Uso del comando create-trail para crear un registro de seguimiento
Puede ejecutar el comando create-trail para crear registros de seguimiento configurados específicamente a fin de satisfacer sus necesidades empresariales. Cuando utilice la AWS CLI, recuerde que los comandos se ejecutan en la región de AWS configurada para su perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.
Creación de un registro de seguimiento de varias regiones
Un registro de seguimiento se puede aplicar a todas las Regiones de AWS que estén habilitadas en su Cuenta de AWS o se puede aplicar a una sola región. Un registro de seguimiento que se aplica a todas las Regiones de AWS que están habilitadas en su Cuenta de AWS se denomina registro de seguimiento de varias regiones. Como práctica recomendada, le sugerimos crear un registro de seguimiento de varias regiones, ya que captura la actividad en todas las regiones habilitadas.
Para crear un registro de seguimiento de varias regiones, utilice la opción --is-multi-region-trail. De forma predeterminada, el comando create-trail crea un registro de seguimiento que registra los eventos únicamente en la región de AWS donde se creó el registro de seguimiento. Para asegurarse de que registra los eventos de servicios globales y captura toda la actividad de los eventos de administración de su cuenta de AWS, debe crear registros de seguimiento que registren los eventos de todas las regiones de AWS.
nota
Cuando crea un registro de seguimiento, si especifica un bucket de Amazon S3 que no se ha creado con CloudTrail, debe asociarle la política correspondiente. Consulte Política de bucket de Amazon S3 para CloudTrail.
En el siguiente ejemplo, se crea un registro de seguimiento de varias regiones denominado my-trail y una etiqueta con una clave denominada Group con el valor Marketing que envía los registros de todas las regiones habilitadas en su cuenta a un bucket existente denominado amzn-s3-demo-bucket.
aws cloudtrail create-trail --namemy-trail--s3-bucket-nameamzn-s3-demo-bucket--is-multi-region-trail --tags-list [key=Group,value=Marketing]
Para confirmar que el registro de seguimiento es uno de varias regiones, compruebe que en el elemento IsMultiRegionTrail de la salida se muestre true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
nota
Utilice el comando start-logging para empezar a ejecutar el registro de seguimiento.
Iniciar el registro de seguimiento
Cuando el comando create-trail termine de ejecutarse, ejecute el comando start-logging para empezar a ejecutar ese registro de seguimiento.
nota
En la consola de CloudTrail, el registro se activa de forma automática cuando se crean registros de seguimiento.
En el ejemplo siguiente, se inicia el registro para un registro de seguimiento.
aws cloudtrail start-logging --namemy-trail
Este comando no devuelve ningún resultado, pero puede utilizar el comando get-trail-status para verificar que ha comenzado el registro.
aws cloudtrail get-trail-status --namemy-trail
Para confirmar que el registro de seguimiento está funcionando, el elemento IsLogging del resultado muestra true.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": "" }
Crear un registro de seguimiento para una sola región
El siguiente comando crea un registro de seguimiento para una única región. El bucket de Amazon S3 especificado ya debe existir y tener aplicados los permisos de CloudTrail adecuados. Para obtener más información, consulte Política de bucket de Amazon S3 para CloudTrail.
aws cloudtrail create-trail --namemy-trail--s3-bucket-nameamzn-s3-demo-bucket
A continuación, se muestra un ejemplo del resultado.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Creación de un registro de seguimiento de varias que tiene habilitada la validación de archivos de registro
Para habilitar la validación de archivos de registro cuando se utiliza create-trail, use la opción --enable-log-file-validation.
Para obtener información sobre la validación de archivos de registro, consulte Validar la integridad de los archivos de registros de CloudTrail.
El ejemplo siguiente crea un registro de seguimiento de varias regiones que envía los archivos de registro al bucket especificado. El comando utiliza la opción --enable-log-file-validation.
aws cloudtrail create-trail --namemy-trail--s3-bucket-nameamzn-s3-demo-bucket--is-multi-region-trail --enable-log-file-validation
Para confirmar que la validación de archivos de registro está activada, el elemento LogFileValidationEnabled del resultado muestra true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
