Como usar o comando create-trail para criar uma trilha - AWS CloudTrail
Criar uma trilha multirregionalInicie o registro da trilhaCriar uma trilha de região únicaCriar uma trilha multirregional com validação do arquivo de log habilitada

Como usar o comando create-trail para criar uma trilha

Você pode usar o comando create-trail para criar trilhas que são especificamente configuradas para atender às suas necessidades de negócios. Ao usar a AWS CLI, lembre-se de que os comandos são executados na região da AWS configurada para o seu perfil. Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use o parâmetro --region com o comando.

Criar uma trilha multirregional

Uma trilha pode ser aplicada a todas as Regiões da AWS habilitadas na sua Conta da AWS ou a uma única região. Uma trilha que se aplica a todas as Regiões da AWS habilitadas em sua Conta da AWS é chamada de trilha multirregional. A prática recomendada é criar uma trilha multirregional porque ela captura atividade em todas as regiões habilitadas.

Para criar uma trilha multirregional, use a opção --is-multi-region-trail. Por padrão, o comando create-trail cria uma trilha que registra eventos apenas na região da AWS em que a trilha foi criada. Para garantir que você registre eventos de serviço globais e capture todas as atividades de eventos de gerenciamento em sua conta da AWS, crie trilhas que registrem eventos em todas as regiões da AWS.

nota

Ao criar uma trilha, se você especificar um bucket do Amazon S3 que não foi criado com o CloudTrail, será necessário anexar a política apropriada. Consulte Política de bucket do Amazon S3 para o CloudTrail.

O exemplo a seguir cria uma trilha multirregional denominada my-trail e uma tag com uma chave denominada Group com o valor Marketing, que entrega logs de todas as regiões habilitadas na sua conta para um bucket existente denominado amzn-s3-demo-bucket.

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

Para confirmar que a trilha é multirregional, verifique se o elemento IsMultiRegionTrail na saída aparece como true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
nota

Use o comando start-logging para iniciar o registro da sua trilha.

Inicie o registro da trilha

Depois que o comando create-trail for concluído, execute o comando start-logging para iniciar o registro dessa trilha.

nota

No console do CloudTrail, o registro é ativado automaticamente quando você cria uma trilha.

O exemplo a seguir inicia o registro de uma trilha.

aws cloudtrail start-logging --name my-trail

Esse comando não retorna uma saída, mas você pode usar o comando get-trail-status para verificar se o registro foi iniciado.

aws cloudtrail get-trail-status --name my-trail

Para confirmar se a trilha está sendo registrada, o elemento IsLogging no resultado mostra true.

{
    "LatestDeliveryTime": 1441139757.497, 
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", 
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", 
    "IsLogging": true, 
    "TimeLoggingStarted": "2015-09-01T00:54:02Z", 
    "StartLoggingTime": 1441068842.76, 
    "LatestDigestDeliveryTime": 1441140723.629, 
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", 
    "TimeLoggingStopped": ""
}

Criar uma trilha de região única

O comando a seguir cria uma trilha de região única. O bucket do Amazon S3 especificado já deve existir e ter as permissões apropriadas do CloudTrail aplicadas. Para obter mais informações, consulte Política de bucket do Amazon S3 para o CloudTrail.

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket

O seguinte é um exemplo de saída.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false, 
    "S3BucketName": "amzn-s3-demo-bucket"
}

Criar uma trilha multirregional com validação do arquivo de log habilitada

Para ativar a validação do arquivo de log ao usar create-trail, use a opção --enable-log-file-validation.

Para obter informações sobre a validação do arquivo de log, consulte Validar a integridade dos arquivos de log do CloudTrail.

O exemplo a seguir cria uma trilha multirregional que entrega os logs ao bucket especificado. O comando usa a opção --enable-log-file-validation. 

aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation

Para confirmar se a validação do arquivo de log está ativada, o elemento LogFileValidationEnabled no resultado mostra true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}