本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 建立、更新和管理線索 AWS CLI
您可以使用 AWS CLI 來建立、更新和管理追蹤。使用 時 AWS CLI,請記住您的命令會在為設定檔設定的 AWS 區域中執行。如果您想在不同區域中執行命令,則可變更設定檔的預設區域,或搭配 **--region** 參數使用命令。
**注意**
您需要 AWS 命令列工具才能執行本主題中的 AWS Command Line Interface (AWS CLI) 命令。請確定您 AWS CLI 已安裝最新版本的 。如需詳細資訊,請參閱[「AWS Command Line Interface 使用者指南」](https://docs.aws.amazon.com/cli/latest/userguide/)。如需命令 AWS CLI 列 CloudTrail 命令的說明,請輸入 `aws cloudtrail help`。
## 建立及管理追蹤的常用命令與狀態
CloudTrail 中有一些較常用來建立及更新追蹤的命令,其中包括:
+ **[create-trail](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md)** 可建立追蹤。
+ **[update-trail](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md)** 可變更現有追蹤的組態。
+ **[add-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-add-tag)** 可新增一或多個標籤 (索引鍵/值組) 至現有追蹤。
+ **[remove-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-remove-tag)** 可從追蹤移除一或多個標籤。
+ **[list-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-list-tags)** 可傳回與追蹤相關聯的標籤清單。
+ **[put-event-selectors](cloudtrail-additional-cli-commands.md#configuring-adv-event-selector-examples)** 可新增或修改追蹤的事件選取器。
+ **[put-insight-selectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html)** 以新增或修改現有追蹤的 Insights 事件選取器,以及啟用或停用 Insights 事件。
+ **[start-logging](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single-start-logging)** 可開始使用追蹤記錄事件。
+ **[stop-logging](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands)** 可暫停使用追蹤記錄事件。
+ **[delete-trail](cloudtrail-additional-cli-commands.md#cloudtrail-delete-trail-cli)** 可刪除追蹤。此命令不會刪除包含該追蹤日誌檔案的 Amazon S3 儲存貯體 (若有的話)。
+ **[describe-trails](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)** 傳回 AWS 區域中線索的相關資訊。
+ **[get-trail](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)** 可傳回追蹤的設定資訊。
+ **[get-trail-status](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)** 可傳回追蹤目前狀態的相關資訊。
+ **[get-event-selectors](cloudtrail-additional-cli-commands.md#configuring-adv-event-selector-examples)** 可傳回為追蹤設定的事件選取器相關資訊。
+ **[get-insight-selectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetInsightSelectors.html)** 可傳回為追蹤設定的 Insights 事件選取器相關資訊。
### 建立及更新追蹤支援的命令:create-trail 與 update-trail
`create-trail` 和 `update-trail` 命令提供各種可用來建立及管理追蹤的功能,其中包括:
+ 使用 `--is-multi-region-trail` 選項來建立跨區域接收日誌的追蹤,或是更新追蹤。在大多數情況下,您應該建立追蹤記錄所有 AWS 區域中的事件。
+ 使用 **--is-organization-trail**選項建立接收組織中所有 AWS 帳戶日誌的線索。
+ 使用 `--no-is-multi-region-trail` 選項將多區域追蹤轉換成單一區域追蹤。
+ 使用 `--kms-key-id` 選項來啟用或停用日誌檔案加密。選項會指定您已建立的金鑰,以及您已連接允許 CloudTrail 加密日誌的政策的 AWS KMS 金鑰。如需詳細資訊,請參閱[使用 啟用和停用 CloudTrail 日誌檔案、摘要檔案和事件資料存放區的加密 AWS CLI](cloudtrail-log-file-encryption-cli.md)。
+ 使用 `--enable-log-file-validation` 和 `--no-enable-log-file-validation` 選項來啟用或停用日誌檔案驗證。如需詳細資訊,請參閱 [驗證 CloudTrail 日誌檔案完整性](cloudtrail-log-file-validation-intro.md)。
+ 指定 CloudWatch Logs 日誌群組和角色,讓 CloudTrail 可以將事件交付到 CloudWatch Logs 群組。如需詳細資訊,請參閱[使用 Amazon CloudWatch Logs 監控 CloudTrail 日誌檔案](monitor-cloudtrail-log-files-with-cloudwatch-logs.md)。
### 廢除的命令:create-subscription 和 update-subscription
**重要**
`create-subscription` 和 `update-subscription` 命令先前可用來建立及更新追蹤,但已廢除。請勿使用這些命令,它們無法提供建立及管理追蹤的完整功能。
如果您設定為自動使用上述命令之一或兩者,建議您更新程式碼或指令碼,以使用 **create-trail** 等受支援的命令。
# 使用 `create-trail`命令來建立線索
您可以執行 `create-trail` 命令來建立專為業務需求設定的追蹤。使用 時 AWS CLI,請記住您的命令會在為設定檔設定的 AWS 區域中執行。如果您想在不同區域中執行命令,則可變更設定檔的預設區域,或搭配 **--region** 參數使用命令。
## 建立多區域追蹤
線索可以套用至在您的 中[啟用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)的所有 AWS 區域 AWS 帳戶,也可以套用至單一區域。套用至 中所有啟用 AWS 區域 的線索 AWS 帳戶 稱為*多區域線索*。根據最佳實務,我們建議您建立多區域追蹤,因為它會擷取所有啟用區域中的活動。
若要建立多區域追蹤,請使用 `--is-multi-region-trail`選項。在預設情況下,`create-trail` 命令所建立的追蹤只會記錄該追蹤建立所在 AWS 區域中的事件。為了確保您記錄全域服務事件並擷取 AWS 帳戶中的所有管理事件活動,您應該建立追蹤來記錄所有 AWS 區域中的事件。
**注意**
當您建立追蹤時,若指定的 Amazon S3 儲存貯體並非透過 CloudTrail 所建立,則需連接適當的政策。請參閱 [適用於 CloudTrail 的 Amazon S3 儲存貯體政策](create-s3-bucket-policy-for-cloudtrail.md)。
下列範例會建立名為 *my-trail* 的多區域線索,以及具有名為 *Group* 之索引鍵的標籤,該索引鍵值為 *Marketing*,可將您帳戶中所有已啟用區域的日誌傳送至名為 *amzn-s3-demo-bucket* 的現有儲存貯體。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]
```
若要確認您的線索是多區域線索,請確認輸出中的 `IsMultiRegionTrail`元素顯示 `true`。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
**注意**
使用 `start-logging` 命令來為追蹤啟動記錄功能。
## 啟動追蹤的記錄功能
`create-trail` 命令完成之後,請執行 `start-logging` 命令開始追蹤的記錄。
**注意**
您在 CloudTrail 主控台中建立追蹤時,即自動開啟記錄日誌。
下列範例會為追蹤啟動記錄功能。
```
aws cloudtrail start-logging --name my-trail
```
此命令不會傳回輸出,但您可以使用 `get-trail-status` 命令來確認記錄功能已啟動。
```
aws cloudtrail get-trail-status --name my-trail
```
若輸出中的 `IsLogging` 元素顯示 `true`,即可確定追蹤正在進行記錄。
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
## 建立單一區域追蹤
下列命令會建立單一區域追蹤。指定的 Amazon S3 儲存貯體必須已經存在,而且已套用適當的 CloudTrail 許可。如需詳細資訊,請參閱[適用於 CloudTrail 的 Amazon S3 儲存貯體政策](create-s3-bucket-policy-for-cloudtrail.md)。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket
```
以下為範例輸出。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## 建立已啟用日誌檔案驗證的多區域追蹤
若要在使用 `create-trail` 時啟用日誌檔案驗證,請使用 `--enable-log-file-validation` 選項。
如需日誌檔案驗證的相關資訊,請參閱[驗證 CloudTrail 日誌檔案完整性](cloudtrail-log-file-validation-intro.md)。
下列範例會建立多區域追蹤,將日誌傳送到指定的儲存貯體。此命令會採用 `--enable-log-file-validation` 選項。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation
```
若輸出中的 `LogFileValidationEnabled` 元素顯示 `true`,即可確定日誌檔案驗證已啟用。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": true,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
# 使用 `update-trail`命令更新線索
**重要**
截至 2021 年 11 月 22 日, AWS CloudTrail 變更了線索擷取全球服務事件的方式。現在,Amazon CloudFront 建立的事件 AWS Identity and Access Management AWS STS 會記錄在建立它們的區域中,即美國東部 (維吉尼亞北部) 區域 us-east-1。這使得 CloudTrail 如何處理這些服務與其他 AWS 全球服務一致的服務。若要繼續接收美國東部 (維吉尼亞北部) 以外的全域服務事件,請務必將使用美國東部 (維吉尼亞北部) 以外全域服務事件的*單一區域追蹤*轉換為*多區域追蹤*。如需擷取全球服務事件的詳細資訊,請參閱本節下文的「[啟用及停用全球服務事件記錄](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)」。
相反地,CloudTrail 主控台中的**事件歷史記錄**和 **aws cloudtrail lookup-events**命令會在事件發生 AWS 區域 的 中顯示這些事件。
您可以使用 `update-trail` 命令來變更追蹤的組態設定。您也可以使用 **add-tags** 和 **remove-tags** 命令來新增及移除追蹤的標籤。您只能從建立追蹤的 AWS 區域 (其主區域) 更新追蹤。使用 時 AWS CLI,請記住,您的命令會在為設定檔設定的 AWS 區域中執行。如果您想在不同區域中執行命令,則可變更設定檔的預設區域,或搭配 **--region** 參數使用命令。
如果您已在 Amazon Security Lake 中啟用 CloudTrail 管理事件,則需要維護至少一個多區域,會同時記錄 `read` 和 `write` 管理事件的組織追蹤。您不能以不符合 Security Lake 要求的方式更新合格的追蹤。例如,透過將追蹤變更為單一區域,或關閉記錄 `read` 或 `write` 管理事件。
**注意**
如果您使用 AWS CLI 或其中一個 AWS SDKs 來修改線索,請確定線索的儲存貯體政策是up-to-date。為了讓您的儲存貯體自動接收來自新的事件 AWS 區域,政策必須包含完整的服務名稱 `cloudtrail.amazonaws.com`。如需詳細資訊,請參閱[適用於 CloudTrail 的 Amazon S3 儲存貯體政策](create-s3-bucket-policy-for-cloudtrail.md)。
**Topics**
+ [
## 將單一區域追蹤轉換為多區域追蹤
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)
+ [
## 將多區域追蹤轉換成單一區域追蹤
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)
+ [
## 啟用及停用全球服務事件記錄
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)
+ [
## 啟用日誌檔案驗證
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi)
+ [
## 停用日誌檔案驗證
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi-disable)
## 將單一區域追蹤轉換為多區域追蹤
若要將現有的單一區域線索變更為多區域線索,請使用 `--is-multi-region-trail`選項。
```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```
若要確認線索現在是多區域線索,請確認輸出中的 `IsMultiRegionTrail`元素顯示 `true`。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## 將多區域追蹤轉換成單一區域追蹤
若要變更現有的多區域追蹤,使該追蹤只會套用至其建立所在的區域,請使用 `--no-is-multi-region-trail` 選項。
```
aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail
```
若輸出中的 `IsMultiRegionTrail` 元素顯示 `false`,即可確定追蹤現會套用至單一區域。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## 啟用及停用全球服務事件記錄
若要變更追蹤以停止記錄全域服務事件,請使用 `--no-include-global-service-events` 選項。
```
aws cloudtrail update-trail --name my-trail --no-include-global-service-events
```
若輸出中的 `IncludeGlobalServiceEvents` 元素顯示 `false`,即可確定追蹤不會再記錄全域服務事件。
```
{
"IncludeGlobalServiceEvents": false,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
若要變更追蹤以記錄全域服務事件,則可使用 `--include-global-service-events` 選項。
自 2021 年 11 月 22 日起,單一區域追蹤將不再接收全域服務事件,除非追蹤在這之前已出現於美國東部 (維吉尼亞北部) 區域 (us-east-1)。若要繼續擷取全域服務事件,請將追蹤組態更新為多區域追蹤。例如,此命令會將美國東部 (俄亥俄) (us-east-2) 中的單一區域追蹤更新為多區域追蹤。將 *myExistingSingleRegionTrailWithGSE* 更改為適合您組態的追蹤名稱。
```
aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail
```
由於自 2021 年 11 月 22 日起,全域服務事件僅能在美國東部 (維吉尼亞北部) 提供,因此您也可以建立單一區域追蹤,訂閱美國東部 (維吉尼亞北部) 區域 (us-east-1) 的全域服務事件。下列命令會在 us-east-1 中建立單一區域追蹤,以接收 CloudFront、IAM 和 AWS STS 事件:
```
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name amzn-s3-demo-bucket
```
## 啟用日誌檔案驗證
若要啟用追蹤的日誌檔案驗證,請使用 `--enable-log-file-validation` 選項。這會將摘要檔案交付到該追蹤的 Amazon S3 儲存貯體。
```
aws cloudtrail update-trail --name my-trail --enable-log-file-validation
```
若輸出中的 `LogFileValidationEnabled` 元素顯示 `true`,即可確定日誌檔案驗證已啟用。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": true,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## 停用日誌檔案驗證
若要停用追蹤的日誌檔案驗證,請使用 `--no-enable-log-file-validation` 選項。
```
aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation
```
若輸出中的 `LogFileValidationEnabled` 元素顯示 `false`,即可確定日誌檔案驗證已停用。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
若要使用 驗證日誌檔案 AWS CLI,請參閱 [使用 驗證 CloudTrail 日誌檔案完整性 AWS CLI](cloudtrail-log-file-validation-cli.md)。
# 使用 管理線索 AWS CLI
AWS CLI 包含數個其他命令,可協助您管理線索。這些命令可用來將標籤新增至追蹤、取得追蹤狀態、啟動和停止追蹤的記錄功能,以及刪除追蹤。您必須從建立追蹤的相同 AWS 區域 (其主區域) 執行這些命令。使用 時 AWS CLI,請記住您的命令會在為設定檔設定的 AWS 區域中執行。如果您想在不同區域中執行命令,則可變更設定檔的預設區域,或搭配 **--region** 參數使用命令。
**Topics**
+ [
## 新增一或多個標籤至追蹤
](#cloudtrail-additional-cli-commands-add-tag)
+ [
## 列出一或多個追蹤的標籤
](#cloudtrail-additional-cli-commands-list-tags)
+ [
## 從追蹤移除一或多個標籤
](#cloudtrail-additional-cli-commands-remove-tag)
+ [
## 擷取追蹤設定和追蹤狀態
](#cloudtrail-additional-cli-commands-retrieve)
+ [
## 設定 CloudTrail Insights 事件選取器
](#configuring-insights-selector)
+ [
## 設定進階事件選取器
](#configuring-adv-event-selector-examples)
+ [
## 設定基本事件選取器
](#configuring-event-selector-examples)
+ [
## 停止及啟動追蹤的記錄功能
](#cloudtrail-start-stop-logging-cli-commands)
+ [
## 刪除追蹤
](#cloudtrail-delete-trail-cli)
## 新增一或多個標籤至追蹤
若要將一或多個標籤新增至現有的追蹤,請執行 **add-tags** 命令。
下列範例會將名稱為 *Owner* (擁有者) 和值為 *Mary* 的標籤新增至美國東部 (俄亥俄) 區域 ARN 為 *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*my-trail** 的追蹤。
```
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2
```
若成功,此命令不會傳回任何內容。
## 列出一或多個追蹤的標籤
若要檢視與一或多個現有追蹤相關聯的標籤,請使用 **list-tags** 命令。
下列範例會列出 *Trail1* 和 *Trail2* 的標籤。
```
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
```
如果成功,此命令傳回的輸出會類似如下。
```
{
"ResourceTagList": [
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1",
"TagsList": [
{
"Value": "Alice",
"Key": "Name"
},
{
"Value": "Ohio",
"Key": "Location"
}
]
},
{
"ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2",
"TagsList": [
{
"Value": "Bob",
"Key": "Name"
}
]
}
]
}
```
## 從追蹤移除一或多個標籤
若要從現有的追蹤移除一或多個標籤,請執行 **remove-tags** 命令。
下列範例為從美國東部 (俄亥俄) 區域中 ARN 為 *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*Trail1** 的追蹤中移除名稱為 *Location* (位置) 和 *Name* (名稱) 的標籤。
```
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2
```
若成功,此命令不會傳回任何內容。
## 擷取追蹤設定和追蹤狀態
執行 `describe-trails`命令來擷取 AWS 區域中線索的相關資訊。下列範例會傳回美國東部 (俄亥俄) 區域中所設定追蹤的相關資訊。
```
aws cloudtrail describe-trails --region us-east-2
```
如果成功,您會看到類似如下的輸出。
```
{
"trailList": [
{
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket1",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
},
{
"Name": "my-special-trail",
"S3BucketName": "amzn-s3-demo-bucket2",
"S3KeyPrefix": "example-prefix",
"IncludeGlobalServiceEvents": false,
"IsMultiRegionTrail": false,
"HomeRegion": "us-east-2",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": true,
"IsOrganizationTrail": false
},
{
"Name": "my-org-trail",
"S3BucketName": "amzn-s3-demo-bucket3",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-1"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": true
}
]
}
```
執行 `get-trail` 命令來擷取有關特定追蹤的設定資訊。下列範例會傳回名為 *my-trail* 的設定資訊。
```
aws cloudtrail get-trail - -name my-trail
```
如果成功,此命令傳回的輸出會類似如下。
```
{
"Trail": {
"Name": "my-trail",
"S3BucketName": "amzn-s3-demo-bucket",
"S3KeyPrefix": "my-prefix",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"HomeRegion": "us-east-2"
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"HasCustomEventSelectors": false,
"SnsTopicName": "my-topic",
"IsOrganizationTrail": false,
}
}
```
若要擷取追蹤的狀態,請執行 `get-trail-status` 命令。您必須從建立該命令的區域 (主區域) 執行此命令 AWS ,或者您必須新增 **--region** 參數來指定該區域。
**注意**
如果線索是組織線索,而且您是組織中的成員帳戶 AWS Organizations,您必須提供該線索的完整 ARN,而不只是名稱。
```
aws cloudtrail get-trail-status --name my-trail
```
如果成功,您會看到類似如下的輸出。
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
如果發生 Amazon SNS 或 Amazon S3 錯誤,則除了上述 JSON 程式碼中所示的欄位外,狀態還會包含下列欄位:
+ `LatestNotificationError` 包含主題訂閱失敗時由 Amazon SNS 發出的錯誤。
+ `LatestDeliveryError`. 包含 CloudTrail 無法將日誌檔案交付到儲存貯體時由 Amazon S3 發出的錯誤。
## 設定 CloudTrail Insights 事件選取器
執行 **put-insight-selectors**,並指定 `ApiCallRateInsight`、`ApiErrorRateInsight` (或兩者) 為 `InsightType` 屬性值,以啟用追蹤上的 Insights 事件。若要檢視追蹤的 Insights 選取器設定,請執行 `get-insight-selectors` 命令。您必須從建立線索 AWS 的區域 (主區域) 執行此命令,或者您必須將 **--region** 參數新增至命令來指定該區域。
**注意**
若要記錄 `ApiCallRateInsight` 的 Insights 事件,追蹤必須記錄 `write` 管理事件。若要記錄 `ApiErrorRateInsight` 的 Insights 事件,追蹤必須記錄 `read` 或 `write` 管理事件。
### 記錄 Insights 事件的範例追蹤
下列範例使用 **put-insight-selectors**,為名為 *TrailName3* 的追蹤建立 Insights 事件選取器。這會啟用 *TrailName3* 追蹤的 Insights 事件收集。Insights 事件選取器會記錄 `ApiErrorRateInsight` 和 `ApiCallRateInsight` Insights 事件類型。
```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
此範例會傳回為追蹤設定的 Insights 事件選取器。
```
{
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```
### 範例:關閉收集 Insights 事件
下列範例使用 **put-insight-selectors**,為名為 *TrailName3* 的追蹤移除 Insights 事件選取器。清除 Insights 選取器的 JSON 字串會停用 *TrailName3* 追蹤的 Insights 事件收集。
```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'
```
此範例會傳回為追蹤設定的目前空白 Insights 事件選取器。
```
{
"InsightSelectors": [ ],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```
## 設定進階事件選取器
您可以使用進階事件選取器來記錄[管理事件](logging-management-events-with-cloudtrail.md)、所有資源類型的[資料事件](logging-data-events-with-cloudtrail.md),以及[網路活動事件](logging-network-events-with-cloudtrail.md)。相反地,您可以使用基本事件選取器來記錄 `AWS::DynamoDB::Table`、 和資源`AWS::S3::Object`類型的管理事件`AWS::Lambda::Function`和資料事件。您可以使用基本事件選取器或進階事件選取器,但不能同時使用兩者。如果您將進階事件選取器套用至使用基本事件選取器的線索,則會覆寫基本事件選取器。
若要將線索轉換為進階事件選取器,請執行 **get-event-selectors**命令以確認目前的事件選取器,然後設定進階事件選取器以符合先前事件選取器的範圍,然後新增任何其他選取器。
您必須從建立追蹤 AWS 區域 的 (主區域) 執行 `get-event-selectors`命令,或者您必須新增 **--region** 參數來指定該區域。
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
**注意**
如果線索是組織線索,而且您使用組織中的成員帳戶登入 AWS Organizations,您必須提供線索的完整 ARN,而不只是名稱。
下列範例顯示使用進階事件選取器記錄管理事件之線索的設定。根據預設,線索會設定為記錄所有管理事件,而不會記錄資料事件或網路活動事件。
```
{
"TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail",
"AdvancedEventSelectors": [
{
"Name": "Management events selector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
]
}
```
若要建立進階事件選取器,請執行 `put-event-selectors` 命令。當您的帳戶發生事件時,CloudTrail 會評估您的追蹤組態。如果事件符合追蹤的任何進階事件選取器,則追蹤會處理並記錄該事件。您可以在追蹤上設定多達 500 個條件,包括為追蹤上所有進階事件選取器指定的所有值。如需詳細資訊,請參閱[記錄資料事件](logging-data-events-with-cloudtrail.md)及[記錄網路活動事件](logging-network-events-with-cloudtrail.md)。
**Topics**
+ [
### 使用特定進階事件選取器的範例追蹤
](#configuring-adv-event-selector-specific)
+ [
### 使用自訂進階事件選取器記錄 Amazon S3 AWS Outposts 資料事件的範例追蹤
](#configuring-adv-event-selector-outposts)
+ [
### 使用進階事件選取器排除 AWS Key Management Service 事件的範例追蹤
](#configuring-adv-event-selector-exclude)
+ [
### 使用進階事件選取器排除 Amazon RDS Data API 管理事件的範例追蹤
](#configuring-adv-event-selector-exclude-rds)
### 使用特定進階事件選取器的範例追蹤
下列範例會為名為 *TrailName* 的線索建立自訂進階事件選取器,以包含讀取和寫入管理事件 (省略選取`readOnly`器)`PutObject`,以及所有 Amazon S3 儲存貯體/字首組合`DeleteObject`的資料事件,除了名為 的儲存貯體`amzn-s3-demo-bucket`、名為 之 AWS Lambda 函數的資料事件`MyLambdaFunction`,以及透過 VPC 端點 AWS KMS 存取遭拒事件的網路活動事件。因為這些都是自訂進階事件選取器,所以每組選取器都有一個描述性的名稱。請注意,尾步斜線是 S3 儲存貯體 ARN 值的一部分。
```
aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
{ "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
{ "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["NetworkActivity"]},
{ "Field": "eventSource", "Equals": ["kms.amazonaws.com"]},
{ "Field": "errorCode", "Equals": ["VpceAccessDenied"]}
]
}
]'
```
範例傳回針對追蹤設定的進階事件選取器。
```
{
"AdvancedEventSelectors": [
{
"Name": "Log readOnly and writeOnly management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
}
]
},
{
"Name": "Log PutObject and DeleteObject events for all but one bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::S3::Object" ]
},
{
"Field": "resources.ARN",
"NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
},
]
},
{
"Name": "Log data plane actions on MyLambdaFunction",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Data" ]
},
{
"Field": "resources.type",
"Equals": [ "AWS::Lambda::Function" ]
},
{
"Field": "eventName",
"Equals": [ "Invoke" ]
},
{
"Field": "resources.ARN",
"Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ]
}
]
},
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### 使用自訂進階事件選取器記錄 Amazon S3 AWS Outposts 資料事件的範例追蹤
下列範例顯示如何設定您的線索,以將所有 Amazon S3 AWS Outposts 物件上的所有資料事件包含在前哨站中。在此版本中, `resources.type` 欄位的 S3 on AWS Outposts 事件支援的值為 `AWS::S3Outposts::Object`。
```
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
]
}
]'
```
命令會傳回下列範例輸出。
```
{
"AdvancedEventSelectors": [
{
"Name": "OutpostsEventSelector",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3Outposts::Object"
]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName"
}
```
### 使用進階事件選取器排除 AWS Key Management Service 事件的範例追蹤
下列範例會為名為 *TrailName* 的線索建立進階事件選取器,以包含唯讀和唯寫管理事件 (省略`readOnly`選取器),但會排除 AWS Key Management Service (AWS KMS) 事件。由於 AWS KMS 事件會被視為管理事件,而且可能會有大量事件,因此如果您有多個擷取管理事件的線索,它們可能會對 CloudTrail 帳單產生重大影響。
如果您選擇不記錄管理事件,則不會記錄 AWS KMS 事件,而且您無法變更 AWS KMS 事件記錄設定。
若要再次開始將 AWS KMS 事件記錄到線索,請移除`eventSource`選取器,然後再次執行 命令。
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
]
}
]'
```
範例傳回針對追蹤設定的進階事件選取器。
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except KMS events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "kms.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
若要再次開始記錄排除的事件至追蹤,請從移除 `eventSource` 選取器,如下列命令所示。
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
### 使用進階事件選取器排除 Amazon RDS Data API 管理事件的範例追蹤
下列範例會為名為 *TrailName* 的線索建立進階事件選取器,以包含唯讀和唯寫管理事件 (省略選取`readOnly`器),但會排除 Amazon RDS Data API 管理事件。若要排除 Amazon RDS Data API 管理事件,請在 `eventSource` 欄位的字串值中指定 Amazon RDS Data API 事件來源:`rdsdata.amazonaws.com`。
如果您選擇不記錄管理事件,則不會記錄 Amazon RDS Data API 管理事件,而且您無法變更 Amazon RDS Data API 事件記錄設定。
若要再次開始將 Amazon RDS Data API 管理事件記錄到線索,請移除`eventSource`選取器,然後再次執行命令。
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] },
{ "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
]
}
]'
```
範例傳回針對追蹤設定的進階事件選取器。
```
{
"AdvancedEventSelectors": [
{
"Name": "Log all management events except Amazon RDS Data API management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [ "Management" ]
},
{
"Field": "eventSource",
"NotEquals": [ "rdsdata.amazonaws.com" ]
}
]
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
若要再次開始記錄排除的事件至追蹤,請從移除 `eventSource` 選取器,如下列命令所示。
```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
{
"Name": "Log all management events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Management"] }
]
}
]'
```
## 設定基本事件選取器
您只能使用基本事件選取器來記錄 `AWS::DynamoDB::Table`、 和資源`AWS::S3::Object`類型的管理事件`AWS::Lambda::Function`和資料事件。您可以使用進階事件選取器來記錄管理事件、所有資料資源類型和網路活動事件。
您可以使用基本事件選取器或進階事件選取器,但不能同時使用兩者。如果您將基本事件選取器套用至使用進階事件選取器的線索,則會覆寫進階事件選取器。
若要檢視追蹤的事件選取器設定,請執行 `get-event-selectors` 命令。您必須從建立命令 AWS 區域 的 (主區域) 執行此命令,或使用 **--region** 參數指定該區域。
```
aws cloudtrail get-event-selectors --trail-name TrailName
```
**注意**
如果線索是組織線索,而且您是組織中的成員帳戶 AWS Organizations,您必須提供該線索的完整 ARN,而不只是名稱。
下列範例顯示使用基本事件選取器記錄管理事件的線索設定。
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
若要建立事件選取器,請執行 `put-event-selectors` 命令。如果您希望在追蹤上記錄 Insights 事件,請確保事件選取器啟用記錄您想要設定追蹤的 Insights 類型。如需有關記錄 Insights 事件的詳細資訊,請參閱 [使用 CloudTrail Insights](logging-insights-events-with-cloudtrail.md)。
當您的帳戶發生事件時,CloudTrail 會評估您的追蹤組態。如果事件符合追蹤的任何事件選取器,則追蹤會處理並記錄該事件。一個追蹤最多可以設定 5 個事件選取器和 250 個資料資源。如需詳細資訊,請參閱[記錄資料事件](logging-data-events-with-cloudtrail.md)。
**Topics**
+ [
### 使用特定事件選取器的範例追蹤
](#configuring-event-selector-example1)
+ [
### 記錄所有管理和資料事件的範例追蹤
](#configuring-event-selector-example2)
+ [
### 不記錄 AWS Key Management Service 事件的範例追蹤
](#configuring-event-selector-example-kms)
+ [
### 記錄相關少量 AWS Key Management Service 事件的範例追蹤
](#configuring-event-selector-log-kms)
+ [
### 不會記錄 Amazon RDS Data API 事件的範例追蹤
](#configuring-event-selector-example-rds)
### 使用特定事件選取器的範例追蹤
下列範例會為名為 *TrailName* 的線索建立事件選取器,以包含唯讀和唯讀管理事件、兩個 Amazon S3 儲存貯體/字首組合的資料事件,以及名為 *hello-world-python-function* 的單一 AWS Lambda 函數的資料事件。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
```
此範例會傳回為追蹤設定的事件選取器。
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::amzn-s3-demo-bucket/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function"
],
"Type": "AWS::Lambda::Function"
},
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### 記錄所有管理和資料事件的範例追蹤
下列範例會為名為 *TrailName2* 的線索建立事件選取器,其中包含所有管理事件,包括唯讀和唯寫管理事件,以及 中所有 Amazon S3 儲存貯體、 AWS Lambda 函數和 Amazon DynamoDB 資料表的資料事件 AWS 帳戶。由於此範例使用基本事件選取器,因此無法設定 S3 事件的日誌記錄 AWS Outposts、Ethereum 節點上的 Amazon Managed Blockchain JSON-RPC 呼叫,或其他進階事件選取器資源類型。您也無法使用基本事件選取器記錄網路活動事件。您必須使用進階事件選取器來記錄所有其他資源類型的網路活動事件和資料事件。如需詳細資訊,請參閱[設定進階事件選取器](#configuring-adv-event-selector-examples)。
**注意**
如果追蹤僅套用至一個區域,就只會記錄該區域的事件,即使事件選取器參數指定所有 Amazon S3 儲存貯體和 Lambda 函數也一樣。事件選取器只會套用至建立追蹤的區域。
```
aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
```
此範例會傳回為追蹤設定的事件選取器。
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [
{
"Values": [
"arn:aws:s3:::"
],
"Type": "AWS::S3::Object"
},
{
"Values": [
"arn:aws:lambda"
],
"Type": "AWS::Lambda::Function"
},
{
"Values": [
"arn:aws:dynamodb"
],
"Type": "AWS::DynamoDB::Table"
}
],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"
}
```
### 不記錄 AWS Key Management Service 事件的範例追蹤
下列範例會為名為 *TrailName* 的線索建立事件選取器,以包含唯讀和唯寫管理事件,但會排除 AWS Key Management Service (AWS KMS) 事件。由於 AWS KMS 事件會被視為管理事件,而且可能會有大量事件,因此如果您有多個擷取管理事件的線索,它們可能會對 CloudTrail 帳單產生重大影響。此範例中的使用者已選擇從每個追蹤中排除 AWS KMS 事件,只有一個例外。若要排除事件來源,請將 `ExcludeManagementEventSources` 加入事件選取器,並在字串值中指定事件來源。
如果您選擇不記錄管理事件,則不會記錄 AWS KMS 事件,而且您無法變更 AWS KMS 事件記錄設定。
若要再次開始將 AWS KMS 事件記錄到線索,請傳遞空陣列做為 的值`ExcludeManagementEventSources`。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
```
此範例會傳回為追蹤設定的事件選取器。
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "kms.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
若要再次開始將 AWS KMS 事件記錄到線索,請傳遞空陣列做為 的值`ExcludeManagementEventSources`,如下列命令所示。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
### 記錄相關少量 AWS Key Management Service 事件的範例追蹤
下列範例會為名為 *TrailName* 的線索建立事件選取器,以包含唯寫管理事件和 AWS KMS 事件。由於 AWS KMS 事件會被視為管理事件,而且可能會有大量事件,因此如果您有多個擷取管理事件的線索,可能會對 CloudTrail 帳單產生重大影響。此範例中的使用者已選擇包含 AWS KMS **寫入**事件,其中包含 `Disable`、 `Delete`和 `ScheduleKey`,但不再包含大量動作,例如 `Encrypt`、 `Decrypt`和 `GenerateDataKey`(這些現在視為**讀取**事件)。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
此範例會傳回為追蹤設定的事件選取器。這會記錄唯寫管理事件,包括 AWS KMS 事件。
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "WriteOnly"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
### 不會記錄 Amazon RDS Data API 事件的範例追蹤
下列範例會為名為 *TrailName* 的追蹤建立事件選取器,以包含唯讀和唯寫管理事件,但排除 Amazon RDS Data API 事件。由於 Amazon RDS Data API 事件被視為管理事件,而且可能會有大量的事件,因此如果您有多個追蹤用來擷取管理事件,這些事件可能會對您的 CloudTrail 帳單產生重大影響。此範例中的使用者已選擇從每個追蹤中排除 Amazon RDS Data API 事件,只有一個例外。若要排除事件來源,請將 `ExcludeManagementEventSources` 加入事件選取器,並在字串值 `rdsdata.amazonaws.com` 中指定事件 Amazon RDS Data API 來源。
如果您選擇不記錄管理事件,Amazon RDS Data API 事件不會記錄,而且您無法變更事件記錄設定。
若要再次開始將 Amazon RDS Data API 管理事件記錄到線索,請傳遞空陣列做為 的值`ExcludeManagementEventSources`。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
```
此範例會傳回為追蹤設定的事件選取器。
```
{
"EventSelectors": [
{
"ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ],
"IncludeManagementEvents": true,
"DataResources": [],
"ReadWriteType": "All"
}
],
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```
若要再次開始將 Amazon RDS Data API 管理事件記錄到線索,請傳遞空陣列做為 的值`ExcludeManagementEventSources`,如下列命令所示。
```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```
## 停止及啟動追蹤的記錄功能
下列命令可用來啟動及停止 CloudTrail 記錄功能。
```
aws cloudtrail start-logging --name awscloudtrail-example
```
```
aws cloudtrail stop-logging --name awscloudtrail-example
```
**注意**
您需要執行 `stop-logging` 命令,停止將事件交付至儲存貯體,才能刪除該儲存貯體。如果您未停止記錄日誌,CloudTrail 會嘗試在有限期間內將日誌檔案交付到具有相同名稱的儲存貯體。
如果您停止記錄或刪除追蹤,該追蹤會停用 CloudTrail Insights。
**停止記錄後的事件交付**
停止記錄追蹤之後,追蹤仍然可以接收停止記錄之前發生的事件。事件可能會因為多種原因而延遲,包括高網路流量、連線問題、服務中斷或現有事件的更新。CloudTrail 會使用最近停止記錄的時間來判斷是否交付延遲事件,而不是事件發生時追蹤的記錄狀態。因此,上次停止記錄之前發生的延遲事件仍然可以傳送到追蹤。如需延遲事件交付的詳細資訊,請參閱 中的 `addendum` 欄位[CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)。
此外,事件選取器和進階事件選取器不會在停止記錄後評估傳送到追蹤的延遲事件。這表示追蹤可以接收停止記錄之前發生的任何類型的事件,無論追蹤的事件選取器組態為何。
## 刪除追蹤
如果您已在 Amazon Security Lake 中啟用 CloudTrail 管理事件,則需要維護至少一個多區域,會同時記錄 `read` 和 `write` 管理事件的組織追蹤。如果它是您擁有的唯一符合此要求的追蹤,除非在 Security Lake 中關閉 CloudTrail 管理事件,否則您無法刪除該追蹤。
您可以使用下列命令來刪除追蹤。您只能刪除追蹤建立所在區域 (主區域) 中的追蹤。
**重要**
雖然刪除 CloudTrail 追蹤是不可復原的動作,但 CloudTrail 不會刪除該追蹤的 Amazon S3 儲存貯體、Amazon S3 儲存貯體本身或追蹤交付事件的 CloudWatch 日誌群組中的日誌檔案。刪除多區域追蹤將停止記錄 中啟用的所有 AWS 區域中的事件 AWS 帳戶。刪除單一區域追蹤只會停止記錄該區域中的事件。它不會停止記錄其他區域中的事件,即使這些其他區域中的線索與已刪除的線索具有相同的名稱。
如需有關關閉和刪除 CloudTrail 追蹤的資訊,請參閱 [AWS 帳戶 關閉和追蹤](cloudtrail-account-closure.md)。
```
aws cloudtrail delete-trail --name awscloudtrail-example
```
當您刪除追蹤時,並不會刪除相關聯的 Amazon S3 儲存貯體或 Amazon SNS 主題。使用 AWS CLI AWS 管理主控台、 或服務 API 分別刪除這些資源。