Creazione di un trail valido per tutte le regioni Avvio della registrazione per il trail Creazione di trail basato su una singola regione Creazione di un trail valido per tutte le regioni e con la convalida dei file di log abilitata

Utilizzo di create-trail

Puoi eseguire il comando create-trail per creare percorsi configurati appositamente per soddisfare le esigenze aziendali. Quando utilizzi l'AWS CLI, ricordare che i comandi vengono eseguiti nella regione AWS configurata per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro --region con il comando.

Creazione di un trail valido per tutte le regioni

Per creare un trail valido per tutte le regioni, utilizza l'opzione --is-multi-region-trail. Per impostazione predefinita, il comando create-trail crea un trail che registra solo gli eventi all'interno della regione AWS in cui il trail è stato creato. Per avere la certezza di registrare eventi di servizio globali e acquisire tutte le attività di gestione di eventi nel tuo account AWS, devi creare trail in grado di registrare eventi in tutte le regioni AWS.

Nota

Quando crei un percorso, se specifichi un bucket Amazon S3 che non è stato creato con CloudTrail, devi collegare la policy appropriata. Per informazioni, consultare Policy del bucket Amazon S3 per CloudTrail.

L'esempio seguente crea un trail con il nome my-trail e un tag con una chiave denominata Group con un valore di marketing che fornisce registrazioni da tutte le regioni in un bucket esistente denominato my-bucket.


aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

A conferma che il trail esiste in tutte le regioni, l'elemento IsMultiRegionTrail nell'output indica true.


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}

Nota

Usa il comando start-logging per avviare la registrazione per il trail.

Avvio della registrazione per il trail

Dopo il completamento dell'esecuzione del comando create-trail, eseguir il comando start-logging per avviare la registrazione per il trail.

Nota

Quando crei un percorso con la console CloudTrail, la registrazione viene attivata automaticamente.

L'esempio seguente avvia la registrazione per un trail.


aws cloudtrail start-logging --name my-trail

Questo comando non restituisce un output, ma puoi utilizzare il comando get-trail-status per verificare se la registrazione è stata avviata.


aws cloudtrail get-trail-status --name my-trail

A conferma che il trail sta eseguendo la registrazione, l'elemento IsLogging nell'output indica true.


{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

Creazione di trail basato su una singola regione

Il comando seguente crea un trail basato su una singola regione. Il bucket Amazon S3 specificato deve esistere già e disporre delle autorizzazioni CloudTrail appropriate. Per ulteriori informazioni, consulta Policy del bucket Amazon S3 per CloudTrail.


aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket

Per ulteriori informazioni, consulta Requisiti di denominazione dei percorsi CloudTrail.

Di seguito è riportato un output di esempio.


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "my-bucket"
}

Creazione di un trail valido per tutte le regioni e con la convalida dei file di log abilitata

Per abilitare la convalida dei file di log quando usi create-trail, usa l'opzione --enable-log-file-validation.

Per informazioni sulla convalida dei file di log, consulta Convalida dell'integrità dei file di log di CloudTrail.

L'esempio seguente crea un trail che distribuisce i log da tutte le regioni al bucket specificato. Il comando utilizza l'opzione --enable-log-file-validation.


aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --enable-log-file-validation

A conferma che la convalida dei file di log è abilitata, l'elemento LogFileValidationEnabled nell'output indica true.


{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creazione, aggiornamento e gestione di percorsi con AWS Command Line Interface

Utilizzo di update-trail