从多个区域接收 CloudTrail 日志文件

当您创建多区域跟踪时，CloudTrail 会记录来自您的账户中启用的所有区域的事件。CloudTrail 将日志文件传送到同一 S3 存储桶和 CloudWatch Logs 日志组。只要 CloudTrail 具有写入 S3 存储桶的权限，多区域跟踪的存储桶就不必位于跟踪的主区域中。

尽管您的 Amazon Web Services 账户 默认启用了大多数 Amazon Web Services 区域，但您必须手动启用某些区域（也称为选择加入区域）。有关默认启用哪些区域的信息，请参阅《Amazon 账户管理 参考指南》中的 Considerations before enabling and disabling Regions。有关 CloudTrail 支持的区域列表，请参阅 CloudTrail 支持的区域。

在您启用选择加入区域后，CloudTrail 会在您启用的选择加入区域中创建每个多区域跟踪的相同副本。有关更多信息，请参阅 启用选择加入区域后会发生什么？。

如果您后来禁用某个选择加入区域，则该区域中的多区域跟踪副本将保留。由于您的账户可能在您禁用的区域内有活动（例如，Amazon Web Services 服务 移除资源的操作），因此 CloudTrail 将继续捕获活动，并尝试将在禁用该区域之前未删除的所有跟踪的事件传送到 S3 存储桶。

要将现有单区域跟踪转换为多区域跟踪，您必须使用 Amazon CLI。

要更改现有跟踪以使其应用于所有已启用区域，请向 update-trail 命令添加 --is-multi-region-trail 选项。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

要确认该跟踪现在是多区域跟踪，请验证输出中的 IsMultiRegionTrail 元素是否显示 true。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

有关更多信息，请参阅以下资源：