Menggunakan update-trail perintah untuk memperbarui jejak - AWS CloudTrail
Mengonversi jejak yang berlaku untuk satu Wilayah untuk diterapkan ke semua WilayahMengubah jejak Multi-wilayah menjadi jalur Single-regionMengaktifkan dan menonaktifkan pencatatan peristiwa layanan globalMengaktifkan validasi file logMenonaktifkan validasi file log

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan update-trail perintah untuk memperbarui jejak

penting

Per 22 November 2021, AWS CloudTrail mengubah cara jejak menangkap peristiwa layanan global. Sekarang, peristiwa yang dibuat oleh Amazon CloudFront AWS Identity and Access Management,, dan AWS STS dicatat di Wilayah di mana mereka diciptakan, Wilayah AS Timur (Virginia N.), us-east-1. Hal ini membuat bagaimana CloudTrail memperlakukan layanan ini konsisten dengan layanan AWS global lainnya. Untuk terus menerima acara layanan global di luar US East (Virginia N.), pastikan untuk mengubah jalur Single-region menggunakan acara layanan global di luar US East (Virginia N.) menjadi jalur Multi-wilayah. Untuk informasi selengkapnya tentang menangkap peristiwa layanan global, lihat Mengaktifkan dan menonaktifkan pencatatan peristiwa layanan global nanti di bagian ini.

Sebaliknya, Riwayat acara di CloudTrail konsol dan aws cloudtrail lookup-events perintah akan menampilkan peristiwa ini di Wilayah AWS tempat kejadian.

Anda dapat menggunakan update-trail perintah untuk mengubah pengaturan konfigurasi untuk jejak. Anda juga dapat menggunakan remove-tags perintah add-tags dan untuk menambah dan menghapus tag untuk jejak. Anda hanya dapat memperbarui jalur dari AWS Wilayah tempat jejak itu dibuat (Wilayah Asalnya). Saat menggunakan AWS CLI, ingatlah bahwa perintah Anda berjalan di AWS Wilayah yang dikonfigurasi untuk profil Anda. Jika Anda ingin menjalankan perintah di Wilayah yang berbeda, ubah Wilayah default untuk profil Anda, atau gunakan parameter --region bersama perintah tersebut.

Jika Anda telah mengaktifkan peristiwa CloudTrail manajemen di Amazon Security Lake, Anda diharuskan untuk mempertahankan setidaknya satu jejak organisasi yaitu Multi-wilayah dan mencatat keduanya read dan peristiwa write manajemen. Anda tidak dapat memperbarui jejak kualifikasi sedemikian rupa sehingga gagal memenuhi persyaratan Security Lake. Misalnya, dengan mengubah jejak ke wilayah Tunggal, atau dengan mematikan pencatatan read atau acara write pengelolaan.

catatan

Jika Anda menggunakan AWS CLI atau salah satu dari AWS SDKs mereka untuk memodifikasi jejak, pastikan bahwa kebijakan keranjang jejak tersebut up-to-date. Agar bucket Anda secara otomatis menerima peristiwa dari yang baru Wilayah AWS, kebijakan harus berisi nama layanan lengkap,cloudtrail.amazonaws.com. Untuk informasi selengkapnya, lihat Kebijakan bucket Amazon S3 untuk CloudTrail.

Mengonversi jejak yang berlaku untuk satu Wilayah untuk diterapkan ke semua Wilayah

Untuk mengubah jejak yang ada sehingga berlaku untuk semua Wilayah, gunakan --is-multi-region-trail opsi.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Untuk mengonfirmasi bahwa jejak sekarang berlaku untuk semua Wilayah, IsMultiRegionTrail elemen dalam output ditampilkantrue.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

Mengubah jejak Multi-wilayah menjadi jalur Single-region

Untuk mengubah jejak Multi-wilayah yang ada sehingga hanya berlaku untuk Wilayah di mana ia dibuat, gunakan --no-is-multi-region-trail opsi. 

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

Untuk mengonfirmasi bahwa jejak sekarang berlaku untuk satu Wilayah, IsMultiRegionTrail elemen dalam output menunjukkanfalse.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

Mengaktifkan dan menonaktifkan pencatatan peristiwa layanan global

Untuk mengubah jejak sehingga tidak mencatat peristiwa layanan global, gunakan --no-include-global-service-events opsi. 

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

Untuk mengonfirmasi bahwa jejak tidak lagi mencatat peristiwa layanan global, IncludeGlobalServiceEvents elemen dalam output akan ditampilkanfalse.

{
    "IncludeGlobalServiceEvents": false, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

Untuk mengubah jejak sehingga mencatat peristiwa layanan global, gunakan --include-global-service-events opsi.

Jalur Single-Region tidak akan lagi menerima acara layanan global mulai 22 November 2021, kecuali jejak tersebut sudah muncul di Wilayah AS Timur (Virginia N.), us-east-1. Untuk terus menangkap peristiwa layanan global, perbarui konfigurasi jejak ke jejak Multi-wilayah. Misalnya, perintah ini memperbarui jejak wilayah Tunggal di AS Timur (Ohio), us-east-2, menjadi jejak Multi-wilayah. Ganti myExistingSingleRegionTrailWithGSE dengan nama jejak yang sesuai untuk konfigurasi Anda.

aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail

Karena acara layanan global hanya tersedia di US East (Virginia N.) mulai 22 November 2021, Anda juga dapat membuat jalur Single-region untuk berlangganan acara layanan global di Wilayah AS Timur (Virginia N.), us-east-1. Perintah berikut membuat jejak wilayah Tunggal di us-east-1 untuk CloudFront menerima, IAM, dan peristiwa: AWS STS 

aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name amzn-s3-demo-bucket

Mengaktifkan validasi file log

Untuk mengaktifkan validasi file log untuk jejak, gunakan --enable-log-file-validation opsi. File Digest dikirim ke bucket Amazon S3 untuk jejak itu.

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

Untuk mengonfirmasi bahwa validasi file log diaktifkan, LogFileValidationEnabled elemen dalam output menunjukkantrue.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

Menonaktifkan validasi file log

Untuk menonaktifkan validasi file log untuk jejak, gunakan --no-enable-log-file-validation opsi.

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

Untuk mengonfirmasi bahwa validasi file log dinonaktifkan, LogFileValidationEnabled elemen dalam output menunjukkanfalse.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

Untuk memvalidasi file log dengan AWS CLI, lihatMemvalidasi integritas file CloudTrail log dengan AWS CLI.