本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在控制台中为您的组织创建跟踪
要从 CloudTrail 控制台创建组织跟踪,您必须以具有[足够权限](creating-an-organizational-trail-prepare.md#org_trail_permissions)的管理账户或委托管理员账户中的用户或角色登录控制台。如果您未使用管理或委托管理员帐户登录,则在 CloudTrail控制台创建或编辑跟踪时,您将看不到向组织应用跟踪的选项。
**要使用创建组织跟踪 AWS 管理控制台**
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
您必须以拥有[足够权限](creating-an-organizational-trail-prepare.md#org_trail_permissions)的管理账户或委托管理员账户中的 IAM 身份登录,才能创建组织跟踪。
1. 选择**跟踪**,然后选择**创建跟踪**。
1. 在 **Create Trail** 页面上,对于 **Trail name**,键入一个跟踪名。有关更多信息,请参阅 [CloudTrail 资源、S3 存储桶和 KMS 密钥的命名要求](cloudtrail-trail-naming-requirements.md)。
1. 选择**为我组织中的所有账户启用**。如果您使用管理账户或委托管理员账户中的用户或角色登录到控制台,则只会看到此选项。要成功创建组织跟踪,请确保相应用户或角色具有[足够的权限](creating-an-organizational-trail-prepare.md#org_trail_permissions)。
1. 对于 **Storage location**(存储位置,选择 **Create new S3 bucket**(创建 S3 存储桶)以创建存储桶。创建存储桶时, CloudTrail 会创建并应用所需的存储桶策略。
**注意**
如果选择**使用现有 S3 存储桶**,则在**跟踪日志存储桶名称**中指定一个存储桶,或选择**浏览**以选择存储桶。您可以选择属于任何账户的存储桶,但是,存储桶策略必须授予写入该存储桶的 CloudTrail权限。有关手动编辑存储桶策略的信息,请参阅[适用于 Amazon S3 存储桶政策 CloudTrail](create-s3-bucket-policy-for-cloudtrail.md)。
为了便于查找日志,请在现有存储桶中创建一个新文件夹(也称为*前缀*)来存储 CloudTrail 日志。在**前缀**字段中输入前缀。
1. 对于**日志文件 SSE-KMS 加密**,如果您希望使用 SSE-KMS 加密(而非 SSE-S3 加密)对您的日志文件和摘要文件进行加密,请选择**已启用**。默认值为**已启用**。如果您未启用 SSE-KMS 加密,则将使用 SSE-S3 加密对您的日志文件和摘要文件进行加密。有关 SSE-KMS 加密的更多信息,请参阅[使用具有 AWS Key Management Service 的服务器端加密(SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。有关 SSE-S3 加密的更多信息,请参阅[配合使用服务器端加密与 Amazon S3 托管加密密钥(SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
**如果您启用 SSE-KMS 加密,请选择 “**新建**” 或 “现有”。** AWS KMS key在**AWS KMS 别名**中,按以下格式指定别名`alias/`*MyAliasName*。有关更多信息,请参阅 [通过控制台更新资源以使用 KMS 密钥](create-kms-key-policy-for-cloudtrail-update-trail.md)。
**注意**
您也可以键入其他账户的密钥 ARN。有关更多信息,请参阅 [通过控制台更新资源以使用 KMS 密钥](create-kms-key-policy-for-cloudtrail-update-trail.md)。密钥策略必须 CloudTrail 允许使用密钥加密您的日志文件和摘要文件,并允许您指定的用户读取未加密形式的日志文件或摘要文件。有关手动编辑密钥政策的信息,请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。
1. 在**其他配置**中,请配置以下内容。
1. 对于**日志文件验证**,选择**已启用**以将日志摘要传输到您的 S3 存储桶。您可以使用摘要文件来验证您的日志文件在 CloudTrail 交付后是否没有更改。有关更多信息,请参阅 [验证 CloudTrail 日志文件完整性](cloudtrail-log-file-validation-intro.md)。
1. 要**传送 SNS 通知**,请选择 “**启用**”,以便每次向您的存储桶传送日志时都会收到通知。 CloudTrail 在日志文件中存储多个事件。SNS 通知针对每个日志文件而不是每个事件发送。有关更多信息,请参阅 [配置 Amazon SNS 通知 CloudTrail](configure-sns-notifications-for-cloudtrail.md)。
如果您启用了 SNS 通知,则对于**创建新的 SNS 主题**,选择**新建**创建主题,或选择**现有**使用现有的主题。如果您正在创建多区域跟踪,则来自所有区域的日志文件传输的 SNS 通知将发送到您创建的单个 SNS 主题。
如果选择 “**新建**”,则会为您 CloudTrail 指定新主题的名称,也可以键入名称。如果选择**现有**,则从下拉列表中选择一个 SNS 主题。您还可以输入来自另一个区域或来自一个具有适当权限的账户的主题的 ARN。有关更多信息,请参阅 [Amazon SNS 主题政策适用于 CloudTrail](cloudtrail-permissions-for-sns-notifications.md)。
如果您创建一个主题,则必须订阅该主题以便获取日志文件传送的通知。您可通过 Amazon SNS 控制台进行订阅。由于通知的频率,建议您将该订阅配置为使用 Amazon SQS 队列来以编程方式处理通知。有关更多信息,请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)。
1. 或者,通过选择在日志中**启用**,配置 CloudTrail 为将 CloudWatch 日志文件发送到**CloudWatch 日志**。有关更多信息,请参阅 [将事件发送到 CloudWatch 日志](send-cloudtrail-events-to-cloudwatch-logs.md)。
**注意**
只有管理账户才能使用控制台为组织跟踪配置 CloudWatch 日志组。授权的管理员可以使用 AWS CLI 或 CloudTrail `CreateTrail`或 `UpdateTrail` API 操作配置 CloudWatch 日志组。
1. 如果您启用了与 CloudWatch 日志的集成,请选择 “**新**建” 来创建新的日志组,或者选择 “**现**有” 以使用现有的日志组。如果选择 “**新建**”,则会为您 CloudTrail 指定新日志组的名称,也可以键入名称。
1. 如果选择**现有**,则从下拉列表中选择一个日志组。
1. 选择 “**新**建” 创建新的 IAM 角色,以获得向日志发送 CloudWatch 日志的权限。选择**现有**以从下拉列表中选择一个现有 IAM 角色。展开**策略文档**时,将显示新角色或现有角色的策略语句。有关该角色的更多信息,请参阅[使用 CloudWatch 日志 CloudTrail 进行监控的角色策略文档](cloudtrail-required-policy-for-cloudwatch-logs.md)。
**注意**
在您配置跟踪时,可以选择属于另一个账户的 S3 存储桶和 Amazon SNS 主题。但是,如果 CloudTrail 要将事件传送到 CloudWatch 日志日志组,则必须选择当前账户中存在的日志组。
1. 对于**标签**,您最多可以添加 50 个标签键对,以帮助您对跟踪的访问进行识别、排序和控制。标签可以帮助您识别您的 CloudTrail 跟踪和包含 CloudTrail 日志文件的 Amazon S3 存储桶。然后,您可以为您的 CloudTrail 资源使用资源组。有关更多信息,请参阅[AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)和[标签](cloudtrail-concepts.md#cloudtrail-concepts-tags)。
1. 在**选择日志事件**页面中,选择要记录的事件类型。对于**管理事件**,请执行以下操作。
1. 对于 **API 活动**,选择您希望跟踪记录**读取**事件、**写入**事件,还是记录两者。有关更多信息,请参阅 [管理事件](logging-management-events-with-cloudtrail.md#logging-management-events)。
1. 选择 “**排除 AWS KMS 事件**”,从您的跟踪中筛选 AWS Key Management Service (AWS KMS) 事件。默认设置是包含所有 AWS KMS 事件。
只有在跟踪中记录管理 AWS KMS 事件时,才可使用记录或排除事件的选项。如果您选择不记录管理事件,则不会记录 AWS KMS 事件,也无法更改 AWS KMS 事件日志记录设置。
AWS KMS 诸如`Encrypt``Decrypt`、和之类的操作`GenerateDataKey`通常会生成大量事件(超过 99%)。这些操作现在记录为**读取**事件。诸如`Disable``Delete`、和`ScheduleKey`(通常占事件量不到 0.5%)之类的低容量相关 AWS KMS 操作被记录为**写入 AWS KMS **事件。
如果要排除大批量事件(例如 `Encrypt`、`Decrypt` 和 `GenerateDataKey`),但仍然记录相关事件(例如 `Disable`、`Delete` 和 `ScheduleKey`),选择记录**写入**管理事件,然后清除**排除 AWS KMS 事件**复选框。
1. 选择**排除 Amazon RDS 数据 API 事件**以从跟踪中筛选出 Amazon Relational Database Service 数据 API 事件。默认设置是包含所有 Amazon RDS 数据 API 事件。有关 Amazon RDS 数据 API 事件的更多信息,请参阅 *Amazon RDS Aurora 用户指南*中的[使用 AWS CloudTrail记录数据 API 调用](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html)。
1. 要记录数据事件,请选择**数据事件**。记录数据事件将收取额外费用。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
1.
**重要**
默认情况下,步骤 12-16 用于使用高级事件选择器配置数据事件。高级事件选择器让您可以配置更多[资源类型](logging-data-events-with-cloudtrail.md#logging-data-events),并对跟踪捕获的数据事件进行精细控制。如果您计划记录网络活动事件,则必须使用高级事件选择器。如果使用基本事件选择器,请完成 [使用基本事件选择器配置数据事件设置](cloudtrail-create-a-trail-using-the-console-first-time.md#trail-data-events-basic-selectors) 中的步骤,然后返回到此过程的步骤 17。
对于**资源类型**,选择要在其上记录数据事件的资源类型。有关可用的资源类型的更多信息,请参阅 [数据事件](logging-data-events-with-cloudtrail.md#logging-data-events)。
1. 选择日志选择器模板。您可以选择预定义的模板,也可以选择**自定义**来定义您自己的事件收集条件。
您可以从以下预定义模板中进行选择:
+ **记录所有事件**:选择此模板以记录所有事件。
+ **仅记录读取事件**:选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。
+ **仅记录写入事件**:选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **仅记录 AWS 管理控制台 事件**-选择此模板仅记录源自的事件 AWS 管理控制台。
+ **排除 AWS 服务 已启动的事件**-选择此模板可排除 AWS 服务 具有`eventType`关联角色的事件和使用 AWS 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`
**注意**
为 S3 存储桶选择预定义的模板可以记录当前您 AWS 账户中的所有存储分段以及您在创建完跟踪后创建的任何存储分段的数据事件。它还允许记录您 AWS 账户中任何 IAM 身份执行的数据事件活动,即使该活动是在属于另一个 AWS 账户的存储桶上执行的。
如果跟踪仅应用于一个区域,则选择记录所有 S3 存储桶的预定义模板可为跟踪所在的区域中的所有存储桶和您后来在该区域中创建的任何存储桶启用数据事件日志记录。不会为您的 AWS 账户的其他区域中的 Amazon S3 存储桶记录数据事件。
如果您要创建多区域跟踪,则选择 Lambda 函数的预定义模板可以记录当前 AWS 账户中的所有函数以及完成创建跟踪后可能在任何区域创建的任何 Lambda 函数的数据事件。如果您要为单个区域创建跟踪(使用完成 AWS CLI),则此选择将启用您 AWS 账户中该区域中当前所有函数的数据事件记录,以及您在完成跟踪创建后可能在该区域创建的任何 Lambda 函数的数据事件记录。它不会为在其他区域中创建的 Lambda 函数启用数据事件日志记录。
记录所有函数的数据事件还可以记录 AWS 账户中任何 IAM 身份执行的数据事件活动,即使该活动是在属于另一个 AWS 账户的函数上执行的。
1. (可选)在**选择器名称**中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如“仅记录两个 S3 桶的数据事件”。选择器名称在高级事件选择器中列为 `Name`,展开 **JSON 视图**即可查看该名称。
1. 如果您选择了**自定义**,则在**高级事件选择器**中,将基于高级事件选择器字段的值生成表达式。
**注意**
选择器不支持使用通配符,例如 `*`。要将多个值与单个条件匹配,可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。
1. 从下面的字段中选择。
+ **`readOnly`**:`readOnly` 可以设置为**等于**值 `true` 或 `false`。只读数据事件是不会更改资源状态的事件,例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件,例如 `Put*`、`Delete*` 或 `Write*` 事件。要记录 `read` 和 `write` 两种事件,请不要添加 `readOnly` 选择器。
+ **`eventName`**:`eventName` 可以使用任何运算符。您可以使用它来包含或排除记录到的任何数据事件 CloudTrail,例如`PutBucket``GetItem`、或`GetSnapshotBlock`。
+ **`eventSource`**:要包括或排除的事件类型。此字段可以使用任意运算符。
+ **eventType**:要包括或排除的事件类型。例如,可以将此字段设置为**不等于** `AwsServiceEvent`,以排除 [AWS 服务 事件](non-api-aws-service-events.md)。有关事件类型的列表,请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)。
+ **sessionCredentialFrom控制台**-包括或排除源自 AWS 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
+ **userIdentity.arn**:包含或排除特定 IAM 身份所采取操作的事件。有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`resources.ARN`**:您可以将任何运算符与 `resources.ARN` 配合使用,但如果您使用**等于**或**不等于**,则该值必须与您在模板中指定为 `resources.type` 的值的有效资源类型的 ARN 完全匹配。
**注意**
您不能使用该`resources.ARN`字段筛选没有的资源类型 ARNs。
有关数据事件资源的 ARN 格式的更多信息,请参阅《服务授权参考》**中的 [AWS 服务的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。例如,要从记录到事件数据存储的数据事件中排除两个 S3 存储桶的数据事件,可以将字段设置为 **resources.ARN**,设置**不始于**运算符,然后粘贴您不想为其记录事件的 S3 存储桶 ARN。
要添加第二个 S3 存储桶,请选择 **\$1 条件**,然后重复上述说明,在 ARN 中粘贴或浏览到不同的存储桶。
有关如何 CloudTrail 评估多个条件的信息,请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
对于事件数据存储上的所有选择器,最多可以有 500 个值。这包括选择器的多个值的数组,例如 `eventName`。如果所有选择器均为单个值,则最多可以向选择器添加 500 个条件。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。例如,不要在一个选择器中将 ARN 指定为等于某个值,然后在另一个选择器中指定 ARN 不等于相同的值。
1. 要添加需要记录数据事件的资源类型,请选择**添加数据事件类型**。重复步骤 12 至此步骤,为资源类型配置高级事件选择器。
1. 要记录网络活动事件,请选择**网络活动事件**。网络活动事件使 VPC 终端节点所有者能够记录使用其 VPC 终端节点从私有 VPC 到的 AWS API 调用 AWS 服务。记录数据事件将收取额外费用。有关更多信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
要记录网络活动事件,请执行下列操作:
1. 从**网络活动事件源**中,选择网络活动事件的来源。
1. 在**记录选择器模板**中,选择一个模板。您可以选择记录所有网络活动事件、记录所有网络活动访问被拒绝的事件,或者选择**自定义**来构建自定义日志选择器以筛选多个字段(例如 `eventName` 和 `vpcEndpointId`)。
1. (可选)输入用于标识选择器的名称。选择器名称在高级事件选择器中列为 **名称**,展开 **JSON 视图**即可查看该名称。
1. 在**高级事件选择器**中,通过为**字段**、**运算符**和**值**选择值来构建表达式。如果您使用的是预定义日志模板,则可跳过此步骤。
1. 要排除或包括网络活动事件,您可以从控制台中的以下字段中进行选择。
+ **`eventName`**:您可以将任何运算符与 `eventName` 配合使用。您可以使用它来包含或排除任何事件(如 `CreateKey`)。
+ **`errorCode`**:您可以使用它来筛选错误代码。目前,唯一支持的 `errorCode` 是 `VpceAccessDenied`。
+ **`vpcEndpointId`**:标识操作通过的 VPC 端点。您可以将任何运算符与 `vpcEndpointId` 配合使用。
1. 对于每个字段,请选择 **\$1 条件**以根据需要添加任意数量的条件,所有条件总共可有最多 500 个指定值。
1. 根据需要,选择 **\$1 字段**以添加其他字段。为了避免错误,请不要为字段设置冲突或重复的值。
1. 要添加您想要记录网络活动事件的另一个事件源,请选择**添加网络活动事件选择器**。
1. 或者,展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。
1. 如果您希望跟踪记录**见解事件**,请选择 CloudTrail Insights 事件。
在**事件类型**中,选择 **Insights 事件**。在 **Insights 事件**中,选择 **API 调用率**和/或 **API 错误率**。您必须记录**写入**管理事件,以针对 **API 调用率**记录 Insights 事件。您必须记录**读取**或**写入**管理事件,以针对 **API 错误率**记录 Insights 事件。
CloudTrail Insights 会分析管理事件中是否存在异常活动,并在检测到异常时记录事件。默认情况下,跟踪记录不记录 Insights 事件。有关 Insights 事件的更多信息,请参阅[使用见 CloudTrail 解](logging-insights-events-with-cloudtrail.md)。记录 Insights 事件将收取额外费用。有关 CloudTrail 定价,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
Insights 事件将传送到另一个文件夹,该文件夹以同一 S3 存储桶命名`/CloudTrail-Insight`,该**存储桶在跟踪详细信息页面的存储位置**区域中指定。 CloudTrail为您创建新的前缀。例如,如果当前目标 S3 存储桶命名为 `amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/`,则带有新前缀的 S3 存储桶名称会命名为 `amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/`。
1. 完成选择要记录的事件类型的操作后,选择**下一步**。
1. 在 **Review and create**(审核和重建)页面上,审核您的选择。在相关部分中选择**编辑**以更改该部分中显示的跟踪设置。在准备好创建跟踪时,选择**创建跟踪**。
1. 新跟踪出现在**跟踪**页面上。一个组织跟踪最多可能需要 24 小时才能在所有成员账户的所有已启用区域中创建完成。**跟踪**页面显示您的账户中来自所有区域的跟踪记录。大约 5 分钟后, CloudTrail 发布显示组织中进行的 AWS API 调用的日志文件。您可以在指定的 Amazon S3 存储桶中查看日志文件。
**注意**
创建跟踪后,不能对其重命名。不过,可以删除跟踪并创建新跟踪。
## 后续步骤
创建您的跟踪后,您可以返回到该跟踪以进行更改:
+ 通过编辑跟踪来更改跟踪的配置。有关更多信息,请参阅 [使用 CloudTrail 控制台更新跟踪](cloudtrail-update-a-trail-console.md)。
+ 如果需要,请配置 Amazon S3 存储桶,以允许成员账户中的特定用户读取组织的日志文件。有关更多信息,请参阅 [在 AWS 账户之间共享 CloudTrail 日志文件](cloudtrail-sharing-logs.md)。
+ 配置 CloudTrail 为将日志文件发送到 CloudWatch 日志。有关更多信息,请参阅[将事件发送到 CloudWatch 日志](send-cloudtrail-events-to-cloudwatch-logs.md)和[中的 CloudWatch 日志项](creating-an-organizational-trail-prepare.md#cwl-org-pb)[准备为您的组织创建跟踪](creating-an-organizational-trail-prepare.md)。
**注意**
只有管理账户才能为组织跟踪配置 CloudWatch 日志组。
+ 创建表并将其用于在 Amazon Athena 中运行查询,以便分析 AWS 服务活动。有关更多信息,请参阅 [Amazon Athen](https://docs.aws.amazon.com/athena/latest/ug/) [a 用户 CloudTrail 指南中的在控制台中创建 CloudTrail 日志表](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct)。
+ 向跟踪添加自定义标签(键-值对)。
+ 要创建另一个组织跟踪记录,请返回到**跟踪**页面并选择**创建跟踪**。
**注意**
在您配置跟踪时,可以选择属于另一个账户的 Amazon S3 存储桶和 SNS 主题。但是,如果 CloudTrail 要将事件传送到 CloudWatch 日志日志组,则必须选择当前账户中存在的日志组。