本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用控制台创建和更新跟踪
您可以使用 CloudTrail 控制台创建、更新或删除您的跟踪。使用控制台创建的跟踪具有多区域属性。要创建仅在一个中记录事件的跟踪 AWS 区域,[请使用 AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single)。
您最多可以为每个区域创建 5 个跟踪。创建跟踪后, CloudTrail会自动开始将您账户中的 API 调用和相关事件记录到您指定的 Amazon S3 存储桶中。
您可以使用 CloudTrail 控制台更改跟踪的以下设置:
+ 您可以更改 S3 存储桶位置并指定前缀。
+ AWS Organizations 组织的管理账户可以将账户级跟踪转换为组织跟踪,也可以将组织跟踪转换为账户级跟踪。
+ 您可以启用或禁用 KMS 密钥加密。
+ 您可以启用或禁用[日志文件验证](cloudtrail-log-file-validation-intro.md)。日志文件验证允许您确定日志文件在 CloudTrail 传送后是被修改、删除还是未更改。默认情况下,启用日志文件验证。
+ 您可以配置跟踪以将通知发送到 Amazon SNS 主题。
+ 您可以配置跟踪以将事件发送到 CloudWatch 日志日志组。日志组和 IAM 角色都必须存在于您自己的账户中。
+ 您可以更新管理事件、数据事件、网络活动事件和 Insights 事件的设置。
+ 您可以添加或删除标签。您最多可以添加 50 个标签键对来帮助您识别您的跟踪。
使用 CloudTrail 控制台创建或更新跟踪具有以下优点。
+ 如果这是您第一次创建跟踪,则使用 CloudTrail 控制台可以查看可用的功能和选项。
+ 如果您正在配置记录数据事件的跟踪,则使用 CloudTrail 控制台可以查看可用的数据类型。有关更多信息,请参阅 [记录数据事件](logging-data-events-with-cloudtrail.md)。
+ 如果您正在配置网络活动事件的跟踪,则使用 CloudTrail 控制台可以查看可用的事件源。有关更多信息,请参阅 [记录网络活动事件](logging-network-events-with-cloudtrail.md)。
有关在中为组织创建跟踪的特定信息 AWS Organizations,请参阅[为组织创建跟踪](creating-trail-organization.md)。
**Topics**
+ [
# 使用 CloudTrail 控制台创建跟踪
](cloudtrail-create-a-trail-using-the-console-first-time.md)
+ [
# 使用 CloudTrail 控制台更新跟踪
](cloudtrail-update-a-trail-console.md)
+ [
# 使用 CloudTrail 控制台删除跟踪
](cloudtrail-delete-trails-console.md)
+ [
# 关闭跟踪的日志记录
](cloudtrail-turning-off-logging.md)
# 使用 CloudTrail 控制台创建跟踪
跟踪可以应用于您中[启用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)的所有 AWS 区域 内容 AWS 账户,也可以应用于单个区域。适用于您启用的所有内容 AWS 区域 的跟踪 AWS 账户 称为*多区域跟踪*。作为最佳实践,我们建议您创建多区域跟踪,因为它能够捕获所有已启用区域中的活动。使用 CloudTrail 控制台创建的所有跟踪均为多区域跟踪。您只能使用 AWS CLI 或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html)API 操作创建单区域跟踪。
**注意**
创建跟踪后,您可以配置其他跟踪 AWS 服务 以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅 [AWS 与日志的服务集成 CloudTrail](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-integrations)。
**Topics**
+ [
## 使用控制台创建跟踪
](#creating-a-trail-in-the-console)
+ [
## 后续步骤
](#cloudtrail-create-a-trail-using-the-console-first-time-next-steps)
## 使用控制台创建跟踪
使用以下过程创建多区域跟踪。要记录单区域中的事件(不推荐),请[使用 AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single)。
**要使用创建 CloudTrail 跟踪 AWS 管理控制台**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在 CloudTrail 服务主页、“**跟踪**” 页面或 “控制面**板**” 页面的 “**跟踪**” 部分,选择 “**创建跟踪**”。
1. 在 **Create Trail** 页面上,对于 **Trail name**,键入一个跟踪名。有关更多信息,请参阅 [CloudTrail 资源、S3 存储桶和 KMS 密钥的命名要求](cloudtrail-trail-naming-requirements.md)。
1. 如果这是 AWS Organizations 组织跟踪,则可以为组织中的所有账户启用跟踪。要查看此选项,您必须使用管理账户或委托管理员账户中的用户或角色登录到控制台。要成功创建组织跟踪,请确保相应用户或角色具有[足够的权限](creating-an-organizational-trail-prepare.md#org_trail_permissions)。有关更多信息,请参阅 [为组织创建跟踪](creating-trail-organization.md)。
1. 对于 **Storage location**(存储位置,选择 **Create new S3 bucket**(创建 S3 存储桶)以创建存储桶。在创建存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择创建新的 S3 存储桶,则您的 IAM 策略需要包含 `s3:PutEncryptionConfiguration` 操作的权限,因为默认情况下,存储桶已启用服务器端加密。
**注意**
如果选择了**使用现有 S3 存储桶**,则在**跟踪日志存储桶名称**中指定一个存储桶,或选择**浏览**以选择自己账户中的存储桶。如果您想使用其他账户中的存储桶,则需要指定存储桶名称。存储桶策略必须授予对其进行写入的 CloudTrail 权限。有关手动编辑存储桶策略的信息,请参阅[适用于 Amazon S3 存储桶政策 CloudTrail](create-s3-bucket-policy-for-cloudtrail.md)。
为了便于查找日志,请在现有存储桶中创建一个新文件夹(也称为*前缀*)来存储 CloudTrail 日志。在**前缀**字段中输入前缀。
1. 对于**日志文件 SSE-KMS 加密**,如果您希望使用 SSE-KMS 加密(而非 SSE-S3 加密)对您的日志文件和摘要文件进行加密,请选择**已启用**。默认值为**已启用**。如果您未启用 SSE-KMS 加密,则将使用 SSE-S3 加密对您的日志文件和摘要文件进行加密。有关 SSE-KMS 加密的更多信息,请参阅将[服务器端加密与 AWS Key Management Service (SSE-KMS) 一起使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。有关 SSE-S3 加密的更多信息,请参阅[配合使用服务器端加密与 Amazon S3 托管加密密钥(SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
**如果您启用 SSE-KMS 加密,请选择 “**新建**” 或 “现有”。** AWS KMS key在**AWS KMS 别名**中,按以下格式指定别名`alias/`*MyAliasName*。有关更多信息,请参阅[通过控制台更新资源以使用 KMS 密钥](create-kms-key-policy-for-cloudtrail-update-trail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
**注意**
您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 [通过控制台更新资源以使用 KMS 密钥](create-kms-key-policy-for-cloudtrail-update-trail.md)。密钥策略必须 CloudTrail 允许使用密钥加密您的日志文件和摘要文件,并允许您指定的用户读取未加密形式的日志文件或摘要文件。有关手动编辑密钥政策的信息,请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。
1. 在**其他配置**中,请配置以下内容。
1. 对于**日志文件验证**,选择**已启用**以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件来验证您的日志文件在 CloudTrail 交付后是否没有更改。有关更多信息,请参阅 [验证 CloudTrail 日志文件完整性](cloudtrail-log-file-validation-intro.md)。
1. 要**传送 SNS 通知**,请选择 “**启用**”,以便每次向您的存储桶传送日志时都会收到通知。 CloudTrail 在日志文件中存储多个事件。SNS 通知针对每个日志文件而不是每个事件发送。有关更多信息,请参阅 [配置 Amazon SNS 通知 CloudTrail](configure-sns-notifications-for-cloudtrail.md)。
如果您启用了 SNS 通知,则对于**创建新的 SNS 主题**,选择**新建**创建主题,或选择**现有**使用现有的主题。如果您正在创建多区域跟踪,则来自所有已启用区域的日志文件传输的 SNS 通知将发送到您创建的单个 SNS 主题。
如果选择 “**新建**”,则会为您 CloudTrail 指定新主题的名称,也可以键入名称。如果选择**现有**,则从下拉列表中选择一个 SNS 主题。您还可以输入来自另一个区域或来自一个具有适当权限的账户的主题的 ARN。有关更多信息,请参阅 [Amazon SNS 主题政策适用于 CloudTrail](cloudtrail-permissions-for-sns-notifications.md)。
如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可通过 Amazon SNS 控制台进行订阅。由于通知的频率,建议您将该订阅配置为使用 Amazon SQS 队列来以编程方式处理通知。有关更多信息,请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)。
1. 或者,通过选择在日志中**启用**,配置 CloudTrail 为将 CloudWatch 日志文件发送到**CloudWatch 日志**。有关更多信息,请参阅 [将事件发送到 CloudWatch 日志](send-cloudtrail-events-to-cloudwatch-logs.md)。
1. 如果您启用了与 CloudWatch 日志的集成,请选择 “**新**建” 来创建新的日志组,或者选择 “**现**有” 以使用现有的日志组。如果选择 “**新建**”,则会为您 CloudTrail 指定新日志组的名称,也可以键入名称。
1. 如果选择**现有**,则从下拉列表中选择一个日志组。
1. 选择 “**新**建” 创建新的 IAM 角色,以获得向日志发送 CloudWatch 日志的权限。选择**现有**以从下拉列表中选择一个现有 IAM 角色。展开**策略文档**时,将显示新角色或现有角色的策略语句。有关该角色的更多信息,请参阅[使用 CloudWatch 日志 CloudTrail 进行监控的角色策略文档](cloudtrail-required-policy-for-cloudwatch-logs.md)。
**注意**
在您配置跟踪时,可以选择属于另一个账户的 S3 存储桶和 SNS 主题。但是,如果 CloudTrail 要将事件传送到 CloudWatch 日志日志组,则必须选择当前账户中存在的日志组。
只有管理账户才能使用控制台为组织跟踪配置 CloudWatch 日志组。授权的管理员可以使用 AWS CLI 或 CloudTrail `CreateTrail`或 `UpdateTrail` API 操作配置 CloudWatch 日志组。
1. 对于**标签**,您最多可以添加 50 个标签键对,以帮助您对跟踪的访问进行识别、排序和控制。标签可以帮助您识别您的 CloudTrail 跟踪和包含 CloudTrail 日志文件的 Amazon S3 存储桶。然后,您可以将资源组用于您的 CloudTrail 资源。有关更多信息,请参阅[AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)和[标签](cloudtrail-concepts.md#cloudtrail-concepts-tags)。
1. 在**选择日志事件**页面中,选择要记录的事件类型。对于**管理事件**,请执行以下操作。
1. 对于 **API 活动**,选择您希望跟踪记录**读取**事件、**写入**事件,还是记录两者。有关更多信息,请参阅 [管理事件](logging-management-events-with-cloudtrail.md#logging-management-events)。
1. 选择 “**排除 AWS KMS 事件**”,从您的跟踪中筛选 AWS Key Management Service (AWS KMS) 事件。默认设置是包括所有 AWS KMS 事件。
只有在跟踪中记录管理 AWS KMS 事件时,才可使用记录或排除事件的选项。如果您选择不记录管理事件,则不会记录 AWS KMS 事件,也无法更改 AWS KMS 事件日志记录设置。
AWS KMS 诸如`Encrypt``Decrypt`、和之类的操作`GenerateDataKey`通常会生成大量事件(超过 99%)。这些操作现在记录为**读取**事件。诸如`Disable``Delete`、和`ScheduleKey`(通常占事件量不到 0.5%)之类的低容量相关 AWS KMS 操作被记录为**写入 AWS KMS **事件。
要排除高容量事件(如`Encrypt``Decrypt``GenerateDataKey`、和),但仍记录相关事件(例如`Disable``ScheduleKey`、`Delete`和),请选择记录**写入**管理事件,然后清除 “**排除” AWS KMS 事件**复选框。
1. 选择**排除 Amazon RDS 数据 API 事件**以从跟踪中筛选出 Amazon Relational Database Service 数据 API 事件。默认设置是包含所有 Amazon RDS 数据 API 事件。有关 Amazon RDS 数据 API 事件的更多信息,请参阅 *Amazon RDS Aurora 用户指南*中的[使用 AWS CloudTrail记录数据 API 调用](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html)。
1. 要记录数据事件,请选择**数据事件**。记录数据事件将收取额外费用。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
1.
**重要**
默认情况下,步骤 12-16 用于使用高级事件选择器配置数据事件。高级事件选择器让您可以配置更多[资源类型](logging-data-events-with-cloudtrail.md#logging-data-events),并对跟踪捕获的数据事件进行精细控制。如果您选择使用基本事件选择器,请完成 [使用基本事件选择器配置数据事件设置](#trail-data-events-basic-selectors) 中的步骤,然后返回到此程序的步骤 17。
对于**资源类型**,选择要在其上记录数据事件的资源类型。有关可用的资源类型的更多信息,请参阅 [数据事件](logging-data-events-with-cloudtrail.md#logging-data-events)。
1. 选择日志选择器模板。您可以选择预定义的模板,也可以选择**自定义**来定义您自己的事件收集条件。
您可以从以下预定义模板中进行选择:
+ **记录所有事件**:选择此模板以记录所有事件。
+ **仅记录读取事件**:选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。
+ **仅记录写入事件**:选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **仅记录 AWS 管理控制台 事件**-选择此模板仅记录源自的事件 AWS 管理控制台。
+ **排除 AWS 服务 已启动的事件**-选择此模板可排除 AWS 服务 具有`eventType`关联角色的事件和使用 AWS 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`
**注意**
为 S3 存储桶选择预定义的模板可以记录当前您 AWS 账户中的所有存储分段以及您在创建完跟踪后创建的任何存储分段的数据事件。它还允许记录您 AWS 账户中任何 IAM 身份执行的数据事件活动,即使该活动是在属于另一个 AWS 账户的存储桶上执行的。
如果跟踪仅应用于一个区域,则选择记录所有 S3 存储桶的预定义模板可为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。它不会在您的 AWS 账户中记录其他区域的 Amazon S3 存储桶的数据事件。
如果您正在创建多区域跟踪,请为 Lambda 函数选择预定义模板,以便为当前 AWS 账户中的所有函数以及完成跟踪后可能在任何区域创建的任何 Lambda 函数启用数据事件记录。如果您要为单个区域创建跟踪(使用完成 AWS CLI),则此选择将启用您 AWS 账户中该区域中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在该区域创建的任何 Lambda 函数的数据事件记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。
记录所有函数的数据事件还可以记录 AWS 账户中任何 IAM 身份执行的数据事件活动,即使该活动是在属于另一个 AWS 账户的函数上执行的。
1. (可选)在**选择器名称**中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如“仅记录两个 S3 桶的数据事件”。选择器名称在高级事件选择器中列为 `Name`,展开 **JSON 视图**即可查看该名称。
1. 如果您选择了**自定义**,则在**高级事件选择器**中,将基于高级事件选择器字段的值生成表达式。
**注意**
选择器不支持使用通配符,例如 `*`。要将多个值与单个条件匹配,可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。
1. 从下面的字段中选择。
+ **`readOnly`**:`readOnly` 可以设置为**等于**值 `true` 或 `false`。只读数据事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。要记录 `read` 和 `write` 两种事件,请不要添加 `readOnly` 选择器。
+ **`eventName`**:`eventName` 可以使用任何运算符。您可以使用它来包含或排除记录到的任何数据事件 CloudTrail,例如`PutBucket``GetItem`、或`GetSnapshotBlock`。
+ **`eventSource`**:要包括或排除的事件类型。此字段可以使用任意运算符。
+ **eventType**:要包括或排除的事件类型。例如,可以将此字段设置为**不等于** `AwsServiceEvent`,以排除 [AWS 服务 事件](non-api-aws-service-events.md)。有关事件类型的列表,请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)。
+ **sessionCredentialFrom控制台**-包括或排除源自 AWS 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
+ **userIdentity.arn**:包含或排除特定 IAM 身份所采取操作的事件。有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`resources.ARN`**:您可以将任何运算符与 `resources.ARN` 配合使用,但如果您使用**等于**或**不等于**,则该值必须与您在模板中指定为 `resources.type` 的值的有效资源类型的 ARN 完全匹配。
**注意**
您不能使用该`resources.ARN`字段筛选没有的资源类型 ARNs。
有关数据事件资源的 ARN 格式的更多信息,请参阅《服务授权参考》**中的 [AWS 服务的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。例如,要从记录到事件数据存储的数据事件中排除两个 S3 存储桶的数据事件,可以将字段设置为 **resources.ARN**,设置**不始于**运算符,然后粘贴您不想为其记录事件的 S3 存储桶 ARN。
要添加第二个 S3 存储桶,请选择 **\$1 条件**,然后重复上述说明,在 ARN 中粘贴或浏览到不同的存储桶。
有关如何 CloudTrail 评估多个条件的信息,请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
对于事件数据存储上的所有选择器,最多可以有 500 个值。这包括选择器的多个值的数组,例如 `eventName`。如果所有选择器均为单个值,则最多可以向选择器添加 500 个条件。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。例如,不要在一个选择器中将 ARN 指定为等于某个值,然后在另一个选择器中指定 ARN 不等于相同的值。
1. 要添加需要记录数据事件的其他资源类型,请选择**添加数据事件类型**。重复步骤 12 至此步骤,为资源类型配置高级事件选择器。
1. 要启用对数据事件的聚合,请选择一个或多个聚合模板。这些模板定义了如何汇总您的数据事件。您可以从以下模板中进行选择:
1. **API 活动**:根据发出的 API 调用,获取 5 分钟的数据事件摘要。使用它来了解您的 API 使用模式,包括频率、调用者和来源。
1. **资源访问权限**以获取 AWS 资源的活动模式。使用它来了解您的 AWS 资源是如何被访问的、在 5 分钟窗口内访问资源的次数、谁在访问资源以及正在执行哪些操作。
1. **用户操作**,用于根据 IAM 委托人在您的账户中调用 API 来获取活动模式。
**注意**
聚合适用于您的跟踪中收集的所有数据事件。
1. 要记录网络活动事件,请选择**网络活动事件**。网络活动事件使 VPC 终端节点所有者能够记录使用其 VPC 终端节点从私有 VPC 到的 AWS API 调用 AWS 服务。记录网络活动事件将收取额外费用。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
要记录网络活动事件,请执行下列操作:
1. 从**网络活动事件源**中,选择网络活动事件的来源。
1. 在**记录选择器模板**中,选择一个模板。您可以选择记录所有网络活动事件、记录所有网络活动访问被拒绝的事件,或者选择**自定义**来构建自定义日志选择器以筛选多个字段(例如 `eventName` 和 `vpcEndpointId`)。
1. (可选)输入用于标识选择器的名称。选择器名称在高级事件选择器中列为 **名称**,展开 **JSON 视图**即可查看该名称。
1. 在**高级事件选择器**中,通过为**字段**、**运算符**和**值**选择值来构建表达式。如果您使用的是预定义日志模板,则可跳过此步骤。
1. 要排除或包括网络活动事件,您可以从控制台中的以下字段中进行选择。
+ **`eventName`**:您可以将任何运算符与 `eventName` 配合使用。您可以使用它来包含或排除任何事件(如 `CreateKey`)。
+ **`errorCode`**:您可以使用它来筛选错误代码。目前,唯一支持的 `errorCode` 是 `VpceAccessDenied`。
+ **`vpcEndpointId`**:标识操作通过的 VPC 端点。您可以将任何运算符与 `vpcEndpointId` 配合使用。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。
1. 要添加您想要记录网络活动事件的另一个事件源,请选择**添加网络活动事件选择器**。
1. 或者,展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。
1. 如果您希望跟踪记录**见解事件**,请选择 CloudTrail Insights 事件。
在 **Event type**(事件类型)中,选择 **Insights events**(Insights 事件)。您必须记录**写入**管理事件,以针对 **API 调用率**记录 Insights 事件。您必须记录**读取**或**写入**管理事件,以针对 **API 错误率**记录 Insights 事件。
CloudTrail Insights 会分析管理事件中是否存在异常活动,并在检测到异常时记录事件。默认情况下,跟踪记录不记录 Insights 事件。有关 Insights 事件的更多信息,请参阅[使用见 CloudTrail 解](logging-insights-events-with-cloudtrail.md)。记录 Insights 事件将收取额外费用。有关 CloudTrail 定价,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
Insights 事件将传送到另一个文件夹,该文件夹以同一 S3 存储桶命名`/CloudTrail-Insight`,该**存储桶在跟踪详细信息页面的存储位置**区域中指定。 CloudTrail为您创建新的前缀。例如,如果当前目标 S3 存储桶命名为 `amzn-s3-demo-bucket/AWSLogs/CloudTrail/`,则带有新前缀的 S3 存储桶名称会命名为 `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`。
1. 完成选择要记录的事件类型的操作后,选择**下一步**。
1. 在 **Review and create**(审核和重建)页面上,审核您的选择。在相关部分中选择**编辑**以更改该部分中显示的跟踪设置。在准备好创建跟踪时,选择**创建跟踪**。
1. 新跟踪出现在**跟踪**页面上。大约 5 分钟后,将 CloudTrail 发布日志文件,显示在您的账户中进行的 AWS API 调用。您可以在指定的 S3 存储桶中查看日志文件。
如果您为跟踪启用了 Insights 事件,则最多 CloudTrail 可能需要 36 小时才能开始交付这些事件,前提是在此期间检测到异常活动。
**注意**
CloudTrail 通常在 API 调用后的平均大约 5 分钟内传送日志。此时间并不能得到保证。有关更多信息,请参阅 [AWS CloudTrail 服务等级协议](https://aws.amazon.com/cloudtrail/sla)。
如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail 会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。
### 使用基本事件选择器配置数据事件设置
您可以使用高级事件选择器来配置所有数据事件类型以及网络活动事件。高级事件选择器允许您创建细粒度的选择器来仅记录感兴趣的事件。
如果您使用基本事件选择器来记录数据事件,则只能记录 Amazon S3 存储桶、 AWS Lambda 函数和 Amazon DynamoDB 表的数据事件。您无法使用基本事件选择器对 `eventName` 字段进行筛选。您也无法记录[网络活动事件](logging-network-events-with-cloudtrail.md)。
![\[用于跟踪中数据事件的基本事件选择器\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)
按照以下程序使用基本事件选择器配置数据事件设置。
**使用基本事件选择器配置数据事件设置**
1. 在**事件**中,选择**数据事件**以记录数据事件。记录数据事件将收取额外费用。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
1. 对于 Amazon S3 存储桶:
1. 对于 **Data event source**(数据事件源),选择 **S3**。
1. 您可以选择记录 **All current and future S3 buckets**(所有当前和未来 S3 存储桶),也可以指定单个存储桶或函数。默认情况下,记录所有当前和未来 S3 存储桶的数据事件。
**注意**
保留默认 “**All current and future S3 存储桶” 选项将**允许您 AWS 账户中当前的所有存储分段以及您在完成跟踪创建后创建的任何存储分段的数据事件记录。它还允许记录您 AWS 账户中任何 IAM 身份执行的数据事件活动,即使该活动是在属于另一个 AWS 账户的存储桶上执行的。
如果您要为单个区域创建跟踪(使用完成 AWS CLI),则选择 **All current 和 future S3 存储桶**可为与您的跟踪位于同一区域的所有存储桶以及您稍后在该区域创建的任何存储桶启用数据事件记录。它不会在您的 AWS 账户中记录其他区域的 Amazon S3 存储桶的数据事件。
1. 如果保留默认值 **All current and future S3 buckets**(所有当前和未来 S3 存储桶),则选择记录 **Read**(读取)事件、**Write**(写入)事件,还是记录两者。
1. 要选择单个存储桶,请清空 **All current and future S3 buckets**(所有当前和未来 S3 存储桶)的 **Read**(读取)和**Write**(写入)复选框。在 **Individual bucket selection**(单个存储桶选择)中,浏览要在其上记录数据事件的存储桶。通过键入所需存储桶的存储桶前缀来查找特定存储桶。您可以在此窗口中选择多个存储桶。选择**添加存储桶**,记录更多存储桶的数据事件。选择记录 **Read**(读取)事件(如 `GetObject`)、**Write**(写入)事件(如 `PutObject`)或同时记录两种事件。
此设置优先于为各个存储桶配置的个别设置。例如,如果指定记录所有 S3 存储桶的 **Read** 事件,然后选择为数据事件日志记录添加一个特定存储桶,则所添加存储桶的 **Read** 已经是选中状态。您无法清除此选择。只能配置 **Write** 选项。
要从日志记录中删除存储桶,请选择 **X**。
1. 要添加需要记录数据事件的其他资源类型,请选择**添加数据事件类型**。
1. 对于 Lambda 函数:
1. 对于**数据事件源**,选择 **Lambda**。
1. 在 **Lambda 函数**中,选择**所有区域**记录所有 Lambda 函数,或选择**将函数作为 ARN 输入**以记录特定函数上的数据事件。
要记录您 AWS 账户中所有 Lambda 函数的数据事件,请选择**记录所有当前和将来的**函数。此设置优先于为各个函数配置的个别设置。将记录所有函数,即便这些函数未显示。
**注意**
如果您正在创建多区域跟踪,则此选择将为您的 AWS 账户中当前包含的所有函数以及您在创建跟踪后可能在任何区域中创建的任何 Lambda 函数启用数据事件日志记录。如果您要为单个区域创建跟踪(使用完成 AWS CLI),则此选择将启用您 AWS 账户中该区域中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在该区域创建的任何 Lambda 函数的数据事件记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。
记录所有函数的数据事件还可以记录 AWS 账户中任何 IAM 身份执行的数据事件活动,即使该活动是在属于另一个 AWS 账户的函数上执行的。
1. 如果选择**将函数作为 ARN 输入**,则输入 Lambda 函数的 ARN。
**注意**
如果您的账户中有超过 15,000 个 Lambda 函数,则在创建跟踪时无法在 CloudTrail 控制台中查看或选择所有函数。您仍可以选择该选项来记录所有函数,即使未显示这些函数也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数(如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建,然后使用 AWS CLI 和**put-event-selectors**命令为特定 Lambda 函数配置数据事件记录。有关更多信息,请参阅 [使用管理跟踪 AWS CLI](cloudtrail-additional-cli-commands.md)。
1. 对于 DynamoDB 表:
1. 对于 **Data event source**(数据事件源),选择 **DynamoDB**。
1. 在 **DynamoDB table selection**(DynamoDB 表选择)中,选择 **Browse**(浏览)以选择一个表,或粘贴到您有权访问的 DynamoDB 表的 ARN 中。DynamoDB 表 ARN 使用以下格式:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
要添加另一个表,请选择 **Add row**(添加行),然后浏览到某个表或粘贴到您有权访问的表的 ARN 中。
1. 要为跟踪配置 Insights 事件和其他设置,请返回本主题中前面的程序 [使用控制台创建跟踪](#creating-a-trail-in-the-console)。
## 后续步骤
创建您的跟踪后,您可以返回到该跟踪以进行更改:
+ 如果还没有,则可以配置为将日志文件发送 CloudTrail 到 Lo CloudWatch gs。有关更多信息,请参阅 [将事件发送到 CloudWatch 日志](send-cloudtrail-events-to-cloudwatch-logs.md)。
+ 创建表并将其用于在 Amazon Athena 中运行查询,以便分析 AWS 服务活动。有关更多信息,请参阅 [Amazon Athen](https://docs.aws.amazon.com/athena/latest/ug/) [a 用户 CloudTrail 指南中的在控制台中创建 CloudTrail 日志表](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct)。
+ 向跟踪添加自定义标签(键-值对)。
+ 要创建另一个跟踪,打开**跟踪**页面并选择**创建跟踪**。
# 使用 CloudTrail 控制台更新跟踪
本节旨在介绍如何更改跟踪设置。
要将单区域跟踪转换为多区域跟踪,或更新多区域跟踪以仅记录单个区域中的事件,您必须使用 AWS CLI。有关如何将单区域跟踪转换为多区域跟踪的更多信息,请参阅[将单区域跟踪转换为多区域跟踪](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)。有关如何更新多区域跟踪以记录单区域中的事件的详细信息,请参阅[将多区域跟踪转换为单区域跟踪](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)。
如果您已在 Amazon Security Lake 中启用 CloudTrail 管理事件,则需要至少维护一条多区域组织跟踪,并记录两者`read`以及`write`管理事件。您不能以不符合 Security Lake 要求的方式更新符合条件的跟踪。例如,通过将跟踪更改为单区域,或者关闭 `read` 或 `write` 管理事件的日志记录。
**注意**
CloudTrail 即使资源验证失败,也会更新成员账户中的组织跟踪。验证失败的示例包括:
Amazon S3 存储桶策略不正确
Amazon SNS 主题策略不正确
无法传送到 CloudWatch 日志组
权限不足,无法使用 KMS 密钥进行加密
拥有 CloudTrail 权限的成员账户可以通过在 CloudTrail 控制台上查看跟踪的详细信息页面或运行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)命令来查看组织跟踪的任何验证失败。
**要使用更新跟踪 AWS 管理控制台**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,选择**跟踪**,然后选择跟踪名称。
1. 在 **General details**(一般详细信息)中,选择 **Edit**(编辑)以更改以下设置。您无法更改跟踪的名称。
+ **将跟踪应用到我的组织**-更改此跟踪是否为 AWS Organizations 组织跟踪。
**注意**
只有组织的管理账户才能将组织跟踪转换为非组织跟踪,或者将非组织跟踪转换为组织跟踪。
+ **跟踪日志位置**:更改您要在其中存储此跟踪的日志的 S3 存储桶或前缀的名称。
+ **日志文件 SSE-KMS 加密**:选择此选项可启用或禁用通过 SSE-KMS 而非 SSE-S3 加密日志文件的功能。
+ **日志文件验证**:选择此选项可启用或禁用日志文件完整性验证。
+ **SNS 通知发送**:选择此选项可启用或禁用关于日志文件已传输到为跟踪指定的存储桶的 Amazon Simple Notification Service(Amazon SNS)通知。
1. 要将跟踪更改为 AWS Organizations 组织跟踪,您可以选择为组织中的所有账户启用跟踪。有关更多信息,请参阅 [为组织创建跟踪](creating-trail-organization.md)。
1. 要更改 **Storage location**(存储位置)中的指定存储桶,请选择**Create new S3 bucket**(创建新 S3 存储桶)以创建存储桶。创建存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择创建新的 S3 存储桶,则您的 IAM 策略需要包含 `s3:PutEncryptionConfiguration` 操作的权限,因为默认情况下,存储桶已启用服务器端加密。
**注意**
如果选择**使用现有 S3 存储桶**,则在**跟踪日志存储桶名称**中指定一个存储桶,或选择**浏览**以选择存储桶。存储桶策略必须授予对其进行写入的 CloudTrail 权限。有关手动编辑存储桶策略的信息,请参阅[适用于 Amazon S3 存储桶政策 CloudTrail](create-s3-bucket-policy-for-cloudtrail.md)。
为了便于查找日志,请在现有存储桶中创建一个新文件夹(也称为*前缀*)来存储 CloudTrail 日志。在**前缀**字段中输入前缀。
1. 对于**日志文件 SSE-KMS 加密**,如果您希望使用 SSE-KMS 加密(而非 SSE-S3 加密)对您的日志文件和摘要文件进行加密,请选择**已启用**。默认值为**已启用**。如果您未启用 SSE-KMS 加密,则将使用 SSE-S3 加密对您的日志文件和摘要文件进行加密。有关 SSE-KMS 加密的更多信息,请参阅将[服务器端加密与 AWS Key Management Service (SSE-KMS) 一起使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。有关 SSE-S3 加密的更多信息,请参阅[配合使用服务器端加密与 Amazon S3 托管加密密钥(SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
**如果您启用 SSE-KMS 加密,请选择 “**新建**” 或 “现有”。** AWS KMS key在**AWS KMS 别名**中,按照格式指定别名`alias/`*MyAliasName*。有关更多信息,请参阅[通过控制台更新资源以使用 KMS 密钥](create-kms-key-policy-for-cloudtrail-update-trail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
**注意**
您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 [通过控制台更新资源以使用 KMS 密钥](create-kms-key-policy-for-cloudtrail-update-trail.md)。密钥策略必须 CloudTrail 允许使用密钥加密您的日志文件和摘要文件,并允许您指定的用户读取未加密形式的日志文件或摘要文件。有关手动编辑密钥政策的信息,请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。
1. 对于 **Log file validation**(日志文件验证),选择 **Enabled**(已启用)以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件来验证您的日志文件在 CloudTrail 交付后是否没有更改。有关更多信息,请参阅 [验证 CloudTrail 日志文件完整性](cloudtrail-log-file-validation-intro.md)。
1. 要**传送 SNS 通知**,请选择 “**启用**”,以便每次向您的存储桶传送日志时都会收到通知。 CloudTrail 在日志文件中存储多个事件。SNS 通知针对每个日志文件而不是每个事件发送。有关更多信息,请参阅 [配置 Amazon SNS 通知 CloudTrail](configure-sns-notifications-for-cloudtrail.md)。
如果您启用了 SNS 通知,则对于**创建新的 SNS 主题**,选择**新建**创建主题,或选择**现有**使用现有的主题。如果您正在创建多区域跟踪,则来自所有已启用区域的日志文件传输的 SNS 通知将发送到您创建的单个 SNS 主题。
如果选择 “**新建**”,则会为您 CloudTrail 指定新主题的名称,也可以键入名称。如果选择**现有**,则从下拉列表中选择一个 SNS 主题。您还可以输入来自另一个区域或来自一个具有适当权限的账户的主题的 ARN。有关更多信息,请参阅 [Amazon SNS 主题政策适用于 CloudTrail](cloudtrail-permissions-for-sns-notifications.md)。
如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可通过 Amazon SNS 控制台进行订阅。由于通知的频率,建议您将该订阅配置为使用 Amazon SQS 队列来以编程方式处理通知。有关更多信息,请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)。
1. 在**CloudWatch 日志**中,选择**编辑**以更改将 CloudTrail 日志文件发送到 CloudWatch 日志的设置。选择 “在**CloudWatch 日志**中**启用**” 以启用发送日志文件。有关更多信息,请参阅 [将事件发送到 CloudWatch 日志](send-cloudtrail-events-to-cloudwatch-logs.md)。
1. 如果您启用了与 CloudWatch 日志的集成,请选择 “**新**建” 来创建新的日志组,或者选择 “**现**有” 以使用现有的日志组。如果选择 “**新建**”,则会为您 CloudTrail 指定新日志组的名称,也可以键入名称。
1. 如果选择**现有**,则从下拉列表中选择一个日志组。
1. 选择 “**新**建” 创建新的 IAM 角色以获得向日志发送 CloudWatch 日志的权限。选择**现有**以从下拉列表中选择一个现有 IAM 角色。展开**策略文档**时,将显示新角色或现有角色的策略语句。有关该角色的更多信息,请参阅[使用 CloudWatch 日志 CloudTrail 进行监控的角色策略文档](cloudtrail-required-policy-for-cloudwatch-logs.md)。
**注意**
在您配置跟踪时,可以选择属于另一个账户的 S3 存储桶和 SNS 主题。但是,如果 CloudTrail 要将事件传送到 CloudWatch 日志日志组,则必须选择当前账户中存在的日志组。
只有管理账户才能使用控制台为组织跟踪配置 CloudWatch 日志组。授权的管理员可以使用 AWS CLI 或 CloudTrail `CreateTrail`或 `UpdateTrail` API 操作配置 CloudWatch 日志组。
1. 在 **Tags**(标记)中,选择 **Edit**(编辑)以更改、添加或删除跟踪上的标签。您最多可以添加 50 个标签键对,以帮助您对跟踪的访问进行识别、排序和控制。标签可以帮助您识别您的 CloudTrail 跟踪和包含 CloudTrail 日志文件的 Amazon S3 存储桶。然后,您可以将资源组用于您的 CloudTrail 资源。有关更多信息,请参阅[AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)和[标签](cloudtrail-concepts.md#cloudtrail-concepts-tags)。
1. 在 **Management events**(管理事件)中,选择 **Edit**(编辑)以更改管理事件日志记录设置。
1. 对于 **API activity**(API 活动),选择您希望跟踪记录 **Read**(读取)事件、**Write**(写入)事件,还是记录两者。有关更多信息,请参阅 [管理事件](logging-management-events-with-cloudtrail.md#logging-management-events)。
1. 选择 “**排除 AWS KMS 事件**”,从您的跟踪中筛选 AWS Key Management Service (AWS KMS) 事件。默认设置是包含所有 AWS KMS 事件。
只有在跟踪中记录管理 AWS KMS 事件时,才可使用记录或排除事件的选项。如果您选择不记录管理事件,则不会记录 AWS KMS 事件,也无法更改 AWS KMS 事件记录设置。
AWS KMS 诸如`Encrypt``Decrypt`、和之类的操作`GenerateDataKey`通常会生成大量事件(超过 99%)。这些操作现在记录为**读取**事件。诸如`Disable``Delete`、和`ScheduleKey`(通常占事件量不到 0.5%)之类的低容量相关 AWS KMS 操作被记录为**写入 AWS KMS **事件。
如果要排除大批量事件(例如 `Encrypt`、`Decrypt` 和 `GenerateDataKey`),但仍然记录相关事件(例如 `Disable`、`Delete` 和 `ScheduleKey`),选择记录**写入**管理事件,然后清除**排除 AWS KMS 事件**复选框。
1. 选择**排除 Amazon RDS 数据 API 事件**以从跟踪中筛选出 Amazon Relational Database Service 数据 API 事件。默认设置是包含所有 Amazon RDS 数据 API 事件。有关 Amazon RDS 数据 API 事件的更多信息,请参阅 *Amazon RDS Aurora 用户指南*中的[使用 AWS CloudTrail记录数据 API 调用](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html)。
1.
**重要**
默认情况下,步骤 7-11 用于使用高级事件选择器配置数据事件。高级事件选择器让您可以配置更多[数据事件类型](logging-data-events-with-cloudtrail.md#logging-data-events),并对跟踪捕获的数据事件进行精细控制。如果您计划记录网络活动事件,则必须使用高级事件选择器。如果您使用的是基本事件选择器,请参阅 [使用基本事件选择器更新数据事件设置](#cloudtrail-update-basic-event-selectors-console),然后返回此过程的步骤 12。
在 **Data events**(数据事件)中,选择 **Edit**(编辑)以更改数据事件日志记录设置。默认情况下,跟踪记录不记录数据事件。记录数据事件将收取额外费用。有关 CloudTrail 定价,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
对于**资源类型**,选择要在其上记录数据事件的资源类型。有关可用的资源类型的更多信息,请参阅 [数据事件](logging-data-events-with-cloudtrail.md#logging-data-events)。
1. 选择日志选择器模板。您可以选择预定义的模板,也可以选择**自定义**来定义您自己的事件收集条件。
您可以从以下预定义模板中进行选择:
+ **记录所有事件**:选择此模板以记录所有事件。
+ **仅记录读取事件**:选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。
+ **仅记录写入事件**:选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **仅记录 AWS 管理控制台 事件**-选择此模板仅记录源自的事件 AWS 管理控制台。
+ **排除 AWS 服务 已启动的事件**-选择此模板可排除 AWS 服务 具有`eventType`关联角色的事件和使用 AWS 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`
**注意**
为 S3 存储桶选择预定义的模板可以记录当前您 AWS 账户中的所有存储分段以及您在创建完跟踪后创建的任何存储分段的数据事件。它还允许记录您 AWS 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于其他 AWS 账户的存储桶上执行的。
如果跟踪仅应用于一个区域,则选择记录所有 S3 存储桶的预定义模板可为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为您的 AWS 账户的其他区域中的 Amazon S3 存储桶记录数据事件。
如果您要创建多区域跟踪,则选择 Lambda 函数的预定义模板可以记录当前 AWS 账户中的所有函数以及完成创建跟踪后可能在任何区域创建的任何 Lambda 函数的数据事件。如果您要为单个区域创建跟踪(使用完成 AWS CLI),则此选择将启用您 AWS 账户中该区域中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在该区域创建的任何 Lambda 函数的数据事件记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。
记录所有功能的数据事件还可以记录 AWS 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于另一个 AWS 账户的函数上执行的。
1. (可选)在**选择器名称**中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如“仅记录两个 S3 桶的数据事件”。选择器名称在高级事件选择器中列为 `Name`,展开 **JSON 视图**即可查看该名称。
1. 如果您选择了**自定义**,则在**高级事件选择器**中,将基于高级事件选择器字段的值生成表达式。
**注意**
选择器不支持使用通配符,例如 `*`。要将多个值与单个条件匹配,可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。
1. 从下面的字段中选择。
+ **`readOnly`**:`readOnly` 可以设置为**等于**值 `true` 或 `false`。只读数据事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。要记录 `read` 和 `write` 两种事件,请不要添加 `readOnly` 选择器。
+ **`eventName`**:`eventName` 可以使用任何运算符。您可以使用它来包含或排除记录到的任何数据事件 CloudTrail,例如`PutBucket``GetItem`、或`GetSnapshotBlock`。
+ **`eventSource`**:要包括或排除的事件类型。此字段可以使用任意运算符。
+ **eventType**:要包括或排除的事件类型。例如,可以将此字段设置为**不等于** `AwsServiceEvent`,以排除 [AWS 服务 事件](non-api-aws-service-events.md)。有关事件类型的列表,请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)。
+ **sessionCredentialFrom控制台**-包括或排除源自 AWS 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
+ **userIdentity.arn**:包含或排除特定 IAM 身份所采取操作的事件。有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`resources.ARN`**:您可以将任何运算符与 `resources.ARN` 配合使用,但如果您使用**等于**或**不等于**,则该值必须与您在模板中指定为 `resources.type` 的值的有效资源类型的 ARN 完全匹配。
**注意**
您不能使用该`resources.ARN`字段筛选没有的资源类型 ARNs。
有关数据事件资源的 ARN 格式的更多信息,请参阅《服务授权参考》**中的 [AWS 服务的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。例如,要从记录到事件数据存储的数据事件中排除两个 S3 存储桶的数据事件,可以将字段设置为 **resources.ARN**,设置**不始于**运算符,然后粘贴您不想为其记录事件的 S3 存储桶 ARN。
要添加第二个 S3 存储桶,请选择 **\$1 条件**,然后重复上述说明,在 ARN 中粘贴或浏览到不同的存储桶。
有关如何 CloudTrail 评估多个条件的信息,请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
对于事件数据存储上的所有选择器,最多可以有 500 个值。这包括选择器的多个值的数组,例如 `eventName`。如果所有选择器均为单个值,则最多可以向选择器添加 500 个条件。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。例如,不要在一个选择器中将 ARN 指定为等于某个值,然后在另一个选择器中指定 ARN 不等于相同的值。
1. 要添加需要记录数据事件的其他资源类型,请选择**添加数据事件类型**。重复步骤 3 至此步骤,为资源类型配置高级事件选择器。
1. 在**网络活动事件**中,选择**编辑**以更改网络活动事件记录设置。默认情况下,跟踪不记录网络活动事件。记录网络活动事件将收取额外费用。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
要记录网络活动事件,请执行下列操作:
1. 从**网络活动事件源**中,选择网络活动事件的来源。
1. 在**记录选择器模板**中,选择一个模板。您可以选择记录所有网络活动事件、记录所有网络活动访问被拒绝的事件,或者选择**自定义**来构建自定义日志选择器以筛选多个字段(例如 `eventName` 和 `vpcEndpointId`)。
1. (可选)输入用于标识选择器的名称。选择器名称在高级事件选择器中列为 **名称**,展开 **JSON 视图**即可查看该名称。
1. 在**高级事件选择器**中,通过为**字段**、**运算符**和**值**选择值来构建表达式。如果您使用的是预定义日志模板,则可跳过此步骤。
1. 要排除或包括网络活动事件,您可以从控制台中的以下字段中进行选择。
+ **`eventName`**:您可以将任何运算符与 `eventName` 配合使用。您可以使用它来包含或排除任何事件(如 `CreateKey`)。
+ **`errorCode`**:您可以使用它来筛选错误代码。目前,唯一支持的 `errorCode` 是 `VpceAccessDenied`。
+ **`vpcEndpointId`**:标识操作通过的 VPC 端点。您可以将任何运算符与 `vpcEndpointId` 配合使用。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。
1. 要添加您想要记录网络活动事件的另一个事件源,请选择**添加网络活动事件选择器**。
1. 或者,展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。
1. 如果您希望跟踪记录 **Insights 事件**,请**在 CloudTrail Insights 事件中选择 “编辑”**。
在**事件类型**中,选择 **Insights 事件**。
在 **Insights 事件**中,选择 **API 调用率**和/或 **API 错误率**。您必须记录**写入**管理事件,以针对 **API 调用率**记录 Insights 事件。您必须记录**读取**或**写入**管理事件,以针对 **API 错误率**记录 Insights 事件。
CloudTrail Insights 会分析管理事件中是否存在异常活动,并在检测到异常时记录事件。默认情况下,跟踪记录不记录 Insights 事件。有关 Insights 事件的更多信息,请参阅[使用见 CloudTrail 解](logging-insights-events-with-cloudtrail.md)。记录 Insights 事件将收取额外费用。有关 CloudTrail 定价,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
Insights 事件将传送到另一个文件夹,该文件夹以同一 S3 存储桶命名`/CloudTrail-Insight`,该**存储桶在跟踪详细信息页面的存储位置**区域中指定。 CloudTrail为您创建新的前缀。例如,如果当前目标 S3 存储桶命名为 `amzn-s3-demo-bucket/AWSLogs/CloudTrail/`,则带有新前缀的 S3 存储桶名称会命名为 `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`。
1. 当您更改完跟踪上的设置后,选择 **Update trail**(更新跟踪)。
## 使用基本事件选择器更新数据事件设置
您可以使用高级事件选择器来配置所有数据事件类型以及网络活动事件。高级事件选择器允许您创建细粒度的选择器来仅记录感兴趣的事件。
如果您使用基本事件选择器来记录数据事件,则只能记录 Amazon S3 存储桶、 AWS Lambda 函数和 Amazon DynamoDB 表的数据事件。您无法使用基本事件选择器对 `eventName` 字段进行筛选。您也无法记录[网络活动事件](logging-network-events-with-cloudtrail.md)。
![\[用于跟踪中数据事件的基本事件选择器\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)
按照以下程序使用基本事件选择器配置数据事件设置。
1. 在 **Data events**(数据事件)中,选择 **Edit**(编辑)以更改数据事件日志记录设置。使用基本事件选择器,您可以为 Amazon S3 存储桶、 AWS Lambda 函数、Dynamo DBtables 或这些资源的组合指定日志数据事件。其他数据事件资源类型可通过高级事件选择器获得支持。默认情况下,跟踪记录不记录数据事件。记录数据事件将收取额外费用。有关更多信息,请参阅 [数据事件](logging-data-events-with-cloudtrail.md#logging-data-events)。有关 CloudTrail 定价,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
对于 Amazon S3 存储桶:
1. 对于 **Data event source**(数据事件源),选择 **S3**。
1. 您可以选择记录 **All current and future S3 buckets**(所有当前和未来 S3 存储桶),也可以指定单个存储桶或函数。默认情况下,记录所有当前和未来 S3 存储桶的数据事件。
**注意**
保留默认 “**All current and future S3 存储桶” 选项将**允许您 AWS 账户中当前的所有存储分段以及您在完成跟踪创建后创建的任何存储分段的数据事件记录。它还允许记录您 AWS 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于其他 AWS 账户的存储桶上执行的。
如果跟踪仅应用于一个区域,则选择 **All current and future S3 buckets**(所有当前和未来 S3 存储桶)可为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。它不会在您的 AWS 账户中记录其他区域的 Amazon S3 存储桶的数据事件。
1. 如果保留默认值 **All current and future S3 buckets**(所有当前和未来 S3 存储桶),则选择记录 **Read**(读取)事件、**Write**(写入)事件,还是记录两者。
1. 要选择单个存储桶,请清空 **All current and future S3 buckets**(所有当前和未来 S3 存储桶)的 **Read**(读取)和**Write**(写入)复选框。在 **Individual bucket selection**(单个存储桶选择)中,浏览要在其上记录数据事件的存储桶。要查找特定存储桶,键入所需存储桶的存储桶前缀。您可以在此窗口中选择多个存储桶。选择**添加存储桶**,记录更多存储桶的数据事件。选择记录 **Read**(读取)事件(如 `GetObject`)、**Write**(写入)事件(如 `PutObject`)或同时记录两种事件。
此设置优先于为各个存储桶配置的个别设置。例如,如果指定记录所有 S3 存储桶的 **Read** 事件,然后选择为数据事件日志记录添加一个特定存储桶,则所添加存储桶的 **Read** 已经是选中状态。您无法清除此选择。只能配置 **Write** 选项。
要从日志记录中删除存储桶,请选择 **X**。
1. 要添加需要记录数据事件的其他资源类型,请选择**添加数据事件类型**。
1. 对于 Lambda 函数:
1. 对于**数据事件源**,选择 **Lambda**。
1. 在 **Lambda 函数**中,选择**所有区域**记录所有 Lambda 函数,或选择**将函数作为 ARN 输入**以记录特定函数上的数据事件。
要记录您 AWS 账户中所有 Lambda 函数的数据事件,请选择**记录所有当前和将来的**函数。此设置优先于为各个函数配置的个别设置。将记录所有函数,即便这些函数未显示。
**注意**
如果您正在创建多区域跟踪,则此选项将启用您 AWS 账户中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在任何区域创建的任何 Lambda 函数的数据事件记录。如果您要为单个区域创建跟踪(使用完成 AWS CLI),则此选择将启用您 AWS 账户中该区域中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在该区域创建的任何 Lambda 函数的数据事件记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。
记录所有功能的数据事件还可以记录 AWS 账户中任何用户或角色执行的数据事件活动,即使该活动是在属于另一个 AWS 账户的函数上执行的。
1. 如果选择**将函数作为 ARN 输入**,则输入 Lambda 函数的 ARN。
**注意**
如果您的账户中有超过 15,000 个 Lambda 函数,则在创建跟踪时无法在 CloudTrail 控制台中查看或选择所有函数。您仍可以选择该选项来记录所有函数,即使未显示这些函数也是如此。如果您要记录特定函数的数据事件,则可手动添加一个函数(如果您知道其 ARN)。您也可以在控制台中完成跟踪的创建操作,然后使用 AWS CLI 和 **put-event-selectors** 命令为特定 Lambda 函数配置数据事件日志记录。有关更多信息,请参阅 [使用管理跟踪 AWS CLI](cloudtrail-additional-cli-commands.md)。
1. 要添加需要记录数据事件的其他资源类型,请选择**添加数据事件类型**。
1. 对于 DynamoDB 表:
1. 对于 **Data event source**(数据事件源),选择 **DynamoDB**。
1. 在 **DynamoDB table selection**(DynamoDB 表选择)中,选择 **Browse**(浏览)以选择一个表,或粘贴到您有权访问的 DynamoDB 表的 ARN 中。DynamoDB 表 ARN 采用以下格式:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
要添加另一个表,请选择 **Add row**(添加行),然后浏览到某个表或粘贴到您有权访问的表的 ARN 中。
1. 要为跟踪配置 Insights 事件和其他设置,请返回本主题中前面的程序 [使用 CloudTrail 控制台更新跟踪](#cloudtrail-update-a-trail-console)。
# 使用 CloudTrail 控制台删除跟踪
您可以使用 CloudTrail 控制台删除跟踪。如果组织的管理账户或委托管理员账户删除了组织跟踪,则该跟踪将从该组织的所有成员账户中移除。
**重要**
虽然删除 CloudTrail 跟踪是不可逆的操作,但 CloudTrail 不会删除该跟踪的 Amazon S3 存储桶、Amazon S3 存储桶本身或跟踪向其传递事件的 CloudWatch 日志组中的日志文件。删除多区域跟踪将停止记录您 AWS 账户启用的所有 AWS 区域中的事件。删除单区域跟踪将仅停止记录该区域中的事件。即使其他区域中的跟踪与已删除的跟踪具有相同的名称,也不会停止记录其他区域中的事件。
有关账户关闭和 CloudTrail 跟踪删除的信息,请参阅[AWS 账户 封闭和步道](cloudtrail-account-closure.md)。
如果您已在 Amazon Security Lake 中启用 CloudTrail 管理事件,则需要至少维护一条多区域组织跟踪,并记录两者`read`以及`write`管理事件。如果跟踪是您拥有的唯一符合此要求的跟踪,则无法将其删除,除非您在 Security Lake 中关闭 CloudTrail 管理事件。
**使用 CloudTrail 控制台删除跟踪**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 打开 CloudTrail 控制台的 T **rail** s 页面。
1. 选择跟踪名称。
1. 在跟踪详细信息页面顶部,选择 **Delete**(删除)。
1. 在提示您确认时,选择 **Delete**(删除)以永久删除该跟踪。从跟踪记录列表中删除该跟踪记录。已经传输到 Amazon S3 存储桶的日志文件不会被删除,并且会继续产生 S3 费用。
**注意**
发送到 Amazon S3 存储桶的内容可能包含客户内容。有关删除敏感数据的更多信息,请参阅《*Amazon S3 用户指南*》中的[清空存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/empty-bucket.html)和[删除存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html)。
# 关闭跟踪的日志记录
创建跟踪时,系统会自动启用日志记录。您可以从跟踪的详细信息页关闭跟踪的记录。
**注意**
关闭日志记录功能后,现有日志仍存储在跟踪的 Amazon S3 存储桶中,并会继续产生 S3 费用。有关 S3 定价的信息,请参阅 [Amazon S3 定价](https://aws.amazon.com/s3/pricing/)。
**停止记录后的事件传送**
关闭跟踪日志记录后,该跟踪仍可以接收在关闭日志记录之前发生的事件。事件延迟的原因有很多,包括网络流量大、连接问题、服务中断或现有事件的更新。 CloudTrail 使用最近关闭日志记录的时间来确定是否传送延迟事件,而不是事件发生时跟踪的日志状态。因此,在上次关闭日志之前发生的延迟事件仍然可以传送到跟踪中。有关延迟事件传送的更多信息,请参阅中的`addendum`字段[CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md)。
此外,在关闭日志记录后,不会针对传送到跟踪的延迟事件对事件选择器和高级事件选择器进行评估。这意味着,无论跟踪的事件选择器配置如何,跟踪都可以接收在关闭日志之前发生的任何类型的事件。
**使用 CloudTrail 控制台关闭跟踪记录**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,选择 **Trails**(跟踪记录),然后选择跟踪记录的名称。
1. 在跟踪详细信息页面顶部,选择 **Stop logging**(停止日志记录)以关闭该跟踪的日志记录。
1. 当系统提示您确认时,选择**停止记录**。 CloudTrail停止记录该跟踪的活动。
1. 要恢复该跟踪的日志记录,在跟踪配置页面上选择 **Start logging**(开始日志记录)。