本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS CloudTrail 教程入门
如果您不熟悉 AWS CloudTrail,这些教程可以帮助您学习如何使用其功能。要使用 CloudTrail 功能,您需要拥有足够的权限。本页描述了可用的托管策略, CloudTrail 并提供了有关如何授予权限的信息。
**Topics**
+ [授予使用权限 CloudTrail](#tutorial-grant-permissions)
+ [查看事件历史记录](tutorial-event-history.md)
+ [创建跟踪以记录管理事件](tutorial-trail.md)
+ [为 S3 数据事件创建事件数据存储](tutorial-lake-S3.md)
## 授予使用权限 CloudTrail
要创建、更新和管理跟踪、事件数据存储和频道等 CloudTrail 资源,您需要授予使用权限 CloudTrail。本节提供有关可用的托管策略的信息 CloudTrail。
**注意**
您授予用户执行 CloudTrail 管理任务的权限与将日志文件传输到 Amazon S3 存储桶或向 Amazon SNS 主题发送通知 CloudTrail 所需的权限不同。有关这些权限的更多信息,请参阅 [适用于 Amazon S3 存储桶政策 CloudTrail](create-s3-bucket-policy-for-cloudtrail.md)。
如果您配置与 Amazon CloudWatch Logs 的集成,则 CloudTrail 还需要一个可以代入的角色来向 Amazon Lo CloudWatch gs 日志组传送事件。您必须创建 CloudTrail 使用的角色。有关更多信息,请参阅[授予在 CloudTrail 控制台上查看和配置 Amazon CloudWatch 日志信息的权限](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users)和[将事件发送到 CloudWatch 日志](send-cloudtrail-events-to-cloudwatch-logs.md)。
以下 AWS 托管策略可用于 CloudTrail:
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)— 此政策提供对 CloudTrail 资源 CloudTrail 操作的完全访问权限,例如跟踪、事件数据存储和频道。此策略提供创建、更新和删除 CloudTrail跟踪、事件数据存储和频道所需的权限。
该策略还提供管理 Amazon S3 存储桶、日志日志组和 CloudWatch 跟踪的 Amazon SNS 主题的权限。但是,`AWSCloudTrail_FullAccess`托管策略不提供删除 Amazon S3 存储桶、日志组或 Amazon SNS 主题的权限。 CloudWatch 有关其他 AWS 服务的托管策略的信息,请参阅《[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)。
**注意**
本**AWSCloudTrail\$1FullAccess**政策不打算在您之间广泛共享 AWS 账户。拥有此角色的用户能够关闭或重新配置他们的 AWS 账户账户中最敏感且最重要的审计功能。因此,您只能将此策略应用于账户管理员。您必须严格控制和监控此策略的使用。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)— 此策略授予查看 CloudTrail 控制台的权限,包括最近的事件和事件历史记录。此策略还支持查看现有跟踪、事件数据存储和通道。拥有此策略的角色和用户可以[下载事件历史记录](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events),但他们无法创建或更新跟踪、事件数据存储或通道。
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供商创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
# 查看事件历史记录
本节介绍如何使用 CloudTrail 控制台上的 CloudTrail **事件历史记录**页面查看您 AWS 账户 当前最近 90 天的管理事件 AWS 区域。
**查看**事件历史记录****
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,选择**事件历史记录**。您会看到一个筛选的事件列表,最新的事件显示在最前面。事件的默认筛选条件是**只读的**,设置为 **false**。您可以选择筛选条件右上角的 **X** 以清除该筛选条件。您可以针对单个属性筛选事件,以搜索**事件历史记录**中的事件。
![\[CloudTrail 事件历史记录页面突出显示了只读过滤器\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-event-history.png)
1. 选择要筛选的属性,然后输入该属性的完整值。 CloudTrail 无法根据部分值进行筛选。例如,要查看所有控制台登录事件,请选择**事件名称**过滤器,然后指定**ConsoleLogin**属性值。
![\[CloudTrail 事件历史记录页面根据该ConsoleLogin事件进行了筛选。\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-event-history-filters.png)
或者,要查看最近的 CloudTrail 管理事件,请选择**事件源**并指定`cloudtrail.amazonaws.com`。有关服务记录的事件的信息 CloudTrail,请参阅该服务的 API 参考。
![\[根据特定 CloudTrail 事件源筛选的事件历史记录页面\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/event-history-event-source.png)
1. 要查看特定管理事件,请选择事件名称。在事件详细信息页面上,您可以查看事件详细信息、任何引用的资源以及事件记录。
1. 比较事件时,可以通过填充**事件历史记录**表左侧边缘的复选框选择最多五个事件。您可以在**比较事件详细信息表 side-by-side中查看所选事件的详细信息**。
1. 您可以采用 CSV 或 JSON 格式的文件进行下载来保存事件历史记录。下载事件历史记录可能需要几分钟。
![\[显示下载选项 CloudTrail 的事件历史记录页面\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-event-history-download.png)
有关更多信息,请参阅 [处理 CloudTrail 事件历史记录](view-cloudtrail-events.md)。
# 创建跟踪以记录管理事件
对于您的第一个跟踪,我们建议创建一个记录所有[管理事件](cloudtrail-concepts.md#cloudtrail-concepts-management-events)但不记录任何[数据事件](cloudtrail-concepts.md#cloudtrail-concepts-data-events)或 Insights 事件的跟踪。管理事件的示例包含安全事件(如 IAM `CreateUser` 和 `AttachRolePolicy` 事件)、资源事件(如 `RunInstances` 和 `CreateBucket`),等等。在控制台中创建跟踪的过程中,您将创建一个 Amazon S3 存储桶,用于存储跟踪的 CloudTrail 日志文件。
**注意**
AWS Control Tower 在设置 landing zone 时设置新的 CloudTrail 跟踪记录管理事件。它是组织级别的跟踪,这意味着它记录管理账户和组织中所有成员账户的所有管理事件。有关多信息,请参阅《*AWS CloudTrail 用户指南*》中的 [About logging in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html)。
本教程假定您创建您的第一个跟踪。根据您 AWS 账户中的跟踪数量以及这些跟踪的配置方式,以下过程可能会产生费用,也可能不会产生费用。 CloudTrail 将日志文件存储在 Amazon S3 存储桶中,这会产生成本。有关定价的更多信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)和 [Amazon S3 定价](https://aws.amazon.com/s3/pricing/)。
**创建跟踪**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在**区域**选择器中,选择要在其中创建跟踪的 AWS 区域。这是跟踪的主区域。
**注意**
创建跟踪后,只有主区域 AWS 区域 可以对其进行更新。
1. 在 CloudTrail 服务主页、“**跟踪**” 页面或 “控制面**板**” 页面的 “**跟踪**” 部分,选择 “**创建跟踪**”。
1. 在 **Trail name (跟踪名称)** 中,指定跟踪的名称,例如 *management-events*。作为最佳实践,请使用可快速识别跟踪用途的名称。在这种情况下,您正在创建的跟踪将记录管理事件。
1. 保留**为我的组织中的所有账户启用**的默认设置。除非您在 Organizations 中配置了账户,否则此选项将不能进行更改。
1. 对于**存储位置**,选择**创建新的 S3 存储桶**以创建存储桶。创建存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择创建新的 S3 存储桶,则您的 IAM 策略需要包含 `s3:PutEncryptionConfiguration` 操作的权限,因为默认情况下,存储桶已启用服务器端加密。为您的存储桶提供可轻松识别的名称。
为了便于查找日志,请在现有存储桶中创建一个新文件夹(也称为*前缀*)来存储 CloudTrail 日志。
**注意**
Amazon S3 存储桶的名称必须是全局唯一的。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。
1. 清除此复选框可禁用**日志文件 SSE-KMS 加密**。默认情况下,您将使用 SSE-S3 加密法加密日志文件。有关此设置的更多信息,请参阅[使用具有 Amazon S3 托管式密钥(SSE-S3)的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
1. 在**其他设置**中保留默认设置。
1. 保留 “**CloudWatch 日志**” 的默认设置。目前,不要向 Amazon Logs 发送 CloudWatch 日志。
1. (可选)在**标签**中,您最多可以添加 50 个标签键对,以帮助您对跟踪的访问进行识别、排序和控制。标签可以帮助您识别您的 CloudTrail 跟踪和其他资源,例如包含 CloudTrail 日志文件的 Amazon S3 存储桶。例如,您可以附加名称为 **Compliance**、值为 **Auditing** 的标签。
**注意**
尽管您可以在 CloudTrail 控制台中创建跟踪时向其添加标签,也可以创建 Amazon S3 存储桶在控制台中存储日志文件,但您无法从 CloudTrail 控制台向 Amazon S3 存储桶添加标签。 CloudTrail 有关查看和更改 Amazon S3 存储桶属性(包括向存储桶添加标签)的更多信息,请参阅 [https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)。
完成标签创建后,选择**下一步**。
1. 在**选择日志事件**页面中,选择要记录的事件类型。对于此跟踪,请保留默认值**管理事件**。在**管理事件**区域中,如果尚未选择,则选择以记录**读取**和**写入**两类事件。将**排除 AWS KMS 事件**和排除 **Amazon RDS 数据 API 事件**复选框留空,以记录所有管理事件。
![\[创建跟踪页面,事件类型设置\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)
1. 保留**数据事件**、**Insights 事件**和**网络活动事件**的默认设置。此跟踪不会记录任何数据事件、Insights 事件或网络活动事件。选择**下一步**。
1. 在**查看并创建**页面上,审核您为跟踪选择的设置。对相关部分选择**编辑**以返回并进行更改。在准备好创建跟踪时,选择**创建跟踪**。
1. **跟踪**页面会在表中显示您的新跟踪记录。请注意,跟踪设置为**多区域跟踪**,并且默认情况下为跟踪打开了日志记录。
![\[Create trail(创建跟踪)页面,Event type(事件类型)设置\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)
有关跟踪的更多信息,请参阅[处理 CloudTrail 轨迹](cloudtrail-trails.md)。
# 查看您的日志文件
在创建第一个跟踪后的平均大约 5 分钟内,会将第一组日志文件 CloudTrail 传送到您的跟踪的 Amazon S3 存储桶。您可以查看这些文件并了解它们包含的信息。
**注意**
CloudTrail 通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。有关更多信息,请参阅 [AWS CloudTrail 服务等级协议](https://aws.amazon.com/cloudtrail/sla)。
如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail 会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。
**查看日志文件**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,选择**跟踪**。在 T **rail** s 页面上,找到您刚刚创建的跟踪的名称(在示例中为*management-events*)。
1. 在跟踪对应的行中,选择 S3 存储桶的值。
1. Amazon S3 控制台将打开并显示存储桶的两个文件夹:`CloudTrail-Digest` 和 `CloudTrail`。选择要查看日志文件的文件**CloudTrail**夹。
1. 如果您创建了多区域跟踪,则每个 AWS 区域跟踪都有一个文件夹。选择要查看日志文件的文件夹。 AWS 区域 例如,如果您希望查看美国东部(俄亥俄州)区域的日志文件,请选择 **us-east-2**。
![\[跟踪的 Amazon S3 存储桶,显示 AWS 区域中日志文件的结构\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)
1. 将存储桶文件夹结构导航至您要查看该地区的活动日志的年、月和日。在这一天会有多个文件。文件名以您的 AWS 账户 ID 开头,并以扩展名结尾`.gz`。例如,如果您的账户 ID 是*123456789012*,则会看到名称类似于以下内容的文件:*123456789012*\$1 \$1 CloudTrail *us-east-2* \$1 *20240512T0000Z\$1EXAMPLE* .json.gz。
要查看这些文件,您可以下载它们,解压缩,然后在纯文本编辑器或 JSON 文件查看器中查看它们。有些浏览器还支持直接查看 .gz 和 JSON 文件。我们建议您使用 JSON 查看器,因为它可以更轻松地分析 CloudTrail 日志文件中的信息。
# 为 S3 数据事件创建事件数据存储
您可以创建事件数据存储来记录 CloudTrail 事件(管理事件、数据事件)、[CloudTrail Insights 事件](query-event-data-store-insights.md)、[AWS Audit Manager 证据](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)、[AWS Config 配置项目](query-event-data-store-config.md)或[非AWS 事件](event-data-store-integration-events.md)。
在为数据事件创建事件数据存储时,可以选择要记录数据事件的 AWS 服务 和资源类型。有关 AWS 服务 该日志数据事件的信息,请参阅[数据事件](logging-data-events-with-cloudtrail.md#logging-data-events)。
本教练向您展示如何为 Amazon S3 数据事件创建事件数据存储。在本教程中,我们将选择自定义日志选择器模板来仅在从特定 S3 存储桶中删除对象时记录事件,而不记录所有 Amazon S3 数据事件。
**为 CloudTrail 数据事件创建事件数据存储**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,在 **Lake** 下,选择**事件数据存储**。
1. 选择**创建事件数据存储**。
1. 在 “**配置事件数据存储**” 页面的 “**常规详细信息**” 中,为您的事件数据存储命名,例如*s3-data-events-eds*。作为最佳实践,请使用可快速识别事件数据存储用途的名称。有关 CloudTrail 命名要求的信息,请参见[CloudTrail 资源、S3 存储桶和 KMS 密钥的命名要求](cloudtrail-trail-naming-requirements.md)。
1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。
可用选项如下:
+ **一年可延期保留定价**:如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go定价延长保留期。这是默认选项。
+ **默认保留期:**366 天
+ **最长保留期:**3653 天
+ **七年期保留定价**:如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。
+ **默认保留期:**2557 天
+ **最长保留期:**2557 天
1. 指定事件数据存储的保留期。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,**七年期保留定价**选项的保留期可以介于 7 天到 2557 天(约七年)之间。
CloudTrail Lake 通过检查事件是否在`eventTime`指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,`eventTime`则 CloudTrail 会删除超过 90 天的事件。
1. (可选)在**加密**中,选择是否要使用自己的 KMS 密钥加密事件数据存储。默认情况下,事件数据存储中的所有事件都 CloudTrail 使用为您 AWS 拥有和管理的 KMS 密钥进行加密。
要使用自己的 KMS 密钥进行加密,请选择**使用我自己的 AWS KMS key**。选择 “**新**建” 为您 AWS KMS key 创建,或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中,按格式指定别名`alias/`*MyAliasName*。使用自己的 KMS 密钥需要您编辑 KMS 密钥策略以允许对 CloudTrail 日志进行加密和解密。有关更多信息,请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。
**注意**
要为组织事件数据存储启用 AWS Key Management Service 加密,必须使用管理账户的现有 KMS 密钥。
1. (可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证,您可以在 AWS Glue [数据目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据,并在 Athena 中对事件数据运行 SQL 查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 [联合事件数据存储](query-federation.md)。
要启用 Lake 查询联合身份验证,请选择**启用**,然后执行以下操作:
1. 选择是要创建新角色还是使用现有 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。
1. 如果您在创建新角色,请输入名称来标识该角色。
1. 如果您使用现有角色,请选择要使用的角色。该角色必须存在于您的 账户中。
1. (可选)选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如,您可以添加基于资源的策略,允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略,请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。
事件数据存储的基于资源的策略支持以下操作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
对于[组织事件数据存储](cloudtrail-lake-organizations.md), CloudTrail 创建[基于资源的默认策略,该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后(例如,注册或删除了 CloudTrail 委托管理员帐户),此策略会自动更新。
1. (可选)在**标签**中,将一个或多个自定义标签(键值对)添加到事件数据存储中。标签可以帮助您识别 CloudTrail 事件数据存储。例如,您可以附加名称为 **stage**、值为 **prod** 的标签。您可以使用标签来限制对事件数据存储的访问。您还可以使用标签来跟踪事件数据存储的查询和摄取成本。
有关如何使用标签跟踪成本的信息,请参阅[为 CloudTrail Lake 事件数据存储创建用户定义的成本分配标签](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags)。有关如何使用 IAM 策略根据标签授权对事件数据存储的访问,请参阅[示例:拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的信息 AWS,请参阅《[标记 AWS 资源用户指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*》中的为 AWS 资源添加标签*。
1. 选择**下一步**以配置事件数据存储。
1. 在**选择事件**页面上,保留**事件类型**的默认选择。
![\[选择事件数据存储的事件类型\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/lake-event-type.png)
1. 对于**CloudTrail 事件**,选择**数据事件**并取消选择**管理事件**。有关数据事件的更多信息,请参阅 [记录数据事件](logging-data-events-with-cloudtrail.md)。
![\[为事件 CloudTrail 数据存储选择数据事件\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-events-data.png)
1. 保留**复制跟踪事件**的默认设置。您可以使用此选项将现有的跟踪事件复制到事件数据存储。有关更多信息,请参阅 [将跟踪事件复制到事件数据存储](cloudtrail-copy-trail-to-lake-eds.md)。
1. 如果这是组织事件数据存储,请选择**为我组织中的所有账户启用**。除非您在 AWS Organizations中配置了账户,否则此选项将不能进行更改。
1. 对于**其他设置**,请保留默认选择。默认情况下,事件数据存储会收集所有人的事件, AWS 区域 并在创建事件时开始摄取事件。
1. 对于**数据事件**,请进行下列选择:
1. 在**资源类型**中,选择 **S3**。资源类型用于标识记录数据事件的 AWS 服务 和资源。
1. 在**日志选择器模板**中,选择**自定义**。选择**自定义**可定义自定义事件选择器来按 `eventName`、`resources.ARN` 和 `readOnly` 字段进行筛选。有关这些字段的信息,请参阅 *AWS CloudTrail API 参考[AdvancedFieldSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)*中的。
1. (可选)在**选择器名称**中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如 “记录特定 S3 存储桶 DeleteObject 的 API 调用”。选择器名称在高级事件选择器中列为 `Name`,展开 **JSON 视图**即可查看该名称。
![\[显示高级事件选择器的扩展 JSON 视图\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/json-view-selector-name.png)
1. 在**高级事件选择器**中,我们将构建自定义事件选择器来按 `eventName` 和 `resources.ARN` 字段进行筛选。事件数据存储的高级事件选择器的工作方式与应用于跟踪记录的高级事件选择器相同。有关如何构建高级事件选择器的详细信息,请参阅[使用高级事件选择器记录数据事件](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced)。
1. 对于**字段**,选择 **eventName**。对于**运算符**,选择 **equals**。对于**值**,请输入 **DeleteObject**。选择 **\$1 字段**以按其他字段进行筛选。
1. 对于**字段**,选择 **resources.ARN**。对于 “**操作员**”,选择**StartsWith**。在**值**中,输入存储桶的 ARN(例如,arn: aws: s3::)。*amzn-s3-demo-bucket*有关如何获取 ARN 的信息,请参阅**《Amazon Simple Storage Service 用户指南》中的 [Amazon S3 资源](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html)。
![\[S3 数据事件配置\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/eds-data-events.png)
1. 选择**下一步**以查看您的选择。
1. 在**查看并创建**页面上,审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时,选择**创建事件数据存储**。
1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。
从现在开始,事件数据存储将捕获与其高级事件选择器匹配的事件。除非选择复制现有跟踪事件,否则在创建事件数据存储之前发生的事件不会出现在该事件数据存储中。
现在,您可以对事件数据存储运行查询。有关如何查看和运行示例查询的信息,请参阅 [使用 CloudTrail 控制台查看示例查询](lake-console-queries.md)。
有关 CloudTrail Lake 的更多信息,请参阅[与 L AWS CloudTrail ake 合作](cloudtrail-lake.md)。