CloudTrail ログ ファイルを複数のリージョンから受け取る - AWS CloudTrail

CloudTrail ログ ファイルを複数のリージョンから受け取る

複数のリージョンのログファイルを、1 つのアカウントの 1 つの S3 バケットに配信するように CloudTrail を設定できます。例えば、S3 バケットと CloudWatch Logs ロググループにログファイルを配信するよう設定された証跡が、米国西部 (オレゴン) リージョンにあるとします。すべてのリージョンのログを記録するように既存の単一リージョンの証跡を変更すると、CloudTrail はアカウント内のすべてのリージョンからのイベントをログに記録します。CloudTrail は、同じ S3 バケットと CloudWatch Logs ロググループにログファイルを配信します。CloudTrail に S3 バケットに対する書き込みアクセス許可がある限り、マルチリージョン証跡のバケットは証跡のホーム以外のリージョンにあってもかまいません。

コンソールでは、デフォルトで、有効にしたすべての AWS リージョンのイベントをログに記録する証跡を作成します。これは推奨されるベストプラクティスです。単一リージョンでイベントをログに記録するには (推奨されません)、AWS CLI を使用します。すべてのリージョンにログインするように既存の単一リージョンの証跡を設定するには、AWS CLI を使用する必要があります。

既存の証跡を変更し、すべてのリージョンに適用されるようにするには、--is-multi-region-trail オプションを update-trail コマンドに追加します。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

証跡がすべてのリージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に true と表示されます。

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }
注記

aws パーティションで新しいリージョンが起動すると、CloudTrail は元の証跡と同じ設定を使用して、新しいリージョンの証跡を自動的に作成します。

詳細については、以下のリソースを参照してください。