Utilizzo di create-trail - AWS CloudTrail
Creazione di un trail valido per tutte le regioniAvvio della registrazione per il trailCreazione di percorso basato su una singola RegioneCreazione di un trail valido per tutte le regioni e con la convalida dei file di log abilitata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di create-trail

Puoi eseguire il comando create-trail per creare percorsi configurati appositamente per soddisfare le esigenze aziendali. Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella AWS regione configurata per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro --region con il comando.

Creazione di un trail valido per tutte le regioni

Per creare un trail valido per tutte le regioni, utilizza l'opzione --is-multi-region-trail. Per impostazione predefinita, il comando create-trail crea un trail che registra solo gli eventi all'interno della regione AWS in cui il trail è stato creato. Per assicurarti di registrare gli eventi di servizio globali e acquisire tutte le attività relative agli eventi di gestione nel tuo AWS account, devi creare percorsi che registrino gli eventi in tutte le AWS regioni.

Nota

Quando crei un trail, se specifichi un bucket Amazon S3 che non è stato creato con CloudTrail, devi allegare la policy appropriata. Per informazioni, consulta Policy sui bucket Amazon S3 per CloudTrail.

L'esempio seguente crea un trail con il nome my-trail e un tag con una chiave denominata Group con un valore di marketing che fornisce registrazioni da tutte le regioni in un bucket esistente denominato my-bucket.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

A conferma che il trail esiste in tutte le regioni, l'elemento IsMultiRegionTrail nell'output indica true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}
Nota

Usa il comando start-logging per avviare la registrazione per il trail.

Avvio della registrazione per il trail

Dopo il completamento dell'esecuzione del comando create-trail, eseguir il comando start-logging per avviare la registrazione per il trail.

Nota

Quando crei un percorso con la CloudTrail console, la registrazione viene attivata automaticamente.

L'esempio seguente avvia la registrazione per un trail.

aws cloudtrail start-logging --name my-trail

Questo comando non restituisce un output, ma puoi utilizzare il comando get-trail-status per verificare se la registrazione è stata avviata.

aws cloudtrail get-trail-status --name my-trail

A conferma che il trail sta eseguendo la registrazione, l'elemento IsLogging nell'output indica true.

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

Creazione di percorso basato su una singola Regione

Il comando seguente crea un percorso basato su una singola Regione. Il bucket Amazon S3 specificato deve già esistere e avere le autorizzazioni appropriate CloudTrail applicate. Per ulteriori informazioni, consulta Policy sui bucket Amazon S3 per CloudTrail.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket

Per ulteriori informazioni, consultare Requisiti di denominazione.

Di seguito è riportato un output di esempio.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "my-bucket"
}

Creazione di un trail valido per tutte le regioni e con la convalida dei file di log abilitata

Per abilitare la convalida dei file di log quando usi create-trail, usa l'opzione --enable-log-file-validation.

Per informazioni sulla convalida dei file di log, consulta Convalida dell'integrità dei file di log di CloudTrail.

L'esempio seguente crea un trail che distribuisce i log da tutte le regioni al bucket specificato. Il comando utilizza l'opzione --enable-log-file-validation. 

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --enable-log-file-validation

A conferma che la convalida dei file di log è abilitata, l'elemento LogFileValidationEnabled nell'output indica true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}