本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 CloudTrail 主控台更新線索
本節將描述如何變更追蹤設定。
若要將單一區域線索轉換為多區域線索,或更新多區域線索以僅記錄單一區域中的事件,您必須使用 AWS CLI。如需如何將單一區域線索轉換為多區域線索的詳細資訊,請參閱 [將單一區域追蹤轉換為多區域追蹤](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)。如需如何更新多區域追蹤以記錄單一區域中事件的詳細資訊,請參閱 [將多區域追蹤轉換成單一區域追蹤](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)。
如果您已在 Amazon Security Lake 中啟用 CloudTrail 管理事件,則需要維護至少一個多區域,會同時記錄 `read` 和 `write` 管理事件的組織追蹤。您不能以不符合 Security Lake 要求的方式更新合格的追蹤。例如,透過將追蹤變更為單一區域,或關閉記錄 `read` 或 `write` 管理事件。
**注意**
即使資源驗證失敗,CloudTrail 也會更新成員帳戶中的組織線索。驗證失敗的範例包括:
不正確的 Amazon S3 儲存貯體政策
不正確的 Amazon SNS 主題政策
無法交付至 CloudWatch Logs 日誌群組
使用 KMS 金鑰加密的許可不足
具有 CloudTrail 許可的成員帳戶可以透過在 CloudTrail 主控台上檢視追蹤的詳細資訊頁面,或執行 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)命令,來查看組織追蹤的任何驗證失敗。
**使用 更新線索 AWS 管理主控台**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。
1. 在導覽窗格中,選擇**追蹤**,然後選擇追蹤名稱。
1. 在 **General details** (一般詳細資訊) 中,選擇 **Edit **(編輯) 變更下列設定。您無法變更追蹤的名稱。
+ **將線索套用至我的組織** - 變更此線索是否為 AWS Organizations 組織線索。
**注意**
只有組織的管理帳戶可以將組織追蹤轉換為非組織追蹤,或將非組織追蹤轉換為組織追蹤。
+ **追蹤日誌位置** - 變更您要存放此追蹤的日誌之 S3 儲存貯體名稱或前綴。
+ **日誌檔案 SSE-KMS 加密** -使用 SSE-KMS 而非 SSE-S3 來啟用或停用加密日誌檔案。
+ **日誌檔案驗證** - 選擇啟用或停用日誌檔案完整性的驗證。
+ **SNS 通知傳遞** - 選擇啟用或停用日誌檔案已交付到針對追蹤指定的儲存貯體的 Amazon Simple Notification Service (Amazon SNS) 通知。
1. 若要將線索變更為 AWS Organizations 組織線索,您可以選擇為組織中的所有帳戶啟用線索。如需詳細資訊,請參閱[建立組織追蹤](creating-trail-organization.md)。
1. 若要變更**儲存位置**中指定的儲存貯體,請選擇**建立新 S3 儲存貯體**來建立儲存貯體。當您建立儲存貯體時,CloudTrail 會建立和套用所需的儲存貯體政策。如果您選擇建立新的 S3 儲存貯體,您的 IAM 政策需要包含 `s3:PutEncryptionConfiguration`動作的許可,因為預設會為儲存貯體啟用伺服器端加密。
**注意**
如果您選擇**使用現有的 S3 儲存貯體**,請在**追蹤記錄儲存貯體名稱**中指定一個儲存貯體,或選擇 **Browse** (瀏覽) 以選擇儲存貯體。儲存貯體政策必須授予 CloudTrail 寫入的許可。如需手動編輯儲存貯體政策的資訊,請參閱「[適用於 CloudTrail 的 Amazon S3 儲存貯體政策](create-s3-bucket-policy-for-cloudtrail.md)」。
若要更容易地找到您的記錄,請在現有的儲存貯體中建立新的資料夾 (也稱為*prefix*)來存儲您的 CloudTrail 日誌。在**字首**中輸入字首。
1. 對於**日誌檔案 SSE-KMS 加密**,如果您想要使用 SSE-KMS 加密而非 SSE-S3 加密來加密日誌檔案和摘要檔案,請選擇**已啟用**。預設為**啟用**。如果您未啟用 SSE-KMS 加密,您的日誌檔案和摘要檔案會使用 SSE-S3 加密進行加密。如需 SSE-KMS 加密的詳細資訊,請參閱[搭配 AWS Key Management Service (SSE-KMS) 使用伺服器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。如需 SSE-S3 加密的詳細資訊,請參閱[搭配使用伺服器端加密與 Amazon S3 受管加密金鑰 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
如果您啟用 SSE-KMS 加密,請選擇**新增**或**現有** AWS KMS key。在 **AWS KMS 別名** 中,指定別名,格式為 `alias/`*MyAliasName*。如需詳細資訊,請參閱[更新資源以搭配 主控台使用您的 KMS 金鑰](create-kms-key-policy-for-cloudtrail-update-trail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
**注意**
您也可以輸入來自另一個帳戶的金鑰 ARN。如需詳細資訊,請參閱[更新資源以搭配 主控台使用您的 KMS 金鑰](create-kms-key-policy-for-cloudtrail-update-trail.md)。金鑰政策必須允許 CloudTrail 使用金鑰來加密您的日誌檔案和摘要檔案,並允許您指定的使用者以未加密的形式讀取日誌檔案或摘要檔案。如需手動編輯金鑰政策的資訊,請參閱「[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)」。
1. 針對 **Log file validation** (日誌檔案驗證),選擇 **Enabled** (啟用) 將日誌摘要交付到您的 S3 儲存貯體。您可以使用摘要檔案來驗證您的日誌檔案在 CloudTrail 交付以後未變更。如需詳細資訊,請參閱 [驗證 CloudTrail 日誌檔案完整性](cloudtrail-log-file-validation-intro.md)。
1. 針對 **SNS notification delivery** (SNS 通知傳送),若要在每次日誌交付至您的儲存貯體時收到通知,請選擇 **Enabled** (啟用)。CloudTrail 會在日誌檔案存放多個事件。SNS 通知是針對每個日誌檔案所傳送,而不是每個事件。如需詳細資訊,請參閱 [設定 CloudTrail 的 Amazon SNS 通知](configure-sns-notifications-for-cloudtrail.md)。
如果您啟用 SNS 通知,針對**建立新 SNS 主題**,選擇 **New** (新的) 以建立主題,或選擇 **Existing** (現有) 以使用現有的主題。如果您要建立多區域追蹤,所有已啟用區域的日誌檔案交付 SNS 通知會傳送至您建立的單一 SNS 主題。
如果選擇 **New** (新的),CloudTrail 會為您指定新主題的名稱,或者您可以輸入名稱。如果選擇 **Existing** (現有),請從下拉式清單中選擇 SNS 主題。您也可以輸入來自另一個區域,或具有適當許可之帳戶的主題 ARN。如需詳細資訊,請參閱 [適用於 CloudTrail 索的 Amazon SNS 主題政策](cloudtrail-permissions-for-sns-notifications.md)。
如果您建立主題,則必須訂閱該主題,以便在日誌檔案交付時收到通知。您可以從 Amazon SNS 主控台進行訂閱。基於通知頻率,建議您設定訂閱以利用 Amazon SQS 佇列,透過編寫程式的方式處理通知。如需詳細資訊,請參閱《Amazon Simple Notification Service 開發人員指南》**中的 [Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)。
1. 在 **CloudWatch Logs** 中,選擇 **Edit **(編輯),以變更將 CloudTrail 日誌檔案傳送至 CloudWatch Logs 的設定。選擇 **CloudWatch Logs** 中的 **Enabled** (已啟用),以啟用傳送日誌檔案。如需詳細資訊,請參閱 [傳送事件到 CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md)。
1. 如果您啟用與 CloudWatch Logs 整合功能,請選擇 **New** (新的) 建立新日誌群組,或 **Existing** (現有) 以使用現有的群組。如果選擇 **New** (新的),CloudTrail 會為您指定新日誌群組的名稱,或者您可以輸入名稱。
1. 如果選擇 **Existing** (現有),請從下拉式清單中選擇日誌群組。
1. 選擇 **New** (新的) 為將日誌傳送至 CloudWatch Logs 的許可建立新的 IAM 角色。選擇 **Existing** (現有) 從下拉式功能表中選擇現有的 IAM 角色。新角色或現有角色的政策陳述式會在您展開**政策文件**時顯示。如需有關此角色的詳細資訊,請參閱 [讓 CloudTrail 能使用 CloudWatch Logs 進行監控的角色政策文件](cloudtrail-required-policy-for-cloudwatch-logs.md)。
**注意**
設定追蹤時,您可以選擇由其他帳戶所屬的 S3 儲存貯體和 SNS 主題。不過,如果您要 CloudTrail 將事件交付至 CloudWatch Logs 日誌群組,則必須選擇存在於目前帳戶中的日誌群組。
只有管理帳戶可以為使用主控台的組織追蹤設定 CloudWatch Logs 日誌群組。委派管理員可以使用 AWS CLI 或 CloudTrail 或 API 操作來設定 CloudWatch Logs 日誌群組。 CloudTrail `CreateTrail` `UpdateTrail`
1. 在 **Tags** (標籤)中,選擇 **Edit **(編輯),以變更、新增或刪除追蹤上的標籤。您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對線索的存取。標籤可協助您辨識 CloudTrail 追蹤和包含 CloudTrail 日誌檔案的 Amazon S3 儲存貯體。然後,您可以對 CloudTrail 資源使用資源群組。如需詳細資訊,請參閱[AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)及[Tags (標籤)](cloudtrail-concepts.md#cloudtrail-concepts-tags)。
1. 在 **Management events** (管理事件) 中,選擇 **Edit (編輯)** 可變更管理事件記錄設定。
1. 針對 **API 活動**,選擇您是否希望追蹤記錄**讀取**事件、**寫入**事件,或兩者。如需詳細資訊,請參閱[管理事件](logging-management-events-with-cloudtrail.md#logging-management-events)。
1. 選擇**排除 AWS KMS 事件**,將 (AWS KMS) 事件篩選 AWS Key Management Service 出您的線索。預設設定是包含所有 AWS KMS 事件。
只有在您的線索上記錄管理 AWS KMS 事件時,才提供記錄或排除事件的選項。如果您選擇不記錄管理事件,則不會記錄 AWS KMS 事件,而且您無法變更 AWS KMS 事件記錄設定。
AWS KMS `Encrypt`、 `Decrypt`和 等動作`GenerateDataKey`通常會產生大量 (超過 99%) 的事件。這些動作現在會記錄為 **Read (讀取)** 事件。少量的相關 AWS KMS 動作,例如 `Disable`、 `Delete`和 `ScheduleKey`(通常佔 AWS KMS 事件量的 0.5% 以下) 會記錄為**寫入**事件。
若要排除大量事件,例如 `Encrypt`、`Decrypt` 和 `GenerateDataKey`,但仍記錄相關事件,例如 `Disable`、`Delete` 和 `ScheduleKey`,選擇記錄 **Write** (寫入) 管理事件,然後清除 **Exclude AWS KMS 事件**的核取方塊。
1. 選擇**排除 Amazon RDS Data API 事件**從追蹤中篩選 Amazon Relational Database Service Data API 事件。預設設定是包含所有 Amazon RDS Data API 事件。如需 Amazon RDS Data API 事件的詳細資訊,請參閱《Amazon RDS 使用者指南 (Aurora)》**中的[使用 AWS CloudTrail記錄資料 API 呼叫](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html)。
1.
**重要**
步驟 7-11 是使用進階事件選取器來設定資料事件,這是預設值。進階事件選取器可讓您設定更多[資料事件類型](logging-data-events-with-cloudtrail.md#logging-data-events),並對追蹤擷取的資料事件提供精細控制。如果您打算記錄網路活動事件,則必須使用進階事件選取器。如果您使用的是基本事件選取器,請參閱 [使用基本事件選取器更新資料事件設定](#cloudtrail-update-basic-event-selectors-console),然後返回至此程序的步驟 12。
在 **Data events** (資料事件) 中,選擇 **Edit (編輯)** 可變更資料事件記錄設定。根據預設,追蹤不會記錄資料事件。記錄資料事件需支付額外的費用。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
針對**資源類型**,選擇您要記錄資料事件的資源類型。如需可用資源類型的詳細資訊,請參閱 [資料事件](logging-data-events-with-cloudtrail.md#logging-data-events)。
1. 選擇日誌選取器範本。您可以選擇預先定義的範本,或選擇**自訂**來定義您自己的事件集合條件。
您可以從下列預先定義的範本中選擇:
+ **記錄所有事件**:選擇此範本記錄所有事件。
+ **僅記錄讀取事件** – 選擇此範本以僅記錄讀取事件。唯讀事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。
+ **僅記錄寫入事件** – 選擇此範本僅記錄寫入事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **僅記錄 AWS 管理主控台 事件** – 選擇此範本僅記錄源自 的事件 AWS 管理主控台。
+ **排除 AWS 服務 啟動的事件** – 選擇此範本以排除具有 `eventType`之 AWS 服務 的事件`AwsServiceEvent`,以及使用連結角色 (SLRs) AWS 服務啟動的事件。
**注意**
選擇 S3 儲存貯體的預先定義範本,可為您 AWS 帳戶中目前的所有儲存貯體以及您在完成建立追蹤後建立的任何儲存貯體啟用資料事件記錄。它也可以記錄您 AWS 帳戶中任何使用者或角色執行的資料事件活動,即使該活動是在屬於另一個 AWS 帳戶的儲存貯體上執行。
如果追蹤僅套用至一個區域,選取預先定義的記錄所有 S3 儲存貯體的範本可針對下列儲存貯體啟用記錄資料事件:與您追蹤相同之區域中的所有儲存貯體,以及您稍後在該區域中建立的任何儲存貯體。並不會記錄 AWS 帳戶中其他區域內 Amazon S3 儲存貯體的資料事件。
如果您要建立多區域線索,請為 Lambda 函數選擇預先定義的範本,以啟用 AWS 目前帳戶中所有函數的資料事件記錄,以及在您完成建立線索後,您可以在任何區域中建立的任何 Lambda 函數。如果您要為單一區域建立線索 (使用 完成 AWS CLI),此選擇會啟用帳戶中 AWS 目前該區域中所有函數的資料事件記錄,以及在您完成建立線索後,您可能在該區域中建立的任何 Lambda 函數。並不會為其他區域中所建立之 Lambda 函數啟用記錄資料事件。
記錄所有函數的資料事件也可讓您記錄 AWS 帳戶中任何使用者或角色執行的資料事件活動,即使該活動是在屬於另一個 AWS 帳戶的函數上執行。
1. (選用) 在**選取器名稱**中,輸入用於識別選取器的名稱。選取器名稱是進階事件選擇器的描述性名稱,例如「僅為兩個 S3 儲存貯體記錄資料事件」。選取器名稱會被作為 `Name` 列在進階事件選取器中,您在展開 **JSON 檢視**時可檢視該名稱。
1. 如果您選取**自訂**,在**進階事件選取**器中會根據進階事件選取器欄位的值來建置表達式。
**注意**
選取器不支援使用萬用字元,例如 `*` 。若要將多個值與單一條件比對,您可以使用 `StartsWith`、`NotStartsWith`、 `EndsWith`或 `NotEndsWith`來明確比對事件欄位的開頭或結尾。
1. 從下列欄位選取。
+ **`readOnly`** - `readOnly`可以設定為**等於** `true`或 的值`false`。唯讀資料事件是不會變更資源狀態的事件,例如 `Get*` 或 `Describe*` 事件. 寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。若要同時記錄 `read` 和 `write` 事件,請勿新增 `readOnly` 選擇器。
+ **`eventName`**-`eventName`可以使用任何運算子。您可以使用它來包含或排除任何記錄到 CloudTrail 的資料事件,例如 `PutBucket`、`GetItem` 或 `GetSnapshotBlock`。
+ **`eventSource`** – 要包含或排除的事件來源。此欄位可以使用任何運算子。
+ **eventType** – 要納入或排除的事件類型。例如,您可以將此欄位設定為**不等於**`AwsServiceEvent`排除 [AWS 服務 事件](non-api-aws-service-events.md)。如需事件類型的清單,請參閱 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)中的 [CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)。
+ **sessionCredentialFromConsole** – 包含或排除源自 AWS 管理主控台 工作階段的事件。此欄位可以設定為**等於**或不**等於** 的值`true`。
+ **userIdentity.arn** – 針對特定 IAM 身分執行的動作納入或排除事件。如需更多詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`resources.ARN`** - 您可以將任何運算子與 搭配使用`resources.ARN`,但如果您使用**等於**或不**等於**,則值必須完全符合您在範本中指定之類型之有效資源的 ARN,做為 的值`resources.type`。
**注意**
您無法使用 `resources.ARN` 欄位來篩選沒有 ARNs的資源類型。
如需資料事件資源 ARN 格式的詳細資訊,請參閱*《服務授權參考*》中的 [的動作、資源和條件索引鍵 AWS 服務](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。例如,若要從記錄於事件資料存放區的資料事件中排除兩個 S3 儲存貯體的資料事件,您可以將 欄位設定為 **resources.ARN**,將 的運算子**設定為 不以 開頭**,然後貼入您不想記錄事件的 S3 儲存貯體 ARN。
若要新增第二個 S3 儲存貯體,請選擇 **\$1 條件**,然後重複上述指令,在 ARN 中粘貼或瀏覽不同的儲存貯體。
如需有關 CloudTrail 如何評估多個條件的資訊,請參閱 [CloudTrail 如何評估欄位的多項條件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
對於事件資料存放區上的所有選取器,您最多可以有 500 個值。這包括一個選擇器的多個值的陣列,如 `eventName`。如果所有選擇器都有單個值,則最多可以有 500 個條件新增至選擇器。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。例如,不要在一個選擇器中指定 ARN 等於一個值,然後指定 ARN 不等於另一個選取器中的相同值。
1. 若要新增要記錄資料事件的其他資源類型,請選擇**新增資料事件類型**。重複步驟 3 到此步驟來設定資源類型的進階事件選取器。
1. 在**網路活動事件**中,選擇**編輯**以變更網路活動事件記錄設定。根據預設,線索不會記錄網路活動事件。記錄網路活動事件需支付額外費用。如需詳細資訊,請參閱[AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
若要記錄網路活動事件,請執行下列動作:
1. 從**網路活動事件來源**中,選擇網路活動事件的來源。
1. 在**日誌選取器範本**中,選擇範本。您可以選擇記錄所有網路活動事件、記錄所有網路活動存取遭拒的事件,或選擇**自訂**以建置自訂日誌選取器來篩選多個欄位,例如 `eventName`和 `vpcEndpointId`。
1. (選用) 輸入名稱以識別選取器。選擇器名稱在進階事件選擇器中列為**名稱**,如果您展開 **JSON 檢視**,則可檢視。
1. 在**進階事件選取器**中,選擇**欄位**、**運算子**和**值**的值來建置表達式。如果您使用預先定義的日誌範本,則可略過此步驟。
1. 若要排除或包含網路活動事件,您可以在 主控台中選擇下列欄位。
+ **`eventName`** – 您可以將任何運算子與 搭配使用`eventName`。您可以使用它來包含或排除任何事件,例如 `CreateKey`。
+ **`errorCode`** – 您可以使用它來篩選錯誤碼。目前,唯一支援的`errorCode`是 `VpceAccessDenied`。
+ **`vpcEndpointId`** – 識別操作通過的 VPC 端點。您可以搭配 使用任何運算子`vpcEndpointId`。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。
1. 若要新增要記錄網路活動事件的其他事件來源,請選擇**新增網路活動事件選取器**。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 在 **Insights 事件**中,如果您希望追蹤記錄 CloudTrail Insights 事件,請選擇**編輯**。
在 **Event type** (事件類型) 中,選取 **Insights 事件**。
在 **Insights events** (Insights 事件) 中,選擇 **API call rate** (API 呼叫率) 或 **API error rate** (API 錯誤率) (或兩者)。您必須記錄**寫入**管理事件,以便記錄 **API 呼叫率**的 Insights 事件。您必須記錄**讀取**或**寫入**管理事件,以便記錄 **API 錯誤率**的 Insights 事件。
CloudTrail Insights 會分析異常活動的管理事件,並在偵測到異常時記錄事件。依預設,追蹤不會記錄 Insights 事件。如需 Insights 事件的詳細資訊,請參閱[使用 CloudTrail Insights](logging-insights-events-with-cloudtrail.md)。記錄 Insights 事件需支付額外費用。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
Insights 事件會傳遞到相同 S3 儲存貯體上名為 `/CloudTrail-Insight` 的不同資料夾,此資料夾是在追蹤詳細資訊頁面的 **Storage location (儲存位置)** 區域中指定的。CloudTrail 會為您建立新的前綴。例如,如果您目前的目的地 S3 儲存貯體名為 `amzn-s3-demo-bucket/AWSLogs/CloudTrail/`,則具有新前綴的 S3 儲存貯體名稱會被命名為 `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`。
1. 完成變更追蹤的設定時,請選擇 **Update trail** (更新追蹤)。
## 使用基本事件選取器更新資料事件設定
您可以使用進階事件選取器來設定所有資料事件類型以及網路活動事件。進階事件選取器可讓您建立精細選取器,以僅記錄感興趣的事件。
如果您使用基本事件選取器來記錄資料事件,則僅限於記錄 Amazon S3 儲存貯體、 AWS Lambda 函數和 Amazon DynamoDB 資料表的資料事件。您無法使用基本事件選取器篩選 `eventName` 欄位。您也無法記錄[網路活動事件](logging-network-events-with-cloudtrail.md)。
![\[追蹤上資料事件的基本事件選取器\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)
使用以下程序,透過基本事件選取器執行資料事件設定。
1. 在 **Data events** (資料事件) 中,選擇 **Edit (編輯)** 可變更資料事件記錄設定。使用基本事件選取器,您可以為 Amazon S3 儲存貯體、 AWS Lambda 函數、DynamoDBtables 或這些資源的組合指定記錄資料事件。進階事件選取器支援其他資料事件資源類型。根據預設,追蹤不會記錄資料事件。記錄資料事件需支付額外的費用。如需詳細資訊,請參閱 [資料事件](logging-data-events-with-cloudtrail.md#logging-data-events)。如需 CloudTrail 定價,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
對於 Amazon S3 儲存貯體:
1. 對於 **Data source** (資料來源),請選擇 **S3**。
1. 您可以選取記錄**所有目前和未來的 S3 儲存貯體**,也可以指定個別儲存貯體或函數。依預設,會記錄所有目前和未來 S3 儲存貯體的資料事件。
**注意**
保留預設 **所有目前和未來的 S3 儲存貯**體選項會啟用您 AWS 帳戶中目前所有儲存貯體的資料事件記錄,以及您在完成建立追蹤後建立的任何儲存貯體。它也可以記錄您 AWS 帳戶中任何使用者或角色執行的資料事件活動,即使該活動是在屬於另一個 AWS 帳戶的儲存貯體上執行。
如果追蹤僅套用至一個區域,則選取 **All current and future S3 buckets (所有目前和未來 S3 儲存貯體)** 可針對下列儲存貯體啟用記錄資料事件:與您追蹤相同之區域中的所有儲存貯體,以及您稍後在該區域中建立的任何儲存貯體。它不會記錄您 AWS 帳戶中其他區域中 Amazon S3 儲存貯體的資料事件。
1. 如果您保留預設值,**所有目前和未來的 S3 儲存貯體**,選擇記錄**讀**事件、**寫**事件,或兩者。
1. 若要選擇個別儲存貯體,請清空**所有目前和未來的 S3 儲存貯體**的**讀**和**寫**核取方塊。在**個別儲存貯體選擇**中,瀏覽要記錄資料事件的儲存貯體。若要尋找特定儲存貯體,請輸入所需儲存貯體的儲存貯體字首。您可以在此視窗中選取多個儲存貯體。選擇**新增儲存貯體**以記錄更多儲存貯體的資料事件。選擇記錄 **Read** (讀取) 事件 (例如 `GetObject`)、**Write** (寫) 事件 (例如 `PutObject`) 還是兩者。
此設定的優先順序高於您針對個別儲存貯體所設定的個別設定。例如,如果您指定記錄所有 S3 儲存貯體之 **Read** (讀取) 事件,然後選擇新增要記錄資料事件的特定儲存貯體,則您新增的儲存貯體會直接選取 **Read** (讀取)。您無法清除選取項目。您只能設定 **Write** (寫入) 的選項。
若要從記錄中移除儲存貯體,請選擇 **X**。
1. 若要新增要記錄資料事件的其他資源類型,請選擇**新增資料事件類型**。
1. 針對 Lambda 函數:
1. 針對**資料事件來源**中,選擇 **Lambda**。
1. 在 **Lambda 函數**中,選擇**所有區域**來記錄所有的 Lambda 函數,或者**輸入函數作為 ARN**以記錄特定函數的資料事件。
若要記錄 AWS 帳戶中所有 Lambda 函數的資料事件,請選取**記錄所有目前和未來的函數**。此設定的優先順序高於您針對個別函數所設定的個別設定。皆會記錄所有函數,縱使未顯示全部的函數。
**注意**
如果您要建立多區域線索,此選擇會啟用 AWS 目前帳戶中所有函數的資料事件記錄,以及在您完成建立線索後,您可以在任何區域中建立的任何 Lambda 函數。如果您要為單一區域建立線索 (使用 完成 AWS CLI),則此選擇會啟用 AWS 帳戶中目前該區域中所有函數的資料事件記錄,以及在您完成建立線索後可能在該區域中建立的任何 Lambda 函數。並不會為其他區域中所建立之 Lambda 函數啟用記錄資料事件。
記錄所有函數的資料事件也可讓您記錄 AWS 帳戶中任何使用者或角色執行的資料事件活動,即使該活動是在屬於另一個 AWS 帳戶的函數上執行。
1. 如果您選擇**輸入函數作為 ARN**,請輸入 Lambda 函數的 ARN。
**注意**
如果您的帳戶中有超過 15,000 個 Lambda 函數,則無法在建立追蹤時於 CloudTrail 主控台中檢視或選取所有函數。您仍然可以選取記錄所有函數的選項,縱使其未全部顯示。如果您要記錄特定函數之資料事件,則可以在得知該函數的 ARN 後手動加以新增。您也可以在主控台中完成建立追蹤,然後使用 AWS CLI 和 **put-event-selectors** 命令為特定 Lambda 函數設定記錄資料事件。如需詳細資訊,請參閱[使用 管理線索 AWS CLI](cloudtrail-additional-cli-commands.md)。
1. 若要新增要記錄資料事件的其他資源類型,請選擇**新增資料事件類型**。
1. 針對 DynamoDB 資料表:
1. 針對**資料事件來源**中,選擇 **DynamoDB**。
1. 在 **DynamoDB 資料表選取**中,選擇 **Browse** (瀏覽) 以選取表格,或貼到您有權存取的 DynamoDB 資料表的 ARN 中。DynamoDB 資料表 ARN 採用以下格式:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
若要新增其他資料表,請選擇 **Add row** (新增資料列),然後瀏覽資料表或貼上您可以存取之資料表的 ARN。
1. 若要為您的追蹤設定 Insights 事件和其他設定,請返回本主題中的上述程序 [使用 CloudTrail 主控台更新線索](#cloudtrail-update-a-trail-console)。