Was ist AWS CloudTrail?
AWS CloudTrail zeichnet alle API-Aufrufe in Ihrem AWS-Account auf und speichert sie als unveränderliche Audit-Logs. Jede Aktion in der Console, CLI oder SDK wird protokolliert: Wer hat was, wann und von wo ausgeführt. CloudTrail ist die Grundlage für Security-Analyse, Compliance-Audits und forensische Untersuchungen.
Kernfunktionen
- Automatische Protokollierung aller AWS-API-Aufrufe
- Unveränderliche Logs mit Integrity Validation
- Multi-Region und Multi-Account Trails über Organizations
- Integration mit CloudWatch Logs und EventBridge
- CloudTrail Lake für SQL-basierte Analyse
Typische Anwendungsfälle
Compliance-Audits: CloudTrail liefert den Audit-Trail für SOC 2, ISO 27001, PCI DSS und GDPR. Prüfer können nachvollziehen, wer auf welche Ressourcen zugegriffen hat.
Security-Analyse: Erkennen Sie verdächtige Aktivitäten wie ungewöhnliche API-Aufrufe, Zugriffe aus unbekannten Regionen oder Änderungen an IAM-Policies. Integration mit GuardDuty und Security Hub für automatisierte Bedrohungserkennung.
Troubleshooting: Rekonstruieren Sie Änderungen an Ihrer Infrastruktur. Finden Sie heraus, wer eine Security Group geändert oder eine Ressource gelöscht hat.
Vorteile
- Grundlegende Audit-Funktion automatisch aktiviert
- Unveränderliche Logs für Compliance-Nachweis
- Zentralisierte Logs über alle Accounts und Regionen
- Native Integration mit AWS Security-Services
Integration mit innFactory
Als AWS Reseller unterstützt innFactory Sie bei AWS CloudTrail: Multi-Account-Trail-Architektur, Security-Analyse-Workflows, Compliance-konforme Log-Aufbewahrung und CloudTrail Lake Queries.
Typische Anwendungsfälle
Häufig gestellte Fragen
Was kostet AWS CloudTrail?
Die ersten Management-Events sind kostenlos (90 Tage Aufbewahrung). Ein Trail für langfristige Speicherung kostet nichts, aber S3-Speicher und optionale Data Events kosten extra (0,10 USD pro 100.000 Events).
Was ist der Unterschied zwischen Management und Data Events?
Management Events protokollieren Control-Plane-Aktivitäten (CreateBucket, StartInstances). Data Events protokollieren Data-Plane-Aktivitäten (GetObject, PutObject in S3, Invoke in Lambda).
Wie schnell sind CloudTrail-Logs verfügbar?
Management Events erscheinen typischerweise innerhalb von 15 Minuten in CloudTrail. Für Echtzeit-Analyse können Sie CloudTrail mit EventBridge oder CloudWatch Logs integrieren.
Kann ich CloudTrail-Logs vor Manipulation schützen?
Ja, aktivieren Sie Log File Integrity Validation. CloudTrail erstellt einen Hash für jede Log-Datei und einen Digest für jeden Stundenzeitraum, um Manipulationen zu erkennen.