AWS CloudTrail
用户指南 (版本 1.0)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

为您的 AWS 账户创建跟踪

创建跟踪时,可以将事件作为日志文件持续传送到指定的 Amazon S3 存储桶。创建跟踪可提供许多好处,其中包括:

  • 超过 90 天的事件记录。

  • 通过将日志事件发送到 Amazon CloudWatch Logs 来自动监视指定事件并发出警报的选项。

  • 使用 Amazon Athena 查询日志和分析 AWS 服务活动的选项。

从 2019 年 4 月 12 日开始,跟踪只能在其记录事件的 AWS 区域中查看。如果您创建记录所有 AWS 区域中事件的跟踪,则它会显示在所有 AWS 区域的控制台中。如果您创建仅记录单个 AWS 区域中事件的日志,则可以在该 AWS 区域中查看和管理它。

如果使用 AWS Organizations,则可以创建一条跟踪,以记录组织中所有 AWS 账户的事件。将在每个成员账户中创建具有相同名称的跟踪,并且来自每个跟踪的事件将传递到您指定的 Amazon S3 存储桶。

注意

只有组织的主账户才能为组织创建跟踪。为组织创建跟踪会自动启用 CloudTrail 和 组织 之间的集成。有关更多信息,请参阅 为组织创建跟踪

使用 CloudTrail 控制台或 AWS Command Line Interface (AWS CLI) 创建或更新跟踪时,您可以配置以下设置。这两种方式涉及相同的步骤:

  1. 创建跟踪.默认情况下,在 CloudTrail 控制台的某个区域中创建跟踪时,此跟踪应用于所有区域。

  2. 创建 Amazon S3 存储桶,或指定要将日志文件传输到的现有存储桶。默认情况下,您账户的所有区域中的日志文件都传送到您指定的存储桶中。

  3. 将您的跟踪配置为记录只读、只写或所有管理事件,以及所有或部分数据事件。默认情况下,跟踪将记录所有管理事件,但不记录数据事件。

  4. 创建 Amazon SNS 主题,以在传输日志文件时接收通知。所有区域中的传送通知都将发送到您指定的主题。

  5. 配置 CloudWatch Logs 以接收 CloudTrail 中的日志,以便您能够监控特定日志事件。

  6. 将您日志文件的加密方法从使用 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 更改为使用 AWS KMS 托管密钥的服务器端加密 (SSE-KMS)。

  7. 对日志文件启用完整性验证。这可启用摘要文件的传输,当 CloudTrail 传输日志文件后,您可以使用摘要文件验证日志文件的完整性。

  8. 向跟踪中添加标签 (自定义键值对)。