使用 CloudTrail 跟踪 - AWS CloudTrail

使用 CloudTrail 跟踪

跟踪捕获 AWS 活动的记录,将这些事件传输并存储在 Amazon S3 存储桶中,并可选择传输至 CloudWatch LogsAmazon EventBridge

通过创建跟踪,您可以从 CloudTrail 免费向您的 S3 存储桶传输一份正在进行的管理事件的副本,但会收取 Amazon S3 存储费用。有关 CloudTrail 定价的更多信息,请参阅 AWS CloudTrail 定价。有关 Amazon S3 定价的信息,请参阅 Amazon S3 定价

您可以为您的 AWS 账户 创建多区域和单区域跟踪。

多区域跟踪

当您创建多区域跟踪时,CloudTrail 会记录您的 AWS 账户中已启用的所有 AWS 区域中的事件,并将 CloudTrail 事件日志文件传输到您指定的 S3 存储桶。作为最佳实践,我们建议您创建多区域跟踪,因为它能够捕获所有已启用区域中的活动。使用 CloudTrail 控制台创建的所有跟踪都是多区域跟踪。您可以通过使用 AWS CLI 将单区域跟踪转换为多区域跟踪。有关更多信息,请参阅了解多区域跟踪和选择加入区域使用控制台创建跟踪将单区域跟踪转换为多区域跟踪

单区域跟踪

当您创建单区域跟踪时,CloudTrail 仅记录该区域中的事件。然后,它将 CloudTrail 事件日志文件传送到您指定的 Amazon S3 存储桶。您只能使用 AWS CLI 创建单区域跟踪。如果您另外创建了单个跟踪,可以让这些跟踪将 CloudTrail 事件日志文件传送到同一个 S3 存储桶或单独的存储桶。这是使用 AWS CLI 或 CloudTrail API 创建跟踪时的默认选项。有关更多信息,请参阅 使用 AWS CLI 创建、更新和管理跟踪记录

注意

对于这两种类型的跟踪,您可以在任何区域中指定 Amazon S3 存储桶。

如果您已在 AWS Organizations 中创建组织,则可以创建组织跟踪,用于记录该组织中所有 AWS 账户的所有事件。组织跟踪可以应用于所有 AWS 区域或当前区域。组织跟踪必须使用管理账户或委托管理员账户创建,并且在指定为应用于某个组织时,组织跟踪将自动应用于该组织中的所有成员账户。成员账户可以查看组织跟踪,但无法对其进行修改或删除。默认情况下,成员账户无权访问 Amazon S3 存储桶中组织跟踪的日志文件。有关更多信息,请参阅 为组织创建跟踪

主题