使用 CloudTrail 控制台更新跟踪 - AWS CloudTrail
使用基本事件选择器更新数据事件设置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 CloudTrail 控制台更新跟踪

本节旨在介绍如何更改跟踪设置。

要更新单区域跟踪以记录您正在工作的AWS 分区 AWS 区域中的所有事件,或者更新多区域跟踪以仅记录单个区域中的事件,则必须使用。 AWS CLI有关如何更新单区域跟踪以记录所有区域中事件的详细信息,请参阅 将应用到一个区域的跟踪转换为应用到所有区域。有关如何更新多区域跟踪以记录单区域中事件的详细信息,请参阅 将多区域跟踪转换为单区域跟踪

如果您已在 Amazon Security Lake 中启用 CloudTrail 管理事件,则需要至少维护一条多区域组织跟踪,并记录两者read以及write管理事件。您不能以不符合 Security Lake 要求的方式更新符合条件的跟踪。例如,通过将跟踪更改为单区域,或者关闭 readwrite 管理事件的日志记录。

注意

CloudTrail 即使资源验证失败,也会更新成员账户中的组织跟踪。验证失败的示例包括:

  • Amazon S3 存储桶策略不正确

  • 错误的 Amazon SNS 话题政策

  • 无法传送到 CloudWatch 日志组

  • 权限不足,无法使用密KMS钥进行加密

拥有 CloudTrail 权限的成员账户可以通过在 CloudTrail 控制台上查看组织跟踪的详细信息页面或运行 AWS CLI get-trail-status命令。

要使用更新跟踪 AWS Management Console

  1. 登录 AWS Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/

  2. 在导航窗格中,选择跟踪,然后选择跟踪名称。

  3. General details(一般详细信息)中,选择 Edit(编辑)以更改以下设置。您无法更改跟踪的名称。

    • 将跟踪应用到我的组织-更改此跟踪是否为 AWS Organizations 组织跟踪。

      注意

      只有组织的管理账户才能将组织跟踪转换为非组织跟踪,或者将非组织跟踪转换为组织跟踪。

    • Trail log location(跟踪日志位置)- 更改您要在其中存储此跟踪的日志的 S3 存储桶或前缀的名称。

    • 日志文件 SSE-KMS 加密-选择启用或禁用使用-KMS 而不是 SSE SSE-S3 加密日志文件。

    • Log file validation(日志文件验证)- 选择此选项可启用或禁用日志文件完整性验证。

    • SNS通知传送-选择启用或禁用亚马逊简单通知服务 (AmazonSNS) 关于日志文件已传送到为跟踪指定的存储桶的通知。

    1. 要将跟踪更改为 AWS Organizations 组织跟踪,您可以选择为组织中的所有账户启用跟踪。有关更多信息,请参阅 为组织创建跟踪

    2. 要更改 Storage location(存储位置)中的指定存储桶,请选择Create new S3 bucket(创建新 S3 存储桶)以创建存储桶。创建存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择创建新的 S3 存储桶,则您的IAM策略需要包含s3:PutEncryptionConfiguration操作权限,因为默认情况下,该存储桶已启用服务器端加密。

      注意

      如果选择 Use existing S3 bucket(使用现有 S3 存储桶),则在 Trail log bucket name(跟踪日志存储桶名称)中指定一个存储桶,或选择 Browse(浏览)以选择存储桶。存储桶策略必须授予对其进行写入的 CloudTrail 权限。有关手动编辑存储桶策略的信息,请参阅适用于 Amazon S3 存储桶政策 CloudTrail

      为了便于查找日志,请在现有存储桶中创建一个新文件夹(也称为前缀)来存储 CloudTrail 日志。在 Prefix(前缀)字段中输入前缀。

    3. 对于日志文件 SSE-KMS 加密,如果您要使用 SSE-加密而不是 SSE-S3 加密来KMS加密日志文件,请选择启用。默认值为 Enabled(已启用)。如果您未启用 SSE-KMS 加密,则您的日志将使用 SSE-S3 加密进行加密。有关 SSE-KMS 加密的更多信息,请参阅通过 AWS Key Management Service (SSE-KMS) 使用服务器端加密。有关 SSE-S3 加密的更多信息,请参阅对 Ama zon S3 托管加密密钥 (-S3) 使用服务器端加密。SSE

      如果启用 SSE-KMS 加密,请选择 “新建” 或 “现有” AWS KMS key。在AWS KMS 别名中,指定别名,格式为 alias/MyAliasName。 有关更多信息,请参阅更新资源以在控制台中使用您的KMS密钥。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 AWS Key Management Service 开发人员指南中的使用多区域密钥

      注意

      您也可以键入其他账户ARN的密钥。有关更多信息,请参阅 更新资源以在控制台中使用您的KMS密钥。密钥策略必须 CloudTrail 允许使用密钥加密您的日志文件,并允许您指定的用户读取未加密形式的日志文件。有关手动编辑密钥政策的信息,请参阅为以下各项配置 AWS KMS 密钥策略 CloudTrail

    4. 对于 Log file validation(日志文件验证),选择 Enabled(已启用)以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件来验证您的日志文件在 CloudTrail 交付后是否没有更改。有关更多信息,请参阅 验证 CloudTrail 日志文件完整性

    5. SNS发送通知,请选择 “启用”,以便每次向您的存储桶传输日志时都会收到通知。 CloudTrail 在日志文件中存储多个事件。SNS通知是针对每个日志文件发送的,而不是针对每个事件发送的。有关更多信息,请参阅 为以下各项配置亚马逊SNS通知 CloudTrail

      如果您启用SNS通知,请在 “创建新SNS主题” 中选择 “建” 来创建主题,或者选择 “现有” 以使用现有主题。如果您正在创建适用于所有区域的跟踪,则所有区域的日志文件传输SNS通知将发送到您创建的单个SNS主题。

      如果选择 “新建”,则会为您 CloudTrail 指定新主题的名称,也可以键入名称。如果选择 “现有”,请从下拉列表中选择一个SNS主题。您也可以从其他地区或具有适当权限的账户输入主题。ARN有关更多信息,请参阅 适用于 Amazon 的SNS主题政策 CloudTrail

      如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可以从 Amazon SNS 控制台订阅。由于通知的频率,我们建议您将订阅配置为使用 Amazon SQS 队列以编程方式处理通知。有关更多信息,请参阅《亚马逊简单通知服务开发者指南》SNS中的亚马逊入门

  4. CloudWatch 日志中,选择编辑以更改将 CloudTrail 日志文件发送到 CloudWatch 日志的设置。选择 “在CloudWatch 日志启用” 以启用发送日志文件。有关更多信息,请参阅 将事件发送到 CloudWatch 日志

    1. 如果您启用了与 CloudWatch 日志的集成,请选择 “建” 来创建新的日志组,或者选择 “有” 以使用现有的日志组。如果选择 “新建”,则会为您 CloudTrail 指定新日志组的名称,也可以键入名称。

    2. 如果选择 Existing(现有),则从下拉列表中选择一个日志组。

    3. 选择 “建” 为向 CloudWatch 日志发送日志的权限创建新IAM角色。选择 “现有”,从下拉列表中选择现有IAM角色。展开 Policy document(策略文档)时,将显示新角色或现有角色的策略语句。有关该角色的更多信息,请参阅 使用 CloudWatch 日志 CloudTrail 进行监控的角色策略文档

      注意

      • 配置跟踪时,您可以选择属于其他账户的 S3 存储桶和SNS主题。但是,如果 CloudTrail 要将事件传送到 CloudWatch 日志日志组,则必须选择当前账户中存在的日志组。

      • 只有管理账户才能使用控制台为组织跟踪配置 CloudWatch 日志组。授权的管理员可以使用 AWS CLI 或 CloudTrail CreateTrailUpdateTrailAPI操作配置 CloudWatch 日志组。

  5. Tags(标记)中,选择 Edit(编辑)以更改、添加或删除跟踪上的标签。您最多可以添加 50 个标签密钥对,以帮助您识别、排序和控制对跟踪的访问权限。标签可以帮助您识别您的 CloudTrail 跟踪和包含 CloudTrail 日志文件的 Amazon S3 存储桶。然后,您可以将资源组用于您的 CloudTrail 资源。有关更多信息,请参阅AWS Resource Groups标签

  6. Management events(管理事件)中,选择 Edit(编辑)以更改管理事件日志记录设置。

    1. 对于API活动,请选择是希望您的跟踪记录读取事件、写入事件还是两者兼而有之。有关更多信息,请参阅 管理事件

    2. 选择 “排除 AWS KMS 事件”,从您的跟踪中筛选 AWS Key Management Service (AWS KMS) 事件。默认设置是包含所有 AWS KMS 事件。

      只有在跟踪中记录管理 AWS KMS 事件时,才可使用记录或排除事件的选项。如果您选择不记录管理事件,则不会记录 AWS KMS 事件,也无法更改 AWS KMS 事件记录设置。

      AWS KMS 诸如EncryptDecrypt、和之类的操作GenerateDataKey通常会生成大量事件(超过 99%)。这些操作现在记录为读取事件。诸如DisableDelete、和ScheduleKey(通常占事件量不到 0.5%)之类的低容量相关 AWS KMS 操作被记录为写入 AWS KMS 事件。

      如果要排除大批量事件(例如 EncryptDecryptGenerateDataKey),但仍然记录相关事件(例如 DisableDeleteScheduleKey),选择记录 Write(写入)管理事件,然后清除 Exclude AWS KMS events(排除 Amazon KMS 事件)复选框。

    3. 选择 “排除亚马逊RDS数据API事件”,将亚马逊关系数据库服务数据API事件从您的跟踪中筛选出来。默认设置是包括所有 Amazon RDS 数据API事件。有关亚马逊RDS数据API事件的更多信息,请参阅 A urora 亚马逊RDS用户指南 AWS CloudTrail中的使用记录数据API调用

  7. 重要

    步骤 7-11 用于使用高级事件选择器(默认值)配置数据事件。高级事件选择器让您可以配置更多数据事件类型,并对跟踪捕获的数据事件进行精细控制。如果您计划记录网络活动事件(预览版),则必须使用高级事件选择器。如果您使用的是基本事件选择器,请参阅 使用基本事件选择器更新数据事件设置,然后返回此过程的步骤 12。

    Data events(数据事件)中,选择 Edit(编辑)以更改数据事件日志记录设置。默认情况下,跟踪记录不记录数据事件。记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅 AWS CloudTrail 定价

    对于 Data event type(数据事件类型),选择要在其上记录数据事件的资源类型。有关可用数据事件类型的更多信息,请参阅 数据事件

    注意

    要记录由 Lake Formati AWS Glue on 创建的表的数据事件,请选择 La ke Formation

  8. 选择日志选择器模板。 CloudTrail 包括用于记录该资源类型的所有数据事件的预定义模板。要构建自定义日志选择器模板,请选择 Custom(自定义)。

    注意

    为 S3 存储桶选择预定义的模板可以记录当前您 AWS 账户中的所有存储分段以及您在创建完跟踪后创建的任何存储分段的数据事件。它还允许记录您 AWS 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于其他 AWS 账户的存储桶上执行的。

    如果跟踪仅应用于一个区域,则选择记录所有 S3 存储桶的预定义模板可为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为您的 AWS 账户的其他区域中的 Simple Storage Service(Amazon S3)存储桶记录数据事件。

    如果您要为所有区域创建跟踪,则选择 Lambda 函数的预定义模板可以记录当前 AWS 账户中的所有函数以及完成跟踪后可能在任何区域创建的任何 Lambda 函数的数据事件。如果您要为单个区域创建跟踪(使用完成 AWS CLI),则此选择将启用您 AWS 账户中该区域中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在该区域创建的任何 Lambda 函数的数据事件记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。

    记录所有功能的数据事件还允许记录 AWS 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于另一个 AWS 账户的函数上执行的。

  9. (可选)在选择器名称中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如“仅记录两个 S3 桶的数据事件”。选择器名称在高级事件选择器Name中列出,如果展开视图,则可以JSON查看

  10. Advanced event selectors(高级事件选择器)中,为您要记录其数据事件的特定资源构建表达式。如果您使用的是预定义日志模板,则可跳过此步骤。

    1. 从下面的字段中选择。

      • readOnly-readOnly 可以设置为等于truefalse的值。只读数据事件是不会更改资源状态的事件,例如 Get*Describe* 事件。写入事件可添加、更改或删除资源、属性或构件,例如 Put*Delete*Write* 事件。要记录 readwrite 两种事件,请不要添加 readOnly 选择器。

      • eventName - eventName 可以使用任何运算符。您可以使用它来包含或排除记录到的任何数据事件 CloudTrail,例如PutBucketGetItem、或GetSnapshotBlock

      • resources.ARN-您可以将任何运算符与一起使用resources.ARN,但是如果您使用于或不等于,则该ARN值必须与您在模板中指定为的值的resources.type有效资源的值完全匹配。

        下表显示了每种ARN格式的有效格式resources.type

        注意

        您不能使用该resources.ARN字段筛选没有的资源类型ARNs。

        resources.type 资源。 ARN
        AWS::DynamoDB::Table1 
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function 
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        		 
        arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
        AWS::AppConfig::Configuration 
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer 
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias 
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::FlowAlias 
        arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
        AWS::Bedrock::Guardrail 
        arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
        AWS::Bedrock::KnowledgeBase 
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Bedrock::Model

        ARN必须采用以下格式之一:

        • arn:partition:bedrock:region::foundation-model/resource_ID

        • arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID

        • arn:partition:bedrock:region:account_ID:custom-model/resource_ID
        AWS::Cassandra::Table 
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore 
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel 
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization 
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile 
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool 
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DataExchange::Asset 
        arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
        AWS::Deadline::Fleet 
        arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
        AWS::Deadline::Job 
        arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
        AWS::Deadline::Queue 
        arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
        AWS::Deadline::Worker 
        arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
        AWS::DynamoDB::Stream 
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot 
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace 
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment 
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table 
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion 
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment 
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector 
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate 
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing 
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset 
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries 
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan 
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::Kinesis::Stream 
        arn:partition:kinesis:region:account_ID:stream/stream_name
        AWS::Kinesis::StreamConsumer 
        arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
        AWS::KinesisVideo::Stream 
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::MachineLearning::MlModel 
        arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
        AWS::ManagedBlockchain::Network 
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node 
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore 
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph 
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::One::UKey 
        arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
        AWS::One::User 
        arn:partition:one:region:account_ID:user/user_ID
        AWS::PaymentCryptography::Alias 
        arn:partition:payment-cryptography:region:account_ID:alias/alias
        AWS::PaymentCryptography::Key 
        arn:partition:payment-cryptography:region:account_ID:key/key_ID
        AWS::PCAConnectorAD::Connector 
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::PCAConnectorSCEP::Connector 
        arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
        AWS::QApps:QApp 
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application 
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience 
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster 
        arn:partition:rds:region:account_ID:cluster/cluster_name
        AWS::RUM::AppMonitor 
        arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

        AWS::S3::AccessPoint3

        		 
        arn:partition:s3:region:account_ID:accesspoint/access_point_name

        AWS::S3Express::Object

        		 
        arn:partition:s3express:region:account_ID:bucket/bucket_name
        AWS::S3ObjectLambda::AccessPoint 
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object 
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint 
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent 
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup 
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance 
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace 
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service 
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint 
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic 
        arn:partition:sns:region:account_ID:topic_name
        AWS::SocialMessaging::PhoneNumberId

        arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
        AWS::SQS::Queue 
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARN必须采用以下格式之一:

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID
        AWS::SSMMessages::ControlChannel 
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::StepFunctions::StateMachine

        ARN必须采用以下格式之一:

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
        AWS::SWF::Domain 
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device 
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment 
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database 
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table 
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore 
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 对于启用了流的表,数据事件中的 resources 字段同时包含 AWS::DynamoDB::StreamAWS::DynamoDB::Table。如果您为 resources.type 指定 AWS::DynamoDB::Table,则原定设置情况下,它将同时记录 DynamoDB 表和 DynamoDB 流事件。要排除直播事件,请eventName在该字段上添加过滤器。

        2 要记录特定 S3 存储桶中所有对象的所有数据事件,请使用StartsWith运算符,并且仅包含该存储桶ARN作为匹配值。刻意使用尾部斜杠;切勿排除它。

        3 要记录 S3 接入点中所有对象的事件,我们建议您仅使用接入点ARN,不要包含对象路径,并使用StartsWithNotStartsWith运算符。

      有关数据事件资源ARN格式的更多信息,请参阅AWS Identity and Access Management 用户指南中的操作、资源和条件键

    2. 对于每个字段,请选择 + 条件以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。例如,要从事件数据存储中记录的数据事件中排除两个 S3 存储桶的数据事件,可以将该字段设置为资源。 ARN,将运算符设置为 “不是” 开头,然后粘贴到 S3 存储桶中ARN,或者浏览您不想为其记录事件的 S3 存储桶。

      要添加第二个 S3 存储桶,请选择 + Condition,然后重复前面的指令,粘贴到 f ARN or 中或浏览其他存储桶。

      有关如何 CloudTrail 评估多个条件的信息,请参阅如何 CloudTrail 评估一个字段的多个条件

      注意

      对于事件数据存储上的所有选择器,最多可以有 500 个值。这包括选择器的多个值的数组,例如 eventName。如果所有选择器均为单个值,则最多可以向选择器添加 500 个条件。

    3. 根据需要,选择 + Field(+ 字段)以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。例如,不要将一个选择器ARN中的一个指定为等于一个值,然后在另一个选择器中指定ARN不等于相同的值。

  11. 要添加需要记录数据事件的其他数据类型,请选择 Add data event type(添加数据事件类型)。重复步骤 3 至此步骤,为数据事件类型配置高级事件选择器。

  12. 网络活动事件中,选择编辑以更改网络活动事件记录设置。默认情况下,跟踪不记录网络活动事件。记录网络活动事件需要支付额外费用。有关更多信息,请参阅AWS CloudTrail 定价

    注意

    网络活动事件处于预览版 CloudTrail ,可能会发生变化。

    要记录网络活动事件,请执行以下操作:

    1. 网络活动事件源中,选择网络活动事件的来源。

    2. Log selector template(日志选择器模板)中,选择一个模板。您可以选择记录所有网络活动事件、记录所有网络活动访问被拒绝的事件,或者选择 “自定义” 来构建自定义日志选择器以筛选多个字段,例如eventNamevpcEndpointId

    3. (可选)输入名称以标识选择器。选择器名称在高级事件选择器中列为名称,如果您展开视图,则可以JSON查看

    4. 高级事件选择器中,通过选择字段运算符和值的来构建表达式。如果您使用的是预定义日志模板,则可跳过此步骤。

      1. 要排除或包括网络活动事件,您可以从控制台中的以下字段中进行选择。

        • eventName— 您可以将任何运算符与配合使用eventName。您可以使用它来包含或排除任何事件,例如CreateKey

        • errorCode— 你可以用它来过滤错误代码。当前,唯一支持errorCode的是VpceAccessDenied

        • vpcEndpointId— 标识操作所经过的VPC端点。您可以将任何运算符与配合使用vpcEndpointId

      2. 对于每个字段,请选择 + 条件以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。

      3. 根据需要,选择 + Field(+ 字段)以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。

    5. 要添加另一个要记录网络活动事件的事件源,请选择添加网络活动事件选择器

    6. (可选)展开JSON视图,将您的高级事件选择器视为一个JSON方块。

  13. 如果您希望跟踪记录见解事件,请在 CloudTrail Insights 事件中选择编辑

    Event type(事件类型)中,选择 Insights events(Insights 事件)。

    Insights 事件中,选择API通话率API错误率或两者兼而有之。您必须记录写入管理事件才能记录API通话费率的 Insights 事件。您必须记录读取写入管理事件才能记录 Insights 事件以了解API错误率

    CloudTrail Insights 会分析管理事件中是否存在异常活动,并在检测到异常时记录事件。默认情况下,跟踪记录不记录 Insights 事件。有关 Insights 事件的更多信息,请参阅记录 Insights 事件。记录 Insights 事件将收取额外费用。有关 CloudTrail 定价,请参阅AWS CloudTrail 定价

    Insights 事件将传送到另一个文件夹,该文件夹以同一 S3 存储桶命名/CloudTrail-Insight,该存储桶在跟踪详细信息页面的存储位置区域中指定。 CloudTrail为您创建新的前缀。例如,如果当前目标 S3 存储桶命名为 amzn-s3-demo-bucket/AWSLogs/CloudTrail/,则带有新前缀的 S3 存储桶名称会命名为 amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/

  14. 当您更改完跟踪上的设置后,选择 Update trail(更新跟踪)。

使用基本事件选择器更新数据事件设置

您可以使用高级事件选择器来配置所有数据事件类型以及网络活动事件(预览版)。高级事件选择器允许您创建细粒度的选择器,以仅记录那些感兴趣的事件。

如果您使用基本事件选择器来记录数据事件,则只能记录 Amazon S3 存储桶、 AWS Lambda 函数和 Amazon DynamoDB 表的数据事件。您无法使用基本的事件选择器对eventName字段进行筛选。您也无法记录网络活动事件

用于跟踪中数据事件的基本事件选择器

按照以下程序使用基本事件选择器配置数据事件设置。

  1. Data events(数据事件)中,选择 Edit(编辑)以更改数据事件日志记录设置。使用基本事件选择器,您可以为 Amazon S3 存储桶、 AWS Lambda 函数 D ynamoDBtables 或这些资源的组合指定日志数据事件。其他数据事件类型可通过高级事件选择器获得支持。默认情况下,跟踪记录不记录数据事件。记录数据事件将收取额外费用。有关更多信息,请参阅 数据事件。有关 CloudTrail 定价,请参阅 AWS CloudTrail 定价

    对于 Simple Storage Service(Amazon S3)存储桶:

    1. 对于 Data event source(数据事件源),选择 S3

    2. 您可以选择记录 All current and future S3 buckets(所有当前和未来 S3 存储桶),也可以指定单个存储桶或函数。默认情况下,记录所有当前和未来 S3 存储桶的数据事件。

      注意

      保留默认 “All current and future S3 存储桶” 选项将允许您 AWS 账户中当前的所有存储分段以及您在完成跟踪创建后创建的任何存储分段的数据事件记录。它还允许记录您 AWS 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于其他 AWS 账户的存储桶上执行的。

      如果跟踪仅应用于一个区域,则选择 All current and future S3 buckets(所有当前和未来 S3 存储桶)可为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。它不会在您的 AWS 账户中记录其他区域的 Amazon S3 存储桶的数据事件。

    3. 如果保留默认值 All current and future S3 buckets(所有当前和未来 S3 存储桶),则选择记录 Read(读取)事件、Write(写入)事件,还是记录两者。

    4. 要选择单个存储桶,请清空 All current and future S3 buckets(所有当前和未来 S3 存储桶)的 Read(读取)和Write(写入)复选框。在 Individual bucket selection(单个存储桶选择)中,浏览要在其上记录数据事件的存储桶。要查找特定存储桶,键入所需存储桶的存储桶前缀。您可以在此窗口中选择多个存储桶。选择添加存储桶,记录更多存储桶的数据事件。选择记录 Read(读取)事件(如 GetObject)、Write(写入)事件(如 PutObject)或同时记录两种事件。

      此设置优先于为各个存储桶配置的个别设置。例如,如果指定记录所有 S3 存储桶的 Read 事件,然后选择为数据事件日志记录添加一个特定存储桶,则所添加存储桶的 Read 已经是选中状态。您无法清除此选择。只能配置 Write 选项。

      要从日志记录中删除存储桶,请选择 X

  2. 要添加需要记录数据事件的其他数据类型,请选择 Add data event type(添加数据事件类型)。

  3. 对于 Lambda 函数:

    1. 对于 Data event source(数据事件源),选择 Lambda

    2. Lambda 函数中,选择所有区域以记录所有 Lambda 函数,或选择输入函数ARN以记录特定函数的数据事件。

      要记录您 AWS 账户中所有 Lambda 函数的数据事件,请选择记录所有当前和将来的函数。此设置优先于为各个函数配置的个别设置。将记录所有函数,即便这些函数未显示。

      注意

      如果您要为所有区域创建跟踪,则此选择将启用您 AWS 账户中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在任何区域创建的任何 Lambda 函数的数据事件记录。如果您要为单个区域创建跟踪(使用完成 AWS CLI),则此选择将启用您 AWS 账户中该区域中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在该区域创建的任何 Lambda 函数的数据事件记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。

      记录所有功能的数据事件还允许记录 AWS 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于另一个 AWS 账户的函数上执行的。

    3. 如果您选择输入函数为 ARN,请输入 Lambda 函数的。ARN

      注意

      如果您的账户中有超过 15,000 个 Lambda 函数,则在创建跟踪时无法在 CloudTrail 控制台中查看或选择所有函数。您仍可以选择该选项来记录所有函数,即使未显示这些函数也是如此。如果要记录特定函数的数据事件,则可以手动添加一个函数(如果您知道该函数)ARN。您也可以在控制台中完成跟踪的创建操作,然后使用 AWS CLI 和 put-event-selectors 命令为特定 Lambda 函数配置数据事件日志记录。有关更多信息,请参阅 使用管理跟踪 AWS CLI

  4. 要添加需要记录数据事件的其他数据类型,请选择 Add data event type(添加数据事件类型)。

  5. 对于 DynamoDB 表:

    1. 对于 Data event source(数据事件源),选择 DynamoDB

    2. 在 D ynamoDB 表选择中选择浏览以选择一个表,或者粘贴您有权访问ARN的 DynamoDB 表。DynamoDB ARN 表采用以下格式:

      arn:partition:dynamodb:region:account_ID:table/table_name

      要添加其他表,请选择 Add row,然后浏览找到一个表格或粘贴到您有权访问ARN的表中。

  6. 要为跟踪配置 Insights 事件和其他设置,请返回本主题中前面的程序 使用 CloudTrail 控制台更新跟踪