使用指create-trail令建立系統線

您可以執行 create-trail 命令來建立專為業務需求設定的追蹤。使用時 AWS CLI，請記住您的命令會在為您的設定檔設定的 [ AWS 區域] 中執行。如果您想在不同區域中執行命令，則可變更設定檔的預設區域，或搭配 --region 參數使用命令。

建立套用至所有區域的追蹤

若要建立會套用至所有區域的追蹤，請使用 --is-multi-region-trail 選項。在預設情況下，create-trail 命令所建立的追蹤只會記錄該追蹤建立所在 AWS 區域中的事件。為了確保您記錄全域服務事件並擷取 AWS 帳戶中的所有管理事件活動，您應該建立追蹤以記錄所有 AWS 區域中的事件。

注意

建立追蹤時，如果您指定的 Amazon S3 儲存貯體並非使用建立 CloudTrail，則需要附加適當的政策。請參閱Amazon S3 存儲桶政策 CloudTrail。

下列範例會建立名稱為 my-trail 的追蹤，以及一個名為 Group 的索引鍵的標記，其值為「行銷」，可將所有區域的記錄傳送至名為 DO CU-EXAMPLE-BUCKET 的現有值區。

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-multi-region-trail --tags-list [key=Group,value=Marketing]

若輸出中的 IsMultiRegionTrail 元素顯示 true，即可確定所有區域中皆有追蹤。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

注意

使用 start-logging 命令來為追蹤啟動記錄功能。

啟動追蹤的記錄功能

create-trail 命令完成之後，請執行 start-logging 命令開始追蹤的記錄。

注意

當您使用 CloudTrail 主控台建立追蹤時，會自動開啟記錄功能。

下列範例會為追蹤啟動記錄功能。

aws cloudtrail start-logging --name my-trail

此命令不會傳回輸出，但您可以使用 get-trail-status 命令來確認記錄功能已啟動。

aws cloudtrail get-trail-status --name my-trail

若輸出中的 IsLogging 元素顯示 true，即可確定追蹤正在進行記錄。

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

建立單一區域追蹤

下列命令會建立單一區域追蹤。指定的 Amazon S3 儲存貯體必須已經存在，並已套用適當的 CloudTrail 許可。如需詳細資訊，請參閱 Amazon S3 存儲桶政策 CloudTrail。

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET

下列為範例輸出。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

建立套用至所有區域且已啟用日誌檔案驗證的追蹤

若要在使用 create-trail 時啟用日誌檔案驗證，請使用 --enable-log-file-validation 選項。

如需日誌檔案驗證的相關資訊，請參閱驗證 CloudTrail 記錄檔完整性。

下列範例所建立的追蹤會將所有區域的日誌交付至指定儲存貯體。此命令會採用 --enable-log-file-validation 選項。

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-multi-region-trail --enable-log-file-validation

若輸出中的 LogFileValidationEnabled 元素顯示 true，即可確定日誌檔案驗證已啟用。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}