使用 CloudTrail 跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 CloudTrail 跟踪

跟踪捕获 Amazon 活动的记录,将这些事件传输并存储在 Amazon S3 存储桶中,并可选择传输至 CloudWatch LogsAmazon EventBridge

通过创建跟踪,您可以从 CloudTrail 免费向您的 S3 存储桶传输一份正在进行的管理事件的副本,但会收取 Amazon S3 存储费用。有关 CloudTrail 定价的更多信息,请参阅 Amazon CloudTrail 定价。有关 Amazon S3 定价的信息,请参阅 Amazon S3 定价

您可以为您的 Amazon Web Services 账户 创建多区域和单区域跟踪。

多区域跟踪

当您创建多区域跟踪时,CloudTrail 会记录您的 Amazon Web Services 账户中已启用的所有 Amazon Web Services 区域中的事件,并将 CloudTrail 事件日志文件传输到您指定的 S3 存储桶。作为最佳实践,我们建议您创建多区域跟踪,因为它能够捕获所有已启用区域中的活动。使用 CloudTrail 控制台创建的所有跟踪都是多区域跟踪。您可以通过使用 Amazon CLI 将单区域跟踪转换为多区域跟踪。有关更多信息,请参阅了解多区域跟踪和选择加入区域使用控制台创建跟踪将单区域跟踪转换为多区域跟踪

单区域跟踪

当您创建单区域跟踪时,CloudTrail 仅记录该区域中的事件。然后,它将 CloudTrail 事件日志文件传送到您指定的 Amazon S3 存储桶。您只能使用 Amazon CLI 创建单区域跟踪。如果您另外创建了单个跟踪,可以让这些跟踪将 CloudTrail 事件日志文件传送到同一个 S3 存储桶或单独的存储桶。这是使用 Amazon CLI 或 CloudTrail API 创建跟踪时的默认选项。有关更多信息,请参阅 使用 Amazon CLI 创建、更新和管理跟踪记录

注意

对于这两种类型的跟踪,您可以在任何区域中指定 Amazon S3 存储桶。

如果您已在 Amazon Organizations 中创建组织,则可以创建组织跟踪,用于记录该组织中所有 Amazon 账户的所有事件。组织跟踪可以应用于所有 Amazon 区域或当前区域。组织跟踪必须使用管理账户或委托管理员账户创建,并且在指定为应用于某个组织时,组织跟踪将自动应用于该组织中的所有成员账户。成员账户可以查看组织跟踪,但无法对其进行修改或删除。默认情况下,成员账户无权访问 Amazon S3 存储桶中组织跟踪的日志文件。有关更多信息,请参阅 为组织创建跟踪

主题