Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Mit CloudTrail Insights arbeiten


AWS CloudTrail Insights helfen AWS Benutzern, ungewöhnliche Aktivitäten im Zusammenhang mit API-Aufrufraten und API-Fehlerraten zu identifizieren und darauf zu reagieren, indem CloudTrail Management- und Datenereignisse kontinuierlich analysiert werden. CloudTrail Insights analysiert Ihre vergangenen Management- und Datenereignisse, um Ihre normalen Muster von API-Aufrufraten und API-Fehlerraten zu ermitteln, die auch als *Baseline* bezeichnet werden. CloudTrail generiert dann Insights-Ereignisse, wenn die aktuellen API-Aufrufraten oder -Fehlerraten vom Ausgangswert abweichen.

Sie können zwei Arten von Insights sammeln, jeweils für Verwaltungs- und Datenereignisse.

**Managementereignisse, Einblicke**
+ **API-Aufrufrate** — Eine Messung der API-Aufrufe für die Verwaltung mit Schreibzugriff, die pro Minute erfolgen, im Vergleich zu einem API-Standardvolumen. Um Insights-Ereignisse in Bezug auf die API-Aufrufrate für Verwaltungsereignisse zu protokollieren, muss der Trail- oder Event-Datenspeicher Insights aktivieren und `write` Verwaltungsereignisse protokollieren.
+ **API-Fehlerrate** — Ein Maß für Verwaltungs-API-Aufrufe, die zu Fehlercodes führen. Der Fehler wird angezeigt, wenn der API-Aufruf fehlschlägt. Um Insights-Ereignisse anhand der API-Fehlerrate zu protokollieren, muss der Trail- oder Event-Datenspeicher Insights aktivieren und Verwaltungsereignisse `read` oder `write` Verwaltungsereignisse oder beides `read` sowie `write` Verwaltungsereignisse protokollieren.

**Daten, Ereignisse, Einblicke.**
+ **API-Aufrufrate** — Eine Messung der Daten-API-Aufrufe, die pro Minute erfolgen, im Vergleich zu einem Basis-API-Aufrufvolumen. Um Insights-Ereignisse in Bezug auf die API-Aufrufrate zu protokollieren, muss der Trail Insights aktivieren und Datenereignisse protokollieren.
+ **API-Fehlerrate** — Eine Messung der Daten-API-Aufrufe, die zu Fehlercodes führen. Der Fehler wird angezeigt, wenn der API-Aufruf fehlschlägt. Um Insights-Ereignisse anhand der API-Fehlerrate zu protokollieren, muss der Trail Insights aktivieren und `read` entweder `write` Datenereignisse oder beides `read` und `write` Datenereignisse protokollieren.

**Anmerkung**  
Insights-Ereignisse für Datenereignisse werden nur für Trails und nicht für Ereignisdatenspeicher unterstützt.

CloudTrail Insights analysiert die Management- und Datenereignisse, die in jeder Region auftreten, und generiert ein Insights-Ereignis, wenn ungewöhnliche Aktivitäten festgestellt werden, die vom Ausgangswert abweichen. Ein CloudTrail Insights-Ereignis wird in derselben Region generiert, in der das zugehörige Management- oder Datenereignis generiert wurde.

Für Insights-Veranstaltungen fallen zusätzliche Gebühren an. Wenn Sie Insights für Verwaltungsereignisse sowohl für Datenspeicher als auch für Datenspeicher für Ereignisse sowie Insights für Datenereignisse aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Weitere Informationen finden Sie unter [AWS CloudTrail  – Preise](https://aws.amazon.com/cloudtrail/pricing/).

**Topics**
+ [

# Kosten für Insights-Veranstaltungen
](insights-events-costs.md)
+ [

# Durchführung von Insights-Ereignissen
](insights-events-understanding.md)
+ [

# Protokollieren von Insights-Ereignissen mit der CloudTrail Konsole
](insights-events-enable.md)
+ [

# Protokollieren von Insights-Ereignissen mit dem AWS CLI
](insights-events-CLI-enable.md)
+ [

# Anzeigen von Insights-Ereignissen für Trails
](view-insights-events.md)
+ [

# Anzeigen von Insights-Ereignissen für Ereignisdatenspeicher
](insights-events-view-lake.md)

# Kosten für Insights-Veranstaltungen


**Anmerkung**  
Insights-Ereignisse zu Datenereignissen werden nur auf Trails unterstützt.

Wenn Sie Insights-Ereignisse in einem vorhandenen Trail- oder Event-Datenspeicher aktivieren, CloudTrail werden die vom Trail- oder Event-Datenspeicher gesammelten Management- und Datenereignisse der letzten 28 Tage analysiert, um einen Basiswert für normale Aktivitäten zu ermitteln. Nachdem die erste Baseline erstellt wurde, wird die Baseline täglich anhand der Daten der letzten 28 Tage neu berechnet. Für die Basisanalyse fallen keine CloudTrail Gebühren an.

Nach der Basisanalyse CloudTrail fallen Gebühren für alle future Management- und Datenereignisse an, die von CloudTrail analysiert wurden. Ihnen fallen Gebühren auf der Grundlage der Anzahl der Verwaltungs- und Datenereignisse an, die für die aktivierten Insights-Typen analysiert wurden.

Wenn Sie sich dafür entscheiden, sowohl die API-Aufrufrate als auch die API-Fehlerrate der Insights-Typen für Verwaltungsereignisse für einen Trail- oder Ereignisdatenspeicher zu `read` protokollieren, der `write` Verwaltungsereignisse protokolliert, ist die Gesamtzahl der analysierten Ereignisse größer als die Gesamtzahl der aufgezeichneten Verwaltungsereignisse. Das liegt daran, CloudTrail dass die Verwaltungsereignisse, die nur Schreibzugriff haben, zweimal analysiert werden, einmal zur Berechnung der API-Aufrufrate und erneut zur Bestimmung der API-Fehlerrate. Die Verwaltungsereignisse mit Schreibzugriff werden einmal analysiert, um die API-Fehlerrate zu berechnen.

Ebenso gilt: Wenn Sie sich dafür entscheiden, sowohl die API-Aufrufrate als auch die API-Fehlerrate (Insights-Typen für Datenereignisse) für einen Trail zu `read` protokollieren, der `write` Datenereignisse protokolliert, ist die Gesamtzahl der analysierten Ereignisse größer als die Gesamtzahl der aufgezeichneten Datenereignisse. Dies liegt daran, dass alle Datenereignisse zweimal analysiert CloudTrail werden, einmal zur Berechnung der API-Aufrufrate und erneut zur Bestimmung der API-Fehlerrate. 

Sie können die Gebühren für Insights for Management und Datenereignisse auf Ihrer Rechnung finden, indem Sie nach der `InsightsEvents` jeweiligen `DataInsightsEvents` Nutzungsart suchen. Weitere Informationen finden Sie unter [Anzeige Ihrer CloudTrail Kosten und Nutzung mit AWS Cost Explorer](cloudtrail-costs.md).

Es fallen separate Insights-Gebühren für Trails und Event-Datenspeicher sowie separate Datenereignisse Insights für Trails an. Weitere Informationen über die Preise finden Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).

**Beispiel 1 — Aktivieren Sie Insights on Management Events für die API-Aufrufrate und die API-Fehlerrate bei einem Trail**

In diesem ersten Beispiel aktivieren Sie Insights on a Trail, um Verwaltungsereignisse zu protokollieren, und entscheiden sich für die Erfassung beider Insights-Typen. In diesem Beispiel werden sowohl Verwaltungsereignisse als auch `read` `write` Verwaltungsereignisse protokolliert.
+ CloudTrail analysiert die in den letzten 28 Tagen protokollierten Verwaltungsereignisse, um eine Ausgangsbasis zu bilden. Für die Analyse CloudTrail fallen keine Gebühren an.
+ Nachdem die Baseline erstellt wurde, protokolliert der Trail 300.000 Verwaltungsereignisse, von denen 270.000 `read` Verwaltungsereignisse und 30.000 Verwaltungsereignisse sind`write`.
  + Die `write` Verwaltungsereignisse werden zweimal analysiert, einmal im Hinblick auf die API-Aufrufrate und einmal im Hinblick auf die API-Fehlerrate (30.000 \$1 2 = 60.000).
  + Die `read` Verwaltungsereignisse werden einmal im Hinblick auf die API-Fehlerrate analysiert (270.000 \$11=270.000).
  + Die Gesamtzahl der analysierten Verwaltungsereignisse beläuft sich auf 330.000 (60.000 \$1 270.000). Es fallen Kosten für die Analyse von 330.000 Managementereignissen für diesen Trail an. Wenn Sie Insights für einen anderen Trail oder einen Event-Datenspeicher aktivieren, fallen separate Gebühren an.

**Beispiel 2 — Aktivieren Sie Insights für Managementereignisse für zwei Trails**

In diesem nächsten Beispiel aktivieren Sie Insights für zwei Trails, bei denen Verwaltungsereignisse protokolliert werden, Trail A und Trail B. Sie entscheiden sich dafür, die API-Aufrufrate Insights nur für Trail A und die API-Fehlerrate Insights nur für Trail B zu aktivieren. Sowohl Trails protokollieren `read` als auch `write` Verwaltungsereignisse.
+ CloudTrail analysiert die in den letzten 28 Tagen protokollierten `write` Verwaltungsereignisse, um eine Ausgangsbasis zu bilden. Für die Analyse CloudTrail fallen keine Gebühren an.
+ Nach der Erstellung der Baseline protokollieren die Trails 800.000 Verwaltungsereignisse, von denen 710.000 `read` Ereignisse und 90.000 Ereignisse sind. `write`

  Für Pfad A erfolgt die folgende Analyse:
  + Die `write` Verwaltungsereignisse werden einmal im Hinblick auf die API-Aufrufrate (90.000 \$1 1 = 90.000) analysiert.
  + Die `read` Verwaltungsereignisse werden nicht analysiert, da CloudTrail nur Verwaltungsereignisse für die `write` API-Aufrufrate Insights analysiert werden.
  + Die Gesamtzahl der analysierten Verwaltungsereignisse beläuft sich auf 90.000. Es fallen Kosten für die Analyse von 90.000 Managementereignissen für Trail A an. 

  Für Trail B erfolgt die folgende Analyse:
  + Die `write` Verwaltungsereignisse werden einmal im Hinblick auf die API-Fehlerrate (90.000 \$1 1 = 90.000) analysiert.
  + Die `read` Verwaltungsereignisse werden einmal im Hinblick auf die API-Fehlerrate analysiert (710.000 \$11=710.000).
  + Die Gesamtzahl der analysierten Verwaltungsereignisse beläuft sich auf 800.000 (90.000 \$1 710.000). Es fallen Kosten für die Analyse von 800.000 Managementereignissen für Trail B an.

**Beispiel 3 — Aktivieren Sie Einblicke in Verwaltungsereignisse für die API-Aufrufrate und die API-Fehlerrate in einem Trail- und einem Ereignisdatenspeicher**

In diesem Beispiel aktivieren Sie Insights für die API-Aufrufrate und die API-Fehlerrate sowohl für einen Trail- als auch für einen Event-Datenspeicher, der Verwaltungsereignisse protokolliert. Sowohl der Trail- als auch der Ereignisdatenspeicher sind `write` Protokollierungs `read` - und Verwaltungsereignisse. Für CloudTrail Insights fallen separate Gebühren für den Trail- und den Event-Datenspeicher an, da Sie Insights für beide aktiviert haben.
+ CloudTrail analysiert die in den letzten 28 Tagen protokollierten Verwaltungsereignisse, um eine Ausgangsbasis zu bilden. Für die Analyse CloudTrail fallen keine Gebühren an.
+ Nachdem die Baseline erstellt wurde, protokollieren Trail und Event Data Store 500.000 Verwaltungsereignisse, von denen 380.000 Verwaltungsereignisse und 120.000 `read` Verwaltungsereignisse sind`write`.

  Für den Trail erfolgt die folgende Analyse:
  + Die `write` Verwaltungsereignisse werden zweimal für den Trail analysiert, einmal für die API-Aufrufrate und einmal für die API-Fehlerrate (120.000 \$1 2=240.000).
  + Die `read` Verwaltungsereignisse werden einmal für den Trail auf die API-Fehlerrate hin analysiert (380.000 \$11=380.000).
  + Die Gesamtzahl der für den Trail analysierten Verwaltungsereignisse beläuft sich auf 620.000 (240.000 \$1 380.000). Es fallen Kosten für die Analyse von 620.000 Managementereignissen für den Trail an.

  Für den Ereignisdatenspeicher erfolgt die folgende Analyse:
  + Die `write` Verwaltungsereignisse werden zweimal für den Ereignisdatenspeicher analysiert, einmal für die API-Aufrufrate und einmal für die API-Fehlerrate (120.000 \$1 2=240.000).
  + Die `read` Verwaltungsereignisse werden einmal für den Ereignisdatenspeicher hinsichtlich der API-Fehlerrate analysiert (380.000 \$11=380.000).
  + Die Gesamtzahl der für den Ereignisdatenspeicher analysierten Verwaltungsereignisse beläuft sich auf 620.000 (240.000 \$1 380.000). Es fallen Kosten für die Analyse von 620.000 Verwaltungsereignissen für den Ereignisdatenspeicher an.

**Beispiel 4 — Aktivieren Sie Verwaltungsereignisse (Insights) und Datenereignisse (Insights) für API-Aufrufrate und API-Fehlerrate im Nachhinein**

In diesem letzten Beispiel aktivieren Sie Einblicke in Verwaltungs- und Datenereignisse. In diesem Beispiel geht es um die Protokollierung `read` und `write` Verwaltung von Datenereignissen. 
+ CloudTrail analysiert die in den letzten 28 Tagen protokollierten Verwaltungs- und Datenereignisse, um eine Ausgangsbasis zu bilden. Für die Analyse CloudTrail fallen keine Gebühren an.
+ Nachdem die Baseline erstellt wurde, protokolliert der Trail 300.000 Verwaltungsereignisse, von denen 270.000 Verwaltungsereignisse für Lesevorgänge und 30.000 Verwaltungsereignisse für Schreibvorgänge sind. Der Trail protokolliert außerdem 400.000 Datenereignisse, von denen 340.000 Lesedatenereignisse und 60.000 Schreibdatenereignisse sind. 
  + Die `write` Verwaltungsereignisse werden zweimal analysiert, einmal im Hinblick auf die API-Aufrufrate und einmal im Hinblick auf die API-Fehlerrate (30.000 \$1 2 = 60.000). Die `read` Verwaltungsereignisse werden einmal im Hinblick auf die API-Fehlerrate analysiert (270.000 \$11=270.000). Die Gesamtzahl der analysierten Verwaltungsereignisse beläuft sich auf 330.000 (60.000 \$1 270.000). 
  + Die Ereignisse `read` und `write` Daten werden zweimal analysiert, einmal im Hinblick auf die API-Aufrufrate und einmal im Hinblick auf die API-Fehlerrate (400.000 \$1 2). Die Gesamtzahl der analysierten Datenereignisse beläuft sich auf 800.000. 
  + Es fallen Kosten für die Analyse von 1.130.000 Management- und Datenereignissen für diesen Trail an.

# Durchführung von Insights-Ereignissen


Im Gegensatz zu anderen Arten von Ereignissen, die CloudTrail erfasst werden, werden Insights-Ereignisse nur protokolliert, wenn Änderungen in der API-Nutzung Ihres Kontos CloudTrail festgestellt werden, die sich erheblich von den typischen Nutzungsmustern des Kontos unterscheiden.

Wo Ereignisse CloudTrail übermittelt werden und wie lange es dauert, bis Insights-Ereignisse empfangen werden, unterscheidet sich je nach Trail- und Ereignisdatenspeicher.

**Anmerkung**  
Insights-Ereignisse zu Datenereignissen werden nur auf Trails unterstützt.

**Insights-Ereignisse für Trails bereitstellen**

Wenn du Insights-Ereignisse auf einem Trail aktiviert hast und ungewöhnliche Aktivitäten CloudTrail feststellst, werden CloudTrail Insights-Ereignisse an den `/CloudTrail-Insight` Ordner im ausgewählten S3-Ziel-Bucket für deinen Trail gesendet. Nachdem Sie CloudTrail Insights zum ersten Mal auf einem Trail aktiviert haben, CloudTrail kann es bis zu 36 Stunden dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten erkannt werden.

Wenn Sie die Protokollierung von Insights-Ereignissen in einem Trail deaktivieren und dann wieder aktivieren oder die Protokollierung für einen Trail beenden und neu starten, kann es bis zu 36 Stunden dauern, CloudTrail bis die Bereitstellung von Insights-Ereignissen wieder aufgenommen wird, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.

**Insights-Ereignisse für Ereignisdatenspeicher bereitstellen**

Wenn Sie Insights-Ereignisse in einem Quell-Eventdatenspeicher aktiviert haben, CloudTrail werden Insights-Ereignisse an den Ziel-Ereignisdatenspeicher übermittelt. Nachdem Sie CloudTrail Insights zum ersten Mal im Quell-Ereignisdatenspeicher aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Übermittlung von Insights-Ereignissen an den Zielereignisdatenspeicher begonnen wird, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.

Wenn Sie die Protokollierung von Insights-Ereignissen in einem Quellereignisdatenspeicher deaktivieren und dann Insights-Ereignisse erneut aktivieren oder die Ereignisaufnahme in einem Quellereignisdatenspeicher beenden und neu starten, kann es bis zu 7 Tage dauern, CloudTrail bis die Übermittlung von Insights-Ereignissen wieder aufgenommen wird, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden. Für die Aufnahme von Insights-Ereignissen in Lake fallen zusätzliche Gebühren an. CloudTrail Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).

# Protokollieren von Insights-Ereignissen mit der CloudTrail Konsole


In diesem Abschnitt wird beschrieben, wie Sie mithilfe der CloudTrail Konsole Insights-Ereignisse in einem vorhandenen Trail- oder Ereignisdatenspeicher aktivieren können.

Weitere Informationen zum Erstellen eines neuen Trails zum Protokollieren von Insights-Ereignissen finden Sie unter[Einen Trail mit der Konsole erstellen](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).

Weitere Informationen zum Erstellen eines neuen Ereignisdatenspeichers zur Erfassung von Insights-Ereignissen finden Sie unter[Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Insights-Ereignisse](query-event-data-store-insights.md).

**Topics**
+ [

## CloudTrail Insights für einen vorhandenen Trail mit der Konsole aktivieren
](#insights-events-enable-trail)
+ [

## Aktivieren von CloudTrail Insights in einem vorhandenen Ereignisdatenspeicher mit der Konsole
](#insights-events-enable-lake)

## CloudTrail Insights für einen vorhandenen Trail mit der Konsole aktivieren


Gehen Sie wie folgt vor, um CloudTrail Insights für einen vorhandenen Trail zu aktivieren.

1. Öffnen Sie im linken Navigationsbereich der CloudTrail Konsole die Seite **Trails** und wählen Sie einen Trailnamen aus.

1. Wählen Sie unter **Insights-Ereignisse** die Option **Bearbeiten** aus.
**Anmerkung**  
Für die Protokollierung von Insights-Ereignissen fallen zusätzliche Gebühren an. CloudTrail Preisinformationen finden Sie unter [AWS CloudTrail Preisgestaltung](https://aws.amazon.com/cloudtrail/pricing/).

1. Wählen Sie unter **Ereignistyp** **Insights-Ereignisse**.

1. Wählen Sie unter **Insights-Ereignisse** **Verwaltungsereignisse** oder **Datenereignisse** aus 

1.  Wählen Sie unter **Insights-Typen** die Option **API-Aufrufrate, API-Fehlerrate** oder beides aus. Ihr Trail muss **Schreibverwaltungs** - oder Datenereignisse protokollieren, um Insights-Ereignisse für die **API-Aufrufrate** protokollieren zu können. Ihr Trail muss **Lese** - oder **Schreibverwaltung** oder Daten protokollieren, um Insights-Ereignisse für die **API-Fehlerrate** protokollieren zu können. 

1. Wählen Sie **Änderungen speichern** aus, um Ihre Änderungen zu speichern.

CloudTrail Es kann bis zu 36 Stunden dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, nachdem Sie Insights-Ereignisse für einen Trail aktiviert haben, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.

## Aktivieren von CloudTrail Insights in einem vorhandenen Ereignisdatenspeicher mit der Konsole


Gehen Sie wie folgt vor, um CloudTrail Insights in einem vorhandenen Ereignisdatenspeicher zu aktivieren.

Für die Aufnahme von Insights-Veranstaltungen in CloudTrail Lake fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).

**Anmerkung**  
Sie können CloudTrail Insights nur für Ereignisdatenspeicher aktivieren, die CloudTrail Verwaltungsereignisse enthalten. Sie können CloudTrail Insights nicht für andere Arten von Ereignisdatenspeichern aktivieren.

1. Wählen Sie im linken Navigationsbereich der CloudTrail Konsole unter **Lake** die Option **Event Data Stores** aus.

1. Wählen Sie den Namen des Ereignisdatenspeichers aus.

1. Wählen Sie für **Verwaltungsereignisse** **Bearbeiten** aus.

1. Wählen Sie **Erfassung von Insights-Ereignissen aktivieren** aus.

1. Wählen Sie den Ziel-Eventspeicher aus, in dem Insights-Ereignisse erfasst werden sollen. Der Zielereignisdatenspeicher erfasst Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher. Weitere Informationen zum Erstellen des Zielereignisdatenspeichers finden Sie unter [Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert](query-event-data-store-insights.md#query-event-data-store-insights-procedure).

1. Wählen Sie die Insights-Typen aus. Sie können die **API-Aufrufrate**, die **API-Fehlerrate** oder beides auswählen. Sie müssen **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Aufrufrate** zu protokollieren. Sie müssen **Lese**- und **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Fehlerrate** zu protokollieren.

1. Wählen Sie **Änderungen speichern** aus, um Ihre Änderungen zu speichern.

CloudTrail Es kann bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.

# Protokollieren von Insights-Ereignissen mit dem AWS CLI


Sie können Ihre Trails und Ereignisdatenspeicher so konfigurieren, dass Insights-Ereignisse per AWS CLI protokolliert werden.

**Anmerkung**  
 Für Management-Ereignisse Insights: Um Insights-Ereignisse in Bezug auf die API-Aufrufrate zu protokollieren, muss der Trail- oder Event-Datenspeicher `write` Verwaltungsereignisse protokollieren. Um Insights-Ereignisse anhand der API-Fehlerrate zu protokollieren, muss der Trail- oder Event-Datenspeicher protokollieren `read` oder `write` verwalten.   
 Für Einblicke in Datenereignisse: Um Insights-Ereignisse anhand der API-Aufrufrate oder der API-Fehlerrate protokollieren zu können, muss der Trail `read` entweder `write` Datenereignisse protokollieren. 

**Topics**
+ [

## Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI
](#insights-events-CLI-enable-trails)
+ [

## Protokollieren von Insights-Ereignissen für einen Ereignisdatenspeicher mit dem AWS CLI
](#insights-events-CLI-enable-lake)

## Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI


Um die aktuellen Insights-Selektoren für einen Trail zurückzugeben, führen Sie den `get-insight-selectors` Befehl aus.

```
aws cloudtrail get-insight-selectors --trail-name TrailName
```

Die folgende Beispielantwort zeigt die Insights-Selektoren für einen Trail mit dem Namen. `insights-trail`

```
{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/insights-trail",
    "InsightSelectors": [
        {
            "InsightType": "ApiCallRateInsight",
            "EventCategories": [
                "Management",
                "Data"
            ]
        },
        {
            "InsightType": "ApiErrorRateInsight",
            "EventCategories": [
                "Management",
                "Data"
            ]
        }
    ]
}
```

Wenn für den Trail Insights nicht aktiviert ist, gibt der **get-insight-selectors** Befehl die folgende Fehlermeldung zurück: „Beim Aufrufen der GetInsightSelectors Operation ist ein Fehler aufgetreten (InsightNotEnabledException): Trail arn:aws:cloudtrail:us-east- 1:123456789012:trail/TrailName does not have Insights enabled. Edit the trail settings to enable Insights, and then try the operation again.“

Führen Sie den Befehl `put-insight-selectors` aus, um Ihren Trail für die Protokollierung von Insights-Ereignissen zu konfigurieren. Im folgenden Beispiel wird veranschaulicht, wie Sie Ihren Trail für Insights-Ereignisse konfigurieren. Insights-Selektor-Werte können `ApiCallRateInsight` und/oder `ApiErrorRateInsight` sein. Jeder EventCategory kann für die Verwaltung oder für Daten oder für beides aktiviert EventCategory werden. InsightType 

```
aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight", "EventCategories": ["Data"]},{"InsightType": "ApiErrorRateInsight", "EventCategories": ["Data", "Management"]}]'
```

Das folgende Ergebnis enthält die Auswahl für Insights-Ereignisse, die für den Trail konfiguriert wurde.

```
{
  "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight",
            "EventCategories": [ 
                "Data"  
            ]
         },
         {
            "InsightType": "ApiCallRateInsight",
            "EventCategories": [ 
                "Data",    
                "Management" 
            ]
         }
      ]
 }
```

## Protokollieren von Insights-Ereignissen für einen Ereignisdatenspeicher mit dem AWS CLI


Um Insights in einem Ereignisdatenspeicher zu aktivieren, benötigen Sie einen Quellereignisdatenspeicher, der Verwaltungsereignisse protokolliert, und einen Zielereignisdatenspeicher, der Insights-Ereignisse protokolliert. 

Führen Sie den Befehl **get-insight-selectors** aus, um zu überprüfen, ob Insights-Ereignisse in einem Ereignisdatenspeicher aktiviert sind.

```
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```

Führen Sie den Befehl **get-event-data-store** aus, um zu überprüfen, ob Insights-Ereignisse oder Verwaltungsereignisse in einem Ereignisdatenspeicher aktiviert sind.

```
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
```

Wenn ein Ereignisdatenspeicher für den Empfang von Insights-Ereignissen konfiguriert ist, `eventCategory` wird er auf gesetzt`Insight`.

Das folgende Verfahren zeigt, wie Sie die Ziel- und Quellereignisdatenspeicher erstellen und anschließend Insights-Ereignisse aktivieren.

1. Führen Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) aus, um einen Zielereignisdatenspeicher zu erstellen, der Insights-Ereignisse sammelt. Der Wert für `eventCategory` muss `Insight` sein. *retention-period-days*Ersetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten.

   Wenn Sie mit dem Verwaltungskonto für eine AWS Organizations -Organisation angemeldet sind, geben Sie den Parameter `--organization-enabled` an, wenn Sie Ihrem [delegierten Administrator](cloudtrail-delegated-administrator.md) Zugriff auf den Ereignisdatenspeicher gewähren möchten.

   ```
   aws cloudtrail create-event-data-store \
   --name insights-event-data-store \
   --no-multi-region-enabled \
   --retention-period retention-period-days \
   --advanced-event-selectors '[
       {
         "Name": "Select Insights events",
         "FieldSelectors": [
             { "Field": "eventCategory", "Equals": ["Insight"] }
           ]
       }
     ]'
   ```

   Nachfolgend finden Sie eine Beispielantwort.

   ```
   {
       "Name": "insights-event-data-store",
       "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
       "AdvancedEventSelectors": [
           {
              "Name": "Select Insights events",
              "FieldSelectors": [
                 {
                     "Field": "eventCategory",
                     "Equals": [
                         "Insight"
                       ]
                   }
               ]
           }
       ],
       "MultiRegionEnabled": false,
       "OrganizationEnabled": false,
       "BillingMode": "EXTENDABLE_RETENTION_PRICING",
       "RetentionPeriod": "90",
       "TerminationProtectionEnabled": true,
       "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00",
       "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00"
   }
   ```

   Sie verwenden die `ARN` (oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter `--insights-destination` in Schritt 3.

1. Um einen Quellereignisdatenspeicher zu erstellen, der Verwaltungsereignisse protokolliert, führen Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) aus. Standardmäßig protokollieren Ereignisdatenquellen alle Verwaltungsereignisse. Sie müssen keine erweiterten Ereignisselektoren angeben, um alle Verwaltungsereignisse zu protokollieren. *retention-period-days*Ersetzen Sie es durch die Anzahl der Tage, an denen Sie Ereignisse in Ihrem Ereignisdatenspeicher speichern möchten. Wenn Sie einen Datenspeicher für Organisationsereignisse erstellen, fügen Sie den Parameter `--organization-enabled` hinzu.

   ```
   aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
   ```

   Nachfolgend finden Sie eine Beispielantwort.

   ```
   {
       "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
       "Name": "source-event-data-store",
       "Status": "CREATED",
       "AdvancedEventSelectors": [
           {
               "Name": "Default management events",
               "FieldSelectors": [
                   {
                       "Field": "eventCategory",
                       "Equals": [
                           "Management"
                       ]
                   }
               ]
           }
       ],
       "MultiRegionEnabled": true,
       "OrganizationEnabled": false,
       "BillingMode": "EXTENDABLE_RETENTION_PRICING",
       "RetentionPeriod": 90,
       "TerminationProtectionEnabled": true,
       "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00",
       "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00"
   }
   ```

   Sie verwenden die `ARN` (oder das ID-Suffix des ARN) aus der Antwort als Wert für den Parameter `--event-data-store` in Schritt 3.

1. Führen Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) aus, um Insights-Ereignisse zu aktivieren. Insights-Selektorwerte können `ApiCallRateInsight` und/oder `ApiErrorRateInsight` sein. Geben Sie für den Parameter `--event-data-store` den ARN (oder das ID-Suffix der ARN) des Quellereignisdatenspeichers an, der Verwaltungsereignisse protokolliert und Insights aktiviert. Geben Sie für den Parameter `--insights-destination` den ARN (oder das ID-Suffix des ARN) des Zielereignisdatenspeichers an, der Insights-Ereignisse protokolliert.

   ```
   aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
   ```

   Das folgende Ergebnis zeigt den Insights-Ereignisselektor, der für den Ereignisdatenspeicher konfiguriert wurde.

   ```
   {
     "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
     "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
     "InsightSelectors":
         [
            {
               "InsightType": "ApiErrorRateInsight"
            },
            {
               "InsightType": "ApiCallRateInsight"
            }
         ]
   }
   ```

Nachdem Sie CloudTrail Insights zum ersten Mal in einem Ereignisdatenspeicher aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.

# Anzeigen von Insights-Ereignissen für Trails


In diesem Abschnitt wird beschrieben, wie Sie nach Insights-Ereignissen der letzten 90 Tage nach einem Trail suchen können, bei dem CloudTrail Insights aktiviert ist. Informationen zum Anzeigen von CloudTrail Insights für einen Ereignisdatenspeicher finden Sie unter[Das Insights-Dashboard für einen Ereignisdatenspeicher anzeigen](insights-events-view-lake.md#insights-events-view-lake-dashboard).

**Sie können die Insights-Ereignisse der letzten 90 Tage für einen Trail auf der Insights-Seite in der Konsole anzeigen, filtern und herunterladen.** 

Sie können die Insights-Ereignisse der letzten 90 Tage programmgesteuert abrufen:
+ Für Trails protokollieren Sie Verwaltungsereignisse, indem AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/lookup-events.html)Sie den Befehl oder den [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html)API-Vorgang ausführen.
+ Für Trails werden Datenereignisse protokolliert, indem der AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-insights-data.html)Befehl oder die [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListInsightsData.html)API-Operation ausgeführt wird.

Eine Beschreibung der Datensatzfelder für Trails mit Insights-Ereignissen finden Sie unter[CloudTrail Inhalte für Insights-Ereignisse für Trails aufzeichnen](cloudtrail-insights-fields-trails.md).

**Anmerkung**  
Auf der **Insights-Seite** AWS CLI `lookup-events` und/oder `list-insights-data` dem Befehl werden Insights-Ereignisse nur aufgeführt, wenn Sie Insights für einen Trail aktiviert haben, der Verwaltungs- oder Datenereignisse protokolliert. Informationen zur Aktivierung von Insights on a Trail finden Sie unter [CloudTrail Insights für einen vorhandenen Trail mit der Konsole aktivieren](insights-events-enable.md#insights-events-enable-trail) und[Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).  
 Um Insights-Ereignisse in Bezug auf die API-Aufrufrate zu protokollieren, muss der Trail `write` Verwaltungs- oder Datenereignisse protokollieren. Um Insights-Ereignisse entsprechend der API-Fehlerrate zu protokollieren, muss der Trail unsere `write` Verwaltungs `read` - oder Datenereignisse protokollieren. 

**Topics**
+ [

# Insights-Ereignisse für Trails mit der Konsole anzeigen
](view-insights-events-console.md)
+ [

# Insights-Ereignisse für Wanderwege anzeigen mit dem AWS CLI
](view-insights-events-cli.md)

# Insights-Ereignisse für Trails mit der Konsole anzeigen


**In diesem Abschnitt wird beschrieben, wie Sie die Insights-Ereignisse der letzten 90 Tage für einen Trail auf der Insights-Seite auf der CloudTrail Konsole anzeigen, nachschlagen und herunterladen können.** Informationen zum Anzeigen von CloudTrail Insights für einen Ereignisdatenspeicher finden Sie unter[Das Insights-Dashboard für einen Ereignisdatenspeicher anzeigen](insights-events-view-lake.md#insights-events-view-lake-dashboard).

Nachdem Insights-Ereignisse für einen Trail protokolliert wurden, werden die Ereignisse 90 Tage lang auf der **Insights-Seite** angezeigt. Sie können Ereignisse nicht manuell von der Seite **Insights** löschen. Da Insights-Ereignisse, die für einen Trail aktiviert sind, in dem für diesen Trail konfigurierten Amazon S3 S3-Bucket gespeichert werden, werden diese Ereignisse beim Entfernen der Insights-Ereignisse aus dem Bucket gelöscht.

Sie können Ihre Trail-Logs überwachen und sich benachrichtigen lassen, wenn bestimmte Insights-Ereignisse eintreten, indem Sie CloudWatch Logs aktivieren. Weitere Informationen finden Sie unter [Überwachung von CloudTrail Protokolldateien mit Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md).

**Anmerkung**  
CloudTrail Insights-Ereignisse müssen auf Ihrem Trail aktiviert sein, damit Insights-Ereignisse in der Konsole angezeigt werden. Warten Sie bis zu 36 Stunden CloudTrail , bis die ersten Insights-Ereignisse gemeldet werden, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.
 Für Einblicke in Verwaltungsereignisse: Um Insights-Ereignisse in Bezug auf die API-Aufrufrate zu protokollieren, muss der Trail `write` Verwaltungsereignisse protokollieren. Um Insights-Ereignisse mit der API-Fehlerrate zu protokollieren, muss der Trail Ereignisse `read` oder `write` Verwaltungsereignisse protokollieren. 
 Für Einblicke in Datenereignisse: Um Insights-Ereignisse in Bezug auf die API-Aufrufrate oder die API-Fehlerrate zu protokollieren, muss der Trail `write` Datenereignisse protokollieren`read`. 

**So zeigen Sie Insights-Ereignisse an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole zu [https://console.aws.amazon.com/cloudtrail/Hause/](https://console.aws.amazon.com/cloudtrail/home/).

1. Wählen Sie im Navigationsbereich **Insights** aus, um alle Insights-Ereignisse zu sehen, die in den letzten 90 Tagen in Ihrem Konto protokolliert wurden. Sie können sich auch die fünf neuesten Insights-Ereignisse auf der Seite **Dashboards** ansehen.

1. Auf der **Insights-Seite** können Sie entweder die Registerkarte Einblicke für Verwaltungsereignisse oder Einblicke für Datenereignisse auswählen 

1. Sie können Insights-Ereignisse nach Ereignisquelle, Ereignisname oder Ereignis-ID filtern. Weitere Informationen zum Filtern von Insights-Ereignissen erhalten Sie unter [Filtern von Insights-Ereignissen](#filtering-insights-events). 

1. Sie können die Liste weiter auf einen **relativen Bereich** oder einen **absoluten Bereich** einschränken.

**Contents**
+ [

## Filtern von Insights-Ereignissen
](#filtering-insights-events)
+ [

## Details zu Insights-Ereignissen anzeigen
](#viewing-details-for-an-event)
+ [

## Zoomen, Schwenken und Herunterladen des Diagramms
](#viewing-insight-details-zoom)
+ [

## Ändern der Einstellungen für die Zeitspanne des Diagramms
](#viewing-insight-details-timespan)
+ [

## Herunterladen von Insights-Ereignissen
](#downloading-insights-events)

## Filtern von Insights-Ereignissen


Standardmäßig werden Ereignisse auf der **Insights-Seite** in umgekehrter chronologischer Reihenfolge nach der Startzeit des Ereignisses angezeigt.

Sie können die Liste filtern, indem Sie eines der folgenden drei Attribute auswählen:

**Ereignisname**  
Der Name des Ereignisses, in der Regel die AWS API, auf der ungewöhnliche Aktivitäten aufgezeichnet wurden.

**Ereignisquelle**  
Der AWS Dienst, an den die Anfrage gestellt wurde, z. B. `iam.amazonaws.com` oder`s3.amazonaws.com`. Wenn Sie nach einer Ereignisquelle filtern möchten, können Sie durch eine Liste von Ereignisquellen blättern.

**Ereignis-ID**  
Die ID des Insights-Ereignisses. Ereignisse IDs werden in der Tabelle der **Insights-Seite** nicht angezeigt, sie sind jedoch ein Attribut, nach dem Sie Insights-Ereignisse filtern können. Das Ereignis IDs von Management- oder Datenereignissen, die analysiert werden, um Insights-Ereignisse zu generieren, unterscheidet sich vom Ereignis IDs von Insights-Ereignissen.

![\[Der Filter für die CloudTrail Insights-Ereignisliste.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/insights_events_filter.png)


In der folgenden Liste werden die Attribute eines Ereignisses beschrieben, die nicht gefiltert werden können:

**Insight-Typ**  
Der Typ des CloudTrail Insights-Ereignisses, bei dem es sich entweder um die **API-Aufrufrate** oder die **API-Fehlerrate** handelt. Der Insight-Typ **„API-Aufrufrate**“ analysiert API-Aufrufe, die nur Schreibzugriff haben, oder Daten-API-Aufrufe, die pro Minute aggregiert werden, anhand eines API-Standardaufrufvolumens. Der Insight-Typ **API-Fehlerrate** analysiert Management- oder Daten-API-Aufrufe, die zu Fehlercodes führen. Der Fehler wird angezeigt, wenn der API-Aufruf fehlschlägt.

**Startzeit des Ereignisses**  
Der Zeitpunkt des Beginns eines Insights-Ereignisses, gemessen ab der ersten Minute, in der ungewöhnliche Aktivitäten aufgezeichnet wurden. Dieses Attribut wird in der **Insights**-Tabelle angezeigt, aber Sie können nicht nach der Startzeit des Ereignisses in der Konsole filtern.

**Baseline-Durchschnitt**  
Der Basiswert stellt das normale Muster der API-Aufruf- oder Fehlerratenaktivität dar, das täglich berechnet wird. Der Basisdurchschnitt ist der Durchschnitt dieser täglichen Ausgangswerte in den sieben Tagen vor Beginn eines Insights-Ereignisses. Dieser Zeitraum beträgt in der Regel sieben Tage, CloudTrail rundet den Berechnungszeitraum jedoch auf eine ganze Anzahl von Tagen ab, sodass die genaue Basisdauer leicht variieren kann.

**Insight-Durchschnitt**  
Die durchschnittliche Anzahl von Aufrufen einer API oder die durchschnittliche Anzahl eines bestimmten Fehlers, der bei Aufrufen einer API zurückgegeben wurde und das Insights-Ereignis ausgelöst hat. Der CloudTrail Insights-Durchschnitt für das Startereignis ist die Häufigkeit der Ereignisse, die das Insights-Ereignis ausgelöst haben. In der Regel ist dies die erste Minute ungewöhnlicher Aktivität. Der Insight-Durchschnitt für das Endereignis ist die Rate von Vorkommen für die Dauer der ungewöhnlichen Aktivität zwischen dem Insights-Start- und -Endereignis.

**Ratenänderung**  
Die Differenz zwischen dem Wert von **Baseline-Durchschnitt** und **Insight-Durchschnitt**, gemessen als Prozentsatz. Beispiel: Wenn der Baseline-Durchschnitt eines `AccessDenied`-Fehlervorkommens 1,0 und der Insight-Durchschnitt 3,0 beträgt, liegt eine Ratenänderung von 300 % vor. Für eine Ratenänderung für einen Insight-Durchschnitt, der einen Baseline-Durchschnitt übersteigt, wird neben dem Wert ein Nach-oben-Pfeil angezeigt. Wenn das Insights-Ereignis protokolliert wurde, weil die Aktivität unter dem Baseline-Durchschnitt liegt, wird für **Ratenänderung** ein Nach-unten-Pfeil neben dem Prozentsatz angezeigt.

Wurden für das gewählte Attribut oder die gewählte Zeit keine Ereignisse protokolliert, bleibt die Ergebnisliste leer. Neben dem Filter für den Zeitraum können Sie nur noch einen Attribut-Filter anwenden. Wenn Sie einen anderen Attributfilter auswählen, wird der angegebene Zeitbereich beibehalten.

In den folgenden Schritten wird beschrieben, wie Sie nach einem Attribut filtern.

**So filtern Sie nach einem Attribut**

1. Um die Ergebnisse nach einem Attribut zu filtern, wählen Sie ein Suchattribut aus dem Dropdownmenü aus, und geben Sie dann einen Wert in das Feld **Geben Sie einen Suchwert ein**, oder wählen Sie ihn aus.

1. Um einen Attributfilter zu entfernen, klicken Sie auf das **X** rechts vom Feld für den Attributfilter.

In den folgenden Schritten wird beschrieben, wie Sie nach einem Start- und Enddatum und nach Uhrzeit filtern.

**Nach einem Start- und Enddatum und Uhrzeit filtern**

1. Wählen Sie **unter Nach Datum und Uhrzeit filtern** eine der folgenden Optionen aus:
   + **Absoluter Bereich** — Ermöglicht die Auswahl einer bestimmten Uhrzeit. Fahren Sie mit dem nächsten Schritt fort.
   + **Relativer Bereich** — Standardmäßig ausgewählt. Hier können Sie einen Zeitraum relativ zur Startzeit eines Insights-Ereignisses auswählen. Fahren Sie mit Schritt 3 fort.

1. Gehen Sie wie folgt vor, um einen **absoluten Bereich** festzulegen.

   1. Wählen Sie den Tag aus, an dem der Zeitraum beginnen soll. Geben Sie eine Startzeit am ausgewählten Tag ein. Um ein Datum manuell einzugeben, geben Sie das Datum im Format `yyyy/mm/dd` ein. Die Start- und Endzeiten verwenden ein 24-Stunden-Format und die Werte müssen das Format `hh:mm:ss` haben. Um beispielsweise eine Startzeit von 18.30 Uhr anzugeben, geben Sie **18:30:00** ein.

   1. Wählen Sie ein Enddatum für den Bereich im Kalender aus oder geben Sie ein Enddatum und eine Endzeit unterhalb des Kalenders an. Wählen Sie **Anwenden** aus.

1. Gehen Sie wie folgt vor, um einen **relativen Bereich** festzulegen.

   1. Wählen Sie einen voreingestellten Zeitraum relativ zur Startzeit von Insights-Ereignissen. Zu den voreingestellten Zeitbereichen gehören 30 Minuten, 1 Stunde, 12 Stunden oder 1 Tag. Um einen benutzerdefinierten Zeitraum anzugeben, wählen Sie **Benutzerdefiniert** aus.

   1. Wenn Sie die gewünschte relative Zeit eingestellt haben, wählen Sie **Anwenden**.

1. Um einen Zeitbereichsfilter zu entfernen, wählen Sie das Kalendersymbol rechts neben dem Feld Nach **Datum und Uhrzeit filtern** und dann **Löschen und schließen aus.**

## Details zu Insights-Ereignissen anzeigen


1. Wählen Sie ein Insights-Ereignis in der Ergebnisliste aus, um die Details dazu anzuzeigen. Auf der Seite mit den Details eines Insights-Ereignisses wird ein Diagramm mit der Zeitachse der ungewöhnlichen Aktivitäten angezeigt.  
![\[Eine CloudTrail Insights-Detailseite mit ungewöhnlichen API-Aktivitäten.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/insights_event_view.png)

1. Bewegen Sie den Mauszeiger über die hervorgehobenen Bänder, um die Startzeit und Dauer jedes Insights-Ereignisses im Diagramm anzuzeigen.  
![\[Statistiken für Insights-Ereignis, nachdem darauf gezeigt wurde.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/insights_event_statistics.png)

   Die folgenden Informationen werden im Bereich **Zusätzliche Informationen** des Diagramms angezeigt:
   + **Insight-Typ**. Dies kann API-Aufrufrate oder API-Fehlerrate sein.
   + **Auslöser**. Dies ist ein Link zur Registerkarte **Cloudtrail-Ereignisse**, auf der die Verwaltungs- oder Datenereignisse aufgeführt sind, die analysiert wurden, um festzustellen, dass ungewöhnliche Aktivitäten aufgetreten sind.
   + **API-Aufrufe pro Minute** oder **Fehler pro** Minute
     + **Baseline-Durchschnitt** – Die typische Rate von Vorkommen pro Minute für diese API, für die das Insights-Ereignis protokolliert wurde, gemessen in ungefähr den letzten sieben Tagen in einer bestimmten Region in Ihrem Konto.
     + **Insight-Durchschnitt**: Die Rate der Vorkommen pro Minute für diese API, von der das Insights-Ereignis ausgelöst wurde. Der CloudTrail Insights-Durchschnitt für das Startereignis ist die Rate der Aufrufe oder Fehler pro Minute auf der API, die das Insights-Ereignis ausgelöst haben. In der Regel ist dies die erste Minute ungewöhnlicher Aktivität. Der Insights-Durchschnitt für das Endereignis ist die Rate von API-Aufrufen oder -Fehlern pro Minute für die Dauer der ungewöhnlichen Aktivitäten zwischen dem Insights-Start- und -Endereignis.
   + **Ereignisquelle**. Der AWS Service-Endpunkt, auf dem die ungewöhnliche Anzahl von API-Aufrufen oder Fehlern protokolliert wurde. Im vorherigen Bild ist `ec2.amazonaws.com` die Quelle der Service-Endpunkt für Amazon EC2.
   + **Startereignis-ID** – Die ID des Insights-Ereignisses, das zu Beginn der ungewöhnlichen Aktivitäten protokolliert wurde.
   + **Endereignis-ID** – Die ID des Insights-Ereignisses, das am Ende der ungewöhnlichen Aktivitäten protokolliert wurde.
   + **Gemeinsame Event-ID** — Bei Insights-Ereignissen ist die **Shared Event ID** eine GUID, die von CloudTrail Insights generiert wird, um ein Start- und Endpaar von Insights-Ereignissen eindeutig zu identifizieren. Die **Gemeinsame Ereignis-ID** ist für das Insights-Start- und -Endereignis gleich und dient zum Erstellen einer Korrelation zwischen den beiden Ereignissen, um ungewöhnliche Aktivitäten eindeutig identifizieren zu können.

1. Wählen Sie die Registerkarte **Namensnennungen** aus, um Informationen zu den Benutzeridentitäten, Benutzeragenten und zu API-Fehlerrate-Insights-Ereignissen und Fehlercodes anzuzeigen, die mit ungewöhnlichen und grundlegenden Aktivitäten korreliert sind. In Tabellen auf der Registerkarte **Attributionen** werden maximal fünf Benutzeridentitäten, fünf Benutzeragenten und fünf Fehlercodes angezeigt, sortiert nach dem Durchschnitt der Aktivitätsanzahl in absteigender Reihenfolge vom höchsten zum niedrigsten Wert.

1. Sehen Sie sich auf der Registerkarte **CloudTrail Ereignisse** verwandte Ereignisse an, die CloudTrail analysiert wurden, um festzustellen, dass ungewöhnliche Aktivitäten aufgetreten sind. Standardmäßig wird bereits ein Filter für den Namen des Insights-Ereignisses angewendet. Dies ist auch der Name der zugehörigen API. Auf der Registerkarte **CloudTrail Ereignisse** werden CloudTrail Verwaltungs- oder Datenereignisse im Zusammenhang mit der Betreff-API angezeigt, die zwischen der Startzeit (minus eine Minute) und der Endzeit (plus eine Minute) des Insights-Ereignisses aufgetreten sind.

   Wenn Sie andere Insights-Ereignisse im Diagramm auswählen, ändern sich die in der **CloudTrail Ereignistabelle angezeigten Ereignisse**. Mit diesen Ereignissen können Sie eine eingehendere Analyse durchführen, um die wahrscheinliche Ursache eines Insights-Ereignisses und die Gründe für die ungewöhnlichen API-Aktivitäten zu ermitteln.

   Um alle CloudTrail Ereignisse anzuzeigen, die während der Dauer des Insights-Ereignisses protokolliert wurden, und nicht nur die Ereignisse für die zugehörige API, schalten Sie den Filter aus.

1. Wählen Sie die Registerkarte **Insights-Ereignisdatensatz**, um die Insights-Start- und Endereignisse im JSON-Format anzuzeigen.

1. Wenn Sie die verknüpfte **Ereignisquelle** auswählen, kehren Sie zur Seite **Insights** zurück, die nach dieser Ereignisquelle gefiltert ist.

## Zoomen, Schwenken und Herunterladen des Diagramms


Sie können das Diagramm auf der Detailseite des Insights-Ereignisses zoomen, schwenken und dessen Achsen zurücksetzen, indem Sie die Symbolleiste oben rechts verwenden.

![\[Herunterladen als PNG, Zoomen, Schwenken, Vergrößern/Verkleinern und Zurücksetzen der Achsen: Befehlssymbolleiste.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/insights_details_custom_widgets.png)


Von links nach rechts haben die Befehlsschaltflächen des Diagramms die folgenden Funktionen:
+ **Plot als PNG herunterladen**: Laden Sie das Diagrammbild herunter, das auf der Detailseite angezeigt wird, und speichern Sie es im PNG-Format.
+ **Zoomen**: Ziehen Sie mit dem Mauszeiger ein Kästchen auf, um einen Bereich des Diagramms auszuwählen, den Sie vergrößern und detaillierter anzeigen möchten.
+ **Schwenken**: Verschieben Sie das Diagramm, um daneben angeordnete Datumsangaben oder Uhrzeiten anzuzeigen.
+ **Achsen zurücksetzen**: Setzen Sie die Diagrammachsen wieder in den Originalzustand zurück. Hierbei werden die Zoom- und Schwenkeinstellungen gelöscht.

## Ändern der Einstellungen für die Zeitspanne des Diagramms


Sie können die Zeitspanne – die ausgewählte Dauer der auf der *x*-Achse angezeigten Ereignisse – ändern, die im Diagramm angezeigt wird, indem Sie eine Einstellung in der oberen rechten Ecke des Diagramms auswählen.

![\[Zeitspanne für ein Insights-Ereignis.\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/insights_details_timespan.png)


## Herunterladen von Insights-Ereignissen


Sie können einen aufgezeichneten Verlauf von Insights-Ereignissen als Datei im CSV- oder JSON-Format herunterladen. Verwenden Sie Filter und Zeitbereiche zur Reduzierung der Größe der Datei, die Sie herunterladen.

**Anmerkung**  
CloudTrail Ereignisverlaufsdateien sind Datendateien, die Informationen (wie Ressourcennamen) enthalten, die von einzelnen Benutzern konfiguriert werden können. Einige Daten können potenziell als Befehle in Programmen verwendet werden, um diese Daten zu lesen und zu analysieren (CSV-Injektion). Wenn CloudTrail Ereignisse beispielsweise als CSV exportiert und in ein Tabellenkalkulationsprogramm importiert werden, warnt Sie dieses Programm möglicherweise vor Sicherheitsbedenken. Die bewährte Sicherheitsmethode besteht darin, Links oder Makros aus heruntergeladenen Dateien mit Ereignisverläufen zu deaktivieren.

1. Geben Sie den Filter und Zeitraum für die Ereignisse an, die Sie herunterladen möchten. Sie können beispielsweise den Namen des Ereignisses und einen Zeitraum für die Aktivität der letzten 12 Stunden angeben. `StartInstances`

1. Wählen Sie **Download events (Ereignisse herunterladen)** und dann **Download CSV (CSV herunterladen)** oder **Download JSON (JSON herunterladen)** aus. Sie werden aufgefordert, einen Speicherort für die Datei auszuwählen.
**Anmerkung**  
Ihr Download kann einige Zeit in Anspruch nehmen. Verwenden Sie für schnellere Ergebnisse einen detaillierteren Filter oder einen kürzeren Zeitbereich, um die Ergebnisse einzuschränken, bevor Sie den Download-Vorgang starten.

1. Wenn der Download abgeschlossen ist, öffnen Sie die Datei, um die Ereignisse anzuzeigen, die Sie angegeben haben.

1. Um den Download abzubrechen, wählen Sie **Abbrechen**. Wenn Sie einen Download abbrechen, bevor er abgeschlossen ist, enthält eine CSV- oder JSON-Datei auf Ihrem lokalen Computer möglicherweise nur einen Teil Ihrer Ereignisse.

# Insights-Ereignisse für Wanderwege anzeigen mit dem AWS CLI


In diesem Abschnitt wird beschrieben, wie Sie mit dem `list-insights-data` Befehl AWS CLI `lookup-events` and nach Insights-Ereignissen der letzten 90 Tage nach einem Trail suchen, für den Insights-Ereignisse aktiviert sind. Informationen zur Aktivierung von CloudTrail Insights on a Trail finden Sie unter[Protokollieren von Insights-Ereignissen für einen Trail mit dem AWS CLI](insights-events-CLI-enable.md#insights-events-CLI-enable-trails).

**Anmerkung**  
Sie können den `list-insights-data` Befehl `lookup-events` oder nicht verwenden, um Insights-Ereignisse für einen Ereignisdatenspeicher zu suchen. CloudTrail Lake bietet jedoch eine Reihe von Beispielabfragen für Insights-Ereignisdatenspeicher. Weitere Informationen finden Sie unter [Beispielabfragen für Insights-Ereignisse anzeigen](insights-events-view-lake.md#insights-events-lake-queries).

Der Befehl `lookup-events` hat die folgenden Optionen:
+ `--end-time`
+ `--event-category`
+ `--max-results`
+ `--start-time`
+ `--lookup-attributes`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`

Der Befehl `list-insights-data` hat die folgenden Optionen:
+ `--end-time`
+ `--data-type`
+ `--max-results`
+ `--start-time`
+ `--dimensions`
+ `--next-token`
+ `--generate-cli-skeleton`
+ `--cli-input-json`

Allgemeine Informationen zur Verwendung von AWS Command Line Interface finden Sie im [AWS Command Line Interface Benutzerhandbuch](https://docs.aws.amazon.com/cli/latest/userguide/). 

**Contents**
+ [

## Voraussetzungen
](#aws-cli-prerequisites-for-insights)
+ [

## Nutzen der Befehlszeilenhilfe
](#getting-command-line-help-insights)
+ [

## Insights-Ereignisse für Managementereignisse suchen
](#looking-up-management-insights-with-the-aws-cli)
+ [

## Insights-Ereignisse nach Datenereignissen suchen
](#looking-up-data-insights-with-the-aws-cli)
+ [

## Geben Sie die Anzahl der Insights-Ereignisse an, für die Verwaltungsereignisse zurückgegeben werden sollen
](#specify-the-number-of-management-insights-to-return)
+ [

## Angabe der Anzahl der Insights-Ereignisse für zurückzugebende Datenereignisse
](#specify-the-number-of-data-insights-to-return)
+ [

## Insights-Ereignisse für Verwaltungsereignisse nach Zeitraum nachschlagen
](#look-up-management-insights-by-time-range)
+ [

## Insights-Ereignisse für Datenereignisse nach Zeitbereich nachschlagen
](#look-up-data-insights-by-time-range)
+ [

## Insights-Ereignisse für Verwaltungsereignisse nach Attributen nachschlagen
](#look-up-management-insights-by-attributes)
  + [

### Beispiele für die Attributsuche
](#attribute-lookup-example-insights)
+ [

## Insights-Ereignisse für Datenereignisse nach Dimension nachschlagen
](#look-up-data-insights-by-attributes)
  + [

### Beispiele für die Suche nach Dimensionen
](#dimension-lookup-example-insights)
+ [

## Angabe der nächsten Ergebnisseite für Insights-Ereignisse für Managementereignisse
](#specify-next-page-of-management-results)
+ [

## Angabe der nächsten Ergebnisseite für Insights-Ereignisse für Verwaltungsereignisse
](#specify-next-page-of-data-results)
+ [

## Abrufen von JSON-Eingaben aus einer Datei für Insights-Ereignisse für Verwaltungsereignisse
](#json-input-from-file-managemenet-insights)
+ [

## Abrufen von JSON-Eingaben aus einer Datei für Insights-Ereignisse für Datenereignisse
](#json-input-from-file-data-insights)
+ [

## Ausgabefelder der Suche
](#view-insights-events-cli-output-fields)

## Voraussetzungen

+ Um AWS CLI Befehle auszuführen, müssen Sie den installieren AWS CLI. Weitere Informationen finden Sie unter [Erste Schritte mit der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+ Stellen Sie sicher, dass Ihre AWS CLI Version höher als 1.6.6 ist. Sie können die CLI-Version verifizieren, indem Sie **aws --version** in der Befehlszeile ausführen.
+ Verwenden Sie den **aws configure** Befehl, um das Konto, die Region und das Standardausgabeformat für eine AWS CLI Sitzung festzulegen. Weitere Informationen finden Sie unter [Konfigurieren der AWS -Befehlszeilenschnittstelle](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
+  Um Insights-Ereignisse in Bezug auf die API-Aufrufrate zu protokollieren, muss der Trail `write` Verwaltungsereignisse protokollieren. Um Insights-Ereignisse anhand der API-Fehlerrate protokollieren zu können, muss der Trail `read` `write` Verwaltungsereignisse protokollieren. 

**Anmerkung**  
Bei den CloudTrail AWS CLI Befehlen wird zwischen Groß- und Kleinschreibung unterschieden.

## Nutzen der Befehlszeilenhilfe


Geben Sie den folgenden Befehl ein, wenn Sie die Befehlszeilenhilfe zu `lookup-events` anzeigen möchten.

```
aws cloudtrail lookup-events help
```

## Insights-Ereignisse für Managementereignisse suchen


Geben Sie den folgenden Befehl ein, um die 50 neuesten Insights-Ereignisse anzuzeigen.

```
aws cloudtrail lookup-events --event-category insight
```

Ein zurückgegebenes Ereignis sieht in etwa wie folgt aus:

```
{
    "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", 
    "Events": [
        {
            "eventVersion": "1.09",
            "eventTime": "2024-12-11T16:52:00Z",
            "awsRegion": "us-east-1",
            "eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
            "eventType": "AwsCloudTrailInsight",
            "recipientAccountId": "888888888888",
            "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
            "insightDetails": {
                "state": "Start",
                "eventSource": "cloudtrail.amazonaws.com",
                "eventName": "DescribeQuery",
                "insightType": "ApiErrorRateInsight",
                "errorCode": "QueryIdNotFoundException",
                "sourceEventCategory": "Management",
                "insightContext": {
                    "statistics": {
                        "baseline": {
                            "average": 0
                        },
                        "insight": {
                            "average": 1.2
                        },
                        "insightDuration": 5,
                        "baselineDuration": 11092
                    },
                    "attributions": [
                        {
                            "attribute": "userIdentityArn",
                            "insight": [
                                {
                                    "value": "arn:aws:sts::888888888888:assumed-role/Admin",
                                    "average": 1.2
                                }
                            ],
                            "baseline": []
                        },
                        {
                            "attribute": "userAgent",
                            "insight": [
                                {
                                    "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
                                    "average": 1.2
                                }
                            ],
                            "baseline": []
                        }
                    ]
                }
            },
            "eventCategory": "Insight"
        },
        {
            "eventVersion": "1.09",
            "eventTime": "2024-12-11T16:53:00Z",
            "awsRegion": "us-east-1",
            "eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
            "eventType": "AwsCloudTrailInsight",
            "recipientAccountId": "888888888888",
            "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
            "insightDetails": {
                "state": "End",
                "eventSource": "cloudtrail.amazonaws.com",
                "eventName": "DescribeQuery",
                "insightType": "ApiErrorRateInsight",
                "errorCode": "QueryIdNotFoundException",
                "sourceEventCategory": "Management",
                "insightContext": {
                    "statistics": {
                        "baseline": {
                            "average": 0
                        },
                        "insight": {
                            "average": 6
                        },
                        "insightDuration": 1,
                        "baselineDuration": 11092
                    },
                    "attributions": [
                        {
                            "attribute": "userIdentityArn",
                            "insight": [
                                {
                                    "value": "arn:aws:sts::888888888888:assumed-role/Admin",
                                    "average": 6
                                }
                            ],
                            "baseline": []
                        },
                        {
                            "attribute": "userAgent",
                            "insight": [
                                {
                                    "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
                                    "average": 6
                                }
                            ],
                            "baseline": []
                        }
                    ]
                }
            },
            "eventCategory": "Insight"
        }
    ]
}
```

Eine Erläuterung der suchbezogenen Felder in der Ausgabe finden Sie im Abschnitt [Ausgabefelder der Suche](#view-insights-events-cli-output-fields) in diesem Thema. Eine Erläuterung der Felder im Insights-Ereignis erhalten Sie unter [CloudTrail Inhalte für Insights-Ereignisse für Trails aufzeichnen](cloudtrail-insights-fields-trails.md).

## Insights-Ereignisse nach Datenereignissen suchen


Geben Sie den folgenden Befehl ein, um die 50 neuesten Insights-Ereignisse anzuzeigen.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName
```

Ein zurückgegebenes Ereignis sieht in etwa wie folgt aus:

```
    {  
    "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",   
    "Events": [  
        {  
            "eventVersion": "1.09",  
            "eventTime": "2024-12-11T16:52:00Z",  
            "awsRegion": "us-east-2",  
            "eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",  
            "eventType": "AwsCloudTrailInsight",  
            "recipientAccountId": "123456789012",  
            "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",  
            "insightDetails": {  
                "state": "Start",  
                "eventSource": "s3.amazonaws.com",  
                "eventName": "PutObject",  
                "insightType": "ApiErrorRateInsight",  
                "errorCode": "InvalidRequest",
                "sourceEventCategory": "Data",
                "insightContext": {  
                    "statistics": {  
                        "baseline": {  
                            "average": 0  
                        },  
                        "insight": {  
                            "average": 1.2  
                        },  
                        "insightDuration": 5,  
                        "baselineDuration": 11092  
                    },  
                    "attributions": [  
                        {  
                            "attribute": "userIdentityArn",  
                            "insight": [  
                                {  
                                    "value": "arn:aws:sts::123456789012:assumed-role/Admin",  
                                    "average": 1.2  
                                }  
                            ],  
                            "baseline": []  
                        },  
                        {  
                            "attribute": "userAgent",  
                            "insight": [  
                                {  
                                    "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",  
                                    "average": 1.2  
                                }  
                            ],  
                            "baseline": []  
                        }  
                    ]  
                },  

                "insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"  
            },  
            "eventCategory": "Insight"  
        },  
        {  
            "eventVersion": "1.09",  
            "eventTime": "2024-12-11T16:53:00Z",  
            "awsRegion": "us-east-1",  
            "eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",  
            "eventType": "AwsCloudTrailInsight",  
            "recipientAccountId": "123456789012",  
            "sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",  
            "insightDetails": {  
                "state": "End",  
                "eventSource": "s3.amazonaws.com",  
                "eventName": "PutObject",  
                "insightType": "ApiErrorRateInsight",  
                "errorCode": "InvalidRequest",  
                "sourceEventCategory": "Data",  
                "insightContext": {  
                    "statistics": {  
                        "baseline": {  
                            "average": 0  
                        },  
                        "insight": {  
                            "average": 6  
                        },  
                        "insightDuration": 1,  
                        "baselineDuration": 11092  
                    },  
                    "attributions": [  
                        {  
                            "attribute": "userIdentityArn",  
                            "insight": [  
                                {  
                                    "value": "arn:aws:sts::123456789012:assumed-role/Admin",  
                                    "average": 6  
                                }  
                            ],  
                            "baseline": []  
                        },  
                        {  
                            "attribute": "userAgent",  
                            "insight": [  
                                {  
                                    "value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",  
                                    "average": 6  
                                }  
                            ],  
                            "baseline": []  
                        }  
                    ]  
                }, 

                "insightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"    
            },  
            "eventCategory": "Insight"  
        }  
    ]  
}
```

## Geben Sie die Anzahl der Insights-Ereignisse an, für die Verwaltungsereignisse zurückgegeben werden sollen


Geben Sie den folgenden Befehl ein, um die Anzahl der Insights-Ereignisse anzugeben, für die Verwaltungsereignisse zurückgegeben werden sollen.

```
aws cloudtrail lookup-events --event-category insight --max-results <integer>
```

Der Standardwert für *<integer>* ist 50. Wenn er nicht angegeben ist. Mögliche Werte: 1 bis 50. Im folgenden Beispiel wird ein Ergebnis zurückgegeben.

```
aws cloudtrail lookup-events --event-category insight --max-results 1
```

## Angabe der Anzahl der Insights-Ereignisse für zurückzugebende Datenereignisse


Geben Sie den folgenden Befehl ein, um die Anzahl der Insights-Ereignisse für zurückzugebende Datenereignisse anzugeben.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results <integer>
```

Der Standardwert für *<integer>* ist 50. Wenn er nicht angegeben ist. Mögliche Werte: 1 bis 50. Im folgenden Beispiel wird ein Ergebnis zurückgegeben.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --max-results 1
```

## Insights-Ereignisse für Verwaltungsereignisse nach Zeitraum nachschlagen


Insights-Ereignisse für Managementereignisse der letzten 90 Tage können abgerufen werden. Geben Sie den folgenden Befehl ein, um einen Zeitraum anzugeben.

```
aws cloudtrail lookup-events --event-category insight --start-time <timestamp> --end-time <timestamp>
```

`--start-time <timestamp>` gibt in UTC an, dass nur Insights-Ereignisse, die nach oder zum angegebenen Zeitpunkt eintreten, zurückgegeben werden. Falls die angegebene Anfangszeit nach der angegebenen Endzeit liegt, wird ein Fehler zurückgegeben.

`--end-time <timestamp>` gibt in UTC an, dass nur Insights-Ereignisse, die vor oder zum angegebenen Zeitpunkt eintreten, zurückgegeben werden. Falls die angegebene Endzeit vor der angegebenen Anfangszeit liegt, wird ein Fehler zurückgegeben.

Standardmäßige Anfangszeit ist das früheste Datum, an dem innerhalb der letzten 90 Tage Daten verfügbar sind. Standardmäßige Endzeit ist der Zeitpunkt des Ereignisses, das zu dem der aktuellen Zeit am nächsten liegenden Zeitpunkt eingetreten ist.

Alle Zeitstempel werden in UTC angezeigt.

## Insights-Ereignisse für Datenereignisse nach Zeitbereich nachschlagen


Insights-Ereignisse für Datenereignisse der letzten 90 Tage können abgerufen werden. Geben Sie den folgenden Befehl ein, um einen Zeitraum anzugeben.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --start-time <timestamp> --end-time <timestamp>
```

`--start-time <timestamp>` gibt in UTC an, dass nur Insights-Ereignisse, die nach oder zum angegebenen Zeitpunkt eintreten, zurückgegeben werden. Falls die angegebene Anfangszeit nach der angegebenen Endzeit liegt, wird ein Fehler zurückgegeben.

`--end-time <timestamp>` gibt in UTC an, dass nur Insights-Ereignisse, die vor oder zum angegebenen Zeitpunkt eintreten, zurückgegeben werden. Falls die angegebene Endzeit vor der angegebenen Anfangszeit liegt, wird ein Fehler zurückgegeben.

Standardmäßige Anfangszeit ist das früheste Datum, an dem innerhalb der letzten 90 Tage Daten verfügbar sind. Standardmäßige Endzeit ist der Zeitpunkt des Ereignisses, das zu dem der aktuellen Zeit am nächsten liegenden Zeitpunkt eingetreten ist.

Alle Zeitstempel werden in UTC angezeigt.

## Insights-Ereignisse für Verwaltungsereignisse nach Attributen nachschlagen


Geben Sie zum Filtern nach einem Attribut den folgenden Befehl ein.

```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>
```

Sie können für jeden **lookup-events**-Befehl nur ein Paar angeben, das aus dem Attributschlüssel und dem zugehörigen Wert besteht. Im Folgenden sind die gültigen Werte von Insights-Ereignissen für `AttributeKey` angegeben. Bei den Wertnamen muss die Groß- und Kleinschreibung beachtet werden.
+ `EventId`
+ `EventName`
+ `EventSource`

Die maximale Länge für die `AttributeValue` beträgt 2000 Zeichen. Die folgenden Zeichen ('`_`', '', ` ` '', `,` '`\\n`') gelten als zwei Zeichen im Verhältnis zur Obergrenze von 2000 Zeichen.

### Beispiele für die Attributsuche


Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventName`-Wert `PutRule` zurück.

```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```

Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventId`-Wert `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` zurück.

```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```

Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventSource`-Wert `iam.amazonaws.com` zurück.

```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
```

## Insights-Ereignisse für Datenereignisse nach Dimension nachschlagen


Geben Sie den folgenden Befehl ein, um nach einer Dimension zu filtern.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName 
        --dimensions <DimensionKey>=<DimensionValue>
```

Sie können für jeden **list-insights-events** Befehl nur ein Dimensions-Schlüssel-Wert-Paar angeben. Im Folgenden sind die gültigen Werte von Insights-Ereignissen für `DimensionKey` angegeben. Bei den Wertnamen muss die Groß- und Kleinschreibung beachtet werden.
+ `EventId`
+ `EventName`
+ `EventSource`

Die maximale Länge für den `DimensionValue` beträgt 2000 Zeichen. Die folgenden Zeichen ('`_`', '', ` ` '', `,` '`\\n`') gelten als zwei Zeichen im Verhältnis zur Obergrenze von 2000 Zeichen.

### Beispiele für die Suche nach Dimensionen


Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventName`-Wert `PutObject` zurück.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```

Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventId`-Wert `b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002` zurück.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventId=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
```

Der folgende Beispielbefehl gibt die Insights-Ereignisse mit dem `EventSource`-Wert `s3.amazonaws.com` zurück.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventSource=s3.amazonaws.com
```

## Angabe der nächsten Ergebnisseite für Insights-Ereignisse für Managementereignisse


Um die nächste Seite mit Ergebnissen des Befehls `lookup-events` abzurufen, geben Sie den folgenden Befehl ein.

```
aws cloudtrail lookup-events --event-category insight <same parameters as previous command> --next-token=<token>
```

In diesem Befehl *<token>* wird der Wert für aus dem ersten Feld der Ausgabe des vorherigen Befehls übernommen.

Wenn Sie `--next-token` in einem Befehl verwenden, müssen Sie dieselben Parameter wie im vorherigen Befehl verwenden. Angenommen, Sie führen den unten angegebenen Befehl aus.

```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
```

Um die nächste Seite mit Ergebnissen abzurufen, würde Ihr nächster Befehl wie folgt aussehen.

```
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```

## Angabe der nächsten Ergebnisseite für Insights-Ereignisse für Verwaltungsereignisse


Um die nächste Seite mit Ergebnissen des Befehls `list-insights-data` abzurufen, geben Sie den folgenden Befehl ein.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName<same parameters as previous command> --next-token=<token>
```

In diesem Befehl *<token>* wird der Wert für aus dem ersten Feld der Ausgabe des vorherigen Befehls übernommen.

Wenn Sie `--next-token` in einem Befehl verwenden, müssen Sie dieselben Parameter wie im vorherigen Befehl verwenden. Angenommen, Sie führen den unten angegebenen Befehl aus.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject
```

Um die nächste Seite mit Ergebnissen abzurufen, würde Ihr nächster Befehl wie folgt aussehen.

```
aws cloudtrail list-insights-data --data-type InsightsEvents --insight-source arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName --dimensions EventName=PutObject --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
```

## Abrufen von JSON-Eingaben aus einer Datei für Insights-Ereignisse für Verwaltungsereignisse


 AWS CLI Für einige AWS Dienste gibt es zwei Parameter, `--generate-cli-skeleton` und`--cli-input-json`, mit denen Sie eine JSON-Vorlage generieren können, die Sie ändern und als Eingabe für den `--cli-input-json` Parameter verwenden können. In diesem Abschnitt wird die Verwendung dieser Parameter mit `aws cloudtrail lookup-events` beschrieben. Weitere Informationen finden Sie unter [AWS CLI Skelette und Eingabedateien](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).

**So suchen Sie Insights-Ereignisse durch Abrufen der JSON-Eingabe aus einer Datei**

1. Erstellen Sie eine Eingabevorlage für die Verwendung mit `lookup-events` und leiten Sie dazu die `--generate-cli-skeleton`-Ausgabe in eine Datei um, wie im folgenden Beispiel dargestellt.

   ```
   aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
   ```

   Die generierte Vorlagendatei (in diesem Fall LookupEvents .txt) sieht wie folgt aus.

   ```
   {
       "LookupAttributes": [
           {
               "AttributeKey": "",
               "AttributeValue": ""
           }
       ],
       "StartTime": null,
       "EndTime": null,
       "MaxResults": 0,
       "NextToken": ""
   }
   ```

1. Ändern Sie die JSON-Daten in einem Texteditor nach Bedarf. Die JSON-Eingabe darf nur angegebene Werte umfassen.
**Wichtig**  
Die Vorlage kann erst verwendet werden, nachdem alle leeren Werte oder Nullwerte daraus entfernt wurden.

   Im folgenden Beispiel sind ein Zeitraum und die maximale Anzahl der zurückzugebenden Ergebnisse angegeben.

   ```
   {
       "StartTime": "2023-11-01",
       "EndTime": "2023-12-12",
       "MaxResults": 10
   }
   ```

1. Um die bearbeitete Datei als Eingabe zu verwenden, verwenden Sie die Syntax `--cli-input-json file://` *<filename>* wie im folgenden Beispiel.

   ```
   aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
   ```

**Anmerkung**  
Sie können in derselben Befehlszeile wie `--cli-input-json` weitere Argumente verwenden.

## Abrufen von JSON-Eingaben aus einer Datei für Insights-Ereignisse für Datenereignisse


 AWS CLI Für einige AWS Dienste gibt es zwei Parameter, `--generate-cli-skeleton` mit denen Sie eine JSON-Vorlage generieren können, die Sie ändern und als Eingabe für den `--cli-input-json` Parameter verwenden können. `--cli-input-json` In diesem Abschnitt wird die Verwendung dieser Parameter mit `aws cloudtrail list-insights-data` beschrieben. Weitere Informationen finden Sie unter [AWS CLI Skelette und Eingabedateien](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-skeleton.html).

**So suchen Sie Insights-Ereignisse durch Abrufen der JSON-Eingabe aus einer Datei**

1. Erstellen Sie eine Eingabevorlage für die Verwendung mit `list-insights-data` und leiten Sie dazu die `--generate-cli-skeleton`-Ausgabe in eine Datei um, wie im folgenden Beispiel dargestellt.

   ```
   aws cloudtrail list-insights-data --data-type InsightsEvents --generate-cli-skeleton > ListInsightsData.txt
   ```

   Die generierte Vorlagendatei (in diesem Fall ListInsightsData .txt) sieht wie folgt aus.

   ```
   {  
      "InsightSource": "",
       "DataType": "InsightsEvents", 
       "Dimensions":
       {
           "KeyName": ""
       },
       "StartTime": null,
       "EndTime": null,
       "MaxResults": 0,
       "NextToken": ""
   }
   ```

1. Ändern Sie die JSON-Daten in einem Texteditor nach Bedarf. Die JSON-Eingabe darf nur angegebene Werte umfassen.
**Wichtig**  
Die Vorlage kann erst verwendet werden, nachdem alle leeren Werte oder Nullwerte daraus entfernt wurden.

   Im folgenden Beispiel sind ein Zeitraum und die maximale Anzahl der zurückzugebenden Ergebnisse angegeben.

   ```
   {
       
      "InsightSource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName", 
       "DataType": "InsightsEvents", 
       "Dimensions":
       {
           "EventName": "PutObject"
       },
       "StartTime": "2025-11-01",
       "EndTime": "2025-11-05",
       "MaxResults": 1
   }
   ```

1. Um die bearbeitete Datei als Eingabe zu verwenden, verwenden Sie die Syntax `--cli-input-json file://` *<filename>* wie im folgenden Beispiel.

   ```
   aws cloudtrail list-insights-data --data-type InsightsEvents --cli-input-json file://ListInsightsData.txt
   ```

**Anmerkung**  
Sie können in derselben Befehlszeile wie `--cli-input-json` weitere Argumente verwenden.

## Ausgabefelder der Suche


**Ereignisse**  
Eine Liste der Suchereignisse basierend auf dem angegebenen Suchattribut und Zeitbereich. Die Ereignisliste ist nach Zeit sortiert, das neueste Ereignis ist zuerst aufgeführt. Jeder Eintrag enthält Informationen über die Suchanfrage und eine Zeichenfolgendarstellung des abgerufenen CloudTrail Ereignisses.   
Die folgenden Einträge beschreiben die Felder in den einzelnen Suchereignissen.

**CloudTrailEvent**  
Eine JSON-Zeichenfolge, die eine Objektdarstellung des zurückgegebenen Ereignisses enthält. Weitere Informationen zu den einzelnen zurückgegebenen Elementen finden Sie im Abschnitt [Datensatzinhalte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).

**EventId**  
Eine Zeichenfolge, die die GUID des zurückgegebenen Ereignisses enthält.

**EventName**  
Eine Zeichenfolge, die den Namen des zurückgegebenen Ereignisses enthält. 

**EventSource**  
Der AWS Dienst, an den die Anfrage gestellt wurde. 

**EventTime**  
Datum und Uhrzeit des Ereignisses im UNIX-Zeitformat. 

**Ressourcen**  
Eine Liste der Ressourcen, auf die von dem zurückgegebenen Ereignis verwiesen wird. In jedem Ressourceneintrag ist ein Ressourcentyp und ein Ressourcenname angegeben.

**ResourceName**  
Eine Zeichenfolge, die den Namen der Ressource enthält, auf die von dem Ereignis verwiesen wird. 

**ResourceType**  
Eine Zeichenfolge, die den Typ einer Ressource enthält, auf die von dem Ereignis verwiesen wird. Wenn der Ressourcentyp nicht ermittelt werden kann, wird Null zurückgegeben.

**Username**  
Eine Zeichenfolge, die den Benutzernamen des Kontos für das zurückgegebene Ereignis enthält. 

**NextToken**  
Eine Zeichenfolge zum Abrufen der nächsten Ergebnisseite eines vorherigen `lookup-events`-Befehls. Um das Token verwenden zu können, müssen die Parameter mit den Parametern im ursprünglichen Befehl übereinstimmen. Wenn es in der Ausgabe keinen `NextToken`-Eintrag gibt, sind keine weiteren Ergebnisse vorhanden, die zurückgegeben werden können.

Weitere Informationen zu CloudTrail Insights-Ereignissen finden Sie [Mit CloudTrail Insights arbeiten](logging-insights-events-with-cloudtrail.md) in diesem Leitfaden.

# Anzeigen von Insights-Ereignissen für Ereignisdatenspeicher


In diesem Abschnitt wird beschrieben, wie Sie Insights-Ereignisse für einen Insights-Ereignisdatenspeicher anzeigen können, indem Sie das **Insights-Ereignis-Dashboard** aufrufen und Beispielabfragen ausführen. Informationen zur Aktivierung von CloudTrail Insights in einem Ereignisdatenspeicher finden Sie unter[Aktivieren von CloudTrail Insights in einem vorhandenen Ereignisdatenspeicher mit der Konsole](insights-events-enable.md#insights-events-enable-lake).

CloudTrail Für Abfragen fallen Gebühren an, die auf der Menge der gescannten Daten basieren. Um die Kosten zu kontrollieren, empfehlen wir Ihnen, Abfragen einzuschränken, indem Sie `eventTime`-Start- und Ende-Zeitstempel zu Abfragen hinzufügen. Weitere Informationen zu CloudTrail-Preisen erhalten Sie unter [AWS CloudTrail – Preise](https://aws.amazon.com/cloudtrail/pricing/).

Eine Beschreibung der Datensatzfelder von Insights-Ereignissen für Ereignisdatenspeicher finden Sie unter[CloudTrail Inhalte für Insights-Ereignisse für Ereignisdatenspeicher aufzeichnen](cloudtrail-insights-fields-lake.md).

**Topics**
+ [

## Das Insights-Dashboard für einen Ereignisdatenspeicher anzeigen
](#insights-events-view-lake-dashboard)
+ [

## Beispielabfragen für Insights-Ereignisse anzeigen
](#insights-events-lake-queries)

## Das Insights-Dashboard für einen Ereignisdatenspeicher anzeigen


Das **Insights-Ereignis-Dashboard** zeigt den Gesamtanteil der Insights-Ereignisse nach Insights-Typ, den Anteil der Insights-Ereignisse nach Insights-Typ für die wichtigsten Benutzer und Dienste sowie die Anzahl der Insights-Ereignisse pro Tag. Das Dashboard enthält auch ein Widget, das Insights-Ereignisse für bis zu 30 Tage auflistet.

**Anmerkung**  
Nachdem Sie CloudTrail Insights zum ersten Mal im Quell-Eventdatenspeicher aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden. Weitere Informationen finden Sie unter [Durchführung von Insights-Ereignissen](insights-events-understanding.md).
Das **Insights-Ereignis-Dashboard** zeigt nur Informationen zu den Insights-Ereignissen an, die vom ausgewählten Ereignisdatenspeicher erfasst wurden. Dies hängt von der Konfiguration des Quellereignisdatenspeichers ab. Wenn Sie beispielsweise den ursprünglichen Ereignisdatenspeicher so konfigurieren, dass Insights-Ereignisse für `ApiCallRateInsight`, aber nicht für `ApiErrorRateInsight` aktiviert werden, werden Ihnen keine Informationen über Insights-Ereignisse für `ApiErrorRateInsight` angezeigt.

**Um das Insights-Event-Dashboard anzuzeigen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  Wählen Sie im linken Navigationsbereich unter **Lake** die Option **Dashboard** aus. 

1. Wählen Sie die Registerkarte **Verwaltete und benutzerdefinierte Dashboards**.

1. Wählen Sie in den **AWS verwalteten Dashboards** das **Insights-Event-Dashboard** aus.

1.  Wählen Sie Ihren Insights-Ereignisdatenspeicher aus. 

1. Wählen Sie, ob Sie die Dashboard-Daten nach einem **absoluten Bereich** oder einem **relativen Bereich** filtern möchten. Wählen Sie **Absoluter Bereich**, um ein bestimmtes Datum und eine bestimmte Zeitspanne auszuwählen. Wählen Sie **Relativer Bereich**, um einen vordefinierten Zeitraum oder einen benutzerdefinierten Bereich auszuwählen. Standardmäßig zeigt das Dashboard Ereignisdaten der letzten 24 Stunden an.
**Anmerkung**  
CloudTrail Bei Lake-Abfragen fallen Kosten an, die von der Menge der gescannten Daten abhängen. Für eine bessere Kostenkontrolle können Sie nach einem engeren Zeitrahmen filtern. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).

1. Wählen Sie das Aktualisierungssymbol, um die Grafiken für die Widgets des Dashboards aufzufüllen. Jedes Widget gibt den Status der Aktualisierung an.

Weitere Informationen zu Lake-Dashboards finden Sie unter [CloudTrail Lake-Dashboards](lake-dashboard.md).

## Beispielabfragen für Insights-Ereignisse anzeigen


Die CloudTrail Konsole bietet eine Reihe von Beispielabfragen für Insights-Ereignisse, die Ihnen den Einstieg in das Schreiben eigener Abfragen erleichtern können.

**So zeigen Sie Beispielabfragen für Insights-Ereignisse an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  Wählen Sie im Navigationsbereich unter **Lake** die Option **Abfrage** aus. 

1. Wählen Sie auf der Seite **Abfrage** die Registerkarte **Beispielabfragen** aus.

1. Suchen Sie nach Abfragen für Insights-Ereignisse. Wählen Sie den **Abfragenamen**, um die Abfrage auf der Registerkarte **Editor** zu öffnen.  
![\[Das Beispiel zeigt Beispielabfragen für Insights-Ereignisse\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/ct-insights-sample-queries.png)

1. Wählen Sie auf der Registerkarte **Editor** den Insights-Ereignisdatenspeicher aus. Wenn Sie den Ereignisdatenspeicher aus der Liste auswählen, CloudTrail wird die ID des Ereignisdatenspeichers automatisch in die `FROM` Zeile des Abfrage-Editors eingetragen.

1. Wählen Sie dann **Ausführen** aus, um die Abfrage auszuführen. Nach Abschluss der Abfrage können Sie die Befehlsausgabe und die Abfrageergebnisse anzeigen.

   Auf der Registerkarte **Befehlsausgabe** werden Metadaten zu Ihrer Abfrage angezeigt, z. B. ob die Abfrage erfolgreich war, die Anzahl der übereinstimmenden Datensätze und die Laufzeit der Abfrage.

   Auf der Registerkarte **Abfrageergebnisse** werden die Ereignisdaten im ausgewählten Ereignisdatenspeicher angezeigt, die Ihrer Abfrage entsprachen.

Weitere Informationen zum Bearbeiten einer Abfrage finden Sie unter [Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail](query-create-edit-query.md). Weitere Informationen zum Ausführen einer Abfrage und zum Speichern von Abfrageergebnissen finden Sie unter [Führen Sie eine Abfrage aus und speichern Sie die Abfrageergebnisse mit der Konsole](query-run-query.md).