Direkt zum Inhalt

AWS CloudTrail vs AWS CloudWatch: Ein Leitfaden für Anfänger

Erfahre die wichtigsten Unterschiede zwischen AWS CloudTrail und AWS CloudWatch. Beides sind Protokollierungssysteme in AWS mit leicht unterschiedlichen Zielen.
Aktualisierte 28. Nov. 2024  · 10 Min. Lesezeit

Amazon Web Services (AWS) bietet viele Protokollierungstools an, die Unternehmen bei der Überwachung, Verwaltung und Sicherung ihrer Cloud-Infrastruktur unterstützen. Es gibt Tools, die sich auf die Überprüfung der Compliance (CloudTrail), Ressourcenmetriken (CloudWatch), Netzwerkprotokolle (VPC Flow) und Anwendungsprotokolle (X-Ray) konzentrieren. 

Diese Dienste geben den Nutzern Einblick in verschiedene Bereiche ihres AWS-Ökosystems und ermöglichen es ihnen, fundierte Entscheidungen zur Verwaltung ihrer Dienste zu treffen. Davon haben AWS CloudTrail und AWS CloudWatch einige der "kritischeren" Funktionen wie Compliance und Ressourcenüberwachung.

Diese beiden Systeme befassen sich mit unterschiedlichen Grundbedürfnissen: CloudTrail konzentriert sich auf Governance, Auditing und Compliance, während CloudWatch auf die Leistungsüberwachung und betriebliche Effizienz ausgerichtet ist. 

In diesem Artikel gehen wir auf die Besonderheiten der CloudTrail- und CloudWatch-Dienste ein, untersuchen ihre Anwendungsfälle und klären die wichtigsten Unterschiede, damit du weißt, wie du sie effektiv nutzen kannst. Informationen zu einigen der anderen AWS-Protokollierungs- und Verwaltungsmechanismen findest du in unserem Spickzettel zum Vergleich der Cloud-Service-Komponenten.

Was ist AWS CloudWatch?

AWS CloudWatch ist ein Überwachungsdienst, der dazu dient, Metriken über Ressourcen und Anwendungen, die auf AWS laufen, zu sammeln und zu verfolgen. CloudWatch sorgt für Transparenz bei der Systemleistung und verfügt sogar über Warnfunktionen, die Nutzer über Probleme informieren können. Je nach AWS-Service bietet es sowohl grundlegende (kostenlose) als auch detaillierte (kostenpflichtige) Überwachung.

AWS CloudWatch Hauptmerkmale

Zu den wichtigsten Funktionen von CloudWatch gehören Dashboards, die Erfassung von Kennzahlen, die Protokollüberwachung und Alarme. All diese Systeme basieren auf einer Reihe von Überwachungssystemen, die verschiedene Komponenten des AWS-Ökosystems überwachen.

1. Sammlung und Verfolgung von Metriken

  • Überwacht Metriken wie CPU-Nutzung, Speichernutzung, Festplatten-E/A und Netzwerkaktivität über AWS-Ressourcen wie EC2, RDS und Lambda.
  • Metriken werden normalerweise in einem Amazon EC2 Bucket gespeichert und dienen als Metrik-Repository.

2. Überwachungssysteme

  • Eine Vielzahl von Überwachungssystemen, wie z.B. Anwendungs-, Netzwerk- und Infrastrukturüberwachung.
  • Die Anwendungsüberwachung konzentriert sich auf den Zustand der Anwendung, wie Latenz, Verfügbarkeit und Fehler.
  • Die Netzwerküberwachung verfügt über Internet Monitor und Network Monitor, um sowohl den globalen (Internet-)Verkehr als auch die hybriden (On-Premise mit Cloud) Latenzzeiten und Paketverluste zu verfolgen.
  • Die Überwachung der Infrastruktur kann Einblicke in deine Container (Amazon Elastic und Kubernetes) für die Ressourcennutzung wie CPU, Speicher und so weiter umfassen. Es kann auch deine AWS Lambda-Anwendungen für dieselben Metriken verfolgen.

3. Dashboards in Echtzeit

  • Bietet anpassbare Dashboards zur Visualisierung von Systemleistung und Trends in Echtzeit.
  • Kann benutzerdefinierte Anwendungen und Metriken der Wahl präsentieren

CloudWatch Dashboard: Amazon Dokumentation

4. Alarme und Schwellenwerte

  • Legt Alarme fest, um Anomalien in der Leistung zu erkennen und darauf zu reagieren, indem automatisch Aktionen ausgelöst oder Warnungen gesendet werden.
  • Einige Aktionen, wie z.B. das Starten weiterer Instanzen oder das Beenden von zu wenig genutzten Instanzen.

AWS CloudWatch Anwendungsfälle

Sehen wir uns ein paar konkrete Anwendungsfälle für AWS CloudWatch an.

Leistungsoptimierung

AWS CloudWatch hilft, Engpässe zu erkennen und die Ressourcennutzung zu optimieren. Internet Monitor kann zum Beispiel Latenzprobleme auf einer globalen Cloud-Gaming-Plattform erkennen und den Einsatz von Servern in optimaleren Regionen empfehlen, um Verzögerungen zu reduzieren.

Automatischer Alarm

Richte Alarme basierend auf vordefinierten Schwellenwerten ein, um Ressourcen zu skalieren oder Fehler zu erkennen. Wenn zum Beispiel die Service Level Objectives (SLOs) für eine Anwendung nicht erreicht werden, kann CloudWatch Warnmeldungen senden und umsetzbare Empfehlungen zur Verbesserung der Leistungskennzahlen geben.

Kontinuierliche Sichtbarkeit

Verwende Dashboards, um in Echtzeit Einblicke in den Systemzustand zu erhalten. Dashboards sind besonders nützlich, um die Leistung von Datenströmen aus Diensten wieAWS Kinesis und AWS Lambda zu verfolgen. Eine gute Möglichkeit, diesen Prozess zu verstehen, ist dieser Kurs über Streaming Data mit AWS Kinesis und Lambda, in dem du schließlich Dashboards mit AWS CloudWatch erstellen kannst.

Was ist AWS CloudTrail?

AWS CloudTrail ist ein Protokollierungsdienst, mit dem du alle API-Aktivitäten in deinem AWS-Konto nachverfolgen kannst, um die Verantwortlichkeit sicherzustellen. Sie zeichnet Benutzeraktionen, Ressourcenänderungen und Service-Interaktionen auf und bietet einen unveränderlichen Prüfpfad für Governance- und Compliance-Zwecke. Dies ist besonders nützlich für die Einhaltung von Sicherheitsvorschriften und die Überprüfung des Nutzerverhaltens. Wenn du mehr erfahren möchtest, schau dir diesen Kurs über AWS-Sicherheit und Kostenmanagement an.

AWS CloudTrail Hauptmerkmale

Die wichtigsten Funktionen von CloudTrail drehen sich um die Überwachung der Nutzeraktivitäten. Da das Ziel von CloudTrail darin besteht, Rechenschaftspflicht und Prüfbarkeit zu gewährleisten, ist es sinnvoll, dass alle Aktionen überwacht und gespeichert werden.

1. Aktionsverfolgung

CloudTrail protokolliert alle Benutzeraktionen, und diese umfassende Nachverfolgung ist entscheidend für das Verständnis des "Wer, Was und Wann" deiner AWS-Umgebung.

2. Unterstützung bei der Einhaltung von Vorschriften

Hilft Unternehmen bei der Einhaltung gesetzlicher Vorschriften wie PCI DSS und HIPAA, indem es Ereignisprotokolle aufbewahrt.

Im Falle von Verstößen kann der Lernpfad dazu verwendet werden, den genauen Zeitpunkt und das Benutzerkonto zu ermitteln, das an dem Verstoß beteiligt war.

4. Integration mit AWS-Diensten

CloudTrail kann Protokolle an S3 zur langfristigen Speicherung oder an Amazon Athena zur Abfrage und Analyse senden. Diese Integrationen machen es einfacher, Trends zu analysieren oder Anomalien zu untersuchen.

Beispiel für CloudTrail Logs: AWS CloudTrail Blog

AWS CloudTrail Anwendungsfälle

Es gibt ein paar wichtige Anwendungsfälle für AWS CloudTrail, die sich um Audits und die Verfolgung der Einhaltung von Vorschriften drehen.

Sicherheitsprüfungen

CloudTrail ermöglicht eine detaillierte Prüfung, um die Einhaltung gesetzlicher Standards und interner Richtlinien zu gewährleisten. Im Falle eines Sicherheitsvorfalls liefern die CloudTrail-Protokolle die nötigen Details, um die Ursache zu identifizieren und die Auswirkungen zu bewerten.

CloudTrail Audit Logs: AWS-Sicherheitsreifegradmodell

Fehlerbehebung ändern

Durch die Überprüfung von Protokollen können Teams Änderungen an Ressourcen nachvollziehen, die ein unerwartetes Verhalten verursacht haben könnten. Auf diese Weise lassen sich zukünftige Probleme einfacher lösen.

CloudTrail vs. CloudWatch: Die wichtigsten Unterschiede

Wie bereits erwähnt, sind sowohl CloudTrail als auch CloudWatch grundlegende Protokollierungstools in der AWS-Umgebung. Beide betrachten jedoch unterschiedliche Komponenten der AWS-Umgebung, und in diesem Abschnitt geht es um die wichtigsten Unterschiede zwischen den Schwerpunkten und den Kosten.

Focus

CloudWatch und CloudTrail konzentrieren sich auf unterschiedliche Teile der AWS-Umgebung.

  • CloudWatch: Überwacht die Ressourcenleistung und den Betriebszustand. Das Ziel ist es, zu verstehen, wie die AWS-Komponenten laufen und ob es Probleme mit Latenz, Kundeninteraktion oder Ressourcenbeschränkungen gibt oder nicht.
  • CloudTrail: Lernpfad für API-Aktivitäten für Governance und Compliance. Das Ziel ist es, eine klare "Papierspur" für die Rechenschaftspflicht zu erhalten.

Daten-Latenzzeit

CloudWatch hat fast keine Latenz, während CloudTrail eine gewisse Latenz hat.

  • CloudWatch: Ermöglicht Einblicke fast in Echtzeit, mit Kennzahlen, die jede Minute aktualisiert werden. Einblicke in Echtzeit sind von entscheidender Bedeutung, da CloudWatch in der Lage sein muss, sofortige Warnmeldungen zu geben oder bei Bedarf Änderungen an den Ressourcen vorzunehmen.
  • CloudTrail: Protokolliert die API-Aktivitäten mit einer Verzögerung von einigen Minuten und konzentriert sich auf die historische Analyse. Da die Protokolle in der Regel dazu verwendet werden, historische Aktionen zu betrachten, ist eine Verzögerung von ein paar Minuten akzeptabel.

Integration

Beide lassen sich nahtlos in AWS-Dienste wie Lambda, S3 und SNS integrieren.

  • CloudWatch: Am besten geeignet für die Betriebsüberwachung und automatische Reaktionen auf Leistungskennzahlen. Es kann auch mit Containern wie Kubernetes, EC2-Storage und anderen Anwendungen integriert werden, um eine detailliertere Protokollierung für bestimmte Anwendungsfälle zu ermöglichen.
  • CloudTrail: Ideal für die Sicherheitsprüfung und die Nachverfolgung von Nutzeraktivitäten. Es wird mit dem EC2-Speicher für die Logging-Speicherung integriert.

Kosten

Beide haben eine kostenlose Basisprotokollierung, bieten aber eine kostenpflichtige erweiterte Protokollierung an.

  • CloudWatch: Die grundlegende Protokollierung von Ressourcennutzung, Fehlern und Problemen ist in der Regel kostenlos. Eine detailliertere Protokollierung ist mit Kosten verbunden, die sich nach dem Umfang der gesammelten Metriken, den gesetzten Alarmen und der Komplexität der gespeicherten Daten richten. Die verschiedenen Anwendungen haben unterschiedliche Detaillierungsgrade bei der Protokollierung.
  • CloudTrail: Die Protokollierung von Verwaltungsereignissen ist kostenlos, aber für die Protokollierung von Datenereignissen und erweiterte Analysen fallen zusätzliche Gebühren an.

Daten protokollieren

Die Art und Weise, wie die Logs gesammelt und gespeichert werden, unterscheidet sich zwischen den beiden Tools je nach Anwendungsfall.

  • CloudWatch: Die Daten werden in Echtzeit zur Verfügung gestellt, können aber auch nach Zeiträumen aggregiert werden. Da genaue Angaben nicht unbedingt notwendig sind, werden die Daten in der Regel in dem Zeitraum zusammengefasst, in dem sie erhoben wurden.
  • CloudTrail: Mit dem Ziel, genaue und detaillierte Prüfpfade zu erstellen, werden die Aktivitäten nicht zusammengefasst. Stattdessen gibt es Informationen zu jeder Aktion, die durchgeführt wurde, um einen klaren Überblick über die Maßnahmen zu erhalten.

Zusammenfassung des Hauptunterschieds

Hier ist eine Tabelle, die die wichtigsten Unterschiede zusammenfasst.

Feature

AWS CloudWatch

AWS CloudTrail

Primärer Zweck

Überwache die Ressourcenleistung und den Betriebszustand.

Verfolge die API-Aktivitäten für Governance und Audits.

Focus

Überwachung von Leistung und Kennzahlen.

Sicherheit, Einhaltung von Vorschriften und Protokollierung von Benutzeraktivitäten.

Daten-Latenzzeit

Nahezu in Echtzeit (Aktualisierungen jede Minute).

Verzögert (Logs werden alle paar Minuten aufgezeichnet).

Log-Typen

Anwendungs- und Systemprotokolle in Echtzeit, aggregiert

Historische API-Aktivitätsprotokolle, nicht aggregiert

Integrationen

SNS, Lambda, Auto Scaling für operative Maßnahmen.

S3, Athena und Tools von Drittanbietern für die Log-Analyse.

Anwendungsfälle

Leistungsoptimierung, automatische Warnmeldungen, Dashboards.

Sicherheitsprüfungen, forensische Analysen, Compliance.

Kosten

Gebühren auf Basis von Metriken, Alarmen und Protokollspeicherung.

Kostenlos für Verwaltungsereignisse, zusätzliche Gebühren für Datenereignisse.

CloudTrail vs. CloudWatch vs. AWS-Konfiguration

Während CloudTrail und CloudWatch die Protokollierung und Überwachung übernehmen, konzentriert sich AWS Config auf die Verfolgung von Konfigurationsänderungen an AWS-Ressourcen. Das macht es nützlich, um zu verstehen, wie sich die aktuelle Konfiguration auf deine AWS-Ressourcen auswirkt. AWS Config selbst ist kein Protokollierungstool, sondern hilft dir zu verstehen, wie sich Änderungen auf dein AWS-Ressourcenmanagement ausgewirkt haben.

  • CloudTrail: Protokolliert API-Aktivitäten für Sicherheit und Audits, um Compliance-Standards zu erfüllen
  • CloudWatch: Überwacht die Leistung von AWS-Ressourcen und kann für Alarme verwendet werden 
  • AWS Konfig: Stellt sicher, dass sich Konfigurationsänderungen im Rahmen halten und kann zeigen, wie sich die Änderungen auf die Ressourcen auswirken.

Fazit: Wann sollten CloudTrail und CloudWatch verwendet werden?

Für AWS-Nutzer hängt die Entscheidung zwischen CloudTrail und CloudWatch von ihrem Ziel ab. Nutze CloudWatch, wenn du die Systemleistung überwachen, betriebliche Metriken verfolgen und Reaktionen auf Anomalien automatisieren musst. Nutze CloudTrail, wenn dein Fokus auf Sicherheit, Compliance oder der Überprüfung von Nutzeraktivitäten liegt. 

Um die AWS-Infrastruktur umfassend zu überwachen, zu protokollieren und zu warten, ist es wichtig zu wissen, welches Tool du verwenden solltest. Wenn du mehr über AWS und die Funktionsweise dieser Tools erfahren möchtest, findest du hier einige Ressourcen:

CloudTrail vs CloudWatch FAQs

Können AWS CloudTrail und AWS CloudWatch zusammen verwendet werden?

Ja. Du kannst zum Beispiel CloudTrail-Protokolle so konfigurieren, dass sie bei bestimmten Ereignissen wie unbefugten API-Aufrufen oder Änderungen an kritischen Ressourcen Alarme in CloudWatch auslösen. Diese Integration hilft, die Lücke zwischen Leistungsüberwachung und Sicherheitsprüfung zu schließen.

Erfasst CloudWatch automatisch Metriken für alle AWS-Services?

CloudWatch sammelt standardmäßig grundlegende Metriken für viele AWS-Services, z. B. die CPU-Auslastung der EC2-Instanz oder die Anzahl der Lambda-Aufrufe. Für detaillierte Metriken musst du jedoch möglicherweise erweiterte Überwachungsfunktionen aktivieren, die zusätzliche Kosten verursachen können.

Wie lange werden die CloudTrail-Protokolle aufbewahrt, und können sie länger gespeichert werden?

Standardmäßig speichert CloudTrail die Protokolle für 90 Tage im Ereignisverlauf. Du kannst CloudTrail jedoch so konfigurieren, dass die Protokolle in einem Amazon S3-Bucket für die langfristige Speicherung gespeichert werden. Dies ist nützlich für die Einhaltung von Vorschriften und für forensische Untersuchungen.

Wie kann ich die mit CloudWatch-Protokollen verbundenen Kosten reduzieren?

Um die Kosten für CloudWatch-Protokolle zu minimieren, kannst du Protokollfilter verwenden, um nur notwendige Protokolle aufzubewahren, Protokollaufbewahrungsrichtlinien einrichten, um alte Protokolle automatisch zu löschen, und Protokolle komprimieren und zur langfristigen Speicherung in Amazon S3 exportieren.

Gibt es eine Möglichkeit, CloudWatch-Metriken oder CloudTrail-Logs zu analysieren, ohne sie herunterzuladen?

CloudWatch: Metriken können direkt in der CloudWatch-Konsole mithilfe von Dashboards, Alarmen und Metrikberechnungen analysiert werden. Die Logs können mit CloudWatch Logs Insights abgefragt werden.

CloudTrail: Die Logs können mit Amazon Athena analysiert werden, ohne dass sie heruntergeladen werden müssen. Wenn du CloudTrail-Protokolle in einem S3-Bucket speicherst, kannst du SQL-Abfragen in Athena verwenden, um schnell Erkenntnisse zu gewinnen.


Photo of Tim Lu
Author
Tim Lu
LinkedIn

Ich bin Datenwissenschaftler mit Erfahrung in räumlicher Analyse, maschinellem Lernen und Datenpipelines. Ich habe mit GCP, Hadoop, Hive, Snowflake, Airflow und anderen Data Science/Engineering-Prozessen gearbeitet.

Themen

Top DataCamp Kurse

Kurs

AWS Cloud Technology and Services

3 hr
5.6K
Master AWS cloud technology with hands-on learning and practical applications in the AWS ecosystem.
Siehe DetailsRight Arrow
Kurs Starten
Mehr anzeigenRight Arrow
Verwandt

Der Blog

Die 32 besten AWS-Interview-Fragen und Antworten für 2024

Ein kompletter Leitfaden zur Erkundung der grundlegenden, mittleren und fortgeschrittenen AWS-Interview-Fragen, zusammen mit Fragen, die auf realen Situationen basieren. Es deckt alle Bereiche ab und sorgt so für eine abgerundete Vorbereitungsstrategie.
Zoumana Keita 's photo

Zoumana Keita

30 Min.

Der Blog

Die 20 besten Snowflake-Interview-Fragen für alle Niveaus

Bist du gerade auf der Suche nach einem Job, der Snowflake nutzt? Bereite dich mit diesen 20 besten Snowflake-Interview-Fragen vor, damit du den Job bekommst!
Nisha Arya Ahmed's photo

Nisha Arya Ahmed

20 Min.

Der Blog

Top 30 Generative KI Interview Fragen und Antworten für 2024

Dieser Blog bietet eine umfassende Sammlung von Fragen und Antworten zu generativen KI-Interviews, die von grundlegenden Konzepten bis hin zu fortgeschrittenen Themen reichen.
Hesam Sheikh Hassani's photo

Hesam Sheikh Hassani

15 Min.

See MoreSee More