使用 AWS CLI 创建、更新和管理跟踪记录
您可以使用 AWS CLI 创建、更新和管理跟踪记录。当使用 AWS CLI 时,请记住您的命令在为您的配置文件配置的 AWS 区域中运行。如果您想要在不同的区域中运行命令,可以为配置文件更改默认区域,或者与命令一起使用 --region 参数。
注意
您需要 AWS 命令行工具来运行本主题中的 AWS Command Line Interface (AWS CLI) 命令。确保您安装了 AWS CLI 的最新版本。有关更多信息,请参阅 《AWS Command Line Interface 用户指南》。要在 AWS CLI 命令行中获得 CloudTrail 命令的帮助信息,请键入 aws cloudtrail
help。
常用的跟踪创建、管理和状态命令
CloudTrail 中一些更常用的创建和更新跟踪记录的命令包括:
-
create-trail:创建跟踪。
-
update-trail:更改现有跟踪的配置。
-
add-tags:向现有跟踪添加一个或多个标签(键值对)。
-
remove-tags:从跟踪中删除一个或多个标签。
-
list-tags:返回与跟踪关联的标签的列表。
-
put-event-selectors:添加或修改跟踪的时间选择器。
-
put-insight-selectors:为现有跟踪添加或修改见解事件选择器,并启用或禁用 Insights 事件。
-
start-logging:开始使用跟踪记录事件。
-
stop-logging:停止使用跟踪记录事件。
-
delete-trail:删除跟踪。该命令不会删除含有该跟踪的日志文件的 Simple Storage Service(Amazon S3)存储桶(如果有)。
-
describe-trails:返回有关 AWS 区域中的跟踪记录的信息。
-
get-trail:返回跟踪的设置信息。
-
get-trail-status:返回有关跟踪的当前状态的信息。
-
get-event-selectors:返回有关为跟踪配置的事件选择器的信息。
-
get-insight-selectors:返回有关为跟踪配置的 Insights 事件选择器的信息。
支持的创建和更新跟踪记录的命令:create-trail 和 update-trail
create-trail 和 update-trail 命令提供用于创建和管理跟踪记录的各种功能,包括:
-
创建跨区域接收日志的跟踪,或使用
--is-multi-region-trail选项更新跟踪。在大多数情况下,您应创建记录所有 AWS 区域中事件的跟踪记录。 -
使用 --is-organization-trail 选项创建接收组织中所有 AWS 账户的日志的跟踪。
-
使用
--no-is-multi-region-trail选项将多区域跟踪转换为单区域跟踪。 -
使用
--kms-key-id选项启用或禁用日志文件加密。此选项指定您已创建并附加了让 CloudTrail 能够加密日志的策略的 AWS KMS 密钥。有关更多信息,请参阅 使用 AWS CLI 启用和禁用 CloudTrail 日志文件加密。 -
使用
--enable-log-file-validation和--no-enable-log-file-validation选项启用或禁用日志文件验证。有关更多信息,请参阅 验证 CloudTrail 日志文件完整性。 -
指定 CloudWatch Logs 日志组和角色,使 CloudTrail 能够将事件传送到 CloudWatch Logs 日志组。有关更多信息,请参阅 使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件。
已弃用的命令:create-subscription 和 update-subscription
重要
create-subscription 和 update-subscription 命令曾用来创建和更新跟踪记录,但已弃用。请勿使用这些命令。它们不提供用于创建和管理跟踪记录的完整功能。
如果您配置了使用其中一个命令或同时使用这两个命令的自动执行,我们建议您更新您的代码或脚本以使用支持的命令,例如 create-trail。
