Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Ereignisdatenspeicher mit der Konsole erstellen, aktualisieren und verwalten
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Sie können die CloudTrail Konsole verwenden, um Ereignisdatenspeicher zu erstellen, zu aktualisieren, zu löschen und wiederherzustellen.
Sie können die folgenden Einstellungen mithilfe der CloudTrail Konsole aktualisieren:
+ Sie können die [Preisoption](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) von einer **siebenjährigen Aufbewahrungsfrist auf **eine einjährige verlängerbare** Aufbewahrungsfrist** ändern.
+ Sie können den Aufbewahrungszeitraum für den Ereignisdatenspeicher aktualisieren. Die Aufbewahrungsdauer bestimmt, wie lange Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden.
+ Sie können einen Ereignisdatenspeicher mit mehreren Regionen in einen Ereignisdatenspeicher mit einer Region oder einen Ereignisdatenspeicher mit einer Region in einen Ereignisdatenspeicher mit mehreren Regionen konvertieren.
+ Das Verwaltungskonto einer AWS Organizations Organisation kann einen Ereignisdatenspeicher auf Kontoebene in einen Organisationsereignisdatenspeicher oder einen Organisationsereignisdatenspeicher in einen Ereignisdatenspeicher auf Kontoebene konvertieren. Diese Einstellung ist nicht für Ereignisdatenspeicher verfügbar, die Ereignisse außerhalb von erfassen. AWS
+ Sie können den [Lake-Abfrageverbund](query-federation.md) aktivieren oder deaktivieren. Durch die Bündelung eines Ereignisdatenspeichers können Sie Ihre Ereignisdaten von Amazon Athena abfragen.
+ Sie können die ressourcenbasierte Richtlinie für einen Veranstaltungsdatenspeicher hinzufügen oder bearbeiten, um kontoübergreifenden Zugriff auf Ihren Veranstaltungsdatenspeicher zu ermöglichen. Weitere Informationen finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
+ Sie können die Ereignisaufnahme [beenden und die Ereignisaufnahme](query-eds-stop-ingestion.md) in Ereignisdatenspeichern, in denen Verwaltungsereignisse, Datenereignisse oder Konfigurationselemente erfasst werden, wieder aufnehmen. AWS Config
+ [Sie können den Kündigungsschutz aktivieren oder deaktivieren.](query-eds-termination-protection.md) Durch die Aktivierung des Kündigungsschutzes wird ein Ereignisdatenspeicher davor geschützt, versehentlich gelöscht zu werden. Der Kündigungsschutz ist standardmäßig aktiviert.
+ Sie können einen Ereignisdatenspeicher [wiederherstellen](query-eds-restore.md), dessen Löschung noch aussteht.
+ Sie können Markierungen hinzufügen oder entfernen. Sie können bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern.
+ Sie können einen KMS-Schlüssel hinzufügen, um Ihren Ereignisdatenspeicher zu verschlüsseln. Sie können einen KMS-Schlüssel nicht aus einem Ereignisdatenspeicher entfernen.
Die Verwendung der CloudTrail Konsole zum Erstellen oder Aktualisieren von Ereignisdatenspeichern bietet die folgenden Vorteile:
+ Wenn Sie einen Ereignisdatenspeicher für die Erfassung von Datenereignissen konfigurieren, können Sie mithilfe der CloudTrail Konsole die verfügbaren Ressourcentypen für Datenereignisse anzeigen. Weitere Informationen finden Sie unter [Protokollieren von Datenereignissen](logging-data-events-with-cloudtrail.md).
+ Wenn Sie einen Ereignisdatenspeicher für die Erfassung von Netzwerkaktivitätsereignissen konfigurieren, können Sie mithilfe der CloudTrail Konsole die Ereignisquellen anzeigen, für die Sie Netzwerkaktivitätsereignisse protokollieren können. Weitere Informationen finden Sie unter [Protokollierung von Netzwerkaktivitätsereignissen](logging-network-events-with-cloudtrail.md).
+ Wenn Sie einen Ereignisdatenspeicher für die Erfassung von Ereignissen außerhalb von konfigurieren AWS, können Sie mithilfe der CloudTrail Konsole Informationen zu verfügbaren Partnern abrufen. Weitere Informationen finden Sie unter [Erstellen Sie einen Ereignisdatenspeicher für Ereignisse außerhalb der AWS Konsole](event-data-store-integration-events.md).
**Topics**
+ [
# Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse
](query-event-data-store-cloudtrail.md)
+ [
# Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Insights-Ereignisse
](query-event-data-store-insights.md)
+ [
# Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Konfigurationselemente
](query-event-data-store-config.md)
+ [
# Erstellen Sie einen Ereignisdatenspeicher für Ereignisse außerhalb der AWS Konsole
](event-data-store-integration-events.md)
+ [
# Aktualisieren Sie einen Ereignisdatenspeicher mit der Konsole
](query-event-data-store-update.md)
+ [
# Stoppen und starten Sie die Erfassung von Ereignissen über die Konsole
](query-eds-stop-ingestion.md)
+ [
# Ändern Sie den Kündigungsschutz mit der Konsole
](query-eds-termination-protection.md)
+ [
# Löschen Sie einen Ereignisdatenspeicher mit der Konsole
](query-event-data-store-delete.md)
+ [
# Stellen Sie einen Ereignisdatenspeicher mit der Konsole wieder her
](query-eds-restore.md)
+ [
# Daten aus dem CloudTrail Lake Event Data Store exportieren nach CloudWatch
](cloudtrail-lake-export-cloudwatch.md)
# Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für CloudTrail Ereignisse
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Ereignisdatenspeicher für CloudTrail Ereignisse können CloudTrail Verwaltungsereignisse, Datenereignisse und Netzwerkaktivitätsereignisse umfassen. **Sie können die Ereignisdaten bis zu 3 653 Tage (etwa 10 Jahre) in einem Ereignisdatenspeicher aufbewahren, wenn Sie die **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** wählen, oder bis zu 2 557 Tage (ca. 7 Jahre), wenn Sie die Preisoption für die Aufbewahrung von sieben Jahren** wählen.
CloudTrail Für Datenspeicher mit Ereignissen in Lake fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/) und[Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
## Um einen Ereignisdatenspeicher für CloudTrail Ereignisse zu erstellen
Gehen Sie wie folgt vor, um einen Ereignisdatenspeicher zu erstellen, der CloudTrail Verwaltungsereignisse, Datenereignisse oder Netzwerkaktivitätsereignisse protokolliert.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Geben Sie auf der Seite **Konfigurieren eines Ereignisdatenspeichers** in **Allgemeine Angaben** einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.
1. Wählen Sie die **Preisoption** aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
Die folgenden Optionen sind verfügbar:
+ **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine verlängerte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.
+ **Standardaufbewahrungsdauer:** 366 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 3 653 Tage.
+ **Preisoption für die Aufbewahrung über sieben Jahre** – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.
+ **Standardaufbewahrungsdauer:** 2 557 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 2 557 Tage.
1. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die **Preisoption mit siebenjähriger Aufbewahrungsdauer** liegen.
CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb `eventTime` des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie `eventTime` älter als 90 Tage sind.
**Anmerkung**
Wenn Sie Trail-Ereignisse in diesen Ereignisdatenspeicher kopieren, CloudTrail wird ein Ereignis nicht kopiert, wenn `eventTime` es älter als der angegebene Aufbewahrungszeitraum ist. Um den geeigneten Aufbewahrungszeitraum zu ermitteln, nehmen Sie die Summe aus dem ältesten Ereignis, das Sie kopieren möchten, in Tagen und der Anzahl der Tage, an denen Sie die Ereignisse im Ereignisdatenspeicher behalten möchten (**Aufbewahrungszeitraum** = *oldest-event-in-days* \$1*number-days-to-retain*). Wenn das älteste Ereignis, das Sie kopieren, beispielsweise 45 Tage alt ist und Sie die Ereignisse weitere 45 Tage im Ereignisdatenspeicher aufbewahren möchten, würden Sie die Aufbewahrungsdauer auf 90 Tage festlegen.
1. (Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie **Eigene verwenden** aus AWS KMS key. Wählen Sie **Neu**, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie **Bestehend**, um einen vorhandenen KMS-Schlüssel zu verwenden. **Geben Sie unter KMS-Alias** eingeben einen Alias im folgenden Format an `alias/`*MyAliasName*. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, damit Ihr Ereignisdatenspeicher ver- und entschlüsselt werden kann. Weitere Informationen finden Sie unter[Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
**Anmerkung**
Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.
1. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie **Aktivieren** in **Lake-Abfrageverbund**. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -[Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter [Verbund für einen Ereignisdatenspeicher erstellen](query-federation.md).
Wählen Sie **Aktivieren** und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:
1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.
1. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.
1. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.
1. (Optional) Wählen Sie „**Ressourcenrichtlinie aktivieren**“, um Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html), denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.
Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [ressourcenbasierte Standardrichtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).
1. (Optional) Im Bereich **Tags** können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Weitere Informationen zur Verwendung von Tags finden Sie unter [Tagging AWS Resources im Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User Guide AWS *. AWS
1. Wählen Sie **Next** (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.
1. **Wählen Sie auf der Seite Ereignisse** **auswählen die Option **AWS Ereignisse und dann Ereignisse** ausCloudTrail.**
1. Wählen Sie für **CloudTrail Ereignisse** mindestens einen Ereignistyp aus. **Verwaltungsereignisse** ist standardmäßig ausgewählt. Sie können [Verwaltungsereignisse](logging-management-events-with-cloudtrail.md), [Datenereignisse](logging-data-events-with-cloudtrail.md) und [Netzwerkaktivitätsereignisse](logging-network-events-with-cloudtrail.md) zu Ihrem Ereignisdatenspeicher hinzufügen.
1. (Optional) Wählen Sie **Trail-Ereignisse kopieren**, wenn Sie Ereignisse aus einem vorhandenen Trail kopieren möchten, um Abfragen für vergangene Ereignisse auszuführen. Um Trail-Ereignisse in den Ereignisdatenspeicher einer Organisation zu kopieren, müssen Sie das Verwaltungskonto der Organisation verwenden. Über das Konto eines delegierten Administrators können Trail-Ereignisse nicht in den Ereignisdatenspeicher einer Organisation kopiert werden. Weitere Informationen zu Überlegungen zum Kopieren von Trail-Ereignissen finden Sie unter [Überlegungen zum Kopieren von Trail-Ereignissen](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake).
1. Damit Ihr Ereignisdatenspeicher Ereignisse von allen Konten in einer AWS Organizations -Organisation erfasst, wählen Sie **Für alle Konten in meiner Organisation aktivieren** aus. Sie müssen beim Verwaltungskonto oder beim Konto eines delegierten Administrators der Organisation angemeldet sein, um einen Ereignisdatenspeicher zu erstellen, der Ereignisse für eine Organisation erfasst.
**Anmerkung**
Um Trail-Ereignisse zu kopieren oder Insights-Ereignisse zu aktivieren, müssen Sie beim Verwaltungskonto für Ihre Organisation angemeldet sein.
1. Erweitern Sie **Zusätzliche Einstellungen**, um auszuwählen, ob Ihr Ereignisdatenspeicher Ereignisse für alle AWS-Regionen oder nur für die aktuellen Ereignisse erfassen soll AWS-Region, und wählen Sie aus, ob der Ereignisdatenspeicher Ereignisse aufnimmt. Standardmäßig erfasst der Ereignisdatenspeicher Ereignisse aus allen Regionen in Ihrem Konto und beginnt ab der Erstellung damit, Ereignisse aufzunehmen.
1. Wählen Sie **Nur die aktuelle Region in meinen Ereignisdatenspeicher einbeziehen** aus, um nur Ereignisse einzubeziehen, die in der aktuellen Region protokolliert werden. Wenn Sie diese Option nicht auswählen, enthält der Ereignisdatenspeicher Ereignisse aus allen Regionen.
1. Deaktivieren Sie die Option **Ereignisse aufnehmen**, wenn Sie nicht möchten, dass der Ereignisdatenspeicher mit der Aufnahme von Ereignissen beginnt. Es könnte zum Beispiel sinnvoll sein, die Option **Ereignisse aufnehmen** zu deaktivieren, wenn Sie Trail-Ereignisse kopieren und nicht möchten, dass der Ereignisdatenspeicher zukünftige Ereignisse enthält. Standardmäßig beginnt der Ereignisdatenspeicher mit der Aufnahme von Ereignissen, wenn er erstellt wird.
1. Wenn Ihr Ereignisdatenspeicher Verwaltungsereignisse enthält, haben Sie folgende Optionen zur Wahl. Weitere Informationen zur Verwaltungsereignissen finden Sie unter [Protokollieren von Verwaltungsereignissen](logging-management-events-with-cloudtrail.md).
1. Wählen Sie zwischen **einfacher Ereigniserfassung** und **erweiterter Ereigniserfassung**:
+ Wählen Sie **Einfache Ereigniserfassung**, wenn Sie alle Ereignisse, nur Leseereignisse oder nur Schreibereignisse protokollieren möchten. Sie können sich auch dafür entscheiden, Amazon RDS Data API-Ereignisse auszuschließen AWS Key Management Service und sie auszuschließen.
+ Wählen Sie **Erweiterte Ereigniserfassung**, wenn Sie Verwaltungsereignisse auf der Grundlage der Werte der erweiterten Ereignisauswahlfelder, einschließlich der Felder,,, und`userIdentity.arn`,,,,,,,,,,,,,,,,,,,,,,`eventName`,,,,`eventType`,,`eventSource`,,`sessionCredentialFromConsole`,,,,,,
1. Wenn Sie **Einfache Ereigniserfassung** ausgewählt haben, wählen Sie aus, ob Sie alle Ereignisse, nur Leseereignisse oder nur Schreibereignisse protokollieren möchten. Sie können sich auch dafür entscheiden, Ereignisse der Amazon RDS Data API auszuschließen AWS KMS und sie auszuschließen.
1. Wenn Sie **Advanced Event Collection** ausgewählt haben, treffen Sie die folgenden Auswahlen:
1. Wählen Sie unter **Vorlage für die Protokollauswahl** eine vordefinierte Vorlage oder **Benutzerdefiniert aus, um eine benutzerdefinierte** Konfiguration auf der Grundlage von Feldwerten für die erweiterte Ereignisauswahl zu erstellen.
Sie können aus den folgenden vordefinierten Vorlagen wählen:
+ **Alle Ereignisse protokollieren**: Wählen Sie diese Vorlage, um alle Ereignisse zu protokollieren.
+ **Nur Leseereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Leseereignisse zu protokollieren. Schreibgeschützte Ereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. Ereignisse `Get*` oder`Describe*`.
+ **Nur Schreibereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Schreibereignisse zu protokollieren. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse.
+ **Nur AWS-Managementkonsole Ereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Ereignisse zu protokollieren, die ihren Ursprung in haben AWS-Managementkonsole.
+ ** AWS-Service Ausgelöste Ereignisse ausschließen** — Wählen Sie diese Vorlage, um AWS-Service Ereignisse mit dem Wert `eventType` von und Ereignisse auszuschließen`AwsServiceEvent`, die mit AWS-Service-verknüpften Rollen initiiert wurden (SLRs).
1. (Optional) Geben Sie unter **Selektorname** einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Verwaltungsereignisse von Sitzungen protokollieren“. AWS-Managementkonsole Der Name des Selektors wird als `Name` in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die **JSON-Ansicht** erweitern.
1. Wenn Sie **Benutzerdefiniert wählen, erstellen** **Event-Selektoren unter Erweitert** einen Ausdruck, der auf Feldwerten der erweiterten Ereignisauswahl basiert.
**Anmerkung**
Selektoren unterstützen nicht die Verwendung von Platzhaltern wie. `*` Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können Sie`StartsWith`,, oder verwenden `EndsWith``NotStartsWith`, `NotEndsWith` um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.
1. Wählen Sie aus den folgenden Feldern.
+ **`readOnly`**— `readOnly` kann so gesetzt werden, dass sie einem Wert von `true` oder **`false`entspricht**. Wenn dieser Wert auf gesetzt ist`false`, protokolliert der Ereignisdatenspeicher Verwaltungsereignisse, die nur auf Schreibzugriff beschränkt sind. Schreibgeschützte Verwaltungsereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. OR-Ereignisse. `Get*` `Describe*` Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse. Um sowohl **Lese** - als auch **Schreibereignisse** zu protokollieren, fügen Sie keinen Selektor hinzu. `readOnly`
+ **`eventName`**— `eventName` kann einen beliebigen Operator verwenden. Sie können ihn verwenden, um jedes Verwaltungsereignis wie `CreateAccessPoint` oder ein- oder auszuschließen`GetAccessPoint`.
+ **`userIdentity.arn`**— Ereignisse für Aktionen, die von bestimmten IAM-Identitäten ausgeführt werden, einschließen oder ausschließen. Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Ereignisse, die aus einer AWS-Managementkonsole Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf **gleich** oder ungleich mit dem Wert von **gesetzt** werden. `true`
+ **`eventSource`**— Sie können es verwenden, um bestimmte Ereignisquellen ein- oder auszuschließen. Das `eventSource` ist in der Regel eine Kurzform des Dienstnamens ohne Leerzeichen (Plus)`.amazonaws.com`. Sie könnten beispielsweise `eventSource` **equals** so festlegen, dass nur Amazon EC2-Managementereignisse protokolliert werden. `ec2.amazonaws.com`
+ **`eventType`**— Der [EventType](cloudtrail-event-reference-record-contents.md#ct-event-type), der ein- oder ausgeschlossen werden soll. [Sie können dieses Feld beispielsweise auf ungleich setzen**, `AwsServiceEvent` um Ereignisse** auszuschließen AWS-Service .](non-api-aws-service-events.md)
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. [Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet](filtering-data-events.md#filtering-data-events-conditions)
**Anmerkung**
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie `eventName` ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.
1. Erweitern Sie optional die **JSON-Ansicht**, um Ihre erweiterten Ereignisselektoren als JSON-Block anzuzeigen.
1. Wählen Sie „**Erfassung von Insights-Ereignissen aktivieren**“, um Insights zu aktivieren. Um Insights zu aktivieren, müssen Sie einen [Zielereignisdatenspeicher](query-event-data-store-insights.md#query-event-data-store-insights-procedure) einrichten, der Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher erfasst.
Wenn Sie Insights aktivieren möchten, gehen Sie wie folgt vor.
1. Wählen Sie den Zielereignisspeicher aus, in dem Insights-Ereignisse protokolliert werden sollen. Der Zielereignisdatenspeicher erfasst Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher. Weitere Informationen zum Erstellen des Zielereignisdatenspeichers finden Sie unter [Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Wählen Sie die Insights-Typen aus. Sie können die **API-Aufrufrate**, die **API-Fehlerrate** oder beides auswählen. Sie müssen **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Aufrufrate** zu protokollieren. Sie müssen **Lese**- und **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Fehlerrate** zu protokollieren.
1. Gehen Sie wie folgt vor, um Datenereignisse in Ihren Ereignisdatenspeicher aufzunehmen.
1. Wählen Sie einen Ressourcentyp aus. Dies ist die AWS-Service Ressource, auf der Datenereignisse protokolliert werden.
1. Wählen Sie unter **Protokollauswahlvorlage** eine vordefinierte Vorlage aus, oder wählen Sie **Benutzerdefiniert**, um Ihre eigenen Bedingungen für die Erfassung von Ereignissen zu definieren, die auf den Werten der erweiterten Ereignisauswahlfelder basieren.
Sie können aus den folgenden vordefinierten Vorlagen wählen:
+ **Alle Ereignisse protokollieren**: Wählen Sie diese Vorlage, um alle Ereignisse zu protokollieren.
+ **Nur Leseereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Leseereignisse zu protokollieren. Schreibgeschützte Ereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. Ereignisse `Get*` oder`Describe*`.
+ **Nur Schreibereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Schreibereignisse zu protokollieren. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse.
+ **Nur AWS-Managementkonsole Ereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Ereignisse zu protokollieren, die ihren Ursprung in haben AWS-Managementkonsole.
+ ** AWS-Service Ausgelöste Ereignisse ausschließen** — Wählen Sie diese Vorlage, um AWS-Service Ereignisse mit dem Wert `eventType` von und Ereignisse auszuschließen`AwsServiceEvent`, die mit AWS-Service-verknüpften Rollen initiiert wurden (SLRs).
1. (Optional) Geben Sie unter **Selektorname** einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein optionaler, beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Datenereignisse nur für zwei S3-Buckets protokollieren“. Der Name des Selektors wird als `Name` in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die **JSON-Ansicht** erweitern.
1. Wenn Sie **Benutzerdefiniert** ausgewählt haben, erstellen Sie unter **Erweiterte Ereignisauswahlen** einen Ausdruck, der auf den Werten der erweiterten Ereignisauswahlfelder basiert.
**Anmerkung**
Selektoren unterstützen nicht die Verwendung von Platzhaltern wie. `*` Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können Sie`StartsWith`,, oder verwenden `EndsWith``NotStartsWith`, `NotEndsWith` um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.
1. Wählen Sie aus den folgenden Feldern.
+ **`readOnly`**- `readOnly` kann so gesetzt werden, dass sie einem Wert von `true` oder **`false`entspricht**. Schreibgeschützte Datenereignisse sind Ereignisse, die den Zustand einer Ressource nicht ändern, z. B. `Get*`- oder `Describe*`-Ereignisse. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse. Um sowohl `read`- als auch `write`-Ereignisse zu protokollieren, fügen Sie keinen `readOnly`-Selektor hinzu.
+ **`eventName`** – `eventName` kann einen beliebigen Operator verwenden. Sie können damit jedes Datenereignis, für das protokolliert wurde, ein- oder ausschließen CloudTrail, z. B. `PutBucket``GetItem`, oder`GetSnapshotBlock`.
+ **`eventSource`**— Die Ereignisquelle, die ein- oder ausgeschlossen werden soll. In diesem Feld kann ein beliebiger Operator verwendet werden.
+ **eventType**: der Ereignistyp, der ein- oder ausgeschlossen werden soll. Sie können dieses Feld beispielsweise auf „ungleich“ setzen, `AwsServiceEvent` um **es** auszuschließen[AWS-Service Ereignisse](non-api-aws-service-events.md). Eine Liste der Ereignistypen finden Sie [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)unter[CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md).
+ **sessionCredentialFromKonsole** — Ereignisse, die aus einer AWS-Managementkonsole Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf Gleich oder ****Ungleich**** mit dem Wert von gesetzt werden. `true`
+ **userIdentity.arn**: schließt Ereignisse für Aktionen bestimmter IAM-Identitäten ein oder aus. Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`resources.ARN`**- Sie können jeden Operator mit verwenden`resources.ARN`, aber wenn Sie **equals** oder **ungleich** verwenden, muss der Wert genau dem ARN einer gültigen Ressource des Typs entsprechen, den Sie in der Vorlage als Wert von `resources.type` angegeben haben.
**Anmerkung**
Sie können das `resources.ARN` Feld nicht verwenden, um Ressourcentypen zu filtern, bei denen dies nicht der Fall ist. ARNs
Weitere Informationen zu den ARN-Formaten von Datenereignisressourcen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) in der *Service Authorization Reference*.
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen. Um beispielsweise Datenereignisse für zwei S3-Buckets von Datenereignissen auszuschließen, die in Ihrem Ereignisdatenspeicher protokolliert werden, können Sie das Feld auf **Resources.ARN** festlegen, den Operator für **beginnt nicht mit** festlegen und dann einen S3-Bucket-ARN einfügen, für den Sie keine Ereignisse protokollieren möchten.
Um den zweiten S3-Bucket hinzuzufügen, wählen Sie **\$1 Bedingung** und wiederholen Sie dann die vorherige Anweisung, indem Sie den ARN für einen anderen Bucket einfügen oder nach einem anderen Bucket suchen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. [Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet](filtering-data-events.md#filtering-data-events-conditions)
**Anmerkung**
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie `eventName` ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest. Geben Sie beispielsweise nicht an, dass ein ARN in einem Selektor einem Wert entspricht, und geben Sie dann an, dass der ARN in einem anderen Selektor nicht dem gleichen Wert entspricht.
1. Erweitern Sie optional die **JSON-Ansicht**, um Ihre erweiterten Ereignisselektoren als JSON-Block anzuzeigen.
1. Um einen weiteren Ressourcentyp für die Protokollierung von Datenereignissen hinzuzufügen, wählen Sie **Datenereignistyp hinzufügen**. Wiederholen Sie die Schritte a bis zu diesem Schritt, um erweiterte Event-Selektoren für den Ressourcentyp zu konfigurieren.
1. Gehen Sie wie folgt vor, um Netzwerkaktivitätsereignisse in Ihren Ereignisdatenspeicher aufzunehmen.
1. Wählen Sie **unter Netzwerkaktivitätsereignisquelle** die Quelle für Netzwerkaktivitätsereignisse aus.
1. Wählen Sie unter **Protokollselektorvorlage** eine Vorlage aus. Sie können wählen, ob alle Netzwerkaktivitätsereignisse, alle Ereignisse, bei denen der Zugriff verweigert wurde, protokolliert werden sollen, oder **Benutzerdefiniert** wählen, um eine benutzerdefinierte Protokollauswahl zu erstellen, die nach mehreren Feldern filtert, z. B. `eventName` und`vpcEndpointId`.
1. (Optional) Geben Sie einen Namen ein, um den Selektor zu identifizieren. **Der Name des Selektors wird in der erweiterten Ereignisauswahl als **Name** aufgeführt und ist sichtbar, wenn Sie die JSON-Ansicht erweitern.**
1. **In **Advanced erstellen Event-Selektoren** Ausdrücke, indem sie Werte für **Feld**, **Operator** und Wert auswählen.** Sie können diesen Schritt überspringen, wenn Sie eine vordefinierte Protokollvorlage verwenden.
1. Um Netzwerkaktivitätsereignisse auszuschließen oder einzubeziehen, können Sie in der Konsole aus den folgenden Feldern wählen.
+ **`eventName`**— Sie können jeden Operator mit verwenden`eventName`. Sie können ihn verwenden, um jedes Ereignis ein- oder auszuschließen, `CreateKey` z.
+ **`errorCode`**— Sie können es verwenden, um nach einem Fehlercode zu filtern. Derzeit wird nur Folgendes unterstützt`errorCode`:`VpceAccessDenied`.
+ **`vpcEndpointId`**— Identifiziert den VPC-Endpunkt, den der Vorgang durchlaufen hat. Sie können einen beliebigen Operator mit `vpcEndpointId` verwenden.
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.
1. Um eine weitere Ereignisquelle hinzuzufügen, für die Sie Netzwerkaktivitätsereignisse protokollieren möchten, wählen Sie „**Netzwerkaktivitätsereignisauswahl hinzufügen**“.
1. Erweitern Sie optional die **JSON-Ansicht**, um Ihre erweiterten Ereignisselektoren als JSON-Block anzuzeigen.
1. Gehen Sie wie folgt vor, um vorhandene Trail-Ereignisse in Ihren Ereignisdatenspeicher zu kopieren.
1. Wählen Sie den Trail aus, die Sie kopieren möchten. Standardmäßig werden CloudTrail nur CloudTrail Ereignisse kopiert, die im `CloudTrail` Präfix des S3-Buckets und die Präfixe innerhalb des `CloudTrail` Präfixes enthalten sind, und überprüft keine Präfixe für andere Dienste. AWS Wenn Sie CloudTrail Ereignisse kopieren möchten, die in einem anderen Präfix enthalten sind, wählen **Sie S3-URI eingeben** und dann **S3 durchsuchen**, um zum Präfix zu wechseln. Wenn der S3-Quell-Bucket für den Trail einen KMS-Schlüssel für die Datenverschlüsselung verwendet, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie das Entschlüsseln der Daten zulässt CloudTrail . Wenn Ihr S3-Quell-Bucket mehrere KMS-Schlüssel verwendet, müssen Sie die Richtlinien für jeden Schlüssel aktualisieren, damit CloudTrail die Daten im Bucket entschlüsselt werden können. Weitere Informationen zum Aktualisieren der KMS-Schlüssel-Richtlinie finden Sie unter [KMS-Schlüsselrichtlinie zum Entschlüsseln von Daten im S3-Quell-Bucket](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms).
1. Wählen Sie den Zeitraum für das Kopieren der Ereignisse aus. CloudTrail überprüft das Präfix und den Namen der Protokolldatei, um sicherzustellen, dass der Name ein Datum zwischen dem ausgewählten Start- und Enddatum enthält, bevor versucht wird, Trail-Ereignisse zu kopieren. Sie können einen **Relative range** (Relativen Bereich) oder einen **Absolute range** (Absoluten Bereich) wählen. Um zu vermeiden, dass Ereignisse zwischen dem Quell-Trail und dem Zielereignisdatenspeicher dupliziert werden, wählen Sie einen Zeitraum aus, der vor der Erstellung des Ereignisdatenspeichers liegt.
**Anmerkung**
CloudTrail kopiert nur Trail-Ereignisse, deren Aufbewahrungsfrist `eventTime` innerhalb des Ereignisdatenspeichers liegt. Wenn die Aufbewahrungsfrist eines Event-Datenspeichers beispielsweise 90 Tage beträgt, CloudTrail werden keine Trail-Ereignisse kopiert, die `eventTime` älter als 90 Tage sind.
+ Wenn Sie **Relativer Bereich** wählen, können Sie wählen, ob Ereignisse kopiert werden sollen, die in den letzten 6 Monaten, 1 Jahr, 2 Jahren, 7 Jahren oder in einem benutzerdefinierten Bereich protokolliert wurden. CloudTrail kopiert die Ereignisse, die innerhalb des ausgewählten Zeitraums protokolliert wurden.
+ Wenn Sie „**Absoluter Bereich**“ wählen, können Sie ein bestimmtes Start- und Enddatum wählen. CloudTrail kopiert die Ereignisse, die zwischen dem ausgewählten Start- und Enddatum aufgetreten sind.
1. Wählen Sie für **Permissions** (Berechtigungen) unter den folgenden IAM-Rollenoptionen aus. Wenn Sie eine vorhandene IAM-Rolle auswählen, stellen Sie sicher, dass die IAM-Rollenrichtlinie die erforderlichen Berechtigungen bereitstellt. Weitere Informationen zum Aktualisieren der IAM-Rollenberechtigungen finden Sie unter [IAM-Berechtigungen zum Kopieren von Trail-Ereignissen](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam).
+ Wählen Sie **Create a new role (recommended)** (Erstellen Sie eine neue Rolle (empfohlen)), um eine neue IAM-Rolle zu erstellen. **Geben Sie unter IAM-Rollennamen** eingeben einen Namen für die Rolle ein. CloudTrail erstellt automatisch die erforderlichen Berechtigungen für diese neue Rolle.
+ Wählen Sie **Eine benutzerdefinierte IAM-Rolle verwenden ARN** aus, um eine benutzerdefinierte IAM-Rolle zu verwenden, die nicht aufgeführt ist. Geben Sie für **Enter IAM role ARN** (IAM-Rollen-ARN eingeben) den IAM-ARN ein.
+ Wählen Sie eine vorhandene IAM-Rolle aus der Drop-down-Liste aus.
1. Wählen Sie **Weiter**, um Ihre Ereignisse durch Hinzufügen von Ressourcen-Tag-Schlüsseln und globalen IAM-Bedingungsschlüsseln zu bereichern.
1. Fügen Sie unter **Ereignisse anreichern** bis zu 50 Ressourcen-Tag-Schlüssel und 50 globale IAM-Bedingungsschlüssel hinzu, um zusätzliche Metadaten zu Ihren Ereignissen bereitzustellen. Dies hilft Ihnen, verwandte Ereignisse zu kategorisieren und zu gruppieren.
Wenn Sie Ressourcen-Tag-Schlüssel hinzufügen, CloudTrail werden die ausgewählten Tag-Schlüssel eingeschlossen, die den Ressourcen zugeordnet sind, die am API-Aufruf beteiligt waren. API-Ereignisse, die sich auf gelöschte Ressourcen beziehen, haben keine Ressourcen-Tags.
Wenn Sie globale IAM-Bedingungsschlüssel hinzufügen, enthält CloudTrail dies Informationen zu den ausgewählten Bedingungsschlüsseln, die während des Autorisierungsprozesses ausgewertet wurden, einschließlich zusätzlicher Details zum Prinzipal, zur Sitzung, zum Netzwerk und zur Anfrage selbst.
Informationen zu den Ressourcen-Tag-Schlüsseln und den globalen IAM-Bedingungsschlüsseln werden im `eventContext` Feld des Ereignisses angezeigt. Weitere Informationen finden Sie unter [Bereichern Sie CloudTrail Ereignisse, indem Sie Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel hinzufügen](cloudtrail-context-events.md).
**Anmerkung**
Wenn ein Ereignis eine Ressource enthält, die nicht zur Event-Region gehört, CloudTrail werden keine Tags für diese Ressource aufgefüllt, da der Tag-Abruf auf die Event-Region beschränkt ist.
1. Wählen Sie „**Eventgröße erweitern**“, um die Event-Payload von 256 KB auf bis zu 1 MB zu erweitern. Diese Option wird automatisch aktiviert, wenn Sie Ressourcen-Tag-Schlüssel oder globale IAM-Bedingungsschlüssel hinzufügen, um sicherzustellen, dass alle Ihre hinzugefügten Schlüssel in dem Ereignis enthalten sind.
Die Erweiterung der Ereignisgröße ist für die Analyse und Problembehandlung von Ereignissen hilfreich, da Sie so den vollständigen Inhalt der folgenden Felder sehen können, sofern die Ereignisnutzlast weniger als 1 MB beträgt:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Weitere Informationen zu diesen Feldern finden Sie unter [CloudTrail Datensatzinhalte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
1. Wählen Sie **Next** (Weiter) aus, um Ihre Auswahl zu überprüfen.
1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Der neue Ereignisdatenspeicher ist in der Tabelle **Ereignisdatenspeicher** auf der Seite **Ereignisdatenspeicher** sichtbar.
Ab diesem Zeitpunkt erfasst der Ereignisdatenspeicher Ereignisse, die mit den erweiterten Ereignisauswahlen übereinstimmen (wenn die Option **Ereignisse aufnehmen** ausgewählt ist). Ereignisse, die aufgetreten sind, bevor Sie den Ereignisdatenspeicher erstellt haben, befinden sich nicht im Ereignisdatenspeicher, es sei denn Sie haben sich für das Kopieren der bestehenden Trail-Ereignissen entschieden.
Nun können Sie Abfragen in Ihrem neuen Ereignisdatenspeicher ausführen. Die Registerkarte **Sample queries** (Beispiel für Abfragen) enthält Beispielabfragen, die Ihnen den Einstieg erleichtern. Weitere Informationen zum Erstellen und Bearbeiten von Abfragen finden Sie unter [Erstellen oder bearbeiten Sie eine Abfrage mit der Konsole CloudTrail](query-create-edit-query.md).
Sie können auch die [verwalteten Dashboards anzeigen oder benutzerdefinierte Dashboards](lake-dashboard-managed.md) [erstellen, um Veranstaltungstrends](lake-dashboard-custom.md) zu visualisieren. Weitere Informationen zu Lake-Dashboards finden Sie unter [CloudTrail Lake-Dashboards](lake-dashboard.md).
# Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Insights-Ereignisse
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
AWS CloudTrail Mithilfe von Erkenntnissen AWS können Benutzer ungewöhnliche Aktivitäten im Zusammenhang mit API-Aufrufraten und API-Fehlerraten identifizieren und darauf reagieren, indem CloudTrail Verwaltungsereignisse kontinuierlich analysiert werden. CloudTrail Insights analysiert Ihre normalen Muster von API-Aufrufraten und API-Fehlerraten, auch *Baseline* genannt, und generiert Insights-Ereignisse, wenn das Anrufvolumen oder die Fehlerraten außerhalb der normalen Muster liegen. Insights-Ereignisse zur API-Aufrufrate werden für das `write` Management generiert APIs, und Insights-Ereignisse zur API-Fehlerrate werden `read` sowohl für das `write` Management generiert APIs.
Um Insights-Ereignisse in CloudTrail Lake zu protokollieren, benötigen Sie einen Zielereignisdatenspeicher, der Insights-Ereignisse protokolliert, und einen Quellereignisdatenspeicher, der Insights aktiviert und Verwaltungsereignisse protokolliert.
**Anmerkung**
Um Insights-Ereignisse mit der API-Aufrufrate zu protokollieren, muss der Quellereignisdatenspeicher `write` Verwaltungsereignisse protokollieren. Um Insights-Ereignisse mit der API-Fehlerrate zu protokollieren, muss der Quellereignisdatenspeicher Ereignisse protokollieren `read` oder `write` Verwaltungsereignisse protokollieren.
Wenn Sie CloudTrail Insights in einem Quell-Eventdatenspeicher aktiviert haben und ungewöhnliche CloudTrail Aktivitäten erkennen, werden CloudTrail Insights-Ereignisse an Ihren Ziel-Ereignisdatenspeicher gesendet. Im Gegensatz zu anderen Arten von Ereignissen, die in einem CloudTrail Ereignisdatenspeicher erfasst werden, werden Insights-Ereignisse nur protokolliert, wenn Änderungen in der API-Nutzung Ihres Kontos CloudTrail festgestellt werden, die sich erheblich von den typischen Nutzungsmustern des Kontos unterscheiden.
Nachdem Sie CloudTrail Insights zum ersten Mal in einem Ereignisdatenspeicher aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, vorausgesetzt, dass während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.
CloudTrail Insights analysiert die Verwaltungsereignisse, die in jeder Region für den Ereignisdatenspeicher auftreten, und generiert Insights-Ereignisse, wenn ungewöhnliche Aktivitäten festgestellt werden, die vom Ausgangswert abweichen. Ein CloudTrail Insights-Ereignis wird in derselben Region generiert, in der auch das unterstützende Management-Ereignis generiert wurde.
Bei einem Datenspeicher für Organisationsereignisse analysiert CloudTrail Insights die Verwaltungsereignisse von jedem Mitgliedskonto in der Organisation für jede Region und generiert ein Insights-Ereignis, wenn ungewöhnliche Aktivitäten festgestellt werden, die vom Ausgangswert für das Konto und die Region abweichen.
Für die Aufnahme von Insights-Veranstaltungen in Lake fallen zusätzliche Gebühren an CloudTrail . Wenn Sie Insights sowohl für Trails als auch für CloudTrail Lake Event Data Stores aktivieren, fallen separate Gebühren an. Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).
**Topics**
+ [
## Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert
](#query-event-data-store-insights-procedure)
+ [
## Erstellen eines Quellereignisdatenspeichers, der Insights-Ereignisse aktiviert
](#query-event-data-store-cloudtrail-insights)
## Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert
Wenn Sie einen Insights-Ereignisdatenspeicher erstellen, haben Sie die Option, einen vorhandenen Quellereignisdatenspeicher auszuwählen, der Verwaltungsereignisse protokolliert, und dann die Insights-Typen anzugeben, die Sie empfangen möchten. Alternativ können Sie Insights auch in einem neuen oder vorhandenen Ereignisdatenspeicher aktivieren, nachdem Sie Ihren Insights-Ereignisdatenspeicher erstellt haben und ihn dann als Zielereignisdatenspeicher auswählen.
Mit den folgenden Schritten erstellen Sie einen Zielereignisdatenspeicher, der Insights-Ereignisse protokolliert.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Öffnen Sie im Navigationsbereich das Untermenü **Lake** und wählen Sie dann **Event Data Stores** (Ereignisdatenspeicher) aus.
1. Wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Geben Sie auf der Seite **Konfigurieren eines Ereignisdatenspeichers** in **Allgemeine Angaben** einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.
1. Wählen Sie die **Preisoption** aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
Die folgenden Optionen sind verfügbar:
+ **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine verlängerte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.
+ **Standardaufbewahrungsdauer:** 366 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 3 653 Tage.
+ **Preisoption für die Aufbewahrung über sieben Jahre** – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.
+ **Standardaufbewahrungsdauer:** 2 557 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 2 557 Tage.
1. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher in Tagen an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die **Preisoption mit siebenjähriger Aufbewahrungsdauer** liegen. Der Ereignisdatenspeicher behält Ereignisdaten für die angegebene Anzahl von Tagen bei.
1. (Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie **Eigene verwenden** aus AWS KMS key. Wählen Sie **Neu**, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie **Bestehend**, um einen vorhandenen KMS-Schlüssel zu verwenden. **Geben Sie unter KMS-Alias** eingeben einen Alias im folgenden Format an `alias/`*MyAliasName*. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, damit Ihr Ereignisdatenspeicher ver- und entschlüsselt werden kann. Weitere Informationen finden Sie unter[Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
**Anmerkung**
Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.
1. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie **Aktivieren** in **Lake-Abfrageverbund**. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -[Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter [Verbund für einen Ereignisdatenspeicher erstellen](query-federation.md).
Wählen Sie **Aktivieren** und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:
1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.
1. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.
1. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.
1. (Optional) Wählen Sie „**Ressourcenrichtlinie aktivieren**“, um Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html), denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.
Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [ressourcenbasierte Standardrichtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).
1. (Optional) Im Bereich **Tags** können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Weitere Informationen zur Verwendung von Tags finden Sie unter [Tagging AWS Resources im Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User Guide AWS *. AWS
1. Wählen Sie **Next** (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.
1. Wählen Sie auf der Seite **Ereignisse auswählen** die Option **AWS Ereignisse** und dann **CloudTrailInsights-Ereignisse** aus.
1. Gehen Sie **CloudTrail unter Insights-Ereignisse** wie folgt vor.
1. Wählen Sie **Delegierten Administratorzugriff zulassen**, wenn Sie dem delegierten Administrator Ihrer Organisation Zugriff auf diesen Ereignisdatenspeicher gewähren möchten. Diese Option ist nur verfügbar, wenn Sie mit dem Verwaltungskonto einer AWS Organizations Organisation angemeldet sind.
1. (Optional) Wählen Sie einen vorhandenen Quellereignisdatenspeicher aus, der Verwaltungsereignisse protokolliert, und geben Sie die Insights-Typen an, die Sie empfangen möchten.
Führen Sie die folgenden Schritte aus, um einen Quellereignisdatenspeicher hinzuzufügen:
1. Wählen Sie **Quell-Ereignisdatenspeicher hinzufügen** aus.
1. Wählen Sie den gewünschten Quellereignisdatenspeicher aus.
1. Wählen Sie den **Instance-Typen** aus, den Sie empfangen möchten.
+ `ApiCallRateInsight`: Der Insights-Typ `ApiCallRateInsight` analysiert nur schreibgeschützte Verwaltungs-API-Aufrufe, die pro Minute anhand eines festgelegten API-Aufruf-Volumens aggregiert werden. Um Insights zu `ApiCallRateInsight` empfangen zu können, muss der Quellereignisdatenspeicher **Schreib**-Verwaltungsereignisse protokollieren.
+ `ApiErrorRateInsight`: Der Insights-Typ `ApiErrorRateInsight` analysiert Verwaltungs-API-Aufrufe, die zu Fehlercodes führen. Der Fehler wird angezeigt, wenn der API-Aufruf fehlschlägt. Um Insights zu `ApiErrorRateInsight` empfangen zu können, muss der Quellereignisdatenspeicher **Schreib-** und **Leseverwaltungsereignisse** protokollieren.
1. Wiederholen Sie die beiden vorherigen Schritte (ii und iii), um weitere Insights-Typen hinzuzufügen, die Sie empfangen möchten.
1. Wählen Sie **Next** (Weiter) aus, um Ihre Auswahl zu überprüfen.
1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Der neue Ereignisdatenspeicher ist in der Tabelle **Ereignisdatenspeicher** auf der Seite **Ereignisdatenspeicher** sichtbar.
1. Wenn Sie in Schritt 10 keinen Quellereignisdatenspeicher ausgewählt haben, folgen Sie den Schritten unter [Erstellen eines Quellereignisdatenspeichers, der Insights-Ereignisse aktiviert](#query-event-data-store-cloudtrail-insights), um Quellereignisdatenspeicher zu erstellen.
## Erstellen eines Quellereignisdatenspeichers, der Insights-Ereignisse aktiviert
Mit den folgenden Schritten erstellen Sie einen Quellereignisdatenspeicher, der Insights-Ereignisse aktiviert und Verwaltungsereignisse protokolliert.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Öffnen Sie im Navigationsbereich das Untermenü **Lake** und wählen Sie dann **Event Data Stores** (Ereignisdatenspeicher) aus.
1. Wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Geben Sie auf der Seite **Konfigurieren eines Ereignisdatenspeichers** in **Allgemeine Angaben** einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.
1. Wählen Sie die **Preisoption** aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
Die folgenden Optionen sind verfügbar:
+ **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine verlängerte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.
+ **Standardaufbewahrungsdauer:** 366 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 3 653 Tage.
+ **Preisoption für die Aufbewahrung über sieben Jahre** – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.
+ **Standardaufbewahrungsdauer:** 2 557 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 2 557 Tage.
1. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die **Preisoption mit siebenjähriger Aufbewahrungsdauer** liegen.
CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb `eventTime` des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie `eventTime` älter als 90 Tage sind.
1. (Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie **Eigene verwenden** aus AWS KMS key. Wählen Sie **Neu**, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie **Bestehend**, um einen vorhandenen KMS-Schlüssel zu verwenden. **Geben Sie unter KMS-Alias** eingeben einen Alias im folgenden Format an `alias/`*MyAliasName*. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, damit Ihr Ereignisdatenspeicher ver- und entschlüsselt werden kann. Weitere Informationen finden Sie unter[Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
**Anmerkung**
Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.
1. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie **Aktivieren** in **Lake-Abfrageverbund**. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -[Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter [Verbund für einen Ereignisdatenspeicher erstellen](query-federation.md).
Wählen Sie **Aktivieren** und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:
1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.
1. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.
1. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.
1. (Optional) Wählen Sie „**Ressourcenrichtlinie aktivieren**“, um Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html), denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.
Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [ressourcenbasierte Standardrichtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).
1. (Optional) Im Bereich **Tags** können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Weitere Informationen zur Verwendung von Tags finden Sie unter [Tagging AWS Resources im Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User Guide AWS *. AWS
1. Wählen Sie **Next** (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.
1. **Wählen Sie auf der Seite Ereignisse** **auswählen die Option **AWS Ereignisse und dann Ereignisse** ausCloudTrail.**
1. Lassen Sie **CloudTrail unter Ereignisse** die Option **Management-Ereignisse** ausgewählt.
1. Damit Ihr Ereignisdatenspeicher Ereignisse von allen Konten in einer AWS Organizations -Organisation erfasst, wählen Sie **Für alle Konten in meiner Organisation aktivieren** aus. Sie müssen beim Verwaltungskonto der Organisation angemeldet sein, um einen Ereignisdatenspeicher zu erstellen, der Insights aktiviert.
1. Erweitern Sie **Zusätzliche Einstellungen**, um auszuwählen, ob Ihr Ereignisdatenspeicher Ereignisse für alle AWS-Regionen oder nur für die aktuellen Ereignisse erfassen soll AWS-Region, und wählen Sie aus, ob der Ereignisdatenspeicher Ereignisse aufnimmt. Standardmäßig erfasst der Ereignisdatenspeicher Ereignisse aus allen Regionen in Ihrem Konto und beginnt ab der Erstellung damit, Ereignisse aufzunehmen.
1. Wählen Sie **Nur die aktuelle Region in meinen Ereignisdatenspeicher einbeziehen** aus, um nur Ereignisse einzubeziehen, die in der aktuellen Region protokolliert werden. Wenn Sie diese Option nicht auswählen, enthält der Ereignisdatenspeicher Ereignisse aus allen Regionen.
1. Lassen Sie die Option **Ereignisse aufnehmen** ausgewählt.
1. Wählen Sie zwischen **einfacher Ereigniserfassung** und **erweiterter Ereigniserfassung**:
+ Wählen Sie **Einfache Ereigniserfassung**, wenn Sie alle Ereignisse, nur Leseereignisse oder nur Schreibereignisse protokollieren möchten. Sie können sich auch dafür entscheiden, Amazon RDS Data API-Ereignisse auszuschließen AWS Key Management Service und sie auszuschließen.
+ Wählen Sie **Erweiterte Ereigniserfassung**, wenn Sie Verwaltungsereignisse auf der Grundlage der Werte der erweiterten Ereignisauswahlfelder, einschließlich der Felder,,, und`userIdentity.arn`,,,,,,,,,,,,,,,,,,,,,,`eventName`,,,,`eventType`,,`eventSource`,,`sessionCredentialFromConsole`,,,,,,
1. Wenn Sie **Einfache Ereigniserfassung** ausgewählt haben, wählen Sie aus, ob Sie alle Ereignisse, nur Leseereignisse oder nur Schreibereignisse protokollieren möchten. Sie können sich auch dafür entscheiden, Ereignisse der Amazon RDS Data API auszuschließen AWS KMS und sie auszuschließen.
1. Wenn Sie **Advanced Event Collection** ausgewählt haben, treffen Sie die folgenden Auswahlen:
1. Wählen Sie unter **Vorlage für die Protokollauswahl** eine vordefinierte Vorlage aus, oder wählen Sie **Benutzerdefiniert**, um Ihre eigenen Bedingungen für die Erfassung von Ereignissen zu erstellen, die auf den Werten der erweiterten Ereignisauswahlfelder basieren.
Sie können aus den folgenden vordefinierten Vorlagen wählen:
+ **Alle Ereignisse protokollieren**: Wählen Sie diese Vorlage, um alle Ereignisse zu protokollieren.
+ **Nur Leseereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Leseereignisse zu protokollieren. Schreibgeschützte Ereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. Ereignisse `Get*` oder`Describe*`.
+ **Nur Schreibereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Schreibereignisse zu protokollieren. Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse.
+ **Nur AWS-Managementkonsole Ereignisse protokollieren** — Wählen Sie diese Vorlage, um nur Ereignisse zu protokollieren, die ihren Ursprung in haben AWS-Managementkonsole.
+ ** AWS-Service Ausgelöste Ereignisse ausschließen** — Wählen Sie diese Vorlage, um AWS-Service Ereignisse mit dem Wert `eventType` von und Ereignisse auszuschließen`AwsServiceEvent`, die mit AWS-Service-verknüpften Rollen initiiert wurden (SLRs).
1. (Optional) Geben Sie unter **Selektorname** einen Namen ein, um Ihre Auswahl zu identifizieren. Der Selektorname ist ein beschreibender Name für eine erweiterte Ereignisauswahl, z. B. „Verwaltungsereignisse von Sitzungen protokollieren“. AWS-Managementkonsole Der Name des Selektors wird als `Name` in der erweiterten Ereignisauswahl aufgeführt und ist sichtbar, wenn Sie die **JSON-Ansicht** erweitern.
1. Wenn Sie **Benutzerdefiniert wählen, erstellen** **Event-Selektoren unter Erweitert** einen Ausdruck, der auf Feldwerten der erweiterten Ereignisauswahl basiert.
**Anmerkung**
Selektoren unterstützen nicht die Verwendung von Platzhaltern wie. `*` Um mehrere Werte mit einer einzigen Bedingung abzugleichen, können Sie`StartsWith`,, oder verwenden `EndsWith``NotStartsWith`, `NotEndsWith` um explizit den Anfang oder das Ende des Ereignisfeldes abzugleichen.
1. Wählen Sie aus den folgenden Feldern.
+ **`readOnly`**— `readOnly` kann so gesetzt werden, dass sie einem Wert von `true` oder **`false`entspricht**. Wenn dieser Wert auf gesetzt ist`false`, protokolliert der Ereignisdatenspeicher Verwaltungsereignisse, die nur auf Schreibzugriff beschränkt sind. Schreibgeschützte Verwaltungsereignisse sind Ereignisse, die den Status einer Ressource nicht ändern, wie z. B. OR-Ereignisse. `Get*` `Describe*` Schreibereignisse fügen Ressourcen, Attribute oder Artefakte hinzu, ändern oder löschen sie, wie z. B. `Put*`-, `Delete*`- oder `Write*`-Ereignisse. Um sowohl **Lese** - als auch **Schreibereignisse** zu protokollieren, fügen Sie keinen Selektor hinzu. `readOnly`
+ **`eventName`**— `eventName` kann einen beliebigen Operator verwenden. Sie können ihn verwenden, um jedes Verwaltungsereignis wie `CreateAccessPoint` oder ein- oder auszuschließen`GetAccessPoint`.
+ **`userIdentity.arn`**— Ereignisse für Aktionen, die von bestimmten IAM-Identitäten ausgeführt werden, einschließen oder ausschließen. Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Ereignisse, die aus einer AWS-Managementkonsole Sitzung stammen, einschließen oder ausschließen. Dieses Feld kann auf **gleich** oder ungleich mit dem Wert von **gesetzt** werden. `true`
+ **`eventSource`**— Sie können es verwenden, um bestimmte Ereignisquellen ein- oder auszuschließen. Das `eventSource` ist in der Regel eine Kurzform des Dienstnamens ohne Leerzeichen (Plus)`.amazonaws.com`. Sie könnten beispielsweise `eventSource` **equals** so festlegen, dass nur Amazon EC2-Managementereignisse protokolliert werden. `ec2.amazonaws.com`
+ **`eventType`**— Der [EventType](cloudtrail-event-reference-record-contents.md#ct-event-type), der ein- oder ausgeschlossen werden soll. [Sie können dieses Feld beispielsweise auf ungleich setzen**, `AwsServiceEvent` um Ereignisse** auszuschließen AWS-Service .](non-api-aws-service-events.md)
1. Wählen Sie für jedes Feld **\$1 Bedingung** aus, um beliebig viele Bedingungen hinzuzufügen, bis zu maximal 500 angegebene Werte für alle Bedingungen.
Informationen darüber, wie mehrere Bedingungen CloudTrail ausgewertet werden, finden Sie unter. [Wie CloudTrail werden mehrere Bedingungen für ein Feld ausgewertet](filtering-data-events.md#filtering-data-events-conditions)
**Anmerkung**
Sie können maximal 500 Werte für alle Selektoren in einem Ereignisdatenspeicher haben. Dies schließt Arrays mit mehreren Werten für einen Selektor wie `eventName` ein. Wenn Sie einzelne Werte für alle Selektoren haben, können Sie einem Selektor maximal 500 Bedingungen hinzufügen.
1. Wählen Sie **\$1 Feld**, um bei Bedarf zusätzliche Felder hinzuzufügen. Um Fehler zu vermeiden, legen Sie keine widersprüchlichen oder doppelten Werte für Felder fest.
1. Erweitern Sie optional die **JSON-Ansicht**, um Ihre erweiterten Ereignisselektoren als JSON-Block anzuzeigen.
1. Wählen Sie „**Erfassung von Insights-Ereignissen aktivieren**“.
1. Wählen Sie den Ziel-Eventspeicher aus, in dem Insights-Ereignisse protokolliert werden sollen. Der Zielereignisdatenspeicher erfasst Insights-Ereignisse auf der Grundlage der Verwaltungsereignisaktivität in diesem Ereignisdatenspeicher. Weitere Informationen zum Erstellen des Zielereignisdatenspeichers finden Sie unter [Erstellen eines Zielereignisdatenspeichers, der Insights-Ereignisse protokolliert](#query-event-data-store-insights-procedure).
1. Wählen Sie die Insights-Typen aus. Sie können die **API-Aufrufrate**, die **API-Fehlerrate** oder beides auswählen. Sie müssen **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Aufrufrate** zu protokollieren. Sie müssen **Lese**- und **Schreib**-Verwaltungsereignisse protokollieren, um Insights-Ereignisse für die **API-Fehlerrate** zu protokollieren.
1. Wählen Sie **Weiter**, um Ihre Ereignisse durch Hinzufügen von Ressourcen-Tag-Schlüsseln und globalen IAM-Bedingungsschlüsseln zu bereichern.
1. Fügen Sie unter **Ereignisse anreichern** bis zu 50 Ressourcen-Tag-Schlüssel und 50 globale IAM-Bedingungsschlüssel hinzu, um zusätzliche Metadaten zu Ihren Ereignissen bereitzustellen. Dies hilft Ihnen, verwandte Ereignisse zu kategorisieren und zu gruppieren.
Wenn Sie Ressourcen-Tag-Schlüssel hinzufügen, CloudTrail werden die ausgewählten Tag-Schlüssel eingeschlossen, die den Ressourcen zugeordnet sind, die am API-Aufruf beteiligt waren. API-Ereignisse, die sich auf gelöschte Ressourcen beziehen, haben keine Ressourcen-Tags.
Wenn Sie globale IAM-Bedingungsschlüssel hinzufügen, enthält CloudTrail dies Informationen zu den ausgewählten Bedingungsschlüsseln, die während des Autorisierungsprozesses ausgewertet wurden, einschließlich zusätzlicher Details zum Prinzipal, zur Sitzung, zum Netzwerk und zur Anfrage selbst.
Informationen zu den Ressourcen-Tag-Schlüsseln und den globalen IAM-Bedingungsschlüsseln werden im `eventContext` Feld des Ereignisses angezeigt. Weitere Informationen finden Sie unter [Bereichern Sie CloudTrail Ereignisse, indem Sie Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel hinzufügen](cloudtrail-context-events.md).
**Anmerkung**
Wenn ein Ereignis eine Ressource enthält, die nicht zur Event-Region gehört, CloudTrail werden keine Tags für diese Ressource aufgefüllt, da der Tag-Abruf auf die Event-Region beschränkt ist.
1. Wählen Sie „**Eventgröße erweitern**“, um die Event-Payload von 256 KB auf bis zu 1 MB zu erweitern. Diese Option wird automatisch aktiviert, wenn Sie Ressourcen-Tag-Schlüssel oder globale IAM-Bedingungsschlüssel hinzufügen, um sicherzustellen, dass alle Ihre hinzugefügten Schlüssel in dem Ereignis enthalten sind.
Die Erweiterung der Ereignisgröße ist für die Analyse und Problembehandlung von Ereignissen hilfreich, da Sie so den vollständigen Inhalt der folgenden Felder sehen können, sofern die Ereignisnutzlast weniger als 1 MB beträgt:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Weitere Informationen zu diesen Feldern finden Sie unter [CloudTrail Datensatzinhalte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
1. Wählen Sie **Next** (Weiter) aus, um Ihre Auswahl zu überprüfen.
1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Der neue Ereignisdatenspeicher ist in der Tabelle **Ereignisdatenspeicher** auf der Seite **Ereignisdatenspeicher** sichtbar.
Ab diesem Zeitpunkt erfasst der Ereignisdatenspeicher Ereignisse, die mit seinen erweiterten Ereignisselektoren übereinstimmen. Nachdem Sie CloudTrail Insights zum ersten Mal in Ihrem Quelldatenspeicher für Ereignisse aktiviert haben, CloudTrail kann es bis zu 7 Tage dauern, bis mit der Bereitstellung von Insights-Ereignissen begonnen wird, sofern während dieser Zeit ungewöhnliche Aktivitäten festgestellt werden.
Sie können das CloudTrail Lake-Dashboard aufrufen, um die Insights-Ereignisse in Ihrem Zielereignisdatenspeicher zu visualisieren. Weitere Informationen zu Lake-Dashboards finden Sie unter [CloudTrail Lake-Dashboards](lake-dashboard.md).
Für die Aufnahme von Insights-Veranstaltungen in CloudTrail Lake fallen zusätzliche Gebühren an. Wenn Sie Insights sowohl für Trails als auch für Ereignisdatenspeicher aktivieren, wird Ihnen eine separate Gebühr in Rechnung gestellt. Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).
# Erstellen Sie mit der Konsole einen Ereignisdatenspeicher für Konfigurationselemente
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Sie können einen Ereignisdatenspeicher erstellen, der [AWS Config -Konfigurationselemente](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-items) enthält, und damit nicht-konforme Änderungen an Ihren Produktionsumgebungen untersuchen. Mit einem Ereignisdatenspeicher können Sie nicht-konforme Regeln den Benutzern und Ressourcen zuordnen, die mit den jeweiligen Änderungen im Zusammenhang stehen. Ein Konfigurationselement stellt eine point-in-time Ansicht der Attribute einer unterstützten AWS Ressource dar, die in Ihrem Konto vorhanden ist. AWS Config erstellt ein Konfigurationselement, wenn es eine Änderung an einem Ressourcentyp feststellt, den es aufzeichnet. AWS Config erstellt auch Konfigurationselemente, wenn ein Konfigurations-Snapshot erfasst wird.
Sie können AWS Config sowohl als auch CloudTrail Lake verwenden, um Abfragen für Ihre Konfigurationselemente auszuführen. Sie können AWS Config damit den aktuellen Konfigurationsstatus von AWS Ressourcen auf der Grundlage von Konfigurationseigenschaften für ein einzelnes AWS-Konto und AWS-Region oder für mehrere Konten und Regionen abfragen. Im Gegensatz dazu können Sie CloudTrail Lake verwenden, um verschiedene Datenquellen wie CloudTrail Ereignisse, Konfigurationselemente und Regelauswertungen abzufragen. CloudTrail Lake-Abfragen decken alle AWS Config Konfigurationselemente ab, einschließlich der Ressourcenkonfiguration und des Kompatibilitätsverlaufs.
Das Erstellen eines Ereignisdatenspeichers für Konfigurationselemente hat keine Auswirkungen auf bestehende AWS Config erweiterte Abfragen oder konfigurierte AWS Config Aggregatoren. Sie können weiterhin erweiterte Abfragen mit Ihren AWS Config S3-Buckets ausführen und diese AWS Config weiterhin an Ihre S3-Buckets senden.
CloudTrail Für Datenspeicher mit Lake-Ereignissen fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/) und[Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
## Einschränkungen
Bezüglich der Ereignisdatenspeicher für Konfigurationselemente gelten die folgenden Einschränkungen.
+ Keine Unterstützung für benutzerdefinierte Konfigurationselemente
+ Keine Unterstützung für die Ereignisfilterung mit erweiterten Ereignisselektoren
## Voraussetzungen
Bevor Sie Ihren Veranstaltungsdatenspeicher erstellen, richten Sie die AWS Config Aufzeichnung für alle Ihre Konten und Regionen ein. Sie können [Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html), eine Funktion von, verwenden AWS Systems Manager, um schnell einen Konfigurationsrekorder zu erstellen, der von unterstützt wird AWS Config.
**Anmerkung**
Wenn Sie mit der Aufzeichnung von Konfigurationen AWS Config beginnen, werden Ihnen Gebühren für die Nutzung des Dienstes berechnet. Weitere Informationen über die Preise finden Sie unter [AWS Config – Preise](https://aws.amazon.com/config/pricing/). Weitere Informationen zur Verwaltung des Konfigurations-Recorders finden Sie unter [Verwalten des Konfigurations-Recorders](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) im *Entwicklerhandbuch zu AWS Config *.
Darüber hinaus werden die folgenden Aktionen empfohlen. Sie sind jedoch nicht erforderlich, um einen Ereignisdatenspeicher zu erstellen.
+ Richten Sie einen Amazon-S3-Bucket für den Empfang eines Konfigurations-Snapshots (auf Anfrage) und eines Konfigurationsverlaufs ein. Weitere Informationen zu Snapshots finden Sie unter [Verwalten des Übermittlungskanals](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html) und [Übermitteln eines Konfigurations-Snapshots an einen Amazon-S3-Bucket](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html) im *Entwicklerhandbuch zu AWS Config *.
+ Geben Sie die Regeln an, anhand derer Sie AWS Config die Konformitätsinformationen für die aufgezeichneten Ressourcentypen auswerten möchten. Einige der CloudTrail Lake-Beispielabfragen für AWS Config erfordern AWS-Config-Regeln die Bewertung des Konformitätsstatus Ihrer AWS Ressourcen. Weitere Informationen dazu finden Sie AWS-Config-Regeln unter [Evaluierung von Ressourcen mit AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config Entwicklerhandbuch*.
## So erstellen Sie einen Ereignisdatenspeicher für Konfigurationselemente
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Geben Sie auf der Seite **Konfigurieren eines Ereignisdatenspeichers** in **Allgemeine Angaben** einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.
1. Wählen Sie die **Preisoption** aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
Die folgenden Optionen sind verfügbar:
+ **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine verlängerte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.
+ **Standardaufbewahrungsdauer:** 366 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 3 653 Tage.
+ **Preisoption für die Aufbewahrung über sieben Jahre** – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.
+ **Standardaufbewahrungsdauer:** 2 557 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 2 557 Tage.
1. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die **Preisoption mit siebenjähriger Aufbewahrungsdauer** liegen.
CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb `eventTime` des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie `eventTime` älter als 90 Tage sind.
1. (Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie **Eigene verwenden** aus AWS KMS key. Wählen Sie **Neu**, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie **Bestehend**, um einen vorhandenen KMS-Schlüssel zu verwenden. **Geben Sie unter KMS-Alias** eingeben einen Alias im folgenden Format an `alias/`*MyAliasName*. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, damit Ihr Ereignisdatenspeicher ver- und entschlüsselt werden kann. Weitere Informationen finden Sie unter[Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
**Anmerkung**
Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.
1. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie **Aktivieren** in **Lake-Abfrageverbund**. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -[Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter [Verbund für einen Ereignisdatenspeicher erstellen](query-federation.md).
Wählen Sie **Aktivieren** und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:
1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.
1. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.
1. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.
1. (Optional) Wählen Sie „**Ressourcenrichtlinie aktivieren**“, um Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html), denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.
Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [ressourcenbasierte Standardrichtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).
1. (Optional) Im Bereich **Tags** können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Weitere Informationen zur Verwendung von Tags finden Sie unter [Tagging AWS Resources im Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User Guide AWS *. AWS
1. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Ereignisse auswählen** die Option **AWS -Ereignisse** und dann **Konfigurationselemente** aus.
1. CloudTrail speichert die Datenspeicherressource für Ereignisse in der Region, in der Sie sie erstellen. Standardmäßig stammen die im Datenspeicher gesammelten Konfigurationselemente jedoch aus allen Regionen in Ihrem Konto, für die die Aufzeichnung aktiviert ist. Optional können Sie **Include only the current region in my event data store** (Nur die aktuelle Region in meinen Ereignisdatenspeicher einbeziehen) auswählen, um nur Konfigurationselemente einzubeziehen, die in der aktuellen Region erfasst werden. Wenn Sie diese Option nicht auswählen, enthält Ihr Ereignisdatenspeicher Konfigurationselemente aus allen Regionen, für die die Aufzeichnung aktiviert ist.
1. Damit Ihr Event-Datenspeicher Konfigurationselemente von allen Konten in einer AWS Organizations Organisation sammelt, wählen Sie **Für alle Konten in meiner Organisation aktivieren** aus. Sie müssen beim Verwaltungskonto oder beim Konto eines delegierten Administrators der Organisation angemeldet sein, um einen Ereignisdatenspeicher zu erstellen, der Konfigurationselemente für eine Organisation erfasst.
1. Wählen Sie **Next** (Weiter) aus, um Ihre Auswahl zu überprüfen.
1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Der neue Ereignisdatenspeicher ist in der Tabelle **Ereignisdatenspeicher** auf der Seite **Ereignisdatenspeicher** sichtbar.
Konfigurationselemente werden ab diesem Zeitpunkt vom Ereignisdatenspeicher erfasst. Konfigurationselemente, die vor der Erstellung des Ereignisdatenspeichers aufgetreten sind, befinden sich nicht darin.
## Schema für Konfigurationselemente
In der folgenden Tabelle werden die erforderlichen und optionalen Schemaelemente beschrieben, die denen in den Aufzeichnungen der Konfigurationselemente entsprechen. Der Inhalt von `eventData` wird durch Ihre Konfigurationselemente bereitgestellt; andere Felder werden von CloudTrail nach der Aufnahme bereitgestellt.
CloudTrail Der Inhalt des Ereignisdatensatzes wird unter ausführlicher beschrieben. [CloudTrail Inhalte für Verwaltungs-, Daten- und Netzwerkaktivitätsereignisse aufzeichnen](cloudtrail-event-reference-record-contents.md)
+ [Felder, die CloudTrail nach der Aufnahme bereitgestellt werden](#fields-cloudtrail-event)
+ [Felder, die durch Ihre Ereignisse bereitgestellt werden](#fields-config)
**Felder, die von after ingestion bereitgestellt werden CloudTrail**
| Feldname | Eingabetyp | Anforderung | Description |
| --- | --- | --- | --- |
| eventVersion | Zeichenfolge | Erforderlich | Die Version des AWS Ereignisformats. |
| eventCategory | Zeichenfolge | Erforderlich | Die Kategorie des Ereignisses. Für Konfigurationselemente lautet der gültige Wert `ConfigurationItem`. |
| eventType | Zeichenfolge | Erforderlich | Der Ereignistyp. Für Konfigurationselemente lautet der gültige Wert `AwsConfigurationItem`. |
| eventID | Zeichenfolge | Erforderlich | Eine eindeutige ID für ein Ereignis. |
| eventTime | Zeichenfolge | Erforderlich | Der Zeitstempel des Ereignisses im Format `yyyy-MM-DDTHH:mm:ss`, in Universal Coordinated Time (UTC). |
| awsRegion | Zeichenfolge | Erforderlich | Die AWS-Region , der ein Ereignis zugewiesen werden soll. |
| recipientAccountId | Zeichenfolge | Erforderlich | Stellt die AWS-Konto ID dar, die dieses Ereignis empfangen hat. |
| addendum | addendum | Optional | Zeigt Informationen dazu an, warum sich ein Ereignis verzögert hat. Wenn Informationen zu einem bestehenden Ereignis fehlten, enthält der Nachtragsblock die fehlenden Informationen und einen Grund für das Fehlen. |
**Die Felder in `eventData` werden durch Ihre Konfigurationselemente bereitgestellt.**
| Feldname | Eingabetyp | Anforderung | Description |
| --- | --- | --- | --- |
| eventData | - | Erforderlich | Felder in eventData werden durch Ihre Konfigurationselemente bereitgestellt. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Die Version des Konfigurationselements aus der zugehörigen Quelle. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Die Uhrzeit, zu der die Konfigurationsaufzeichnung initiiert wurde. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Der Status des Konfigurationselements. Gültige Werte sind `OK`, `ResourceDiscovered`, `ResourceNotRecorded`, ` ResourceDeleted` und `ResourceDeletedNotRecorded`. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Die 12-stellige AWS-Konto ID, die der Ressource zugeordnet ist. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Der Typ der AWS Ressource. Weitere Informationen zu gültigen Ressourcentypen finden Sie [ConfigurationItem](https://docs.aws.amazon.com/config/latest/APIReference/API_ConfigurationItem.html)in der *AWS Config API-Referenz*. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Die ID der Ressource (z. B. sg-*xxxxxx*). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Der benutzerdefinierte Name der Ressource, sofern verfügbar. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Der Amazon-Ressourcenname (ARN), der der Ressource zugeordnet ist. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Der AWS-Region Ort, an dem sich die Ressource befindet. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Die Availability Zone, die der Ressource zugeordnet ist. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Der Zeitstempel für die Erstellung der Ressource. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Optional | Die Beschreibung der Ressourcenkonfiguration. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Optional | Konfigurationsattribute, die für bestimmte Ressourcentypen AWS Config zurückgegeben werden, um die für den Konfigurationsparameter zurückgegebenen Informationen zu ergänzen. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Eine Liste von CloudTrail Ereignissen IDs. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | - | Optional | Eine Liste verwandter AWS Ressourcen. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Die Art der Beziehung mit der zugehörigen Ressource. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Der Ressourcentyp der zugehörigen Ressource. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Die ID der zugehörigen Ressource (z. B. sg-*xxxxxx*). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | Zeichenfolge | Optional | Der benutzerdefinierte Name der zugehörigen Ressource, sofern verfügbar. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Optional | Schlüssel-Wert-Tags, die der Ressource zugeordnet sind. |
Das folgende Beispiel zeigt die Hierarchie von Schemaelementen, die denen in den Aufzeichnungen von Konfigurationselementen entsprechen.
```
{
"eventVersion": String,
"eventCategory: String,
"eventType": String,
"eventID": String,
"eventTime": String,
"awsRegion": String,
"recipientAccountId": String,
"addendum": Addendum,
"eventData": {
"configurationItemVersion": String,
"configurationItemCaptureTime": String,
"configurationItemStatus": String,
"configurationStateId": String,
"accountId": String,
"resourceType": String,
"resourceId": String,
"resourceName": String,
"arn": String,
"awsRegion": String,
"availabilityZone": String,
"resourceCreationTime": String,
"configuration": {
JSON,
},
"supplementaryConfiguration": {
JSON,
},
"relatedEvents": [
String
],
"relationships": [
struct{
"name" : String,
"resourceType": String,
"resourceId": String,
"resourceName": String
}
],
"tags": {
JSON
}
}
}
}
```
# Erstellen Sie einen Ereignisdatenspeicher für Ereignisse außerhalb der AWS Konsole
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Sie können einen Ereignisdatenspeicher erstellen, der Ereignisse außerhalb von enthält AWS, und dann CloudTrail Lake verwenden, um die Daten zu suchen, abzufragen und zu analysieren, die von Ihren Anwendungen protokolliert werden.
Sie können CloudTrail *Lake-Integrationen* verwenden, um Benutzeraktivitätsdaten von außerhalb zu protokollieren und zu speichern AWS; aus beliebigen Quellen in Ihren Hybridumgebungen, z. B. internen oder SaaS-Anwendungen, die vor Ort oder in der Cloud gehostet werden, virtuellen Maschinen oder Containern.
Wenn Sie einen Ereignisdatenspeicher für eine Integration erstellen, erstellen Sie auch einen Kanal und fügen dem Kanal eine Ressourcenrichtlinie hinzu.
CloudTrail Für die Speicherung von Ereignisdaten in Lake fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Informationen zur CloudTrail Preisgestaltung und Verwaltung der Lake-Kosten finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/) und[Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
## Um einen Ereignisdatenspeicher für Ereignisse außerhalb von zu erstellen AWS
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Geben Sie auf der Seite **Konfigurieren eines Ereignisdatenspeichers** in **Allgemeine Angaben** einen Namen für den Ereignisdatenspeicher ein. Ein Name ist erforderlich.
1. Wählen Sie die **Preisoption** aus, die Sie für den Ereignisdatenspeicher verwenden möchten. Der Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauern für Ihren Ereignisdatenspeicher. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
Die folgenden Optionen sind verfügbar:
+ **Preisoption mit verlängerbarer Aufbewahrung für ein Jahr** – Empfohlen, wenn Sie damit rechnen, weniger als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 10 Jahren wünschen. In den ersten 366 Tagen (Standardaufbewahrungszeitraum) ist Speicherplatz ohne zusätzliche Kosten im Preis für die Datenaufnahme enthalten. Nach 366 Tagen ist eine verlängerte Aufbewahrung gegen Aufpreis pay-as-you-go verfügbar. Dies ist die Standardoption.
+ **Standardaufbewahrungsdauer:** 366 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 3 653 Tage.
+ **Preisoption für die Aufbewahrung über sieben Jahre** – Empfohlen, wenn Sie damit rechnen, mehr als 25 TB an Ereignisdaten pro Monat zu erfassen und eine flexible Aufbewahrungsdauer von bis zu 7 Jahren wünschen. Die Aufbewahrung ist im Preis für die Erfassung ohne Zusatzkosten enthalten.
+ **Standardaufbewahrungsdauer:** 2 557 Tage.
+ **Maximale Aufbewahrungsdauer:** beträgt 2 557 Tage.
1. Geben Sie einen Aufbewahrungszeitraum für den Ereignisdatenspeicher an. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die **Preisoption mit siebenjähriger Aufbewahrungsdauer** liegen.
CloudTrail Lake entscheidet, ob ein Ereignis aufbewahrt werden soll, indem es prüft, ob das Ereignis innerhalb `eventTime` des angegebenen Aufbewahrungszeitraums liegt. Wenn Sie beispielsweise einen Aufbewahrungszeitraum von 90 Tagen angeben, CloudTrail werden Ereignisse entfernt, wenn sie `eventTime` älter als 90 Tage sind.
1. (Optional) Um die Verschlüsselung mit zu aktivieren AWS Key Management Service, wählen Sie **Eigene verwenden** aus AWS KMS key. Wählen Sie **Neu**, um einen für Sie AWS KMS key erstellen zu lassen, oder wählen Sie **Bestehend**, um einen vorhandenen KMS-Schlüssel zu verwenden. **Geben Sie unter KMS-Alias** eingeben einen Alias im folgenden Format an `alias/`*MyAliasName*. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, müssen Sie Ihre KMS-Schlüsselrichtlinie bearbeiten, damit Ihr Ereignisdatenspeicher ver- und entschlüsselt werden kann. Weitere Informationen finden Sie unter[Konfigurieren Sie AWS KMS wichtige Richtlinien für CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail unterstützt auch Schlüssel AWS KMS für mehrere Regionen. Weitere Informationen finden Sie über Multi-Regions-Schlüssel finden Sie unter [Verwenden von Schlüsseln für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an. Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
**Anmerkung**
Um die AWS Key Management Service Verschlüsselung für den Ereignisdatenspeicher einer Organisation zu aktivieren, müssen Sie einen vorhandenen KMS-Schlüssel für das Verwaltungskonto verwenden.
1. (Optional) Wenn Sie Ihre Ereignisdaten mit Amazon Athena abfragen möchten, wählen Sie **Aktivieren** in **Lake-Abfrageverbund**. Mit Verbund können Sie die mit einem Ereignisdatenspeicher verbundenen Metadaten im AWS Glue -[Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) einsehen und mit Amazon Athena SQL-Abfragen zu den Ereignisdaten durchführen. Anhand der im AWS Glue Datenkatalog gespeicherten Tabellenmetadaten weiß die Athena-Abfrage-Engine, wie die Daten, die Sie abfragen möchten, gesucht, gelesen und verarbeitet werden. Weitere Informationen finden Sie unter [Verbund für einen Ereignisdatenspeicher erstellen](query-federation.md).
Wählen Sie **Aktivieren** und gehen Sie wie folgt vor, um Lake-Abfrageverbund zu aktivieren:
1. Wählen Sie aus, ob Sie eine neue Rolle erstellen oder eine vorhandene IAM-Rolle verwenden möchten. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) verwendet diese Rolle, um die Berechtigungen für den Verbundereignisdatenspeicher zu verwalten. Wenn Sie mit der CloudTrail Konsole eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle auswählen, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.
1. Wenn Sie eine neue Rolle erstellen, geben Sie einen Namen zur Identifizierung der Rolle ein.
1. Wenn Sie eine bestehende Rolle verwenden, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.
1. (Optional) Wählen Sie „**Ressourcenrichtlinie aktivieren**“, um Ihrem Ereignisdatenspeicher eine ressourcenbasierte Richtlinie hinzuzufügen. Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html), denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.
Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [ressourcenbasierte Standardrichtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).
1. (Optional) Im Bereich **Tags** können Sie bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Weitere Informationen darüber, wie Sie IAM-Richtlinien verwenden, um den Zugriff auf einen Ereignisdatenspeicher basierend auf Tags zu autorisieren, finden Sie unter [Beispiele: Verweigern des Zugriffs zum Erstellen oder Löschen von Ereignisdatenspeichern basierend auf Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Weitere Informationen zur Verwendung von Tags finden Sie unter [Tagging AWS Resources im Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *User Guide AWS *. AWS
1. Wählen Sie **Next** (Weiter) aus, um den Ereignisdatenspeicher zu konfigurieren.
1. Wählen Sie auf der Seite **Choose events** (Ereignisse auswählen) die Option **Events from integrations** (Ereignisse aus Integrationen) aus.
1. Wählen Sie unter **Events from integration** (Ereignisse aus Integration) die Quelle aus, aus der Ereignisse an den Ereignisdatenspeicher übermittelt werden sollen.
1. Stellen Sie einen Namen zur Verfügung, um den Kanal der Integration zu identifizieren. Der Name kann eine Länge von 3–128 Zeichen haben. Namen dürfen nur Buchstaben, Zahlen, Punkte, Unterstriche und Schrägstriche enthalten.
1. Konfigurieren Sie unter **Resource policy** (Ressourcenrichtlinie) die Ressourcenrichtlinie für den Kanal der Integration. Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für die Ressource ausführen kann. Die Konten, die in der Ressourcenrichtlinie als Prinzipale definiert sind, können die `PutAuditEvents`-API aufrufen, um Ereignisse an Ihren Kanal zu senden. Der Ressourcenbesitzer hat impliziten Zugriff auf die Ressource, sofern seine IAM-Richtlinie die `cloudtrail-data:PutAuditEvents`-Aktion zulässt.
Die für die Richtlinie erforderlichen Informationen werden durch den Integrationstyp bestimmt. Bei einer Direktionsintegration CloudTrail wird automatisch das AWS Konto IDs des Partners hinzugefügt und Sie müssen die vom Partner bereitgestellte eindeutige externe ID eingeben. Für eine Lösungsintegration müssen Sie mindestens eine AWS Konto-ID als Principal angeben und können optional eine externe ID eingeben, um zu verhindern, dass Ihr Stellvertreter verwirrt wird.
**Anmerkung**
Wenn Sie keine Ressourcenrichtlinie für den Kanal erstellen, kann nur der Kanalbesitzer die `PutAuditEvents`-API auf dem Kanal aufrufen.
1. Für eine direkte Integration geben Sie die von Ihrem Partner bereitgestellte externe ID ein. Der Integrationspartner stellt eine eindeutige externe ID zur Verfügung, z. B. eine Konto-ID oder eine zufällig generierte Zeichenfolge, die für die Integration verwendet wird, um zu verhindern, dass der Stellvertreter verwirrt wird. Der Partner ist für die Erstellung und Bereitstellung einer eindeutigen externen ID verantwortlich.
Sie können **How to find this?** (Wie finde ich das?) verwenden, um die Dokumentation des Partners einzusehen, in der beschrieben wird, wie Sie die externe ID finden.
![\[Partnerdokumentation für externe ID\]](http://docs.aws.amazon.com/de_de/awscloudtrail/latest/userguide/images/integration-external-id.png)
**Anmerkung**
Wenn die Ressourcenrichtlinie eine externe ID enthält, müssen alle Aufrufe der `PutAuditEvents`-API die externe ID enthalten. Wenn die Richtlinie jedoch keine externe ID definiert, kann der Partner die `PutAuditEvents`-API trotzdem aufrufen und einen `externalId`-Parameter angeben.
1. Für eine Lösungsintegration wählen Sie ** AWS Konto hinzufügen** aus, um jede AWS Konto-ID anzugeben, die der Richtlinie als Prinzipal hinzugefügt werden soll.
1. Wählen Sie **Next** (Weiter) aus, um Ihre Auswahl zu überprüfen.
1. Überprüfen Sie auf der Seite **Prüfen und erstellen** Ihre Auswahl. Wählen Sie **Bearbeiten** aus, um Änderungen am Schema vorzunehmen. Wenn Sie bereit sind, den Ereignisdatenspeicher zu erstellen, wählen Sie **Ereignisdatenspeicher erstellen** aus.
1. Der neue Ereignisdatenspeicher ist in der Tabelle **Ereignisdatenspeicher** auf der Seite **Ereignisdatenspeicher** sichtbar.
1. Stellen Sie der Partneranwendung den Amazon-Ressourcennamen (ARN) für den Kanal zur Verfügung. Anweisungen zur Bereitstellung des Kanal-ARN für die Partneranwendung finden Sie auf der Website mit der Partnerdokumentation. Um weitere Informationen zu erhalten, wählen Sie auf der Registerkarte **Available sources** (Verfügbare Quellen) der Seite **Integrations** (Integrationen) den Link **Learn more** (Weitere Informationen) für den Partner aus, um die Seite des Partners in AWS Marketplace zu öffnen.
Der Ereignisdatenspeicher beginnt mit der Aufnahme von Partnerereignissen CloudTrail über den Integrationskanal, wenn Sie, der Partner oder die Partneranwendungen die `PutAuditEvents` API auf dem Kanal aufrufen.
# Aktualisieren Sie einen Ereignisdatenspeicher mit der Konsole
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
In diesem Abschnitt wird beschrieben, wie Sie die Einstellungen eines Ereignisdatenspeichers mithilfe der AWS-Managementkonsole aktualisieren. Informationen zum Aktualisieren eines Ereignisdatenspeichers mithilfe von finden Sie unter[Aktualisieren Sie einen Ereignisdatenspeicher mit dem AWS CLI](lake-cli-update-eds.md). AWS CLI
**So aktualisieren Sie einen Ereignisdatenspeicher**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie den Ereignisdatenspeicher, den Sie aktualisieren möchten. Diese Aktion öffnet die Detailseite des Ereignisdatenspeichers.
1. Wählen Sie unter **Allgemeine Details** **Bearbeiten** aus, um die folgenden Einstellungen zu ändern:
+ **Name des Ereignisdatenspeichers** – Ändern Sie den Namen, der Ihren Ereignisdatenspeicher identifiziert.
+ **[Preisoption](cloudtrail-lake-concepts.md#eds-pricing-tier)** – Für Ereignisdatenspeicher, die die **Preisoption mit siebenjähriger Aufbewahrungsdauer** verwenden, können Sie stattdessen die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** wählen. Für Ereignisdatenspeicher, die weniger als 25 TB an Ereignisdaten pro Monat erfassen, empfehlen wir eine verlängerbare Aufbewahrungsdauer für ein Jahr. Wenn Sie eine flexible Aufbewahrungsdauer von bis zu 10 Jahren anstreben, empfehlen wir außerdem eine verlängerbare Aufbewahrungsdauer für ein Jahr. Weitere Informationen finden Sie unter [AWS CloudTrail -Preise](https://aws.amazon.com/cloudtrail/pricing/) und [Verwaltung der CloudTrail Seekosten](cloudtrail-lake-manage-costs.md).
**Anmerkung**
Sie können die Preisoption für Ereignisdatenspeicher, für die eine **verlängerbare Aufbewahrungsdauer für ein Jahr** verwendet wird, nicht ändern. Wenn Sie die **Preisgestaltung für eine Aufbewahrung von sieben Jahren** verwenden möchten, [beenden Sie die Erfassung](query-eds-stop-ingestion.md) in Ihren aktuellen Ereignisdatenspeicher. Erstellen Sie anschließend einen neuen Speicher für Ereignisdaten mit der **Preisoption für die Aufbewahrung von sieben Jahren**.
+ **Aufbewahrungsdauer** – Ändern Sie die Aufbewahrungsdauer für den Ereignisdatenspeicher. Die Aufbewahrungsdauer bestimmt, wie lange Ereignisdaten im Ereignisdatenspeicher aufbewahrt werden. Die Aufbewahrungsdauern können zwischen 7 Tagen und 3 653 Tagen (etwa 10 Jahre) für die **Preisoption mit verlängerbarer Aufbewahrungsdauer für ein Jahr** oder zwischen 7 Tagen und 2 557 Tagen (etwa sieben Jahre) für die **Preisoption mit siebenjähriger Aufbewahrungsdauer** liegen.
**Anmerkung**
Wenn Sie die Aufbewahrungsdauer eines Ereignisdatenspeichers verringern, CloudTrail werden alle Ereignisse entfernt, deren Aufbewahrungszeitraum `eventTime` älter als der neue ist. Wenn der vorherige Aufbewahrungszeitraum beispielsweise 365 Tage betrug und Sie ihn auf 100 Tage reduzieren, CloudTrail werden Ereignisse entfernt, deren Aufbewahrungszeitraum `eventTime` älter als 100 Tage ist.
+ **Verschlüsselung** – Um die Verschlüsselung mit Ihrem eigenen KMS-Schlüssel zu aktivieren, wählen Sie **Meinen eigenen AWS KMS key verwenden**. Standardmäßig werden alle Ereignisse in einem Ereignisdatenspeicher von verschlüsselt CloudTrail. Wenn Sie Ihren eigenen KMS-Schlüssel verwenden, fallen AWS KMS Kosten für die Verschlüsselung und Entschlüsselung an.
**Anmerkung**
Nachdem Sie einen KMS-Schlüssel einem Ereignisdatenspeicher zugeordnet haben, kann der KMS-Schlüssel nicht entfernt oder geändert werden.
+ Um nur Ereignisse einzuschließen, die in der aktuellen AWS-Region protokolliert werden, wählen Sie **In der aktuellen Region in meinem Ereignisdatenspeicher einschließen**. Wenn Sie diese Option nicht auswählen, enthält der Ereignisdatenspeicher Ereignisse aus allen Regionen.
+ Damit Ihr Ereignisdatenspeicher Ereignisse von allen Konten in einer AWS Organizations Organisation sammelt, wählen Sie **Für alle Konten in meiner Organisation aktivieren** aus. Diese Option ist nur verfügbar, wenn Sie mit dem Verwaltungskonto für Ihre Organisation angemeldet sind und der **Ereignistyp** für den Veranstaltungsdatenspeicher **CloudTrailEreignisse** oder **Konfigurationselemente** lautet.
Wenn Sie fertig sind, wählen Sie **Änderungen speichern** aus.
1. Wählen Sie in **Lake-Abfrageverbund** die Option **Bearbeiten** aus, um Lake-Abfrageverbund zu aktivieren oder zu deaktivieren. Wenn Sie den [Lake-Abfrageverbund aktivieren](query-enable-federation.md), können Sie die Metadaten für Ihren Ereignisdatenspeicher im AWS Glue [Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) anzeigen und mithilfe von Amazon Athena SQL-Abfragen für die Ereignisdaten ausführen. Wenn Sie den [Lake Query Federation deaktivieren](query-disable-federation.md), wird die Integration mit AWS Glue AWS Lake Formation, und Amazon Athena deaktiviert. Nachdem Sie den Lake-Abfrageverbund deaktiviert haben, können Sie Ihre Daten in Athena nicht mehr abfragen. Wenn Sie den Verbund deaktivieren, werden keine CloudTrail Lake-Daten gelöscht und Sie können weiterhin Abfragen in Lake ausführen. CloudTrail
Gehen Sie wie folgt vor, um den Verbund zu aktivieren:
1. Wählen Sie **Enable (Aktivieren)** aus.
1. Wählen Sie, ob Sie eine neue IAM-Rolle erstellen oder eine vorhandene Rolle verwenden möchten. Wenn Sie eine neue Rolle erstellen, CloudTrail wird automatisch eine Rolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie eine bestehende Rolle verwenden, stellen Sie sicher, dass die Richtlinie für die Rolle die [erforderlichen Mindestberechtigungen](query-federation.md#query-federation-permissions-role) vorsieht.
1. Wenn Sie eine neue IAM-Rolle erstellen, geben Sie einen Namen für die Rolle ein.
1. Wenn Sie eine bestehende IAM-Rolle wählen, wählen Sie die Rolle aus, die Sie verwenden möchten. Die Rolle muss in Ihrem Konto vorhanden sein.
Klicken Sie auf **Änderungen speichern**, wenn Sie fertig sind.
1. Wählen Sie **unter Ressourcenrichtlinie die** Option **Bearbeiten** aus, um die ressourcenbasierte Richtlinie für den Ereignisdatenspeicher hinzuzufügen oder zu ändern.
Mithilfe ressourcenbasierter Richtlinien können Sie steuern, welche Prinzipale Aktionen in Ihrem Ereignisdatenspeicher ausführen können. Sie können beispielsweise eine ressourcenbasierte Richtlinie hinzufügen, die es den Root-Benutzern in anderen Konten ermöglicht, diesen Ereignisdatenspeicher abzufragen und die Abfrageergebnisse anzuzeigen. Beispiele für Richtlinien finden Sie unter [Beispiele für ressourcenbasierte Richtlinien für Ereignisdatenspeicher](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Eine ressourcenbasierte Richtlinie umfasst eine oder mehrere Anweisungen. Jede Anweisung in der Richtlinie definiert die [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html), denen der Zugriff auf den Ereignisdatenspeicher gewährt oder verweigert wird, und die Aktionen, die die Prinzipale mit der Ressource des Ereignisdatenspeichers ausführen können.
Die folgenden Aktionen werden in ressourcenbasierten Richtlinien für Ereignisdatenspeicher unterstützt:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
CloudTrail Erstellt für [Datenspeicher von Organisationsereignissen](cloudtrail-lake-organizations.md) eine [ressourcenbasierte Standardrichtlinie](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp), in der die Aktionen aufgeführt sind, die die delegierten Administratorkonten für Organisationsereignisdatenspeicher ausführen dürfen. Die Berechtigungen in dieser Richtlinie werden von den delegierten Administratorberechtigungen in abgeleitet. AWS Organizations Diese Richtlinie wird automatisch aktualisiert, wenn Änderungen am Ereignisdatenspeicher der Organisation oder an der Organisation vorgenommen wurden (z. B. wenn ein CloudTrail delegiertes Administratorkonto registriert oder entfernt wurde).
1. Bearbeiten Sie alle zusätzlichen Einstellungen, die für den **Ereignistyp** Ihres Ereignisdatenspeichers spezifisch sind.
**Einstellungen für CloudTrail Ereignisse**
+ Um zu ändern, welche Ereignisse Ihr Ereignisdatenspeicher protokolliert, wählen Sie unter **CloudTrail Ereignisse** die Option **Bearbeiten** aus.
+ Wählen Sie unter **Verwaltungsereignisse** die Option **Bearbeiten** aus, um die Einstellungen für Verwaltungsereignisse zu ändern. Weitere Informationen finden Sie unter [Aktualisierung der Einstellungen für Verwaltungsereignisse für einen vorhandenen Ereignisdatenspeicher](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds).
+ Wählen Sie unter **Datenereignisse** **Bearbeiten** aus, um die Einstellungen für die Datenereignisse zu ändern. Sie können auswählen, welche Ressourcentypen Sie protokollieren möchten, und die Protokollauswahlvorlage auswählen, die Sie verwenden möchten. Weitere Informationen finden Sie unter [Aktualisierung eines vorhandenen Ereignisdatenspeichers zur Protokollierung von Datenereignissen mithilfe der Konsole](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds).
+ Wählen Sie unter **Netzwerkaktivitätsereignisse** die Option **Bearbeiten** aus, um die Einstellungen für Netzwerkaktivitätsereignisse zu ändern. Sie können auswählen, welchen Netzwerkaktivitätsereignistyp Sie protokollieren möchten, und die Protokollauswahlvorlage auswählen, die Sie verwenden möchten. Weitere Informationen finden Sie unter [Aktualisieren Sie einen vorhandenen Ereignisdatenspeicher, um Netzwerkaktivitätsereignisse zu protokollieren](logging-network-events-with-cloudtrail.md#log-network-events-lake-console).
+ **Erweitern Sie unter Ereignisse anreichern die Option Ereignisgröße**, wählen Sie **Bearbeiten** aus, um Ressourcen-Tags und globale IAM-Bedingungsschlüssel hinzuzufügen oder zu entfernen, und erweitern Sie die Ereignisgröße.
Fügen Sie unter **Ereignisse anreichern** bis zu 50 Ressourcen-Tag-Schlüssel und 50 globale IAM-Bedingungsschlüssel hinzu, um zusätzliche Metadaten zu Ihren Ereignissen bereitzustellen. Dies hilft Ihnen, verwandte Ereignisse zu kategorisieren und zu gruppieren.
Wenn Sie Ressourcen-Tag-Schlüssel hinzufügen, CloudTrail werden die ausgewählten Tag-Schlüssel eingeschlossen, die den Ressourcen zugeordnet sind, die am API-Aufruf beteiligt waren. API-Ereignisse, die sich auf gelöschte Ressourcen beziehen, haben keine Ressourcen-Tags.
Wenn Sie globale IAM-Bedingungsschlüssel hinzufügen, enthält CloudTrail dies Informationen zu den ausgewählten Bedingungsschlüsseln, die während des Autorisierungsprozesses ausgewertet wurden, einschließlich zusätzlicher Details zum Prinzipal, zur Sitzung, zum Netzwerk und zur Anfrage selbst.
Informationen zu den Ressourcen-Tag-Schlüsseln und den globalen IAM-Bedingungsschlüsseln werden im `eventContext` Feld des Ereignisses angezeigt. Weitere Informationen finden Sie unter [Bereichern Sie CloudTrail Ereignisse, indem Sie Ressourcen-Tag-Schlüssel und globale IAM-Bedingungsschlüssel hinzufügen](cloudtrail-context-events.md).
**Anmerkung**
Wenn ein Ereignis eine Ressource enthält, die nicht zur Event-Region gehört, CloudTrail werden keine Tags für diese Ressource aufgefüllt, da der Tag-Abruf auf die Event-Region beschränkt ist.
Wählen Sie „**Eventgröße erweitern**“, um die Event-Payload von 256 KB auf bis zu 1 MB zu erweitern. Diese Option wird automatisch aktiviert, wenn Sie Ressourcen-Tag-Schlüssel oder globale IAM-Bedingungsschlüssel hinzufügen, um sicherzustellen, dass alle Ihre hinzugefügten Schlüssel in dem Ereignis enthalten sind.
Die Erweiterung der Ereignisgröße ist für die Analyse und Problembehandlung von Ereignissen hilfreich, da Sie so den vollständigen Inhalt der folgenden Felder sehen können, sofern die Ereignisnutzlast weniger als 1 MB beträgt:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Weitere Informationen zu diesen Feldern finden Sie unter [CloudTrail Datensatzinhalte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
Wenn Sie fertig sind, wählen Sie **Änderungen speichern** aus.
**Einstellungen für Ereignisse aus der Integration**
Wählen Sie unter **Integrationen** Ihre Integration aus. Wählen Sie dann **Bearbeiten** aus, um die folgenden Einstellungen zu ändern.
+ Ändern Sie in den **Integrationsdetails** den Namen, der den Kanal Ihrer Integration identifiziert.
+ Wählen Sie unter **Ort der Ereigniszustellung** das Ziel für Ihre Ereignisse aus.
+ Konfigurieren Sie unter **Resource policy** (Ressourcenrichtlinie) die Ressourcenrichtlinie für den Kanal der Integration.
Wenn Sie fertig sind, wählen Sie **Änderungen speichern** aus.
Weitere Informationen zu diesen Einstellungen finden Sie unter [Erstellen Sie mit der Konsole eine Integration mit einem CloudTrail Partner](query-event-data-store-integration-partner.md).
1. Um Stichwörter hinzuzufügen, zu ändern oder zu entfernen, wählen Sie unter **Tags** die Option **Bearbeiten**. Sie können bis zu 50 Tag-Schlüssel-Paare hinzufügen, um den Zugriff auf den Ereignisdatenspeicher festzulegen, zu sortieren und zu steuern. Wenn Sie fertig sind, wählen Sie **Änderungen speichern** aus.
# Stoppen und starten Sie die Erfassung von Ereignissen über die Konsole
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Standardmäßig sind Ereignisdatenspeicher dafür konfiguriert, Ereignisse aufzunehmen. Sie können verhindern, dass ein Ereignisdatenspeicher Ereignisse aufnimmt, indem Sie die Konsole AWS CLI, oder APIs verwenden.
Die Optionen Aufnahme **starten und Aufnahme** **beenden** sind nur für Ereignisdatenspeicher verfügbar, die entweder CloudTrail Ereignisse (Verwaltungsereignisse, Datenereignisse und Netzwerkaktivitätsereignisse) oder Konfigurationselemente enthalten. AWS Config
Wenn Sie die Aufnahme für einen Ereignisdatenspeicher beenden, ändert sich sein Status zu `STOPPED_INGESTION`. Sie können weiterhin Abfragen für Ereignisse ausführen, die sich bereits im Ereignisdatenspeicher befinden. Sie können auch Trail-Ereignisse in den Ereignisdatenspeicher kopieren (wenn dieser nur Ereignisse enthält). CloudTrail
**Die Aufnahme von Ereignissen in einen Ereignisdatenspeicher beenden Sie wie folgt:**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie den Ereignisdatenspeicher aus.
1. Wählen Sie unter **Aktionen** die Option **Aufnahme beenden** aus.
1. Wenn Sie aufgefordert werden, den Vorgang zu bestätigen, wählen Sie **Aufnahme beenden** aus. Der Ereignisdatenspeicher nimmt dann keine Live-Ereignisse mehr auf.
1. Um die Aufnahme wieder fortzusetzen, wählen Sie **Aufnahme starten** aus.
**So starten Sie die Ereigniserfassung neu**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie den Ereignisdatenspeicher aus.
1. Wählen Sie unter **Aktionen** die Option **Erfassung starten** aus.
# Ändern Sie den Kündigungsschutz mit der Konsole
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Standardmäßig sind die Ereignisdatenspeicher in AWS CloudTrail Lake so konfiguriert, dass der Kündigungsschutz aktiviert ist. Der Beendigungsschutz verhindert, dass ein Ereignisdatenspeicher versehentlich gelöscht wird. Wenn Sie den Ereignisdatenspeicher löschen möchten, müssen Sie zuerst den Beendigungsschutz deaktivieren. Sie können den Kündigungsschutz mithilfe der API-Operationen AWS-Managementkonsole AWS CLI, oder deaktivieren.
**So deaktivieren Sie den Beendigungsschutz**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie den Ereignisdatenspeicher aus.
1. Wählen Sie **Aktionen** und dann **Beendigungsschutz ändern**.
1. Wählen Sie **Deaktiviert** aus.
1. Wählen Sie **Speichern**. Sie können [den Ereignisdatenspeicher jetzt löschen](query-event-data-store-delete.md).
**So aktivieren Sie den Beendigungsschutz**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie den Ereignisdatenspeicher aus.
1. Wählen Sie **Aktionen** und dann **Beendigungsschutz ändern**.
1. Um den Beendigungsschutz zu aktivieren, wählen Sie **Aktiviert** aus.
1. Wählen Sie **Speichern**.
# Löschen Sie einen Ereignisdatenspeicher mit der Konsole
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
In diesem Abschnitt wird beschrieben, wie Sie einen Ereignisdatenspeicher mithilfe der CloudTrail-Konsole löschen. Informationen zum Löschen eines Ereignisdatenspeichers mithilfe von finden Sie unter[Löschen Sie einen Ereignisdatenspeicher mit dem AWS CLI](lake-cli-delete-eds.md). AWS CLI
**Anmerkung**
Sie können einen Ereignisdatenspeicher nicht löschen, wenn entweder der [Beendigungsschutz](query-eds-termination-protection.md) oder der [Lake-Abfrageverbund](query-enable-federation.md) aktiviert ist. CloudTrail Aktiviert standardmäßig den Kündigungsschutz, um einen Ereignisdatenspeicher vor dem versehentlichen Löschen zu schützen.
Um einen Ereignisdatenspeicher mit dem Ereignistyp **Ereignisse aus der Integration** zu löschen, müssen Sie zuerst den Kanal der Integration löschen. Sie können den Kanal auf der Detailseite der Integration oder mithilfe des Befehls **aws cloudtrail delete-channel** löschen. Weitere Informationen finden Sie unter [Löschen Sie einen Kanal, um eine Integration mit dem zu löschen AWS CLI](lake-cli-delete-integration.md).
**So löschen Sie einen Ereignisdatenspeicher**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie den Ereignisdatenspeicher aus.
1. Klicken Sie bei **Actions** auf **Delete**.
1. Geben Sie den Namen des Ereignisdatenspeichers ein, um zu bestätigen, dass Sie ihn löschen möchten.
1. Wählen Sie **Löschen** aus.
Nachdem Sie einen Ereignisdatenspeicher gelöscht haben, ändert sich sein Status in `PENDING_DELETION` und bleibt 7 Tage lang im Speicher. Sie können einen Ereignisdatenspeicher während der siebentägigen Wartezeit [wiederherstellen](query-eds-restore.md). Im Status `PENDING_DELETION` ist ein Ereignisdatenspeicher nicht für Abfragen verfügbar und es können keine anderen Operationen mit dem Ereignisdatenspeicher durchgeführt werden, außer Wiederherstellungsoperationen. Ein Ereignisdatenspeicher mit ausstehendem Löschvorgang nimmt keine Ereignisse auf und verursacht keine Kosten. Ereignisdatenspeicher, deren Löschung noch aussteht, werden auf das Kontingent der Ereignisdatenspeicher angerechnet, die in einem Speicher vorhanden sein können AWS-Region.
# Stellen Sie einen Ereignisdatenspeicher mit der Konsole wieder her
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Nachdem Sie einen Ereignisdatenspeicher in AWS CloudTrail Lake gelöscht haben, ändert sich sein Status in diesen Status `PENDING_DELETION` und bleibt 7 Tage lang in diesem Zustand. Während dieser Zeit können Sie den Ereignisdatenspeicher mithilfe der [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html)API-Operation AWS-Managementkonsole AWS CLI, oder wiederherstellen.
In diesem Abschnitt wird beschrieben, wie Sie einen Ereignisdatenspeicher mithilfe der Konsole wiederherstellen. Hinweise zum Wiederherstellen eines Ereignisdatenspeichers mithilfe von finden Sie unter[Stellen Sie einen Ereignisdatenspeicher wieder her mit dem AWS CLI](lake-cli-manage-eds.md#lake-cli-restore-eds). AWS CLI
**So stellen Sie einen Ereignisdatenspeicher wieder her**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie den Ereignisdatenspeicher aus.
1. Wählen Sie unter **Aktionen** die Option **Wiederherstellen** aus.
# Daten aus dem CloudTrail Lake Event Data Store exportieren nach CloudWatch
**Anmerkung**
AWS CloudTrail Lake wird ab dem 31. Mai 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie CloudTrail Lake nutzen möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [CloudTrail Änderung der Verfügbarkeit von Seen](cloudtrail-lake-service-availability-change.md).
Die Bereitstellung von CloudTrail Lake-Daten CloudWatch für bietet mehrere Vorteile:
+ **Zentralisiertes Protokollmanagement** — Kombinieren Sie CloudTrail Ereignisse mit Anwendungsprotokollen, Infrastrukturprotokollen und anderen Datenquellen in CloudWatch.
+ **Vereinfachte Integration** — CloudWatch erledigt den Importvorgang mit nur wenigen Schritten — spezifizieren Sie den Ereignisdatenspeicher und den Datenbereich.
+ **Zugriff auf historische Daten** — Importieren Sie historische CloudTrail Lake-Daten, um vergangene Ereignisse zusammen mit aktuellen Betriebsdaten zu analysieren.
+ **Keine zusätzlichen CloudTrail Kosten** — Der vereinfachte Import von CloudTrail Lake-Daten ist ohne zusätzliche CloudTrail Kosten verfügbar. Es fallen jedoch CloudWatch Kosten an, wenn die Preise für benutzerdefinierte Protokolle mit seltenem Zugriff anfallen.
In diesem Abschnitt wird beschrieben, wie Sie mithilfe der Konsole Daten aus einem Ereignisdatenspeicher exportieren. CloudTrail Informationen dazu, wie Sie dies über das SDK oder durchführen AWS CLI, finden Sie in der [CloudWatch Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
**Um Daten aus einem Ereignisdatenspeicher zu exportieren**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich unter **Lake** die Option **Ereignisdatenspeicher** aus.
1. Wählen Sie den Ereignisdatenspeicher aus.
1. Wählen Sie **unter Aktionen** die Option **Exportieren nach** aus CloudWatch.
1. Wählen Sie den Zeitraum aus, in dem Daten für das EDS exportiert werden sollen.
1. Verwenden Sie die Anweisungen, um entweder eine IAM-Rolle zu erstellen oder bereitzustellen, die für den Zugriff auf Ihre Daten für den Export verwendet CloudTrail wird.
1. Wählen Sie **Export** aus.
Beachten Sie Folgendes, wenn Sie CloudTrail Lake-Daten für den Export in das CloudWatch Land zur Verfügung stellen:
+ **Preisgestaltung** — Der vereinfachte Export von CloudTrail Lake-Daten ist zwar ohne zusätzliche CloudTrail Kosten verfügbar, es fallen jedoch CloudWatch Gebühren an, die auf den Preisen für benutzerdefinierte Protokolle basieren
+ **Aufbewahrung von Daten** — Stellen Sie sicher, dass der Aufbewahrungszeitraum Ihres CloudTrail Lake Event Data Store die historischen Daten abdeckt, die Sie exportieren möchten
+ **Regionale Verfügbarkeit** — Informationen zu den unterstützten AWS Regionen für diese Funktion finden Sie in der CloudWatch Dokumentation
+ **Zugriff auf den Event-Datenspeicher** — Sie müssen Zugriff auf den Event Data Store haben, aus dem Daten exportiert werden.