による証跡の作成、更新、管理 AWS Command Line Interface - AWS CloudTrail
証跡の作成、管理、およびステータスに一般的に使用されるコマンド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

による証跡の作成、更新、管理 AWS Command Line Interface

を使用してトレイルを作成、更新、管理できます。 AWS CLI を使用する場合 AWS CLI、 AWS コマンドはプロファイルに設定されたリージョンで実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

注記

このトピックの AWS Command Line Interface (AWS CLI) AWS コマンドを実行するには、コマンドラインツールが必要です。 AWS CLI の最新バージョンがインストールされていることを確認してください。詳細については、『AWS Command Line Interface ユーザーガイド』を参照してください。 CloudTrail AWS CLI コマンドのヘルプを参照するには、aws cloudtrail helpコマンドラインに入力してください。

証跡の作成、管理、およびステータスに一般的に使用されるコマンド

でトレイルを作成したり更新したりするときによく使われるコマンドには、 CloudTrail 次のようなものがあります。

  • 証跡を作成する create-trail

  • 既存の証跡の設定を変更する update-trail

  • 既存の証跡に 1 つ以上のタグ (キーと値のペア) を追加する add-tags

  • 証跡から 1 つ以上のタグを削除する remove-tags

  • 証跡に関連付けられたタグのリストを返すための list-tags

  • 証跡のイベントセレクタを追加または変更するための put-event-selectors

  • put-insight-selectors既存の証跡の Insights イベントセレクタを追加または変更したり、Insights イベントを有効または無効にしたりするための 。

  • 証跡でイベントのログ記録を開始する start-logging

  • 証跡でイベントのログ記録を一時停止する stop-logging

  • 証跡を削除する delete-trail。このコマンドは、その証跡のログファイルが格納されている Amazon S3 バケットは削除しません (存在する場合)。

  • describe-trailsリージョンのトレイルに関する情報を返すには。 AWS

  • 証跡の設定情報を返す get-trail

  • 証跡の現在のステータスに関する情報を返す get-trail-status

  • 証跡用に設定されたイベントセレクタに関する情報を返す get-event-selectors

  • get-insight-selectors証跡用に設定された Insights イベントセレクタに関する情報を返す 。

証跡を作成および更新するためにサポートされているコマンド: create-trail および update-trail。

create-trailupdate-trail コマンドは証跡を作成および管理するための以下のようなさまざまな機能を提供します。

  • リージョン間でログを受け取る証跡を作成するか、--is-multi-region-trail オプションで証跡を更新します。ほとんどの場合、 AWS すべてのリージョンのイベントを記録するトレイルを作成する必要があります。

  • --is-organization-trailオプションを使用して、 AWS 組織内のすべてのアカウントのログを受信する証跡を作成します。

  • --no-is-multi-region-trail オプションを使用して、マルチリージョンの証跡を単一リージョンの証跡に変換します。

  • --kms-key-id オプションを使用して、ログファイルの暗号化を有効または無効にします。このオプションでは、作成済みで、 AWS KMS CloudTrail ログの暗号化を許可するポリシーを添付したキーを指定します。詳細については、「AWS CLI を使用して CloudTrail ログファイルの暗号化の有効と無効を切り替える」を参照してください。

  • --enable-log-file-validation オプションと --no-enable-log-file-validation オプションを使用してログファイルの検証を有効または無効にします。詳細については、「CloudTrail ログファイルの整合性の検証」を参照してください。

  • CloudWatch Logs CloudTrail ロググループにイベントを配信できるように、 CloudWatch Logs ロググループとロールを指定します。詳細については、「Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする」を参照してください。

廃止されたコマンド: create-subscription および update-subscription

重要

create-subscriptionupdate-subscription コマンドは証跡の作成および更新に使用されていましたが、廃止されました。これらのコマンドは使用しないでください。これらのコマンドは証跡を作成および管理するための完全な機能を提供しません。

これらのコマンドのいずれかまたは両方を使用するオートメーションを設定した場合は、create-trail などのサポートされているコマンドを使用するようにコードまたはスクリプトを更新することをお勧めします。