本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用指update-trail令更新系統線
重要
截至 2021 年 11 月 22 日, AWS CloudTrail 改變了追蹤捕捉全球服務事件的方式。現在 CloudFront AWS Identity and Access Management,Amazon 建立的事件會記錄 AWS STS 在其建立的區域,美國東部 (維吉尼亞北部) 區域 us-east-1。這使得這 CloudTrail 些服務如何與其他 AWS 全球服務一致。若要繼續接收美國東部 (維吉尼亞北部) 以外的全域服務事件,請務必將使用美國東部 (維吉尼亞北部) 以外全域服務事件的單一區域追蹤轉換為多區域追蹤。如需擷取全球服務事件的詳細資訊,請參閱本節下文的「啟用及停用全球服務事件記錄」。
相反, CloudTrail 控制台中的事件歷史記錄和aws cloudtrail lookup-events命令將顯示這些事件發生的 AWS 區域 位置。
您可以使用 update-trail 命令來變更追蹤的組態設定。您也可以使用 add-tags 和 remove-tags 命令來新增及移除追蹤的標籤。您只能從建立系統線的「 AWS 區域」(其「居住區域」) 更新系統線。使用時 AWS CLI,請記住您的命令會在為您的設定檔設定的 [ AWS 區域] 中執行。如果您想在不同區域中執行命令,則可變更設定檔的預設區域,或搭配 --region 參數使用命令。
如果您已在 Amazon Security Lake 中啟用 CloudTrail 管理事件,則必須至少維護一個多區域的組織追蹤,並記錄read和write管理事件。您不能以不符合 Security Lake 要求的方式更新合格的追蹤。例如,透過將追蹤變更為單一區域,或關閉記錄 read 或 write 管理事件。
注意
如果您使用 AWS CLI 或其中一個 AWS SDK 修改追蹤,請確定追蹤的值區原則為 up-to-date。為了讓您的值區自動接收來自新的事件 AWS 區域,策略必須包含完整的服務名稱cloudtrail.amazonaws.com。如需詳細資訊,請參閱 Amazon S3 存儲桶政策 CloudTrail。
將套用至一個區域的追蹤轉換成套用至所有區域
若要變更現有的追蹤,使該追蹤套用至所有區域,請使用 --is-multi-region-trail 選項。
aws cloudtrail update-trail --namemy-trail--is-multi-region-trail
若輸出中的 IsMultiRegionTrail 元素顯示 true,即可確定追蹤現會套用至所有區域。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
將多區域追蹤轉換成單一區域追蹤
若要變更現有的多區域追蹤,使該追蹤只會套用至其建立所在的區域,請使用 --no-is-multi-region-trail 選項。
aws cloudtrail update-trail --namemy-trail--no-is-multi-region-trail
若輸出中的 IsMultiRegionTrail 元素顯示 false,即可確定追蹤現會套用至單一區域。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
啟用及停用全球服務事件記錄
若要變更追蹤以停止記錄全域服務事件,請使用 --no-include-global-service-events 選項。
aws cloudtrail update-trail --namemy-trail--no-include-global-service-events
若輸出中的 IncludeGlobalServiceEvents 元素顯示 false,即可確定追蹤不會再記錄全域服務事件。
{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
若要變更追蹤以記錄全域服務事件,則可使用 --include-global-service-events 選項。
自 2021 年 11 月 22 日起,單一區域追蹤將不再接收全域服務事件,除非追蹤在這之前已出現於美國東部 (維吉尼亞北部) 區域 (us-east-1)。若要繼續擷取全域服務事件,請將追蹤組態更新為多區域追蹤。例如,此命令會將美國東部 (俄亥俄) (us-east-2) 中的單一區域追蹤更新為多區域追蹤。將 myExistingSingleRegionTrailWithGSE 取代為您的組態適當的追蹤名稱。
aws cloudtrail --region us-east-2 update-trail --namemyExistingSingleRegionTrailWithGSE--is-multi-region-trail
由於自 2021 年 11 月 22 日起,全域服務事件僅能在美國東部 (維吉尼亞北部) 提供,因此您也可以建立單一區域追蹤,訂閱美國東部 (維吉尼亞北部) 區域 (us-east-1) 的全域服務事件。下列命令會在 us-east-1 中建立單一區域追蹤,以接收 CloudFront、IAM 和事件: AWS STS
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --namemyTrail--s3-bucket-nameDOC-EXAMPLE-BUCKET
啟用日誌檔案驗證
若要啟用追蹤的日誌檔案驗證,請使用 --enable-log-file-validation 選項。這會將摘要檔案交付到該追蹤的 Amazon S3 儲存貯體。
aws cloudtrail update-trail --namemy-trail--enable-log-file-validation
若輸出中的 LogFileValidationEnabled 元素顯示 true,即可確定日誌檔案驗證已啟用。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
停用日誌檔案驗證
若要停用追蹤的日誌檔案驗證,請使用 --no-enable-log-file-validation 選項。
aws cloudtrail update-trail --namemy-trail-name--no-enable-log-file-validation
若輸出中的 LogFileValidationEnabled 元素顯示 false,即可確定日誌檔案驗證已停用。
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
若要使用驗證記錄檔 AWS CLI,請參閱驗證 CloudTrail 記錄檔完整性 AWS CLI。
