Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de la create-trail
commande pour créer un parcours
Vous pouvez utiliser la commande create-trail
pour créer des journaux de suivi qui sont spécifiquement configurés pour répondre aux besoins de votre entreprise. Lorsque vous utilisez le AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la AWS région configurée pour votre profil. Si vous souhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votre profil, ou utilisez le paramètre --region avec la commande.
Création d'un journal de suivi qui s'applique à toutes les régions
Pour créer un journal de suivi qui s'applique à toutes les régions, utilisez l'option --is-multi-region-trail
. Par défaut, la commande create-trail
crée un journal de suivi qui journalise les événements uniquement dans la région AWS dans laquelle le journal de suivi a été créé. Pour vous assurer de consigner les événements de service mondiaux et de capturer toutes les activités liées à la gestion des événements dans votre AWS compte, vous devez créer des traces qui enregistrent les événements dans toutes les AWS régions.
Note
Lorsque vous créez un suivi, si vous spécifiez un compartiment Amazon S3 qui n'a pas été créé avec CloudTrail, vous devez joindre la politique appropriée. veuillez consulter Politique relative aux compartiments Amazon S3 pour CloudTrail.
L'exemple suivant crée un parcours nommé my-trail
et une balise avec une clé nommée Group
avec la valeur Marketing
qui fournit les journaux de toutes les régions vers un bucket existant nommé DOC-EXAMPLE-BUCKET
.
aws cloudtrail create-trail --name
my-trail
--s3-bucket-nameDOC-EXAMPLE-BUCKET
--is-multi-region-trail --tags-list [key=Group,value=Marketing]
Afin de confirmer que votre journal de suivi existe dans toutes les régions, l'élément IsMultiRegionTrail
du résultat affiche true
.
{ "IncludeGlobalServiceEvents": true, "Name": "
my-trail
", "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-trail
", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET
" }
Note
Utilisez la commande start-logging
pour démarrer la journalisation pour votre journal de suivi.
Démarrer la journalisation pour le journal de suivi
Une fois la commande create-trail
terminée, exécutez la commande start-logging
pour démarrer la journalisation pour ce journal de suivi.
Note
Lorsque vous créez un parcours avec la CloudTrail console, la journalisation est automatiquement activée.
L'exemple suivant démarre la journalisation pour un journal de suivi.
aws cloudtrail start-logging --name
my-trail
Cette commande ne renvoie pas de résultat, mais vous pouvez utiliser la commande get-trail-status
pour vérifier que la journalisation a démarré.
aws cloudtrail get-trail-status --name
my-trail
Afin de confirmer que le journal de suivi réalise la journalisation, l'élément IsLogging
dans le résultat affiche true
.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Créer un journal de suivi à région unique
La commande suivante crée un journal de suivi à région unique. Le compartiment Amazon S3 spécifié doit déjà exister et les CloudTrail autorisations appropriées doivent être appliquées. Pour plus d’informations, consultez Politique relative aux compartiments Amazon S3 pour CloudTrail.
aws cloudtrail create-trail --name
my-trail
--s3-bucket-nameDOC-EXAMPLE-BUCKET
Voici un exemple de sortie.
{ "IncludeGlobalServiceEvents": true, "Name": "
my-trail
", "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-trail
", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET
" }
Créer un journal de suivi qui s'applique à toutes les régions et ayant la validation de fichiers journaux activée
Pour activer la validation du fichier journal lorsque vous utilisez create-trail
, utilisez l’option --enable-log-file-validation
.
Pour plus d’informations sur la validation de fichiers journaux, consultez Validation de l' CloudTrail intégrité du fichier journal.
L'exemple suivant crée un journal de suivi qui livre des journaux de toutes les régions au compartiment spécifié. La commande utilise l’option --enable-log-file-validation
.
aws cloudtrail create-trail --name
my-trail
--s3-bucket-nameDOC-EXAMPLE-BUCKET
--is-multi-region-trail --enable-log-file-validation
Afin de confirmer que la validation de fichiers journaux est activée, l’élément LogFileValidationEnabled
dans le résultat affiche true
.
{ "IncludeGlobalServiceEvents": true, "Name": "
my-trail
", "TrailARN": "arn:aws:cloudtrail:us-east-2
:123456789012
:trail/my-trail
", "LogFileValidationEnabled": true, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET
" }