update-trail コマンドを使用して証跡を更新する - AWS CloudTrail
1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用マルチリージョンの証跡から単一リージョンの証跡への変換グローバルサービスイベントのログ記録の有効化と無効化ログファイルの検証の有効化ログファイルの検証の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

update-trail コマンドを使用して証跡を更新する

重要

2021 年 11 月 22 日現在、 は証跡がグローバルサービスイベントをキャプチャする方法 AWS CloudTrail を変更しました。現在、Amazon によって作成されたイベント CloudFront、および AWS STS は AWS Identity and Access Management、作成されたリージョン、米国東部 (バージニア北部) リージョン、us-east-1 に記録されます。これにより、 はこれらのサービスを他の AWS グローバルサービスの と一貫して CloudTrail 処理します。米国東部 (バージニア北部) 以外でグローバルサービスイベントを受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用するシングルリージョン証跡を、必ずマルチリージョン証跡に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の グローバルサービスイベントのログ記録の有効化と無効化 を参照してください。

対照的に、 CloudTrail コンソールのイベント履歴aws cloudtrail lookup-events コマンドは、これらのイベントが発生した AWS リージョン のイベントを表示します。

update-trail コマンドを使用して、証跡の設定を変更できます。add-tagsremove-tags コマンドを使用して、証跡のタグを追加および削除することもできます。更新できるのは、証跡が作成された AWS リージョン (ホームリージョン) からの証跡のみです。を使用する場合 AWS CLI、コマンドはプロファイル用に設定された AWS リージョンで実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

Amazon Security Lake で CloudTrail 管理イベントを有効にしている場合は、マルチリージョンで と readwriteの両方の管理イベントを記録する組織証跡を少なくとも 1 つ維持する必要があります。資格を満たしている証跡を、Security Lake の要件に従わない方法で更新することはできません。例えば、証跡を単一リージョンに変更したり、read または write 管理イベントのログ記録をオフにしたりするなどです。

注記

AWS CLI または のいずれか AWS SDKsを使用して証跡を変更する場合は、証跡のバケットポリシーが であることを確認します up-to-date。バケットが新しい からイベントを自動的に受信するには AWS リージョン、ポリシーに完全なサービス名 が含まれている必要がありますcloudtrail.amazonaws.com。詳細については、「の Amazon S3 バケットポリシー CloudTrail」を参照してください。

1 つのリージョンに適用される証跡を変換してすべてのリージョンに適用

既存の証跡を変更し、すべてのリージョンに適用されるようにするには、--is-multi-region-trail オプションを使用します。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

証跡がすべてのリージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

マルチリージョンの証跡から単一リージョンの証跡への変換

作成元のリージョンにのみ適用されるように既存のマルチリージョンの証跡を変更するには、--no-is-multi-region-trail オプションを使用します。

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

証跡が単一リージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に false と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

グローバルサービスイベントのログ記録の有効化と無効化

証跡を変更し、グローバルサービスイベントをログに記録しないようにするには、--no-include-global-service-events オプションを使用します。

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

証跡がグローバルサービスイベントをログに記録しなくなったことを確認するために、出力の IncludeGlobalServiceEvents 要素に false と表示されます。

{
    "IncludeGlobalServiceEvents": false, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

証跡を変更し、グローバルサービスイベントをログに記録するには、--include-global-service-events オプションを使用します。

米国東部 (バージニア北部) リージョン us-east-1 では、すでに表示されていない限り、2021 年 11 月 22 日以降、単一リージョン証跡はグローバルサービスイベントを受け取れなくなります。グローバルサービスイベントのキャプチャを続行するには、証跡の設定をマルチリージョン証跡に更新します。例えば、このコマンドは、米国東部 (オハイオ) us-east-2 の単一リージョン証跡をマルチリージョン証跡に更新します。置換 myExistingSingleRegionTrailWithGSE 設定に適した証跡名。

aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail

2021 年 11 月 22 日以降、グローバルサービスイベントを利用できるのは米国東部 (バージニア北部) のみとなるため、米国東部 (バージニア北部) リージョン us-east-1 では、単一リージョン証跡を作成して、グローバルサービスイベントをサブスクライブすることも可能です。次のコマンドは、us-east-1 に単一リージョンの証跡を作成して CloudFront、、IAM、および AWS STS イベントを受信します。

aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name amzn-s3-demo-bucket

ログファイルの検証の有効化

証跡のログファイルの検証を有効にするには、--enable-log-file-validation オプションを使用します。ダイジェストファイルは、その証跡の Amazon S3 バケットに配信されます。

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

ログファイルの検証が有効になっていることを確認するために、出力の LogFileValidationEnabled 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

ログファイルの検証の無効化

証跡のログファイルの検証を無効にするには、--no-enable-log-file-validation オプションを使用します。

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

ログファイルの検証が無効になっていることを確認するために、出力の LogFileValidationEnabled 要素に false と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

でログファイルを検証するには AWS CLI、「」を参照してくださいを使用した CloudTrail ログファイルの整合性の検証 AWS CLI