使用 CloudTrail 主控台更新追蹤 - AWS CloudTrail
使用基本事件選取器更新資料事件設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 CloudTrail 主控台更新追蹤

本節將描述如何變更追蹤設定。

若要更新單一區域追蹤以記錄您正在使用之AWS 分割區中的所有 AWS 區域 事件,或更新多區域追蹤以僅記錄單一區域中的事件,您必須使用. AWS CLI如需有關如何更新單一區域追蹤以記錄所有區域中事件的詳細資訊,請參閱 將套用至一個區域的追蹤轉換成套用至所有區域。如需有關如何更新多區域追蹤以記錄單一區域中事件的詳細資訊,請參閱 將多區域追蹤轉換成單一區域追蹤

如果您已在 Amazon Security Lake 中啟用 CloudTrail 管理事件,則必須至少維護一個多區域的組織追蹤,並記錄readwrite管理事件。您不能以不符合 Security Lake 要求的方式更新合格的追蹤。例如,透過將追蹤變更為單一區域,或關閉記錄 readwrite 管理事件。

注意

CloudTrail 即使資源驗證失敗,也會更新成員帳號中的組織追蹤。驗證失敗的範例包括:

  • 不正確的 Amazon S3 存儲桶政策

  • 不正確的 Amazon SNS 主題政策

  • 無法傳遞至 CloudWatch 記錄檔記錄群組

  • 使用KMS金鑰加密權限不足

具有 CloudTrail 權限的成員帳戶可以在 CloudTrail 主控台上檢視追蹤的詳細資料頁面或執行 AWS CLI get-trail-status命令,來查看組織追蹤的任何驗證失敗。

使用更新系統線的步驟 AWS Management Console

  1. 登入 AWS Management Console 並開啟 CloudTrail 主控台,位於https://console.aws.amazon.com/cloudtrail/

  2. 在導覽窗格中,選擇追蹤,然後選擇追蹤名稱。

  3. General details (一般詳細資訊) 中,選擇 Edit (編輯) 變更下列設定。您無法變更追蹤的名稱。

    • 將追蹤套用至我的組織-變更此追蹤是否為 AWS Organizations 組織追蹤。

      注意

      只有組織的管理帳戶可以將組織追蹤轉換為非組織追蹤,或將非組織追蹤轉換為組織追蹤。

    • 追蹤日誌位置 - 變更您要存放此追蹤的日誌之 S3 儲存貯體名稱或前綴。

    • 記錄檔 SSE-KMS 加密-選擇啟用或停用使用 SSE-KMS 而不是 SSE-S3 加密記錄檔。

    • 日誌檔案驗證 - 選擇啟用或停用日誌檔案完整性的驗證。

    • SNS通知交付-選擇啟用或停用 Amazon 簡單通知服務 (AmazonSNS) 通知,表示日誌檔已傳送至針對追蹤指定的儲存貯體。

    1. 若要將追蹤變更為 AWS Organizations 組織追蹤,您可以選擇啟用組織中所有帳戶的追蹤。如需詳細資訊,請參閱建立組織追蹤

    2. 若要變更儲存位置中指定的儲存貯體,請選擇建立新 S3 儲存貯體來建立儲存貯體。建立值區時, CloudTrail 會建立並套用所需的值區政策。如果您選擇建立新的 S3 儲存貯體,您的IAM政策需要包含s3:PutEncryptionConfiguration動作的權限,因為預設情況下會為儲存貯體啟用伺服器端加密。

      注意

      如果您選擇使用現有的 S3 儲存貯體,請在追蹤記錄儲存貯體名稱中指定一個儲存貯體,或選擇 Browse (瀏覽) 以選擇儲存貯體。值區政策必須授 CloudTrail 予寫入權限。如需手動編輯儲存貯體政策的資訊,請參閱「Amazon S3 存儲桶政策 CloudTrail」。

      為了更輕鬆地找到您的日誌,請在現有存儲桶中創建一個新文件夾(也稱為前綴)以存儲 CloudTrail 日誌。在字首中輸入字首。

    3. 對於 [記錄檔 SSE-KMS 加密],如果您想要使用 SSE-加密而非 SSE-S3 加密來KMS加密記錄檔,請選擇 [用]。預設為啟用。如果您未啟用 SSE-KMS 加密,您的日誌會使用 SSE-S3 加密進行加密。如需有關 SSE-KMS 加密的詳細資訊,請參閱搭配 AWS Key Management Service (SSE-KMS) 使用伺服器端加密。如需有關 SSE-S3 加密的詳細資訊,請參閱使用伺服器端加密搭配 Amazon S3 受管加密金鑰 (SSE-S3)。

      如果您啟用 SSE-KMS 加密,請選擇 [新增] 或 [現有] AWS KMS key。在AWS KMS 別名中,以格式指定別名 alias/MyAliasName。 如需詳細資訊,請參閱更新資源以搭配主控台使用您的KMS金鑰。 CloudTrail 還支持 AWS KMS 多區域鍵。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰

      注意

      您也可以從其他帳戶輸入金鑰。ARN如需詳細資訊,請參閱更新資源以搭配主控台使用您的KMS金鑰。金鑰原則必須允許 CloudTrail 使用金鑰來加密記錄檔,並允許您指定的使用者以未加密的形式讀取記錄檔。如需手動編輯金鑰政策的資訊,請參閱「設定 AWS KMS 金鑰原則 CloudTrail」。

    4. 針對 Log file validation (日誌檔案驗證),選擇 Enabled (啟用) 將日誌摘要交付到您的 S3 儲存貯體。您可以使用摘要檔來驗證記錄檔在 CloudTrail 傳送記錄檔之後是否未變更。如需詳細資訊,請參閱驗證 CloudTrail 記錄檔完整性

    5. 對於SNS通知傳遞,請選擇 [啟用],以便在每次將記錄傳送至儲存貯體時收到通知。 CloudTrail 在記錄檔中儲存多個事件。SNS系統會針對每個記錄檔傳送通知,而不是每個事件傳送通知。如需詳細資訊,請參閱設定 Amazon SNS 通知 CloudTrail

      如果您啟用SNS通知,請在 [建立新SNS主題] 中選擇 [新增] 建立主題,或選擇 [現有] 以使用現有主題。如果您要建立套用至所有區域的追蹤,則會將來自所有區域的記錄檔傳送SNS通知傳送至您建立的單一SNS主題。

      如果您選擇「新增」,請為您 CloudTrail 指定新主題的名稱,或者您也可以輸入名稱。如果您選擇「現有」,請從下拉式清單中選擇SNS主題。您也可以從其他區域或具有適當權限的帳戶輸入主題。ARN如需詳細資訊,請參閱Amazon SNS 主題政策 CloudTrail

      如果您建立主題,則必須訂閱該主題,以便在日誌檔案交付時收到通知。您可以從 Amazon SNS 控制台訂閱。由於通知頻率不高,我們建議您將訂閱設定為使用 Amazon SQS 佇列以程式設計方式處理通知。如需詳細資訊,請參閱 Amazon 簡單通知服務開發人員指南SNS中的 Amazon 入門。

  4. 在「CloudWatch 記錄檔」中,選擇 「編輯」以變更將記 CloudTrail 錄檔傳送至 CloudWatch 記錄檔的設定。在CloudWatch 記錄檔中選擇「啟用」以啟用傳送記錄檔。如需詳細資訊,請參閱將事件傳送至 CloudWatch 記錄檔

    1. 如果您啟用與 CloudWatch 記錄整合,請選擇 [新增] 以建立新的記錄群組,或選擇 [現有] 使用現有的記錄群組。如果選擇 [新增],請為您 CloudTrail 指定新記錄群組的名稱,或者輸入名稱。

    2. 如果選擇 Existing (現有),請從下拉式清單中選擇日誌群組。

    3. 選擇 [新增] 以建立新IAM角色,將記錄檔傳送至 CloudWatch 記錄檔的權限。選擇「現有」,從下拉式清單中選擇現有IAM角色。新角色或現有角色的政策陳述式會在您展開政策文件時顯示。如需有關此角色的詳細資訊,請參閱 使用 CloudWatch 記錄進行監視 CloudTrail 的角色原則文件

      注意

      • 設定追蹤時,您可以選擇屬於另一個帳戶的 S3 儲存貯體和SNS主題。不過,如果您想 CloudTrail 要將事件傳遞至 CloudWatch 記錄檔記錄群組,則必須選擇目前帳戶中存在的記錄群組。

      • 只有管理帳戶可以使用主控台為組織追蹤設定 CloudWatch 記錄檔群組。委派的系統管理員可以使用 AWS CLI CloudTrail CreateTrailUpdateTrailAPI作業來設定 CloudWatch 記錄檔記錄群組。

  5. Tags (標籤)中,選擇 Edit (編輯),以變更、新增或刪除追蹤上的標籤。您最多可以新增 50 個標籤金鑰組,以協助您識別、排序和控制追蹤的存取。標籤可協助您識別 CloudTrail 追蹤和包含 CloudTrail 日誌檔的 Amazon S3 儲存貯體。然後,您可以將資源群組用於資 CloudTrail 源。如需詳細資訊,請參閱 AWS Resource Groups標籤

  6. Management events (管理事件) 中,選擇 Edit (編輯) 可變更管理事件記錄設定。

    1. 對於API活動,請選擇是否要記錄「讀取」事件、「寫入事件」或「兩者」。如需詳細資訊,請參閱管理事件

    2. 選擇「排除 AWS KMS 事件」,將 AWS Key Management Service (AWS KMS) 事件從追蹤中篩選出來。預設設定是包含所有 AWS KMS 事件。

      只有在追蹤記錄中記錄管理 AWS KMS 事件時,才能使用記錄或排除事件的選項。如果您選擇不記錄管理事件,則不會記錄 AWS KMS 事件,而且您無法變更 AWS KMS 事件記錄設定。

      AWS KMS 動作,例如EncryptDecrypt、,GenerateDataKey通常會產生大量 (超過 99%) 的事件。這些動作現在會記錄為 Read (讀取) 事件。低容量的相關 AWS KMS 動作,例如DisableDelete、和 ScheduleKey (通常佔 AWS KMS 事件磁碟區的 0.5% 以下) 會記錄為「寫入」事件。

      若要排除大量事件,例如 EncryptDecryptGenerateDataKey,但仍記錄相關事件,例如 DisableDeleteScheduleKey,選擇記錄 Write (寫入) 管理事件,然後清除 Exclude AWS KMS 事件的核取方塊。

    3. 選擇排除 Amazon RDS 資料API事件,將 Amazon Relational Database Service 資料API事件從追蹤中篩選出來。預設設定是包含所有 Amazon RDS 資料API事件。如需有關 Amazon 資RDS料API事件的詳細資訊,請參閱 Amazon Aurora RDS 使用者指南 AWS CloudTrail中的使用記錄資料API呼叫

  7. 重要

    透過使用進階事件選取器執行步驟 7-11,可設定資料事件。進階事件選取器可讓您設定更多資料事件類型,並對追蹤擷取的資料事件提供精細控制。如果您使用的是基本事件選取器,請參閱 使用基本事件選取器更新資料事件設定,然後返回至此程序的步驟 12。

    Data events (資料事件) 中,選擇 Edit (編輯) 可變更資料事件記錄設定。根據預設,追蹤不會記錄資料事件。記錄資料事件需支付額外的費用。如需 CloudTrail 定價,請參閱 AWS CloudTrail 定價

    針對資料事件類型,選擇您想要記錄資料事件的資源類型。如需有關可用資料事件類型的詳細資訊,請參閱 資料事件

    注意

    若要為 Lake Formation 成建立的 AWS Glue 表格記錄資料事件,請選擇 Lake Formation

  8. 選擇記錄選取器範本。 CloudTrail 包括記錄資源類型的所有資料事件的預先定義範本。若要建立自訂記錄選取器範本,請選擇 Custom (自訂)。

    注意

    為 S3 儲存貯體選擇預先定義的範本,可為 AWS 帳戶中目前的所有儲存貯體以及您在完成追蹤建立後建立的任何儲存貯體啟用資料事件記錄。它還可以記錄您 AWS 帳戶中任何使用者或角色所執行的資料事件活動,即使該活動是在屬於另一個 AWS 帳戶的值區上執行。

    如果追蹤僅套用至一個區域,選取預先定義的記錄所有 S3 儲存貯體的範本可針對下列儲存貯體啟用記錄資料事件:與您追蹤相同之區域中的所有儲存貯體,以及您稍後在該區域中建立的任何儲存貯體。並不會記錄 AWS 帳戶中其他區域內 Amazon S3 儲存貯體的資料事件。

    如果您要為所有區域建立追蹤,選擇 Lambda 函數的預先定義範本可啟用 AWS 帳戶中目前所有函數的資料事件記錄,以及您在任何區域建立追蹤後可能在任何區域建立的任何 Lambda 函數。如果您要為單一區域建立追蹤 (透過使用完成 AWS CLI),此選項會啟用 AWS 帳戶中目前該區域中所有函數的資料事件記錄,以及在您完成建立追蹤後可能在該區域中建立的任何 Lambda 函數。並不會為其他區域中所建立之 Lambda 函數啟用記錄資料事件。

    記錄所有函數的資料事件也可讓您記錄 AWS 帳戶中任何使用者或角色所執行的資料事件活動,即使該活動是在屬於其他 AWS 帳戶的函數上執行也一樣。

  9. (選用) 在選取器名稱中,輸入用於識別選取器的名稱。選取器名稱是進階事件選擇器的描述性名稱,例如「僅為兩個 S3 儲存貯體記錄資料事件」。選取器名稱會列在進階事件選取器Name中,如果您展開檢視,則可檢JSON視此選取器名稱。

  10. Advanced event selectors (進階事件選取器) 中,為您要收集資料事件的特定資源建置表達式。如果您使用預先定義的日誌範本,則可略過此步驟。

    1. 從下列欄位選取。

      • readOnly-readOnly 可以設定為等於true或的值false。若要同時記錄 readwrite 事件,請勿新增 readOnly 選擇器。

      • eventName-eventName可以使用任何運算子。您可以使用它來包含或排除記錄到的任何資料事件 CloudTrail,例如PutBucketGetSnapshotBlock

      • resources.ARN-您可以將任何運算子搭配使用resources.ARN,但如果您使用 equals不等於,則值必須完全符合您在範本中指定為值之類型的有效資源resources.type。ARN

        下表顯示每種格式的有效ARN格式resources.type

        注意

        您無法使用resources.ARN欄位來篩選沒有的資源類型ARNs。

        resources.type 資源。 ARN
        AWS::DynamoDB::Table1 
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function 
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        		 
        arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
        AWS::AppConfig::Configuration 
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer 
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias 
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::FlowAlias 
        arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
        AWS::Bedrock::Guardrail 
        arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
        AWS::Bedrock::KnowledgeBase 
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table 
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore 
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel 
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization 
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile 
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool 
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream 
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot 
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace 
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment 
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table 
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion 
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment 
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector 
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate 
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing 
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset 
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries 
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan 
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::Kinesis::Stream 
        arn:partition:kinesis:region:account_ID:stream/stream_name
        AWS::Kinesis::StreamConsumer 
        arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
        AWS::KinesisVideo::Stream 
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::MachineLearning::MlModel 
        arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
        AWS::ManagedBlockchain::Network 
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node 
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore 
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph 
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::One::UKey 
        arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
        AWS::One::User 
        arn:partition:one:region:account_ID:user/user_ID
        AWS::PaymentCryptography::Alias 
        arn:partition:payment-cryptography:region:account_ID:alias/alias
        AWS::PaymentCryptography::Key 
        arn:partition:payment-cryptography:region:account_ID:key/key_ID
        AWS::PCAConnectorAD::Connector 
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::PCAConnectorSCEP::Connector 
        arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
        AWS::QApps:QApp 
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application 
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience 
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster 
        arn:partition:rds:region:account_ID:cluster/cluster_name
        AWS::RUM::AppMonitor 
        arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

        AWS::S3::AccessPoint3

        		 
        arn:partition:s3:region:account_ID:accesspoint/access_point_name

        AWS::S3Express::Object

        		 
        arn:partition:s3express:region:account_ID:bucket/bucket_name
        AWS::S3ObjectLambda::AccessPoint 
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object 
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint 
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent 
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup 
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance 
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace 
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service 
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint 
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic 
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue 
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARN必須採用下列其中一種格式:

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID
        AWS::SSMMessages::ControlChannel 
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::StepFunctions::StateMachine

        ARN必須採用下列其中一種格式:

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
        AWS::SWF::Domain 
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device 
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment 
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database 
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table 
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore 
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 對於已啟用串流的資料表,資料事件中的 resources 欄位會同時包含 AWS::DynamoDB::StreamAWS::DynamoDB::Table。如果您指定 AWS::DynamoDB::Table 作為 resources.type,則會根據預設同時記錄 DynamoDB 資料表和 DynamoDB 串流事件。若要排除串流事件,請在eventName欄位上新增篩選器。

        2 若要記錄特定 S3 儲存貯體中所有物件的所有資料事件,請使用StartsWith運算子,並僅包含儲存貯體ARN作為相符值。末尾斜線是有意保留,請勿排除。

        3 若要記錄 S3 存取點中所有物件的事件,建議您僅使用存取點ARN,不要包含物件路徑,並使用StartsWithNotStartsWith運算子。

      如需有關資料事件資源ARN格式的詳細資訊,請參閱《使用指南》中的動作、資源和條AWS Identity and Access Management 件索引

    2. 針對每個欄位,選擇 + 條件,視需要新增任意數目的條件,所有條件最多可指定 500 個值。例如,若要從追蹤記錄的資料事件中排除兩個 S3 儲存貯體的資料事件,您可以將欄位設定為資源。 ARN,將運算子設定為不開頭為,然後貼上 S3 儲存貯體ARN,或瀏覽您不想記錄事件的 S3 儲存貯體。

      若要新增第二個 S3 儲存貯體,請選擇 [+ 條件],然後重複上述指示,貼上來ARN進行或瀏覽不同的儲存貯體。

      注意

      追蹤上的所有選取器,您最多可以有 500 個值。這包括一個選擇器的多個值的陣列,如 eventName。如果所有選擇器都有單個值,則最多可以有 500 個條件新增至選擇器。

      如果您的帳戶中有超過 15,000 個 Lambda 函數,則無法在建立追蹤時在 CloudTrail 主控台中檢視或選取所有函數。您仍然可以使用預先定義的選取器範本記錄所有函數,即使其未全部顯示。如果你想記錄特定功能的數據事件,你可以手動添加一個函數,如果你知道它ARN。您也可以在主控台中完成追蹤的建立,然後使用 AWS CLI 和put-event-selectors命令為特定 Lambda 函數設定資料事件記錄。如需詳細資訊,請參閱管理軌跡 AWS CLI

    3. 選擇 + 欄位以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。例如,請勿將 ARN in one 選擇器指定為等於某個值,然後在另一個選擇器中指定ARN不等於相同的值。

  11. 若要新增其他要記錄資料事件的資料類型,請選擇 Add data event type (新增資料事件類型)。重複步驟 3 到此步驟,以設定資料事件類型的進階事件選取器。

  12. 如果您希望追蹤記錄見解事件,請在「 CloudTrail 見解」事件中選擇 「編輯」

    Event type (事件類型) 中,選取 Insights 事件

    見解事件中,選擇API通話率API錯誤率或兩者。您必須記錄寫入管理事件,以記錄API通話速率的見解事件。您必須記錄讀取寫入管理事件,才能記錄 Insights 事件的API錯誤率

    CloudTrail Insights 會分析異常活動的管理事件,並在偵測到異常時記錄事件。依預設,追蹤不會記錄 Insights 事件。如需 Insights 事件的詳細資訊,請參閱記錄 Insights 事件。記錄 Insights 事件需支付額外費用。如需 CloudTrail 定價,請參閱AWS CloudTrail 定價

    見解事件會傳遞到名為相同 S3 儲存貯體/CloudTrail-Insight的不同資料夾,該資料夾名稱為在追蹤詳細資料頁面的儲存位置區域中指定。 CloudTrail會為您建立新字首。例如,如果您目前的目的地 S3 儲存貯體名為 amzn-s3-demo-bucket/AWSLogs/CloudTrail/,則具有新前綴的 S3 儲存貯體名稱會被命名為 amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/

  13. 完成變更追蹤的設定時,請選擇 Update trail (更新追蹤)。

使用基本事件選取器更新資料事件設定

您可以使用進階事件選取器來設定所有資料事件類型。進階事件選取器可讓您建立精細的選取器,以僅記錄感興趣的事件。

如果您使用基本事件選取器來記錄資料事件,則只能記錄 Amazon S3 儲存貯體、 AWS Lambda 函數和 Amazon DynamoDB 表的資料事件。您無法使用基本事件選取器篩選eventName欄位。

追蹤上資料事件的基本事件選取器

使用以下程序,透過基本事件選取器執行資料事件設定。

  1. Data events (資料事件) 中,選擇 Edit (編輯) 可變更資料事件記錄設定。使用基本事件選取器,您可以為 Amazon S3 儲存貯體、 AWS Lambda 函數 D ynamoDBtables 或這些資源的組合指定記錄資料事件。進階事件選取器支援其他資料事件類型。根據預設,追蹤不會記錄資料事件。記錄資料事件需支付額外的費用。如需詳細資訊,請參閱資料事件。如需 CloudTrail 定價,請參閱 AWS CloudTrail 定價

    對於 Amazon S3 儲存貯體:

    1. 對於 Data source (資料來源),請選擇 S3

    2. 您可以選取記錄所有目前和未來的 S3 儲存貯體,也可以指定個別儲存貯體或函數。依預設,會記錄所有目前和未來 S3 儲存貯體的資料事件。

      注意

      保留預設的 [所有目前和 future 的 S3 儲存貯體] 選項,可為 AWS 帳戶中目前的所有儲存貯體以及您在完成追蹤建立後建立的任何儲存貯體啟用資料事件記錄。它還可以記錄您 AWS 帳戶中任何使用者或角色所執行的資料事件活動,即使該活動是在屬於另一個 AWS 帳戶的值區上執行。

      如果追蹤僅套用至一個區域,則選取 All current and future S3 buckets (所有目前和未來 S3 儲存貯體) 可針對下列儲存貯體啟用記錄資料事件:與您追蹤相同之區域中的所有儲存貯體,以及您稍後在該區域中建立的任何儲存貯體。它不會記錄帳戶中其他區域中 Amazon S3 儲存貯體的 AWS 資料事件。

    3. 如果您保留預設值,所有目前和未來的 S3 儲存貯體,選擇記錄事件、事件,或兩者。

    4. 若要選擇個別儲存貯體,請清空所有目前和未來的 S3 儲存貯體核取方塊。在個別儲存貯體選擇中,瀏覽要記錄資料事件的儲存貯體。若要尋找特定儲存貯體,請輸入所需儲存貯體的儲存貯體字首。您可以在此視窗中選取多個儲存貯體。選擇新增儲存貯體以記錄更多儲存貯體的資料事件。選擇記錄 Read (讀取) 事件 (例如 GetObject)、Write (寫) 事件 (例如 PutObject) 還是兩者。

      此設定的優先順序高於您針對個別儲存貯體所設定的個別設定。例如,如果您指定記錄所有 S3 儲存貯體之 Read (讀取) 事件,然後選擇新增要記錄資料事件的特定儲存貯體,則您新增的儲存貯體會直接選取 Read (讀取)。您無法清除選取項目。您只能設定 Write (寫入) 的選項。

      若要從記錄中移除儲存貯體,請選擇 X

  2. 若要新增其他要記錄資料事件的資料類型,請選擇 Add data event type (新增資料事件類型)。

  3. 針對 Lambda 函數:

    1. 針對資料事件來源中,選擇 Lambda

    2. Lambda 函數中,選擇所有區域以記錄所有 Lambda 函數,或選擇輸入函數記錄特定函數上的資料事件。ARN

      若要記錄 AWS 帳戶中所有 Lambda 函數的資料事件,請選取記錄所有目前和 future 的函數。此設定的優先順序高於您針對個別函數所設定的個別設定。皆會記錄所有函數,縱使未顯示全部的函數。

      注意

      如果您要為所有區域建立追蹤,此選項會啟用 AWS 帳戶中目前所有函數的資料事件記錄,以及在完成追蹤建立後可能在任何區域建立的任何 Lambda 函數。如果您要為單一區域建立追蹤 (透過使用完成 AWS CLI),此選項會啟用 AWS 帳戶中目前該區域中所有函數的資料事件記錄,以及在您完成建立追蹤後可能在該區域中建立的任何 Lambda 函數。並不會為其他區域中所建立之 Lambda 函數啟用記錄資料事件。

      記錄所有函數的資料事件也可讓您記錄 AWS 帳戶中任何使用者或角色所執行的資料事件活動,即使該活動是在屬於其他 AWS 帳戶的函數上執行也一樣。

    3. 如果您選擇輸入函數為 ARN,請輸入 ARN Lambda 函數的。

      注意

      如果您的帳戶中有超過 15,000 個 Lambda 函數,則無法在建立追蹤時在 CloudTrail 主控台中檢視或選取所有函數。您仍然可以選取記錄所有函數的選項,縱使其未全部顯示。如果你想記錄特定功能的數據事件,你可以手動添加一個函數,如果你知道它ARN。您也可以在主控台中完成建立追蹤,然後使用 AWS CLI 和 put-event-selectors 命令為特定 Lambda 函數設定記錄資料事件。如需詳細資訊,請參閱 管理軌跡 AWS CLI

  4. 若要新增其他要記錄資料事件的資料類型,請選擇 Add data event type (新增資料事件類型)。

  5. 針對 DynamoDB 資料表:

    1. 針對資料事件來源中,選擇 DynamoDB

    2. DynamoDB 表格選取項中,選瀏覽以選取表格,或貼入您有權存取ARN的 DynamoDB 表格中。DynamoDB 表格的格ARN式如下:

      arn:partition:dynamodb:region:account_ID:table/table_name

      若要新增其他表格,請選擇「新增列」(Add row),然後瀏覽尋找表格或貼上您有權存取ARN的表格。

  6. 若要為您的追蹤設定 Insights 事件和其他設定,請返回本主題中的上述程序 使用 CloudTrail 主控台更新追蹤