本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 update-trail
重要
自 2021 年 11 月 22 日起,亚马逊 CloudFront 活动仅在处理事件的区域(中国(宁夏)区域 cn-north Amazon CloudTrail west-1 上线。
对于监控全球服务事件的跟踪,请务必将中国(北京)区域 cn-north-1 的单区域跟踪转换为多区域跟踪,以包括中国(宁夏)区域 cn-northwest-1 的事件。有关捕获 CloudFront 事件的更多信息,请参阅本节启用和禁用全球服务事件记录后面的内容。
您可以使用 update-trail 命令更改跟踪的配置设置。您还可以使用 add-tags 和 remove-tags 命令以添加和删除跟踪的标签。您只能从创建跟踪的 Amazon 区域(其主区域)更新跟踪。使用时 Amazon CLI,请记住您的命令在为您的个人资料配置的 Amazon 区域中运行。如果您想要在不同的区域中运行命令,可以为配置文件更改默认区域,或者与命令一起使用 --region 参数。
注意
如果您使用 Amazon CLI 或其中一个 Amazon 软件开发工具包来修改跟踪,请确保跟踪的存储桶策略是 up-to-date。为了让您的存储桶自动接收来自新存储桶的事件 Amazon Web Services 区域,策略必须包含完整的服务名称cloudtrail.amazonaws.com。有关更多信息,请参阅 适用于 Amazon S3 存储桶的政策 CloudTrail。
将应用到一个区域的跟踪转换为应用到所有区域
要更改现有跟踪以使其应用到所有区域,请使用 --is-multi-region-trail 选项。
aws cloudtrail update-trail --namemy-trail--is-multi-region-trail
要确认跟踪现已应用到所有区域,请验证输出中的 IsMultiRegionTrail 元素是否为 true。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }
将多区域跟踪转换为单区域跟踪
要更改现有的多区域跟踪以使其只应用于创建该跟踪的区域,请使用 --no-is-multi-region-trail 选项。
aws cloudtrail update-trail --namemy-trail--no-is-multi-region-trail
要确认跟踪现在只应用到一个区域,请验证输出中的 IsMultiRegionTrail 元素是否为 false。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }
启用和禁用全球服务事件记录
要更改跟踪以使其不记录全球服务事件,请使用 --no-include-global-service-events 选项。
aws cloudtrail update-trail --namemy-trail--no-include-global-service-events
要确认跟踪不再记录全局服务事件,输出中的 IncludeGlobalServiceEvents 元素应显示 false。
{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }
要更改跟踪以使其记录全球服务事件,请使用 --include-global-service-events 选项。
要捕获 CloudFront 事件,请使用以cn-north-1下 CLI 命令将开启全球服务事件的单区域跟踪转换为多区域跟踪。将 myExistingSingleRegionTrailWithGSE 替换为适合您配置的相应跟踪名称。
aws cloudtrail --region cn-north-1 update-trail --namemyExistingSingleRegionTrailWithGSE--is-multi-region-trail
由于全球服务事件仅在 2021 年 11 月 22 日起在中国(宁夏)区域可用,因此您也可以在中创建单区域跟踪cn-northwest-1 以确保持续记录 CloudFront 事件。
aws cloudtrail --region cn-northwest-1 create-trail --include-global-service-events --namemySingleRegionTrail--s3-bucket-name myBucket
启用日志文件验证
要启用对跟踪的日志文件验证,可使用 --enable-log-file-validation 选项。摘要文件将传送到该跟踪的 Simple Storage Service(Amazon S3)存储桶。
aws cloudtrail update-trail --namemy-trail--enable-log-file-validation
要确认系统已启用日志文件验证功能,请验证输出中的 LogFileValidationEnabled 元素是否为 true。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }
禁用日志文件验证
要禁用对跟踪的日志文件验证,请使用 --no-enable-log-file-validation 选项。
aws cloudtrail update-trail --namemy-trail-name--no-enable-log-file-validation
要确认系统已禁用日志文件验证功能,请验证输出中的 LogFileValidationEnabled 元素是否为 false。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }
要使用验证日志文件 Amazon CLI,请参阅使用 Amazon CLI 验证 CloudTrail 日志文件完整性。