本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 `create-trail` 命令创建跟踪
您可以运行 `create-trail` 命令来创建专门配置为满足您的商业需求的跟踪记录。使用时 AWS CLI,请记住您的命令在为您的个人资料配置的 AWS 区域中运行。如果您想要在不同的区域中运行命令,可以为配置文件更改默认区域,或者与命令一起使用 **--region** 参数。
## 创建多区域跟踪
跟踪可以应用于您中[启用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)的所有 AWS 区域 内容 AWS 账户,也可以应用于单个区域。适用于您启用的所有内容 AWS 区域 的跟踪 AWS 账户 称为*多区域跟踪*。作为最佳实践,我们建议您创建多区域跟踪,因为它能够捕获所有已启用区域中的活动。
要创建多区域跟踪,请使用 `--is-multi-region-trail` 选项。默认情况下,`create-trail` 命令创建的跟踪仅记录在其中创建该跟踪的 AWS 区域中的事件。为确保记录全球服务事件并捕获 AWS 账户中的所有管理事件活动,您应创建记录所有 AWS 区域事件的跟踪。
**注意**
创建跟踪时,如果您指定的 Amazon S3 存储桶不是用创建的 CloudTrail,则需要附加相应的策略。请参阅[适用于 Amazon S3 存储桶政策 CloudTrail](create-s3-bucket-policy-for-cloudtrail.md)。
以下示例创建了一个多区域跟踪,其名称为*my-trail*和一个键名为*Group*、值为的标签,*Marketing*该跟踪将来自您账户中所有已启用区域的日志传送到名为*amzn-s3-demo-bucket*的现有存储桶。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]
```
要确认您的跟踪是多区域跟踪,请验证输出中的 `IsMultiRegionTrail` 元素是否显示 `true`。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
**注意**
使用 `start-logging` 命令可以为您的跟踪启动日志记录操作。
## 为跟踪启动日志记录操作
在 `create-trail` 命令完成后,运行 `start-logging` 命令可以为跟踪启动日志记录。
**注意**
使用 CloudTrail 控制台创建跟踪时,日志记录会自动开启。
以下示例为跟踪启动日志记录。
```
aws cloudtrail start-logging --name my-trail
```
虽然此命令不返回输出,但您可以使用 `get-trail-status` 命令验证日志记录是否已启动。
```
aws cloudtrail get-trail-status --name my-trail
```
为了确认正在记录跟踪,输出中的 `IsLogging` 元素将显示 `true`。
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
## 创建单区域跟踪
以下命令创建单区域跟踪。指定的 Amazon S3 存储桶必须已经存在并且已应用相应的 CloudTrail 权限。有关更多信息,请参阅 [适用于 Amazon S3 存储桶政策 CloudTrail](create-s3-bucket-policy-for-cloudtrail.md)。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket
```
下面是示例输出。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## 创建启用了日志文件验证的多区域跟踪
要在使用 `create-trail` 时启用日志文件验证功能,请使用 `--enable-log-file-validation` 选项。
有关日志文件验证的信息,请参阅[验证 CloudTrail 日志文件完整性](cloudtrail-log-file-validation-intro.md)。
以下示例创建将日志传送到指定的存储桶的多区域跟踪。此命令使用 `--enable-log-file-validation` 选项。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation
```
要确认系统已启用日志文件验证功能,请验证输出中的 `LogFileValidationEnabled` 元素是否为 `true`。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": true,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```