Uso de create-trail - AWS CloudTrail
Creación de un registro de seguimiento que se aplique a todas las regionesIniciar el registro de seguimientoCrear un registro de seguimiento para una sola regiónCreación de un registro de seguimiento que se aplica a todas las regiones y que tiene activada la validación de archivos de registro

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de create-trail

Puede ejecutar el comando create-trail para crear registros de seguimiento configurados específicamente a fin de satisfacer sus necesidades empresariales. Cuando utilice el AWS CLI, recuerde que sus comandos se ejecutan en la AWS región configurada para su perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.

Creación de un registro de seguimiento que se aplique a todas las regiones

Para crear un registro de seguimiento que se aplique a todas las regiones, utilice la opción --is-multi-region-trail. De forma predeterminada, el comando create-trail crea un registro de seguimiento que registra los eventos únicamente en la región de AWS donde se creó el registro de seguimiento. Para asegurarte de registrar los eventos de servicio globales y registrar toda la actividad de los eventos de gestión en tu AWS cuenta, debes crear rutas que registren los eventos en todas AWS las regiones.

nota

Al crear una ruta, si especificas un bucket de Amazon S3 con el que no se creó CloudTrail, tendrás que adjuntar la política correspondiente. Consulte Política de bucket de Amazon S3 para CloudTrail.

En el siguiente ejemplo, se crea un registro de seguimiento denominado my-trail y una etiqueta con una clave denominada Group con el valor Marketing que envía los archivos de registro de todas las regiones a un bucket existente denominado my-bucket.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

Para confirmar que el registro de seguimiento existe en todas las regiones, el elemento IsMultiRegionTrail del resultado muestra true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}
nota

Utilice el comando start-logging para empezar a ejecutar el registro de seguimiento.

Iniciar el registro de seguimiento

Cuando el comando create-trail termine de ejecutarse, ejecute el comando start-logging para empezar a ejecutar ese registro de seguimiento.

nota

Al crear un rastro con la CloudTrail consola, el registro se activa automáticamente.

En el ejemplo siguiente, se inicia el registro para un registro de seguimiento.

aws cloudtrail start-logging --name my-trail

Este comando no devuelve ningún resultado, pero puede utilizar el comando get-trail-status para verificar que ha comenzado el registro.

aws cloudtrail get-trail-status --name my-trail

Para confirmar que el registro de seguimiento está funcionando, el elemento IsLogging del resultado muestra true.

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

Crear un registro de seguimiento para una sola región

El siguiente comando crea un registro de seguimiento para una única región. El bucket de Amazon S3 especificado debe existir ya y tener los CloudTrail permisos correspondientes aplicados. Para obtener más información, consulte Política de bucket de Amazon S3 para CloudTrail.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket

Para obtener más información, consulte Requisitos de nomenclatura.

A continuación, se muestra un ejemplo del resultado.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "my-bucket"
}

Creación de un registro de seguimiento que se aplica a todas las regiones y que tiene activada la validación de archivos de registro

Para habilitar la validación de archivos de registro cuando se utiliza create-trail, use la opción --enable-log-file-validation.

Para obtener información sobre la validación de archivos de registro, consulte Validar la integridad de los archivos de registros de CloudTrail.

El ejemplo siguiente crea un registro de seguimiento que envía los archivos de registro de todas las regiones al bucket especificado. El comando utiliza la opción --enable-log-file-validation. 

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --enable-log-file-validation

Para confirmar que la validación de archivos de registro está activada, el elemento LogFileValidationEnabled del resultado muestra true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}