Für das Debugging kann es sehr nützlich sein, genauere Einblicke in vergangene Konfigurationsänderungen erhalten. Dazu gehören anfordernde Benutzer, verwendete Services, durchgeführte Aktionen und die dafür verwendeten Parameter sowie Reaktionen von AWS-Diensten. Mit einem Dienst von Amazon lässt sich dies relativ leicht durchführen.

AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat





Sie können für diese Aufgabe AWS CloudTrail verwenden. Dabei handelt es sich um einen Webservice, der die in Ihrem Konto durchgeführten API-Aktivitäten aufzeichnet und wahlweise Protokolldateien an Ihren Amazon-S3-Bucket überträgt. Anhand dieser Informationen können Sie Änderungen an Ihren AWS-Ressourcen nachverfolgen und Probleme beheben. Der Dienst vereinfacht außerdem die Einhaltung interner Richtlinien und gesetzlicher Vorschriften.Der Service wird grundsätzlich bei der Erzeugung Ihres Accounts aktiviert und zeichnet API-Aufrufe (Erstell-, Änderungs- und Löschvorgänge) sowie Kontoaktivitäten auf. Diese hält die AWS Management Console dann bis zu 90 Tage vor. Um darüber hinaus eine Auslieferung der Daten für die automatisierte Weiterverarbeitung zu bekommen, müssen Sie in CloudTrail einen sogenannten Trail konfigurieren. Dadurch können Sie Ihre CloudTrail-Ereignisse an Amazon S3, Amazon CloudWatch Logs und Amazon CloudWatch Events übermitteln. So erhalten Sie Funktionen zum Archivieren, Analysieren und Reagieren auf Änderungen in Ihren Ressourcen.Zum Erstellen eines Pfades melden Sie sich über die Managementkonsole an und öffnen dort unter "https://console.aws.amazon.com/cloudtrail/" die CloudTrail-Konsole. Anschließend wählen Sie die Region aus, in der Sie den Trail erstellen wollen und bestätigen mit "Get Started Now". Geben Sie dem Trail einen Namen und wählen Sie unter "Apply trail to all regions" die Option "Yes", um Protokolldateien aus allen Regionen zu erhalten. Unter "Management events" geben Sie unter "Read/Write events" an, welche Prozesse Ihr Trail protokollieren soll. Zur Wahl stehen: All, Read-only, Write-only oder None. Bestätigen Sie mit "Save". CloudTrail verwendet das folgende Dateinamensformat für die Protokolldateiobjekte, die an den Amazon S3-Bucket übermittelt werden:Das Beispiel im Kasten zeigt, dass ein IAM-Benutzer mit dem Namen "Paul" die AWS-CLI verwendet hat, um die AmazonEC2-Aktion "StartInstances" aufzurufen, indem er den Befehl ec2-start-instances für die Instanz "i-ebeaf9e2" angewendet hat.