启用 CloudTrail 启用日志文件完整性验证 - Amazon CloudTrail
Amazon Web Services Management ConsoleAmazon CLICloudTrail API
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

启用 CloudTrail 启用日志文件完整性验证

您可以使用 Amazon Web Services Management Console、Amazon 命令行界面 (Amazon CLI) 或 CloudTrail API 来启用日志文件完整性验证。CloudTrail 会在大约 1 小时后开始传送摘要文件。

Amazon Web Services Management Console

要通过 CloudTrail 控制台启用日志文件完整性验证,请在创建或更新跟踪时为 Enable log file validation(启用日志文件验证)选项选择 Yes(是)。默认情况下会对新的跟踪记录启用此功能。有关更多信息,请参阅使用控制台创建和更新跟踪

Amazon CLI

为了能够使用 Amazon CLI 进行日志文件完整性验证,请结合使用 --enable-log-file-validation 选项与 create-trailupdate-trail 命令。要禁用日志文件完整性验证,请使用 --no-enable-log-file-validation 选项。

示例

下面的 update-trail 命令启用日志文件验证并开始将摘要文件传送到指定跟踪的 Simple Storage Service(Amazon S3)存储桶中。

aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation

CloudTrail API

要通过 CloudTrail API 启用日志文件完整性验证,请在调用 CreateTrailUpdateTrail 时将 EnableLogFileValidation 请求参数设为 true

有关更多信息,请参阅 Amazon CloudTrailAPI 参考中的 CreateTrailUpdateTrail