创建记录管理事件的跟踪 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建记录管理事件的跟踪

对于您的第一个跟踪,我们建议您创建一个记录所有管理事件且不记录任何数据事件或 Insights 事件的跟踪。管理事件的示例包括安全事件(例如IAMCreateUserAttachRolePolicy事件)、资源事件(例如RunInstancesCreateBucket)等等。在控制台中创建跟踪的过程中,您将创建一个 Amazon S3 存储桶,用于存储跟踪的 CloudTrail 日志文件。

注意

Amazon Control Tower 在设置 landing zone 时设置新的 CloudTrail 跟踪记录管理事件。它是组织级别的跟踪,这意味着它记录管理账户和组织中所有成员账户的所有管理事件。有关更多信息,请参阅《Amazon CloudTrail 用户指南》 Amazon Control Tower中的关于登录

本教程假定您创建您的第一个跟踪。根据您 Amazon 账户中的跟踪数量以及这些跟踪的配置方式,以下过程可能会产生费用,也可能不会产生费用。 CloudTrail 将日志文件存储在 Amazon S3 存储桶中,这会产生成本。有关定价的更多信息,请参阅 Amazon CloudTrail 定价Simple Storage Service(Amazon S3)定价

创建跟踪

  1. 登录 Amazon Web Services Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/

  2. 区域选择器中,选择要在其中创建跟踪的 Amazon 区域。这是跟踪的主区域。

    注意

    创建轨迹后 Amazon Web Services 区域 ,只有主区域可以对其进行更新。

  3. 在 CloudTrail 服务主页、“跟踪” 页面或 “控制面” 页面的 “跟踪” 部分,选择 “创建跟踪”。

  4. Trail 名称中,为你的路径命名,例如 management-events。 最佳做法是使用能够快速识别跟踪目的的名称。在这种情况下,您正在创建的跟踪将记录管理事件。

  5. 保留为我的组织中的所有账户启用的默认设置。除非您在 Organizations 中配置了账户,否则此选项将不能进行更改。

  6. 对于 Storage location(存储位置,选择 Create new S3 bucket(创建 S3 存储桶)以创建存储桶。创建存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择创建新的 S3 存储桶,则您的IAM策略需要包含s3:PutEncryptionConfiguration操作权限,因为默认情况下,该存储桶已启用服务器端加密。为您的存储桶指定一个便于识别的名称。

    为了便于查找日志,请在现有存储桶中创建一个新文件夹(也称为前缀)来存储 CloudTrail 日志。

    注意

    Simple Storage Service(Amazon S3)存储桶的名称必须是全局唯一的。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的存储桶命名规则

  7. 清除该复选框可禁用日志文件 SSE-KMS 加密。默认情况下,您的日志文件使用 SSE-S3 加密进行加密。有关此设置的更多信息,请参阅对 Amazon S3 托管密钥使用服务器端加密 (SSE-S3)。

  8. Additional settings(其他设置)中保留默认设置。

  9. 保留 “CloudWatch 日志” 的默认设置。目前,不要向 Amazon Logs 发送 CloudWatch 日志。

  10. (可选)在 “标签” 中,您最多可以添加 50 个标签密钥对,以帮助您识别、排序和控制对跟踪的访问权限。标签可以帮助您识别您的 CloudTrail 跟踪和其他资源,例如包含 CloudTrail 日志文件的 Amazon S3 存储桶。例如,您可以附加名称为 Compliance、值为 Auditing 的标签。

    注意

    尽管您可以在 CloudTrail 控制台中创建跟踪时向其添加标签,也可以创建 Amazon S3 存储桶在控制台中存储日志文件,但您无法从 CloudTrail 控制台向 Amazon S3 存储桶添加标签。 CloudTrail 有关查看和更改 Simple Storage Service(Amazon S3)存储桶属性(包括向存储桶添加标签)的更多信息,请参阅 Simple Storage Service(Amazon S3)用户指南

    完成标签创建后,选择 Next(下一步)。

  11. Choose log events(选择日志事件)页面中,选择要记录的事件类型。对于此跟踪,请保留默认值 Management events(管理事件)。在 Management events(管理事件)区域中,如果尚未选择,则选择以记录 Read(读取)和 Write(写入)两类事件。将 “排除 Amazon KMS 事件” 复选框留空,以记录所有事件。

  12. 保留数据事件Insights 事件网络活动事件的默认设置。此跟踪不会记录任何数据事件、Insights 事件或网络活动事件。选择下一步

  13. Review and create(审核和创建)页面上,审核您为跟踪选择的设置。对相关部分选择 Edit(编辑)以返回并进行更改。在准备好创建跟踪时,选择 Create trail(创建跟踪)。

  14. Trails(跟踪)页面会在表中显示您的新跟踪记录。请注意,跟踪设置为 Multi-region trail(多区域跟踪),并且默认情况下为跟踪打开了日志记录。

有关跟踪的更多信息,请参阅处理 CloudTrail 轨迹