翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# `create-trail` コマンドを使用して証跡を作成する
`create-trail` コマンドを実行して、ビジネスニーズに合わせて特別に設定された証跡を作成できます。を使用する場合 AWS CLI、コマンドはプロファイル用に設定された AWS リージョンで実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに **--region** パラメータを使用します。
## マルチリージョン証跡の作成
証跡は、 で[有効](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) AWS リージョン になっているすべての に適用することも AWS アカウント、単一のリージョンに適用することもできます。で有効になっているすべての に適用される証跡 AWS リージョン は、*マルチリージョン証跡* AWS アカウント と呼ばれます。ベストプラクティスとして、マルチリージョン証跡を作成することをお勧めします。マルチリージョン証跡は、すべての有効になっているリージョンのアクティビティをキャプチャするからです。
マルチリージョン証跡を作成するには、 `--is-multi-region-trail` オプションを使用します。デフォルトでは、`create-trail` コマンドは、証跡が作成された AWS リージョンでのみイベントを記録する証跡を作成します。グローバルサービスイベントを記録し、 AWS アカウント内のすべての管理イベントアクティビティを確実にキャプチャするには、すべての AWS リージョンでイベントを記録する証跡を作成する必要があります。
**注記**
証跡を作成するときに、CloudTrail で作成されていない Amazon S3 バケットを使用する場合は、適切なポリシーをアタッチする必要があります。「[CloudTrail の Amazon S3 バケットポリシー](create-s3-bucket-policy-for-cloudtrail.md)」を参照してください。
次の例では、*my-trail* という名前のマルチリージョン証跡と、アカウント内のすべての有効になっているリージョンから *amzn-s3-demo-bucket* という名前の既存のバケットにログを配信する *Marketing* の値を持つ *Group* という名前のキーを持つタグを作成します。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]
```
証跡がマルチリージョン証跡であることを確認するには、出力の `IsMultiRegionTrail` 要素に `true` と表示されていることを確認します。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
**注記**
証跡のログ記録を開始するには `start-logging` コマンドを使用します。
## 証跡のログ記録の開始
`create-trail` コマンドが完了したら、`start-logging` コマンドを実行してその証跡のログ記録を開始します。
**注記**
CloudTrail コンソールで証跡を作成する場合、ログ記録が自動的に有効になります。
次の例は、証跡のログ記録を開始します。
```
aws cloudtrail start-logging --name my-trail
```
このコマンドは出力を返しませんが、`get-trail-status` コマンドを使用すると、ログ記録が開始されたことを確認できます。
```
aws cloudtrail get-trail-status --name my-trail
```
証跡がログを記録していることを確認するために、出力の `IsLogging` 要素に `true` と表示されます。
```
{
"LatestDeliveryTime": 1441139757.497,
"LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
"LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
"LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
"IsLogging": true,
"TimeLoggingStarted": "2015-09-01T00:54:02Z",
"StartLoggingTime": 1441068842.76,
"LatestDigestDeliveryTime": 1441140723.629,
"LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
"TimeLoggingStopped": ""
}
```
## 単一リージョンの証跡の作成
次のコマンドは、単一のリージョンの証跡を作成します。指定された Amazon S3 バケットがすでに存在し、適切な CloudTrail 権限が適用されている必要があります。詳細については、「[CloudTrail の Amazon S3 バケットポリシー](create-s3-bucket-policy-for-cloudtrail.md)」を参照してください。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket
```
以下は出力の例です。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## ログファイルの検証が有効にされているマルチリージョン証跡の作成
`create-trail` を使用しているときにログファイルの検証を有効にするには、`--enable-log-file-validation` オプションを使用します。
ログファイルの検証については、「[CloudTrail ログファイルの整合性の検証](cloudtrail-log-file-validation-intro.md)」を参照してください。
次の例では、指定したバケットにログを配信するマルチリージョン証跡を作成します。このコマンドでは、`--enable-log-file-validation` オプションを使用します。
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation
```
ログファイルの検証が有効になっていることを確認するために、出力の `LogFileValidationEnabled` 要素に `true` と表示されます。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": true,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```