使用 create-trail 命令创建跟踪

您可以运行 create-trail 命令来创建专门配置为满足您的商业需求的跟踪记录。使用时 AWS CLI，请记住您的命令在为您的个人资料配置的 AWS 区域中运行。如果您想要在不同的区域中运行命令，可以为配置文件更改默认区域，或者与命令一起使用 --region 参数。

创建多区域跟踪

跟踪可以应用于您中启用的所有 AWS 区域 内容 AWS 账户，也可以应用于单个区域。适用于您启用的所有内容 AWS 区域 的跟踪 AWS 账户 称为多区域跟踪。作为最佳实践，我们建议您创建多区域跟踪，因为它可以捕获所有已启用区域的活动。

要创建多区域跟踪，请使用--is-multi-region-trail选项。默认情况下，create-trail 命令创建的跟踪仅记录在其中创建该跟踪的 AWS 区域中的事件。为确保记录全球服务事件并捕获 AWS 账户中的所有管理事件活动，您应创建记录所有 AWS 区域事件的跟踪。

注意

创建跟踪时，如果您指定的 Amazon S3 存储桶不是用创建的 CloudTrail，则需要附加相应的策略。请参阅 适用于 Amazon S3 存储桶政策 CloudTrail。

以下示例创建了一个多区域跟踪，其名称为my-trail和一个键名为Group、值为的标签，Marketing该跟踪将来自您账户中所有已启用区域的日志传送到名为amzn-s3-demo-bucket的现有存储桶。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

要确认您的跟踪是多区域跟踪，请验证输出中的IsMultiRegionTrail元素是否显示true。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

注意

使用 start-logging 命令可以为您的跟踪启动日志记录操作。

为跟踪启动日志记录操作

在 create-trail 命令完成后，运行 start-logging 命令可以为跟踪启动日志记录。

注意

使用 CloudTrail 控制台创建跟踪时，日志记录会自动开启。

以下示例为跟踪启动日志记录。

aws cloudtrail start-logging --name my-trail

虽然此命令不返回输出，但您可以使用 get-trail-status 命令验证日志记录是否已启动。

aws cloudtrail get-trail-status --name my-trail

为了确认正在记录跟踪，输出中的 IsLogging 元素将显示 true。

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

创建单区域跟踪

以下命令创建单区域跟踪。指定的 Amazon S3 存储桶必须已经存在并且已应用相应的 CloudTrail 权限。有关更多信息，请参阅 适用于 Amazon S3 存储桶政策 CloudTrail。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket

下面是示例输出。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

创建启用了日志文件验证的多区域跟踪

要在使用 create-trail 时启用日志文件验证功能，请使用 --enable-log-file-validation 选项。

有关日志文件验证的信息，请参阅验证 CloudTrail 日志文件完整性。

以下示例创建了将日志传送到指定存储桶的多区域跟踪。此命令使用 --enable-log-file-validation 选项。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation

要确认系统已启用日志文件验证功能，请验证输出中的 LogFileValidationEnabled 元素是否为 true。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}