As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando o update-trail comando para atualizar uma trilha
Importante
Em 22 de novembro de 2021, AWS CloudTrail mudou a forma como as trilhas capturam eventos de serviços globais. Agora, os eventos criados pela Amazon CloudFront AWS Identity and Access Management, e AWS STS são registrados na região em que foram criados, a região Leste dos EUA (Norte da Virgínia), us-east-1. Isso faz com que a forma como CloudTrail trata esses serviços seja consistente com a de outros serviços AWS globais. Para continuar recebendo eventos de serviços globais fora do Leste dos EUA (Norte da Virgínia), certifique-se de converter as trilhas de região única que usam eventos de serviços globais fora do Leste dos EUA (Norte da Virgínia) para trilhas de várias regiões. Para obter mais informações sobre como capturar eventos de serviços globais, consulte Como habilitar e desabilitar o registro de eventos de serviços globais que aparece adiante nesta seção.
Por outro lado, o histórico de eventos no CloudTrail console e o aws cloudtrail lookup-events comando mostrarão esses eventos no Região da AWS local em que eles ocorreram.
Você pode usar o comando update-trail para alterar as definições de configuração de uma trilha. Você também pode usar os comandos remove-tags e add-tags para adicionar e remover tags de uma trilha. Você só pode atualizar trilhas da AWS região em que a trilha foi criada (sua região de origem). Ao usar o AWS CLI, lembre-se de que seus comandos são executados na AWS região configurada para seu perfil. Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use o parâmetro --region com o comando.
Se você habilitou eventos CloudTrail de gerenciamento no Amazon Security Lake, é necessário manter pelo menos uma trilha organizacional que seja multirregional e read registre os eventos write de gerenciamento. Você não pode atualizar uma trilha de qualificação de uma forma que não atenda aos requisitos do Security Lake. Por exemplo, alterando a trilha para região única ou desativando o registro em log de eventos de gerenciamento de read ou write.
nota
Se você usar o AWS CLI ou um dos AWS SDKs para modificar uma trilha, verifique se a política de bucket da trilha é up-to-date. Para que seu bucket receba automaticamente eventos de um novo Região da AWS, a política deve conter o nome completo do serviço,cloudtrail.amazonaws.com. Para ter mais informações, consulte Política de bucket do Amazon S3 para CloudTrail.
Tópicos
- Converter uma trilha que se aplica a uma região para que ela se aplique a todas as regiões
- Converter uma trilha de várias regiões em uma trilha de região única
- Como habilitar e desabilitar o registro de eventos de serviços globais
- Ativar a validação do arquivo de log
- Desativar a validação do arquivo de log
Converter uma trilha que se aplica a uma região para que ela se aplique a todas as regiões
Para alterar uma trilha existente para que ela se aplique a todas as regiões, use a opção --is-multi-region-trail.
aws cloudtrail update-trail --namemy-trail--is-multi-region-trail
Para confirmar se a trilha agora se aplica a todas as regiões, o elemento IsMultiRegionTrail no resultado mostra true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Converter uma trilha de várias regiões em uma trilha de região única
Para alterar uma trilha de várias regiões existente de modo que ela se aplique somente à região na qual foi criada, use a opção --no-is-multi-region-trail.
aws cloudtrail update-trail --namemy-trail--no-is-multi-region-trail
Para confirmar se a trilha agora se aplica a uma única região, o elemento IsMultiRegionTrail no resultado mostra false.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Como habilitar e desabilitar o registro de eventos de serviços globais
Para alterar uma trilha para que ela não registre eventos de serviços globais, use a opção --no-include-global-service-events.
aws cloudtrail update-trail --namemy-trail--no-include-global-service-events
Para confirmar se a trilha não deve registrar eventos de serviços globais, o elemento IncludeGlobalServiceEvents no resultado deve mostrar false.
{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Para alterar uma trilha para que ela registre eventos de serviços globais, use a opção --include-global-service-events.
As trilhas de região única não receberão mais eventos de serviços globais a partir de 22 de novembro de 2021, a menos que uma trilha já apareça na região Leste dos EUA (Norte da Virgínia), us-east-1. Para continuar capturando eventos de serviços globais, atualize a configuração da trilha para trilha de várias regiões. Por exemplo, esse comando atualiza uma trilha de região única na região Leste dos EUA (Ohio), us-east-2, para uma trilha de várias regiões. Substitua o myExistingSingleRegionTrailWithGSE pelo nome da trilha apropriada para sua configuração.
aws cloudtrail --region us-east-2 update-trail --namemyExistingSingleRegionTrailWithGSE--is-multi-region-trail
Como os eventos de serviços globais só estarão disponíveis no Leste dos EUA (Norte da Virgínia) a partir de 22 de novembro de 2021, você também pode criar uma trilha de região única para assinar eventos de serviços globais na região Leste dos EUA (Norte da Virgínia), us-east-1. O comando a seguir cria uma trilha de região única em us-east-1 para CloudFront receber, IAM e eventos: AWS STS
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --namemyTrail--s3-bucket-nameDOC-EXAMPLE-BUCKET
Ativar a validação do arquivo de log
Para ativar a validação do arquivo de log em uma trilha, use a opção --enable-log-file-validation. Os arquivos de resumo são fornecidos ao bucket do Amazon S3 dessa trilha.
aws cloudtrail update-trail --namemy-trail--enable-log-file-validation
Para confirmar se a validação do arquivo de log está ativada, o elemento LogFileValidationEnabled no resultado mostra true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Desativar a validação do arquivo de log
Para desativar a validação do arquivo de log em uma trilha, use a opção --no-enable-log-file-validation.
aws cloudtrail update-trail --namemy-trail-name--no-enable-log-file-validation
Para confirmar se a validação do arquivo de log está desativada, o elemento LogFileValidationEnabled no resultado mostra false.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Para validar arquivos de log com o AWS CLI, consulteValidando a integridade do arquivo de CloudTrail log com o AWS CLI.
