更新跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更新跟踪

要更改跟踪设置,请使用以下过程。

要更新单区域跟踪以记录所有区域中的事件,或更新全区域跟踪以仅记录单个区域中的事件,必须使用Amazon CLI。有关如何更新单区域跟踪以记录所有区域中的事件的详细信息,请参阅将应用到一个区域的跟踪转换为应用到所有区域。有关如何更新全区域跟踪以记录单个区域中的事件的详细信息,请参阅将多区域跟踪转换为单区域跟踪

使用 Amazon Web Services Management Console更新跟踪

  1. 登录到Amazon Web Services Management Console,然后访问 CloudTrail 控制台,打开https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,选择跟踪,然后选择跟踪名称。

  3. In一般详细信息中,选择编辑更改以下设置。您不能更改跟踪的名称。

    • 将跟踪应用于我的组织-更改此线索是否为Amazon Organizations组织跟踪。

    • 跟踪日志位置-更改用于存储此跟踪日志的 S3 存储桶的名称或前缀。

    • SSE-KMS 加密-选择启用或禁用使用 SSE-KMS 而非 SSE-S3 而非来加密日志文件。

    • 日志文件验证-选择以启用或禁用对日志文件完整性的验证。

    • SNS 通知传递-选择以启用或禁用 Amazon Simple Notification Service (Amazon SNS) 通知,说明日志文件已传送至为跟踪指定的存储桶。

    1. 要将跟踪更改为Amazon Organizations组织跟踪时,可以选择为组织中的所有账户启用跟踪。有关更多信息,请参阅 为组织创建跟踪

    2. 若要更改指定的存储桶存储位置中,选择创建新的 S3 存储桶创建存储桶。在创建存储桶时,CloudTrail 会创建并应用所需的存储桶策略。

      注意

      如果您选择了使用现有的 S3 存储桶,请在跟踪日志存储桶名称,或选择浏览选择存储桶。存储桶策略必须授予 CloudTrail 向其写入的权限。有关手动编辑存储桶策略的信息,请参阅适用于 CloudTrail 的 Amazon S3 存储桶策略

      为了更轻松地查找日志,请创建一个新文件夹(也称为prefix)来存储您的 CloudTrail 日志。输入前缀前缀

    3. 适用于SSE-KMS 加密中,选择Enabled (已启用)使用 SSE-KMS 而非 SSE-S3 来加密您的日志文件。默认值为Enabled (已启用)。有关此加密类型的更多信息,请参阅使用具有 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 保护数据

      如果启用 SSE-KMS 加密,请选择New或者ACITEG Amazon KMS客户主密钥。InAmazon KMS别名中,指定一个别名,格式为alias/我的别名。有关更多信息,请参阅 更新跟踪以使用 CMK

      注意

      您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 更新跟踪以使用 CMK。密钥策略必须允许 CloudTrail 使用此密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥策略的信息,请参阅配置Amazon KMSCloudTrail 的主要策略

    4. 适用于日志文件验证中,选择Enabled (已启用)以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件验证日志文件在 CloudTrail 传送之后没有发生改变。有关更多信息,请参阅 验证 CloudTrail 日志文件完整性

    5. 适用于SNS 通知传递中,选择Enabled (已启用),以在日志传输至您的存储桶时收到通知。CloudTrail 将多个事件存储在一个日志文件中。SNS 通知针对每个日志文件而不是每个事件发送。有关更多信息,请参阅 为 CloudTrail 配置 Amazon SNS 通知

      如果您启用 SNS 通知,则对于创建 SNS 主题中,选择New以创建主题,或选择ACITEG以使用现有主题。如果您创建的是应用到所有区域的跟踪,则针对来自所有区域的日志文件传输的 SNS 通知将发送到您创建的单个 SNS 主题中。

      如果选择New中,CloudTrail 会为您指定新主题的名称,也可以键入名称。如果选择ACITEG中,从下拉列表中选择 SNS 主题。您还可以输入来自另一个区域或来自一个具有适当权限的账户的主题的 ARN。有关更多信息,请参阅 适用于 CloudTrail 的 Amazon SNS 主题策略

      如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可通过 Amazon SNS 控制台进行订阅。由于通知的频率,建议您将该订阅配置为使用 Amazon SQS 队列来以编程方式处理通知。有关更多信息,请参阅 。Amazon Simple Notification Service 入门指南

  4. InCloudWatch Logs (CloudWatch 日志)中,选择编辑更改将 CloudTrail 日志文件发送到 CloudWatch Logs 的设置。选择Enabled (已启用)CloudWatch Logs (CloudWatch 日志)以启用发送日志文件。有关更多信息,请参阅 将事件发送到 CloudWatch Logs

    1. 如果您启用了与 CloudWatch Logs 的集成,请选择New以创建新的日志组,或者ACITEG使用现有配置文件。如果选择New,CloudTrail 会为您指定新日志组的名称,也可以键入名称。

    2. 如果选择ACITEG中,从下拉列表中选择日志组。

    3. 选择New:创建新的 IAM 角色,以便向 CloudWatch Watch 日志发送日志的权限。选择ACITEG以从下拉列表中选择现有 IAM 角色。展开时,将显示新角色或现有角色的策略语句策略文档。有关该角色的更多信息,请参阅CloudTrail 用于使用 CloudWatch Logs 进行监控的角色策略文档

      注意

      在配置跟踪时,可以选择属于另一个账户的 S3 存储桶和 SNS 主题。但是,如果您希望 CloudTrail 将事件传送至 CloudWatch Logs 日志组,则必须选择当前账户中的日志组。

  5. In标签中,选择编辑以更改、添加或删除跟踪上的标签。向跟踪中添加一个或多个自定义标签(键值对)。标签可帮助您识别 CloudTrail 跟踪和包含 CloudTrail 日志文件的 Amazon S3 存储桶。然后,您可以为您的 CloudTrail 资源使用资源组。有关更多信息,请参阅 Amazon Resource Groups为什么使用标签跟踪?

  6. In管理事件中,选择编辑更改管理事件日志记录设置。

    1. 适用于API 活动,请选择您是否希望跟踪记录Read事件,写入事件,或两者兼有。有关更多信息,请参阅 管理事件

    2. 选择ExcludeAmazon KMS事件筛选条件Amazon Key Management Service(Amazon KMS)事件。默认设置是包含所有Amazon KMS事件.

      用于记录或排除的选项Amazon KMS事件仅当您在跟踪上记录管理事件时才可用。如果选择不记录管理事件,Amazon KMS事件未记录,并且您无法更改Amazon KMS事件日志记录设置。

      EncryptDecryptGenerateDataKey 等 Amazon KMS 操作通常会生成大量事件(占比超过 99%)。这些操作现在记录为读取事件。低容量,相关Amazon KMS操作,如DisableDelete, 和ScheduleKey(这通常占不到 0.5%Amazon KMS事件卷)记录为写入事件.

      要排除高容量事件,如EncryptDecrypt, 和GenerateDataKey,但仍然记录相关事件,例如DisableDeleteScheduleKey,选择记录写入管理事件,然后清除ExcludeAmazon KMS事件

    3. 选择排除 Amazon RDS Data API 事件:筛选出跟踪中的 Amazon 关系数据库服务数据 API 事件。默认设置为包含所有 Amazon RDS 数据 API 事件。有关 Amazon RDS 数据 API 事件的更多信息,请参阅使用 记录数据 API 调用Amazon CloudTrail中的亚马逊 RDS Aurora 用户指南

  7. 重要

    步骤 7-9 用于配置跟踪上的数据事件(如果您使用的是基本事件选择器)。如果您使用的是高级事件选择器,请参阅使用高级事件选择器更新数据事件设置,然后返回步骤 10 并转发此过程。

    In数据事件中,选择编辑更改数据事件日志记录设置。使用基本事件选择器,您可以指定 Amazon S3 存储桶的日志记录数据事件,Amazon Lambda函数、动态数据表或这些资源的组合。其他数据事件类型可通过高级事件选择器。默认情况下,跟踪不记录数据事件。记录数据事件将收取额外费用。有关更多信息,请参阅 数据事件。有关 CloudTrail 定价,请参阅Amazon CloudTrail定价

    对于 Amazon S3 存储桶:

    1. 适用于数据事件源中,选择S3

    2. 您可以选择登录所有当前和未来的 S3 存储桶,也可以指定单个存储桶或函数。默认情况下,会记录所有当前和未来 S3 存储桶的数据事件。

      注意

      保留默认所有当前和未来的 S3 存储桶选项为当前在您的Amazon帐户和您创建完跟踪后创建的任何存储桶。它也将为由 Amazon 账户中的任何用户或角色执行的数据事件活动启用日志记录,即使该活动是对属于其他 Amazon 账户的存储桶执行的。

      如果跟踪仅适用于一个区域,请选择所有当前和未来的 S3 存储桶为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为 Amazon S3 存储桶记录在您的Amazonaccount.

    3. 如果您保留默认值,所有当前和未来的 S3 存储桶,选择记录Read事件,写入事件,或两者兼有。

    4. 要选择单独的存储桶,请清空Read写入复选框所有当前和未来的 S3 存储桶。In单个存储桶选择中,浏览要在其上记录数据事件的存储桶。要查找特定存储桶,请键入所需存储桶的存储桶前缀。您可在此窗口中选择多个存储桶。选择添加存储桶以记录更多存储桶的数据事件。选择登录Read事件,例如GetObject写入事件,例如PutObject,或同时选择两者。

      此设置优先于为各个存储桶配置的个别设置。例如,如果指定记录所有 S3 存储桶的 Read 事件,然后选择为数据事件日志记录添加一个特定存储桶,则所添加存储桶的 Read 已经是选中状态。您无法清除此选择。只能配置 Write 选项。

      要从日志记录中删除存储桶,请选择X

  8. 要添加用于记录数据事件的其他数据类型,请选择添加数据事件类型

  9. 对于 Lambda 函数:

    1. 适用于数据事件源中,选择Lambda

    2. InLambda 函数中,选择所有区域记录所有 Lambda 函数,或者输入函数作为 ARN记录特定函数的数据事件。

      要记录您的所有 Lambda 函数的数据事件,请参阅Amazon帐户,选择记录所有当前和将来的函数。此设置优先于为各个函数配置的个别设置。将记录所有函数,即便这些函数未显示。

      注意

      如果为所有区域创建跟踪,则此选择将为您的所有函数启用数据事件日志记录。Amazon账户以及您在创建跟踪后可能在任何区域中创建的任何 Lambda 函数。如果要为单个区域创建跟踪(通过使用Amazon CLI),则此选择将启用数据事件日志记录当前位于Amazon帐户以及完成跟踪创建后可能在该区域中创建的任何 Lambda 函数。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。

      所有函数的日志记录数据事件也将为由 Amazon 账户中的任何用户或角色执行的数据事件活动启用日志记录,即使该活动是对属于其他 Amazon 账户的函数执行的。

    3. 如果选择输入函数作为 ARN中,输入 Lambda 函数的 ARN。

      注意

      如果您的账户中有 15000 个以上的 Lambda 函数,则在创建跟踪时,您无法在 CloudTrail 控制台中查看或选择所有函数。您仍可以选择该选项来记录所有函数,即使未显示这些函数也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数 (如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建操作,然后使用Amazon CLI和put-event-selectors命令为特定 Lambda 函数配置数据事件日志记录。有关更多信息,请参阅 管理跟踪Amazon CLI

  10. 要添加用于记录数据事件的其他数据类型,请选择添加数据事件类型

  11. 对于 DynamoDB 表:

    1. 适用于数据事件源中,选择DynamoDB

    2. InDynamoDB 表选择器中,选择浏览选择一个表,或粘贴到您有权访问的 DynamoDB 表的 ARN 中。DynamoDB 表 ARN 采用以下格式:

      arn:partition:dynamodb:region:account_ID:table/table_name

      要添加另一个表,请选择添加行,然后浏览某个表或粘贴到您有权访问的表的 ARN 中。

  12. In见解事件选择编辑(如果您希望跟踪记录 CloudTrail 见解事件),请参阅。

    InEvent type下,选择见解事件。您必须记录写入管理事件记录见解事件。

    CloudTrail 洞察分析管理写入事件,并在检测到异常时记录事件。默认情况下,跟踪不记录见解事件。有关见解事件的更多信息,请参阅记录跟踪的见解事件。记录见解事件将收取额外费用。有关 CloudTrail 定价,请参阅Amazon CloudTrail定价

    见解事件将传递到名为/CloudTrail-Insight中指定的 S3 存储桶,该存储桶在存储位置跟踪详细信息页面的区域。CloudTrail 会为您创建新的前缀。例如,如果当前目标 S3 存储桶命名为 S3bucketName/AWSLogs/CloudTrail/,则带有新前缀的 S3 存储桶名称会命名为 S3bucketName/AWSLogs/CloudTrail-Insight/

  13. 当您更改完跟踪的设置后,请选择更新跟踪

使用高级事件选择器更新数据事件设置

  1. 在跟踪的详细信息页面上,在数据事件中,选择编辑

  2. 如果您尚未记录数据事件,请选择数据事件

  3. 适用于数据事件类型中,选择数据事件资源类型(S3 存储桶、Amazon Outposts、Lambda 函数、DynamoDBTable、托管区块链节点或 S3 对象 Lambda 访问点),您想要记录的。

  4. 选择日志选择器模板。CloudTrail 包括用于记录资源类型的所有数据事件的预定义模板。要构建自定义日志选择器模板,请选择Custom (自定义)

    注意

    为 S3 存储桶选择预定义模板可以为当前位于Amazon帐户和您创建完跟踪后创建的任何存储桶。它也将为由 Amazon 账户中的任何用户或角色执行的数据事件活动启用日志记录,即使该活动是对属于其他 Amazon 账户的存储桶执行的。

    如果跟踪仅应用于一个区域,则选择一个用于记录所有 S3 存储桶的预定义模板会为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为 Amazon S3 存储桶记录在您的Amazonaccount.

    如果为所有区域创建跟踪,则为 Lambda 函数选择预定义的模板会为您的Amazon账户以及您在创建跟踪后可能在任何区域中创建的任何 Lambda 函数。如果要为单个区域创建跟踪(通过使用Amazon CLI),则此选择将启用数据事件日志记录当前位于Amazon帐户以及完成跟踪创建后可能在该区域中创建的任何 Lambda 函数。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。

    所有函数的日志记录数据事件也将为由 Amazon 账户中的任何用户或角色执行的数据事件活动启用日志记录,即使该活动是对属于其他 Amazon 账户的函数执行的。

  5. 如果要应用预定义的日志选择器模板,并且不想添加其他数据事件资源类型,请选择保存更改,然后跳过此过程的最后一步。要应用自定义日志选择器模板,请继续执行下一步。

  6. 要创建自定义日志选择器模板,请在日志选择器模板下拉列表中,选择Custom (自定义)

  7. 也可以为自定义日志选择器模板输入名称。

  8. In高级事件选择器,为特定 S3 存储桶、S3 对象构建表达式Amazon Outposts、Lambda 函数或要收集数据事件的 DynamoDB 表。

    1. 从以下字段中进行选择。对于接受数组(多个值)的字段,CloudTrail 会在值之间添加 OR。

      • readOnly-readOnly可将其设置为等于值为true或者false。将两者记录在一起readwrite事件,请不要添加readOnly选择器。

      • eventName-eventName可以使用任何运算符。您可以使用它来包含或排除记录到 CloudTrail 的任何数据事件,例如PutBucket。您可以为此字段包含多个值,以逗号分隔。

      • resources.type-此字段为必填字段。resources.type只能使用等于运算符,值可以是以下之一:AWS::S3::ObjectAWS::S3Outposts::ObjectAWS::Lambda::FunctionAWS::DynamoDB::TableAWS::ManagedBlockchain::Node,或者AWS::S3ObjectLambda::AccessPoint

      • resources.ARN-您可以使用任意运算符resources.ARN,但是如果您使用等于或者笔记,则该值必须与您在模板中指定的类型的有效资源的 ARN 完全匹配,resources.type。例如,如果resources.typeequalsAWS:: S3። S3። S3። 对象时,ARN 必须采用以下格式之一。要记录特定 S3 存储桶中所有对象的所有数据事件,请使用StartsWith运算符,并且仅包含存储桶 ARN 作为匹配值。

        尾部斜杠是故意的;不要排除它。

        arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/

        何时resources.typeequalsAWS:: S3Outposts። S3Outposts። DynamoDB,并且运算符被设置为等于或者笔记,ARN 必须采用以下格式:

        arn:partition:s3-outposts:region:account_ID:object_path

        何时resources.typeequalsAWS::Lambda::Function,并且运算符被设置为等于或者笔记,ARN 必须采用以下格式:

        arn:partition:lambda:region:account_ID:function:function_name

        何时resources.typeequalsAWS::DynamoDB::Table,并且运算符被设置为等于或者笔记,ARN 必须采用以下格式:

        arn:partition:dynamodb:region:account_ID:table/table_name

        何时resources.typeequalsAWS::ManagedBlockchain::Node,并且运算符被设置为等于或者笔记,ARN 必须采用以下格式:

        arn:partition:managedblockchain:region:account_ID:nodes/node_ID

        何时resources.typeequalsAWS::S3ObjectLambda::AccessPoint,并且运算符被设置为等于或者笔记,ARN 必须采用以下格式:

        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name

      有关数据事件资源的 ARN 格式的更多信息,请参阅Amazon S3 定义的资源类型定义的资源类型Amazon Lambda, 和Amazon DynamoDB 定义的资源类型中的Amazon Identity and Access Management用户指南

    2. 对于每个字段,请选择+ 条件可根据需要添加任意数量的条件,最多可为所有条件添加 500 个指定值。例如,要从跟踪记录的数据事件中排除两个 S3 存储桶的数据事件,您可以将字段设置为资源 .ARN,请将运算符设置为笔记,然后粘贴到 S3 存储桶 ARN 中,或浏览查找不想为其记录事件的 S3 存储桶。

      要添加第二个 S3 存储桶,请选择+ 条件,然后重复上述指令,在 ARN 中粘贴或浏览其他存储桶。

      注意

      对于跟踪上的所有选择器,最多可以包含 500 个值。这包括选择器的多个值的数组,例如eventName。如果所有选择器都有单个值,则最多可以向选择器添加 500 个条件。

      如果您的账户中有 15000 个以上的 Lambda 函数,则在创建跟踪时,您无法在 CloudTrail 控制台中查看或选择所有函数。您仍可以使用预定义的选择器模板记录所有函数,即使未显示这些函数也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数 (如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建操作,然后使用Amazon CLI和put-event-selectors命令为特定 Lambda 函数配置数据事件日志记录。有关更多信息,请参阅 管理跟踪Amazon CLI

    3. 选择+ 字段以根据需要添加其他字段。为避免错误,请不要为字段设置冲突或重复的值。例如,不要将一个选择器中的 ARN 指定为等于某个值,然后在另一个选择器中指定 ARN 不等于相同的值。

    4. 保存对自定义选择器模板的更改,方法是选择下一步。不要选择其他日志选择器模板,或离开此页面,否则您的自定义选择器将丢失。

  9. 要添加用于记录数据事件的其他数据类型,请选择添加数据事件类型。重复步骤 3 到此步骤,为数据事件类型配置高级事件选择器。

  10. 在您选择下一步, 在步骤 2: 选择日志事件中,查看您选择的日志选择器模板选项。选择编辑以返回并进行更改。

  11. 要为跟踪配置 Insights 事件和其他设置,请返回本主题中的上述步骤更新跟踪