本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用主控台建立組織追蹤
若要從 CloudTrail 主控台建立組織追蹤,您必須以具有足夠權限之管理或委派管理員帳戶中的使用者或角色身分登入主控台。如果您未使用管理或委派的系統管理員帳戶登入,當您從 CloudTrail主控台建立或編輯追蹤時,將不會看到將追蹤套用至組織的選項。
若要建立組織軌跡 AWS Management Console
登入 AWS Management Console 然後在開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/
。 您必須使用具有足夠權限的管理員帳戶或委派管理員帳戶中的IAM身分識別登入,才能建立組織追蹤。
-
選擇 Trails (追蹤),然後選擇 Create trail (建立追蹤)。
-
在 Create Trail (建立追蹤) 頁面的 Trail name (追蹤名稱) 中,輸入追蹤的名稱。如需詳細資訊,請參閱 CloudTrail 資源、S3 儲存貯體和KMS金鑰的命名需求。
-
選擇針對組織中的所有帳戶啟用。如果您使用管理或委派的管理員帳戶中的使用者或角色登入到主控台,這時您將只能看到這個選項。若要成功建立組織追蹤,請確保該使用者或角色具備足夠許可。
-
針對 Storage location (儲存位置),選擇 Create a new S3 bucket (建立新 S3 儲存貯體),以建立儲存貯體。建立值區時, CloudTrail 會建立並套用所需的值區政策。
注意
如果您選擇使用現有的 S3 儲存貯體,請在追蹤記錄儲存貯體名稱中指定一個儲存貯體,或選擇 Browse (瀏覽) 以選擇儲存貯體。您可以選擇屬於任何帳戶的值區,但值區政策必須授予寫入 CloudTrail權限。如需手動編輯儲存貯體政策的資訊,請參閱「Amazon S3 存儲桶政策 CloudTrail」。
為了更輕鬆地找到您的日誌,請在現有存儲桶中創建一個新文件夾(也稱為前綴)以存儲 CloudTrail 日誌。在字首中輸入字首。
-
對於 [記錄檔 SSE-KMS 加密],如果您想要使用 SSE-加密而非 SSE-S3 加密來KMS加密記錄檔,請選擇 [啟用]。預設為啟用。如果您未啟用 SSE-KMS 加密,您的日誌會使用 SSE-S3 加密進行加密。如需有關 SSE-KMS 加密的詳細資訊,請參閱使用伺服器端加密 AWS Key Management Service (SSE-KMS)。如需有關 SSE-S3 加密的詳細資訊,請參閱使用伺服器端加密搭配 Amazon S3 受管加密金鑰 (SSE-S3)。
如果您啟用 SSE-KMS 加密,請選擇 [新增] 或 [現有] AWS KMS key。 在 AWS KMS 別名,以格式指定別名
alias/
MyAliasName
。 如需詳細資訊,請參閱更新資源以搭配主控台使用您的KMS金鑰。注意
您也可以從其他帳戶輸入金鑰。ARN如需詳細資訊,請參閱更新資源以搭配主控台使用您的KMS金鑰。金鑰原則必須允許 CloudTrail 使用金鑰來加密記錄檔,並允許您指定的使用者以未加密的形式讀取記錄檔。如需手動編輯金鑰政策的資訊,請參閱「設定 AWS KMS 金鑰原則 CloudTrail」。
-
在其他設定下,設定下列項目。
-
針對 Log file validation (日誌檔案驗證),選擇 Enabled (啟用) 將日誌摘要交付到您的 S3 儲存貯體。您可以使用摘要檔來驗證記錄檔在 CloudTrail 傳送記錄檔之後是否未變更。如需詳細資訊,請參閱驗證 CloudTrail 記錄檔完整性。
-
對於SNS通知傳遞,請選擇 [啟用],以便在每次將記錄傳送至值區時收到通知。 CloudTrail 將多個事件儲存在記錄檔中。SNS系統會針對每個記錄檔傳送通知,而不是每個事件傳送通知。如需詳細資訊,請參閱設定 Amazon SNS 通知 CloudTrail。
如果您啟用SNS通知,請在 [建立新SNS主題] 中選擇 [新增] 建立主題,或選擇 [現有] 以使用現有主題。如果您要建立套用至所有區域的追蹤,則會將來自所有區域的記錄檔傳送SNS通知傳送至您建立的單一SNS主題。
如果您選擇「新增」,請為您 CloudTrail 指定新主題的名稱,或者您也可以輸入名稱。如果您選擇「現有」,請從下拉式清單中選擇SNS主題。您也可以從其他區域或具有適當權限的帳戶輸入主題。ARN如需詳細資訊,請參閱Amazon SNS 主題政策 CloudTrail。
如果您建立主題,則必須訂閱該主題,以便在日誌檔案交付時收到通知。您可以從 Amazon SNS 控制台訂閱。由於通知頻率不高,我們建議您將訂閱設定為使用 Amazon SQS 佇列以程式設計方式處理通知。如需詳細資訊,請參閱 Amazon 簡單通知服務開發人員指南SNS中的 Amazon 入門。
-
-
選擇性地選擇「記錄檔中已啟用」,設定 CloudTrail 將 CloudWatch 記錄檔傳送至CloudWatch 記錄檔。如需詳細資訊,請參閱將事件傳送至 CloudWatch 記錄檔。
注意
只有管理帳戶可以使用主控台為組織追蹤設定 CloudWatch 記錄檔群組。委派的系統管理員可以使用 CloudWatch AWS CLI 或 CloudTrail
CreateTrail
或UpdateTrail
API操作。-
如果您啟用與 CloudWatch 記錄整合,請選擇 [新增] 以建立新的記錄群組,或選擇 [現有] 使用現有的記錄群組。如果選擇 [新增],請為您 CloudTrail 指定新記錄群組的名稱,或者輸入名稱。
-
如果選擇 Existing (現有),請從下拉式清單中選擇日誌群組。
-
選擇 [新增] 以建立新IAM角色,將記錄檔傳送至 CloudWatch 記錄檔的權限。選擇「現有」,從下拉式清單中選擇現有IAM角色。新角色或現有角色的政策陳述式會在您展開政策文件時顯示。如需有關此角色的詳細資訊,請參閱 使用 CloudWatch 記錄進行監視 CloudTrail 的角色原則文件。
注意
設定追蹤時,您可以選擇屬於另一個帳戶的 S3 儲存貯體和 Amazon SNS 主題。不過,如果您想 CloudTrail 要將事件傳遞至 CloudWatch 記錄檔記錄群組,則必須選擇目前帳戶中存在的記錄群組。
-
-
對於「標籤」,您最多可以新增 50 個標籤金鑰組,以協助您識別、排序和控制追蹤的存取。標籤可協助您識別 CloudTrail 追蹤和包含 CloudTrail 日誌檔的 Amazon S3 儲存貯體。然後,您可以將資源群組用於資 CloudTrail 源。如需詳細資訊,請參閱 AWS Resource Groups 與 標籤。
-
在選擇日誌事件頁面上,選擇您要記錄的事件類型。對於 Management events (管理事件),請執行下列動作。
-
對於API活動,請選擇是否要記錄「讀取」事件、「寫入」事件或兩者。如需詳細資訊,請參閱管理事件。
-
選擇排除 AWS KMS 要篩選的事件 AWS Key Management Service (AWS KMS) 事件出了你的踪跡。預設設定是包含所有 AWS KMS 事件。
記錄或排除的選項 AWS KMS 只有在追蹤記錄中記錄管理事件時,才能使用事件。如果您選擇不記錄管理事件, AWS KMS 未記錄事件,您無法變更 AWS KMS 事件記錄設定。
AWS KMS 動作,例如
Encrypt
Decrypt
、,GenerateDataKey
通常會產生大量 (超過 99%) 的事件。這些動作現在會記錄為 Read (讀取) 事件。低容量,相關 AWS KMS 諸如Disable
Delete
、和ScheduleKey
(通常佔低於 0.5% 的動作) AWS KMS 事件磁碟區) 會記錄為寫入事件。若要排除、和等大量事件
Encrypt
Decrypt
GenerateDataKey
,但仍記錄相關事件 (例如Disable
、Delete
和ScheduleKey
),請選擇記錄寫入管理事件,然後清除 [排除] 的核取方塊 AWS KMS 事件。 -
選擇排除 Amazon RDS 資料API事件,將 Amazon Relational Database Service 資料API事件從追蹤中篩選出來。預設設定是包含所有 Amazon RDS 資料API事件。如需 Amazon 資RDS料API事件的詳細資訊,請參閱使用記錄資料API呼叫 AWS CloudTrail在 Amazon Aurora RDS 用戶指南中。
-
-
若要記錄資料事件,請選擇資料事件。記錄資料事件需支付額外的費用。如需詳細資訊,請參閱 AWS CloudTrail 定價
。 -
重要
依預設,透過使用進階事件選取器執行步驟 12-16,可設定資料事件。進階事件選取器可讓您設定更多資料事件類型,並對追蹤擷取的資料事件提供精細控制。如果您選擇使用基本事件選取器,請完成 使用基本事件選取器執行資料事件設定 中的步驟,然後返回至此程序的步驟 17。
針對資料事件類型,選擇您想要記錄資料事件的資源類型。如需有關可用資料事件類型的詳細資訊,請參閱 資料事件。
注意
若要記錄的資料事件 AWS Glue 由 Lake Formation 創建的表,選擇 Lake Formation。
-
選擇記錄選取器範本。 CloudTrail 包括記錄資源類型的所有資料事件的預先定義範本。若要建立自訂記錄選取器範本,請選擇 Custom (自訂)。
注意
為 S3 儲存貯體選擇預先定義的範本,可為目前在您的儲存貯體中的所有儲存貯體 AWS 帳戶以及您在完成建立追蹤後所建立的任何值區。它還可以記錄由您的任何IAM身份執行的數據事件活動 AWS 帳戶,即使該活動是在屬於另一個值區上執行 AWS 帳戶。
如果追蹤僅套用至一個區域,選取預先定義的記錄所有 S3 儲存貯體的範本可針對下列儲存貯體啟用記錄資料事件:與您追蹤相同之區域中的所有儲存貯體,以及您稍後在該區域中建立的任何儲存貯體。它不會記錄 Amazon S3 儲存貯體在您的其他區域的資料事件 AWS 帳戶。
如果您要為所有區域建立追蹤,請為 Lambda 函數選擇預先定義的範本,即可為您目前的所有函數啟用資料事件記錄 AWS 帳戶,以及您在任何區域建立完追蹤後可能建立的任何 Lambda 函數。如果您要為單一區域建立軌跡 (使用 AWS CLI),此選項會針對目前在您的區域中的所有功能啟用資料事件記錄 AWS 帳戶,以及您在完成追蹤建立後可能在該區域中建立的任何 Lambda 函數。並不會為其他區域中所建立之 Lambda 函數啟用記錄資料事件。
記錄所有功能的數據事件還可以記錄由您的任何IAM身份執行的數據事件活動 AWS 帳戶,即使該活動是在屬於另一個函數上執行的 AWS 帳戶。
-
(選用) 在選取器名稱中,輸入用於識別選取器的名稱。選取器名稱是進階事件選擇器的描述性名稱,例如「僅為兩個 S3 儲存貯體記錄資料事件」。選取器名稱會列
Name
在進階事件選取器中,如果您展開檢視,則可檢JSON視。 -
在進階事件選取器,請為您想要記錄資料事件的特定資源建立表達式。如果您使用預先定義的日誌範本,則可略過此步驟。
-
從下列欄位選取。
-
readOnly
-readOnly
可以設定為等於true
或的值false
。唯讀資料事件是不會變更資源狀態的事件,例如Get*
或Describe*
事件. 寫入事件新增、變更或刪除資源、屬性或成品,例如Put*
、Delete*
或Write*
事件。若要同時記錄read
和write
事件,請勿新增readOnly
選擇器。 -
eventName
-eventName
可以使用任何運算子。您可以使用它來包含或排除記錄到的任何資料事件 CloudTrailPutBucket
,例如GetItem
、或GetSnapshotBlock
。 -
resources.ARN
-您可以將任何運算子搭配使用resources.ARN
,但如果您使用 equals 或不等於,則值必須完全符合您在範本中指定為值之類型的有效資源resources.type
。ARN下表顯示每種格式的有效ARN格式
resources.type
。注意
您無法使用
resources.ARN
欄位來篩選沒有的資源類型ARNs。resources.type 資源。 ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::amzn-s3-demo-bucket
/ arn:partition
:s3:::amzn-s3-demo-bucket
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::FlowAlias
arn:
partition
:bedrock:region
:account_ID
:flow/flow_ID
/alias/alias_ID
AWS::Bedrock::Guardrail
arn:
partition
:bedrock:region
:account_ID
:guardrail/guardrail_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream
arn:
partition
:kinesis:region
:account_ID
:stream/stream_name
AWS::Kinesis::StreamConsumer
arn:
partition
:kinesis:region
:account_ID
:stream_type
/stream_name
/consumer/consumer_name
:consumer_creation_timestamp
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::MachineLearning::MlModel
arn:
partition
:machinelearning:region
:account_ID
:mlmodel/model_ID
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::One::UKey
arn:
partition
:one:region
:account_ID
:user/user_ID
/u-key/u-key_ID
AWS::One::User
arn:
partition
:one:region
:account_ID
:user/user_ID
AWS::PaymentCryptography::Alias
arn:
partition
:payment-cryptography:region
:account_ID
:alias/alias
AWS::PaymentCryptography::Key
arn:
partition
:payment-cryptography:region
:account_ID
:key/key_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::PCAConnectorSCEP::Connector
arn:
partition
:pca-connector-scep:region
:account_ID
:connector/connector_ID
AWS::QApps:QApp
arn:
partition
:qapps:region
:account_ID
:application/application_UUID
/qapp/qapp_UUID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::RUM::AppMonitor
arn:
partition
:rum:region
:account_ID
:appmonitor/app_monitor_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3Express::Object
arn:
partition
:s3express:region
:account_ID
:bucket/bucket_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
ARN必須採用下列其中一種格式:
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine
ARN必須採用下列其中一種格式:
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
/label_name
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 對於已啟用串流的資料表,資料事件中的
resources
欄位會同時包含AWS::DynamoDB::Stream
和AWS::DynamoDB::Table
。如果您指定AWS::DynamoDB::Table
作為resources.type
,則會根據預設同時記錄 DynamoDB 資料表和 DynamoDB 串流事件。若要排除串流事件,請在eventName
欄位上新增篩選器。2 若要記錄特定 S3 儲存貯體中所有物件的所有資料事件,請使用
StartsWith
運算子,並僅包含儲存貯體ARN作為相符值。末尾斜線是有意保留,請勿排除。3 若要記錄 S3 存取點中所有物件的事件,建議您僅使用存取點ARN,不要包含物件路徑,並使用
StartsWith
或NotStartsWith
運算子。 -
如需有關資料事件資源ARN格式的詳細資訊,請參閱中的動作、資源和條件索引鍵。AWS Identity and Access Management 使用者指南。
-
-
針對每個欄位,選擇 + 條件,視需要新增任意數目的條件,所有條件最多可指定 500 個值。例如,若要從事件資料存放區記錄的資料事件中排除兩個 S3 儲存貯體的資料事件,您可以將欄位設定為資源。 ARN,將運算子設定為不開頭為,然後貼上 S3 儲存貯體ARN,或瀏覽您不想記錄事件的 S3 儲存貯體。
若要新增第二個 S3 儲存貯體,請選擇 [+ 條件],然後重複上述指示,貼上來ARN進行或瀏覽不同的儲存貯體。
如需有關如何 CloudTrail 評估多個條件的資訊,請參閱如何 CloudTrail 評估欄位的多個條件。
注意
對於事件資料存放區上的所有選取器,您最多可以有 500 個值。這包括一個選擇器的多個值的陣列,如
eventName
。如果所有選擇器都有單個值,則最多可以有 500 個條件新增至選擇器。 -
選擇 + 欄位以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。例如,請勿將 ARN in one 選擇器指定為等於某個值,然後在另一個選擇器中指定ARN不等於相同的值。
-
-
若要新增其他要記錄資料事件的資料類型,請選擇 Add data event type (新增資料事件類型)。重複步驟 12 到此步驟,以設定資料事件類型的進階事件選取器。
-
如果您希望追蹤記錄見解事件,請選擇「 CloudTrail深入解析」事件。
在 Event type (事件類型) 中,選取 Insights 事件。在見解事件中,選擇API通話率、API錯誤率或兩者。您必須記錄寫入管理事件,以記錄API通話速率的見解事件。您必須記錄讀取或寫入管理事件,才能記錄 Insights 事件的API錯誤率。
CloudTrail Insights 會分析異常活動的管理事件,並在偵測到異常時記錄事件。依預設,追蹤不會記錄 Insights 事件。如需 Insights 事件的詳細資訊,請參閱記錄 Insights 事件。記錄 Insights 事件需支付額外費用。如需 CloudTrail 定價,請參閱 AWS CloudTrail 定價
。 見解事件會傳遞到名為相同 S3 儲存貯體
/CloudTrail-Insight
的不同資料夾,該資料夾名稱為在追蹤詳細資料頁面的儲存位置區域中指定。 CloudTrail會為您建立新字首。例如,如果您目前的目的地 S3 儲存貯體名為amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/
,則具有新前綴的 S3 儲存貯體名稱會被命名為amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/
。 -
當您完成選擇要記錄的事件類型時,請選擇 Next (下一頁)。
-
在 Review and create (檢閱和建立) 頁面上,檢閱您的選擇。選擇區段中的 Edit (編輯),以變更該區段中顯示的追蹤設定。當您準備好建立追蹤時,請選擇 Create trail (建立追蹤)。
-
新的追蹤會出現在 Trails (追蹤) 頁面上。組織追蹤可能需要多達 24 小時的時間,才能完成在所有成員帳戶中於所有區域中的建立作業。Trails (追蹤) 頁面會顯示您帳戶中所有區域內的追蹤。在大約 5 分鐘內, CloudTrail 發佈顯示 AWS API在您的組織中撥打的電話。您可以在所指定之 Amazon S3 儲存貯體中看到日誌檔案。
注意
您無法重新命名已建立的追蹤。但是您可以改為刪除之,並建立新的追蹤。
後續步驟
在您建立追蹤之後,即可返回追蹤以進行變更:
-
透過編輯來變更追蹤的組態。如需詳細資訊,請參閱使用 CloudTrail 主控台更新追蹤。
-
如必要,設定 Amazon S3 儲存貯體,以允許成員帳戶中的特定使用者讀取組織的日誌檔案。如需詳細資訊,請參閱在 AWS 帳戶之間共用 CloudTrail 記錄檔。
-
設定 CloudTrail 為將記錄檔傳送至 CloudWatch 記錄檔。如需詳細資訊,請參閱將事件傳送至 CloudWatch 記錄檔和中的 [ CloudWatch 記錄] 項目準備建立組織追蹤。
注意
只有管理帳戶可以為組織追蹤設定 CloudWatch 記錄檔記錄群組。
-
建立資料表並使用它在 Amazon Athena 中執行查詢,以分析您的 AWS 服務活動。如需詳細資訊,請參閱 Amazon Athena 使用者指南中的 CloudTrail 主控台中的為 CloudTrail 日誌建立表格。
-
將自訂標籤 (鍵/值對) 新增至追蹤。
-
若要建立另一個組織追蹤,請返回 Trails (追蹤) 頁面,然後選擇 Create trail (建立追蹤)。
注意
設定追蹤時,您可以選擇屬於另一個帳戶的 Amazon S3 儲存貯體和SNS主題。不過,如果您想 CloudTrail 要將事件傳遞至 CloudWatch 記錄檔記錄群組,則必須選擇目前帳戶中存在的記錄群組。