翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# `update-trail` コマンドを使用して証跡を更新する
**重要**
2021 年 11 月 22 日をもって、 は証跡がグローバルサービスイベントをキャプチャする方法 AWS CloudTrail を変更しました。これで、Amazon CloudFront によって作成されたイベント AWS Identity and Access Management、および AWS STS が作成されたリージョン、米国東部 (バージニア北部) リージョン、us-east-1 に記録されます。これにより、CloudTrail はこれらのサービスを他の AWS グローバルサービスのサービスと一貫して処理します。米国東部 (バージニア北部) 以外でグローバルサービスイベントを継続して受信するには、米国東部 (バージニア北部) 以外のグローバルサービスイベントを使用する*単一リージョン証跡*を、必ず*マルチリージョン証跡*に変換してください。グローバルサービスイベントのキャプチャの詳細については、このセクション後半の [グローバルサービスイベントのログ記録の有効化と無効化](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses) を参照してください。
対照的に、CloudTrail コンソールの**イベント履歴**と **aws cloudtrail lookup-events** コマンドは、これらのイベントが発生した AWS リージョン にイベントを表示します。
`update-trail` コマンドを使用して、証跡の設定を変更できます。**add-tags** と **remove-tags** コマンドを使用して、証跡のタグを追加および削除することもできます。更新できるのは、証跡が作成された AWS リージョン (ホームリージョン) からの証跡のみです。を使用する場合 AWS CLI、コマンドはプロファイル用に設定された AWS リージョンで実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに **--region** パラメータを使用します。
Amazon Security Lake で CloudTrail 管理イベントを有効にしている場合は、`read` と `write` の両方の管理イベントのログ記録を行うマルチリージョンの組織証跡を、1 つ以上作成する必要があります。資格を満たしている証跡を、Security Lake の要件に従わない方法で更新することはできません。例えば、証跡を単一リージョンに変更したり、`read` または `write` 管理イベントのログ記録をオフにしたりするなどです。
**注記**
AWS CLI またはいずれかの AWS SDKs を使用して証跡を変更する場合は、証跡のバケットポリシーがup-to-dateであることを確認します。バケットが新しい からイベントを自動的に受信するには AWS リージョン、ポリシーに完全なサービス名 が含まれている必要があります`cloudtrail.amazonaws.com`。詳細については、「[CloudTrail の Amazon S3 バケットポリシー](create-s3-bucket-policy-for-cloudtrail.md)」を参照してください。
**Topics**
+ [
## 単一リージョンの証跡からマルチリージョンの証跡への変換
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)
+ [
## マルチリージョンの証跡から単一リージョンの証跡への変換
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)
+ [
## グローバルサービスイベントのログ記録の有効化と無効化
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)
+ [
## ログファイルの検証の有効化
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi)
+ [
## ログファイルの検証の無効化
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi-disable)
## 単一リージョンの証跡からマルチリージョンの証跡への変換
既存の単一リージョン証跡をマルチリージョン証跡に変更するには、`--is-multi-region-trail` オプションを使用します。
```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```
証跡がマルチリージョン証跡になったことを確認するには、出力の `IsMultiRegionTrail` 要素に `true` と表示されていることを確認します。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## マルチリージョンの証跡から単一リージョンの証跡への変換
作成元のリージョンにのみ適用されるように既存のマルチリージョンの証跡を変更するには、`--no-is-multi-region-trail` オプションを使用します。
```
aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail
```
証跡が単一リージョンに適用されるようになったことを確認するために、出力の `IsMultiRegionTrail` 要素に `false` と表示されます。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## グローバルサービスイベントのログ記録の有効化と無効化
証跡を変更し、グローバルサービスイベントをログに記録しないようにするには、`--no-include-global-service-events` オプションを使用します。
```
aws cloudtrail update-trail --name my-trail --no-include-global-service-events
```
証跡がグローバルサービスイベントをログに記録しなくなったことを確認するために、出力の `IncludeGlobalServiceEvents` 要素に `false` と表示されます。
```
{
"IncludeGlobalServiceEvents": false,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
証跡を変更し、グローバルサービスイベントをログに記録するには、`--include-global-service-events` オプションを使用します。
米国東部 (バージニア北部) リージョン us-east-1 では、すでに表示されていない限り、2021 年 11 月 22 日以降、単一リージョン証跡はグローバルサービスイベントを受け取れなくなります。グローバルサービスイベントのキャプチャを続行するには、証跡の設定をマルチリージョン証跡に更新します。例えば、このコマンドは、米国東部 (オハイオ) us-east-2 の単一リージョン証跡をマルチリージョン証跡に更新します。*myExistingSingleRegionTrailWithGSE* を、設定に適した証跡名に置き換えます。
```
aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail
```
2021 年 11 月 22 日以降、グローバルサービスイベントを利用できるのは米国東部 (バージニア北部) のみとなるため、米国東部 (バージニア北部) リージョン us-east-1 では、単一リージョン証跡を作成して、グローバルサービスイベントをサブスクライブすることも可能です。次のコマンドは、CloudFront、IAM、および AWS STS イベントを受信するための単一リージョンの証跡を us-east-1 に作成します。
```
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name amzn-s3-demo-bucket
```
## ログファイルの検証の有効化
証跡のログファイルの検証を有効にするには、`--enable-log-file-validation` オプションを使用します。ダイジェストファイルは、その証跡の Amazon S3 バケットに配信されます。
```
aws cloudtrail update-trail --name my-trail --enable-log-file-validation
```
ログファイルの検証が有効になっていることを確認するために、出力の `LogFileValidationEnabled` 要素に `true` と表示されます。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": true,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
## ログファイルの検証の無効化
証跡のログファイルの検証を無効にするには、`--no-enable-log-file-validation` オプションを使用します。
```
aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation
```
ログファイルの検証が無効になっていることを確認するために、出力の `LogFileValidationEnabled` 要素に `false` と表示されます。
```
{
"IncludeGlobalServiceEvents": true,
"Name": "my-trail",
"TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
でログファイルを検証するには AWS CLI、「」を参照してください[を使用した CloudTrail ログファイルの整合性の検証 AWS CLI](cloudtrail-log-file-validation-cli.md)。