Kurs
AWS CloudTrail vs AWS CloudWatch: Ein Leitfaden für Anfänger
Amazon Web Services (AWS) bietet viele Protokollierungstools an, die Unternehmen bei der Überwachung, Verwaltung und Sicherung ihrer Cloud-Infrastruktur unterstützen. Es gibt Tools, die sich auf die Überprüfung der Compliance (CloudTrail), Ressourcenmetriken (CloudWatch), Netzwerkprotokolle (VPC Flow) und Anwendungsprotokolle (X-Ray) konzentrieren.
Diese Dienste geben den Nutzern Einblick in verschiedene Bereiche ihres AWS-Ökosystems und ermöglichen es ihnen, fundierte Entscheidungen zur Verwaltung ihrer Dienste zu treffen. Davon haben AWS CloudTrail und AWS CloudWatch einige der "kritischeren" Funktionen wie Compliance und Ressourcenüberwachung.
Diese beiden Systeme befassen sich mit unterschiedlichen Grundbedürfnissen: CloudTrail konzentriert sich auf Governance, Auditing und Compliance, während CloudWatch auf die Leistungsüberwachung und betriebliche Effizienz ausgerichtet ist.
In diesem Artikel gehen wir auf die Besonderheiten der CloudTrail- und CloudWatch-Dienste ein, untersuchen ihre Anwendungsfälle und klären die wichtigsten Unterschiede, damit du weißt, wie du sie effektiv nutzen kannst. Informationen zu einigen der anderen AWS-Protokollierungs- und Verwaltungsmechanismen findest du in unserem Spickzettel zum Vergleich der Cloud-Service-Komponenten.
Was ist AWS CloudWatch?
AWS CloudWatch ist ein Überwachungsdienst, der dazu dient, Metriken über Ressourcen und Anwendungen, die auf AWS laufen, zu sammeln und zu verfolgen. CloudWatch sorgt für Transparenz bei der Systemleistung und verfügt sogar über Warnfunktionen, die Nutzer über Probleme informieren können. Je nach AWS-Service bietet es sowohl grundlegende (kostenlose) als auch detaillierte (kostenpflichtige) Überwachung.
AWS CloudWatch Hauptmerkmale
Zu den wichtigsten Funktionen von CloudWatch gehören Dashboards, die Erfassung von Kennzahlen, die Protokollüberwachung und Alarme. All diese Systeme basieren auf einer Reihe von Überwachungssystemen, die verschiedene Komponenten des AWS-Ökosystems überwachen.
1. Sammlung und Verfolgung von Metriken
- Überwacht Metriken wie CPU-Nutzung, Speichernutzung, Festplatten-E/A und Netzwerkaktivität über AWS-Ressourcen wie EC2, RDS und Lambda.
- Metriken werden normalerweise in einem Amazon EC2 Bucket gespeichert und dienen als Metrik-Repository.
2. Überwachungssysteme
- Eine Vielzahl von Überwachungssystemen, wie z.B. Anwendungs-, Netzwerk- und Infrastrukturüberwachung.
- Die Anwendungsüberwachung konzentriert sich auf den Zustand der Anwendung, wie Latenz, Verfügbarkeit und Fehler.
- Die Netzwerküberwachung verfügt über Internet Monitor und Network Monitor, um sowohl den globalen (Internet-)Verkehr als auch die hybriden (On-Premise mit Cloud) Latenzzeiten und Paketverluste zu verfolgen.
- Die Überwachung der Infrastruktur kann Einblicke in deine Container (Amazon Elastic und Kubernetes) für die Ressourcennutzung wie CPU, Speicher und so weiter umfassen. Es kann auch deine AWS Lambda-Anwendungen für dieselben Metriken verfolgen.
3. Dashboards in Echtzeit
- Bietet anpassbare Dashboards zur Visualisierung von Systemleistung und Trends in Echtzeit.
- Kann benutzerdefinierte Anwendungen und Metriken der Wahl präsentieren
CloudWatch Dashboard: Amazon Dokumentation
4. Alarme und Schwellenwerte
- Legt Alarme fest, um Anomalien in der Leistung zu erkennen und darauf zu reagieren, indem automatisch Aktionen ausgelöst oder Warnungen gesendet werden.
- Einige Aktionen, wie z.B. das Starten weiterer Instanzen oder das Beenden von zu wenig genutzten Instanzen.
AWS CloudWatch Anwendungsfälle
Sehen wir uns ein paar konkrete Anwendungsfälle für AWS CloudWatch an.
Leistungsoptimierung
AWS CloudWatch hilft, Engpässe zu erkennen und die Ressourcennutzung zu optimieren. Internet Monitor kann zum Beispiel Latenzprobleme auf einer globalen Cloud-Gaming-Plattform erkennen und den Einsatz von Servern in optimaleren Regionen empfehlen, um Verzögerungen zu reduzieren.
Automatischer Alarm
Richte Alarme basierend auf vordefinierten Schwellenwerten ein, um Ressourcen zu skalieren oder Fehler zu erkennen. Wenn zum Beispiel die Service Level Objectives (SLOs) für eine Anwendung nicht erreicht werden, kann CloudWatch Warnmeldungen senden und umsetzbare Empfehlungen zur Verbesserung der Leistungskennzahlen geben.
Kontinuierliche Sichtbarkeit
Verwende Dashboards, um in Echtzeit Einblicke in den Systemzustand zu erhalten. Dashboards sind besonders nützlich, um die Leistung von Datenströmen aus Diensten wieAWS Kinesis und AWS Lambda zu verfolgen. Eine gute Möglichkeit, diesen Prozess zu verstehen, ist dieser Kurs über Streaming Data mit AWS Kinesis und Lambda, in dem du schließlich Dashboards mit AWS CloudWatch erstellen kannst.
Was ist AWS CloudTrail?
AWS CloudTrail ist ein Protokollierungsdienst, mit dem du alle API-Aktivitäten in deinem AWS-Konto nachverfolgen kannst, um die Verantwortlichkeit sicherzustellen. Sie zeichnet Benutzeraktionen, Ressourcenänderungen und Service-Interaktionen auf und bietet einen unveränderlichen Prüfpfad für Governance- und Compliance-Zwecke. Dies ist besonders nützlich für die Einhaltung von Sicherheitsvorschriften und die Überprüfung des Nutzerverhaltens. Wenn du mehr erfahren möchtest, schau dir diesen Kurs über AWS-Sicherheit und Kostenmanagement an.
AWS CloudTrail Hauptmerkmale
Die wichtigsten Funktionen von CloudTrail drehen sich um die Überwachung der Nutzeraktivitäten. Da das Ziel von CloudTrail darin besteht, Rechenschaftspflicht und Prüfbarkeit zu gewährleisten, ist es sinnvoll, dass alle Aktionen überwacht und gespeichert werden.
1. Aktionsverfolgung
CloudTrail protokolliert alle Benutzeraktionen, und diese umfassende Nachverfolgung ist entscheidend für das Verständnis des "Wer, Was und Wann" deiner AWS-Umgebung.
2. Unterstützung bei der Einhaltung von Vorschriften
Hilft Unternehmen bei der Einhaltung gesetzlicher Vorschriften wie PCI DSS und HIPAA, indem es Ereignisprotokolle aufbewahrt.
Im Falle von Verstößen kann der Lernpfad dazu verwendet werden, den genauen Zeitpunkt und das Benutzerkonto zu ermitteln, das an dem Verstoß beteiligt war.
4. Integration mit AWS-Diensten
CloudTrail kann Protokolle an S3 zur langfristigen Speicherung oder an Amazon Athena zur Abfrage und Analyse senden. Diese Integrationen machen es einfacher, Trends zu analysieren oder Anomalien zu untersuchen.
Beispiel für CloudTrail Logs: AWS CloudTrail Blog
AWS CloudTrail Anwendungsfälle
Es gibt ein paar wichtige Anwendungsfälle für AWS CloudTrail, die sich um Audits und die Verfolgung der Einhaltung von Vorschriften drehen.
Sicherheitsprüfungen
CloudTrail ermöglicht eine detaillierte Prüfung, um die Einhaltung gesetzlicher Standards und interner Richtlinien zu gewährleisten. Im Falle eines Sicherheitsvorfalls liefern die CloudTrail-Protokolle die nötigen Details, um die Ursache zu identifizieren und die Auswirkungen zu bewerten.
CloudTrail Audit Logs: AWS-Sicherheitsreifegradmodell
Fehlerbehebung ändern
Durch die Überprüfung von Protokollen können Teams Änderungen an Ressourcen nachvollziehen, die ein unerwartetes Verhalten verursacht haben könnten. Auf diese Weise lassen sich zukünftige Probleme einfacher lösen.
CloudTrail vs. CloudWatch: Die wichtigsten Unterschiede
Wie bereits erwähnt, sind sowohl CloudTrail als auch CloudWatch grundlegende Protokollierungstools in der AWS-Umgebung. Beide betrachten jedoch unterschiedliche Komponenten der AWS-Umgebung, und in diesem Abschnitt geht es um die wichtigsten Unterschiede zwischen den Schwerpunkten und den Kosten.
Focus
CloudWatch und CloudTrail konzentrieren sich auf unterschiedliche Teile der AWS-Umgebung.
- CloudWatch: Überwacht die Ressourcenleistung und den Betriebszustand. Das Ziel ist es, zu verstehen, wie die AWS-Komponenten laufen und ob es Probleme mit Latenz, Kundeninteraktion oder Ressourcenbeschränkungen gibt oder nicht.
- CloudTrail: Lernpfad für API-Aktivitäten für Governance und Compliance. Das Ziel ist es, eine klare "Papierspur" für die Rechenschaftspflicht zu erhalten.
Daten-Latenzzeit
CloudWatch hat fast keine Latenz, während CloudTrail eine gewisse Latenz hat.
- CloudWatch: Ermöglicht Einblicke fast in Echtzeit, mit Kennzahlen, die jede Minute aktualisiert werden. Einblicke in Echtzeit sind von entscheidender Bedeutung, da CloudWatch in der Lage sein muss, sofortige Warnmeldungen zu geben oder bei Bedarf Änderungen an den Ressourcen vorzunehmen.
- CloudTrail: Protokolliert die API-Aktivitäten mit einer Verzögerung von einigen Minuten und konzentriert sich auf die historische Analyse. Da die Protokolle in der Regel dazu verwendet werden, historische Aktionen zu betrachten, ist eine Verzögerung von ein paar Minuten akzeptabel.
Integration
Beide lassen sich nahtlos in AWS-Dienste wie Lambda, S3 und SNS integrieren.
- CloudWatch: Am besten geeignet für die Betriebsüberwachung und automatische Reaktionen auf Leistungskennzahlen. Es kann auch mit Containern wie Kubernetes, EC2-Storage und anderen Anwendungen integriert werden, um eine detailliertere Protokollierung für bestimmte Anwendungsfälle zu ermöglichen.
- CloudTrail: Ideal für die Sicherheitsprüfung und die Nachverfolgung von Nutzeraktivitäten. Es wird mit dem EC2-Speicher für die Logging-Speicherung integriert.
Kosten
Beide haben eine kostenlose Basisprotokollierung, bieten aber eine kostenpflichtige erweiterte Protokollierung an.
- CloudWatch: Die grundlegende Protokollierung von Ressourcennutzung, Fehlern und Problemen ist in der Regel kostenlos. Eine detailliertere Protokollierung ist mit Kosten verbunden, die sich nach dem Umfang der gesammelten Metriken, den gesetzten Alarmen und der Komplexität der gespeicherten Daten richten. Die verschiedenen Anwendungen haben unterschiedliche Detaillierungsgrade bei der Protokollierung.
- CloudTrail: Die Protokollierung von Verwaltungsereignissen ist kostenlos, aber für die Protokollierung von Datenereignissen und erweiterte Analysen fallen zusätzliche Gebühren an.
Daten protokollieren
Die Art und Weise, wie die Logs gesammelt und gespeichert werden, unterscheidet sich zwischen den beiden Tools je nach Anwendungsfall.
- CloudWatch: Die Daten werden in Echtzeit zur Verfügung gestellt, können aber auch nach Zeiträumen aggregiert werden. Da genaue Angaben nicht unbedingt notwendig sind, werden die Daten in der Regel in dem Zeitraum zusammengefasst, in dem sie erhoben wurden.
- CloudTrail: Mit dem Ziel, genaue und detaillierte Prüfpfade zu erstellen, werden die Aktivitäten nicht zusammengefasst. Stattdessen gibt es Informationen zu jeder Aktion, die durchgeführt wurde, um einen klaren Überblick über die Maßnahmen zu erhalten.
Zusammenfassung des Hauptunterschieds
Hier ist eine Tabelle, die die wichtigsten Unterschiede zusammenfasst.
Feature |
AWS CloudWatch |
AWS CloudTrail |
Primärer Zweck |
Überwache die Ressourcenleistung und den Betriebszustand. |
Verfolge die API-Aktivitäten für Governance und Audits. |
Focus |
Überwachung von Leistung und Kennzahlen. |
Sicherheit, Einhaltung von Vorschriften und Protokollierung von Benutzeraktivitäten. |
Daten-Latenzzeit |
Nahezu in Echtzeit (Aktualisierungen jede Minute). |
Verzögert (Logs werden alle paar Minuten aufgezeichnet). |
Log-Typen |
Anwendungs- und Systemprotokolle in Echtzeit, aggregiert |
Historische API-Aktivitätsprotokolle, nicht aggregiert |
Integrationen |
SNS, Lambda, Auto Scaling für operative Maßnahmen. |
S3, Athena und Tools von Drittanbietern für die Log-Analyse. |
Anwendungsfälle |
Leistungsoptimierung, automatische Warnmeldungen, Dashboards. |
Sicherheitsprüfungen, forensische Analysen, Compliance. |
Kosten |
Gebühren auf Basis von Metriken, Alarmen und Protokollspeicherung. |
Kostenlos für Verwaltungsereignisse, zusätzliche Gebühren für Datenereignisse. |
CloudTrail vs. CloudWatch vs. AWS-Konfiguration
Während CloudTrail und CloudWatch die Protokollierung und Überwachung übernehmen, konzentriert sich AWS Config auf die Verfolgung von Konfigurationsänderungen an AWS-Ressourcen. Das macht es nützlich, um zu verstehen, wie sich die aktuelle Konfiguration auf deine AWS-Ressourcen auswirkt. AWS Config selbst ist kein Protokollierungstool, sondern hilft dir zu verstehen, wie sich Änderungen auf dein AWS-Ressourcenmanagement ausgewirkt haben.
- CloudTrail: Protokolliert API-Aktivitäten für Sicherheit und Audits, um Compliance-Standards zu erfüllen
- CloudWatch: Überwacht die Leistung von AWS-Ressourcen und kann für Alarme verwendet werden
- AWS Konfig: Stellt sicher, dass sich Konfigurationsänderungen im Rahmen halten und kann zeigen, wie sich die Änderungen auf die Ressourcen auswirken.
Fazit: Wann sollten CloudTrail und CloudWatch verwendet werden?
Für AWS-Nutzer hängt die Entscheidung zwischen CloudTrail und CloudWatch von ihrem Ziel ab. Nutze CloudWatch, wenn du die Systemleistung überwachen, betriebliche Metriken verfolgen und Reaktionen auf Anomalien automatisieren musst. Nutze CloudTrail, wenn dein Fokus auf Sicherheit, Compliance oder der Überprüfung von Nutzeraktivitäten liegt.
Um die AWS-Infrastruktur umfassend zu überwachen, zu protokollieren und zu warten, ist es wichtig zu wissen, welches Tool du verwenden solltest. Wenn du mehr über AWS und die Funktionsweise dieser Tools erfahren möchtest, findest du hier einige Ressourcen:
CloudTrail vs CloudWatch FAQs
Können AWS CloudTrail und AWS CloudWatch zusammen verwendet werden?
Ja. Du kannst zum Beispiel CloudTrail-Protokolle so konfigurieren, dass sie bei bestimmten Ereignissen wie unbefugten API-Aufrufen oder Änderungen an kritischen Ressourcen Alarme in CloudWatch auslösen. Diese Integration hilft, die Lücke zwischen Leistungsüberwachung und Sicherheitsprüfung zu schließen.
Erfasst CloudWatch automatisch Metriken für alle AWS-Services?
CloudWatch sammelt standardmäßig grundlegende Metriken für viele AWS-Services, z. B. die CPU-Auslastung der EC2-Instanz oder die Anzahl der Lambda-Aufrufe. Für detaillierte Metriken musst du jedoch möglicherweise erweiterte Überwachungsfunktionen aktivieren, die zusätzliche Kosten verursachen können.
Wie lange werden die CloudTrail-Protokolle aufbewahrt, und können sie länger gespeichert werden?
Standardmäßig speichert CloudTrail die Protokolle für 90 Tage im Ereignisverlauf. Du kannst CloudTrail jedoch so konfigurieren, dass die Protokolle in einem Amazon S3-Bucket für die langfristige Speicherung gespeichert werden. Dies ist nützlich für die Einhaltung von Vorschriften und für forensische Untersuchungen.
Wie kann ich die mit CloudWatch-Protokollen verbundenen Kosten reduzieren?
Um die Kosten für CloudWatch-Protokolle zu minimieren, kannst du Protokollfilter verwenden, um nur notwendige Protokolle aufzubewahren, Protokollaufbewahrungsrichtlinien einrichten, um alte Protokolle automatisch zu löschen, und Protokolle komprimieren und zur langfristigen Speicherung in Amazon S3 exportieren.
Gibt es eine Möglichkeit, CloudWatch-Metriken oder CloudTrail-Logs zu analysieren, ohne sie herunterzuladen?
CloudWatch: Metriken können direkt in der CloudWatch-Konsole mithilfe von Dashboards, Alarmen und Metrikberechnungen analysiert werden. Die Logs können mit CloudWatch Logs Insights abgefragt werden.
CloudTrail: Die Logs können mit Amazon Athena analysiert werden, ohne dass sie heruntergeladen werden müssen. Wenn du CloudTrail-Protokolle in einem S3-Bucket speicherst, kannst du SQL-Abfragen in Athena verwenden, um schnell Erkenntnisse zu gewinnen.
Ich bin Datenwissenschaftler mit Erfahrung in räumlicher Analyse, maschinellem Lernen und Datenpipelines. Ich habe mit GCP, Hadoop, Hive, Snowflake, Airflow und anderen Data Science/Engineering-Prozessen gearbeitet.
Top DataCamp Kurse
Kurs
AWS Security and Cost Management
Lernpfad
AWS Cloud Practitioner (CLF-C02)
Der Blog
Die 32 besten AWS-Interview-Fragen und Antworten für 2024
Der Blog
Die 20 besten Snowflake-Interview-Fragen für alle Niveaus
Nisha Arya Ahmed
20 Min.
Der Blog
Top 30 Generative KI Interview Fragen und Antworten für 2024
Hesam Sheikh Hassani
15 Min.