create-trail の使用 - AWS CloudTrail

create-trail の使用

create-trail コマンドを実行して、ビジネスニーズに合わせて特別に設定された証跡を作成できます。AWS CLI を使用するときは、コマンドは自分のプロファイル用に設定された AWS リージョンで実行されることを忘れないようにしてください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

すべてのリージョンに適用される証跡の作成

すべてのリージョンに適用される証跡を作成するには、--is-multi-region-trail オプションを使用します。デフォルトでは、create-trail コマンドは、証跡が作成された AWS リージョンでのみイベントを記録する証跡を作成します。グローバルサービスイベントをログに記録し、すべての管理イベントのアクティビティを AWS アカウントにキャプチャするには、すべての AWS リージョンでイベントを記録する証跡を作成する必要があります。

注記

証跡を作成するときに、CloudTrail で作成されていない Amazon S3 バケットを使用する場合は、適切なポリシーをアタッチする必要があります。「CloudTrail の Amazon S3 バケットポリシー」を参照してください。

次の例では、my-trail という名前の証跡と、すべてのリージョンから my-bucket という名前の既存のバケットにログを配信する Marketing の値を持つ Group という名前のキーを持つタグを作成します。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

証跡がすべてのリージョンに存在することを確認するために、出力の IsMultiRegionTrail 要素に true と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }
注記

証跡のログ記録を開始するには start-logging コマンドを使用します。

証跡のログ記録の開始

create-trail コマンドが完了したら、start-logging コマンドを実行してその証跡のログ記録を開始します。

注記

CloudTrail コンソールで証跡を作成する場合、ログ記録が自動的に有効になります。

次の例は、証跡のログ記録を開始します。

aws cloudtrail start-logging --name my-trail

このコマンドは出力を返しませんが、get-trail-status コマンドを使用すると、ログ記録が開始されたことを確認できます。

aws cloudtrail get-trail-status --name my-trail

証跡がログを記録していることを確認するために、出力の IsLogging 要素に true と表示されます。

{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }

単一リージョンの証跡の作成

次のコマンドは、単一のリージョンの証跡を作成します。指定された Amazon S3 バケットがすでに存在し、適切な CloudTrail 権限が適用されている必要があります。詳しくは、CloudTrail の Amazon S3 バケットポリシー を参照してください。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket

詳しくは、CloudTrail 証跡の命名要件 を参照してください。

以下は出力例です。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

すべてのリージョンに適用され、ログファイルの検証が有効にされている証跡の作成

create-trail を使用しているときにログファイルの検証を有効にするには、--enable-log-file-validation オプションを使用します。

ログファイルの検証については、「CloudTrail ログファイルの整合性の検証」を参照してください。

次の例では、すべてのリージョンから指定したバケットにログを配信する証跡を作成します。このコマンドでは、--enable-log-file-validation オプションを使用します。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --enable-log-file-validation

ログファイルの検証が有効になっていることを確認するために、出力の LogFileValidationEnabled 要素に true と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }