create-trail コマンドを使用して証跡を作成する - AWS CloudTrail
すべてのリージョンに適用される証跡の作成証跡のログ記録の開始単一リージョンの証跡の作成すべてのリージョンに適用され、ログファイルの検証が有効にされている証跡の作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

create-trail コマンドを使用して証跡を作成する

create-trail コマンドを実行して、ビジネスニーズに合わせて特別に設定された証跡を作成できます。を使用する場合 AWS CLI、コマンドはプロファイル用に設定された AWS リージョンで実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

すべてのリージョンに適用される証跡の作成

すべてのリージョンに適用される証跡を作成するには、--is-multi-region-trail オプションを使用します。デフォルトでは、create-trail コマンドは、証跡が作成された AWS リージョンでのみイベントを記録する証跡を作成します。グローバルサービスイベントを確実にログに記録し、 AWS アカウント内のすべての管理イベントアクティビティをキャプチャするには、すべての AWS リージョンでイベントをログに記録する証跡を作成する必要があります。

注記

証跡を作成するときに、CloudTrail で作成されていない Amazon S3 バケットを使用する場合は、適切なポリシーをアタッチする必要があります。「CloudTrail の Amazon S3 バケットポリシー」を参照してください。

次の例では、my-trail という名前の証跡と、すべてのリージョンから amzn-s3-demo-bucket という名前の既存のバケットにログを配信する Marketing の値を持つ Group という名前のキーを持つタグを作成します。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

証跡がすべてのリージョンに存在することを確認するために、出力の IsMultiRegionTrail 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
注記

証跡のログ記録を開始するには start-logging コマンドを使用します。

証跡のログ記録の開始

create-trail コマンドが完了したら、start-logging コマンドを実行してその証跡のログ記録を開始します。

注記

CloudTrail コンソールで証跡を作成する場合、ログ記録が自動的に有効になります。

次の例は、証跡のログ記録を開始します。

aws cloudtrail start-logging --name my-trail

このコマンドは出力を返しませんが、get-trail-status コマンドを使用すると、ログ記録が開始されたことを確認できます。

aws cloudtrail get-trail-status --name my-trail

証跡がログを記録していることを確認するために、出力の IsLogging 要素に true と表示されます。

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

単一リージョンの証跡の作成

次のコマンドは、単一のリージョンの証跡を作成します。指定された Amazon S3 バケットがすでに存在し、適切な CloudTrail 権限が適用されている必要があります。詳細については、「CloudTrail の Amazon S3 バケットポリシー」を参照してください。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket

以下は出力例です。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

すべてのリージョンに適用され、ログファイルの検証が有効にされている証跡の作成

create-trail を使用しているときにログファイルの検証を有効にするには、--enable-log-file-validation オプションを使用します。

ログファイルの検証については、「CloudTrail ログファイルの整合性の検証」を参照してください。

次の例では、すべてのリージョンから指定したバケットにログを配信する証跡を作成します。このコマンドでは、--enable-log-file-validation オプションを使用します。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation

ログファイルの検証が有効になっていることを確認するために、出力の LogFileValidationEnabled 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}