了解多区域跟踪和选择加入区域
跟踪可以应用于 AWS 账户中启用的所有 AWS 区域,也可以应用于单个区域。适用于 AWS 账户中已启用的所有 AWS 区域的跟踪称为多区域跟踪。作为最佳实践,我们建议您创建多区域跟踪,因为它能够捕获所有已启用区域中的活动。使用 CloudTrail 控制台创建的所有跟踪都是多区域跟踪。您只能使用 AWS CLI 或 CreateTrail API 操作创建单区域跟踪。
尽管您的 AWS 账户 默认启用了大多数 AWS 区域,但您必须手动启用某些区域(也称为选择加入区域)。有关默认启用哪些区域的信息,请参阅《AWS 账户管理 参考指南》中的 Considerations before enabling and disabling Regions。有关 CloudTrail 支持的区域列表,请参阅 CloudTrail 支持的区域。
多区域跟踪有哪些优势?
多区域跟踪具有以下优势:
-
跟踪的配置设置一致地应用到所有已启用的 AWS 区域。
-
您可以在单个 Amazon S3 存储桶中(或者,在 CloudWatch Logs 日志组中)接收来自所有已启用的 AWS 区域的 CloudTrail 事件。
-
从一个位置管理所有已启用的 AWS 区域的跟踪配置。
创建多区域跟踪后会发生什么?
创建多区域跟踪会产生以下影响:
-
CloudTrail 将所有已启用的 AWS 区域中的账户活动的日志文件都传输到您指定的单个 Amazon S3 存储桶,并且可选择传输到 CloudWatch Logs 日志组。
-
如果您为跟踪配置了 Amazon SNS 主题,则会将有关所有已启用的 AWS 区域中的日志文件传输的 SNS 通知发送到此单个 SNS 主题。
-
您可以在所有已启用的 AWS 区域查看多区域跟踪,但只能在创建跟踪的主区域修改跟踪。
启用选择加入区域后会发生什么?
在您启用选择加入区域后,CloudTrail 会在您启用的选择加入区域中创建每个多区域跟踪的相同副本。
CloudTrail 使用名为最终一致性的分布式计算模型。由于启用区域需要几分钟到几小时的时间,因此您可能不会立即在日志中看到新启用区域的所有事件。CloudTrail 可能需要几个小时才能提供新启用区域的所有日志。在此期间,您可以通过查看 CloudTrail 事件历史记录或运行 aws cloudtrail lookup-events --region <region> 命令来查看该区域记录的最近 90 天的管理事件。默认情况下,事件历史记录在您的 AWS 账户中处于活动状态,可以捕获在某个区域中记录的最近 90 天的管理事件,并且不需要跟踪。
有关为 AWS 账户启用选择加入区域的信息,请参阅为独立账户启用或禁用区域或在组织中启用或禁用区域。
禁用选择加入区域后会发生什么?
由于您的账户可能在您禁用的区域内有活动(例如,AWS 服务 移除资源的操作),因此 CloudTrail 将继续捕获活动,并尝试将在禁用该区域之前未删除的所有跟踪的事件传送到 S3 存储桶。
