使用 create-trail命令來建立追蹤 - AWS CloudTrail
建立套用至所有區域的追蹤啟動追蹤的記錄功能建立單一區域追蹤建立套用至所有區域且已啟用日誌檔案驗證的追蹤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 create-trail命令來建立追蹤

您可以執行 create-trail 命令來建立專為業務需求設定的追蹤。使用 時 AWS CLI,請記住您的命令會在為您的設定檔設定的 AWS 區域中執行。如果您想在不同區域中執行命令,則可變更設定檔的預設區域,或搭配 --region 參數使用命令。

建立套用至所有區域的追蹤

若要建立會套用至所有區域的追蹤,請使用 --is-multi-region-trail 選項。在預設情況下,create-trail 命令所建立的追蹤只會記錄該追蹤建立所在 AWS 區域中的事件。為了確保您記錄全域服務事件並擷取 AWS 您帳戶中的所有管理事件活動,您應該建立追蹤記錄所有 AWS 區域中的事件。

注意

當您建立追蹤時,若指定的 Amazon S3 儲存貯體並非透過 CloudTrail 所建立,則需連接適當的政策。請參閱 Amazon S3 存儲桶政策 CloudTrail

下列範例會建立名為 my-trail 的線索,以及具有名為 群組之索引鍵的標籤,該索引鍵值為 Marketing,可將日誌從所有區域交付至名為 amzn-s3-demo-bucket 的現有儲存貯體。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

若輸出中的 IsMultiRegionTrail 元素顯示 true,即可確定所有區域中皆有追蹤。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
注意

使用 start-logging 命令來為追蹤啟動記錄功能。

啟動追蹤的記錄功能

create-trail 命令完成之後,請執行 start-logging 命令開始追蹤的記錄。

注意

您在 CloudTrail 主控台中建立追蹤時,即自動開啟記錄日誌。

下列範例會為追蹤啟動記錄功能。

aws cloudtrail start-logging --name my-trail

此命令不會傳回輸出,但您可以使用 get-trail-status 命令來確認記錄功能已啟動。

aws cloudtrail get-trail-status --name my-trail

若輸出中的 IsLogging 元素顯示 true,即可確定追蹤正在進行記錄。

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

建立單一區域追蹤

下列命令會建立單一區域追蹤。指定的 Amazon S3 儲存貯體必須已經存在,而且已套用適當的 CloudTrail 許可。如需詳細資訊,請參閱Amazon S3 存儲桶政策 CloudTrail

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket

下列為範例輸出。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

建立套用至所有區域且已啟用日誌檔案驗證的追蹤

若要在使用 create-trail 時啟用日誌檔案驗證,請使用 --enable-log-file-validation 選項。

如需日誌檔案驗證的相關資訊,請參閱驗證 CloudTrail 記錄檔完整性

下列範例所建立的追蹤會將所有區域的日誌交付至指定儲存貯體。此命令會採用 --enable-log-file-validation 選項。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation

若輸出中的 LogFileValidationEnabled 元素顯示 true,即可確定日誌檔案驗證已啟用。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}