本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 update-trail命令更新追蹤
重要
截至 2021 年 11 月 22 日, AWS CloudTrail 變更了追蹤擷取全球服務事件的方式。現在,Amazon CloudFront AWS Identity and Access Management、 和 建立的事件 AWS STS 會記錄在建立它們的區域中,美國東部 (維吉尼亞北部) 區域 us-east-1。這使得 如何將這些服務 CloudTrail 與其他 AWS 全球服務的這些服務視為一致。若要繼續接收美國東部 (維吉尼亞北部) 以外的全域服務事件,請務必將使用美國東部 (維吉尼亞北部) 以外全域服務事件的單一區域追蹤轉換為多區域追蹤。如需擷取全球服務事件的詳細資訊,請參閱本節下文的「啟用及停用全球服務事件記錄」。
相反地, CloudTrail 主控台中的事件歷史記錄和aws cloudtrail lookup-events命令會在發生事件 AWS 區域 的 中顯示這些事件。
您可以使用 update-trail 命令來變更追蹤的組態設定。您也可以使用 add-tags 和 remove-tags 命令來新增及移除追蹤的標籤。您只能從建立追蹤 AWS 的區域 (其主區域) 更新追蹤。使用 時 AWS CLI,請記住,您的命令會在為設定檔設定的 AWS 區域中執行。如果您想在不同區域中執行命令,則可變更設定檔的預設區域,或搭配 --region 參數使用命令。
如果您已在 Amazon Security Lake 中啟用 CloudTrail 管理事件,則至少需要維護一個多區域組織追蹤,並同時記錄 read write和管理事件。您不能以不符合 Security Lake 要求的方式更新合格的追蹤。例如,透過將追蹤變更為單一區域,或關閉記錄 read 或 write 管理事件。
注意
如果您使用 AWS CLI 或其中一個 AWS SDKs來修改追蹤,請確定追蹤的儲存貯體政策為 up-to-date。為了讓您的儲存貯體自動接收來自新 的事件 AWS 區域,政策必須包含完整服務名稱 cloudtrail.amazonaws.com。如需詳細資訊,請參閱Amazon S3 存儲桶政策 CloudTrail。
將套用至一個區域的追蹤轉換成套用至所有區域
若要變更現有的追蹤,使該追蹤套用至所有區域,請使用 --is-multi-region-trail 選項。
aws cloudtrail update-trail --namemy-trail--is-multi-region-trail
若輸出中的 IsMultiRegionTrail 元素顯示 true,即可確定追蹤現會套用至所有區域。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
將多區域追蹤轉換成單一區域追蹤
若要變更現有的多區域追蹤,使該追蹤只會套用至其建立所在的區域,請使用 --no-is-multi-region-trail 選項。
aws cloudtrail update-trail --namemy-trail--no-is-multi-region-trail
若輸出中的 IsMultiRegionTrail 元素顯示 false,即可確定追蹤現會套用至單一區域。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
啟用及停用全球服務事件記錄
若要變更追蹤以停止記錄全域服務事件,請使用 --no-include-global-service-events 選項。
aws cloudtrail update-trail --namemy-trail--no-include-global-service-events
若輸出中的 IncludeGlobalServiceEvents 元素顯示 false,即可確定追蹤不會再記錄全域服務事件。
{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
若要變更追蹤以記錄全域服務事件,則可使用 --include-global-service-events 選項。
自 2021 年 11 月 22 日起,單一區域追蹤將不再接收全域服務事件,除非追蹤在這之前已出現於美國東部 (維吉尼亞北部) 區域 (us-east-1)。若要繼續擷取全域服務事件,請將追蹤組態更新為多區域追蹤。例如,此命令會將美國東部 (俄亥俄) (us-east-2) 中的單一區域追蹤更新為多區域追蹤。Replace (取代) myExistingSingleRegionTrailWithGSE 為您的組態提供適當的追蹤名稱。
aws cloudtrail --region us-east-2 update-trail --namemyExistingSingleRegionTrailWithGSE--is-multi-region-trail
由於自 2021 年 11 月 22 日起,全域服務事件僅能在美國東部 (維吉尼亞北部) 提供,因此您也可以建立單一區域追蹤,訂閱美國東部 (維吉尼亞北部) 區域 (us-east-1) 的全域服務事件。下列命令會在 us-east-1 中建立單一區域追蹤,以接收 CloudFront、 IAM和 AWS STS 事件:
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --namemyTrail--s3-bucket-nameamzn-s3-demo-bucket
啟用日誌檔案驗證
若要啟用追蹤的日誌檔案驗證,請使用 --enable-log-file-validation 選項。這會將摘要檔案交付到該追蹤的 Amazon S3 儲存貯體。
aws cloudtrail update-trail --namemy-trail--enable-log-file-validation
若輸出中的 LogFileValidationEnabled 元素顯示 true,即可確定日誌檔案驗證已啟用。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
停用日誌檔案驗證
若要停用追蹤的日誌檔案驗證,請使用 --no-enable-log-file-validation 選項。
aws cloudtrail update-trail --namemy-trail-name--no-enable-log-file-validation
若輸出中的 LogFileValidationEnabled 元素顯示 false,即可確定日誌檔案驗證已停用。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
若要使用 驗證日誌檔案 AWS CLI,請參閱 驗證 CloudTrail 記錄檔完整性 AWS CLI。
