Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo del update-trail comando per aggiornare un trail
Importante
A partire dal 22 novembre 2021, è AWS CloudTrail cambiato il modo in cui i trail registrano gli eventi di servizio globale. Ora, gli eventi creati da Amazon CloudFront AWS STS vengono registrati nella regione in cui sono stati creati, la regione Stati Uniti orientali (Virginia settentrionale), us-east-1. AWS Identity and Access Management In questo modo il modo in cui vengono CloudTrail trattati questi servizi è coerente con quello di altri servizi globali. AWS Per continuare a ricevere eventi di assistenza globale al di fuori della regione Stati Uniti orientali (Virginia settentrionale), assicurati di convertire i percorsi a Regione singola che utilizzano eventi di assistenza globale al di fuori di Stati Uniti orientali (Virginia settentrionale) in percorsi multi-regione. Per ulteriori informazioni sull'acquisizione di eventi di assistenza globale, consulta Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale più avanti in questa sezione.
Al contrario, la cronologia degli eventi nella CloudTrail console e il aws cloudtrail lookup-events comando mostreranno questi eventi nel luogo in Regione AWS cui si sono verificati.
Puoi utilizzare il comando update-trail per modificare le impostazioni di configurazione per un trail. È inoltre possibile utilizzare i comandi remove-tags e add-tags per aggiungere e rimuovere i tag per un trail. Puoi aggiornare solo i percorsi della AWS regione in cui è stato creato il percorso (la sua regione d'origine). Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella AWS regione configurata per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro --region con il comando.
Se hai abilitato gli eventi di CloudTrail gestione in Amazon Security Lake, devi mantenere almeno un percorso organizzativo multiregionale e registrare sia read gli eventi che gli eventi di write gestione. Non puoi aggiornare un percorso qualificante in modo che non soddisfi i requisiti di Security Lake. Ad esempio, modificando il percorso in Regione singola o disattivando la registrazione degli eventi di gestione read o write.
Nota
Se utilizzi lo AWS CLI o uno degli AWS SDK per modificare un percorso, assicurati che la policy del percorso sia quella del bucket. up-to-date Affinché il tuo bucket riceva automaticamente eventi da un nuovo utente Regione AWS, la policy deve contenere il nome completo del servizio,. cloudtrail.amazonaws.com Per ulteriori informazioni, consulta Policy sui bucket Amazon S3 per CloudTrail.
Argomenti
- Conversione di un trail valido per una regione in un trail valido per tutte le regioni
- Conversione di un percorso multi-regione in un percorso basato su una Regione singola
- Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale
- Abilitazione della convalida dei file di log
- Disabilitazione della convalida dei file di log
Conversione di un trail valido per una regione in un trail valido per tutte le regioni
Per modificare un trail esistente in modo che sia valido per tutte le regioni, utilizza l'opzione --is-multi-region-trail.
aws cloudtrail update-trail --namemy-trail--is-multi-region-trail
A conferma che il trail è valido per tutte le regioni, l'elemento IsMultiRegionTrail nell'output indica true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Conversione di un percorso multi-regione in un percorso basato su una Regione singola
Per modificare un percorso multi-regione esistente in modo che si applichi solo alla Regione in cui è stato creato, utilizza l'opzione --no-is-multi-region-trail.
aws cloudtrail update-trail --namemy-trail--no-is-multi-region-trail
A conferma che il trail è valido per una singola regione, l'elemento IsMultiRegionTrail nell'output indica false.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Abilitazione e disabilitazione della registrazione degli eventi di assistenza globale
Per modificare un trail in modo che non registri gli eventi di servizio globali, utilizza l'opzione --no-include-global-service-events.
aws cloudtrail update-trail --namemy-trail--no-include-global-service-events
A conferma che il trail non registra più gli eventi di servizio globali, l'elemento IncludeGlobalServiceEvents nell'output indica false.
{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Per modificare un trail in modo che registri gli eventi di servizio globali, utilizza l'opzione --include-global-service-events.
I percorsi a Regione singola non riceveranno più eventi di assistenza globale a partire dal 22 novembre 2021, a meno che il percorso non compaia già nella Regione Stati Uniti orientali (Virginia settentrionale), us-east-1. Per continuare ad acquisire eventi di servizio globale, aggiorna la configurazione del percorso in un percorso multi-regione. Ad esempio, questo comando aggiorna un percorso basato su una singola Regione negli Stati Uniti orientali (Ohio) us-east-2, in un percorso multi-regione. Sostituisci myExistingSingleRegionTrailWithGSE con il nome del percorso appropriato per la tua configurazione.
aws cloudtrail --region us-east-2 update-trail --namemyExistingSingleRegionTrailWithGSE--is-multi-region-trail
Poiché gli eventi di assistenza globale sono disponibili solo negli Stati Uniti orientali (Virginia settentrionale) dal 22 novembre 2021, puoi anche creare un percorso a una sola Regione per iscriverti agli eventi di assistenza globali nella Regione Stati Uniti orientali (Virginia settentrionale), us-east-1. Il comando seguente crea un percorso a regione singola in us-east-1 per CloudFront ricevere, IAM ed eventi: AWS STS
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --namemyTrail--s3-bucket-nameDOC-EXAMPLE-BUCKET
Abilitazione della convalida dei file di log
Per abilitare la convalida dei file di log per un trail, usa l'opzione --enable-log-file-validation. I file digest vengono distribuiti nel bucket Amazon S3 per il percorso specificato.
aws cloudtrail update-trail --namemy-trail--enable-log-file-validation
A conferma che la convalida dei file di log è abilitata, l'elemento LogFileValidationEnabled nell'output indica true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Disabilitazione della convalida dei file di log
Per disabilitare la convalida dei file di log per un trail, usa l'opzione --no-enable-log-file-validation.
aws cloudtrail update-trail --namemy-trail-name--no-enable-log-file-validation
A conferma che la convalida dei file di log è disabilitata, l'elemento LogFileValidationEnabled nell'output indica false.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Per convalidare i file di registro con, vedere. AWS CLIConvalida dell'integrità dei file di CloudTrail registro con AWS CLI
