Como usar o comando create-trail para criar uma trilha - AWS CloudTrail
Criar uma trilha multirregionalInicie o registro da trilhaCriar uma trilha de região únicaCriar uma trilha multirregional com validação do arquivo de log habilitada

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar o comando create-trail para criar uma trilha

Você pode usar o comando create-trail para criar trilhas que são especificamente configuradas para atender às suas necessidades de negócios. Ao usar o AWS CLI, lembre-se de que seus comandos são executados na AWS região configurada para seu perfil. Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use o parâmetro --region com o comando.

Criar uma trilha multirregional

Uma trilha pode ser aplicada a todas as Regiões da AWS que estão habilitadas na sua Conta da AWS, ou pode ser aplicada a uma única região. Uma trilha que se aplica a todas as Regiões da AWS que estão habilitadas em sua Conta da AWS é chamada de trilha multirregional. A prática recomendada é criar uma trilha multirregional porque ela captura atividade em todas as regiões habilitadas.

Para criar uma trilha multirregional, use a opção --is-multi-region-trail. Por padrão, o comando create-trail cria uma trilha que registra eventos apenas na região da AWS em que a trilha foi criada. Para garantir que você registre eventos de serviços globais e capture todas as atividades de gerenciamento de eventos em sua AWS conta, crie trilhas que registrem eventos em todas as AWS regiões.

nota

Ao criar uma trilha, se você especificar um bucket do Amazon S3 que não foi criado com CloudTrail, você precisa anexar a política apropriada. Consulte Política de bucket do Amazon S3 para CloudTrail.

O exemplo a seguir cria uma trilha multirregional com o nome my-trail e uma tag com uma chave nomeada Group com um valor de Marketing que entrega registros de todas as regiões habilitadas em sua conta para um bucket existente chamadoamzn-s3-demo-bucket.

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

Para confirmar que a trilha é multirregional, verifique se o elemento IsMultiRegionTrail na saída aparece como true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
nota

Use o comando start-logging para iniciar o registro da sua trilha.

Inicie o registro da trilha

Depois que o comando create-trail for concluído, execute o comando start-logging para iniciar o registro dessa trilha.

nota

Quando você cria uma trilha com o CloudTrail console, o registro é ativado automaticamente.

O exemplo a seguir inicia o registro de uma trilha.

aws cloudtrail start-logging --name my-trail

Esse comando não retorna uma saída, mas você pode usar o comando get-trail-status para verificar se o registro foi iniciado.

aws cloudtrail get-trail-status --name my-trail

Para confirmar se a trilha está sendo registrada, o elemento IsLogging no resultado mostra true.

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

Criar uma trilha de região única

O comando a seguir cria uma trilha de região única. O bucket especificado do Amazon S3 já deve existir e ter as CloudTrail permissões apropriadas aplicadas. Para obter mais informações, consulte Política de bucket do Amazon S3 para CloudTrail.

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket

O seguinte é um exemplo de saída.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

Criar uma trilha multirregional com validação do arquivo de log habilitada

Para ativar a validação do arquivo de log ao usar create-trail, use a opção --enable-log-file-validation.

Para obter informações sobre a validação do arquivo de log, consulte Validar a integridade dos arquivos de log do CloudTrail.

O exemplo a seguir cria uma trilha multirregional que entrega os logs ao bucket especificado. O comando usa a opção --enable-log-file-validation. 

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation

Para confirmar se a validação do arquivo de log está ativada, o elemento LogFileValidationEnabled no resultado mostra true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}