AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 create-trail

您可以使用 create-trail 命令来创建专门配置为满足您的商业需求的跟踪。当使用 AWS CLI 时,请记住您的命令在为您的配置文件配置的 AWS 区域中运行。如果您想要在不同的区域中运行命令,可以为配置文件更改默认区域,或者与命令一起使用 --region 参数。

创建应用到所有区域的跟踪

要创建应用到所有区域的跟踪,请使用 --is-multi-region-trail 选项。默认情况下,create-trail 命令创建的跟踪仅记录在其中创建该跟踪的 AWS 区域中的事件。为确保您记录全局服务事件并捕获 AWS 账户中的所有管理事件活动,您应该创建记录所有 AWS 区域中的事件的跟踪。

注意

当创建跟踪时,如果您指定一个不是使用 CloudTrail 创建的 Amazon S3 存储桶,则您需要附加适当的策略。请参阅 CloudTrail 的 Amazon S3 存储桶策略

以下示例创建一个名为 my-trail 的跟踪和一个名为 Group 且值为 Marketing 的标签,此标签将来自所有区域的日志传送到名为 my-bucket 的现有存储桶。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

要确认您的跟踪存在于所有区域中,请验证输出中的 IsMultiRegionTrail 元素是否为 true

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

注意

使用 start-logging 命令可以为您的跟踪启动日志记录操作。

为跟踪启动日志记录操作

create-trail 命令完成后,运行 start-logging 命令可以为跟踪启动日志记录。

注意

当您使用 CloudTrail 控制台创建跟踪时,系统会自动启用日志记录。

以下示例为跟踪启动日志记录。

aws cloudtrail start-logging --name my-trail

虽然此命令不返回输出,但您可以使用 get-trail-status 命令验证日志记录是否已启动。

aws cloudtrail get-trail-status --name my-trail

为了确认正在记录跟踪,输出中的 IsLogging 元素将显示 true

{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }

创建单区域跟踪

以下命令创建单区域跟踪。指定的 Amazon S3 存储桶必须已经存在并且已应用适当的 CloudTrail 权限。有关更多信息,请参阅CloudTrail 的 Amazon S3 存储桶策略

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket

有关更多信息,请参阅 CloudTrail 跟踪命名要求

下面是示例输出。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

创建应用到所有区域且启用了日志文件验证功能的跟踪

要在使用 create-trail 时启用日志文件验证功能,请使用 --enable-log-file-validation 选项。

有关日志文件验证的信息,请参阅验证 CloudTrail 日志文件完整性

以下示例创建将所有区域的日志传送到指定存储桶的跟踪。此命令使用 --enable-log-file-validation 选项。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --enable-log-file-validation

要确认系统已启用日志文件验证功能,请验证输出中的 LogFileValidationEnabled 元素是否为 true

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }