创建跟踪以记录管理事件 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建跟踪以记录管理事件

对于您的第一个跟踪,我们建议创建一个记录所有管理事件但不记录任何数据事件或 Insights 事件的跟踪。管理事件的示例包含安全事件(如 IAM CreateUserAttachRolePolicy 事件)、资源事件(如 RunInstancesCreateBucket),等等。作为在 CloudTrail 控制台中创建跟踪的一部分,您将创建一个 Simple Storage Service(Amazon S3)存储桶(将在其中存储跟踪的日志文件)。

注意

当您设置登录区时,Amazon Control Tower 会设置新的 CloudTrail 跟踪日志记录管理事件。它是组织级别的跟踪,这意味着它记录管理账户和组织中所有成员账户的所有管理事件。有关多信息,请参阅《Amazon CloudTrail 用户指南》中的 About logging in Amazon Control Tower

本教程假定您创建您的第一个跟踪。根据您的 Amazon 账户中已有的记录数量以及如何配置这些跟踪,以下步骤可能会或也可能不会产生费用。CloudTrail 将日志文件存储在 Simple Storage Service(Amazon S3)存储桶中,这会产生费用。有关定价的更多信息,请参阅 Amazon CloudTrail 定价Simple Storage Service(Amazon S3)定价

创建跟踪

  1. 登录到 Amazon Web Services 管理控制台,然后通过以下网址打开 CloudTrail 控制台:https://console.aws.amazon.com/cloudtrail

  2. Region (区域) 选择器中,选择要在其中创建跟踪的 Amazon 区域。这是跟踪的主区域。

    注意

    主区域是唯一可以在创建跟踪后更新跟踪的 Amazon Web Services 区域。

  3. 在 CloudTrail 服务主页、Trails(跟踪记录)页面或 Dashboard(控制面板)页面的 Trails(跟踪记录)部分上,选择 Create trail(创建跟踪记录)。

  4. 跟踪名称中,为您的跟踪提供名称,如 management-events。作为最佳实践,请使用可快速识别跟踪用途的名称。在这种情况下,您正在创建的跟踪将记录管理事件。

  5. 保留为我的组织中的所有账户启用的默认设置。除非您在 Organizations 中配置了账户,否则此选项将不能进行更改。

  6. 对于 Storage location(存储位置,选择 Create new S3 bucket(创建 S3 存储桶)以创建存储桶。在创建存储桶时,CloudTrail 会创建并应用所需的存储桶策略。如果您选择创建新的 S3 存储桶,则您的 IAM 策略需要包含 s3:PutEncryptionConfiguration 操作的权限,因为默认情况下,存储桶已启用服务器端加密。为您的存储桶提供可轻松识别的名称。

    为了更轻松地查找日志,在现有存储桶中创建新文件夹(又称为前缀)来存储您的 CloudTrail 日志。

    注意

    Simple Storage Service(Amazon S3)存储桶的名称必须是全局唯一的。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的存储桶命名规则

  7. 清除此复选框可禁用 Log file SSE-KMS encryption(日志文件 SSE-KMS 加密)。默认情况下,您将使用 SSE-S3 加密法加密日志文件。有关此设置的更多信息,请参阅使用具有 Amazon S3 托管式密钥(SSE-S3)的服务器端加密

  8. Additional settings(其他设置)中保留默认设置。

  9. 保留 CloudWatch Logs 的默认设置。此时,请勿将日志发送到 Amazon CloudWatch Logs。

  10. (可选)在标签中,您最多可以添加 50 个标签键对,以帮助您对跟踪的访问进行识别、排序和控制。标签可帮助您识别 CloudTrail 跟踪记录和其他资源,如包含 CloudTrail 日志文件的 Simple Storage Service(Amazon S3)存储桶。例如,您可以附加名称为 Compliance、值为 Auditing 的标签。

    注意

    尽管您可以在 CloudTrail 控制台中创建跟踪记录时向其添加标签,并且可以创建一个 Simple Storage Service(Amazon S3)存储桶以将日志文件存储在 CloudTrail 控制台中,但是您无法从 CloudTrail 控制台将标签添加到 Simple Storage Service(Amazon S3)存储桶。有关查看和更改 Simple Storage Service(Amazon S3)存储桶属性(包括向存储桶添加标签)的更多信息,请参阅 Simple Storage Service(Amazon S3)用户指南

    完成标签创建后,选择 Next(下一步)。

  11. Choose log events(选择日志事件)页面中,选择要记录的事件类型。对于此跟踪,请保留默认值 Management events(管理事件)。在 Management events(管理事件)区域中,如果尚未选择,则选择以记录 Read(读取)和 Write(写入)两类事件。将排除 Amazon KMS 事件复选框留空,以记录所有事件。

  12. 保留数据事件Insights 事件网络活动事件的默认设置。此跟踪不会记录任何数据事件、Insights 事件或网络活动事件。选择下一步

  13. Review and create(审核和创建)页面上,审核您为跟踪选择的设置。对相关部分选择 Edit(编辑)以返回并进行更改。在准备好创建跟踪时,选择 Create trail(创建跟踪)。

  14. Trails(跟踪)页面会在表中显示您的新跟踪记录。请注意,跟踪设置为 Multi-region trail(多区域跟踪),并且默认情况下为跟踪打开了日志记录。

有关跟踪的更多信息,请参阅使用 CloudTrail 跟踪