本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立追蹤以記錄管理事件
<a name="tutorial-trail"></a>

對於您的第一個線索，我們建議您建立線索，以記錄所有[管理事件](cloudtrail-concepts.md#cloudtrail-concepts-management-events)，且不記錄任何[資料事件](cloudtrail-concepts.md#cloudtrail-concepts-data-events)或 Insights 事件。管理事件的範例包括安全事件 (例如 IAM `CreateUser` 和 `AttachRolePolicy` 事件)、資源事件 (例如 `RunInstances` 和 `CreateBucket`) 等等。您將建立用於儲存追蹤日誌檔案的 Amazon S3 儲存貯體，以做為在 CloudTrail 主控台中建立追蹤的一部分。

**注意**  
AWS Control Tower 當您設定登陸區域時， 會設定新的 CloudTrail 追蹤記錄管理事件。這是組織層級追蹤，這表示它會記錄管理帳戶和組織中所有成員帳戶的所有管理事件。如需詳細資訊，請參閱*AWS CloudTrail 《 使用者指南*》中的[關於登入 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html)。  
此教學課程將假設您正在建立第一個追蹤。根據您 AWS 帳戶中的線索數量，以及這些線索的設定方式，下列程序可能會產生費用，也可能不會產生費用。CloudTrail 會將日誌檔案儲存在 Amazon S3 儲存貯體中，因此會產生成本。如需定價的詳細資訊，請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)。

**建立追蹤記錄**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。

1. 在**區域**選擇器中，選擇您要建立追蹤 AWS 的區域。這是該追蹤的主要區域。
**注意**  
主要區域是唯一您可以在建立追蹤之後更新追蹤 AWS 區域 的地方。

1. 在 CloudTrail 服務首頁上，**Trails** (追蹤) 頁面，或 **Dashboard **(儀表板) 頁面的 **Trails** (追蹤) 區段上，選擇**Create trail** (建立追蹤)。

1. 在**線索名稱**中，為您的線索命名，例如 *management-events*。根據最佳實務，請使用可快速識別追蹤目的的名稱。在此案例中，您正在建立記錄管理事件的追蹤。

1. 保留**針對組織中的所有帳戶啟用**的預設設定。除非您已在 [Organizations] 中設定帳戶，否則此選項將無法變更。

1. 針對 **Storage location** (儲存位置)，選擇 **Create a new S3 bucket** (建立新 S3 儲存貯體)，以建立儲存貯體。當您建立儲存貯體時，CloudTrail 會建立和套用所需的儲存貯體政策。如果您選擇建立新的 S3 儲存貯體，您的 IAM 政策需要包含 `s3:PutEncryptionConfiguration`動作的許可，因為預設會為儲存貯體啟用伺服器端加密。為您的儲存貯體命名，以方便識別。

   若要更容易地找到您的記錄，請在現有的儲存貯體中建立新的資料夾 (也稱為*prefix*）來存儲您的 CloudTrail 日誌。
**注意**  
您 Amazon S3 儲存貯體的名稱在全域中都必須是唯一的。如需詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》**中的[儲存貯體命名規則](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。

1. 清除核取方塊以停用**記錄檔 SSE-KMS 加密**。根據預設，您的日誌檔案使用 SSE-S3 加密進行加密。如需此設定的詳細資訊，請參閱[搭配使用伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。

1. 保留**其他設定**的預設設定。

1. 保留 **CloudWatch Logs** 的預設設定。目前，請勿將日誌傳送到 Amazon CloudWatch Logs。

1. （選用） 在**標籤**中，您最多可以新增 50 個標籤金鑰對，以協助您識別、排序和控制對線索的存取。標籤可協助您辨識 CloudTrail 追蹤和其他資源，像是包含 CloudTrail 日誌檔案的 Amazon S3 儲存貯體。例如，您可以附加名稱為 **Compliance**，值為 **Auditing** 的標籤。
**注意**  
雖然當透過 CloudTrail 主控台建立追蹤時，您可以將標籤加入其中，而且您可以建立 Amazon S3 儲存貯體來儲存 CloudTrail 主控台的日誌檔案，不過，您無法透過 CloudTrail 主控台將標籤加入 Amazon S3 儲存貯體。如需檢視和變更 Amazon S3 儲存貯體屬性 (包括將標籤新增至儲存貯體) 的詳細資訊，請參閱《[Amazon S3 使用者指南**](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)》。

   完成時，選擇 **Next** (下一步)。

1. 在 **Choose log events** (選擇記錄事件) 頁面上，選取要記錄的事件類型。對於此追蹤，請保留預設值**管理事件**。在 **Management events** 管理事件區域中，選擇同時記錄**閱讀**和**寫入**事件 (如果尚未選取)。將**排除 AWS KMS 事件**和**排除 Amazon RDS Data API 事件**的核取方塊保留空白，以記錄所有管理事件。  
![\[建立追蹤頁面，事件類型設定\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)

1. 保留**資料事件**、 **Insights 事件**和**網路活動事件**的預設設定。此線索不會記錄任何資料事件、 Insights 事件或網路活動事件。選擇**下一步**。

1. 在 **Review and create** (檢閱和建立) 頁面上，檢閱您為追蹤選擇的設定。針對某個區段選擇 **Edit **(編輯)，以返回並進行變更。當您準備好建立追蹤時，請選擇 **Create trail** (建立追蹤)。

1. 此 **Trails** (追蹤) 頁面會在資料表中顯示您的新追蹤。請注意，追蹤預設設定為**多區域追蹤**，並且預設會開啟追蹤的記錄功能。  
![\[建立追蹤頁面，事件類型設定\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)

如需追蹤的詳細資訊，請參閱 [使用 CloudTrail 追蹤](cloudtrail-trails.md)。

# 檢視您的日誌檔案
<a name="tutorial-trail-logs"></a>

在您建立第一個追蹤的平均約 5 分鐘內，CloudTrail 即會為您的追蹤提供第一組日誌檔案到 Amazon S3 儲存貯體。您可以查看這些檔案，並了解其包含的資訊。

**注意**  
CloudTrail 通常會在 API 呼叫的平均約 5 分鐘內傳遞日誌。此時間無法保證。如需詳細資訊，請參閱 [AWS CloudTrail 服務水準協議](https://aws.amazon.com/cloudtrail/sla)。  
如果您的追蹤設定錯誤 (例如，S3 儲存貯體無法連線)，CloudTrail 會在 30 天內嘗試重新傳遞日誌檔案到您的 S3 儲存貯體，且您需要為這些嘗試傳遞事件支付標準 CloudTrail 費用。若要避免支付追蹤設定錯誤費用，您需要刪除追蹤。

**若要檢視您的日誌檔案**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。

1. 在導覽窗格中，選擇 **Trails** (追蹤記錄)。在**線索**頁面上，尋找您剛建立的線索名稱 （在範例中為 *management-events*)。

1. 在線索的 列中，選擇 S3 儲存貯體的值。

1. Amazon S3 主控台會開啟，並顯示儲存貯體的兩個資料夾： `CloudTrail-Digest`和 `CloudTrail`。選擇 **CloudTrail** 資料夾以檢視日誌檔案。

1. 如果您建立了多區域線索，則每個線索都有一個資料夾 AWS 區域。選擇 AWS 區域 您要檢閱日誌檔案之 的資料夾。例如，如果您想要檢閱美國東部 (俄亥俄) 區域的日誌檔案，請選擇 **us-east-2**。  
![\[顯示 AWS 區域中的日誌檔案結構，適用於追蹤的 Amazon S3 儲存貯體\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)

1. 您可依在該區域中想檢閱的日誌來瀏覽年、月和日的儲存貯體資料夾結構。在該日中，有多個檔案。檔案的名稱以您的 AWS 帳戶 ID 開頭，並以副檔名 結尾`.gz`。例如，如果您的帳戶 ID 為 *123456789012*，您會看到具有類似名稱的檔案：*123456789012*\$1CloudTrail\$1*us-east-2*\$1*20240512T0000Z\$1EXAMPLE*.json.gz。

   若要檢視這些檔案，您可以將它們下載、解壓縮，然後在純文字編輯器或 JSON 檔案檢視器進行檢視。有些瀏覽器也支援直接檢視 .gz 和 JSON 檔案。我們建議您使用 JSON 檢視器，因為它可讓您更輕鬆地剖析 CloudTrail 日誌檔案中的資訊。