使用 create-trail - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 create-trail

您可以运行 create-trail 命令来创建专门配置为满足您的商业需求的跟踪记录。当使用 Amazon CLI 时,请记住您的命令在为您的配置文件配置的 Amazon 区域中运行。如果您想要在不同的区域中运行命令,可以为配置文件更改默认区域,或者与命令一起使用 --region 参数。

创建应用到所有区域的跟踪

要创建应用到所有区域的跟踪,请使用 --is-multi-region-trail 选项。默认情况下,create-trail 命令创建的跟踪仅记录在其中创建该跟踪的 Amazon 区域中的事件。为确保您记录全局服务事件并捕获 Amazon 账户中的所有管理事件活动,您应该创建记录所有 Amazon 区域中的事件的跟踪记录。

注意

创建跟踪时,如果您指定的 Amazon S3 存储桶不是用创建的 CloudTrail,则需要附加相应的策略。请参阅针对 CloudTrail 的 Simple Storage Service(Amazon S3)存储桶策略

以下示例创建一个名为 my-trail 的跟踪和一个名为 Group 且值为 Marketing 的标签,此标签将来自所有区域的日志传送到名为 my-bucket 的现有存储桶。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

要确认您的跟踪存在于所有区域中,请验证输出中的 IsMultiRegionTrail 元素是否为 true

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }
注意

使用 start-logging 命令可以为您的跟踪启动日志记录操作。

为跟踪启动日志记录操作

create-trail 命令完成后,运行 start-logging 命令可以为跟踪启动日志记录。

注意

使用 CloudTrail 控制台创建跟踪时,日志记录会自动开启。

以下示例为跟踪启动日志记录。

aws cloudtrail start-logging --name my-trail

虽然此命令不返回输出,但您可以使用 get-trail-status 命令验证日志记录是否已启动。

aws cloudtrail get-trail-status --name my-trail

为了确认正在记录跟踪,输出中的 IsLogging 元素将显示 true

{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }

创建单区域跟踪

以下命令创建单区域跟踪。指定的 Amazon S3 存储桶必须已经存在并且已应用相应的 CloudTrail 权限。有关更多信息,请参阅 针对 CloudTrail 的 Simple Storage Service(Amazon S3)存储桶策略

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket

有关更多信息,请参阅 命名要求

下面是示例输出。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

创建应用到所有区域且启用了日志文件验证功能的跟踪

要在使用 create-trail 时启用日志文件验证功能,请使用 --enable-log-file-validation 选项。

有关日志文件验证的信息,请参阅验证 CloudTrail 日志文件完整性

以下示例创建将所有区域的日志传送到指定存储桶的跟踪。此命令使用 --enable-log-file-validation 选项。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --enable-log-file-validation

要确认系统已启用日志文件验证功能,请验证输出中的 LogFileValidationEnabled 元素是否为 true

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }