Utilizar el create-trail comando para crear un registro - AWS CloudTrail
Creación de un registro de seguimiento que se aplique a todas las regionesIniciar el registro de seguimientoCrear un registro de seguimiento para una sola regiónCreación de un registro de seguimiento que se aplica a todas las regiones y que tiene activada la validación de archivos de registro

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilizar el create-trail comando para crear un registro

Puede ejecutar el comando create-trail para crear registros de seguimiento configurados específicamente a fin de satisfacer sus necesidades empresariales. Cuando utilice el AWS CLI, recuerde que sus comandos se ejecutan en la AWS región configurada para su perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.

Creación de un registro de seguimiento que se aplique a todas las regiones

Para crear un registro de seguimiento que se aplique a todas las regiones, utilice la opción --is-multi-region-trail. De forma predeterminada, el comando create-trail crea un registro de seguimiento que registra los eventos únicamente en la región de AWS donde se creó el registro de seguimiento. Para asegurarte de registrar los eventos de servicio globales y registrar toda la actividad de los eventos de gestión en tu AWS cuenta, debes crear rutas que registren los eventos en todas AWS las regiones.

nota

Al crear una ruta, si especificas un bucket de Amazon S3 con el que no se creó CloudTrail, tendrás que adjuntar la política correspondiente. Consulte Política de bucket de Amazon S3 para CloudTrail.

En el siguiente ejemplo, se crea un rastro con el nombre my-trail y una etiqueta con una clave llamada Group con un valor de Marketing que envía los registros de todas las regiones a un depósito existente denominado amzn-s3-demo-bucket.

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

Para confirmar que el registro de seguimiento existe en todas las regiones, el elemento IsMultiRegionTrail del resultado muestra true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
nota

Utilice el comando start-logging para empezar a ejecutar el registro de seguimiento.

Iniciar el registro de seguimiento

Cuando el comando create-trail termine de ejecutarse, ejecute el comando start-logging para empezar a ejecutar ese registro de seguimiento.

nota

Al crear una ruta con la CloudTrail consola, el registro se activa automáticamente.

En el ejemplo siguiente, se inicia el registro para un registro de seguimiento.

aws cloudtrail start-logging --name my-trail

Este comando no devuelve ningún resultado, pero puede utilizar el comando get-trail-status para verificar que ha comenzado el registro.

aws cloudtrail get-trail-status --name my-trail

Para confirmar que el registro de seguimiento está funcionando, el elemento IsLogging del resultado muestra true.

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

Crear un registro de seguimiento para una sola región

El siguiente comando crea un registro de seguimiento para una única región. El bucket de Amazon S3 especificado debe existir ya y tener los CloudTrail permisos correspondientes aplicados. Para obtener más información, consulte Política de bucket de Amazon S3 para CloudTrail.

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket

A continuación, se muestra un ejemplo del resultado.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

Creación de un registro de seguimiento que se aplica a todas las regiones y que tiene activada la validación de archivos de registro

Para habilitar la validación de archivos de registro cuando se utiliza create-trail, use la opción --enable-log-file-validation.

Para obtener información sobre la validación de archivos de registro, consulte Validación de la integridad del archivo de CloudTrail registro.

El ejemplo siguiente crea un registro de seguimiento que envía los archivos de registro de todas las regiones al bucket especificado. El comando utiliza la opción --enable-log-file-validation. 

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation

Para confirmar que la validación de archivos de registro está activada, el elemento LogFileValidationEnabled del resultado muestra true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}