複数のリージョンからの CloudTrail ログファイルの受信

は、ログファイル CloudTrail を複数のリージョンから 1 つのアカウントの 1 つの S3 バケットに配信するように設定できます。例えば、ログファイルを S3 バケットに配信するように設定された米国西部 (オレゴン) リージョンの証跡と、 CloudWatch ロググループがあるとします。既存の単一リージョンの証跡を変更してすべてのリージョンをログに記録すると、 はアカウントの単一の AWS パーティションにあるすべてのリージョンからのイベントを CloudTrail ログに記録します。 はログファイルを同じ S3 バケットと CloudWatch ログロググループに CloudTrail 配信します。 CloudTrail が S3 バケットに書き込むアクセス許可を持っている限り、マルチリージョン証跡のバケットは証跡のホームリージョンにある必要はありません。

アカウント内のすべての AWS パーティションのすべてのリージョンのイベントをログに記録するには、各パーティションにマルチリージョンの証跡を作成します。

コンソールでは、デフォルトで、作業している AWS パーティションのすべての AWS リージョン のイベントをログ記録する証跡を作成します。これは推奨されるベストプラクティスです。単一リージョンでイベントのログ記録を行うには (非推奨)、AWS CLIを使用します。すべてのリージョンにログインするように既存の単一リージョンの証跡を設定するには、 AWS CLIを使用する必要があります。

既存の証跡を変更し、すべてのリージョンに適用されるようにするには、--is-multi-region-trail オプションを update-trail コマンドに追加します。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

証跡がすべてのリージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

注記

新しいリージョンがawsパーティション で起動すると、 は元の証跡と同じ設定で新しいリージョンに証跡 CloudTrail を自動的に作成します。

詳細については、以下のリソースを参照してください。

• CloudTrail 証跡の使用

• CloudTrail FAQs