本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 `update-trail`命令更新線索
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail"></a>

**重要**  
截至 2021 年 11 月 22 日， AWS CloudTrail 變更了線索擷取全球服務事件的方式。現在，Amazon CloudFront 建立的事件 AWS Identity and Access Management AWS STS 會記錄在建立它們的區域中，即美國東部 （維吉尼亞北部） 區域 us-east-1。這使得 CloudTrail 如何處理這些服務與其他 AWS 全球服務一致的服務。若要繼續接收美國東部 (維吉尼亞北部) 以外的全域服務事件，請務必將使用美國東部 (維吉尼亞北部) 以外全域服務事件的*單一區域追蹤*轉換為*多區域追蹤*。如需擷取全球服務事件的詳細資訊，請參閱本節下文的「[啟用及停用全球服務事件記錄](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)」。  
 相反地，CloudTrail 主控台中的**事件歷史記錄**和 **aws cloudtrail lookup-events**命令會在事件發生 AWS 區域 的 中顯示這些事件。

您可以使用 `update-trail` 命令來變更追蹤的組態設定。您也可以使用 **add-tags** 和 **remove-tags** 命令來新增及移除追蹤的標籤。您只能從建立追蹤的 AWS 區域 （其主區域） 更新追蹤。使用 時 AWS CLI，請記住，您的命令會在為設定檔設定的 AWS 區域中執行。如果您想在不同區域中執行命令，則可變更設定檔的預設區域，或搭配 **--region** 參數使用命令。

如果您已在 Amazon Security Lake 中啟用 CloudTrail 管理事件，則需要維護至少一個多區域，會同時記錄 `read` 和 `write` 管理事件的組織追蹤。您不能以不符合 Security Lake 要求的方式更新合格的追蹤。例如，透過將追蹤變更為單一區域，或關閉記錄 `read` 或 `write` 管理事件。

**注意**  
如果您使用 AWS CLI 或其中一個 AWS SDKs 來修改線索，請確定線索的儲存貯體政策是up-to-date。為了讓您的儲存貯體自動接收來自新的事件 AWS 區域，政策必須包含完整的服務名稱 `cloudtrail.amazonaws.com`。如需詳細資訊，請參閱[適用於 CloudTrail 的 Amazon S3 儲存貯體政策](create-s3-bucket-policy-for-cloudtrail.md)。

**Topics**
+ [

## 將單一區域追蹤轉換為多區域追蹤
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)
+ [

## 將多區域追蹤轉換成單一區域追蹤
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)
+ [

## 啟用及停用全球服務事件記錄
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)
+ [

## 啟用日誌檔案驗證
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi)
+ [

## 停用日誌檔案驗證
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi-disable)

## 將單一區域追蹤轉換為多區域追蹤
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert"></a>

若要將現有的單一區域線索變更為多區域線索，請使用 `--is-multi-region-trail`選項。

```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```

若要確認線索現在是多區域線索，請確認輸出中的 `IsMultiRegionTrail`元素顯示 `true`。

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## 將多區域追蹤轉換成單一區域追蹤
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce"></a>

若要變更現有的多區域追蹤，使該追蹤只會套用至其建立所在的區域，請使用 `--no-is-multi-region-trail` 選項。

```
aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail
```

若輸出中的 `IsMultiRegionTrail` 元素顯示 `false`，即可確定追蹤現會套用至單一區域。

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## 啟用及停用全球服務事件記錄
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses"></a>

若要變更追蹤以停止記錄全域服務事件，請使用 `--no-include-global-service-events` 選項。

```
aws cloudtrail update-trail --name my-trail --no-include-global-service-events
```

若輸出中的 `IncludeGlobalServiceEvents` 元素顯示 `false`，即可確定追蹤不會再記錄全域服務事件。

```
{
    "IncludeGlobalServiceEvents": false,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

若要變更追蹤以記錄全域服務事件，則可使用 `--include-global-service-events` 選項。

自 2021 年 11 月 22 日起，單一區域追蹤將不再接收全域服務事件，除非追蹤在這之前已出現於美國東部 (維吉尼亞北部) 區域 (us-east-1)。若要繼續擷取全域服務事件，請將追蹤組態更新為多區域追蹤。例如，此命令會將美國東部 (俄亥俄) (us-east-2) 中的單一區域追蹤更新為多區域追蹤。將 *myExistingSingleRegionTrailWithGSE* 更改為適合您組態的追蹤名稱。

```
aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail
```

由於自 2021 年 11 月 22 日起，全域服務事件僅能在美國東部 (維吉尼亞北部) 提供，因此您也可以建立單一區域追蹤，訂閱美國東部 (維吉尼亞北部) 區域 (us-east-1) 的全域服務事件。下列命令會在 us-east-1 中建立單一區域追蹤，以接收 CloudFront、IAM 和 AWS STS 事件：

```
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name amzn-s3-demo-bucket
```

## 啟用日誌檔案驗證
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi"></a>

若要啟用追蹤的日誌檔案驗證，請使用 `--enable-log-file-validation` 選項。這會將摘要檔案交付到該追蹤的 Amazon S3 儲存貯體。

```
aws cloudtrail update-trail --name my-trail --enable-log-file-validation
```

若輸出中的 `LogFileValidationEnabled` 元素顯示 `true`，即可確定日誌檔案驗證已啟用。

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": true,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## 停用日誌檔案驗證
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi-disable"></a>

若要停用追蹤的日誌檔案驗證，請使用 `--no-enable-log-file-validation` 選項。

```
aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation
```

若輸出中的 `LogFileValidationEnabled` 元素顯示 `false`，即可確定日誌檔案驗證已停用。

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

若要使用 驗證日誌檔案 AWS CLI，請參閱 [使用 驗證 CloudTrail 日誌檔案完整性 AWS CLI](cloudtrail-log-file-validation-cli.md)。