Utilizzo del create-trail comando per creare una traccia - AWS CloudTrail
Creazione di un trail valido per tutte le regioniAvvio della registrazione per il trailCreazione di percorso basato su una singola RegioneCreazione di un trail valido per tutte le regioni e con la convalida dei file di log abilitata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo del create-trail comando per creare una traccia

Puoi eseguire il comando create-trail per creare percorsi configurati appositamente per soddisfare le esigenze aziendali. Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella AWS regione configurata per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro --region con il comando.

Creazione di un trail valido per tutte le regioni

Per creare un trail valido per tutte le regioni, utilizza l'opzione --is-multi-region-trail. Per impostazione predefinita, il comando create-trail crea un trail che registra solo gli eventi all'interno della regione AWS in cui il trail è stato creato. Per assicurarti di registrare gli eventi di servizio globali e acquisire tutte le attività relative agli eventi di gestione nel tuo AWS account, devi creare percorsi che registrino gli eventi in tutte le AWS regioni.

Nota

Quando crei un trail, se specifichi un bucket Amazon S3 che non è stato creato con CloudTrail, devi allegare la policy appropriata. Per informazioni, consulta Policy sui bucket Amazon S3 per CloudTrail.

L'esempio seguente crea un percorso con il nome my-trail e un tag con una chiave denominata Group con un valore di Marketing che invia i log di tutte le regioni a un bucket esistente denominato DOC-EXAMPLE-BUCKET.

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-multi-region-trail --tags-list [key=Group,value=Marketing]

A conferma che il trail esiste in tutte le regioni, l'elemento IsMultiRegionTrail nell'output indica true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}
Nota

Usa il comando start-logging per avviare la registrazione per il trail.

Avvio della registrazione per il trail

Dopo il completamento dell'esecuzione del comando create-trail, eseguir il comando start-logging per avviare la registrazione per il trail.

Nota

Quando si crea un percorso con la console, la registrazione viene attivata automaticamente. CloudTrail

L'esempio seguente avvia la registrazione per un trail.

aws cloudtrail start-logging --name my-trail

Questo comando non restituisce un output, ma puoi utilizzare il comando get-trail-status per verificare se la registrazione è stata avviata.

aws cloudtrail get-trail-status --name my-trail

A conferma che il trail sta eseguendo la registrazione, l'elemento IsLogging nell'output indica true.

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

Creazione di percorso basato su una singola Regione

Il comando seguente crea un percorso basato su una singola Regione. Il bucket Amazon S3 specificato deve già esistere e avere le autorizzazioni appropriate CloudTrail applicate. Per ulteriori informazioni, consulta Policy sui bucket Amazon S3 per CloudTrail.

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET

Di seguito è riportato un output di esempio.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Creazione di un trail valido per tutte le regioni e con la convalida dei file di log abilitata

Per abilitare la convalida dei file di log quando usi create-trail, usa l'opzione --enable-log-file-validation.

Per informazioni sulla convalida dei file di log, consulta Convalida dell'integrità dei file di CloudTrail registro.

L'esempio seguente crea un trail che distribuisce i log da tutte le regioni al bucket specificato. Il comando utilizza l'opzione --enable-log-file-validation. 

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-multi-region-trail --enable-log-file-validation

A conferma che la convalida dei file di log è abilitata, l'elemento LogFileValidationEnabled nell'output indica true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}