创建跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建跟踪

按照以下过程创建应用于所有区域的跟踪。应用于所有区域的跟踪会将所有区域中的日志文件传送至 S3 存储桶。在创建跟踪后,Amazon CloudTrail 会自动开始记录您指定的事件。

注意

创建跟踪后,可以配置其他Amazon服务,进一步分析在 CloudTrail 日志中收集的事件数据并采取措施。有关更多信息,请参阅 CloudTrail 支持的服务和集成

在控制台中,您创建一个跟踪,其中记录所有Amazon区域您已启用。这是推荐的最佳实践。要记录单个区域中的事件(不推荐),使用Amazon CLI

如果尚未启用高级事件选择器,请使用以下过程。如果启用了高级事件选择器,请参阅在控制台中创建跟踪(高级事件选择器)在跟踪上配置数据事件日志记录。

使用创建 CloudTrail 跟踪Amazon Web Services Management Console

  1. 登录到Amazon Web Services Management Console,然后访问 CloudTrail 控制台,打开https://console.aws.amazon.com/cloudtrail/

  2. 在 CloudTrail 服务主页上,跟踪页面上,或跟踪的 部分控制面板页面上,选择创建跟踪

  3. Create Trail 页面上,对于 Trail name,键入一个跟踪名。有关更多信息,请参阅 CloudTrail 命名要求

  4. 如果这是Amazon Organizations组织跟踪时,可以选择为组织中的所有账户启用跟踪。如果您使用管理账户中的 IAM 用户或角色登录控制台,则只会看到此选项。要成功创建组织跟踪,请确保相应用户或角色具有足够的权限。有关更多信息,请参阅 为组织创建跟踪

  5. 适用于存储位置中,选择创建新的 S3 存储桶创建存储桶。在创建存储桶时,CloudTrail 会创建并应用所需的存储桶策略。

    注意

    如果您选择了使用现有的 S3 存储桶,请在跟踪日志存储桶名称,或选择浏览选择存储桶。存储桶策略必须授予 CloudTrail 向其写入的权限。有关手动编辑存储桶策略的信息,请参阅适用于 CloudTrail 的 Amazon S3 存储桶策略

    为了更轻松地查找日志,请创建一个新文件夹(也称为prefix)来存储您的 CloudTrail 日志。输入前缀前缀

  6. 适用于SSE-KMS 加密中,选择Enabled (已启用)如果您希望使用 SSE-KMS 而非 SSE-S3 而非来加密日志文件。默认值为Enabled (已启用)。有关此加密类型的更多信息,请参阅使用具有 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 保护数据

    如果您启用 SSE-KMS 加密,请选择New或者ACITEG Amazon KMS客户主密钥。InAmazon KMS别名中,指定一个别名,格式为alias/我的别名。有关更多信息,请参阅 更新跟踪以使用 CMK

    注意

    您也可以键入其他账户的密钥 ARN。密钥策略必须允许 CloudTrail 使用此密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥策略的信息,请参阅配置Amazon KMSCloudTrail 的主要策略

  7. In其他设置中,请配置以下内容。

    1. 适用于日志文件验证中,选择Enabled (已启用)以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件验证日志文件在 CloudTrail 传送之后没有发生改变。有关更多信息,请参阅 验证 CloudTrail 日志文件完整性

    2. 适用于SNS 通知传递中,选择Enabled (已启用),以在日志传输至您的存储桶时收到通知。CloudTrail 将多个事件存储在一个日志文件中。SNS 通知针对每个日志文件而不是每个事件发送。有关更多信息,请参阅 为 CloudTrail 配置 Amazon SNS 通知

      如果您启用 SNS 通知,则对于创建 SNS 主题中,选择New以创建主题,或选择ACITEG以使用现有主题。如果您创建的是应用到所有区域的跟踪,则针对来自所有区域的日志文件传输的 SNS 通知将发送到您创建的单个 SNS 主题中。

      如果选择New中,CloudTrail 会为您指定新主题的名称,也可以键入名称。如果选择ACITEG中,从下拉列表中选择 SNS 主题。您还可以输入来自另一个区域或来自一个具有适当权限的账户的主题的 ARN。有关更多信息,请参阅 适用于 CloudTrail 的 Amazon SNS 主题策略

      如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可通过 Amazon SNS 控制台进行订阅。由于通知的频率,建议您将该订阅配置为使用 Amazon SQS 队列来以编程方式处理通知。有关更多信息,请参阅 。Amazon Simple Notification Service 入门指南

  8. (可选)配置 CloudTrail 以将日志文件发送到 CloudWatch Logs,方法是选择Enabled (已启用)CloudWatch Logs (CloudWatch 日志)。有关更多信息,请参阅 将事件发送到 CloudWatch Logs

    1. 如果您启用了与 CloudWatch Logs 的集成,请选择New以创建新的日志组,或者ACITEG使用现有配置文件。如果选择New,CloudTrail 会为您指定新日志组的名称,也可以键入名称。

    2. 如果选择ACITEG中,从下拉列表中选择日志组。

    3. 选择New:创建新的 IAM 角色,以便向 CloudWatch Watch 日志发送日志的权限。选择ACITEG以从下拉列表中选择现有 IAM 角色。展开时,将显示新角色或现有角色的策略语句策略文档。有关该角色的更多信息,请参阅CloudTrail 用于使用 CloudWatch Logs 进行监控的角色策略文档

      注意

      在配置跟踪时,可以选择属于另一个账户的 S3 存储桶和 SNS 主题。但是,如果您希望 CloudTrail 将事件传送至 CloudWatch Logs 日志组,则必须选择当前账户中的日志组。

  9. 对于 Tags (标签),将一个或多个自定义标签(键值对)添加到跟踪中。标签可帮助您识别 CloudTrail 跟踪和包含 CloudTrail 日志文件的 Amazon S3 存储桶。然后,您可以为您的 CloudTrail 资源使用资源组。有关更多信息,请参阅 Amazon Resource Groups为什么使用标签跟踪?

  10. 在存储库的选择日志事件页面上,选择要记录的事件类型。对于 Management events (管理事件),请执行以下操作。

    1. 适用于API 活动,请选择您是否希望跟踪记录Read事件,写入事件,或两者兼有。有关更多信息,请参阅 管理事件

    2. 选择ExcludeAmazon KMS事件筛选条件Amazon Key Management Service(Amazon KMS)事件。默认设置是包含所有Amazon KMS事件.

      用于记录或排除的选项Amazon KMS事件仅当您在跟踪上记录管理事件时才可用。如果选择不记录管理事件,Amazon KMS事件未记录,并且您无法更改Amazon KMS事件日志记录设置。

      EncryptDecryptGenerateDataKey 等 Amazon KMS 操作通常会生成大量事件(占比超过 99%)。这些操作现在记录为读取事件。低容量,相关Amazon KMS操作,如DisableDelete, 和ScheduleKey(这通常占不到 0.5%Amazon KMS事件卷)记录为写入事件.

      要排除高容量事件,如EncryptDecrypt, 和GenerateDataKey,但仍然记录相关事件,例如DisableDeleteScheduleKey,选择记录写入管理事件,然后清除ExcludeAmazon KMS事件

    3. 选择排除 Amazon RDS Data API 事件:筛选出跟踪中的 Amazon 关系数据库服务数据 API 事件。默认设置为包含所有 Amazon RDS 数据 API 事件。有关 Amazon RDS 数据 API 事件的更多信息,请参阅使用 记录数据 API 调用Amazon CloudTrail中的亚马逊 RDS Aurora 用户指南

  11. 适用于数据事件中,您可以指定 Amazon S3 存储桶的日志记录数据事件Amazon Lambda函数、Amazon DynamoDB 表或这些资源类型的组合。默认情况下,跟踪不记录数据事件。记录数据事件将收取额外费用。有关更多信息,请参阅 数据事件。有关 CloudTrail 定价,请参阅Amazon CloudTrail定价。如果使用高级事件选择器,则可以使用其他数据事件类型;有关详细信息,请参阅在控制台中创建跟踪(高级事件选择器)在本主题中。

    对于 Amazon S3 存储桶:

    1. 适用于数据事件源中,选择S3

    2. 您可以选择登录所有当前和未来的 S3 存储桶,也可以指定单个存储桶或函数。默认情况下,会记录所有当前和未来 S3 存储桶的数据事件。

      注意

      保留默认所有当前和未来的 S3 存储桶选项为当前在您的Amazon帐户和您创建完跟踪后创建的任何存储桶。它也将为由 Amazon 账户中的任何用户或角色执行的数据事件活动启用日志记录,即使该活动是对属于其他 Amazon 账户的存储桶执行的。

      如果要为单个区域创建跟踪(通过使用Amazon CLI), 选择所有当前和未来的 S3 存储桶为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为 Amazon S3 存储桶记录在您的Amazonaccount.

    3. 如果您保留默认值,所有当前和未来的 S3 存储桶,选择记录Read事件,写入事件,或两者兼有。

    4. 要选择单独的存储桶,请清空Read写入复选框所有当前和未来的 S3 存储桶。In单个存储桶选择中,浏览要在其上记录数据事件的存储桶。通过键入所需存储桶的存储桶前缀来查找特定存储桶。您可在此窗口中选择多个存储桶。选择添加存储桶以记录更多存储桶的数据事件。选择登录Read事件,例如GetObject写入事件,例如PutObject,或同时选择两者。

      此设置优先于为各个存储桶配置的个别设置。例如,如果指定记录所有 S3 存储桶的 Read 事件,然后选择为数据事件日志记录添加一个特定存储桶,则所添加存储桶的 Read 已经是选中状态。您无法清除此选择。只能配置 Write 选项。

      要从日志记录中删除存储桶,请选择X

  12. 要添加用于记录数据事件的其他数据类型,请选择添加数据事件类型

  13. 对于 Lambda 函数:

    1. 适用于数据事件源中,选择Lambda

    2. InLambda 函数中,选择所有区域记录所有 Lambda 函数,或者输入函数作为 ARN以记录特定函数上的数据事件。

      要记录您的所有 Lambda 函数的数据事件,请参阅Amazon帐户,选择记录所有当前和将来的函数。此设置优先于为各个函数配置的个别设置。将记录所有函数,即便这些函数未显示。

      注意

      如果为所有区域创建跟踪,则此选择将为您的所有函数启用数据事件日志记录。Amazon账户以及您在创建跟踪后可能在任何区域中创建的任何 Lambda 函数。如果要为单个区域创建跟踪(通过使用Amazon CLI),则此选择将启用数据事件日志记录当前位于Amazon帐户以及完成跟踪创建后可能在该区域中创建的任何 Lambda 函数。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。

      所有函数的日志记录数据事件也将为由 Amazon 账户中的任何用户或角色执行的数据事件活动启用日志记录,即使该活动是对属于其他 Amazon 账户的函数执行的。

    3. 如果选择输入函数作为 ARN中,输入 Lambda 函数的 ARN。

      注意

      如果您的账户中有 15000 个以上的 Lambda 函数,则在创建跟踪时,您无法在 CloudTrail 控制台中查看或选择所有函数。您仍可以选择该选项来记录所有函数,即使未显示这些函数也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数 (如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建操作,然后使用Amazon CLI和put-event-selectors命令为特定 Lambda 函数配置数据事件日志记录。有关更多信息,请参阅 管理跟踪Amazon CLI

  14. 对于 DynamoDB 表:

    1. 适用于数据事件源中,选择DynamoDB

    2. InDynamoDB 表选择器中,选择浏览选择一个表,或粘贴到您有权访问的 DynamoDB 表的 ARN 中。DynamoDB 表 ARN 采用以下格式:

      arn:partition:dynamodb:region:account_ID:table/table_name

      要添加另一个表,请选择添加行,然后浏览某个表或粘贴到您有权访问的表的 ARN 中。

  15. 选择见解事件(如果您希望跟踪记录 CloudTrail 见解事件),请参阅。

    InEvent type下,选择见解事件。您必须记录写入管理事件记录见解事件。

    CloudTrail 洞察分析管理写入事件,并在检测到异常时记录事件。默认情况下,跟踪不记录见解事件。有关见解事件的更多信息,请参阅记录跟踪的见解事件。记录见解事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail定价

    见解事件将传递到名为/CloudTrail-Insight中指定的 S3 存储桶,该存储桶在存储位置跟踪详细信息页面的区域。CloudTrail 会为您创建新的前缀。例如,如果当前目标 S3 存储桶命名为 S3bucketName/AWSLogs/CloudTrail/,则带有新前缀的 S3 存储桶名称会命名为 S3bucketName/AWSLogs/CloudTrail-Insight/

  16. 完成选择要记录的事件类型后,选择下一步

  17. 在存储库的审核和创建页面上,检查您所做的选择。选择编辑来更改该部分中显示的跟踪设置。当您准备好创建跟踪时,选择创建跟踪

  18. 新跟踪出现在 Trails 页面上。Trails (跟踪) 页面显示您的账户中来自所有区域的跟踪。在约 15 分钟内,CloudTrail 会发布日志文件,其中显示Amazon您的账户中进行的 API 调用。您可以在指定的 S3 存储桶中查看日志文件。如果您已启用见解事件日志记录并且检测到异常活动,则 CloudTrail 最多可能需要 36 个小时才能传递第一个见解事件。

注意

CloudTrail 通常会在 API 调用的 15 分钟内传输日志。此时间不能得到保证。

在控制台中,您创建一个跟踪,其中记录所有Amazon区域。这是推荐的最佳实践。要记录单个区域中的事件(不推荐),使用Amazon CLI

如果已启用高级事件选择器,请使用以下过程。如果您希望使用基本数据事件选择器,请参阅在控制台中创建跟踪(基本事件选择器)在跟踪上配置数据事件日志记录。

使用创建 CloudTrail 跟踪Amazon Web Services Management Console

  1. 登录到Amazon Web Services Management Console,然后访问 CloudTrail 控制台,打开https://console.aws.amazon.com/cloudtrail/

  2. 在 CloudTrail 服务主页上,跟踪页面上,或跟踪的 部分控制面板页面上,选择创建跟踪

  3. Create Trail 页面上,对于 Trail name,键入一个跟踪名。有关更多信息,请参阅 CloudTrail 命名要求

  4. 如果这是Amazon Organizations组织跟踪时,可以选择为组织中的所有账户启用跟踪。如果您使用管理账户中的 IAM 用户或角色登录控制台,则只会看到此选项。要成功创建组织跟踪,请确保相应用户或角色具有足够的权限。有关更多信息,请参阅 为组织创建跟踪

  5. 适用于存储位置中,选择创建新的 S3 存储桶创建存储桶。在创建存储桶时,CloudTrail 会创建并应用所需的存储桶策略。

    注意

    如果您选择了使用现有 S3 存储桶,请在跟踪日志存储桶名称,或选择浏览选择存储桶。存储桶策略必须授予 CloudTrail 向其写入的权限。有关手动编辑存储桶策略的信息,请参阅适用于 CloudTrail 的 Amazon S3 存储桶策略

    为了更轻松地查找日志,请创建一个新文件夹(也称为prefix)来存储您的 CloudTrail 日志。输入前缀前缀

  6. 适用于SSE-KMS 加密中,选择Enabled (已启用)如果您希望使用 SSE-KMS 而非 SSE-S3 而非来加密日志文件。默认值为Enabled (已启用)。有关此加密类型的更多信息,请参阅使用具有 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 保护数据

    如果您启用 SSE-KMS 加密,请选择New或者ACITEG Amazon KMS客户主密钥。InAmazon KMS别名中,指定一个别名,格式为alias/我的别名。有关更多信息,请参阅 更新跟踪以使用 CMK

    注意

    您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 更新跟踪以使用 CMK。密钥策略必须允许 CloudTrail 使用此密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥策略的信息,请参阅配置Amazon KMSCloudTrail 的主要策略

  7. In其他设置中,请配置以下内容。

    1. 适用于日志文件验证中,选择Enabled (已启用)以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件验证日志文件在 CloudTrail 传送之后没有发生改变。有关更多信息,请参阅 验证 CloudTrail 日志文件完整性

    2. 适用于SNS 通知传递中,选择Enabled (已启用),以在日志传输至您的存储桶时收到通知。CloudTrail 将多个事件存储在一个日志文件中。SNS 通知针对每个日志文件而不是每个事件发送。有关更多信息,请参阅 为 CloudTrail 配置 Amazon SNS 通知

      如果您启用 SNS 通知,则对于创建 SNS 主题中,选择New以创建主题,或选择ACITEG以使用现有主题。如果您创建的是应用到所有区域的跟踪,则针对来自所有区域的日志文件传输的 SNS 通知将发送到您创建的单个 SNS 主题中。

      如果选择New中,CloudTrail 会为您指定新主题的名称,也可以键入名称。如果选择ACITEG中,从下拉列表中选择 SNS 主题。您还可以输入来自另一个区域或来自一个具有适当权限的账户的主题的 ARN。有关更多信息,请参阅 适用于 CloudTrail 的 Amazon SNS 主题策略

      如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可通过 Amazon SNS 控制台进行订阅。由于通知的频率,建议您将该订阅配置为使用 Amazon SQS 队列来以编程方式处理通知。有关更多信息,请参阅 。Amazon Simple Notification Service 入门指南

  8. (可选)配置 CloudTrail 以将日志文件发送到 CloudWatch Logs,方法是选择Enabled (已启用)CloudWatch Logs (CloudWatch 日志)。有关更多信息,请参阅 将事件发送到 CloudWatch Logs

    1. 如果您启用了与 CloudWatch Logs 的集成,请选择New以创建新的日志组,或者ACITEG使用现有配置文件。如果选择New,CloudTrail 会为您指定新日志组的名称,也可以键入名称。

    2. 如果选择ACITEG中,从下拉列表中选择日志组。

    3. 选择New:创建新的 IAM 角色,以便向 CloudWatch Watch 日志发送日志的权限。选择ACITEG以从下拉列表中选择现有 IAM 角色。展开时,将显示新角色或现有角色的策略语句策略文档。有关该角色的更多信息,请参阅CloudTrail 用于使用 CloudWatch Logs 进行监控的角色策略文档

      注意

      在配置跟踪时,可以选择属于另一个账户的 S3 存储桶和 SNS 主题。但是,如果您希望 CloudTrail 将事件传送至 CloudWatch Logs 日志组,则必须选择当前账户中的日志组。

  9. 对于 Tags (标签),将一个或多个自定义标签(键值对)添加到跟踪中。标签可帮助您识别 CloudTrail 跟踪和包含 CloudTrail 日志文件的 Amazon S3 存储桶。然后,您可以为您的 CloudTrail 资源使用资源组。有关更多信息,请参阅 Amazon Resource Groups为什么使用标签跟踪?

  10. 在存储库的选择日志事件页面上,选择要记录的事件类型。对于 Management events (管理事件),请执行以下操作。

    1. 适用于API 活动,请选择您是否希望跟踪记录Read事件,写入事件,或两者兼有。有关更多信息,请参阅 管理事件

    2. 选择ExcludeAmazon KMS事件筛选条件Amazon Key Management Service(Amazon KMS)事件。默认设置是包含所有Amazon KMS事件.

      用于记录或排除的选项Amazon KMS事件仅当您在跟踪上记录管理事件时才可用。如果选择不记录管理事件,Amazon KMS事件未记录,并且您无法更改Amazon KMS事件日志记录设置。

      EncryptDecryptGenerateDataKey 等 Amazon KMS 操作通常会生成大量事件(占比超过 99%)。这些操作现在记录为读取事件。低容量,相关Amazon KMS操作,如DisableDelete, 和ScheduleKey(这通常占不到 0.5%Amazon KMS事件卷)记录为写入事件.

      要排除高容量事件,如EncryptDecrypt, 和GenerateDataKey,但仍然记录相关事件,例如DisableDeleteScheduleKey,选择记录写入管理事件,然后清除ExcludeAmazon KMS事件

    3. 选择排除 Amazon RDS Data API 事件:筛选出跟踪中的 Amazon 关系数据库服务数据 API 事件。默认设置为包含所有 Amazon RDS 数据 API 事件。有关 Amazon RDS 数据 API 事件的更多信息,请参阅使用 记录数据 API 调用Amazon CloudTrail中的亚马逊 RDS Aurora 用户指南

  11. 要记录数据事件,请选择数据事件

  12. 适用于数据事件类型中,选择数据事件资源类型(S3 存储桶、Amazon Outposts、Amazon Managed Blockchain 节点、Lambda 函数、动态 BT表或S3 对象 Lambda 访问点),您想要记录的。

  13. 选择日志选择器模板。CloudTrail 包括用于记录资源类型的所有数据事件的预定义模板。要构建自定义日志选择器模板,请选择Custom (自定义)

    注意

    为 S3 存储桶选择预定义模板可以为当前位于Amazon帐户和您创建完跟踪后创建的任何存储桶。它也将为由 Amazon 账户中的任何用户或角色执行的数据事件活动启用日志记录,即使该活动是对属于其他 Amazon 账户的存储桶执行的。

    如果跟踪仅应用于一个区域,则选择一个用于记录所有 S3 存储桶的预定义模板会为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为 Amazon S3 存储桶记录在您的Amazonaccount.

    如果为所有区域创建跟踪,则为 Lambda 函数选择预定义的模板会为您的Amazon账户以及您在创建跟踪后可能在任何区域中创建的任何 Lambda 函数。如果要为单个区域创建跟踪(通过使用Amazon CLI),则此选择将启用数据事件日志记录当前位于Amazon帐户以及完成跟踪创建后可能在该区域中创建的任何 Lambda 函数。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。

    所有函数的日志记录数据事件也将为由 Amazon 账户中的任何用户或角色执行的数据事件活动启用日志记录,即使该活动是对属于其他 Amazon 账户的函数执行的。

  14. 如果要应用预定义的日志选择器模板,并且不想添加其他数据事件资源类型,请转到步骤 18。要应用自定义日志选择器模板,请继续执行下一步。

  15. 要创建自定义日志选择器模板,请在日志选择器模板下拉列表中,选择Custom (自定义)

  16. 也可以为自定义日志选择器模板输入名称。

  17. In高级事件选择器,为特定 S3 存储桶、S3 对象构建表达式Amazon Outposts、Lambda 函数或要在其中记录数据事件的 DynamoDB 表。

    1. 从以下字段中进行选择。对于接受数组(多个值)的字段,CloudTrail 会在值之间添加 OR。

      • readOnly-readOnly可将其设置为等于值为true或者false。只读数据事件是不会更改资源状态的事件,例如Get*或者Describe*事件. 写入事件添加、更改或删除资源、属性或对象,例如Put*Delete*,或者Write*事件. 将两者记录在一起readwrite事件,请不要添加readOnly选择器。

      • eventName-eventName可以使用任何运算符。您可以使用它来包含或排除记录到 CloudTrail 的任何数据事件,例如PutBucket或者PutItem。您可以为此字段包含多个值,以逗号分隔。

      • resources.type-此字段为必填字段。resources.type只能使用等于运算符,值可以是以下之一:AWS::S3::ObjectAWS::S3Outposts::ObjectAWS::Lambda::FunctionAWS::DynamoDB::TableAWS::ManagedBlockchain::Node,或者AWS::S3ObjectLambda::AccessPoint

      • resources.ARN-您可以使用任意运算符resources.ARN,但是如果您使用等于或者笔记,则该值必须与您在模板中指定的类型的有效资源的 ARN 完全匹配,resources.type。例如,如果resources.typeequalsAWS::S3::Object时,ARN 必须采用以下格式之一。要记录特定 S3 存储桶中所有对象的所有数据事件,请使用StartsWith运算符,并且仅包含存储桶 ARN 作为匹配值。

        尾部斜杠是故意的;不要排除它。

        arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/

        何时resources.typeequalsAWS:: S3Outposts። S3Outposts። DynamoDB,并且运算符被设置为等于或者笔记时,ARN 必须采用以下格式:

        arn:partition:s3-outposts:region:account_ID:object_path

        何时resources.typeequalsAWS::Lambda::Function,并且运算符被设置为等于或者笔记,ARN 必须采用以下格式:

        arn:partition:lambda:region:account_ID:function:function_name

        何时resources.typeequalsAWS::DynamoDB::Table,并且运算符被设置为等于或者笔记,ARN 必须采用以下格式:

        arn:partition:dynamodb:region:account_ID:table/table_name

        何时resources.typeequalsAWS::ManagedBlockchain::Node,并且运算符被设置为等于或者笔记,ARN 必须采用以下格式:

        arn:partition:managedblockchain:region:account_ID:nodes/node_ID

        何时resources.typeequalsAWS::S3ObjectLambda::AccessPoint,并且运算符被设置为等于或者笔记,ARN 必须采用以下格式:

        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name

      有关数据事件资源的 ARN 格式的更多信息,请参阅Amazon S3 定义的资源类型定义的资源类型Amazon Lambda, 和Amazon DynamoDB 定义的资源类型中的Amazon Identity and Access Management用户指南

    2. 对于每个字段,请选择+ 条件可根据需要添加任意数量的条件,最多可为所有条件添加 500 个指定值。例如,要从跟踪记录的数据事件中排除两个 S3 存储桶的数据事件,您可以将字段设置为资源 .ARN,请将运算符设置为笔记,然后粘贴到 S3 存储桶 ARN 中,或浏览查找不想为其记录事件的 S3 存储桶。

      要添加第二个 S3 存储桶,请选择+ 条件,然后重复上述指令,在 ARN 中粘贴或浏览其他存储桶。

      注意

      对于跟踪上的所有选择器,最多可以包含 500 个值。这包括选择器的多个值的数组,例如eventName。如果所有选择器都有单个值,则最多可以向选择器添加 500 个条件。

      如果您的账户中有 15000 个以上的 Lambda 函数,则在创建跟踪时,您无法在 CloudTrail 控制台中查看或选择所有函数。您仍可以使用预定义的选择器模板记录所有函数,即使未显示这些函数也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数 (如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建操作,然后使用Amazon CLI和put-event-selectors命令为特定 Lambda 函数配置数据事件日志记录。有关更多信息,请参阅 管理跟踪Amazon CLI

    3. 选择+ 字段以根据需要添加其他字段。为避免错误,请不要为字段设置冲突或重复的值。例如,不要将一个选择器中的 ARN 指定为等于某个值,然后在另一个选择器中指定 ARN 不等于相同的值。

    4. 保存对自定义选择器模板的更改,方法是选择下一步。不要选择其他日志选择器模板,或离开此页面,否则您的自定义选择器将丢失。

    5. 要添加用于记录数据事件的其他数据类型,请选择添加数据事件类型。重复步骤 12 到此步骤,为数据事件类型配置高级事件选择器。

  18. 选择见解事件(如果您希望跟踪记录 CloudTrail 见解事件),请参阅。

    InEvent type下,选择见解事件。您必须记录写入管理事件记录见解事件。

    CloudTrail 洞察分析管理写入事件,并在检测到异常时记录事件。默认情况下,跟踪不记录见解事件。有关见解事件的更多信息,请参阅记录跟踪的见解事件。记录见解事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail定价

    见解事件将传递到名为/CloudTrail-Insight中指定的 S3 存储桶,该存储桶在存储位置跟踪详细信息页面的区域。CloudTrail 会为您创建新的前缀。例如,如果当前目标 S3 存储桶命名为 S3bucketName/AWSLogs/CloudTrail/,则带有新前缀的 S3 存储桶名称会命名为 S3bucketName/AWSLogs/CloudTrail-Insight/

  19. 完成选择要记录的事件类型后,选择下一步

  20. 在存储库的审核和创建页面上,检查您所做的选择。选择编辑来更改该部分中显示的跟踪设置。当您准备好创建跟踪时,选择创建跟踪

  21. 新跟踪出现在 Trails 页面上。Trails (跟踪) 页面显示您的账户中来自所有区域的跟踪。在约 15 分钟内,CloudTrail 会发布日志文件,其中显示AmazonAPI 调用您账户中进行的 API 调用。您可以在指定的 S3 存储桶中查看日志文件。如果您已启用见解事件日志记录并且检测到异常活动,则 CloudTrail 最多可能需要 36 个小时才能传递第一个见解事件。

    注意

    CloudTrail 通常会在 API 调用的 15 分钟内传输日志。此时间不能得到保证。

后续步骤

创建您的跟踪后,您可以返回到该跟踪以进行更改: