create-trail コマンドを使用して証跡を作成する - AWS CloudTrail
マルチリージョン証跡の作成証跡のログ記録の開始単一リージョンの証跡の作成ログファイルの検証が有効になっているマルチリージョン証跡の作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

create-trail コマンドを使用して証跡を作成する

create-trail コマンドを実行して、ビジネスニーズに合わせて特別に設定された証跡を作成できます。を使用する場合 AWS CLI、コマンドはプロファイル用に設定された AWS リージョンで実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

マルチリージョン証跡の作成

証跡は、 で有効 AWS リージョン になっているすべての に適用することも AWS アカウント、単一のリージョンに適用することもできます。で有効になっているすべての に適用される証跡 AWS リージョン は、マルチリージョン証跡 AWS アカウント と呼ばれます。ベストプラクティスとして、マルチリージョン証跡を作成することをお勧めします。マルチリージョン証跡は、有効なすべてのリージョンのアクティビティをキャプチャするためです。

マルチリージョン証跡を作成するには、 --is-multi-region-trailオプションを使用します。デフォルトでは、create-trail コマンドは、証跡が作成された AWS リージョンでのみイベントを記録する証跡を作成します。グローバルサービスイベントを確実にログに記録し、 AWS アカウント内のすべての管理イベントアクティビティをキャプチャするには、すべての AWS リージョンでイベントをログに記録する証跡を作成する必要があります。

注記

証跡を作成するときに、CloudTrail で作成されていない Amazon S3 バケットを使用する場合は、適切なポリシーをアタッチする必要があります。「CloudTrail の Amazon S3 バケットポリシー」を参照してください。

次の例では、my-trail という名前のマルチリージョン証跡と、アカウントで有効なすべてのリージョンから amzn-s3-demo-bucket という名前の既存のバケットにログを配信する Marketing という値を持つ Group という名前のキーを持つタグを作成します。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

証跡がマルチリージョン証跡であることを確認するには、出力の IsMultiRegionTrail要素に が表示されていることを確認しますtrue

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
注記

証跡のログ記録を開始するには start-logging コマンドを使用します。

証跡のログ記録の開始

create-trail コマンドが完了したら、start-logging コマンドを実行してその証跡のログ記録を開始します。

注記

CloudTrail コンソールで証跡を作成する場合、ログ記録が自動的に有効になります。

次の例は、証跡のログ記録を開始します。

aws cloudtrail start-logging --name my-trail

このコマンドは出力を返しませんが、get-trail-status コマンドを使用すると、ログ記録が開始されたことを確認できます。

aws cloudtrail get-trail-status --name my-trail

証跡がログを記録していることを確認するために、出力の IsLogging 要素に true と表示されます。

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

単一リージョンの証跡の作成

次のコマンドは、単一のリージョンの証跡を作成します。指定された Amazon S3 バケットがすでに存在し、適切な CloudTrail 権限が適用されている必要があります。詳細については、「CloudTrail の Amazon S3 バケットポリシー」を参照してください。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket

以下は出力例です。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

ログファイルの検証が有効になっているマルチリージョン証跡の作成

create-trail を使用しているときにログファイルの検証を有効にするには、--enable-log-file-validation オプションを使用します。

ログファイルの検証については、「CloudTrail ログファイルの整合性の検証」を参照してください。

次の の例では、指定されたバケットにログを配信するマルチリージョン証跡を作成します。このコマンドでは、--enable-log-file-validation オプションを使用します。

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation

ログファイルの検証が有効になっていることを確認するために、出力の LogFileValidationEnabled 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}