本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建跟踪以记录管理事件
<a name="tutorial-trail"></a>

对于您的第一个跟踪，我们建议创建一个记录所有[管理事件](cloudtrail-concepts.md#cloudtrail-concepts-management-events)但不记录任何[数据事件](cloudtrail-concepts.md#cloudtrail-concepts-data-events)或 Insights 事件的跟踪。管理事件的示例包含安全事件（如 IAM `CreateUser` 和 `AttachRolePolicy` 事件）、资源事件（如 `RunInstances` 和 `CreateBucket`），等等。在控制台中创建跟踪的过程中，您将创建一个 Amazon S3 存储桶，用于存储跟踪的 CloudTrail 日志文件。

**注意**  
AWS Control Tower 在设置 landing zone 时设置新的 CloudTrail 跟踪记录管理事件。它是组织级别的跟踪，这意味着它记录管理账户和组织中所有成员账户的所有管理事件。有关多信息，请参阅《*AWS CloudTrail 用户指南*》中的 [About logging in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html)。  
本教程假定您创建您的第一个跟踪。根据您 AWS 账户中的跟踪数量以及这些跟踪的配置方式，以下过程可能会产生费用，也可能不会产生费用。 CloudTrail 将日志文件存储在 Amazon S3 存储桶中，这会产生成本。有关定价的更多信息，请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)和 [Amazon S3 定价](https://aws.amazon.com/s3/pricing/)。

**创建跟踪**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在**区域**选择器中，选择要在其中创建跟踪的 AWS 区域。这是跟踪的主区域。
**注意**  
创建跟踪后，只有主区域 AWS 区域 可以对其进行更新。

1. 在 CloudTrail 服务主页、“**跟踪**” 页面或 “控制面**板**” 页面的 “**跟踪**” 部分，选择 “**创建跟踪**”。

1. 在 **Trail name (跟踪名称)** 中，指定跟踪的名称，例如 *management-events*。作为最佳实践，请使用可快速识别跟踪用途的名称。在这种情况下，您正在创建的跟踪将记录管理事件。

1. 保留**为我的组织中的所有账户启用**的默认设置。除非您在 Organizations 中配置了账户，否则此选项将不能进行更改。

1. 对于**存储位置**，选择**创建新的 S3 存储桶**以创建存储桶。创建存储桶时， CloudTrail 会创建并应用所需的存储桶策略。如果您选择创建新的 S3 存储桶，则您的 IAM 策略需要包含 `s3:PutEncryptionConfiguration` 操作的权限，因为默认情况下，存储桶已启用服务器端加密。为您的存储桶提供可轻松识别的名称。

   为了便于查找日志，请在现有存储桶中创建一个新文件夹（也称为*前缀*）来存储 CloudTrail 日志。
**注意**  
Amazon S3 存储桶的名称必须是全局唯一的。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。

1. 清除此复选框可禁用**日志文件 SSE-KMS 加密**。默认情况下，您将使用 SSE-S3 加密法加密日志文件。有关此设置的更多信息，请参阅[使用具有 Amazon S3 托管式密钥（SSE-S3）的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。

1. 在**其他设置**中保留默认设置。

1. 保留 “**CloudWatch 日志**” 的默认设置。目前，不要向 Amazon Logs 发送 CloudWatch 日志。

1. （可选）在**标签**中，您最多可以添加 50 个标签键对，以帮助您对跟踪的访问进行识别、排序和控制。标签可以帮助您识别您的 CloudTrail 跟踪和其他资源，例如包含 CloudTrail 日志文件的 Amazon S3 存储桶。例如，您可以附加名称为 **Compliance**、值为 **Auditing** 的标签。
**注意**  
尽管您可以在 CloudTrail 控制台中创建跟踪时向其添加标签，也可以创建 Amazon S3 存储桶在控制台中存储日志文件，但您无法从 CloudTrail 控制台向 Amazon S3 存储桶添加标签。 CloudTrail 有关查看和更改 Amazon S3 存储桶属性（包括向存储桶添加标签）的更多信息，请参阅 [https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)。

   完成标签创建后，选择**下一步**。

1. 在**选择日志事件**页面中，选择要记录的事件类型。对于此跟踪，请保留默认值**管理事件**。在**管理事件**区域中，如果尚未选择，则选择以记录**读取**和**写入**两类事件。将**排除 AWS KMS 事件**和排除 **Amazon RDS 数据 API 事件**复选框留空，以记录所有管理事件。  
![\[创建跟踪页面，事件类型设置\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)

1. 保留**数据事件**、**Insights 事件**和**网络活动事件**的默认设置。此跟踪不会记录任何数据事件、Insights 事件或网络活动事件。选择**下一步**。

1. 在**查看并创建**页面上，审核您为跟踪选择的设置。对相关部分选择**编辑**以返回并进行更改。在准备好创建跟踪时，选择**创建跟踪**。

1. **跟踪**页面会在表中显示您的新跟踪记录。请注意，跟踪设置为**多区域跟踪**，并且默认情况下为跟踪打开了日志记录。  
![\[Create trail（创建跟踪）页面，Event type（事件类型）设置\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)

有关跟踪的更多信息，请参阅[处理 CloudTrail 轨迹](cloudtrail-trails.md)。

# 查看您的日志文件
<a name="tutorial-trail-logs"></a>

在创建第一个跟踪后的平均大约 5 分钟内，会将第一组日志文件 CloudTrail 传送到您的跟踪的 Amazon S3 存储桶。您可以查看这些文件并了解它们包含的信息。

**注意**  
CloudTrail 通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。有关更多信息，请参阅 [AWS CloudTrail 服务等级协议](https://aws.amazon.com/cloudtrail/sla)。  
如果您错误配置了跟踪（例如，无法访问 S3 存储桶），则 CloudTrail 会尝试将日志文件重新传送到您的 S3 存储桶，持续 30 天，这些 attempted-to-deliver事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用，您需要删除跟踪。

**查看日志文件**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，选择**跟踪**。在 T **rail** s 页面上，找到您刚刚创建的跟踪的名称（在示例中为*management-events*）。

1. 在跟踪对应的行中，选择 S3 存储桶的值。

1. Amazon S3 控制台将打开并显示存储桶的两个文件夹：`CloudTrail-Digest` 和 `CloudTrail`。选择要查看日志文件的文件**CloudTrail**夹。

1. 如果您创建了多区域跟踪，则每个 AWS 区域跟踪都有一个文件夹。选择要查看日志文件的文件夹。 AWS 区域 例如，如果您希望查看美国东部（俄亥俄州）区域的日志文件，请选择 **us-east-2**。  
![\[跟踪的 Amazon S3 存储桶，显示 AWS 区域中日志文件的结构\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)

1. 将存储桶文件夹结构导航至您要查看该地区的活动日志的年、月和日。在这一天会有多个文件。文件名以您的 AWS 账户 ID 开头，并以扩展名结尾`.gz`。例如，如果您的账户 ID 是*123456789012*，则会看到名称类似于以下内容的文件：*123456789012*\$1 \$1 CloudTrail *us-east-2* \$1 *20240512T0000Z\$1EXAMPLE* .json.gz。

   要查看这些文件，您可以下载它们，解压缩，然后在纯文本编辑器或 JSON 文件查看器中查看它们。有些浏览器还支持直接查看 .gz 和 JSON 文件。我们建议您使用 JSON 查看器，因为它可以更轻松地分析 CloudTrail 日志文件中的信息。