本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解多区域跟踪和选择加入区域
跟踪可以应用于您中启用的所有 Amazon Web Services 区域 内容 Amazon Web Services 账户,也可以应用于单个区域。适用于您启用的所有内容 Amazon Web Services 区域 的跟踪 Amazon Web Services 账户 称为多区域跟踪。作为最佳实践,我们建议您创建多区域跟踪,因为它可以捕获所有已启用区域的活动。使用 CloudTrail 控制台创建的所有跟踪均为多区域跟踪。您只能使用 Amazon CLI 或 CreateTrailAPI 操作创建单区域跟踪。
尽管大多数区域默认 Amazon Web Services 区域 处于启用状态 Amazon Web Services 账户,但您必须手动启用某些区域(也称为可选区域)。有关默认启用哪些区域的信息,请参阅《Amazon 账户管理 参考指南》中的 Considerations before enabling and disabling Regions。有关 CloudTrail 支持的区域列表,请参阅CloudTrail 支持的区域。
多区域跟踪有哪些优势?
多区域跟踪具有以下优势:
-
跟踪的配置设置一致地应用于所有已启用的轨迹 Amazon Web Services 区域。
-
您可以在单个 Amazon S3 存储桶 Amazon Web Services 区域 中接收所有已启用的 CloudTrail 事件,也可以从 CloudWatch 日志日志组中接收事件。
-
您可以 Amazon Web Services 区域 从一个位置管理所有启用的跟踪配置。
创建多区域跟踪时会发生什么?
创建多区域跟踪会产生以下影响:
-
CloudTrail 将所有已启用的账户活动日志文件传输 Amazon Web Services 区域 到您指定的单个 Amazon S3 存储桶,也可以传输到 CloudWatch 日志日志组。
-
如果您为跟踪配置了 Amazon SNS 主题,则有关全部启用 Amazon Web Services 区域 日志文件传输的 SNS 通知将发送到该单个 SNS 主题。
-
您可以看到多区域跟踪已全部启用 Amazon Web Services 区域,但只能在创建该跟踪的原始区域中修改该跟踪。
启用可选区域后会发生什么?
启用可选区域后, CloudTrail 将在您启用的选择加入区域中为每条多区域跟踪创建相同的副本。
CloudTrail 使用一种称为最终一致性的分布式计算模型。由于启用某个区域需要几分钟到几小时的时间,因此您可能无法立即在日志中看到新启用的区域的所有事件。交付新启用的区域的所有日志最多可能需要几个小时。 CloudTrail 在此期间,您可以通过查看事件历史记录或运行aws cloudtrail lookup-events --region <region>命令来查看该区域记录的最近 90 天的管理 CloudTrail 事件。默认情况下,事件历史记录在您的中处于活动状态 Amazon Web Services 账户,可以捕获在某个区域中记录的最近 90 天的管理事件,并且不需要跟踪。
有关为您启用可选区域的信息 Amazon Web Services 账户,请参阅为独立账户启用或禁用区域或在组织中启用或禁用区域。
禁用可选区域后会发生什么?
由于您的账户可能在您禁用的区域内有活动(例如删除资源的操作),因此 CloudTrail 将继续捕获活动并尝试将所有在禁用该区域之前未删除的跟踪的事件传送到 S3 存储桶。 Amazon Web Services 服务