Verwenden Sie den create-trail Befehl, um einen Trail zu erstellen - AWS CloudTrail
Erstellen eines für alle Regionen geltenden TrailsStarten der Protokollierung für den TrailErstellen eines Trails für eine einzelne RegionErstellen einer Spur, die für alle Regionen gilt und bei der die Validierung der Protokolldatei aktiviert ist

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie den create-trail Befehl, um einen Trail zu erstellen

Mit dem Befehl create-trail können Sie Trails ausführen, die speziell konfiguriert werden, um Ihre geschäftlichen Anforderungen zu erfüllen. Denken Sie bei der Verwendung von daran AWS CLI, dass Ihre Befehle in der für Ihr Profil konfigurierten AWS Region ausgeführt werden. Wenn Sie die Befehle in einer anderen Region ausführen möchten, ändern Sie entweder die Standardregion für Ihr Profil, oder verwenden Sie den --region-Parameter mit dem Befehl.

Erstellen eines für alle Regionen geltenden Trails

Um einen Trail zu erstellen, der für alle Regionen gilt, verwenden Sie die Option --is-multi-region-trail. Standardmäßig erstellt der create-trail-Befehl einen Trail, der Ereignisse nur in der AWS -Region protokolliert, in der der Trail erstellt wurde. Um sicherzustellen, dass Sie globale Serviceereignisse protokollieren und alle Aktivitäten von Verwaltungsereignissen in Ihrem AWS Konto erfassen, sollten Sie Trails erstellen, die Ereignisse in allen AWS Regionen protokollieren.

Anmerkung

Wenn Sie einen Trail erstellen und einen Amazon S3 S3-Bucket angeben, der nicht mit erstellt wurde CloudTrail, müssen Sie die entsprechende Richtlinie anhängen. Siehe Amazon S3 S3-Bucket-Richtlinie für CloudTrail.

Das folgende Beispiel erstellt einen Trail mit dem Namen my-trail und ein Tag mit einem Schlüssel namens Group mit dem Wert Marketing, das Logs aus allen Regionen an einen vorhandenen Bucket namens DOC-EXAMPLE-BUCKET übermittelt.

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-multi-region-trail --tags-list [key=Group,value=Marketing]

Um zu bestätigen, dass Ihr Trail in allen Regionen vorhanden ist, zeigt das Element IsMultiRegionTrail in der Ausgabe true an.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}
Anmerkung

Verwenden Sie den Befehl start-logging, um die Protokollierung für den Trail zu starten.

Starten der Protokollierung für den Trail

Nachdem der create-trail-Befehl ausgeführt wurde, führen Sie den start-logging-Befehl für diesen Trail aus.

Anmerkung

Wenn Sie mit der CloudTrail Konsole einen Trail erstellen, wird die Protokollierung automatisch aktiviert.

Das folgende Beispiel startet die Protokollierung für einen Trail.

aws cloudtrail start-logging --name my-trail

Dieser Befehl gibt keine Ausgabe zurück, aber Sie können mit dem get-trail-status-Befehl prüfen, ob die Protokollierung gestartet wurde.

aws cloudtrail get-trail-status --name my-trail

Um zu bestätigen, dass in dem Trail eine Protokollierung erfolgt, zeigt das Element IsLogging in der Ausgabe true an:

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

Erstellen eines Trails für eine einzelne Region

Mit dem folgenden Befehl erstellen Sie einen Trail für eine einzelne Region. Der angegebene Amazon S3 S3-Bucket muss bereits vorhanden sein und über die entsprechenden CloudTrail Berechtigungen verfügen. Weitere Informationen finden Sie unter Amazon S3 S3-Bucket-Richtlinie für CloudTrail.

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET

Es folgt eine Beispielausgabe.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Erstellen einer Spur, die für alle Regionen gilt und bei der die Validierung der Protokolldatei aktiviert ist

Um die Validierung von Protokolldateien bei Anwendung von create-trail zu aktivieren, verwenden Sie die Option --enable-log-file-validation.

Weitere Informationen zur Validierung von Protokolldateien finden Sie unter Überprüfen der Integrität der CloudTrail Protokolldatei.

Im folgenden Beispiel wird ein Trail angelegt, der Protokolle aus allen Regionen in dem angegebenen Bucket bereitstellt. Für den Befehl wird die --enable-log-file-validation-Option verwendet. 

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-multi-region-trail --enable-log-file-validation

Um zu bestätigen, dass die Validierung der Protokolldatei aktiviert ist, zeigt das LogFileValidationEnabled-Element in der Ausgabe true an.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}