AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 AWS Command Line Interface 创建、更新和管理跟踪

您可以使用 AWS CLI 创建、更新和管理跟踪。当使用 AWS CLI 时,请记住您的命令在为您的配置文件配置的 AWS 区域中运行。如果您想要在不同的区域中运行命令,可以为配置文件更改默认区域,或者与命令一起使用 --region 参数。

注意

您需要 AWS 命令行工具来运行本主题中的 AWS Command Line Interface (AWS CLI) 命令。确保您安装了 AWS CLI 的最新版本。有关更多信息,请参阅 AWS Command Line Interface 用户指南。要在 AWS CLI 命令行中获得 CloudTrail 命令的帮助信息,请键入 aws cloudtrail help

常用的跟踪创建、管理和状态命令

CloudTrail 中一些更常用的创建和更新跟踪的命令包括:

支持的创建和更新跟踪的命令:create-trail 和 update-trail

create-trailupdate-trail 命令提供用于创建和管理跟踪的各种功能,包括:

  • 创建跨区域接收日志的跟踪,或使用 --is-multi-region-trail 选项更新跟踪。在大多数情况下,您应创建记录所有 AWS 区域中事件的跟踪。

  • 使用 --is-organization-trail 选项创建接收组织中所有 AWS 账户的日志的跟踪。

  • 使用 --no-is-multi-region-trail 选项将多区域跟踪转换为单区域跟踪。

  • 使用 --kms-key-id 选项启用或禁用日志文件加密。此选项指定您已创建并附加了让 CloudTrail 能够加密日志的策略的 AWS KMS 密钥。有关更多信息,请参阅使用 AWS CLI 启用和禁用 CloudTrail 日志文件加密

  • 使用 --enable-log-file-validation--no-enable-log-file-validation 选项启用或禁用日志文件验证。有关更多信息,请参阅验证 CloudTrail 日志文件完整性

  • 指定 CloudWatch Logs 日志组和角色,以便 CloudTrail 能够向 CloudWatch Logs 日志组传送事件。有关更多信息,请参阅使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件

已弃用的命令:create-subscription 和 update-subscription

重要

create-subscriptionupdate-subscription 命令曾用来创建和更新跟踪,但现已弃用。请勿使用这些命令。它们不提供用于创建和管理跟踪的完整功能。

如果您配置了使用其中一个命令或同时使用这两个命令的自动执行,我们建议您更新您的代码或脚本以使用支持的命令,例如 create-trail