CloudTrail ログファイルの複数のリージョンからの受け取り

複数のリージョンのログファイルを、1 つのアカウントの 1 つの S3 バケットに配信するように CloudTrail を設定できます。例えば、S3 バケットと CloudWatch Logs ロググループにログファイルを配信するよう設定された証跡が、米国西部 (オレゴン) リージョンにあるとします。すべてのリージョンのログ記録を行うように既存の単一リージョンの証跡を変更すると、CloudTrail はアカウントの単一の AWS パーティション内にあるすべてのリージョンからのイベントをログに記録します。CloudTrail は、同じ S3 バケットと CloudWatch Logs ロググループにログファイルを配信します。CloudTrail に S3 バケットに対する書き込みアクセス許可がある限り、マルチリージョン証跡のバケットは、証跡のホーム以外のリージョンにあっても問題ありません。

アカウントのすべての AWS パーティションの、すべてのリージョンでイベントのログ記録を行うときは、各パーティションにマルチリージョンの証跡を作成します。

コンソールでは、デフォルトで、作業している AWS パーティションのすべての AWS リージョン のイベントをログ記録する証跡を作成します。これは推奨されるベストプラクティスです。単一リージョンでイベントのログ記録を行うには (非推奨)、AWS CLI を使用します。すべてのリージョンにログインするように既存の単一リージョンの証跡を設定するには、AWS CLI を使用する必要があります。

既存の証跡を変更し、すべてのリージョンに適用されるようにするには、--is-multi-region-trail オプションを update-trail コマンドに追加します。

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

証跡がすべてのリージョンに適用されるようになったことを確認するために、出力の IsMultiRegionTrail 要素に true と表示されます。

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}

詳細については、以下のリソースを参照してください。