Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen und Aktualisieren eines Trails mit der Konsole
Du kannst die CloudTrail Konsole verwenden, um deine Trails zu erstellen, zu aktualisieren oder zu löschen. Trails, die mit der Konsole erstellt wurden, sind multiregional. Um einen Trail zu erstellen, der Ereignisse nur in einem protokolliert AWS-Region, [verwenden Sie den AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single).
Sie können bis zu fünf Trails für jede Region erstellen. Nachdem Sie einen Trail erstellt haben, beginnt er CloudTrail automatisch mit der Protokollierung von API-Aufrufen und verwandten Ereignissen in Ihrem Konto in dem von Ihnen angegebenen Amazon S3 S3-Bucket.
Sie können die folgenden Einstellungen für Ihren Trail über die CloudTrail Konsole ändern:
+ Sie können den Standort des S3-Buckets ändern und ein Präfix angeben.
+ Das Verwaltungskonto für eine AWS Organizations Organisation kann einen Trail auf Kontoebene in einen Organisationspfad oder einen Organisationspfad in einen Trail auf Kontoebene umwandeln.
+ Sie können die KMS-Schlüsselverschlüsselung aktivieren oder deaktivieren.
+ Sie können die [Überprüfung der Protokolldatei](cloudtrail-log-file-validation-intro.md) aktivieren oder deaktivieren. Mit der Überprüfung von Protokolldateien können Sie feststellen, ob eine Protokolldatei nach der Übermittlung geändert, gelöscht oder CloudTrail unverändert wurde. Standardmäßig ist die Überprüfung von Protokolldateien aktiviert.
+ Sie können einen Trail konfigurieren, um Benachrichtigungen an ein Amazon SNS SNS-Thema zu senden.
+ Sie können einen Trail so konfigurieren, dass Ereignisse an eine CloudWatch Logs-Protokollgruppe gesendet werden. Sowohl die Protokollgruppe als auch die IAM-Rolle müssen in Ihrem eigenen Konto vorhanden sein.
+ Sie können die Einstellungen für Verwaltungsereignisse, Datenereignisse, Netzwerkaktivitätsereignisse und Insights-Ereignisse aktualisieren.
+ Sie können Markierungen hinzufügen oder entfernen. Du kannst bis zu 50 Tag-Schlüsselpaare hinzufügen, um deine Trails besser identifizieren zu können.
Die Verwendung der CloudTrail Konsole zum Erstellen oder Aktualisieren eines Trails bietet die folgenden Vorteile.
+ Wenn Sie zum ersten Mal einen Trail erstellen, können Sie mithilfe der CloudTrail Konsole die verfügbaren Funktionen und Optionen anzeigen.
+ Wenn Sie einen Trail zur Protokollierung von Datenereignissen konfigurieren, können Sie mithilfe der CloudTrail Konsole die verfügbaren Datentypen anzeigen. Weitere Informationen finden Sie unter [Protokollieren von Datenereignissen](logging-data-events-with-cloudtrail.md).
+ Wenn Sie einen Pfad zu Netzwerkaktivitätsereignissen konfigurieren, können Sie mithilfe der CloudTrail Konsole die verfügbaren Ereignisquellen anzeigen. Weitere Informationen finden Sie unter [Protokollierung von Netzwerkaktivitätsereignissen](logging-network-events-with-cloudtrail.md).
Spezifische Informationen zur Erstellung eines Trails für eine Organisation in AWS Organizations finden Sie unter[Erstellen eines Trails für eine Organisation](creating-trail-organization.md).
**Topics**
+ [
# Einen Trail mit der CloudTrail Konsole erstellen
](cloudtrail-create-a-trail-using-the-console-first-time.md)
+ [
# Einen Trail mit der CloudTrail Konsole aktualisieren
](cloudtrail-update-a-trail-console.md)
+ [
# Löschen eines Trails mit der CloudTrail Konsole
](cloudtrail-delete-trails-console.md)
+ [
# Deaktivieren der Protokollierung für einen Trail
](cloudtrail-turning-off-logging.md)
# Einen Trail mit der CloudTrail Konsole erstellen
Ein Trail kann auf alle AWS-Regionen , die in Ihrer Region [aktiviert](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) sind AWS-Konto, oder auf eine einzelne Region angewendet werden. Ein Trail, der für alle gilt AWS-Regionen , die in Ihrer Region aktiviert sind, AWS-Konto wird als *Multi-Region-Trail* bezeichnet. Als bewährte Methode empfehlen wir, einen Trail mit mehreren Regionen zu erstellen, da er Aktivitäten in allen aktivierten Regionen erfasst. Bei allen mit der CloudTrail Konsole erstellten Pfaden handelt es sich um Trails mit mehreren Regionen. Sie können mit der [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html)API-Operation AWS CLI oder nur einen Trail mit einer Region erstellen.
**Anmerkung**
Nachdem Sie einen Trail erstellt haben, können Sie andere so konfigurieren, AWS-Services dass die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter analysiert und entsprechende Maßnahmen ergriffen werden. Weitere Informationen finden Sie unter [AWS Serviceintegrationen mit Protokollen CloudTrail](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-integrations).
**Topics**
+ [
## Einen Trail mit der Konsole erstellen
](#creating-a-trail-in-the-console)
+ [
## Nächste Schritte
](#cloudtrail-create-a-trail-using-the-console-first-time-next-steps)
## Einen Trail mit der Konsole erstellen
Gehen Sie wie folgt vor, um einen Trail mit mehreren Regionen zu erstellen. Um Ereignisse in einer einzelnen Region zu protokollieren (nicht empfohlen), [verwenden Sie AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single).
**Um einen CloudTrail Trail mit dem zu erstellen AWS-Managementkonsole**
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie auf der CloudTrail Service-Startseite, der **Trails-Seite** oder im Abschnitt **Trails** der **Dashboard-Seite** die Option **Trail erstellen** aus.
1. Geben Sie auf der Seite **Create Trail** in **Trail name**einen Namen für den Trail ein. Weitere Informationen finden Sie unter [Benennungsanforderungen für CloudTrail Ressourcen, S3-Buckets und KMS-Schlüssel](cloudtrail-trail-naming-requirements.md).
1. Wenn es sich um einen AWS Organizations Organisations-Trail handelt, können Sie den Trail für alle Konten in Ihrer Organisation aktivieren. Diese Option wird nur angezeigt, wenn Sie sich mit einem Benutzer oder einer Rolle im Verwaltungskonto oder im Konto eines delegierten Administrators bei der Konsole anmelden. Zur Erstellung eines Organisations-Trails müssen dem Benutzer oder der Rolle [ausreichende Berechtigungen](creating-an-organizational-trail-prepare.md#org_trail_permissions) zugewiesen sein. Weitere Informationen finden Sie unter [Erstellen eines Trails für eine Organisation](creating-trail-organization.md).
1. Wählen Sie in **Speicherort** für **Neuen S3 Bucket erstellen**, um einen neuen Bucket zu erstellen. Wenn Sie einen Bucket erstellen, erstellt CloudTrail die erforderlichen Bucket-Richtlinien und wendet sie an. Wenn Sie sich dafür entscheiden, einen neuen S3-Bucket zu erstellen, muss Ihre IAM-Richtlinie die Genehmigung für die `s3:PutEncryptionConfiguration` Aktion beinhalten, da die serverseitige Verschlüsselung standardmäßig für den Bucket aktiviert ist.
**Anmerkung**
Wenn Sie die Option **Vorhandenen S3-Bucket verwenden** ausgewählt haben, geben Sie in **Name des Trail-Protokoll-Buckets** einen Bucket an oder wählen Sie **Durchsuchen** aus, um einen Bucket in Ihrem Konto auszuwählen. Wenn Sie einen Bucket aus einem anderen Konto verwenden möchten, müssen Sie den Bucket-Namen angeben. Die Bucket-Richtlinie muss die CloudTrail Schreibberechtigung für den Bucket gewähren. Informationen zur manuellen Bearbeitung der Bucket-Richtlinie finden Sie im Abschnitt [Amazon S3 S3-Bucket-Richtlinie für CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Um das Auffinden Ihrer Logs zu erleichtern, erstellen Sie in einem vorhandenen Bucket einen neuen Ordner (auch als *Präfix* bezeichnet), um Ihre CloudTrail Logs zu speichern. Geben Sie das Präfix in **Präfix** ein.
1. Wählen Sie für die **SSE-KMS-Verschlüsselung für Protokolldateien** die **Option Aktiviert** aus, wenn Sie Ihre Protokolldateien und Digest-Dateien mit der SSE-KMS-Verschlüsselung anstelle der SSE-S3-Verschlüsselung verschlüsseln möchten. Der Standard ist **aktiviert**. Wenn Sie die SSE-KMS-Verschlüsselung nicht aktivieren, werden Ihre Protokolldateien und Digest-Dateien mit der SSE-S3-Verschlüsselung verschlüsselt. Weitere Informationen zur SSE-KMS-Verschlüsselung finden Sie unter Verwenden der serverseitigen Verschlüsselung [mit](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) (SSE-KMS). AWS Key Management Service Weitere Informationen zur SSE-S3-Verschlüsselung finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
****Wenn Sie die SSE-KMS-Verschlüsselung aktivieren, wählen Sie Neu oder Bestehend aus.**** AWS KMS key Geben Sie **AWS KMS unter Alias** einen Alias im Format an. `alias/` *MyAliasName* Weitere Informationen finden Sie unter[Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole](create-kms-key-policy-for-cloudtrail-update-trail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
**Anmerkung**
Sie können auch den ARN eines Schlüssels von einem anderen Konto eingeben. Weitere Informationen finden Sie unter [Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole](create-kms-key-policy-for-cloudtrail-update-trail.md). Die Schlüsselrichtlinie muss die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokoll- und Digest-Dateien ermöglichen und es den von Ihnen angegebenen Benutzern ermöglichen, Protokolldateien oder Digest-Dateien in unverschlüsselter Form zu lesen. CloudTrail Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter [Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Konfigurieren Sie unter **Zusätzliche Einstellungen** Folgendes.
1. Wähen Sie für **Protokolldateivalidierung** **Aktiviert**, damit Ihrem S3 Bucket Protokoll-Digests übermittelt werden. Sie können die Digest-Dateien verwenden, um zu überprüfen, ob sich Ihre Protokolldateien nach der Übermittlung nicht geändert haben. CloudTrail Weitere Informationen finden Sie unter [Überprüfen der Integrität der CloudTrail Protokolldatei](cloudtrail-log-file-validation-intro.md).
1. Wählen Sie für die **Zustellung von SNS-Benachrichtigungen** die **Option Aktiviert** aus, um jedes Mal benachrichtigt zu werden, wenn ein Protokoll an Ihren Bucket gesendet wird. CloudTrail speichert mehrere Ereignisse in einer Protokolldatei. SNS-Benachrichtigungen werden für jede Protokolldatei, nicht für jedes Ereignis gesendet. Weitere Informationen finden Sie unter [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](configure-sns-notifications-for-cloudtrail.md).
Wenn Sie SNS-Benachrichtigungen aktivieren, wählen Sie für **Neues SNS-Thema erstellen** die Option **Neu** aus, um ein Thema zu erstellen, oder wählen Sie **Vorhanden** aus, um ein vorhandenes Thema zu verwenden. Wenn Sie einen Trail mit mehreren Regionen erstellen, werden SNS-Benachrichtigungen für Protokolldateizustellungen aus allen aktivierten Regionen an das einzelne SNS-Thema gesendet, das Sie erstellen.
Wenn Sie „**Neu**“ wählen, CloudTrail geben Sie einen Namen für das neue Thema an, oder Sie können einen Namen eingeben. Wenn Sie **Vorhanden** wählen, wählen Sie ein SNS-Thema aus der Dropdown-Liste aus. Sie können auch den ARN eines Themas aus einer anderen Region oder aus einem Konto mit den entsprechenden Berechtigungen eingeben. Weitere Informationen finden Sie unter [Amazon SNS SNS-Themenrichtlinie für CloudTrail](cloudtrail-permissions-for-sns-notifications.md).
Wenn Sie ein Thema erstellen, müssen Sie das Thema abonnieren, um über die Zustellung von Protokolldateien benachrichtigt zu werden. Sie können das Abonnement von der Amazon-SNS-Konsole aus vornehmen. Aufgrund der Häufigkeit der Benachrichtigungen empfehlen wir, das Abonnement so zu konfigurieren, dass eine Amazon-SQS-Warteschlange zur programmgesteuerten Bearbeitung der Benachrichtigungen verwendet wird. Weitere Informationen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) im *Benutzerhandbuch für Amazon Simple Notification Service*.
1. Optional können Sie konfigurieren, CloudTrail dass Protokolldateien an CloudWatch Protokolle gesendet werden, indem Sie in **CloudWatch Protokollen** die **Option Aktiviert** auswählen. Weitere Informationen finden Sie unter [Ereignisse an CloudWatch Logs senden](send-cloudtrail-events-to-cloudwatch-logs.md).
1. Wenn Sie die Integration mit CloudWatch Logs aktivieren, wählen Sie **Neu**, um eine neue Protokollgruppe zu erstellen, oder **Existiert**, um eine bestehende zu verwenden. Wenn Sie „**Neu**“ wählen CloudTrail , geben Sie einen Namen für die neue Protokollgruppe an, oder Sie können einen Namen eingeben.
1. Wenn Sie **Vorhanden** wählen, wählen Sie eine Protokollgruppe aus der Dropdown-Liste aus.
1. Wählen Sie **Neu**, um eine neue IAM-Rolle für Berechtigungen zum Senden von Protokollen an Logs zu CloudWatch erstellen. Wählen Sie **Vorhanden**, um eine vorhandene IAM-Rolle aus der Dropdown-Liste auszuwählen. Die Richtlinienanweisung für die neue oder vorhandene Rolle wird angezeigt, wenn Sie das **Richtliniendokument** erweitern. Weitere Informationen über diese Rolle finden Sie unter [Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung](cloudtrail-required-policy-for-cloudwatch-logs.md).
**Anmerkung**
Beim Konfigurieren eines Trails können Sie einen S3 Bucket und ein SNS-Thema auswählen, die zu einem anderen Konto gehören. Wenn Sie jedoch Ereignisse CloudTrail an eine CloudWatch Logs-Protokollgruppe übermitteln möchten, müssen Sie eine Protokollgruppe auswählen, die in Ihrem aktuellen Konto vorhanden ist.
Nur das Verwaltungskonto kann mithilfe der Konsole eine CloudWatch Logs-Protokollgruppe für einen Organisations-Trail konfigurieren. Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe mithilfe der `UpdateTrail` API-Operationen AWS CLI oder CloudTrail `CreateTrail` oder konfigurieren.
1. Für **Tags** können Sie bis zu 50 Tag-Schlüsselpaare hinzufügen, um den Zugriff auf Ihren Trail zu identifizieren, zu sortieren und zu kontrollieren. Mithilfe von Tags können Sie sowohl Ihre CloudTrail Trails als auch die Amazon S3 S3-Buckets identifizieren, die CloudTrail Protokolldateien enthalten. Anschließend können Sie Ressourcengruppen für Ihre CloudTrail Ressourcen verwenden. Weitere Informationen erhalten Sie unter [AWS -Ressourcengruppen](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) und [Tags (Markierungen)](cloudtrail-concepts.md#cloudtrail-concepts-tags).
1. Wählen Sie auf der Seite **Protokollereignisse auswählen** die Ereignistypen aus, die Sie protokollieren möchten. Führen Sie unter **Management events (Verwaltungsereignisse)** die folgenden Schritte aus.
1. Wählen Sie für **API-Aktivität** aus, ob Ihr Trail **Lese**ereignisse, **Schreibe**reignisse oder beides protokollieren soll. Weitere Informationen finden Sie unter [Verwaltungsereignisse](logging-management-events-with-cloudtrail.md#logging-management-events).
1. Wähle ** AWS KMS Ereignisse ausschließen**, um Ereignisse aus deinem Trail herauszufiltern AWS Key Management Service (AWS KMS). Die Standardeinstellung ist, alle AWS KMS Ereignisse einzubeziehen.
Die Option, AWS KMS Ereignisse zu protokollieren oder auszuschließen, ist nur verfügbar, wenn Sie Verwaltungsereignisse protokollieren. Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
AWS KMS Aktionen wie `Encrypt``Decrypt`, und erzeugen `GenerateDataKey` in der Regel ein großes Volumen (mehr als 99%) von Ereignissen. Diese Aktionen werden nun als **Leseereignisse** protokolliert. Relevante AWS KMS Aktionen mit geringem Volumen wie `Disable``Delete`, und `ScheduleKey` (die in der Regel weniger als 0,5% des AWS KMS Ereignisvolumens ausmachen) werden als **Write-Ereignisse** protokolliert.
**Um Ereignisse mit hohem Volumen wie`Encrypt`, und auszuschließen `Decrypt``GenerateDataKey`, aber dennoch relevante Ereignisse wie, `Delete` und zu protokollieren `Disable``ScheduleKey`, wählen Sie die Option **Schreibverwaltungsereignisse** protokollieren und deaktivieren Sie das Kontrollkästchen für Ereignisse ausschließen. AWS KMS **
1. Klicken Sie auf **Amazon-RDS-Daten-API ausschließen** zum Filtern von Ereignissen der Amazon-Relational-Database-Service-Daten-API aus Ihrem Trail. Die Standardeinstellung besteht darin, alle Amazon-RDS-Daten-API-Ereignisse einzubeziehen. Weitere Informationen über die Amazon-RDS-Daten-API finden Sie unter [Protokollieren von Daten-API-Aufrufen mit AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) im*Amazon-RDS-Benutzerhandbuch für Aurora*.
1. Zum Protokollieren von Datenereignissen wählen Sie **Datenereignisse** aus. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).
1.
**Wichtig**
Die Schritte 12 bis 16 betreffen die Konfiguration von Datenereignissen mithilfe erweiterter Ereignisauswahlen, was die Standardeinstellung ist. Mit den erweiterten Event-Selektoren können Sie mehr [Ressourcentypen](logging-data-events-with-cloudtrail.md#logging-data-events) konfigurieren und genau steuern, welche Datenereignisse Ihr Trail erfasst. Wenn Sie sich für die Verwendung grundlegender Ereignisauswahlen entschieden haben, führen Sie die Schritte unter [Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen](#trail-data-events-basic-selectors) aus und fahren Sie anschließend mit Schritt 17 dieses Verfahrens fort.
Wählen Sie unter **Ressourcentyp** den Ressourcentyp aus, für den Sie Datenereignisse protokollieren möchten. Weitere Informationen zu verfügbaren Ressourcentypen finden Sie unter[Datenereignisse](logging-data-events-with-cloudtrail.md#logging-data-events).
1. Wählen Sie eine Protokoll-Selektorvorlage aus. Sie können eine vordefinierte Vorlage wählen oder **Benutzerdefiniert** wählen, um Ihre eigenen Bedingungen für die Erfassung von Veranstaltungen zu definieren.
Sie können aus den folgenden vordefinierten Vorlagen wählen:
+ **Alle Ereignisse protokollieren**: Wählen Sie diese Vorlage, um alle Ereignisse zu protokollieren.
+ **Nur Leseereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Leseereignisse zu protokollieren. Schreibgeschützte Ereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. Ereignisse `Get*` oder`Describe*`.
+ **Nur Schreibereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Schreibereignisse zu protokollieren. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse.
+ **Nur AWS-Managementkonsole Ereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Ereignisse zu protokollieren, die ihren Ursprung in haben AWS-Managementkonsole.
+ ** AWS-Service Ausgelöste Ereignisse ausschließen** — Wählen Sie diese Vorlage, um AWS-Service Ereignisse mit dem Wert `eventType` von und Ereignisse auszuschließen`AwsServiceEvent`, die mit AWS-Service-verknüpften Rollen initiiert wurden (SLRs).
**Anmerkung**
Wenn Sie eine vordefinierte Vorlage für S3-Buckets auswählen, wird die Protokollierung von Datenereignissen für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie erstellen, nachdem Sie die Erstellung des Trails abgeschlossen haben. Es ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM-Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl einer vordefinierten Vorlage, die alle S3 Buckets protokolliert, die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto protokolliert.
Wenn Sie einen Trail mit mehreren Regionen erstellen, aktiviert die Auswahl einer vordefinierten Vorlage für Lambda-Funktionen die Protokollierung von Datenereignissen für alle Funktionen, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM-Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
1. (Optional) Geben Sie unter **Selektorname** einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird als `Name` in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die **JSON-Ansicht** erweitern.
1. Wenn Sie **Benutzerdefiniert** ausgewählt haben, erstellen **Event-Selektoren unter Advanced** einen Ausdruck, der auf den Werten der erweiterten Event-Selektor-Felder basiert.
**Anmerkung**
Selektoren unterstützen nicht die Verwendung von Platzhaltern wie. `*` Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können Sie`StartsWith`,, oder verwenden `EndsWith``NotStartsWith`, `NotEndsWith` um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.
1. Wählen Sie aus den folgenden Feldern.
+ **`readOnly`**- `readOnly` kann so gesetzt werden, dass sie einem Wert von `true` oder **`false`entspricht**. Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. `Get*`- oder `Describe*`-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse. Um sowohl `read`- als auch `write`-Ereignisse zu protokollieren, fügen Sie keinen `readOnly`-Selektor hinzu.
+ **`eventName`** – `eventName` kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B. `PutBucket``GetItem`, oder`GetSnapshotBlock`.
+ **`eventSource`**— Die Ereignisquelle, die ein- oder ausgeschlossen werden soll. In diesem Feld kann ein beliebiger Operator verwendet werden.
+ **eventType**: der Ereignistyp, der ein- oder ausgeschlossen werden soll. Sie können dieses Feld beispielsweise auf „ungleich“ setzen, `AwsServiceEvent` um **es** auszuschließen[AWS-Service Ereignisse](non-api-aws-service-events.md). Eine Liste der Ereignistypen finden Sie [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)unter[CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md).
+ **sessionCredentialFromKonsole** — Ereignisse, die aus einer AWS-Managementkonsole Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf „**gleich**“ oder „ungleich**“ mit dem Wert von gesetzt** werden. `true`
+ **userIdentity.arn**: schließt Ereignisse für Aktionen bestimmter IAM-Identitäten ein oder aus. Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`resources.ARN`**- Sie können jeden Operator mit verwenden`resources.ARN`, aber wenn Sie **equals** oder **ungleich** verwenden, muss der Wert genau dem ARN einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert von `resources.type` angegeben haben.
**Anmerkung**
Sie können das `resources.ARN` Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall ist. ARNs
Weitere Informationen zu den ARN-Formaten von Datenereignisressourcen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der *Service Authorization Reference*.
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf **Resources.ARN** festlegen, den Operator für **beginnt nicht mit** festlegen und dann einen S3-Bucket-ARN einfügen, für den Sie keine Ereignisse protokollieren möchten.
Um den zweiten S3-Bucket hinzuzufügen, wählen Sie **\$1 Bedingung** und wiederholen Sie dann die vorherige Anweisung, indem Sie den ARN für einen anderen Bucket einfügen oder nach einem anderen Bucket suchen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. [Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet](filtering-data-events.md#filtering-data-events-conditions)
**Anmerkung**
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie `eventName` ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht an, dass ein ARN in einem Selektor einem Wert entspricht, und geben Sie dann an, dass der ARN in einem anderen Selektor nicht dem gleichen Wert entspricht.
1. Um einen weiteren Ressourcentyp für die Protokollierung von Datenereignissen hinzuzufügen, wählen Sie **Datenereignistyp hinzufügen**. Wiederholen Sie die Schritte 12 bis zu diesem Schritt, um erweiterte Ereignisauswahlen für den Ressourcentyp zu konfigurieren.
1. Um die Aggregation von Datenereignissen zu aktivieren, wählen Sie eine oder mehrere Aggregationsvorlagen aus. Diese Vorlagen definieren, wie Ihre Datenereignisse zusammengefasst werden. Sie können aus den folgenden Vorlagen wählen:
1. **API-Aktivität**, um 5-minütige Zusammenfassungen Ihrer Datenereignisse auf der Grundlage der getätigten API-Aufrufe zu erhalten. Verwenden Sie dies, um Ihre API-Nutzungsmuster, einschließlich Häufigkeit, Anrufer und Quelle, zu verstehen.
1. **Ressourcenzugriff**, um die Aktivitätsmuster auf Ihren AWS Ressourcen abzurufen. Anhand dieser Informationen können Sie nachvollziehen, wie auf Ihre AWS Ressourcen zugegriffen wird, wie oft innerhalb des 5-Minuten-Fensters auf sie zugegriffen wird, wer auf die Ressource zugreift und welche Aktionen ausgeführt werden.
1. **Benutzeraktionen**, um Aktivitätsmuster zu ermitteln, die auf IAM-Prinzipalen basieren, die API-Aufrufe in Ihrem Konto tätigen.
**Anmerkung**
Aggregationen gelten für alle Datenereignisse, die in Ihrem Trail gesammelt wurden.
1. Um Netzwerkaktivitätsereignisse zu protokollieren, wählen Sie **Netzwerkaktivitätsereignisse**. Netzwerkaktivitätsereignisse ermöglichen es VPC-Endpunktbesitzern, AWS API-Aufrufe aufzuzeichnen, die mit ihren VPC-Endpunkten von einer privaten VPC an die getätigt wurden. AWS-Service Für die Protokollierung von Netzwerkaktivitätsereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).
Gehen Sie wie folgt vor, um Netzwerkaktivitätsereignisse zu protokollieren:
1. Wählen Sie unter **Quelle für Netzwerkaktivitätsereignisse** die Quelle für Netzwerkaktivitätsereignisse aus.
1. Wählen Sie unter **Protokollselektorvorlage** eine Vorlage aus. Sie können wählen, ob alle Netzwerkaktivitätsereignisse, alle Ereignisse, bei denen der Zugriff verweigert wurde, protokolliert werden sollen, oder **Benutzerdefiniert** wählen, um eine benutzerdefinierte Protokollauswahl zu erstellen, die nach mehreren Feldern filtert, z. B. `eventName` und`vpcEndpointId`.
1. (Optional) Geben Sie einen Namen ein, um den Selektor zu identifizieren. **Der Name des Selektors wird in der erweiterten Ereignisauswahl als **Name** aufgeführt und ist sichtbar, wenn Sie die JSON-Ansicht erweitern.**
1. **In **Advanced erstellen Event-Selektoren** Ausdrücke, indem sie Werte für **Feld**, **Operator** und Wert auswählen.** Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.
1. Um Netzwerkaktivitätsereignisse auszuschließen oder einzubeziehen, können Sie in der Konsole aus den folgenden Feldern wählen.
+ **`eventName`**— Sie können jeden Operator mit verwenden`eventName`. Sie können ihn verwenden, um jedes Ereignis ein- oder auszuschließen, `CreateKey` z.
+ **`errorCode`**— Sie können es verwenden, um nach einem Fehlercode zu filtern. Derzeit wird nur Folgendes unterstützt`errorCode`:`VpceAccessDenied`.
+ **`vpcEndpointId`**— Identifiziert den VPC-Endpunkt, den der Vorgang durchlaufen hat. Sie können einen beliebigen Operator mit `vpcEndpointId` verwenden.
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.
1. Um eine weitere Ereignisquelle hinzuzufügen, für die Sie Netzwerkaktivitätsereignisse protokollieren möchten, wählen Sie „**Netzwerkaktivitätsereignisauswahl hinzufügen**“.
1. Erweitern Sie optional die **JSON-Ansicht**, um Ihre erweiterten Ereignisselektoren als JSON-Block anzuzeigen.
1. Wählen Sie **Insights-Ereignisse**, wenn Ihr Trail CloudTrail Insights-Ereignisse protokollieren soll.
Wählen Sie unter **Ereignistyp** **Insights-Ereignisse** aus. Sie müssen **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Aufrufrate** zu protokollieren. Sie müssen **Lese**- und **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Fehlerrate** zu protokollieren.
CloudTrail Insights analysiert Verwaltungsereignisse auf ungewöhnliche Aktivitäten und protokolliert Ereignisse, wenn Anomalien festgestellt werden. Standardmäßig werden für Trails keine Insights-Ereignisse protokolliert. Weitere Informationen zu Insights-Ereignissen erhalten Sie unter [Mit CloudTrail Insights arbeiten](logging-insights-events-with-cloudtrail.md). Für die Protokollierung von Insights-Ereignissen fallen zusätzliche Gebühren an. [Preisinformationen finden Sie unter CloudTrail AWS CloudTrail Preisgestaltung.](https://aws.amazon.com/cloudtrail/pricing/)
Insights-Ereignisse werden in einen anderen Ordner übertragen, `/CloudTrail-Insight` der nach demselben S3-Bucket benannt ist, der auf der Seite mit den Trail-Details im Bereich **Speicherort** angegeben ist. CloudTrailerstellt das neue Präfix für Sie. Wenn beispielsweise Ihr aktueller S3-Ziel-Bucket den Namen `amzn-s3-demo-bucket/AWSLogs/CloudTrail/` hat, lautet der Name mit dem Präfix als Zusatz `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`.
1. Wenn Sie die Auswahl der zu protokollierenden Ereignistypen abgeschlossen haben, wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** in einem Abschnitt, um die in diesem Abschnitt angezeigten Trail-Einstellungen zu ändern. Wenn Sie bereit sind, den Trail zu erstellen, wählen Sie **Trail erstellen**.
1. Der neue Trail wird auf der Seite **Trails** angezeigt. Veröffentlicht in etwa 5 Minuten Protokolldateien CloudTrail , in denen die AWS API-Aufrufe aufgeführt sind, die in Ihrem Konto getätigt wurden. Sie können die Protokolldateien in dem von Ihnen angegebenen S3-Bucket anzeigen.
Wenn Sie Insights-Ereignisse für einen Trail aktiviert haben, CloudTrail kann es bis zu 36 Stunden dauern, bis mit der Übermittlung dieser Ereignisse begonnen wird, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.
**Anmerkung**
CloudTrail übermittelt Protokolle in der Regel innerhalb von durchschnittlich etwa 5 Minuten nach einem API-Aufruf. Diese Zeit ist nicht garantiert. Weitere Informationen finden Sie unter [AWS CloudTrail Service Level Agreement](https://aws.amazon.com/cloudtrail/sla).
Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), CloudTrail wird versucht, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen. Für diese attempted-to-deliver Ereignisse fallen Standardgebühren an. CloudTrail Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.
### Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen
Sie können erweiterte Event-Selektoren verwenden, um alle Datenereignistypen sowie Netzwerkaktivitätsereignisse zu konfigurieren. Mithilfe erweiterter Event-Selektoren können Sie detaillierte Selektoren erstellen, um nur die Ereignisse zu protokollieren, die für Sie von Interesse sind.
Wenn Sie grundlegende Event-Selektoren verwenden, um Datenereignisse zu protokollieren, sind Sie darauf beschränkt, Datenereignisse für Amazon S3 S3-Buckets, AWS Lambda Funktionen und Amazon DynamoDB-Tabellen zu protokollieren. Sie können das `eventName` Feld nicht mit einfachen Event-Selektoren filtern. Sie können auch keine [Netzwerkaktivitätsereignisse](logging-network-events-with-cloudtrail.md) protokollieren.
![\[Grundlegende Ereignisauswahlen für Datenereignisse in einem Trail\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)
Führen Sie die folgenden Schritte aus, um Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen zu konfigurieren.
**Konfigurieren von Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen**
1. Wählen Sie unter **Ereignisse** die Option **Datenereignisse** aus, um Datenereignisse zu protokollieren. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).
1. Für Amazon-S3-Buckets:
1. Wählen Sie für **Daten-Ereignissquelle** **S3** aus.
1. Sie können wählen, ob Sie **alle aktuellen und zukünftigen S3 Buckets** protokollieren oder einzelne Buckets oder Funktionen angeben möchten. Standardmäßig werden Datenereignisse für alle aktuellen und zukünftigen S3 Buckets protokolliert.
**Anmerkung**
Wenn Sie die Standardoption **Alle aktuellen und future S3-Buckets** beibehalten, wird die Datenereignisprotokollierung für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie erstellen, nachdem Sie den Trail erstellt haben. Sie ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM-Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert die Auswahl von **Alle aktuellen und future S3-Buckets** die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und für alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto protokolliert.
1. Wenn Sie die Standardeinstellung **Alle aktuellen und zukünftigen S3 Buckets** beibehalten, können Sie **Lese**ereignisse, **Schreib**ereignisse oder beides protokollieren.
1. Um einzelne Buckets auszuwählen, leeren Sie die Kontrollkästchen **Lesen** und **Schreiben** für **Alle aktuellen und zukünftigen S3 Buckets**. Suchen Sie unter **Individuelle Bucket-Auswahl** nach einem Bucket, in dem Datenereignisse protokolliert werden sollen. Suchen Sie nach bestimmten Buckets, indem Sie ein Bucket-Präfix für den gewünschten Bucket eingeben. Sie können in diesem Fenster mehrere Buckets auswählen. Wählen Sie **Bucket hinzufügen**, um Datenereignisse für weitere Buckets zu protokollieren. Wählen Sie, ob Sie **Read (Lesen)**-Ereignisse wie `GetObject`, **Write (Schreiben)**-Ereignisse wie `PutObject` oder Ereignisse beider Typen protokolliert werden sollen.
Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Buckets konfigurieren. Wenn Sie beispielsweise die Protokollierung von **Lese**-Ereignissen für alle S3-Buckets festlegen und dann einen bestimmten Bucket für die Protokollierung von Datenereignissen hinzufügen, ist für den hinzugefügten Bucket bereits **Lesen** ausgewählt. Sie können die Auswahl nicht löschen. Sie können die Option nur für **Write** (Schreiben) konfigurieren.
Um einen Bucket aus der Protokollierung zu entfernen, wählen Sie **X** aus.
1. Um einen weiteren Ressourcentyp hinzuzufügen, auf dem Datenereignisse protokolliert werden sollen, wählen Sie **Datenereignistyp hinzufügen**.
1. Für Lambda-Funktionen:
1. Wählen Sie für **Daten-Ereignissquelle** **Lambda** aus.
1. Wählen Sie in der **Lambda-Funktion** **Alle Regionen** aus, um alle Lambda-Funktionen zu protokollieren, oder **Eingabefunktion als ARN**, um Datenereignisse für eine bestimmte Funktion zu protokollieren.
Um Datenereignisse für alle Lambda-Funktionen in Ihrem AWS Konto zu protokollieren, wählen Sie **Alle aktuellen und future Funktionen protokollieren** aus. Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Funktionen vornehmen. Alle Funktionen werden protokolliert, auch wenn nicht alle Funktionen angezeigt werden.
**Anmerkung**
Wenn Sie einen Trail mit mehreren Regionen erstellen, aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einer beliebigen IAM-Identität in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
1. Wenn Sie **Eingabefunktion als ARN** wählen, geben Sie den ARN einer Lambda-Funktion ein.
**Anmerkung**
Wenn Sie mehr als 15.000 Lambda-Funktionen in Ihrem Konto haben, können Sie beim Erstellen eines Trails nicht alle Funktionen in der CloudTrail Konsole anzeigen oder auswählen. Sie können weiterhin die Option wählen, alle Funktionen zu protokollieren, auch wenn sie nicht angezeigt werden. Wenn Sie Datenereignisse für bestimmte Funktionen protokollieren möchten, können Sie eine Funktion manuell hinzufügen, wenn Sie deren ARN kennen. Sie können die Erstellung des Trails auch in der Konsole abschließen und dann den Befehl AWS CLI und den **put-event-selectors** Befehl verwenden, um die Datenereignisprotokollierung für bestimmte Lambda-Funktionen zu konfigurieren. Weitere Informationen finden Sie unter [Verwaltung von Wanderwegen mit dem AWS CLI](cloudtrail-additional-cli-commands.md).
1. Für DynamoDB-Tabellen:
1. Wählen Sie für **Daten-Ereignissquelle** **DynamoDB** aus.
1. Wählen Sie unter **DynamoDB table selection** (DynamoDB-Tabellenauswahl) die Option **Browse** (Durchsuchen), um eine Tabelle auszuwählen, oder fügen Sie den ARN einer DynamoDB-Tabelle ein, auf die Sie Zugriff haben. Ein DynamoDB-Tabellen-ARN verwendet das folgende Format:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
Um eine weitere Tabelle hinzuzufügen, wählen Sie **Add row** (Zeile hinzufügen) und suchen Sie nach einer Tabelle oder fügen Sie den ARN einer Tabelle ein, auf die Sie Zugriff haben.
1. Um Insights-Ereignisse und andere Einstellungen für Ihren Trail zu konfigurieren, kehren Sie zum vorherigen Verfahren in diesem Thema zurück, [Einen Trail mit der Konsole erstellen](#creating-a-trail-in-the-console).
## Nächste Schritte
Nach der Trail-Erstellung können Sie zu dem Trail zurückkehren, um Änderungen vorzunehmen:
+ Falls Sie dies noch nicht getan haben, können Sie so konfigurieren, CloudTrail dass Protokolldateien an CloudWatch Logs gesendet werden. Weitere Informationen finden Sie unter [Ereignisse an CloudWatch Logs senden](send-cloudtrail-events-to-cloudwatch-logs.md).
+ Erstellen Sie eine Tabelle zur Ausführung einer Abfrage in Amazon Athena, um die AWS -Service-Aktivitäten zu analysieren. Weitere Informationen finden Sie unter [Erstellen einer Tabelle für CloudTrail Protokolle in der CloudTrail Konsole](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct) im [Amazon Athena Athena-Benutzerhandbuch](https://docs.aws.amazon.com/athena/latest/ug/).
+ Fügen Sie benutzerdefinierte Tags (Schlüssel-Wert-Paare) zum Trail hinzu.
+ Um einen weiteren Trail zu erstellen, öffnen Sie die Seite **Trails** und wählen Sie **Trail erstellen** aus.
# Einen Trail mit der CloudTrail Konsole aktualisieren
In diesem Abschnitt wird beschrieben, wie Sie die Trail-Einstellungen ändern.
Um einen Trail mit einer Region in einen Trail mit mehreren Regionen umzuwandeln oder einen Trail mit mehreren Regionen zu aktualisieren, sodass Ereignisse nur in einer einzigen Region protokolliert werden, müssen Sie den verwenden. AWS CLI Weitere Informationen darüber, wie Sie einen Trail mit einer Region in einen Trail mit mehreren Regionen konvertieren können, finden Sie unter. [Umwandlung eines Trails mit einer einzelnen Region in einen Trail mit mehreren Regionen](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert) Weitere Informationen darüber, wie Sie einen Trail mit mehreren Regionen aktualisieren, um Ereignisse in einer einzelnen Region zu protokollieren, finden Sie unter. [Umwandeln eines multiregionalen Trails in einen Trail für eine einzelne Region](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)
Wenn Sie CloudTrail Verwaltungsereignisse in Amazon Security Lake aktiviert haben, müssen Sie mindestens einen organisatorischen Pfad verwalten, der mehrere Regionen umfasst `read` und sowohl Verwaltungsereignisse als auch `write` Verwaltungsereignisse protokolliert. Sie können einen relevanten Trail nicht so aktualisieren, dass er gegen die Security-Lake-Anforderungen verstößt, beispielsweise, indem Sie den Trail zu einem Trail für einzelne Regionen ändern oder indem Sie die Protokollierung von `read`- oder `write`-Verwaltungsereignissen deaktivieren.
**Anmerkung**
CloudTrail aktualisiert die Organisationspfade in Mitgliedskonten, auch wenn eine Ressourcenvalidierung fehlschlägt. Zu den Beispielen für fehlgeschlagene Überprüfungen gehören:
eine falsche Amazon S3 S3-Bucket-Richtlinie
eine falsche Amazon SNS SNS-Themenrichtlinie
Unfähigkeit, an eine CloudWatch Logs-Protokollgruppe zu liefern
unzureichende Rechte zum Verschlüsseln mit einem KMS-Schlüssel
Ein Mitgliedskonto mit CloudTrail Berechtigungen kann alle Validierungsfehler für einen Organisationspfad anzeigen, indem es die Detailseite des Trails in der CloudTrail Konsole aufruft oder den AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)Befehl ausführt.
**Um einen Trail mit dem zu aktualisieren AWS-Managementkonsole**
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich die Option **Trails** und dann den Namen des Pfades aus.
1. Wählen Sie unter **Allgemeine Details** **Bearbeiten** aus, um die folgenden Einstellungen zu ändern. Sie können den Namen eines Trails nicht ändern.
+ **Trail auf meine Organisation anwenden** — Ändern Sie, ob es sich bei diesem Trail um einen AWS Organizations Organisations-Trail handelt.
**Anmerkung**
Nur das Verwaltungskonto der Organisation kann einen Organisations-Trail in einen Nicht-Organisations-Trail und einen Nicht-Organisations-Trail in einen Organisations-Trail umwandeln.
+ **Ort des Trail-Protokolls** – Ändern Sie den Namen des S3 Buckets oder das Präfix, in dem Sie Protokolle für diesen Trail speichern.
+ **SSE-KMS-Verschlüsselung der Protokolldatei** – Aktivieren oder deaktivieren Sie die Verschlüsselung von Protokolldateien mit SSE-KMS anstelle von SSE-S3.
+ **Protokolldateivalidierung** – Aktivieren oder deaktivieren Sie die Validierung der Integrität von Protokolldateien.
+ **Zustellung von SNS-Benachrichtigungen** – Aktivieren oder deaktivieren Sie die Benachrichtigungen des Amazon Simple Notification Service (Amazon SNS), dass Protokolldateien an den für den Trail angegebenen Bucket zugestellt wurden.
1. Um den Trail in einen AWS Organizations Organizationspfad umzuwandeln, können Sie den Trail für alle Accounts in Ihrer Organisation aktivieren. Weitere Informationen finden Sie unter [Erstellen eines Trails für eine Organisation](creating-trail-organization.md).
1. Um den angegebenen Bucket im **Speicherort** zu ändern, wählen Sie **Neuen S3 Bucket erstellen**, um einen Bucket zu erstellen. Wenn Sie einen Bucket erstellen, werden die erforderlichen Bucket-Richtlinien CloudTrail erstellt und angewendet. Wenn Sie sich dafür entscheiden, einen neuen S3-Bucket zu erstellen, muss Ihre IAM-Richtlinie die Genehmigung für die `s3:PutEncryptionConfiguration` Aktion enthalten, da die serverseitige Verschlüsselung standardmäßig für den Bucket aktiviert ist.
**Anmerkung**
Wenn Sie **Vorhandenen S3 Bucket verwenden** ausgewählt haben, geben Sie einen Bucket im **Namen des Trail-Protokoll-Buckets** an oder wählen Sie **Durchsuchen**, um einen Bucket auszuwählen. Die Bucket-Richtlinie muss die CloudTrail Schreibberechtigung für den Bucket gewähren. Informationen zur manuellen Bearbeitung der Bucket-Richtlinie finden Sie im Abschnitt [Amazon S3 S3-Bucket-Richtlinie für CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Um das Auffinden Ihrer Logs zu erleichtern, erstellen Sie in einem vorhandenen Bucket einen neuen Ordner (auch als *Präfix* bezeichnet), um Ihre CloudTrail Logs zu speichern. Geben Sie das Präfix in **Präfix** ein.
1. Wählen Sie für die **SSE-KMS-Verschlüsselung für Protokolldateien** die **Option Aktiviert** aus, wenn Sie Ihre Protokolldateien und Digest-Dateien mit der SSE-KMS-Verschlüsselung anstelle der SSE-S3-Verschlüsselung verschlüsseln möchten. Der Standard ist **aktiviert**. Wenn Sie die SSE-KMS-Verschlüsselung nicht aktivieren, werden Ihre Protokolldateien und Digest-Dateien mit der SSE-S3-Verschlüsselung verschlüsselt. Weitere Informationen zur SSE-KMS-Verschlüsselung finden Sie unter Verwenden der serverseitigen Verschlüsselung [mit](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) (SSE-KMS). AWS Key Management Service Weitere Informationen zur SSE-S3-Verschlüsselung finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
****Wenn Sie die SSE-KMS-Verschlüsselung aktivieren, wählen Sie Neu oder Bestehend aus.**** AWS KMS key Geben Sie **AWS KMS unter Alias** einen Alias im Format an. `alias/` *MyAliasName* Weitere Informationen finden Sie unter[Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole](create-kms-key-policy-for-cloudtrail-update-trail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
**Anmerkung**
Sie können auch den ARN eines Schlüssels von einem anderen Konto eingeben. Weitere Informationen finden Sie unter [Aktualisierung einer Ressource zur Verwendung Ihres KMS-Schlüssels mit der Konsole](create-kms-key-policy-for-cloudtrail-update-trail.md). Die Schlüsselrichtlinie muss die Verwendung des Schlüssels zum Verschlüsseln Ihrer Protokoll- und Digest-Dateien ermöglichen und es den von Ihnen angegebenen Benutzern ermöglichen, Protokolldateien oder Digest-Dateien in unverschlüsselter Form zu lesen. CloudTrail Informationen zur manuellen Bearbeitung der Schlüsselrichtlinie finden Sie unter [Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md).
1. Wähen Sie für **Protokolldateivalidierung** **Aktiviert**, damit Ihrem S3 Bucket Protokoll-Digests übermittelt werden. Sie können die Digest-Dateien verwenden, um zu überprüfen, ob sich Ihre Protokolldateien nach der Übermittlung nicht geändert haben. CloudTrail Weitere Informationen finden Sie unter [Überprüfen der Integrität der CloudTrail Protokolldatei](cloudtrail-log-file-validation-intro.md).
1. Wählen Sie für die **Zustellung von SNS-Benachrichtigungen** die **Option Aktiviert** aus, um jedes Mal benachrichtigt zu werden, wenn ein Protokoll an Ihren Bucket gesendet wird. CloudTrail speichert mehrere Ereignisse in einer Protokolldatei. SNS-Benachrichtigungen werden für jede Protokolldatei, nicht für jedes Ereignis gesendet. Weitere Informationen finden Sie unter [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](configure-sns-notifications-for-cloudtrail.md).
Wenn Sie SNS-Benachrichtigungen aktivieren, wählen Sie für **Neues SNS-Thema erstellen** die Option **Neu** aus, um ein Thema zu erstellen, oder wählen Sie **Vorhanden** aus, um ein vorhandenes Thema zu verwenden. Wenn Sie einen regionsübergreifenden Trail erstellen, werden SNS-Benachrichtigungen für Protokolldateizustellungen aus allen aktivierten Regionen an das einzelne SNS-Thema gesendet, das Sie erstellen.
Wenn Sie „**Neu**“ wählen, CloudTrail geben Sie einen Namen für das neue Thema an, oder Sie können einen Namen eingeben. Wenn Sie **Vorhanden** wählen, wählen Sie ein SNS-Thema aus der Dropdown-Liste aus. Sie können auch den ARN eines Themas aus einer anderen Region oder aus einem Konto mit den entsprechenden Berechtigungen eingeben. Weitere Informationen finden Sie unter [Amazon SNS SNS-Themenrichtlinie für CloudTrail](cloudtrail-permissions-for-sns-notifications.md).
Wenn Sie ein Thema erstellen, müssen Sie das Thema abonnieren, um über die Zustellung von Protokolldateien benachrichtigt zu werden. Sie können das Abonnement von der Amazon-SNS-Konsole aus vornehmen. Aufgrund der Häufigkeit der Benachrichtigungen empfehlen wir, das Abonnement so zu konfigurieren, dass eine Amazon-SQS-Warteschlange zur programmgesteuerten Bearbeitung der Benachrichtigungen verwendet wird. Weitere Informationen finden Sie unter [Erste Schritte mit Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) im *Benutzerhandbuch für Amazon Simple Notification Service*.
1. Wählen Sie unter **CloudWatch Logs** die Option **Bearbeiten** aus, um die Einstellungen für das Senden von CloudTrail Logdateien an CloudWatch Logs zu ändern. Wählen Sie unter **CloudWatch Logs** die **Option Aktiviert** aus, um das Senden von Protokolldateien zu aktivieren. Weitere Informationen finden Sie unter [Ereignisse an CloudWatch Logs senden](send-cloudtrail-events-to-cloudwatch-logs.md).
1. Wenn Sie die Integration mit CloudWatch Logs aktivieren, wählen Sie **Neu**, um eine neue Protokollgruppe zu erstellen, oder **Existierend**, um eine bestehende zu verwenden. Wenn Sie „**Neu**“ wählen CloudTrail , geben Sie einen Namen für die neue Protokollgruppe an, oder Sie können einen Namen eingeben.
1. Wenn Sie **Vorhanden** wählen, wählen Sie eine Protokollgruppe aus der Dropdown-Liste aus.
1. Wählen Sie **Neu**, um eine neue IAM-Rolle für Berechtigungen zum Senden von Protokollen an Logs zu CloudWatch erstellen. Wählen Sie **Vorhanden**, um eine vorhandene IAM-Rolle aus der Dropdown-Liste auszuwählen. Die Richtlinienanweisung für die neue oder vorhandene Rolle wird angezeigt, wenn Sie das **Richtliniendokument** erweitern. Weitere Informationen über diese Rolle finden Sie unter [Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung](cloudtrail-required-policy-for-cloudwatch-logs.md).
**Anmerkung**
Beim Konfigurieren eines Trails können Sie einen S3 Bucket und ein SNS-Thema auswählen, die zu einem anderen Konto gehören. Wenn Sie jedoch Ereignisse CloudTrail an eine CloudWatch Logs-Protokollgruppe übermitteln möchten, müssen Sie eine Protokollgruppe auswählen, die in Ihrem aktuellen Konto vorhanden ist.
Nur das Verwaltungskonto kann mithilfe der Konsole eine CloudWatch Logs-Protokollgruppe für einen Organisations-Trail konfigurieren. Der delegierte Administrator kann eine CloudWatch Logs-Protokollgruppe mithilfe der `UpdateTrail` API-Operationen AWS CLI oder CloudTrail `CreateTrail` oder konfigurieren.
1. Wählen Sie unter **Tags** **Bearbeiten** aus, um Tags auf dem Trail zu ändern, hinzuzufügen oder zu löschen. Sie können bis zu 50 Tag-Schlüsselpaare hinzufügen, um den Zugriff auf Ihren Trail zu identifizieren, zu sortieren und zu kontrollieren. Mithilfe von Tags können Sie sowohl Ihre CloudTrail Trails als auch die Amazon S3 S3-Buckets identifizieren, die CloudTrail Protokolldateien enthalten. Anschließend können Sie Ressourcengruppen für Ihre CloudTrail Ressourcen verwenden. Weitere Informationen erhalten Sie unter [AWS -Ressourcengruppen](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) und [Tags (Markierungen)](cloudtrail-concepts.md#cloudtrail-concepts-tags).
1. Wählen Sie unter **Verwaltungsereignisse** die Option **Bearbeiten** aus, um die Protokollierungseinstellungen für Verwaltungsereignisse zu ändern.
1. Wählen Sie für **API-Aktivität** aus, ob Ihr Trail **Lese**ereignisse, **Schreibe**reignisse oder beides protokollieren soll. Weitere Informationen finden Sie unter [Verwaltungsereignisse](logging-management-events-with-cloudtrail.md#logging-management-events).
1. Wählen Sie ** AWS KMS Ereignisse ausschließen**, um Ereignisse aus Ihrem Trail herauszufiltern AWS Key Management Service (AWS KMS). Die Standardeinstellung besteht darin, alle AWS KMS -Ereignissen einzuschließen.
Die Option, AWS KMS Ereignisse zu protokollieren oder auszuschließen, ist nur verfügbar, wenn Sie Verwaltungsereignisse auf Ihrem Trail protokollieren. Wenn Sie sich dafür entscheiden, Verwaltungsereignisse nicht zu protokollieren, werden AWS KMS Ereignisse nicht protokolliert, und Sie können die Einstellungen für die AWS KMS Ereignisprotokollierung nicht ändern.
AWS KMS Aktionen wie `Encrypt``Decrypt`, und erzeugen `GenerateDataKey` in der Regel ein großes Volumen (mehr als 99%) von Ereignissen. Diese Aktionen werden nun als **Leseereignisse** protokolliert. Relevante AWS KMS Aktionen mit geringem Volumen wie `Disable``Delete`, und `ScheduleKey` (die in der Regel weniger als 0,5% des AWS KMS Ereignisvolumens ausmachen) werden als **Write-Ereignisse** protokolliert.
Um Ereignisse mit hohem Volume wie `Encrypt`, `Decrypt` und `GenerateDataKey` auszuschließen, aber dennoch relevante Ereignisse wie `Disable`, `Delete` und `ScheduleKey` zu protokollieren, wählen Sie **Schreib**verwaltungsereignisse protokollieren und deaktivieren Sie das Kontrollkästchen für ** AWS KMS -Ereignisse ausschließen**.
1. Klicken Sie auf **Amazon-RDS-Daten-API ausschließen** zum Filtern von Ereignissen der Amazon-Relational-Database-Service-Daten-API aus Ihrem Trail. Die Standardeinstellung besteht darin, alle Amazon-RDS-Daten-API-Ereignisse einzubeziehen. Weitere Informationen über die Amazon-RDS-Daten-API finden Sie unter [Protokollieren von Daten-API-Aufrufen mit AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) im*Amazon-RDS-Benutzerhandbuch für Aurora*.
1.
**Wichtig**
Die Schritte 7 bis 11 betreffen die Konfiguration von Datenereignissen mithilfe erweiterter Ereignisauswahlfunktionen, was die Standardeinstellung ist. Mithilfe erweiterter Ereignisauswahlen können Sie mehr [Datenereignistypen](logging-data-events-with-cloudtrail.md#logging-data-events) konfigurieren und genau steuern, welche Datenereignisse in Ihrem Trail erfasst werden. Wenn Sie Netzwerkaktivitätsereignisse protokollieren möchten, müssen Sie erweiterte Ereignisauswahlfunktionen verwenden. Wenn Sie bereits erweiterte Ereignisauswahlen verwenden, lesen Sie [Aktualisieren von Datenereigniseinstellungen mit grundlegenden Ereignisauswahlen](#cloudtrail-update-basic-event-selectors-console) und machen Sie dann bei Schritt 12 dieses Verfahrens weiter.
Wählen Sie unter **Datenereignisse** **Bearbeiten** aus, um die Einstellungen für die Datenereignisprotokollierung zu ändern. Standardmäßig werden Datenereignisse nicht von den Trails protokolliert. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Informationen zu CloudTrail-Preisen finden Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).
Wählen Sie unter **Ressourcentyp** den Ressourcentyp aus, für den Sie Datenereignisse protokollieren möchten. Weitere Informationen zu verfügbaren Ressourcentypen finden Sie unter[Datenereignisse](logging-data-events-with-cloudtrail.md#logging-data-events).
1. Wählen Sie eine Protokoll-Selektorvorlage aus. Sie können eine vordefinierte Vorlage wählen oder **Benutzerdefiniert** wählen, um Ihre eigenen Bedingungen für die Erfassung von Veranstaltungen zu definieren.
Sie können aus den folgenden vordefinierten Vorlagen wählen:
+ **Alle Ereignisse protokollieren**: Wählen Sie diese Vorlage, um alle Ereignisse zu protokollieren.
+ **Nur Leseereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Leseereignisse zu protokollieren. Schreibgeschützte Ereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. Ereignisse `Get*` oder`Describe*`.
+ **Nur Schreibereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Schreibereignisse zu protokollieren. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse.
+ **Nur AWS-Managementkonsole Ereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Ereignisse zu protokollieren, die ihren Ursprung in haben AWS-Managementkonsole.
+ ** AWS-Service Ausgelöste Ereignisse ausschließen** — Wählen Sie diese Vorlage, um AWS-Service Ereignisse mit dem Wert „Von“ und Ereignisse`AwsServiceEvent`, die mit AWS-Service-verknüpften Rollen (SLRs) initiiert wurden, auszuschließen. `eventType`
**Anmerkung**
Wenn Sie eine vordefinierte Vorlage für S3-Buckets auswählen, wird die Protokollierung von Datenereignissen für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie erstellen, nachdem Sie die Erstellung des Trails abgeschlossen haben. Es ermöglicht auch die Protokollierung der Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl einer vordefinierten Vorlage, die alle S3 Buckets protokolliert, die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Protokolldatenereignisse für Amazon-S3-Buckets in anderen Regionen in Ihrem AWS -Konto protokolliert.
Wenn Sie einen Trail mit mehreren Regionen erstellen, ermöglicht die Auswahl einer vordefinierten Vorlage für Lambda-Funktionen die Protokollierung von Datenereignissen für alle Funktionen, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
1. (Optional) Geben Sie unter **Selektorname** einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird als `Name` in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die **JSON-Ansicht** erweitern.
1. Wenn Sie **Benutzerdefiniert** ausgewählt haben, erstellen **Event-Selektoren unter Advanced** einen Ausdruck, der auf den Werten der erweiterten Event-Selektor-Felder basiert.
**Anmerkung**
Selektoren unterstützen nicht die Verwendung von Platzhaltern wie. `*` Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können Sie`StartsWith`,, oder verwenden `EndsWith``NotStartsWith`, `NotEndsWith` um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.
1. Wählen Sie aus den folgenden Feldern.
+ **`readOnly`**- `readOnly` kann so gesetzt werden, dass sie einem Wert von `true` oder **`false`entspricht**. Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. `Get*`- oder `Describe*`-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse. Um sowohl `read`- als auch `write`-Ereignisse zu protokollieren, fügen Sie keinen `readOnly`-Selektor hinzu.
+ **`eventName`** – `eventName` kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B. `PutBucket``GetItem`, oder`GetSnapshotBlock`.
+ **`eventSource`**— Die Ereignisquelle, die ein- oder ausgeschlossen werden soll. In diesem Feld kann ein beliebiger Operator verwendet werden.
+ **eventType**: der Ereignistyp, der ein- oder ausgeschlossen werden soll. Sie können dieses Feld beispielsweise auf „ungleich“ setzen, `AwsServiceEvent` um **es** auszuschließen[AWS-Service Ereignisse](non-api-aws-service-events.md). Eine Liste der Ereignistypen finden Sie [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)unter[CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md).
+ **sessionCredentialFromKonsole** — Ereignisse, die aus einer AWS-Managementkonsole Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf „**gleich**“ oder „ungleich**“ mit dem Wert von gesetzt** werden. `true`
+ **userIdentity.arn**: schließt Ereignisse für Aktionen bestimmter IAM-Identitäten ein oder aus. Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`resources.ARN`**- Sie können jeden Operator mit verwenden`resources.ARN`, aber wenn Sie **equals** oder **ungleich** verwenden, muss der Wert genau dem ARN einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert von `resources.type` angegeben haben.
**Anmerkung**
Sie können das `resources.ARN` Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall ist. ARNs
Weitere Informationen zu den ARN-Formaten von Datenereignisressourcen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der *Service Authorization Reference*.
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf **Resources.ARN** festlegen, den Operator für **beginnt nicht mit** festlegen und dann einen S3-Bucket-ARN einfügen, für den Sie keine Ereignisse protokollieren möchten.
Um den zweiten S3-Bucket hinzuzufügen, wählen Sie **\$1 Bedingung** und wiederholen Sie dann die vorherige Anweisung, indem Sie den ARN für einen anderen Bucket einfügen oder nach einem anderen Bucket suchen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. [Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet](filtering-data-events.md#filtering-data-events-conditions)
**Anmerkung**
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie `eventName` ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht an, dass ein ARN in einem Selektor einem Wert entspricht, und geben Sie dann an, dass der ARN in einem anderen Selektor nicht dem gleichen Wert entspricht.
1. Um einen weiteren Ressourcentyp für die Protokollierung von Datenereignissen hinzuzufügen, wählen Sie **Datenereignistyp hinzufügen**. Wiederholen Sie die Schritte 3 bis zu diesem Schritt, um erweiterte Ereignisauswahlen für den Ressourcentyp zu konfigurieren.
1. Wählen Sie unter **Netzwerkaktivitätsereignisse** die Option **Bearbeiten** aus, um die Einstellungen für die Protokollierung von Netzwerkaktivitätsereignissen zu ändern. Standardmäßig protokollieren Trails keine Netzwerkaktivitätsereignisse. Für die Protokollierung von Netzwerkaktivitätsereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).
Gehen Sie wie folgt vor, um Netzwerkaktivitätsereignisse zu protokollieren:
1. Wählen Sie unter **Quelle für Netzwerkaktivitätsereignisse** die Quelle für Netzwerkaktivitätsereignisse aus.
1. Wählen Sie unter **Protokollselektorvorlage** eine Vorlage aus. Sie können wählen, ob alle Netzwerkaktivitätsereignisse, alle Ereignisse, bei denen der Zugriff verweigert wurde, protokolliert werden sollen, oder **Benutzerdefiniert** wählen, um eine benutzerdefinierte Protokollauswahl zu erstellen, die nach mehreren Feldern filtert, z. B. `eventName` und`vpcEndpointId`.
1. (Optional) Geben Sie einen Namen ein, um den Selektor zu identifizieren. **Der Name des Selektors wird in der erweiterten Ereignisauswahl als **Name** aufgeführt und ist sichtbar, wenn Sie die JSON-Ansicht erweitern.**
1. **In **Advanced erstellen Event-Selektoren** Ausdrücke, indem sie Werte für **Feld**, **Operator** und Wert auswählen.** Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.
1. Um Netzwerkaktivitätsereignisse auszuschließen oder einzubeziehen, können Sie in der Konsole aus den folgenden Feldern wählen.
+ **`eventName`**— Sie können jeden Operator mit verwenden`eventName`. Sie können ihn verwenden, um jedes Ereignis ein- oder auszuschließen, `CreateKey` z.
+ **`errorCode`**— Sie können es verwenden, um nach einem Fehlercode zu filtern. Derzeit wird nur Folgendes unterstützt`errorCode`:`VpceAccessDenied`.
+ **`vpcEndpointId`**— Identifiziert den VPC-Endpunkt, den der Vorgang durchlaufen hat. Sie können einen beliebigen Operator mit `vpcEndpointId` verwenden.
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.
1. Um eine weitere Ereignisquelle hinzuzufügen, für die Sie Netzwerkaktivitätsereignisse protokollieren möchten, wählen Sie „**Netzwerkaktivitätsereignisauswahl hinzufügen**“.
1. Erweitern Sie optional die **JSON-Ansicht**, um Ihre erweiterten Ereignisselektoren als JSON-Block anzuzeigen.
1. Wählen Sie unter **Insights-Ereignisse** die Option **Bearbeiten** aus, wenn Ihr Trail CloudTrail Insights-Ereignisse protokollieren soll.
Wählen Sie unter **Ereignistyp** **Insights-Ereignisse** aus.
Wählen Sie in **Insights-Ereignisse** **API-Aufrufrate** und/oder **API-Fehlerrate** aus. Sie müssen **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Aufrufrate** zu protokollieren. Sie müssen **Lese**- und **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Fehlerrate** zu protokollieren.
CloudTrail Insights analysiert Verwaltungsereignisse auf ungewöhnliche Aktivitäten und protokolliert Ereignisse, wenn Anomalien festgestellt werden. Standardmäßig werden für Trails keine Insights-Ereignisse protokolliert. Weitere Informationen zu Insights-Ereignissen erhalten Sie unter [Mit CloudTrail Insights arbeiten](logging-insights-events-with-cloudtrail.md). Für die Protokollierung von Insights-Ereignissen fallen zusätzliche Gebühren an. [Preisinformationen finden Sie unter CloudTrail AWS CloudTrail Preisgestaltung.](https://aws.amazon.com/cloudtrail/pricing/)
Insights-Ereignisse werden in einen anderen Ordner übertragen, `/CloudTrail-Insight` der nach demselben S3-Bucket benannt ist, der auf der Seite mit den Trail-Details im Bereich **Speicherort** angegeben ist. CloudTrailerstellt das neue Präfix für Sie. Wenn beispielsweise Ihr aktueller S3-Ziel-Bucket den Namen `amzn-s3-demo-bucket/AWSLogs/CloudTrail/` hat, lautet der Name mit dem Präfix als Zusatz `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`.
1. Wenn Sie mit dem Ändern der Einstellungen für Ihren Trail fertig sind, wählen Sie **Trail aktualisieren**.
## Aktualisieren von Datenereigniseinstellungen mit grundlegenden Ereignisauswahlen
Sie können erweiterte Event-Selektoren verwenden, um alle Datenereignistypen sowie Netzwerkaktivitätsereignisse zu konfigurieren. Mithilfe erweiterter Event-Selektoren können Sie detaillierte Selektoren erstellen, um nur die Ereignisse zu protokollieren, die für Sie von Interesse sind.
Wenn Sie grundlegende Event-Selektoren verwenden, um Datenereignisse zu protokollieren, sind Sie darauf beschränkt, Datenereignisse für Amazon S3 S3-Buckets, AWS Lambda Funktionen und Amazon DynamoDB-Tabellen zu protokollieren. Sie können das `eventName` Feld nicht mit einfachen Event-Selektoren filtern. Sie können auch keine [Netzwerkaktivitätsereignisse](logging-network-events-with-cloudtrail.md) protokollieren.
![\[Grundlegende Ereignisauswahlen für Datenereignisse in einem Trail\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)
Führen Sie die folgenden Schritte aus, um Datenereigniseinstellungen mithilfe grundlegender Ereignisauswahlen zu konfigurieren.
1. Wählen Sie unter **Datenereignisse** **Bearbeiten** aus, um die Einstellungen für die Datenereignisprotokollierung zu ändern. Mit grundlegenden Event-Selektoren können Sie die Protokollierung von Datenereignissen für Amazon S3 S3-Buckets, AWS Lambda Funktionen, Dynamo DBtables oder eine Kombination dieser Ressourcen angeben. Zusätzliche Ressourcentypen für Datenereignisse werden mit erweiterten Event-Selektoren unterstützt. Standardmäßig werden Datenereignisse nicht von den Trails protokolliert. Für die Protokollierung von Datenereignissen fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [Datenereignisse](logging-data-events-with-cloudtrail.md#logging-data-events). Informationen zu CloudTrail-Preisen finden Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).
Für Amazon-S3-Buckets:
1. Wählen Sie für **Daten-Ereignissquelle** **S3** aus.
1. Sie können wählen, ob Sie **alle aktuellen und zukünftigen S3 Buckets** protokollieren oder einzelne Buckets oder Funktionen angeben möchten. Standardmäßig werden Datenereignisse für alle aktuellen und zukünftigen S3 Buckets protokolliert.
**Anmerkung**
Wenn Sie die Standardoption **Alle aktuellen und future S3-Buckets** beibehalten, wird die Datenereignisprotokollierung für alle Buckets aktiviert, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Buckets, die Sie erstellen, nachdem Sie den Trail erstellt haben. Es ermöglicht auch die Protokollierung der Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität in einem Bucket ausgeführt wird, der zu einem anderen Konto gehört. AWS
Wenn der Trail nur für eine Region gilt, aktiviert die Auswahl von **Alle aktuellen und zukünftigen S3 Buckets** die Datenereignisprotokollierung für alle Buckets in derselben Region wie Ihr Trail und alle Buckets, die Sie später in dieser Region erstellen. Es werden keine Datenereignisse für Amazon S3 S3-Buckets in anderen Regionen in Ihrem AWS Konto protokolliert.
1. Wenn Sie die Standardeinstellung **Alle aktuellen und zukünftigen S3 Buckets** beibehalten, können Sie **Lese**ereignisse, **Schreib**ereignisse oder beides protokollieren.
1. Um einzelne Buckets auszuwählen, leeren Sie die Kontrollkästchen **Lesen** und **Schreiben** für **Alle aktuellen und zukünftigen S3 Buckets**. Suchen Sie unter **Individuelle Bucket-Auswahl** nach einem Bucket, in dem Datenereignisse protokolliert werden sollen. Um bestimmte Buckets zu suchen, geben Sie ein Bucket-Präfix für den gewünschten Bucket ein. Sie können in diesem Fenster mehrere Buckets auswählen. Wählen Sie **Bucket hinzufügen**, um Datenereignisse für weitere Buckets zu protokollieren. Wählen Sie, ob Sie **Read (Lesen)**-Ereignisse wie `GetObject`, **Write (Schreiben)**-Ereignisse wie `PutObject` oder Ereignisse beider Typen protokolliert werden sollen.
Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Buckets konfigurieren. Wenn Sie beispielsweise die Protokollierung von **Lese**-Ereignissen für alle S3-Buckets festlegen und dann einen bestimmten Bucket für die Protokollierung von Datenereignissen hinzufügen, ist für den hinzugefügten Bucket bereits **Lesen** ausgewählt. Sie können die Auswahl nicht löschen. Sie können die Option nur für **Write** (Schreiben) konfigurieren.
Um einen Bucket aus der Protokollierung zu entfernen, wählen Sie **X** aus.
1. Um einen weiteren Ressourcentyp hinzuzufügen, auf dem Datenereignisse protokolliert werden sollen, wählen Sie **Datenereignistyp hinzufügen**.
1. Für Lambda-Funktionen:
1. Wählen Sie für **Daten-Ereignissquelle** **Lambda** aus.
1. Wählen Sie in der **Lambda-Funktion** **Alle Regionen** aus, um alle Lambda-Funktionen zu protokollieren, oder **Eingabefunktion als ARN**, um Datenereignisse für eine bestimmte Funktion zu protokollieren.
Um Datenereignisse für alle Lambda-Funktionen in Ihrem AWS Konto zu protokollieren, wählen Sie **Alle aktuellen und future Funktionen protokollieren** aus. Diese Einstellung hat Vorrang vor individuellen Einstellungen, die Sie für einzelne Funktionen vornehmen. Alle Funktionen werden protokolliert, auch wenn nicht alle Funktionen angezeigt werden.
**Anmerkung**
Wenn Sie einen Trail mit mehreren Regionen erstellen, aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in einer beliebigen Region erstellen, nachdem Sie den Trail erstellt haben. Wenn Sie einen Trail für eine einzelne Region erstellen (mithilfe von AWS CLI), aktiviert diese Auswahl die Datenereignisprotokollierung für alle Funktionen, die sich derzeit in dieser Region in Ihrem AWS Konto befinden, sowie für alle Lambda-Funktionen, die Sie möglicherweise in dieser Region erstellen, nachdem Sie den Trail erstellt haben. Es wird keine Datenereignisprotokollierung für Lambda-Funktionen aktiviert, die in anderen Regionen erstellt wurden.
Das Protokollieren von Datenereignissen für alle Funktionen ermöglicht auch die Protokollierung von Datenereignisaktivitäten, die von einem beliebigen Benutzer oder einer Rolle in Ihrem AWS Konto ausgeführt werden, selbst wenn diese Aktivität für eine Funktion ausgeführt wird, die zu einem anderen AWS Konto gehört.
1. Wenn Sie **Eingabefunktion als ARN** wählen, geben Sie den ARN einer Lambda-Funktion ein.
**Anmerkung**
Wenn Sie mehr als 15.000 Lambda-Funktionen in Ihrem Konto haben, können Sie beim Erstellen eines Trails nicht alle Funktionen in der CloudTrail Konsole anzeigen oder auswählen. Sie können weiterhin die Option wählen, alle Funktionen zu protokollieren, auch wenn sie nicht angezeigt werden. Wenn Sie Datenereignisse für bestimmte Funktionen protokollieren möchten, können Sie eine Funktion manuell hinzufügen, wenn Sie deren ARN kennen. Sie können die Erstellung des Trails auch in der Konsole abschließen und dann die AWS CLI und den Befehl **put-event-selectors** verwenden, um die Datenereignisprotokollierung für bestimmte Lambda-Funktionen zu konfigurieren. Weitere Informationen finden Sie unter [Verwaltung von Wanderwegen mit dem AWS CLI](cloudtrail-additional-cli-commands.md).
1. Um einen weiteren Ressourcentyp hinzuzufügen, auf dem Datenereignisse protokolliert werden sollen, wählen Sie **Datenereignistyp hinzufügen**.
1. Für DynamoDB-Tabellen:
1. Wählen Sie für **Daten-Ereignissquelle** **DynamoDB** aus.
1. Wählen Sie in der **DynamoDB-Tabellenauswahl** die Option **Durchsuchen**, um eine Tabelle auszuwählen, oder fügen Sie den ARN einer DynamoDB-Tabelle ein, auf die Sie Zugriff haben. Ein DynamoDB-Tabellen-ARN hat das folgende Format:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
Um eine weitere Tabelle hinzuzufügen, wählen Sie **Zeile hinzufügen** und suchen Sie nach einer Tabelle oder fügen Sie den ARN einer Tabelle ein, auf die Sie Zugriff haben.
1. Um Insights-Ereignisse und andere Einstellungen für Ihren Trail zu konfigurieren, kehren Sie zum vorherigen Verfahren in diesem Thema zurück, [Einen Trail mit der CloudTrail Konsole aktualisieren](#cloudtrail-update-a-trail-console).
# Löschen eines Trails mit der CloudTrail Konsole
Sie können Trails mit der CloudTrail Konsole löschen. Wenn ein Organisations-Trail über das Verwaltungskonto oder das Konto eines delegierten Administrators einer Organisation gelöscht wird, wird der Trail aus allen Mitgliedskonten der Organisation entfernt.
**Wichtig**
Das Löschen eines CloudTrail Trails ist zwar eine unumkehrbare Aktion, löscht CloudTrail jedoch keine Protokolldateien im Amazon S3 S3-Bucket für diesen Trail, im Amazon S3 S3-Bucket selbst oder in der CloudWatch Protokollgruppe, an die der Trail Ereignisse übermittelt. Durch das Löschen eines Trails mit mehreren Regionen wird die Protokollierung von Ereignissen in allen AWS Regionen beendet, die in Ihrem AWS-Konto aktiviert sind. Durch das Löschen eines Trails mit nur einer Region wird die Protokollierung von Ereignissen nur in dieser Region beendet. Die Protokollierung von Ereignissen in anderen Regionen wird nicht beendet, auch wenn die Pfade in diesen anderen Regionen identische Namen wie der gelöschte Trail haben.
Informationen zur Kontoschließung und zum Löschen von CloudTrail Trails findest du unter[AWS-Konto Sperrung und Wege](cloudtrail-account-closure.md).
Wenn Sie CloudTrail Verwaltungsereignisse in Amazon Security Lake aktiviert haben, müssen Sie mindestens einen organisatorischen Pfad verwalten, der mehrere Regionen umfasst `read` und sowohl Verwaltungsereignisse als auch `write` Verwaltungsereignisse protokolliert. Sie können einen Trail nicht löschen, wenn er der einzige Trail ist, den Sie haben, der diese Anforderung erfüllt, es sei denn, Sie deaktivieren CloudTrail Verwaltungsereignisse in Security Lake.
**Um einen Trail mit der CloudTrail Konsole zu löschen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Öffnen Sie die **Trails-Seite** der CloudTrail Konsole.
1. Wählen Sie den Trail-Namen aus.
1. Wählen Sie oben auf der Trail-Details-Seite **Löschen** aus.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Löschen**, um den Trail dauerhaft zu löschen. Der Trail wird aus der Liste mit den Trails entfernt. Protokolldateien, die bereits an den Amazon S3 S3-Bucket gesendet wurden, werden nicht gelöscht und es fallen weiterhin S3-Gebühren an.
**Anmerkung**
Inhalte, die an Amazon-S3-Buckets geliefert werden, können Kundeninhalte enthalten. Weitere Informationen zum Entfernen vertraulicher Daten finden Sie unter [Leeren eines Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/empty-bucket.html) und [Löschen eines Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html) im *Amazon S3 S3-Benutzerhandbuch*.
# Deaktivieren der Protokollierung für einen Trail
Wenn Sie einen Trail erstellen, ist die Protokollierung automatisch aktiviert. Du kannst die Protokollierung für einen Trail auf der Detailseite des Trails deaktivieren.
**Anmerkung**
Wenn Sie die Protokollierung deaktivieren, werden vorhandene Protokolle weiterhin im Amazon-S3-Bucket des Trails gespeichert und es fallen weiterhin S3-Gebühren an. Informationen zu den S3-Preisen finden Sie unter [Amazon S3 S3-Preise](https://aws.amazon.com/s3/pricing/).
**Die Ereigniszustellung nach dem Abbruch der Protokollierung wurde beendet**
Nachdem Sie die Protokollierung für einen Trail deaktiviert haben, kann der Trail immer noch Ereignisse empfangen, die vor dem Deaktivieren der Protokollierung aufgetreten sind. Ereignisse können aus einer Reihe von Gründen verzögert werden, z. B. durch hohen Netzwerkverkehr, Verbindungsprobleme, einen Dienstausfall oder die Aktualisierung vorhandener Ereignisse. CloudTrail verwendet den Zeitpunkt, zu dem die Protokollierung zuletzt deaktiviert wurde, um zu bestimmen, ob verzögerte Ereignisse ausgelöst werden sollen, und nicht den Protokollierungsstatus des Trails zum Zeitpunkt des Auftretens des Ereignisses. Somit können verzögerte Ereignisse, die vor dem letzten Ausschalten der Protokollierung aufgetreten sind, weiterhin an den Trail übertragen werden. Weitere Informationen zur verzögerten Übermittlung von Ereignissen finden Sie in dem `addendum` entsprechenden Feld unter[CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md).
Darüber hinaus werden Event-Selektoren und erweiterte Event-Selektoren nicht im Hinblick auf verzögerte Ereignisse ausgewertet, die nach Deaktivierung der Protokollierung an einen Trail übermittelt werden. Das bedeutet, dass ein Trail jede Art von Ereignis empfangen kann, das vor dem Ausschalten der Protokollierung aufgetreten ist, unabhängig von der Konfiguration der Ereignisauswahl des Trails.
**Um die Protokollierung für einen Trail mit der CloudTrail Konsole auszuschalten**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich die Option **Trails** und dann den Namen des Trails aus.
1. Wählen Sie oben auf der Trail-Detail-Seite **Protokollierung stoppen**, um die Protokollierung für den Trail zu deaktivieren.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Protokollierung beenden**. CloudTrailbeendet die Protokollierung der Aktivitäten für diesen Trail.
1. Um die Protokollierung für diesen Trail fortzusetzen, wählen Sie auf der Trail-Konfigurationsseite die Option **Protokollierung starten**.