建立記錄管理事件的追蹤 - AWS CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立記錄管理事件的追蹤

對於您的第一個追蹤,我們建議您建立記錄所有管理事件的追蹤,而不會記錄任何資料事件或 Insights 事件。管理事件的範例包括安全事件 (例如 IAM CreateUserAttachRolePolicy 事件)、資源事件 (例如 RunInstancesCreateBucket) 等等。您將建立 Amazon S3 儲存貯體,在其中存放追蹤的日誌檔,做為在 CloudTrail 主控台中建立追蹤的一部分。

注意

AWS Control Tower 設定 landing zone 域時,會設定新的 CloudTrail 追蹤記錄管理事件。這是組織層級追蹤,也就是說,它會記錄管理帳戶和組織中所有成員帳戶的所有管理事件。如需詳細資訊,請參《AWS CloudTrail 使用指南》 AWS Control Tower中的關於登入

此教學課程將假設您正在建立第一個追蹤。視您 AWS 帳戶中的追蹤數量以及這些追蹤的設定方式而定,下列程序可能會產生也可能不會產生費用。 CloudTrail 將日誌檔存放在 Amazon S3 儲存貯體中,這會產生成本。如需定價的詳細資訊,請參閱 AWS CloudTrail 定價Amazon S3 定價

若要建立追蹤記錄

  1. 請登入 AWS Management Console 並開啟 CloudTrail 主控台,網址為 https://console.aws.amazon.com/cloudtrail/

  2. 在「地區」選取器中,選擇您要建立路徑的「 AWS 區域」。這是該追蹤的主要區域。

    注意

    「主區域」是建立後唯一 AWS 區域 可以更新軌跡的地方。

  3. 在 CloudTrail 服務首頁、「追」頁面或「儀表板」頁面的「追」區段中,選擇「建立軌跡」。

  4. 追蹤名稱中,為您的追蹤命名,例如管理事件。根據最佳實務,請使用可快速識別追蹤目的的名稱。在此案例中,您正在建立記錄管理事件的追蹤。

  5. 保留針對組織中的所有帳戶啟用的預設設定。除非您已在 [Organizations] 中設定帳戶,否則此選項將無法變更。

  6. 針對 Storage location (儲存位置),選擇 Create a new S3 bucket (建立新 S3 儲存貯體),以建立儲存貯體。建立值區時, CloudTrail 會建立並套用所需的值區政策。如果您選擇建立新的 S3 儲存貯體,您的 IAM 政策需要包含s3:PutEncryptionConfiguration動作的權限,因為預設情況下會為儲存貯體啟用伺服器端加密。為您的儲存貯體指定一個易於識別的名稱。

    為了更輕鬆地找到您的日誌,請在現有存儲桶中創建一個新文件夾(也稱為前綴)以存儲 CloudTrail 日誌。

    注意

    您 Amazon S3 儲存貯體的名稱在全域中都必須是唯一的。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的儲存貯體命名規則

  7. 清除核取方塊以停用記錄檔 SSE-KMS 加密。根據預設,您的日誌檔案使用 SSE-S3 加密進行加密。如需有關此設定的詳細資訊,請參閱將伺服器端加密與 Amazon S3 受管金鑰搭配使用 (SSE-S3)

  8. 保留其他設定的預設設定。

  9. 保留記CloudWatch 錄檔的預設設定。目前,不要將日誌發送到 Amazon CloudWatch 日誌。

  10. (選用) 在標籤中,新增一或多個自訂標籤 (鍵值組) 至您的追蹤。標籤可協助您識別 CloudTrail 追蹤和其他資源,例如包含 CloudTrail 日誌檔的 Amazon S3 儲存貯體。例如,您可以附加名稱為 Compliance,值為 Auditing 的標籤。

    注意

    雖然您可以在 CloudTrail 主控台中建立追蹤時為追蹤新增標籤,並且可以建立 Amazon S3 儲存貯體將日誌檔存放在 CloudTrail 主控台中,但您無法從主控 CloudTrail 台將標籤新增至 Amazon S3 儲存貯體。如需檢視和變更 Amazon S3 儲存貯體屬性 (包括將標籤新增至儲存貯體) 的詳細資訊,請參閱《Amazon S3 使用者指南》。

    完成時,選擇 Next (下一步)。

  11. Choose log events (選擇記錄事件) 頁面上,選取要記錄的事件類型。對於此追蹤,請保留預設值管理事件。在 Management events 管理事件區域中,選擇同時記錄閱讀寫入事件 (如果尚未選取)。將排除 AWS KMS 事件和排除 Amazon RDS 資料 API 事的核取方塊保留空白,以記錄所有管理事件。

    建立追蹤頁面,事件類型設定

  12. 保留資料事件Insights 事件的預設設定。此追蹤不會記錄任何資料或 CloudTrail 見解事件。選擇 Next (下一步)。

  13. Review and create (檢閱和建立) 頁面上,檢閱您為追蹤選擇的設定。針對某個區段選擇 Edit (編輯),以返回並進行變更。當您準備好建立追蹤時,請選擇 Create trail (建立追蹤)。

  14. Trails (追蹤) 頁面會在資料表中顯示您的新追蹤。請注意,追蹤預設設定為多區域追蹤,並且預設會開啟追蹤的記錄功能。

    建立追蹤頁面,事件類型設定

如需系統線的更多資訊,請參閱使用 CloudTrail 軌跡