本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建跟踪以记录管理事件 对于您的第一个跟踪,我们建议创建一个记录所有[管理事件](cloudtrail-concepts.md#cloudtrail-concepts-management-events)但不记录任何[数据事件](cloudtrail-concepts.md#cloudtrail-concepts-data-events)或 Insights 事件的跟踪。管理事件的示例包含安全事件(如 IAM `CreateUser` 和 `AttachRolePolicy` 事件)、资源事件(如 `RunInstances` 和 `CreateBucket`),等等。在控制台中创建跟踪的过程中,您将创建一个 Amazon S3 存储桶,用于存储跟踪的 CloudTrail 日志文件。 **注意** AWS Control Tower 在设置 landing zone 时设置新的 CloudTrail 跟踪记录管理事件。它是组织级别的跟踪,这意味着它记录管理账户和组织中所有成员账户的所有管理事件。有关多信息,请参阅《*AWS CloudTrail 用户指南*》中的 [About logging in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html)。 本教程假定您创建您的第一个跟踪。根据您 AWS 账户中的跟踪数量以及这些跟踪的配置方式,以下过程可能会产生费用,也可能不会产生费用。 CloudTrail 将日志文件存储在 Amazon S3 存储桶中,这会产生成本。有关定价的更多信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)和 [Amazon S3 定价](https://aws.amazon.com/s3/pricing/)。 **创建跟踪** 1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。 1. 在**区域**选择器中,选择要在其中创建跟踪的 AWS 区域。这是跟踪的主区域。 **注意** 创建跟踪后,只有主区域 AWS 区域 可以对其进行更新。 1. 在 CloudTrail 服务主页、“**跟踪**” 页面或 “控制面**板**” 页面的 “**跟踪**” 部分,选择 “**创建跟踪**”。 1. 在 **Trail name (跟踪名称)** 中,指定跟踪的名称,例如 {{management-events}}。作为最佳实践,请使用可快速识别跟踪用途的名称。在这种情况下,您正在创建的跟踪将记录管理事件。 1. 保留**为我的组织中的所有账户启用**的默认设置。除非您在 Organizations 中配置了账户,否则此选项将不能进行更改。 1. 对于**存储位置**,选择**创建新的 S3 存储桶**以创建存储桶。创建存储桶时, CloudTrail 会创建并应用所需的存储桶策略。如果您选择创建新的 S3 存储桶,则您的 IAM 策略需要包含 `s3:PutEncryptionConfiguration` 操作的权限,因为默认情况下,存储桶已启用服务器端加密。为您的存储桶提供可轻松识别的名称。 为了便于查找日志,请在现有存储桶中创建一个新文件夹(也称为*前缀*)来存储 CloudTrail 日志。 **注意** Amazon S3 存储桶的名称必须是全局唯一的。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。 1. 清除此复选框可禁用**日志文件 SSE-KMS 加密**。默认情况下,您将使用 SSE-S3 加密法加密日志文件。有关此设置的更多信息,请参阅[使用具有 Amazon S3 托管式密钥(SSE-S3)的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。 1. 在**其他设置**中保留默认设置。 1. 保留 “**CloudWatch 日志**” 的默认设置。目前,不要向 Amazon Logs 发送 CloudWatch 日志。 1. (可选)在**标签**中,您最多可以添加 50 个标签键对,以帮助您对跟踪的访问进行识别、排序和控制。标签可以帮助您识别您的 CloudTrail 跟踪和其他资源,例如包含 CloudTrail 日志文件的 Amazon S3 存储桶。例如,您可以附加名称为 **Compliance**、值为 **Auditing** 的标签。 **注意** 尽管您可以在 CloudTrail 控制台中创建跟踪时向其添加标签,也可以创建 Amazon S3 存储桶在控制台中存储日志文件,但您无法从 CloudTrail 控制台向 Amazon S3 存储桶添加标签。 CloudTrail 有关查看和更改 Amazon S3 存储桶属性(包括向存储桶添加标签)的更多信息,请参阅 [https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)。 完成标签创建后,选择**下一步**。 1. 在**选择日志事件**页面中,选择要记录的事件类型。对于此跟踪,请保留默认值**管理事件**。在**管理事件**区域中,如果尚未选择,则选择以记录**读取**和**写入**两类事件。将**排除 AWS KMS 事件**和排除 **Amazon RDS 数据 API 事件**复选框留空,以记录所有管理事件。 ![创建跟踪页面,事件类型设置](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png) 1. 保留**数据事件**、**Insights 事件**和**网络活动事件**的默认设置。此跟踪不会记录任何数据事件、Insights 事件或网络活动事件。选择**下一步**。 1. 在**查看并创建**页面上,审核您为跟踪选择的设置。对相关部分选择**编辑**以返回并进行更改。在准备好创建跟踪时,选择**创建跟踪**。 1. **跟踪**页面会在表中显示您的新跟踪记录。请注意,跟踪设置为**多区域跟踪**,并且默认情况下为跟踪打开了日志记录。 ![Create trail(创建跟踪)页面,Event type(事件类型)设置](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png) 有关跟踪的更多信息,请参阅[处理 CloudTrail 轨迹](cloudtrail-trails.md)。