接收来自多个区域的 CloudTrail 日志文件

创建多区域跟踪时，会 CloudTrail 记录您账户中启用的所有区域的事件。 CloudTrail 将日志文件传送到相同的 S3 存储桶和 CloudWatch 日志组。只要 CloudTrail 有权写入 S3 存储桶，多区域跟踪的存储桶就不必位于跟踪的主区域中。

尽管大多数区域默认 Amazon Web Services 区域 处于启用状态 Amazon Web Services 账户，但您必须手动启用某些区域（也称为可选区域）。有关默认启用哪些区域的信息，请参阅《Amazon 账户管理 参考指南》中的 Considerations before enabling and disabling Regions。有关 CloudTrail 支持的区域列表，请参阅CloudTrail 支持的区域。

启用可选区域后， CloudTrail 将在您启用的选择加入区域中为每条多区域跟踪创建相同的副本。有关更多信息，请参阅 启用可选区域后会发生什么？。

如果您稍后禁用了可选区域，则该区域中的多区域跟踪副本将保留。由于您的账户可能在您禁用的区域内有活动（例如删除资源的操作），因此 CloudTrail 将继续捕获活动并尝试将所有在禁用该区域之前未删除的跟踪的事件传送到 S3 存储桶。 Amazon Web Services 服务

要将现有的单区域跟踪转换为多区域跟踪，必须使用。 Amazon CLI

要更改现有跟踪以使其应用于所有已启用的区域，请在update-trail命令中添加--is-multi-region-trail选项。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

要确认该跟踪现在是多区域跟踪，请验证输出中的IsMultiRegionTrail元素是否已显示true。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

有关更多信息，请参阅以下资源：