启用 CloudTrail 日志文件完整性验证 - AWS CloudTrail
AWS 管理控制台AWS CLICloudTrail API
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

启用 CloudTrail 日志文件完整性验证

您可以使用 AWS 管理控制台、AWS 命令行界面 (AWS CLI) 或 CloudTrail API 来启用日志文件完整性验证。CloudTrail 会在大约 1 小时后开始传送摘要文件。

AWS 管理控制台

要通过 CloudTrail 控制台启用日志文件完整性验证,请在创建或更新跟踪时为 Enable log file validation (启用日志文件验证) 选项选择 Yes (是)。默认情况下会对新的跟踪启用此功能。有关更多信息,请参阅使用控制台创建和更新跟踪

AWS CLI

要通过 AWS CLI 启用日志文件完整性验证,请随 create-trailupdate-trail 命令使用 --enable-log-file-validation 选项。要禁用日志文件完整性验证,请使用 --no-enable-log-file-validation 选项。

示例

下面的 update-trail 命令启用日志文件验证并开始将摘要文件传送到指定跟踪的 Amazon S3 存储桶中。 

aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation

CloudTrail API

要通过 CloudTrail API 启用日志文件完整性验证,请在调用 CreateTrailUpdateTrail 时将 EnableLogFileValidation 请求参数设为 true

有关更多信息,请参阅 AWS CloudTrail API Reference 中的 CreateTrailUpdateTrail