Usando o create-trail comando para criar uma trilha - AWS CloudTrail
Criar uma trilha que se aplica a todas as regiõesInicie o registro da trilhaCriar uma trilha de região únicaCriar uma trilha que se aplica a todas as regiões e que tem a validação do arquivo de log ativada

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o create-trail comando para criar uma trilha

Você pode usar o comando create-trail para criar trilhas que são especificamente configuradas para atender às suas necessidades de negócios. Ao usar o AWS CLI, lembre-se de que seus comandos são executados na AWS região configurada para seu perfil. Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use o parâmetro --region com o comando.

Criar uma trilha que se aplica a todas as regiões

Para criar uma trilha que se aplica a todas as regiões, use a opção --is-multi-region-trail. Por padrão, o comando create-trail cria uma trilha que registra eventos apenas na região da AWS em que a trilha foi criada. Para garantir que você registre eventos de serviços globais e capture todas as atividades de gerenciamento de eventos em sua AWS conta, crie trilhas que registrem eventos em todas as AWS regiões.

nota

Ao criar uma trilha, se você especificar um bucket do Amazon S3 que não foi criado com CloudTrail, você precisa anexar a política apropriada. Consulte Política de bucket do Amazon S3 para CloudTrail.

O exemplo a seguir cria uma trilha com o nome my-trail e uma tag com uma chave chamada Group com um valor de Marketing que entrega registros de todas as regiões para um bucket existente chamado DOC-EXAMPLE-BUCKET.

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-multi-region-trail --tags-list [key=Group,value=Marketing]

Para confirmar se sua trilha existe em todas as regiões, o elemento IsMultiRegionTrail no resultado mostra true:

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}
nota

Use o comando start-logging para iniciar o registro da sua trilha.

Inicie o registro da trilha

Depois que o comando create-trail for concluído, execute o comando start-logging para iniciar o registro dessa trilha.

nota

Quando você cria uma trilha com o CloudTrail console, o registro é ativado automaticamente.

O exemplo a seguir inicia o registro de uma trilha.

aws cloudtrail start-logging --name my-trail

Esse comando não retorna uma saída, mas você pode usar o comando get-trail-status para verificar se o registro foi iniciado.

aws cloudtrail get-trail-status --name my-trail

Para confirmar se a trilha está sendo registrada, o elemento IsLogging no resultado mostra true.

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

Criar uma trilha de região única

O comando a seguir cria uma trilha de região única. O bucket especificado do Amazon S3 já deve existir e ter as CloudTrail permissões apropriadas aplicadas. Para ter mais informações, consulte Política de bucket do Amazon S3 para CloudTrail.

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET

O seguinte é um exemplo de saída.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Criar uma trilha que se aplica a todas as regiões e que tem a validação do arquivo de log ativada

Para ativar a validação do arquivo de log ao usar create-trail, use a opção --enable-log-file-validation.

Para obter informações sobre a validação do arquivo de log, consulte Validando a integridade CloudTrail do arquivo de log.

O exemplo a seguir cria uma trilha que fornece logs de todas as regiões ao bucket especificado. O comando usa a opção --enable-log-file-validation. 

aws cloudtrail create-trail --name my-trail --s3-bucket-name DOC-EXAMPLE-BUCKET --is-multi-region-trail --enable-log-file-validation

Para confirmar se a validação do arquivo de log está ativada, o elemento LogFileValidationEnabled no resultado mostra true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}