接收来自多个区域的 CloudTrail 日志文件 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

接收来自多个区域的 CloudTrail 日志文件

您可以将 CloudTrail 配置为将日志文件从多个区域传送到单个账户的单个 S3 存储桶。例如,您在美国西部(俄勒冈)区域的跟踪配置为将日志文件传送到 S3 存储桶的跟踪,以及 CloudWatch Logs 日志组。当您更改现有单区域跟踪记录以录入所有区域时,CloudTrail 会记录来自您账户中单一 Amazon 分区的所有区域的事件。CloudTrail 将日志文件传送到同一 S3 存储桶和 CloudWatch Logs 日志组。只要 CloudTrail 具有写入 S3 存储桶的权限,多区域跟踪的存储桶就不必位于跟踪的主区域中。

要录入您账户中所有 Amazon 分区的所有区域的事件,请在每个分区中创建多区域跟踪记录。

在控制台中,默认情况下您创建的跟踪可记录所有 Amazon 区域中的事件。这是推荐的最佳实践。要记录单个区域中的事件(不推荐),请使用 Amazon CLI。要配置现有单区域跟踪以登录所有区域,必须使用 Amazon CLI。

要更改现有跟踪以使其应用于所有区域,请向 update-trail 添加 --is-multi-region-trail 选项。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

要确认跟踪现已应用到所有区域,请验证输出中的 IsMultiRegionTrail 元素是否为 true

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}
注意

当在 aws-cn 分区中启动新区域时,CloudTrail 会在新区域中自动创建一个设置与原始跟踪相同的跟踪。

有关更多信息,请参阅以下资源: