「create-trail の使用」 - AWS CloudTrail
すべてのリージョンに適用される証跡の作成証跡のログ記録の開始単一リージョンの証跡の作成すべてのリージョンに適用され、ログファイルの検証が有効にされている証跡の作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

「create-trail の使用」

create-trail コマンドを実行して、ビジネスニーズに合わせて特別に設定された証跡を作成できます。を使用する場合 AWS CLI、コマンドはプロファイル用に設定された AWS リージョンで実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

すべてのリージョンに適用される証跡の作成

すべてのリージョンに適用される証跡を作成するには、--is-multi-region-trail オプションを使用します。デフォルトでは、create-trail コマンドは、証跡が作成された AWS リージョンでのみイベントを記録する証跡を作成します。グローバルサービスイベントを確実にログに記録し、 AWS アカウント内のすべての管理イベントアクティビティをキャプチャするには、すべての AWS リージョンでイベントをログに記録する証跡を作成する必要があります。

注記

証跡を作成するときに、 で作成されていない Amazon S3 バケットを指定する場合は CloudTrail、適切なポリシーをアタッチする必要があります。の Amazon S3 バケットポリシー CloudTrail を参照してください。

次の例では、my-trail という名前の証跡と、すべてのリージョンから my-bucket という名前の既存のバケットにログを配信する Marketing の値を持つ Group という名前のキーを持つタグを作成します。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

証跡がすべてのリージョンに存在することを確認するために、出力の IsMultiRegionTrail 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}
注記

証跡のログ記録を開始するには start-logging コマンドを使用します。

証跡のログ記録の開始

create-trail コマンドが完了したら、start-logging コマンドを実行してその証跡のログ記録を開始します。

注記

CloudTrail コンソールで証跡を作成すると、ログ記録が自動的に有効になります。

次の例は、証跡のログ記録を開始します。

aws cloudtrail start-logging --name my-trail

このコマンドは出力を返しませんが、get-trail-status コマンドを使用すると、ログ記録が開始されたことを確認できます。

aws cloudtrail get-trail-status --name my-trail

証跡がログを記録していることを確認するために、出力の IsLogging 要素に true と表示されます。

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

単一リージョンの証跡の作成

次のコマンドは、単一のリージョンの証跡を作成します。指定された Amazon S3 バケットは既に存在し、適切な CloudTrail アクセス許可が適用されている必要があります。詳細については、「の Amazon S3 バケットポリシー CloudTrail」を参照してください。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket

詳しくは、命名の要件 を参照してください。

以下は出力例です。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "my-bucket"
}

すべてのリージョンに適用され、ログファイルの検証が有効にされている証跡の作成

create-trail を使用しているときにログファイルの検証を有効にするには、--enable-log-file-validation オプションを使用します。

ログファイルの検証については、「 CloudTrail ログファイルの整合性の検証」を参照してください。

次の例では、すべてのリージョンから指定したバケットにログを配信する証跡を作成します。このコマンドでは、--enable-log-file-validation オプションを使用します。

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --enable-log-file-validation

ログファイルの検証が有効になっていることを確認するために、出力の LogFileValidationEnabled 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "my-bucket"
}