As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como usar o comando update-trail para atualizar uma trilha
Importante
Desde 22 de novembro de 2021, o AWS CloudTrail alterou a forma como as trilhas capturam eventos de serviços globais. Agora, os eventos criados pelo Amazon CloudFront, AWS Identity and Access Management e AWS STS são registrados na região em que foram criados, região Leste dos EUA (Norte da Virgínia), us-east-1. Isso torna o tratamento dedicado pelo CloudTrail a esses serviços compatível com o de outros produtos globais da AWS. Para continuar recebendo eventos de serviços globais fora do Leste dos EUA (Norte da Virgínia), certifique-se de converter as trilhas de região única que usam eventos de serviços globais fora do Leste dos EUA (Norte da Virgínia) para trilhas de várias regiões. Para obter mais informações sobre como capturar eventos de serviços globais, consulte Como habilitar e desabilitar o registro de eventos de serviços globais que aparece adiante nesta seção.
Por outro lado, o Histórico de eventos no console do CloudTrail e o comando aws cloudtrail lookup-events mostrarão esses eventos na Região da AWS em que eles ocorreram.
Você pode usar o comando update-trail para alterar as definições de configuração de uma trilha. Você também pode usar os comandos remove-tags e add-tags para adicionar e remover tags de uma trilha. Você só pode atualizar as trilhas da região da AWS em que a trilha foi criada (a região inicial). Ao usar a AWS CLI, lembre-se de que os comandos são executados na região da AWS configurada para o seu perfil. Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use o parâmetro --region com o comando.
Se você habilitou os eventos de gerenciamento do CloudTrail no Amazon Security Lake, é necessário manter pelo menos uma trilha organizacional que seja de várias regiões e registre os eventos de gerenciamento de read e write. Você não pode atualizar uma trilha de qualificação de uma forma que não atenda aos requisitos do Security Lake. Por exemplo, alterando a trilha para região única ou desativando o registro em log de eventos de gerenciamento de read ou write.
nota
Se você usa a AWS CLI ou um dos SDKs da AWS para modificar uma trilha, verifique se a política de bucket da trilha está atualizada. Para que seu bucket receba eventos automaticamente de uma nova Região da AWS, a política deverá conter o nome completo do serviço, cloudtrail.amazonaws.com. Para ter mais informações, consulte Política de bucket do Amazon S3 para o CloudTrail.
Tópicos
- Converter uma trilha que se aplica a uma região para que ela se aplique a todas as regiões
- Converter uma trilha de várias regiões em uma trilha de região única
- Como habilitar e desabilitar o registro de eventos de serviços globais
- Ativar a validação do arquivo de log
- Desativar a validação do arquivo de log
Converter uma trilha que se aplica a uma região para que ela se aplique a todas as regiões
Para alterar uma trilha existente para que ela se aplique a todas as regiões, use a opção --is-multi-region-trail.
aws cloudtrail update-trail --namemy-trail--is-multi-region-trail
Para confirmar se a trilha agora se aplica a todas as regiões, o elemento IsMultiRegionTrail no resultado mostra true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Converter uma trilha de várias regiões em uma trilha de região única
Para alterar uma trilha de várias regiões existente de modo que ela se aplique somente à região na qual foi criada, use a opção --no-is-multi-region-trail.
aws cloudtrail update-trail --namemy-trail--no-is-multi-region-trail
Para confirmar se a trilha agora se aplica a uma única região, o elemento IsMultiRegionTrail no resultado mostra false.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Como habilitar e desabilitar o registro de eventos de serviços globais
Para alterar uma trilha para que ela não registre eventos de serviços globais, use a opção --no-include-global-service-events.
aws cloudtrail update-trail --namemy-trail--no-include-global-service-events
Para confirmar se a trilha não deve registrar eventos de serviços globais, o elemento IncludeGlobalServiceEvents no resultado deve mostrar false.
{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Para alterar uma trilha para que ela registre eventos de serviços globais, use a opção --include-global-service-events.
As trilhas de região única não receberão mais eventos de serviços globais a partir de 22 de novembro de 2021, a menos que uma trilha já apareça na região Leste dos EUA (Norte da Virgínia), us-east-1. Para continuar capturando eventos de serviços globais, atualize a configuração da trilha para trilha de várias regiões. Por exemplo, esse comando atualiza uma trilha de região única na região Leste dos EUA (Ohio), us-east-2, para uma trilha de várias regiões. Substitua myExistingSingleRegionTrailWithGSE pelo nome de trilha apropriado para sua configuração.
aws cloudtrail --region us-east-2 update-trail --namemyExistingSingleRegionTrailWithGSE--is-multi-region-trail
Como os eventos de serviços globais só estarão disponíveis no Leste dos EUA (Norte da Virgínia) a partir de 22 de novembro de 2021, você também pode criar uma trilha de região única para assinar eventos de serviços globais na região Leste dos EUA (Norte da Virgínia), us-east-1. O comando a seguir cria uma trilha de região única em us-east-1 para receber eventos do CloudFront, IAM e AWS STS:
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --namemyTrail--s3-bucket-nameamzn-s3-demo-bucket
Ativar a validação do arquivo de log
Para ativar a validação do arquivo de log em uma trilha, use a opção --enable-log-file-validation. Os arquivos de resumo são fornecidos ao bucket do Amazon S3 dessa trilha.
aws cloudtrail update-trail --namemy-trail--enable-log-file-validation
Para confirmar se a validação do arquivo de log está ativada, o elemento LogFileValidationEnabled no resultado mostra true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Desativar a validação do arquivo de log
Para desativar a validação do arquivo de log em uma trilha, use a opção --no-enable-log-file-validation.
aws cloudtrail update-trail --namemy-trail-name--no-enable-log-file-validation
Para confirmar se a validação do arquivo de log está desativada, o elemento LogFileValidationEnabled no resultado mostra false.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Para validar os arquivos de log com a AWS CLI, consulte Validar a integridade dos arquivos de log do CloudTrail com a AWS CLI.
