Uso del comando update-trail para actualizar un registro de seguimiento
importante
A partir del 22 de noviembre de 2021, AWS CloudTrail cambió la forma en que los registros de seguimiento capturan eventos de servicios globales. Tras el cambio, los eventos creados por Amazon CloudFront,AWS Identity and Access Management y AWS STS se registrarán en la región en la que se crearon, la región Este de EE. UU. (Norte de Virginia), us-east-1. Esto hace que el tratamiento de CloudTrail de estos servicios sea coherente con el de otros servicios globales de AWS. Para continuar recibiendo eventos de servicios globales fuera de Este de EE. UU. (Norte de Virginia), asegúrese de convertir los registros de seguimiento de una sola región con el uso de eventos de servicio globales fuera de Este de EE. UU. (Norte de Virginia) en los registros de seguimiento de varias regiones. Para obtener más información acerca de la captura de eventos de servicios globales, consulte Habilitación y desactivación del registro de eventos de servicios globales más adelante en esta sección.
Por el contrario, el Historial de eventos de la consola de CloudTrail y el comando aws cloudtrail lookup-events mostrarán estos eventos en la Región de AWS en que se produjeron.
Puede utilizar el comando update-trail para cambiar las opciones de configuración de un registro de seguimiento. También puede utilizar los comandos add-tags y remove-tags para añadir y eliminar etiquetas para un registro de seguimiento. Solo puede actualizar los registros de seguimiento de la región de AWS en la que se creó el registro de seguimiento (su región principal). Cuando utilice la AWS CLI, recuerde que los comandos se ejecutan en la región de AWS configurada para su perfil. Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.
Si ha activado los eventos de administración de CloudTrail en Amazon Security Lake, debe mantener al menos un registro de seguimiento de la organización que sea de varias regiones y que registre tanto los eventos de administración de read como de write. No puede actualizar un registro de seguimiento válido de forma que no cumpla con el requisito de Security Lake. Por ejemplo, si cambia el registro de seguimiento a uno de una sola región o desactiva el registro de los eventos de administración de read o write.
nota
Si utiliza la AWS CLI o uno de los SDK de AWS para modificar un registro de seguimiento, asegúrese de que la política del bucket del registro de seguimiento está actualizada. Para que su bucket reciba automáticamente eventos de una nueva Región de AWS, la política debe contener el nombre completo del servicio, cloudtrail.amazonaws.com. Para obtener más información, consulte Política de bucket de Amazon S3 para CloudTrail.
Conversión de un registro de seguimiento de una sola región en un registro de seguimiento de varias regiones
Para cambiar un registro de seguimiento de una sola región existente en uno de varias regiones, utilice la opción --is-multi-region-trail.
aws cloudtrail update-trail --namemy-trail--is-multi-region-trail
Para confirmar que el registro de seguimiento es ahora uno de varias regiones, compruebe que el elemento IsMultiRegionTrail de la salida muestre true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Conversión de un registro de seguimiento de varias regiones en un registro de seguimiento de una sola región
Para cambiar un registro de seguimiento de varias regiones de forma que se aplique solamente a la región en la que se creó, utilice la opción --no-is-multi-region-trail.
aws cloudtrail update-trail --namemy-trail--no-is-multi-region-trail
Para confirmar que el registro de seguimiento se aplica ahora a una sola región, el elemento IsMultiRegionTrail del resultado muestra false.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Habilitación y desactivación del registro de eventos de servicios globales
Para cambiar un registro de seguimiento de forma que no registre eventos de servicios globales, utilice la opción --no-include-global-service-events.
aws cloudtrail update-trail --namemy-trail--no-include-global-service-events
Para confirmar que el registro de seguimiento ya no registra eventos de servicios globales, el elemento IncludeGlobalServiceEvents del resultado muestra false.
{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Para cambiar un registro de seguimiento de forma que registre eventos de servicios globales, utilice la opción --include-global-service-events.
Los registros de seguimiento de una región ya no recibirán eventos de servicios globales a partir del 22 de noviembre de 2021, a menos que estos aparezcan en la región Este de EE. UU. (Norte de Virginia), us-east-1. Para continuar con la captura de eventos de servicios globales, actualice la configuración de registros de seguimiento a uno de varias regiones. Por ejemplo, este comando actualiza un registro de seguimiento para una sola región en Este de EE. UU. (Ohio), us-east-2, en un registro de seguimiento de varias regiones. Reemplace myExistingSingleRegionTrailWithGSE con el nombre de registro de seguimiento adecuado para su configuración.
aws cloudtrail --region us-east-2 update-trail --namemyExistingSingleRegionTrailWithGSE--is-multi-region-trail
Dado que los eventos de servicios globales solo están disponibles en Este de EE. UU. (Norte de Virginia) a partir del 22 de noviembre de 2021, también puede crear un registro de seguimiento de una región para suscribirse a eventos de servicios globales en la región Este de EE. UU. (Norte de Virginia), us-east-1. El siguiente comando crea un registro de seguimiento para una sola región en us-east-1 a fin de recibir eventos de CloudFront, IAM y AWS STS:
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --namemyTrail--s3-bucket-nameamzn-s3-demo-bucket
Habilitación de la validación de archivos de registro
Para activar la validación de archivos de registro para un registro de seguimiento, utilice la opción --enable-log-file-validation. Los archivos de resumen se envían al bucket de Amazon S3 para dicho registro de seguimiento.
aws cloudtrail update-trail --namemy-trail--enable-log-file-validation
Para confirmar que la validación de archivos de registro está activada, el elemento LogFileValidationEnabled del resultado muestra true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Desactivar la validación de archivos de registro
Para desactivar la validación de archivos de registro para un registro de seguimiento, utilice la opción --no-enable-log-file-validation.
aws cloudtrail update-trail --namemy-trail-name--no-enable-log-file-validation
Para confirmar que la validación de archivos de registro está desactivada, el elemento LogFileValidationEnabled del resultado muestra false.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "amzn-s3-demo-bucket" }
Para validar archivos de registro con la AWS CLI, consulte Validación de la integridad de los archivos de registros de CloudTrail con la AWS CLI.
