本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解多區域追蹤和選擇加入區域
線索可以套用至在您的 中啟用的所有 AWS 區域 AWS 帳戶,也可以套用至單一區域。套用至 中所有啟用 AWS 區域 的線索 AWS 帳戶 稱為多區域線索。根據最佳實務,我們建議您建立多區域追蹤,因為它會擷取所有啟用區域中的活動。使用 CloudTrail 主控台建立的所有線索都是多區域線索。您只能使用 AWS CLI 或 CreateTrail API 操作建立單一區域追蹤。
雖然您的 預設 AWS 區域 會啟用大多數 AWS 帳戶,但您必須手動啟用特定區域 (也稱為選擇加入區域)。如需有關預設啟用哪些區域的資訊,請參閱《 AWS 帳戶管理 參考指南》中的啟用和停用區域的考量事項。如需 CloudTrail 支援的 區域清單,請參閱 CloudTrail 支援的區域。
多區域線索的優點有哪些?
多區域追蹤具有下列優點:
-
線索的組態設定會一致地套用至所有已啟用的 AWS 區域。
-
您會從單一 Amazon S3 儲存貯 AWS 區域 體中啟用的所有 ,以及選擇性地在 CloudWatch Logs 日誌群組中接收 CloudTrail 事件。
-
您可以從 AWS 區域 單一位置管理所有啟用的線索組態。
當您建立多區域追蹤時會發生什麼情況?
建立多區域追蹤具有下列效果:
-
CloudTrail 會將帳戶活動的日誌檔案從已啟用的所有 交付 AWS 區域 至您指定的單一 Amazon S3 儲存貯體,並選擇性地交付至 CloudWatch Logs 日誌群組。
-
如果您為線索設定了 Amazon SNS 主題,所有已啟用的日誌檔案交付 SNS 通知 AWS 區域 都會傳送至該單一 SNS 主題。
-
您可以在所有啟用的 中看到多區域線索 AWS 區域,但只能在建立線索的主區域中修改線索。
當您啟用選擇加入區域時會發生什麼情況?
在您啟用選擇加入區域之後,CloudTrail 會在您啟用的選擇加入區域中建立每個多區域追蹤的相同複本。
CloudTrail 使用稱為最終一致性的分散式運算模型。由於啟用區域需要幾分鐘到幾個小時,因此您可能不會立即在日誌中看到新啟用區域的所有事件。CloudTrail 可能需要數小時才能交付新啟用區域的所有日誌。在此期間,您可以透過檢視 CloudTrail 事件歷史記錄或執行 命令,來檢視該區域最近 90 天的管理事件。 aws cloudtrail lookup-events --region <region>事件歷史記錄預設會在您的 中處於作用中狀態 AWS 帳戶、擷取最近 90 天的在區域中記錄的管理事件,而且不需要追蹤。
如需有關為 啟用選擇加入區域的資訊 AWS 帳戶,請參閱啟用或停用獨立帳戶的區域,或啟用或停用組織中的區域。
當您停用選擇加入區域時會發生什麼情況?
由於您的帳戶在您停用的區域中可能有活動,例如 AWS 服務 移除資源的動作,CloudTrail 將繼續擷取活動,並嘗試針對區域停用之前未刪除的任何線索,將事件交付至 S3 儲存貯體。
