# 为 S3 存储桶和对象启用 CloudTrail 事件日志记录
<a name="enable-cloudtrail-logging-for-s3"></a>

您可以使用 CloudTrail 数据事件获取有关 Amazon S3 中存储桶和对象级别请求的信息。要为您的所有存储桶或特定存储桶列表启用 CloudTrail 数据事件，您必须[在 CloudTrail 中手动创建跟踪记录](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

**注意**  
CloudTrail 的默认设置是仅查找管理事件。请检查以确保已为您的账户启用数据事件。
 利用正在生成高工作负载的 S3 存储桶，您可以在很短时间内快速生成数千条日志。请注意您为某个繁忙存储桶启用 CloudTrail 数据事件所选择的时长。

 CloudTrail 将 Amazon S3 数据事件日志存储在您选择的 S3 存储桶中。考虑在单独的 AWS 账户中使用一个存储桶将多个存储桶中您可能拥有的事件整理到一个集中位置，以便更轻松地进行查询和分析。AWS Organizations 可帮助您创建与拥有您所监控的存储桶的账户关联的 AWS 账户。有关更多信息，请参阅《AWS Organizations 用户指南》**中的[什么是 AWS Organizations？](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。

在 CloudTrail 中记录跟踪的数据事件时，您可以选择使用高级事件选择器或基本事件选择器，来记录存储在通用存储桶中的对象的数据事件。要记录存储在目录存储桶中的对象的数据事件，必须使用高级事件选择器。有关更多信息，请参阅[使用 AWS CloudTrail 为 S3 Express One Zone 记录日志](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-one-zone-logging.html)。

在 CloudTrail 控制台中使用高级事件选择器创建跟踪时，在数据事件部分中，您可以在**记录选择器模板**中选择**记录所有事件**，来记录所有对象级事件。在 CloudTrail 中使用基本事件选择器创建跟踪时，在数据事件部分中，您可以选中**选择您账户中的所有 S3 存储桶**复选框以记录所有对象级事件。

**注意**  
最佳实践是为 AWS CloudTrail 数据事件存储桶创建生命周期配置。配置生命周期配置，以便在您认为需要审计日志文件的时间段之后定期删除这些日志文件。这样做可以减少 Athena 为每个查询分析的数据量。有关更多信息，请参阅 [在存储桶上设置 S3 生命周期配置](how-to-set-lifecycle-configuration-intro.md)。
有关日志记录格式的更多信息，请参阅[使用 AWS CloudTrail 记录 Amazon S3 API 调用](cloudtrail-logging.md)。
有关如何查询 CloudTrail 日志的示例，请参阅 *AWS 大数据博客*文章[使用 AWS CloudTrail 和 Amazon Athena 分析安全性、合规性和操作活动](https://aws.amazon.com/blogs/big-data/aws-cloudtrail-and-amazon-athena-dive-deep-to-analyze-security-compliance-and-operational-activity/)。

## 使用控制台为存储桶中的对象启用日志记录功能
<a name="enable-cloudtrail-events"></a>

可以使用 AWS CloudTrail 控制台配置 CloudTrail 跟踪来记录 S3 存储桶中对象的数据事件。CloudTrail 支持记录 Amazon S3 对象级别 API 操作，例如 `GetObject`、`DeleteObject` 和 `PutObject`。这些事件称为*数据事件*。

默认情况下，CloudTrail 跟踪不会记录数据事件，但您可以将跟踪配置为记录您指定的 S3 存储桶的数据事件，或记录 AWS 账户 中所有 Amazon S3 存储桶的数据事件。有关更多信息，请参阅 [使用 AWS CloudTrail 记录 Amazon S3 API 调用](cloudtrail-logging.md)。

CloudTrail 不会在 CloudTrail 事件历史记录中填充数据事件。此外，并非所有存储桶级别的操作都会填充在 CloudTrail 事件历史记录中。有关 CloudTrail 日志记录跟踪的 Amazon S3 存储桶级 API 操作的更多信息，请参阅[CloudTrail 日志记录跟踪的 Amazon S3 存储桶级操作](cloudtrail-logging-s3-info.md#cloudtrail-bucket-level-tracking)。有关如何查询 CloudTrail 日志的更多信息，请参阅关于[使用 Amazon CloudWatch Logs 筛选条件模式和 Amazon Athena 查询 CloudTrail 日志](https://aws.amazon.com/premiumsupport/knowledge-center/find-cloudtrail-object-level-events/)的 AWS 知识中心文章。

**注意**  
如果您使用 AWS CloudTrail 记录数据活动，则 Amazon S3 `DeleteObjects` 数据事件的事件记录同时包括 `DeleteObjects` 事件和作为该操作的一部分删除的每个对象的 `DeleteObject` 事件。您可以从事件记录中排除有关已删除对象的额外可见性。有关更多信息，请参阅《AWS CloudTrail User Guide》**中的 [AWS CLI examples for filtering data events](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/filtering-data-events.html#filtering-data-events-deleteobjects)。

要为 S3 通用存储桶或 S3 目录存储桶中的对象启用 CloudTrail 数据事件日志记录，请参阅《AWS CloudTrail User Guide》**中的 [Creating a trail with the CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time)。

有关在 S3 目录存储桶中记录对象的更多信息，请参阅[使用 AWS CloudTrail 对目录存储桶进行日志记录](s3-express-one-zone-logging.md)。

有关使用 CloudTrail 控制台配置跟踪以记录 S3 数据事件的信息，请参阅《AWS CloudTrail User Guide》**中的 [Logging data events](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)。

要对 S3 存储桶中的对象禁用 CloudTrail 数据事件日志记录，请参阅《AWS CloudTrail User Guide》**中的 [Deleting a trail with the CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-delete-trails-console.html)。

**重要**  
记录数据事件将收取额外费用。有关更多信息，请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。

有关使用 S3 存储桶进行 CloudTrail 日志记录的更多信息，请参阅以下主题：
+ [创建通用存储桶](create-bucket-overview.md)
+ [查看 S3 通用存储桶的属性](view-bucket-properties.md)
+ [使用 AWS CloudTrail 记录 Amazon S3 API 调用](cloudtrail-logging.md)
+ 《AWS CloudTrail User Guide》**中的 [Working with CloudTrail log files](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html)