本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
处理 CloudTrail 轨迹
T@@ rail s 会捕获 Amazon 活动记录,将这些事件传送并存储在 Amazon S3 存储桶中,也可以选择传送到 CloudWatch Logs 和 Amazon EventBridge。
通过创建跟踪,您可以免费将正在进行的管理事件的一份副本传送到 S3 存储桶,但是 Amazon S3 会收取存储费用。 CloudTrail 有关 CloudTrail 定价的更多信息,请参阅Amazon CloudTrail 定价
您可以为创建两种类型的跟踪 Amazon Web Services 账户:多区域跟踪和单区域跟踪。
- 多区域跟踪
-
创建多区域跟踪时,会在您工作的Amazon 分区 Amazon Web Services 区域中 CloudTrail 记录所有事件,并将 CloudTrail 事件日志文件传送到您指定的 S3 存储桶。如果在创建多区域跟踪后添加了,则会自动包含该新区域,并记录该区域中的事件。 Amazon Web Services 区域 推荐的最佳实践是创建多区域跟踪,因为您可记录您账户中的所有区域的活动。您使用 CloudTrail 控制台创建的所有跟踪都是多区域的。您可以使用将单区域跟踪转换为多区域跟踪。 Amazon CLI有关更多信息,请参阅 在控制台中创建跟踪 和 将应用到一个区域的跟踪转换为应用到所有区域。
- 单区域跟踪
-
创建单区域跟踪时,仅 CloudTrail 记录该区域的事件。然后,它 CloudTrail 会将事件日志文件传送到您指定的 Amazon S3 存储桶。您只能使用 Amazon CLI创建单区域跟踪。如果您创建其他单个跟踪,则可以让这些跟踪将 CloudTrail 事件日志文件传送到同一 S3 存储桶或单独的存储桶。这是您使用 Amazon CLI 或 CloudTrail API 创建跟踪时的默认选项。有关更多信息,请参阅 使用创建、更新和管理跟踪 Amazon CLI。
注意
对于这两种类型的跟踪,您可以在任何区域中指定 Amazon S3 存储桶。
如果您在中创建了组织 Amazon Organizations,则可以创建组织跟踪,记录该组织中所有 Amazon 账户的所有事件。组织跟踪可以应用于所有 Amazon 地区或当前区域。组织跟踪必须使用管理账户或委托管理员账户创建,并且在指定为应用于某个组织时,组织跟踪将自动应用于该组织中的所有成员账户。成员账户可以看到组织记录,但不能对其进行修改或删除。默认情况下,成员账户无权访问 Amazon S3 存储桶中组织跟踪的日志文件。有关更多信息,请参阅 为组织创建跟踪。