接收来自多个区域的 CloudTrail 日志文件

您可以配置 CloudTrail 为将日志文件从多个区域传输到单个账户的单个 S3 存储桶。例如，您在美国西部（俄勒冈）区域有一个配置为将日志文件传送到 S3 存储桶的跟踪，还有一个 CloudWatch 日志日志组。当您将现有的单区域跟踪更改为记录所有区域时，会 CloudTrail 记录您账户中单个 AWS 分区中所有区域的事件。 CloudTrail 将日志文件传送到相同的 S3 存储桶和 CloudWatch 日志组。只要 CloudTrail 有权写入 S3 存储桶，多区域跟踪的存储桶就不必位于跟踪的主区域中。

要记录您账户中所有 AWS 分区中所有区域的事件，请在每个分区中创建多区域跟踪。

在控制台中，默认情况下您创建的跟踪可记录您正在使用的 AWS 分区中所有 AWS 区域 的事件。这是推荐的最佳实践。要记录单区域中的事件（不推荐），请使用 AWS CLI。要配置现有单区域跟踪以登录所有区域，必须使用 AWS CLI。

要更改现有跟踪以使其应用于所有区域，请向 update-trail 添加 --is-multi-region-trail 选项。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

要确认跟踪现已应用到所有区域，请验证输出中的 IsMultiRegionTrail 元素是否为 true。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

注意

当新区域在aws分区中启动时， CloudTrail 会自动在新区域中为您创建一条与原始跟踪设置相同的跟踪。

有关更多信息，请参阅以下资源：

• 处理 CloudTrail 轨迹

• CloudTrail 常见问题