使用创建、更新和管理跟踪 Amazon CLI - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用创建、更新和管理跟踪 Amazon CLI

您可以使用 Amazon CLI 来创建、更新和管理您的跟踪。使用时 Amazon CLI,请记住您的命令在为您的个人资料配置的 Amazon 区域中运行。如果您想要在不同的区域中运行命令,可以为配置文件更改默认区域,或者与命令一起使用 --region 参数。

注意

您需要 Amazon 命令行工具才能运行本主题中的 Amazon Command Line Interface (Amazon CLI) 命令。确保您 Amazon CLI 安装的是最新版本的。有关更多信息,请参阅 Amazon Command Line Interface 《用户指南》。要获取命令行 CloudTrail Amazon CLI 命令的帮助,请键入aws cloudtrail help

常用的跟踪创建、管理和状态命令

中用于创建和更新跟踪的一些比较常用的命令 CloudTrail 包括:

支持的创建和更新跟踪记录的命令:create-trail 和 update-trail

create-trailupdate-trail 命令提供用于创建和管理跟踪记录的各种功能,包括:

  • 创建跨区域接收日志的跟踪,或使用 --is-multi-region-trail 选项更新跟踪。在大多数情况下,您应该创建记录所有 Amazon 区域事件的跟踪。

  • 使用--is-organization-trail选项创建用于接收组织中所有 Amazon 账户日志的跟踪。

  • 使用 --no-is-multi-region-trail 选项将多区域跟踪转换为单区域跟踪。

  • 使用 --kms-key-id 选项启用或禁用日志文件加密。该选项指定了您已经创建的 Amazon KMS 密钥,并且您已将允许加密日志的策略附加 CloudTrail 到该密钥。有关更多信息,请参阅 使用启用和禁用 CloudTrail 日志文件加密 Amazon CLI

  • 使用 --enable-log-file-validation--no-enable-log-file-validation 选项启用或禁用日志文件验证。有关更多信息,请参阅 验证 CloudTrail 日志文件完整性

  • 指定 CloudWatch 日志组和角色,以便 CloudTrail 可以将事件传送到 CloudWatch 日志日志组。有关更多信息,请参阅 使用 Amazon CloudTrail 日志监控 CloudWatch 日志文件

已弃用的命令:create-subscription 和 update-subscription

重要

create-subscriptionupdate-subscription 命令曾用来创建和更新跟踪记录,但已弃用。请勿使用这些命令。它们不提供用于创建和管理跟踪记录的完整功能。

如果您配置了使用其中一个命令或同时使用这两个命令的自动执行,我们建议您更新您的代码或脚本以使用支持的命令,例如 create-trail