本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 `create-trail`命令來建立線索
您可以執行 `create-trail` 命令來建立專為業務需求設定的追蹤。使用 時 AWS CLI,請記住您的命令會在為設定檔設定的 AWS 區域中執行。如果您想在不同區域中執行命令,則可變更設定檔的預設區域,或搭配 **--region** 參數使用命令。
## 建立多區域追蹤
線索可以套用至在您的 中[啟用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)的所有 AWS 區域 AWS 帳戶,也可以套用至單一區域。套用至 中所有啟用 AWS 區域 的線索 AWS 帳戶 稱為*多區域線索*。根據最佳實務,我們建議您建立多區域追蹤,因為它會擷取所有啟用區域中的活動。
若要建立多區域追蹤,請使用 `--is-multi-region-trail`選項。在預設情況下,`create-trail` 命令所建立的追蹤只會記錄該追蹤建立所在 AWS 區域中的事件。為了確保您記錄全域服務事件並擷取 AWS 帳戶中的所有管理事件活動,您應該建立追蹤來記錄所有 AWS 區域中的事件。
**注意**
當您建立追蹤時,若指定的 Amazon S3 儲存貯體並非透過 CloudTrail 所建立,則需連接適當的政策。請參閱 [適用於 CloudTrail 的 Amazon S3 儲存貯體政策](create-s3-bucket-policy-for-cloudtrail.md)。
下列範例會建立名為 *my-trail* 的多區域線索,以及具有名為 *Group* 之索引鍵的標籤,該索引鍵值為 *Marketing*,可將您帳戶中所有已啟用區域的日誌傳送至名為 *amzn-s3-demo-bucket* 的現有儲存貯體。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]
```
若要確認您的線索是多區域線索,請確認輸出中的 `IsMultiRegionTrail`元素顯示 `true`。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
**注意**
使用 `start-logging` 命令來為追蹤啟動記錄功能。
## 啟動追蹤的記錄功能
`create-trail` 命令完成之後,請執行 `start-logging` 命令開始追蹤的記錄。
**注意**
您在 CloudTrail 主控台中建立追蹤時,即自動開啟記錄日誌。
下列範例會為追蹤啟動記錄功能。
```
aws cloudtrail start-logging --name my-trail
```
此命令不會傳回輸出,但您可以使用 `get-trail-status` 命令來確認記錄功能已啟動。
```
aws cloudtrail get-trail-status --name my-trail
```
若輸出中的 `IsLogging` 元素顯示 `true`,即可確定追蹤正在進行記錄。
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
## 建立單一區域追蹤
下列命令會建立單一區域追蹤。指定的 Amazon S3 儲存貯體必須已經存在,而且已套用適當的 CloudTrail 許可。如需詳細資訊,請參閱[適用於 CloudTrail 的 Amazon S3 儲存貯體政策](create-s3-bucket-policy-for-cloudtrail.md)。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket
```
以下為範例輸出。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## 建立已啟用日誌檔案驗證的多區域追蹤
若要在使用 `create-trail` 時啟用日誌檔案驗證,請使用 `--enable-log-file-validation` 選項。
如需日誌檔案驗證的相關資訊,請參閱[驗證 CloudTrail 日誌檔案完整性](cloudtrail-log-file-validation-intro.md)。
下列範例會建立多區域追蹤,將日誌傳送到指定的儲存貯體。此命令會採用 `--enable-log-file-validation` 選項。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation
```
若輸出中的 `LogFileValidationEnabled` 元素顯示 `true`,即可確定日誌檔案驗證已啟用。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": true,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```