启用 CloudTrail 日志文件完整性验证
您可以使用 AWS 管理控制台、AWS 命令行界面 (AWS CLI) 或 CloudTrail API 来启用日志文件完整性验证。CloudTrail 会在大约 1 小时后开始传送摘要文件。
AWS 管理控制台
要通过 CloudTrail 控制台启用日志文件完整性验证,请在创建或更新跟踪时为 Enable log file validation (启用日志文件验证) 选项选择 Yes (是)。默认情况下会对新的跟踪启用此功能。有关更多信息,请参阅使用控制台创建和更新跟踪。
AWS CLI
要通过 AWS CLI 启用日志文件完整性验证,请随 create-trail 或 update-trail 命令使用 --enable-log-file-validation 选项。要禁用日志文件完整性验证,请使用 --no-enable-log-file-validation 选项。
示例
下面的 update-trail 命令启用日志文件验证并开始将摘要文件传送到指定跟踪的 Amazon S3 存储桶中。
aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation
CloudTrail API
要通过 CloudTrail API 启用日志文件完整性验证,请在调用 CreateTrail 或 UpdateTrail 时将 EnableLogFileValidation 请求参数设为 true。
有关更多信息,请参阅 AWS CloudTrail API Reference 中的 CreateTrail 和 UpdateTrail。