使用 create-trail 命令创建跟踪 - AWS CloudTrail
创建应用到所有区域的跟踪为跟踪启动日志记录操作创建单区域跟踪创建应用到所有区域且启用了日志文件验证功能的跟踪

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 create-trail 命令创建跟踪

您可以运行 create-trail 命令来创建专门配置为满足您的商业需求的跟踪记录。当使用 AWS CLI 时,请记住您的命令在为您的配置文件配置的 AWS 区域中运行。如果您想要在不同的区域中运行命令,可以为配置文件更改默认区域,或者与命令一起使用 --region 参数。

创建应用到所有区域的跟踪

要创建应用到所有区域的跟踪,请使用 --is-multi-region-trail 选项。默认情况下,create-trail 命令创建的跟踪仅记录在其中创建该跟踪的 AWS 区域中的事件。为确保您记录全局服务事件并捕获 AWS 账户中的所有管理事件活动,您应该创建记录所有 AWS 区域中的事件的跟踪记录。

注意

当您创建跟踪时,如果指定一个不是使用 CloudTrail 创建的 Simple Storage Service(Amazon S3)存储桶,则您需要附加适当的策略。请参阅 针对 CloudTrail 的 Simple Storage Service(Amazon S3)存储桶策略

以下示例创建一个名为 my-trail 的跟踪和一个名为 Group 且值为 Marketing 的标签,此标签将来自所有区域的日志传送到名为 amzn-s3-demo-bucket 的现有存储桶。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

要确认您的跟踪存在于所有区域中,请验证输出中的 IsMultiRegionTrail 元素是否为 true

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
注意

使用 start-logging 命令可以为您的跟踪启动日志记录操作。

为跟踪启动日志记录操作

create-trail 命令完成后,运行 start-logging 命令可以为跟踪启动日志记录。

注意

当您使用 CloudTrail 控制台创建跟踪时,系统会自动启用日志记录。

以下示例为跟踪启动日志记录。

aws cloudtrail start-logging --name my-trail

虽然此命令不返回输出,但您可以使用 get-trail-status 命令验证日志记录是否已启动。

aws cloudtrail get-trail-status --name my-trail

为了确认正在记录跟踪,输出中的 IsLogging 元素将显示 true

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

创建单区域跟踪

以下命令创建单区域跟踪。指定的 Simple Storage Service(Amazon S3)存储桶必须已经存在并且已应用适当的 CloudTrail 权限。有关更多信息,请参阅 针对 CloudTrail 的 Simple Storage Service(Amazon S3)存储桶策略

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket

下面是示例输出。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

创建应用到所有区域且启用了日志文件验证功能的跟踪

要在使用 create-trail 时启用日志文件验证功能,请使用 --enable-log-file-validation 选项。

有关日志文件验证的信息,请参阅验证 CloudTrail 日志文件完整性

以下示例创建将所有区域的日志传送到指定存储桶的跟踪。此命令使用 --enable-log-file-validation 选项。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation

要确认系统已启用日志文件验证功能,请验证输出中的 LogFileValidationEnabled 元素是否为 true

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}