本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理軌跡 AWS CLI
AWS CLI 包括其他幾個可協助您管理路徑的指令。這些命令可用來將標籤新增至追蹤、取得追蹤狀態、啟動和停止追蹤的記錄功能,以及刪除追蹤。您必須從建立系統線的相同 AWS 區域 (其「主區域」) 執行這些指令。使用時 AWS CLI,請記住您的命令會在為您的設定檔設定的 [ AWS 區域] 中執行。如果您想在不同區域中執行命令,則可變更設定檔的預設區域,或搭配 --region 參數使用命令。
新增一或多個標籤至追蹤
若要將一或多個標籤新增至現有的追蹤,請執行 add-tags 命令。
下列範例會將名稱為 Owner (擁有者) 和值為 Mary 的標籤新增至美國東部 (俄亥俄) 區域 ARN 為 arn:aws:cloudtrail: 的追蹤。us-east-2:123456789012:trail/my-trail
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail--tags-list Key=Owner,Value=Mary--region us-east-2
若成功,此命令不會傳回任何內容。
列出一或多個追蹤的標籤
若要檢視與一或多個現有追蹤相關聯的標籤,請使用 list-tags 命令。
下列範例會列出 Trail1 和 Trail2 的標籤。
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
如果成功,此命令傳回的輸出會類似如下。
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ] }
從追蹤移除一或多個標籤
若要從現有的追蹤移除一或多個標籤,請執行 remove-tags 命令。
下列範例為從美國東部 (俄亥俄) 區域中 ARN 為 arn:aws:cloudtrail: 的追蹤中移除名稱為 us-east-2:123456789012:trail/Trail1Location (位置) 和 Name (名稱) 的標籤。
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1--tags-list Key=Name Key=Location --region us-east-2
若成功,此命令不會傳回任何內容。
擷取追蹤設定和追蹤狀態
執行命describe-trails令以擷取有關「 AWS 區域」中軌跡的資訊。下列範例會傳回美國東部 (俄亥俄) 區域中所設定追蹤的相關資訊。
aws cloudtrail describe-trails --region us-east-2
如果成功,您會看到類似如下的輸出。
{ "trailList": [ { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "another-bucket", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ] }
執行 get-trail 命令來擷取有關特定追蹤的設定資訊。下列範例會傳回名為 my-trail 的設定資訊。
aws cloudtrail get-trail - -namemy-trail
如果成功,此命令傳回的輸出會類似如下。
{ "Trail": { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, } }
若要擷取追蹤的狀態,請執行 get-trail-status 命令。您必須從建立該指令的「 AWS 區域」(「主區域」) 執行此指令,或者您必須透過新增--region參數來指定該「區域」。
注意
如果追蹤檔是組織追蹤檔,而您是中組織中的成員帳戶 AWS Organizations,您必須提供該追蹤的完整 ARN,而不只是名稱。
aws cloudtrail get-trail-status --namemy-trail
如果成功,您會看到類似如下的輸出。
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
如果發生 Amazon SNS 或 Amazon S3 錯誤,則除了上述 JSON 程式碼中所示的欄位外,狀態還會包含下列欄位:
-
LatestNotificationError包含主題訂閱失敗時由 Amazon SNS 發出的錯誤。 -
LatestDeliveryError。 包含 Amazon S3 在無 CloudTrail 法將日誌檔交付至儲存貯體時發出的錯誤。
設定 CloudTrail 見解事件選取器
執行 put-insight-selectors,並指定 ApiCallRateInsight、ApiErrorRateInsight (或兩者) 為 InsightType 屬性值,以啟用追蹤上的 Insights 事件。若要檢視追蹤的 Insights 選取器設定,請執行 get-insight-selectors 命令。您必須從建立軌跡的「 AWS 區域」(「主區域」) 執行此指令,或者您必須透過將--region參數加入至指令來指定「區域」。
注意
若要記錄 ApiCallRateInsight 的 Insights 事件,追蹤必須記錄 write 管理事件。若要記錄 ApiErrorRateInsight 的 Insights 事件,追蹤必須記錄 read 或 write 管理事件。
記錄 Insights 事件的範例追蹤
下列範例會用put-insight-selectors來為名為 TrailName3 的追蹤建立 Insights 事件選取器。這會啟用 TrailName3 個追蹤的深入解析事件收集。Insights 事件選取器會記錄 ApiErrorRateInsight 和 ApiCallRateInsight Insights 事件類型。
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
此範例會傳回為追蹤設定的 Insights 事件選取器。
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
範例:關閉收集 Insights 事件
下列範例會用put-insight-selectors來移除名為 TrailName3 之追蹤的 Insights 事件選取器。清除深入解析選取器的 JSON 字串會停用 TrailName3 個追蹤的深入解析事件收集。
aws cloudtrail put-insight-selectors --trail-nameTrailName3--insight-selectors '[]'
此範例會傳回為追蹤設定的目前空白 Insights 事件選取器。
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3" }
設定事件選取器
若要檢視追蹤的事件選取器設定,請執行 get-event-selectors 命令。您必須從建立該指令的「 AWS 區域」(「主區域」) 執行此指令,或者必須使用--region參數指定該「區域」。
aws cloudtrail get-event-selectors --trail-nameTrailName
注意
如果追蹤檔是組織追蹤檔,而您是中組織中的成員帳戶 AWS Organizations,您必須提供該追蹤的完整 ARN,而不只是名稱。
下列範例會傳回追蹤之事件選取器的預設設定。
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
若要建立事件選取器,請執行 put-event-selectors 命令。如果您希望在追蹤上記錄 Insights 事件,請確保事件選取器啟用記錄您想要設定追蹤的 Insights 類型。如需有關記錄 Insights 事件的詳細資訊,請參閱 記錄 Insights 事件。
當您的帳戶中發生事件時,請 CloudTrail 評估追蹤的組態。如果事件符合追蹤的任何事件選取器,則追蹤會處理並記錄該事件。一個追蹤最多可以設定 5 個事件選取器和 250 個資料資源。如需詳細資訊,請參閱記錄資料事件。
主題
使用特定事件選取器的範例追蹤
下列範例會為名為的追蹤建立事件選取器,TrailName以包含唯讀和唯寫管理事件、兩個 Amazon S3 儲存貯體/前置詞組合的資料事件,以及單一名為的函數的資料事件。 AWS Lambda hello-world-python-function
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
此範例會傳回為追蹤設定的事件選取器。
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
記錄所有管理和資料事件的範例追蹤
下列範例會為名為 TrailName2 的追蹤建立事件選取器,其中包括帳戶中所有 Amazon S3 儲存貯體、函數和 Amazon DynamoDB 表的所有事件,包括唯讀和唯寫管理事件,以及所有 Amazon S3 儲存貯體、 AWS Lambda 函數和 Amazon DynamoDB 表格的所有資料事件。 AWS 由於此範例使用基本事件選取器,因此無法設定 S3 事件 AWS Outposts、以太坊節點上的 Amazon Managed Blockchain JSON-RPC 呼叫或其他進階事件選取器資源類型的記錄。您必須使用進階事件選取器來記錄這些資源的資料事件。如需詳細資訊,請參閱設定進階事件選取器。
注意
如果追蹤僅套用至一個區域,就只會記錄該區域的事件,即使事件選取器參數指定所有 Amazon S3 儲存貯體和 Lambda 函數也一樣。事件選取器只會套用至建立追蹤的區域。
aws cloudtrail put-event-selectors --trail-nameTrailName2--event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
此範例會傳回為追蹤設定的事件選取器。
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, { "Values": [ "arn:aws:dynamodb" ], "Type": "AWS::DynamoDB::Table" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2" }
不記錄 AWS Key Management Service 事件的範例追蹤
下列範例會為名TrailName為包含唯讀和唯寫管理事件但排除 AWS Key Management Service (AWS KMS) 事件的追蹤建立事件選取器。由於 AWS KMS 事件會被視為管理事件,而且可能會有大量事件,因此如果您有多個追蹤可擷取管理事件的追蹤,這些事件可能會對 CloudTrail 帳單產生重大影響。此範例中的使用者已選擇從每個追蹤中排除 AWS KMS 事件,只有一個例外。若要排除事件來源,請將 ExcludeManagementEventSources 加入事件選取器,並在字串值中指定事件來源。
如果您選擇不記錄管理事件,則不會記錄 AWS KMS 事件,而且您無法變更 AWS KMS 事件記錄設定。
若要再次開始記錄 AWS KMS 事件至追蹤,請傳遞空白陣列做為的值ExcludeManagementEventSources。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
此範例會傳回為追蹤設定的事件選取器。
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
若要再次開始記錄 AWS KMS 事件至追蹤,請傳遞一個空陣列做為的值ExcludeManagementEventSources,如下列命令所示。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
記錄相關小量事件的範例追蹤 AWS Key Management Service
下列範例會為名為包含唯寫管理事件和 AWS KMS 事TrailName件的追蹤建立事件選取器。由於 AWS KMS 事件會被視為管理事件,而且可能會有大量事件,因此如果您有多個追蹤可擷取管理事件的追蹤,這些事件可能會對 CloudTrail 帳單產生重大影響。此範例中的使用者已選擇包含「 AWS KMS 寫入」事件,這些事件將包括DisableScheduleKey、Delete和,但不再包含大量動作,例如EncryptDecrypt、和 GenerateDataKey (現在這些動作視為「讀取」事件)。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
此範例會傳回為追蹤設定的事件選取器。這會記錄唯寫管理事件,包括 AWS KMS 事件。
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
不會記錄 Amazon RDS Data API 事件的範例追蹤
下列範例會為名為的追蹤建立事件選取器,TrailName以包含唯讀和唯寫管理事件,但排除 Amazon RDS Data API 事件。由於 Amazon RDS Data API 事件被視為管理事件,並且可能存在大量事件,因此如果您有多個追蹤可擷取管理事件的追蹤,這些事件可能會對您的 CloudTrail 帳單產生重大影響。此範例中的使用者已選擇從每個追蹤中排除 Amazon RDS Data API 事件,只有一個例外。若要排除事件來源,請將 ExcludeManagementEventSources 加入事件選取器,並在字串值 rdsdata.amazonaws.com 中指定事件 Amazon RDS Data API 來源。
如果您選擇不記錄管理事件,Amazon RDS Data API 事件不會記錄,而且您無法變更事件記錄設定。
若要開始將 Amazon RDS 資料 API 管理事件再次記錄到追蹤,請傳遞一個空陣列作為的值ExcludeManagementEventSources。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
此範例會傳回為追蹤設定的事件選取器。
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
若要開始將 Amazon RDS 資料 API 管理事件再次記錄到追蹤,請傳遞一個空陣列作為的值ExcludeManagementEventSources,如下列命令所示。
aws cloudtrail put-event-selectors --trail-nameTrailName--event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
設定進階事件選取器
若要使用進階事件選取器來包含或排除資料事件,而非基本事件選取器,請在追蹤詳細資訊頁面上使用進階事件選取器。相較於基本事件選取器,進階事件選取器可讓您針對更多資源類型記錄資料事件。基本選取器可記錄 S3 物件活動, AWS Lambda 函數執行活動和 DynamoDB 資料表。
在進階事件選取器中,建立運算式以收集特定資源類型的資料事件,例如 S3 儲存貯體、 AWS Lambda 函數、DynamoDB 表、S3 物件 Lambda 存取點、EBS 快照上的 Amazon EBS 直接 API、S3 存取點、DynamoDB 串流、Lake Formation 建立的 AWS Glue 表格等。
如需進階事件選取器的詳細資訊,請參閱設定進階事件選取器。
若要檢視進階事件選取器的追蹤設定,請執行以下 get-event-selectors 命令。您必須從建立軌跡的「 AWS 區域」(「主區域」) 執行此指令,或者您必須透過新增--region參數來指定該「區域」。
aws cloudtrail get-event-selectors --trail-nameTrailName
注意
如果追蹤檔是組織追蹤,且您使用中組織中的成員帳戶登入 AWS Organizations,則您必須提供追蹤的完整 ARN,而不只是名稱。
下列範例會傳回追蹤之進階事件選取器的預設設定。依預設,不會針對追蹤設定進階事件選取器。
{ "AdvancedEventSelectors": [], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
若要建立進階事件選取器,請執行 put-event-selectors 命令。當您的帳戶中發生資料事件時,請 CloudTrail 評估追蹤的組態。如果事件符合追蹤的任何進階事件選取器,則追蹤會處理並記錄該事件。您可以在追蹤上設定多達 500 個條件,包括為追蹤上所有進階事件選取器指定的所有值。如需詳細資訊,請參閱 記錄資料事件。
主題
使用特定進階事件選取器的範例追蹤
下列範例會為名TrailName為包含讀取和寫入管理事件的追蹤建立自訂進階事件選取器 (透過省略選readOnly取器),以PutObject及所有 Amazon S3 儲存貯體/前置詞組合的DeleteObject資料事件 (名為的儲存貯體sample_bucket_name和名為函數的資料事件除外) 建立資料事件。 AWS Lambda MyLambdaFunction因為這些都是自訂進階事件選取器,所以每組選取器都有一個描述性的名稱。請注意,尾步斜線是 S3 儲存貯體 ARN 值的一部分。
aws cloudtrail put-event-selectors --trail-nameTrailName--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::sample_bucket_name/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] } ]'
範例傳回針對追蹤設定的進階事件選取器。
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "NotStartsWith": [ "arn:aws:s3:::sample_bucket_name/" ] }, ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ] }, { "Field": "eventName", "Equals": [ "Invoke" ] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
使用自訂進階事件選取器在 AWS Outposts 資料事件上記錄 Amazon S3 的範例追蹤
下列範例顯示如何設定追蹤,以便在前哨站的 AWS Outposts 物件上包含所有 Amazon S3 的所有資料事件。在此版本中,欄位 AWS Outposts 事件上 S3 支援的resources.type值為AWS::S3Outposts::Object。
aws cloudtrail put-event-selectors --trail-nameTrailName--regionregion\ --advanced-event-selectors \ '[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] } ]'
命令會傳回下列範例輸出。
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName" }
使用進階事件選取器排除 AWS Key Management Service 事件的範例追蹤
下列範例會針對名TrailName為包含唯讀和唯寫管理事件的追蹤建立進階事件選取器 (藉由省略readOnly選取器),但要排除 AWS Key Management Service (AWS KMS) 事件。由於 AWS KMS 事件會被視為管理事件,而且可能會有大量事件,因此如果您有多個追蹤可擷取管理事件的追蹤,這些事件可能會對 CloudTrail 帳單產生重大影響。
如果您選擇不記錄管理事件,則不會記錄 AWS KMS 事件,而且您無法變更 AWS KMS 事件記錄設定。
若要再次開始將 AWS KMS 事件記錄到追蹤,請移除eventSource選取器,然後再次執行命令。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] } ]'
範例傳回針對追蹤設定的進階事件選取器。
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except KMS events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "kms.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
若要再次開始記錄排除的事件至追蹤,請從移除 eventSource 選取器,如下列命令所示。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
使用進階事件選取器排除 Amazon RDS 資料 API 管理事件的追蹤範例
下列範例會為名TrailName為包含唯讀和唯寫管理事件的追蹤建立進階事件選取器 (透過省略readOnly選取器),但排除 Amazon RDS Data API 管理事件。若要排除 Amazon RDS 資料 API 管理事件,請在以下eventSource欄位的字串值中指定 Amazon RDS 資料 API 事件來源:rdsdata.amazonaws.com。
如果您選擇不記錄管理事件,則不會記錄 Amazon RDS 資料 API 管理事件,而且您無法變更 Amazon RDS 資料 API 事件記錄設定。
若要重新開始將 Amazon RDS 資料 API 管理事件記錄到追蹤,請移除eventSource選取器,然後再次執行命令。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] } ] } ]'
範例傳回針對追蹤設定的進階事件選取器。
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except Amazon RDS Data API management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] }, { "Field": "eventSource", "NotEquals": [ "rdsdata.amazonaws.com" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName" }
若要再次開始記錄排除的事件至追蹤,請從移除 eventSource 選取器,如下列命令所示。
aws cloudtrail put-event-selectors --trail-nameTrailName\ --advanced-event-selectors ' [ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Management"] } ] } ]'
停止及啟動追蹤的記錄功能
以下命令啟動和停止 CloudTrail 記錄。
aws cloudtrail start-logging --nameawscloudtrail-example
aws cloudtrail stop-logging --nameawscloudtrail-example
注意
您需要執行 stop-logging 命令,停止將事件交付至儲存貯體,才能刪除該儲存貯體。如果您不停止記錄,請 CloudTrail 嘗試在有限的時間內將記錄檔傳送至具有相同名稱的值區。
如果您停止記錄或刪除追蹤,就會停用該追蹤上的 CloudTrail 深入解析。
刪除追蹤
如果您已在 Amazon Security Lake 中啟用 CloudTrail 管理事件,則必須至少維護一個多區域的組織追蹤,並記錄read和write管理事件。除非您關閉 Security Lake 中的 CloudTrail 管理事件,否則您只能刪除追蹤,如果它是您唯一符合此需求的追蹤。
您可以使用下列命令來刪除追蹤。您只能刪除追蹤建立所在區域 (主區域) 中的追蹤。
aws cloudtrail delete-trail --nameawscloudtrail-example
當您刪除追蹤時,並不會刪除相關聯的 Amazon S3 儲存貯體或 Amazon SNS 主題。使用 AWS Management Console AWS CLI、或服務 API 分別刪除這些資源。
