, um Änderungen vorzunehmen:
+ Falls Sie dies noch nicht getan haben, können Sie so konfigurieren, CloudTrail dass Protokolldateien an CloudWatch Logs gesendet werden. Weitere Informationen finden Sie unter [Ereignisse an CloudWatch Logs senden](send-cloudtrail-events-to-cloudwatch-logs.md).
+ Erstellen Sie eine Tabelle zur Ausführung einer Abfrage in Amazon Athena, um die AWS -Service-Aktivitäten zu analysieren. Weitere Informationen finden Sie unter [Erstellen einer Tabelle für CloudTrail Protokolle in der CloudTrail Konsole](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct) im [Amazon Athena Athena-Benutzerhandbuch](https://docs.aws.amazon.com/athena/latest/ug/).
+ Fügen Sie benutzerdefinierte Tags (Schlüssel-Wert-Paare) zum Trail hinzu.
+ Um einen weiteren Trail zu erstellen, öffnen Sie die Seite **Trails** und wählen Sie **Trail erstellen** aus.