Uso del update-trail comando para actualizar un rastro

importante

A partir del 22 de noviembre de 2021, se AWS CloudTrail modificó la forma en que los senderos capturan los eventos de servicio globales. Ahora, los eventos creados por Amazon CloudFront AWS STS se registran en la región en la que se crearon, la región de EE. UU. Este (Virginia del Norte), us-east-1. AWS Identity and Access Management Esto hace que la forma en que se CloudTrail tratan estos servicios sea coherente con la de otros servicios AWS globales. Para continuar recibiendo eventos de servicios globales fuera de Este de EE. UU. (Norte de Virginia), asegúrese de convertir los registros de seguimiento de una sola región con el uso de eventos de servicio globales fuera de Este de EE. UU. (Norte de Virginia) en los registros de seguimiento de varias regiones. Para obtener más información acerca de la captura de eventos de servicios globales, consulte Habilitación y desactivación del registro de eventos de servicios globales más adelante en esta sección.

Por el contrario, el historial de eventos de la CloudTrail consola y el aws cloudtrail lookup-events comando mostrarán estos eventos en el Región de AWS lugar en el que ocurrieron.

Puede utilizar el comando update-trail para cambiar las opciones de configuración de un registro de seguimiento. También puede utilizar los comandos add-tags y remove-tags para añadir y eliminar etiquetas para un registro de seguimiento. Solo puedes actualizar las rutas de la AWS región en la que se creó la ruta (su región de origen). Cuando utilices el AWS CLI, recuerda que tus comandos se ejecutan en la AWS región configurada para tu perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.

Si ha habilitado los eventos CloudTrail de administración en Amazon Security Lake, debe mantener al menos un registro organizativo que sea multirregional y registre tanto read los eventos de administración como los eventos write de administración. No puede actualizar un registro de seguimiento válido de forma que no cumpla con el requisito de Security Lake. Por ejemplo, si cambia el registro de seguimiento a uno de una sola región o desactiva el registro de los eventos de administración de read o write.

nota

Si utiliza uno de los AWS SDK AWS CLI o uno de ellos para modificar una ruta, asegúrese de que la política de segmentos de la ruta lo sea. up-to-date Para que tu bucket reciba automáticamente los eventos de un nuevo segmento Región de AWS, la política debe incluir el nombre completo del servicio,cloudtrail.amazonaws.com. Para obtener más información, consulte Política de bucket de Amazon S3 para CloudTrail.

Conversión de un registro de seguimiento que se aplica a una sola región en uno que se aplique a todas las regiones

Para cambiar un registro de seguimiento existente de forma que se aplique a todas las regiones, utilice la opción --is-multi-region-trail.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Para confirmar que el registro de seguimiento se aplica ahora a todas las regiones, el elemento IsMultiRegionTrail del resultado muestra true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Conversión de un registro de seguimiento de varias regiones en un registro de seguimiento de una sola región

Para cambiar un registro de seguimiento de varias regiones de forma que se aplique solamente a la región en la que se creó, utilice la opción --no-is-multi-region-trail.

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

Para confirmar que el registro de seguimiento se aplica ahora a una sola región, el elemento IsMultiRegionTrail del resultado muestra false.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Habilitación y desactivación del registro de eventos de servicios globales

Para cambiar un registro de seguimiento de forma que no registre eventos de servicios globales, utilice la opción --no-include-global-service-events.

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

Para confirmar que el registro de seguimiento ya no registra eventos de servicios globales, el elemento IncludeGlobalServiceEvents del resultado muestra false.

{
    "IncludeGlobalServiceEvents": false, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Para cambiar un registro de seguimiento de forma que registre eventos de servicios globales, utilice la opción --include-global-service-events.

Los registros de seguimiento de una región ya no recibirán eventos de servicios globales a partir del 22 de noviembre de 2021, a menos que estos aparezcan en la región Este de EE. UU. (Norte de Virginia), us-east-1. Para continuar con la captura de eventos de servicios globales, actualice la configuración de registros de seguimiento a uno de varias regiones. Por ejemplo, este comando actualiza un registro de seguimiento para una sola región en Este de EE. UU. (Ohio), us-east-2, en un registro de seguimiento de varias regiones. Sustituya myExistingSingleRegionTrailWithGSE por el nombre de ruta adecuado para su configuración.

aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail

Dado que los eventos de servicios globales solo están disponibles en Este de EE. UU. (Norte de Virginia) a partir del 22 de noviembre de 2021, también puede crear un registro de seguimiento de una región para suscribirse a eventos de servicios globales en la región Este de EE. UU. (Norte de Virginia), us-east-1. El siguiente comando crea un rastro de una sola región en us-east-1 para CloudFront recibir, IAM y eventos: AWS STS

aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name DOC-EXAMPLE-BUCKET

Habilitación de la validación de archivos de registro

Para activar la validación de archivos de registro para un registro de seguimiento, utilice la opción --enable-log-file-validation. Los archivos de resumen se envían al bucket de Amazon S3 para dicho registro de seguimiento.

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

Para confirmar que la validación de archivos de registro está activada, el elemento LogFileValidationEnabled del resultado muestra true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Desactivar la validación de archivos de registro

Para desactivar la validación de archivos de registro para un registro de seguimiento, utilice la opción --no-enable-log-file-validation.

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

Para confirmar que la validación de archivos de registro está desactivada, el elemento LogFileValidationEnabled del resultado muestra false.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Para validar los archivos de registro con, consulte. AWS CLIValidación de la integridad del archivo de CloudTrail registro con AWS CLI