启用 CloudTrail 启用日志文件完整性验证
您可以使用 Amazon Web Services Management Console、Amazon 命令行界面 (Amazon CLI) 或 CloudTrail API 来启用日志文件完整性验证。CloudTrail 会在大约 1 小时后开始传送摘要文件。
Amazon Web Services Management Console
要通过 CloudTrail 控制台启用日志文件完整性验证,请在创建或更新跟踪时为 Enable log file validation(启用日志文件验证)选项选择 Yes(是)。默认情况下会对新的跟踪记录启用此功能。有关更多信息,请参阅使用控制台创建和更新跟踪。
Amazon CLI
为了能够使用 Amazon CLI 进行日志文件完整性验证,请结合使用 --enable-log-file-validation 选项与 create-trail 或update-trail 命令。要禁用日志文件完整性验证,请使用 --no-enable-log-file-validation 选项。
示例
下面的 update-trail 命令启用日志文件验证并开始将摘要文件传送到指定跟踪的 Simple Storage Service(Amazon S3)存储桶中。
aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation
CloudTrail API
要通过 CloudTrail API 启用日志文件完整性验证,请在调用 CreateTrail 或 UpdateTrail 时将 EnableLogFileValidation 请求参数设为 true。
有关更多信息,请参阅 Amazon CloudTrailAPI 参考中的 CreateTrail 和 UpdateTrail。