AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 update-trail

您可以使用 update-trail 命令更改跟踪的配置设置。您还可以使用 add-tagsremove-tags 命令以添加和删除跟踪的标签。您只能从创建跟踪的 AWS 区域(其主区域)更新跟踪。当使用 AWS CLI 时,请记住您的命令在为您的配置文件配置的 AWS 区域中运行。如果您想要在不同的区域中运行命令,可以为配置文件更改默认区域,或者与命令一起使用 --region 参数。

注意

如果您使用 AWS CLI 或某个 AWS 开发工具包修改跟踪,请确保跟踪的存储桶策略处于最新状态。要使您的存储桶自动接收来自新的 AWS 区域的事件,策略必须包含完整服务名称 cloudtrail.amazonaws.com。有关更多信息,请参阅CloudTrail 的 Amazon S3 存储桶策略

将应用到一个区域的跟踪转换为应用到所有区域

要更改现有跟踪以使其应用到所有区域,请使用 --is-multi-region-trail 选项。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

要确认跟踪现已应用到所有区域,请验证输出中的 IsMultiRegionTrail 元素是否为 true

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

将多区域跟踪转换为单区域跟踪

要更改现有的多区域跟踪以使其只应用于创建该跟踪的区域,请使用 --no-is-multi-region-trail 选项。

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

要确认跟踪现在只应用到一个区域,请验证输出中的 IsMultiRegionTrail 元素是否为 false

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

启用和禁用记录全球服务事件

要更改跟踪以使其不记录全球服务事件,请使用 --no-include-global-service-events 选项。

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

要确认跟踪不再记录全局服务事件,输出中的 IncludeGlobalServiceEvents 元素应显示 false

{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

要更改跟踪以使其记录全球服务事件,请使用 --include-global-service-events 选项。

启用日志文件验证

要启用对跟踪的日志文件验证,可使用 --enable-log-file-validation 选项。摘要文件将传送到该跟踪的 Amazon S3 存储桶。

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

要确认系统已启用日志文件验证功能,请验证输出中的 LogFileValidationEnabled 元素是否为 true

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

禁用日志文件验证

要禁用对跟踪的日志文件验证,请使用 --no-enable-log-file-validation 选项。

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

要确认系统已禁用日志文件验证功能,请验证输出中的 LogFileValidationEnabled 元素是否为 false

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

要使用 AWS CLI 验证日志文件,请参阅使用 AWS CLI 验证 CloudTrail 日志文件完整性